Security (1027395), страница 30

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 30)

åÓ‰Ûθ ÚÂËÚÓˇθÌ˚ı ÒÂÚÂÈ73access-list 110 deny ip any 192.168.254.0 0.0.0.255 logaccess-list 110 permit ospf any anyaccess-list 110 permit ip 10.2.0.0 0.0.255.255 10.1.0.0 0.0.255.255access-list 110 permit ip 10.2.0.0 0.0.255.255 10.3.0.0 0.0.255.255access-list 110 permit ip 10.2.0.0 0.0.255.255 10.4.0.0 0.0.255.255access-list 110 permit ip 10.2.0.0 0.0.255.255 172.16.224.0 0.0.7.255access-list 110 deny ip any any log!! Inbound from the Campus!access-list 111 deny ip any 192.168.253.0 0.0.0.255 logaccess-list 111 deny ip any 192.168.254.0 0.0.0.255 logaccess-list 111 permit ospf any anyaccess-list 111 permit ip 10.1.0.0 0.0.255.255 10.2.0.0 0.0.255.255access-list 111 permit ip 10.3.0.0 0.0.255.255 10.2.0.0 0.0.255.255access-list 111 permit ip 10.4.0.0 0.0.255.255 10.2.0.0 0.0.255.255access-list 111 permit ip 172.16.224.0 0.0.7.255 10.2.0.0 0.0.255.255access-list 111 deny ip any any logëÂÚ¸ χÎÓ„Ó Ô‰ÔËflÚËflНиже приведены примеры конфигурации для сети малого предприятия.åÓ‰Ûθ àÌÚÂÌÂÚИспользуемые продукты●●●●Коммутатор уровня 2 Cisco Catalyst(sCAT-1)Маршрутизатор Cisco IOS Router споддержкой протокола IPsec (sIOS-1)Межсетевой экран Cisco Secure PIXFirewall (sPIX-1)Система обнаружения вторженийCiscoSecure Host IDSêËÒÛÌÓÍ 84.

