Security (1027395), страница 28

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 28)

Порт 45000 предназначен для CSIDS, а порт 5000 – дляCiscoSecure Host IDS.access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-list114114114114114114114114114114114permit icmp 192.168.254.0 0.0.0.255 192.168.253.0 0.0.0.255 echo-replypermit udp 192.168.254.0 0.0.0.255 host 192.168.253.56 eq syslogpermit udp 192.168.254.0 0.0.0.255 host 192.168.253.51 eq syslogpermit udp 192.168.254.0 0.0.0.255 host 192.168.253.50 eq 45000permit tcp 192.168.254.0 0.0.0.255 host 192.168.253.50 eq 5000permit udp 192.168.254.0 0.0.0.255 host 192.168.253.53 eq tftppermit udp 192.168.254.0 0.0.0.255 host 192.168.254.57 eq ntppermit tcp 192.168.254.0 0.0.0.255 host 192.168.253.54 eq tacacspermit udp 192.168.254.0 0.0.0.255 host 192.168.253.54 eq 1645permit udp 192.168.254.0 0.0.0.255 host 192.168.253.52 eq syslogdeny ip any any logСледующая конфигурация определяет параметры контроля доступа для трафика, выходящего из сети управления:access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-list113113113113113113113113113113113permitpermitpermitpermitpermitpermitpermitpermitpermitpermitpermiticmp 192.168.253.0 0.0.0.255 192.168.254.0 0.0.0.255icmp 192.168.253.0 0.0.0.255 host 192.168.253.57tcp 192.168.253.0 0.0.0.255 host 192.168.253.57 eq telnettcp 192.168.253.0 0.0.0.255 192.168.254.0 0.0.0.255 eq telnettcp 192.168.253.0 0.0.0.255 192.168.254.0 0.0.0.255 eq 443tcp 192.168.253.0 0.0.0.255 192.168.254.0 0.0.0.255 eq 22udp host 192.168.253.50 192.168.254.0 0.0.0.255 eq 45000tcp host 192.168.253.50 192.168.254.0 0.0.0.255 eq 5000udp host 192.168.253.51 192.168.254.0 0.0.0.255 eq snmpudp host 192.168.253.53 gt 1023 host 192.168.253.57 gt 1023udp 192.168.253.0 0.0.0.255 host 192.168.254.57 eq ntpaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-list113113113113113113113113permit tcp host 192.168.253.54 eq tacacs host 192.168.253.57 gt 1023permit icmp 192.168.253.0 0.0.0.255 host 172.16.224.23permit icmp 192.168.253.0 0.0.0.255 host 172.16.224.24permit tcp 192.168.253.0 0.0.0.255 host 172.16.224.23 eq telnetpermit tcp 192.168.253.0 0.0.0.255 host 172.16.224.24 eq telnetpermit udp host 192.168.253.51 host 172.16.224.23 eq snmppermit udp host 192.168.253.51 host 172.16.224.24 eq snmpdeny ip any any logСледующая конфигурация определяет параметры доступа для трафика, входящего из производственнойсети.

Разрешается доступ только для защищенного трафика, поскольку только такой трафик допускается в модуль управления из производственной сети. Первые четыре строки определяют параметры доступа для защищенного трафика. После дешифрации, прежде чем получить доступ к модулю управления,трафик должен снова пройти через список доступа.access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-list112112112112112112112112112112112112112112112112112permit esp host 172.16.224.23 host 10.1.20.57permit esp host 172.16.224.24 host 10.1.20.57permit udp host 172.16.224.24 host 10.1.20.57 eq isakmppermit udp host 172.16.224.23 host 10.1.20.57 eq isakmppermit udp host 172.16.224.24 host 192.168.253.56 eq syslogpermit udp host 172.16.224.23 host 192.168.253.56 eq syslogpermit udp host 172.16.224.24 host 192.168.253.51 eq syslogpermit udp host 172.16.224.23 host 192.168.253.51 eq syslogpermit udp host 172.16.224.24 host 192.168.253.53 eq tftppermit udp host 172.16.224.23 host 192.168.253.53 eq tftppermit udp host 172.16.224.24 host 192.168.253.57 eq ntppermit udp host 172.16.224.23 host 192.168.253.57 eq ntppermit tcp host 172.16.224.24 host 192.168.253.54 eq tacacspermit tcp host 172.16.224.23 host 192.168.253.54 eq tacacspermit icmp host 172.16.224.24 192.168.253.0 0.0.0.255 echo-replypermit icmp host 172.16.224.23 192.168.253.0 0.0.0.255 echo-replydeny ip any any logŇÁÓ‚˚È ÏÓ‰ÛθИспользуемые продукты●Коммутаторы Уровня 3 Cisco Catalyst 6500 Layer 3 Switches67ê‡ÒÔ‰ÂÎËÚÂθÌ˚È ÏÓ‰Ûθ Á‰‡ÌËflИспользуемые продукты●Коммутаторы Уровня 3 Cisco Catalyst 6500 Layer 3 SwitchesêËÒÛÌÓÍ 75.

