1

Решения компанииCisco Systemsпо обеспечениюбезопасности

Автор: Мерике Кео, Сетевой Архитектор

Адаптация: Михаил Кадер, Системный Инженер

2

СодержаниеВВЕДЕНИЕ ............................................................................................................................................5

ТЕРМИНОЛОГИЯ ...............................................................................................................................5

ТРЕБОВАНИЯ К БЕЗОПАСНОСТИ СОВРЕМЕННЫХ СЕТЕЙ...............................................6

“МАСКАРАД” ........................................................................................................................................6ПОДСЛУШИВАНИЕ ................................................................................................................................6МАНИПУЛИРОВАНИЕ ДАННЫМИ ..........................................................................................................6ОТКАЗ ОТ ОБСЛУЖИВАНИЯ (DENIAL OF SERVICE - DOS)......................................................................6

ОСНОВЫ БЕЗОПАСНОСТИ ДАННЫХ .........................................................................................7

КРИПТОГРАФИЯ ....................................................................................................................................7СИММЕТРИЧНОЕ ШИФРОВАНИЕ ...........................................................................................................7АСИММЕТРИЧНОЕ ШИФРОВАНИЕ .........................................................................................................9БЕЗОПАСНЫЕ ХЭШ-ФУНКЦИИ.............................................................................................................10ПРИМЕНЕНИЯ ТЕХНОЛОГИИ ШИФРОВАНИЯ .......................................................................................11АЛГОРИТМ ДИФФИ-ХЕЛЛМАНА .........................................................................................................11ЦИФРОВЫЕ ПОДПИСИ .........................................................................................................................13ЦИФРОВЫЕ СЕРТИФИКАТЫ .................................................................................................................14

ТЕХНОЛОГИИ БЕЗОПАСНОСТИ ДАННЫХ.............................................................................16

ТЕХНОЛОГИИ ИДЕНТИФИКАЦИИ ...........................................................................................17

S/KEY..................................................................................................................................................17ИДЕНТИФИКАЦИЯ С ПОМОЩЬЮ АППАРАТНЫХ СРЕДСТВ (TOKEN PASSWORD AUTHENTICATION).....19ИДЕНТИФИКАЦИЯ PPP .......................................................................................................................20ПРОТОКОЛ PPP PAP...........................................................................................................................20ПРОТОКОЛ PPP CHAP........................................................................................................................21ПРОТОКОЛ PPP EAP...........................................................................................................................23RADIUS..............................................................................................................................................27KERBEROS (ЦЕРБЕР) ...........................................................................................................................29DCE ....................................................................................................................................................32

ТЕХНОЛОГИИ ЦЕЛОСТНОСТИ И КОНФИДЕНЦИАЛЬНОСТИ........................................33

SSL .....................................................................................................................................................33SSH.....................................................................................................................................................34S-HTTP...............................................................................................................................................35SOCKS................................................................................................................................................36IPSEC ..................................................................................................................................................37X.509 ..................................................................................................................................................42

ТЕХНОЛОГИИ УДАЛЕННОГО ДОСТУПА К ВИРТУАЛЬНЫМ ЧАСТНЫМ СЕТЯМ ...47

L2F......................................................................................................................................................47PPTP ...................................................................................................................................................47L2TP ...................................................................................................................................................48

СЕРВИС ДИРЕКТОРИИ И ТЕХНОЛОГИИ НАИМЕНОВАНИЯ ...........................................49

LDAP..................................................................................................................................................49DNSSEC .............................................................................................................................................51

РАЗРАБОТКА ПОЛИТИКИ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ..........................................51

ПОЛИТИКА В ОТНОШЕНИИ ИНФОРМАЦИИ..........................................................................................53

ДОСТУП ВНУТРЕННЕГО КОМПЛЕКСА ...................................................................................53

ИДЕНТИЧНОСТЬ ..................................................................................................................................54

3

ЦЕЛОСТНОСТЬ.....................................................................................................................................54АКТИВНЫЙ АУДИТ ..............................................................................................................................55

ВНЕШНИЙ УДАЛЕННЫЙ ДОСТУП............................................................................................55

ИДЕНТИЧНОСТЬ ..................................................................................................................................55ЦЕЛОСТНОСТЬ.....................................................................................................................................55АКТИВНЫЙ АУДИТ ..............................................................................................................................55

ВНЕШНИЙ ДОСТУП СЕТИ ИНТЕРНЕТ.....................................................................................56

ИДЕНТИЧНОСТЬ ..................................................................................................................................56ЦЕЛОСТНОСТЬ.....................................................................................................................................56АКТИВНЫЙ АУДИТ ..............................................................................................................................56

СУЩЕСТВУЮЩИЕ РАЗРАБОТКИ CISCO ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИСЕТИ ПРЕДПРИЯТИЯ .....................................................................................................................57