ÑËÁ‡ÈÌ ÏÓ‰ÛÎfl àÌÚÂÌÂÚsIOS-174Эта конфигурация показывает списки доступа на пограничном маршрутизаторе предприятия, контролирующие входящий и исходящий трафики.Основные команды встроенной в IOS системы обнаружения вторжений. Для отчетов используется протокол syslog.ipipipipauditauditauditauditattack action alarm drop resetnotify logname alarm1 info action alarmname alarm1 attack action alarm dropКонфигурация IPSec для подключения удаленных подразделений:crypto isakmp policy 1encr 3desauthentication pre-sharegroup 2crypto isakmp key 7Q!r$y$+xE address 172.16.128.2crypto isakmp key 7Q!r$y$+xE address 172.16.128.5!!crypto ipsec transform-set remote1 esp-3des esp-sha-hmac!crypto map ent1 30 ipsec-isakmpset peer 172.16.128.2set transform-set remote1match address 107crypto map ent1 40 ipsec-isakmpset peer 172.16.128.5set transform-set remote1match address 108Списки доступа указывают, что как пользовательский трафик, так и трафик управления должны быть зашифрованы.access-listaccess-listaccess-listaccess-list107107108108permitpermitpermitpermitipipipip10.4.0.0 0.0.255.255host 10.4.1.253 host10.4.0.0 0.0.255.255host 10.4.1.253 host10.5.0.0 0.0.255.255172.16.128.210.6.0.0 0.0.255.255172.16.128.5Настройки внутреннего интерфейса маршрутизатора, включая трансляцию адресов, межсетевой экран и обнаружение вторжений.interface FastEthernet0/0description Inside Interfaceip address 10.4.1.1 255.255.255.0ip access-group 109 inip nat insideip inspect smbranch_fw inip audit alarm1 inРазрешение на использование протокола ICMP из внутренней сети:access-list 109 permit icmp any any echoРазрешение взаимодействия внутреннего сервера DNS с публичным сервером DNS:access-list 109 permit udp host 10.4.1.201 host 10.4.2.50 eq domainРазрешение внутренним пользователям доступа к внешним сервисам, таким как HTTP, SSL и FTP:access-list 109 permit tcp 10.4.0.0 0.0.255.255 host 10.4.2.50 eq wwwaccess-list 109 permit tcp 10.4.0.0 0.0.255.255 host 10.4.2.50 eq 443access-list 109 permit tcp 10.4.0.0 0.0.255.255 host 10.4.2.50 eq ftpРазрешение взаимодействия внутреннего почтового сервера с внешним:access-list 109 permit tcp host 10.4.1.201 host 10.4.2.50 eq smtpДоступ по протоколу telnet от станции управления к коммутатору:access-list 109 permit tcp host 10.4.1.253 host 10.4.2.4 eq telnetЗапрещение всех остальных типов доступа и протоколов:access-list 109 deny ip any 10.4.2.0 0.0.0.255Разрешение синхронизации сетевого времени между маршрутизатором sIOS-1 и коммутатором sCAT-2:access-list 109 permit udp host 10.4.1.4 host 10.4.1.1 eq ntpРазрешение доступа к маршрутизатору от станции управления по протоколу SSH:access-list 109 permit tcp host 10.4.1.253 host 10.4.1.1 eq 22Разрешение установленных соединений между станцией управления и маршрутизатором:access-list 109 permit tcp host 10.4.1.253 eq tacacs host 10.4.1.1 establishedРазрешение протокола TFTP между станцией управления и маршрутизатором:access-list 109 permit udp host 10.4.1.253 gt 1023 host 10.4.1.1 gt 1023Блокировать все остальные типы доступа к маршрутизатору из внутренней сети:access-list 109 deny ip 10.4.0.0 0.0.255.255 host 10.4.1.1access-list 109 deny ip 10.4.0.0 0.0.255.255 host 172.16.132.2Разрешить выход всем остальным внутренним устройствам в Интернет:access-list 109 permit ip 10.4.0.0 0.0.255.255 anyБлокировать весь остальной трафик:access-list 109 deny ip any any logНастройки публичного интерфейса маршрутизатора, включая функции трансляции адресов, системы обнаружениявторжений и межсетевого экрана.interface FastEthernet0/1description DMZ Interfaceip address 10.4.2.1 255.255.255.0ip access-group 105 inno ip redirectsip nat insideip inspect smbranch_fw inip audit alarm1 inРазрешение синхронизации времени между коммутатором sCAT-1 и маршрутизатором sIOS-1:access-list 105 permit udp host 10.4.2.4 host 10.4.2.1 eq ntpВзаимодействие по протоколам TACACS+, TFTP и syslog между коммутатором sCAT-1 и станцией управления:access-list 105 permit tcp host 10.4.2.4 host 10.4.1.253 eq tacacsaccess-list 105 permit udp host 10.4.2.4 host 10.4.1.253 eq tftpaccess-list 105 permit udp host 10.4.2.4 host 10.4.1.253 eq syslogРазрешение передачи управляющего трафика хостовой системы обнаружения вторжений от публичных серверов кстанции управления:access-list 105 permit tcp host 10.4.2.50 host 10.4.1.253 eq 500075Разрешение внешнему почтовому серверу посылать почту на внутренний почтовый сервер:access-list 105 permit tcp host 10.4.2.50 host 10.4.1.201 eq smtpЗапретить все остальные типы соединений из зоны публичных серверов во внутреннюю сеть:access-list 105 deny ip any 10.4.0.0 0.0.255.255Разрешить почтовый и DNS трафик из зоны публичных серверов:access-list 105 permit tcp host 10.4.2.50 any eq smtpaccess-list 105 permit udp host 10.4.2.50 any eq domainЗапретить весь остальной трафик и вести журнал учета:access-list 105 deny ip any any logНастройки внешнего интерфейса маршрутизатора, включая трансляцию адресов, обнаружение вторжений, межсетевой экран и ВЧС.interface Serial1/0description Outside Interfaceip address 172.16.132.2 255.255.255.0ip access-group 103 inno ip redirectsip nat outsideip inspect smbranch_fw inip audit alarm1 incrypto map ent1Разрешить трафик от удаленных подразделений:access-list 103 permit ip 10.5.0.0 0.0.255.255 10.4.0.0 0.0.255.255access-list 103 permit ip 10.6.0.0 0.0.255.255 10.4.0.0 0.0.255.255Фильтрование по RFC 1918.

Примечание: сеть 172.16.x.x не включена в список, потому что использовалась как сетьИнтернет-провайдера в данном примере:access-list 103 deny ip 10.0.0.0 0.255.255.255 anyaccess-list 103 deny ip 192.168.0.0 0.0.255.255 anyРазрешить пакеты ICMP echo-reply из сети провайдера:access-list 103 permit icmp any 172.16.132.0 0.0.0.255 echo-reply76Разрешить пакеты ICMP, необходимые для работы path MTU discovery (PMTUD):access-list 103 permit icmp any 172.16.132.0 0.0.0.255 unreachableРазрешить трафик ВЧС от удаленных подразделений:access-listaccess-listaccess-listaccess-list103103103103permitpermitpermitpermitespudpespudphosthosthosthost172.16.128.2172.16.128.2172.16.128.5172.16.128.5hosthosthosthost172.16.132.2172.16.132.2 eq isakmp172.16.132.2172.16.132.2 eq isakmpРазрешить трафик управления удаленными подразделениями:access-listaccess-listaccess-listaccess-listaccess-list103103103103103permitpermitpermitpermitpermittcpudpudptcpudphosthosthosthosthost172.16.128.2172.16.128.2172.16.128.2172.16.128.5172.16.128.5hosthosthosthosthost10.4.1.25310.4.1.25310.4.1.25310.4.1.25310.4.1.253eqeqeqeqeqtacacssyslogtftptacacssyslogaccess-list 103 permit udp host 172.16.128.5 host 10.4.1.253 eq tftpРазрешить доступ к публичному сегменту по протоколам DNS, FTP, HTTP, SSL и почте:access-listaccess-listaccess-listaccess-listaccess-list103103103103103permitpermitpermitpermitpermitudptcptcptcptcpanyanyanyanyanyhosthosthosthosthost172.16.132.50172.16.132.50172.16.132.50172.16.132.50172.16.132.50eqeqeqeqeqdomainftpwww443smtpЗапретить весь остальной трафик и вести его учет:access-list 103 deny ip any any logНастройка трансляции сетевых адресов.