ŇÁÓ‚˚È ÏÓ‰ÛθEL3SW-5Следующая конфигурация определяет параметры контроля доступа на Уровне 3 для связи между подсетями данного модуля.VLAN 5 определяет подсеть маркетинга, VLAN 6 определяет подсеть НИОКР (R&D), VLAN 7 определяет IP-телефоны сети маркетинга, а VLAN 8 определяет IP-телефоны сети НИОКР.interface Vlan5ip address 10.1.5.5 255.255.255.0ip access-group 105 in!êËÒÛÌÓÍ 76. ê‡ÒÔ‰ÂÎËÚÂθÌ˚È ÏÓ‰Ûθ Á‰‡ÌËflinterface Vlan6ip address 10.1.6.5 255.255.255.0ip access-group 106 in!interface Vlan7ip address 10.1.7.5 255.255.255.0ip access-group 107 in!interface Vlan8ip address 10.1.8.5 255.255.255.0ip access-group 108 in!access-list 105 deny ip 10.1.5.0 0.0.0.255 10.1.6.0 0.0.0.255access-list 105 deny ip 10.1.5.0 0.0.0.255 10.1.7.0 0.0.0.255access-list 105 deny ip 10.1.5.0 0.0.0.255 10.1.8.0 0.0.0.255access-list 105 deny ip 10.1.5.0 0.0.0.255 10.1.16.0 0.0.0.255access-list 105 permit ip 10.1.5.0 0.0.0.255 anyaccess-list 105 deny ip any any logaccess-list 106 deny ip 10.1.6.0 0.0.0.255 10.1.5.0 0.0.0.255access-list 106 deny ip 10.1.6.0 0.0.0.255 10.1.7.0 0.0.0.255access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-list106106106106106107107107107108108108108deny ip 10.1.6.0 0.0.0.255 10.1.8.0 0.0.0.255deny ip 10.1.6.0 0.0.0.255 10.1.15.0 0.0.0.255deny ip 10.1.6.0 0.0.0.255 10.1.16.0 0.0.0.255permit ip 10.1.6.0 0.0.0.255 anydeny ip any any logpermit ip 10.1.7.0 0.0.0.255 10.1.8.0 0.0.0.255permit ip 10.1.7.0 0.0.0.255 10.1.16.0 0.0.0.255permit ip 10.1.7.0 0.0.0.255 host 10.1.11.50deny ip any any logpermit ip 10.1.8.0 0.0.0.255 10.1.7.0 0.0.0.255permit ip 10.1.8.0 0.0.0.255 10.1.16.0 0.0.0.255permit ip 10.1.8.0 0.0.0.255 host 10.1.11.50deny ip any any logåÓ‰Ûθ ‰ÓÒÚÛÔ‡ Á‰‡ÌËflИспользуемые продукты●●Коммутаторы Уровня 2 Cisco Catalyst 4003 Layer 2 SwitchesIP-телефон Cisco IP PhoneEL2SW-11 и 12Следующая конфигурация показывает некоторые настройкиVLAN на коммутаторах Уровня 2, установленных в данном модуле.Заметим, что ненужные порты отключаются и настраиваются нанесуществующую сеть VLAN.

