» » Защита сети при помощи ASA и двух роутеров

Лаборатория Сетей Cisco
 
 
 

Защита сети при помощи ASA и двух роутеров

Автор: HunSolo от 4-07-2013, 15:22, посмотрело: 3844

0 Этот документ демонстрирует как обезопасить сеть при помощи комбинации роутеров и ASA или PIX Firewall. Здесь существует три уровня защиты (два роутера и ASA) и настроено логгирование на syslog сервер, чтобы помочь в идентификации потенциальных атак на систему безопасности.

Цель Firewall – это предотвращение не авторизованного доступа в вашу сеть и в тоже время дозволение желаемого трафика. Предположим, в ситуации описанной в этом документе (см. рисунок), что злоумышленник знает о сервере, содержащим конфиденциальную информацию, которая представляет огромную ценность для ваших конкурентов. IP адрес сервера, который выяснил злоумышленник – 10.10.250.10

Защита сети при помощи ASA и двух роутеров

Тутже, перед злоумышленником встает серьезная проблема: IP адрес сервера, это адрес который не достижим из Интернет, так как ни одна организация подсоединенная к Интернет не направляет туда пакеты с адресом приемника 10.х.х.х. Это принуждает злоумышленника либо попытаться выяснить в какой адрес выполняется трансляция (продвинутые системные администраторы никогда не позволят, чтобы этот адрес транслировался в Интернет), либо напрямую вломиться в вашу сеть для того, чтобы получить плацдарм с которого выполнять прямую атаку на конфиденциальный сервер. Предположим, что злоумышленник не смог найти способ атаковать сервер напрямую и поэтому он начинает атаковать вашу сеть для того, чтобы атаковать сервер.

Первая преграда с которой сталкивается злоумышленник это первая демилитаризованная зона (DMZ), которая расположена между RTRA ASA/PIX. Злоумышленник может попытаться сломать роутер, но роутер конфигурирован принимать соединения только с компьютера администратора, и блокирует пакеты которые выходят с самой DMZ. Если все же злоумышленнику удастся сломать роутер, он выяснит, что следующей целью станет сам PIX Firewall, он не попадет внутрь сети и все еще не сможет атаковать хост с конфиденциальными данными.

Злоумышленник может также попытаться сломать FTP/HTTP сервер. Этот хост должен быть обезопасен настолько, насколько возможно от такого рода атак. Если злоумышленнику удалось взломать FTP/HTTP сервер, он опять же все еще не сможет атаковать хост c конфиденциальной информацией, но сможет атаковать PIX. В любом случае, все действия злоумышленника должны быть регистрированы в некоторой точке получения доступа и системный администратор должен быть уведомлен о присутствие интрудера.

Если атакующий успешно взломал внешнюю DMZ, у него появится позиция атаковать сам PIX Firewall и вторая или внутренняя DMZ станет следующей целью. Он сможет достичь свей цели, атакуя сам PIX или роутер RTRB, который запрограммирован принимать телнет соединения только с рабочей машины системного администратора. И снова, его попытки взломать внутреннюю DMZ регистрируются и PIXом и роутером RTRB. Поэтому администратор должен получать предупреждения об аномальной активности и должен остановить попытки взлома.

Атакующим может обойти внешнюю DMZ и попытаться взломать внутреннюю DMZ атакуя почтовый хост. Этот хост защищается PIX Firewall и должен постоянно мониториться. Этот хост – самая уязвимая часть во всем файрволе.

Такая концепция обеспечивает несколько уровней защиты, а не одну супер-сильную стену. Части этой защиты должны собираться вместе в одну сильную структуру, которая достаточно гибка, чтобы разрешить прохождение нужного вам трафика, но также обеспечивает системами раннего предупреждения и включения тревоги.

Конфигурация PIX/ASA

!--- Определяем внешний интерфейс и назначаем IP адрес ему
interface Ethernet0
nameif outside
security-level 0
ip address 131.1.23.2 255.255.255.0

!--- Здесь определяем внутренний интерфейс и назначаем IP
interface Ethernet1
nameif inside
security-level 100
ip address 10.10.254.1 255.255.255.0 

!--- Устанавливаем глобальный пул адресов для хостов:
global (outside) 1 131.1.23.12-131.1.23.254

!--- Разрешаем хостам на сети 10.0.0.0 транслироваться через PIX
nat (inside) 1 10.0.0.0 

!--- Конфигурируем статическую трансляцию для станции администратора с локальным адресом 10.14.8.50
static (inside,outside) 131.1.23.11 10.14.8.50

!--- Разрешаем пакетам syslog проходить через от роутера RTRA.
access-list 101 permit udp host 131.1.23.1 host 131.1.23.11 255.255.255.0 eq 514
access-group 101 in interface outside

!--- Разрешаем входящие почтовые соединения на 131.1.23.10
static (inside, outside) 131.1.23.10 10.10.254.3
access-list 101 permit tcp any host 131.1.23.10 eq smtp

!--- ASA необходимы статические маршруты или роутинговый протокол, чтобы знать о сетях не подсоединенных напрямую. Добавим маршрут на сеть 10.14.8.0/24.
route inside 10.14.8.0 255.255.255.0 10.10.254.2

!--- Добавим маршрут по умолчанию к остальному трафику, идущему в Интернет.
route outside 0.0.0.0 0.0.0.0 131.1.23.1

!--- Разрешаем telnet от внутренней станции 10.14.8.50 
telnet 10.14.8.50 255.255.255.255 inside

!--- Включаем логгирование на станцию админиатратора 10.14.8.50
logging on
logging facility 20
logging host inside 10.14.8.50



Роутер RTRA - это внешний экранный роутер. Он должен экранировать PIX Firewall от направленных атак, защишать FTP/HTTP сервер и lдействовать как система тревоги. Если кто-либо взломает RTRA, системный администратор должен быть немедленно уведомлен.