Создание пула публичных адресов, которые будут использоваться внутренними устройствами при выходе в Интернет.ip nat pool small_pool 172.16.132.101 172.16.132.150 netmask 255.255.255.0ip nat inside source route-map nat_internet pool small_poolСтатическая трансляция сетевых адресов для публичных серверов, доступных из Интернет.ip nat inside source static 10.4.2.50 172.16.132.50!route-map nat_internet permit 10match ip address 104Не использовать трансляцию адресов для взаимодействия внутренних устройств между собой или трафика управления:access-listaccess-listaccess-listaccess-list!104104104104deny ip 10.4.0.0 0.0.255.255deny ip host 10.4.1.253 hostdeny ip host 10.4.1.253 hostpermit ip 10.4.1.0 0.0.0.25510.0.0.0 0.255.255.255172.16.128.2172.16.128.5anyИзменения в том случае, если малое предприятие является подразделением крупного предприятияПриведенная ниже конфигурация отображает те изменения, которые надо сделать для подключениямалой сети к основной сети предприятия, используя резервированное подключение ВЧС.Настройки политик шифрования.crypto isakmp policy 1encr 3desauthentication pre-sharegroup 2crypto isakmp key 7Q!r$y$+xE address 172.16.226.28crypto isakmp key 7Q!r$y$+xE address 172.16.226.27!!crypto ipsec transform-set 3dessha esp-3des esp-sha-hmacmode transport!crypto map ent1 10 ipsec-isakmpset peer 172.16.226.28set transform-set 3desshamatch address 101crypto map ent1 20 ipsec-isakmpset peer 172.16.226.27set transform-set 3desshamatch address 102!access-list 101 permit gre host 172.16.132.2 host 172.16.226.28access-list 102 permit gre host 172.16.132.2 host 172.16.226.27Настройки туннельного протокола GRE.interface Tunnel0bandwidth 8ip address 10.1.249.2 255.255.255.0tunnel source 172.16.132.2tunnel destination 172.16.226.27crypto map ent1!interface Tunnel1ip address 10.1.248.2 255.255.255.0tunnel source 172.16.132.2tunnel destination 172.16.226.28crypto map ent1Привязка ВЧС к физическому интерфейсу.interface Serial1/0ip address 172.16.132.2 255.255.255.0ip access-group 103 incrypto map ent1Список доступа должен быть модифицирован для пропуска трафика ВЧС IPsec и GRE от головного офиса.access-listaccess-listaccess-listaccess-list103103103103permitpermitpermitpermitgregreespudphosthosthosthost172.16.226.28172.16.226.27172.16.226.27172.16.226.27hosthosthosthost172.16.132.2172.16.132.2172.16.132.2172.16.132.2 eq isakmpaccess-list 103 permit esp host 172.16.226.28 host 172.16.132.2access-list 103 permit udp host 172.16.226.28 host 172.16.132.2 eq isakmpВся конфигурация, связанная с другими удаленными подразделениями, должна быть удалена.access-listaccess-listaccess-listaccess-listaccess-listaccess-list103103103103103103deny ip 10.0.0.0 0.255.255.255 anydeny ip 192.168.0.0 0.0.255.255 anypermit udp any host 172.16.132.50 eqpermit tcp any host 172.16.132.50 eqpermit tcp any host 172.16.132.50 eqpermit tcp any host 172.16.132.50 eqdomainftpwww44377access-listaccess-listaccess-listaccess-list103103103103permit tcp any host 172.16.132.50 eq smtppermit icmp any 172.16.132.0 0.0.0.255 echo-replypermit icmp any 172.16.132.0 0.0.0.255 unreachabledeny ip any any logНебольшие изменения в других списках доступа тоже требуются, но не показаны.sPIX-1Приведенная ниже конфигурация детализирует настройки списков доступа и ВЧС, когда в качестве головного устройства в малой сети используется межсетевой экран PIX Firewall.

Характеристики

Список файлов лекций