Транкинг также отключается навсех портах, кроме тех, к которым подключены IP-телефоны. Наэтих портах транкинг используется для разделения VLAN междуIP-телефоном и рабочей станцией.setsetsetsetsetsetset68êËÒÛÌÓÍ 78. åÓ‰Ûθ Á‰‡ÌËflvlan 5 2/5,2/17vlan 6 2/6,2/18vlan 99 2/34vlan 999 2/1-3,2/7-16,2/19-33port disable 2/7-33trunk 2/1-34 offtrunk 2/4 on dot1q 1,5-8ëÂ‚ÂÌ˚È ÏÓ‰ÛθИспользуемые продукты●●●●Коммутаторы Уровня 3 Cisco Catalyst 6500 Layer 3 switchesУровень распознавания атак Cisco Catalyst 6500 IntrusionDetection ModuleCisco Call ManagerCiscoSecure Host IDSEL3SW-1 и 2êËÒÛÌÓÍ 79.

ëÂ‚ÂÌ˚È ÏÓ‰ÛθСледующая конфигурация определяет параметры частныхVLAN на некоторых портах одной и той же сети VLAN. Эта конфигурация не позволяет внутреннемусерверу электронной почты связываться с корпоративным сервером.! CAT OS Config!#private vlansset pvlan 11 437set pvlan 11 437 3/3-4,3/14set pvlan mapping 11 437 15/1!! MSFC Config!interface Vlan11ip address 10.1.11.1 255.255.255.0ip access-group 111 inno ip redirectsСледующая конфигурация определяет параметры фильтрации на нескольких интерфейсах этого модуля, включая фильтрацию RFC 2827.interface Vlan11ip address 10.1.11.1 255.255.255.0ip access-group 111 in!interface Vlan15ip address 10.1.15.1 255.255.255.0ip access-group 115 in!interface Vlan16ip address 10.1.16.1 255.255.255.0ip access-group 116 inip access-group 126 out!access-list 111 permit ip 10.1.11.0 0.0.0.255 anyaccess-list 111 deny ip any any logaccess-list 115 permit ip 10.1.15.0 0.0.0.255 anyaccess-list 115 deny ip any any logaccess-list 116 permit ip 10.1.16.0 0.0.0.255 10.1.7.0 0.0.0.255access-list 116 permit ip 10.1.16.0 0.0.0.255 10.1.8.0 0.0.0.255access-list 116 permit ip 10.1.16.0 0.0.0.255 10.1.11.0 0.0.0.255access-list 116 deny ip any any logaccess-list 126 permit ip 10.1.7.0 0.0.0.255 10.1.16.0 0.0.0.255access-list 126 permit ip 10.1.8.0 0.0.0.255 10.1.16.0 0.0.0.255access-list 126 permit ip 10.1.11.0 0.0.0.255 10.1.16.0 0.0.0.255Следующая конфигурация определяет capture port для модуля Cat 6000 IDS:#module 4 : 2-port Intrusion Detection Systemset module name 4set module enable 4set vlan 1 4/1set vlan 99 4/2set port name 4/1 Sniff-4set port name 4/2 CandC-4set trunk 4/1 nonegotiate dot1q 1-1005,1025-4094set security acl capture-ports 4/1èÂËÙÂËÈÌ˚È ‡ÒÔ‰ÂÎËÚÂθÌ˚È ÏÓ‰ÛθИспользуемые продукты●Коммутаторы Уровня 3 Cisco Catalyst 6500 Layer 3 SwitchäÓÔÓ‡ÚË‚Ì˚È ÏÓ‰Ûθ àÌÚÂÌÂÚИспользуемые продукты●●●●●●Межсетевой экран Cisco Secure PIX FirewallСенсор CSIDSКоммутаторы Уровня 2 Catalyst 3500 Layer 2 switchesМаршрутизатор Cisco 7100 IOS RouterCiscoSecure Host IDSСервер фильтрации URL Websense URL Filtering ServerêËÒÛÌÓÍ 81.