Конфигурация RTRA
!--- Предотвращаем некторые типы атак против самого роутера. Просто выключаем не нужные здесь сервисы
no service tcp small-servers 

!--- Посылаем сообщения на syslog сервер для любого и каждого события на роутере. Это включает пакеты отброшенные 
!--- листами доступа и изменения конфигурации. Роутер действует как система раннего оповещения для администратора, что кто-то
!--- пытается взломать или уже взломал и пытается создать дыру в фареволе
logging trap debugging

!--- Роутер пишет все события на этот хост, который в этом случае, является внешним или транслированным адресом
!--- рабочей станции администратора.
logging 131.1.23.11

enable secret xxxxxxxxxxx
!
interface Ethernet 0
 ip address 131.1.23.1 255.255.255.0

!--- Экранируем PIX Firewall и HTTP/FTP сервер от атак и защищаем против атак спуффинга
!
interface Serial 0
 ip unnumbered ethernet 0
 ip access-group 110 in 

!--- RTRA и   PIX Firewall. Это предотвращает спуффинг атаки.
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

!--- Предотвращаем направленные атаки против внешнего интерфейса PIX Firewall и регистрируем
!--- любые попытки подсоедениться на outside интерфейс PIX 
access-list 110 deny ip any host 131.1.23.2 log

!--- Разрешаем пакеты, которые являются чатью установленной TCP сессии
access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established 

!--- Дозволяем FTP соединения на FTP/HTTP сервер.
access-list 110 permit tcp any host 131.1.23.3 eq ftp 

!--- Дозволяем ftp-data соединения на FTP/HTTP сервер.
access-list 110 permit tcp any host 131.1.23.3 eq ftp-data

!--- Дозволяем HTTP соединения на FTP/HTTP сервер.
access-list 110 permit tcp any host 131.1.23.3 eq www

!--- Запрещаем все остальные соединения к FTP/HTTP серверу и регистрируем все попытки соедениться на него
access-list 110 deny ip any host 131.1.23.3 log

!--- Разрешаем весь остальной трафик предназначенный для сети между PIX Firewall и RTRA.
access-list 110 permit ip any 131.1.23.0 0.0.0.255
!
!--- Ограничиваем телнет лоступ к роутеру IP адресами обозначенными в листе 10
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Разрешаем только станции администратора выполнять телнет на роутер
access-list 10 permit ip 131.1.23.11


RTRB - это внутренний экранирующий роутер и является последней линией обороны вашего фаревола и точкой входа в вашу сеть.

Конфигурация роутера RTRB
!--- Логируем всю деятельность на этом роутере на syslog сервер, включая изменения конфигурации
logging trap debugging
logging 10.14.8.50
!
!--- Предотвращаем внутренние и внешние адреса от смешивания, защищаем против атак запущенных с PIX Firewall или 
!--- с SMTP сервера.
interface Ethernet 0
 ip address 10.10.254.2 255.255.255.0
 no ip proxy-arp
 ip access-group 110 in

!--- Разрешаем сообщения syslog предназначенные для станции администратора
access-list 110 permit udp host 10.10.250.5 0.0.0.255

!--- Запрещаем любые пакеты отправленные с PIX Firewall.
access-list 110 deny ip host 10.10.254.1 any log

!--- Разрешаем  SMTP соединения от почтового хоста до внутренних почтовых серверов
access-list permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp

!--- Отбрасываем весь остальной трафик уходящего с почтового сервера
access-list deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

!--- Предотвращаем спуффинг доверенных адресов на внутренней сети
access-list deny ip 10.10.250.0 0.0.0.255 any

!--- Разрешаем весь остальной трафик от сети между PIX Firewall и RTRB.
access-list permit ip 10.10.254.0 0.0.0.255 10.10.250.0 0.255.255.255

!--- Ограничиваем телнет лоступ к роутеру IP адресами обозначенными в листе 10
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Разрешаем только станции администратора выполнять телнет на роутер
access-list 10 permit ip 10.14.8.50

Чтобы роутер знал о сети 10.14.8.x (которая находиться внутри корпоративной сети) необходимо использовать статический маршрут или динамический роутинговый протокол. Это необходимо поскольку данная сети не подсоединена напрямую к роутеру.

Сетевые протоколы, чье использование не рекомендуется на Firewall

Благодаря своей не безопасной природе, некоторые сетевые протоколы не подходят для работы через Firewall из не доверительных к доверенным сетям. Примерами таких небезопасных протоколов являются:
  • NFS
  • rlogin
  • rsh
  • любой RPC протокол

Последние версии ASA включают поддержку RPC протоколов. Однако, Cisco не одобряет использование этой возможности, т.к. RPC очень не безопасный. Эта функция предназначена для использования только в самых необычных условиях.

PIX и ASA 7.0 и выше используют команды inspect rpc для обработки RPC пакетов. Команда inspect sunrpc включает или отключает прикладное исследование протокола Sun RPC. Sun RPC сервисы могут работать на любом порту в системе. Когда клиент пытается получить доступ к RPC сервису на сервере, он должен выяснить на каком порту работает данный сервис. Для того, чтобы сделать это клиент опрашивает процесс portmapper на порту 111. Клиент посылает RPC номер сервиса и получает обратно номер порта. С этого места, клиентская программа посылает свои RPC запросы на этот новый порт.



Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Под водой живёт народ, Ходит задом наперёд
Ответ:*
Введите два слова, показанных на изображении: *