äÓÔÓ‡ÚË‚Ì˚È ÏÓ‰Ûθ àÌÚÂÌÂÚêËÒÛÌÓÍ 80. èÂËÙÂËÈÌ˚È ‡ÒÔ‰ÂÎËÚÂθÌ˚ÈÏÓ‰Ûθ69EPIX-31 и 33Следующая конфигурация определяет детали контроля доступа на межсетевом экране PIX. Имя спискадоступа определяет местонахождение входящего ACL. «In» означает «входящий», «Out» – «исходящий»,«pss» означает сегмент общего доступа (DMZ), «url» – сегмент фильтрации содержания, а «mgmt» – интерфейс ООВ.70access-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listout deny ip any 192.168.254.0 255.255.255.0out deny ip any 192.168.253.0 255.255.255.0out permit icmp any any echo-replyout permit tcp any host 172.16.225.52 eq wwwout permit tcp any host 172.16.225.52 eq ftpout permit tcp any host 172.16.225.50 eq smtpout permit udp any host 172.16.225.51 eq domainout permit esp host 172.16.224.23 host 172.16.224.57out permit esp host 172.16.224.24 host 172.16.224.57out permit udp host 172.16.224.23 host 172.16.224.57 eq isakmpout permit udp host 172.16.224.24 host 172.16.224.57 eq isakmpin deny ip any 192.168.254.0 255.255.255.0in deny ip any 192.168.253.0 255.255.255.0in permit icmp any any echoin permit udp host 10.1.11.50 host 172.16.225.51 eq domainin permit tcp 10.0.0.0 255.0.0.0 host 172.16.225.52 eq wwwin permit tcp 10.0.0.0 255.0.0.0 host 10.1.103.50 eq 15871in permit tcp host 10.1.11.51 host 172.16.225.50 eq smtpin permit tcp host 10.1.11.51 host 172.16.225.50 eq 20389in permit tcp 10.0.0.0 255.0.0.0 host 172.16.225.52 eq ftpin deny ip any 172.16.225.0 255.255.255.0in permit ip 10.0.0.0 255.0.0.0 anyin permit esp host 10.1.20.57 host 172.16.224.23in permit esp host 10.1.20.57 host 172.16.224.24in permit udp host 10.1.20.57 host 172.16.224.23 eq isakmpin permit udp host 10.1.20.57 host 172.16.224.24 eq isakmppss deny ip any 192.168.254.0 255.255.255.0pss deny ip any 192.168.253.0 255.255.255.0pss permit tcp host 172.16.225.50 host 10.1.11.51 eq 20025pss permit tcp host 172.16.225.50 host 10.1.11.51 eq 20389pss deny ip 172.16.225.0 255.255.255.0 10.0.0.0 255.0.0.0pss permit tcp host 172.16.225.50 any eq smtppss permit udp host 172.16.225.51 any eq domainurl permit udp host 10.1.103.50 host 172.16.225.51 eq domainurl permit ip any anymgmt permit icmp 192.168.253.0 255.255.255.0 anyEIOS-23 и 24Эта конфигурация определяет детали команд протокола HSRP (hot standby router protocol) на многих маршрутизаторах, использующих HSRP для обеспечения отказоустойчивости.interface FastEthernet0/0ip address 172.16.226.23 255.255.255.0standby 2 timers 5 15standby 2 priority 110 preempt delay 2standby 2 authentication k&>9NG@6standby 2 ip 172.16.226.100standby 2 track ATM4/0 50Следующая конфигурация устанавливает параметры защищенного сетевого управления по основномуканалу связи с модулем управления:crypto isakmp policy 1encr 3desauthentication pre-sharegroup 2crypto isakmp key A%Xr)7,_) address 172.16.224.57!crypto ipsec transform-set vpn_module_mgmt esp-3des esp-sha-hmac!crypto map mgmt1 100 ipsec-isakmpset peer 172.16.224.57set transform-set vpn_module_mgmtmatch address 103access-list 103 permit ip host 172.16.224.23 192.168.253.0 0.0.0.255access-list 103 permit udp host 172.16.224.23 192.168.254.0 0.0.0.255ACL для трафика, поступающего из корпоративной сети:access-list 112 permit udp host 172.16.224.57 host 172.16.224.23 eq isakmpaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-listaccess-list112112112112112112112112112112112112permit esp host 172.16.224.57 host 172.16.224.23permit tcp 192.168.253.0 0.0.0.255 host 172.16.224.23 establishedpermit udp 192.168.253.0 0.0.0.255 host 172.16.224.23 gt 1023permit tcp 192.168.253.0 0.0.0.255 host 172.16.224.23 eq telnetpermit udp host 192.168.253.51 host 172.16.224.23 eq snmppermit udp host 192.168.254.57 host 172.16.224.23 eq ntppermit icmp any anydeny ip any host 172.16.224.23 logdeny ip any host 172.16.226.23 logdeny ip any host 172.16.145.23 logpermit ip 172.16.224.0 0.0.0.255 anypermit ip 172.16.225.0 0.0.0.255 anyACL для трафика, поступающего от провайдера (ISP).

Характеристики

Список файлов лекций