ИДЕНТИЧНОСТЬ ..................................................................................................................................57CISCO PPP PAP/PPP CHAP ...............................................................................................................58КЛИЕНТЫ CISCO TACACS+/RADIUS ...............................................................................................58СЕРВЕРЫ CISCO TACACS+/RADIUS ................................................................................................58CISCOSECURE EASYACS.....................................................................................................................58CISCOSECURE ACS ДЛЯ WINDOWS NT...............................................................................................59CISCOSECURE ACS ДЛЯ UNIX ...........................................................................................................59CISCOSECURE GRS ДЛЯ UNIX ...........................................................................................................59

ИДЕНТИФИКАЦИЯ CISCO FIREWALL......................................................................................62

CISCO IOS LOCK AND KEY..................................................................................................................62PIX CUT-THROUGH PROXY.................................................................................................................63CISCO IOS KERBEROS .........................................................................................................................64

ЦЕЛОСТНОСТЬ.................................................................................................................................66

БЕЗОПАСНЫЙ ДОСТУП И КОНФИГУРАЦИЯ ..........................................................................................66УСОВЕРШЕНСТВОВАНИЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ.......................................66БЕЗОПАСНАЯ РАБОЧАЯ ГРУППА ..........................................................................................................67БЕЗОПАСНОСТЬ ПЕРИМЕТРА ...............................................................................................................67БЕЗОПАСНАЯ МАРШРУТИЗАЦИЯ .........................................................................................................68БЕЗОПАСНАЯ ПЕРЕСЫЛКА ДАННЫХ....................................................................................................69

АКТИВНЫЙ АУДИТ.........................................................................................................................70

СРЕДСТВА NETSYS..............................................................................................................................70СКАНЕР УЯЗВИМОСТИ СИСТЕМЫ БЕЗОПАСНОСТИ NETSONAR...........................................................70СРЕДСТВА РАСЧЕТА И УПРАВЛЕНИЯ...................................................................................................71СРЕДСТВА РАСЧЕТА ПРОТОКОЛОВ TACACS+ И RADIUS ................................................................71ПРОГРАММНЫЙ КОМПОНЕНТ CISCO IOS ROUTER NETFLOW.............................................................71CISCO ENTERPRISE ACCOUNTING ДЛЯ NETFLOW ................................................................................72ЦЕНТРАЛИЗОВАННОЕ УПРАВЛЕНИЕ PIX ............................................................................................72MЕНЕДЖЕР РЕСУРСОВ CISCO..............................................................................................................72СРЕДСТВА РЕГИСТРАЦИИ ОШИБОК .....................................................................................................73

Syslog..............................................................................................................................................73СРЕДСТВА СДЕРЖИВАНИЯ НАПАДЕНИЙ ТИПА «ОТКАЗ В СЕРВИСЕ» DENIAL-OF-SERVICE DETERRENTS............................................................................................................................................................73НАПАДЕНИЯ ТИПА SYN FLOOD..........................................................................................................73НАПАДЕНИЕ ТИПА PING-OF-DEATH .....................................................................................................75НАПАДЕНИЕ ТИПА SMTP FLOODING (БОМБЫ ДЛЯ ЭЛЕКТРОННОЙ ПОЧТЫ).......................................76ЗЛОБНЫЕ АППЛЕТЫ.............................................................................................................................76

ДОПОЛНИТЕЛЬНЫЕ ПЕРСПЕКТИВНЫЕ ФУНКЦИОНАЛЬНЫЕ ВОЗМОЖНОСТИПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ .....................................................................................76

СОВРЕМЕННЫЕ СЦЕНАРИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ ....77

4

СЦЕНАРИЙ 1:НЕОБХОДИМОСТЬ В МИНИМАЛЬНОЙ БЕЗОПАСНОСТИ ..................................................77Политика безопасности ..............................................................................................................78Обеспечение политики .................................................................................................................78

ПОДКЛЮЧЕНИЕ К СЕТИ ИНТЕРНЕТ .....................................................................................................79ПОДКЛЮЧЕНИЕ УДАЛЕННОГО ДОСТУПА ............................................................................................80ПОДКЛЮЧЕНИЕ КОМПЛЕКСА..............................................................................................................83СЦЕНАРИЙ 2: НЕОБХОДИМОСТЬ В БЕЗОПАСНОСТИ ПРОМЕЖУТОЧНОГО УРОВНЯ ..............................84Политика безопасности ..............................................................................................................84Обеспечение политики .................................................................................................................85Команды конфигурации PIX ........................................................................................................88Команды конфигурации Cisco IOS Router/Firewall....................................................................89Команды конфигурации маршрутизатора ................................................................................92Команды конфигурации коммутатора ......................................................................................93

СЦЕНАРИЙ 3 : НЕОБХОДИМОСТЬ СТРОГОЙ СИСТЕМЫ БЕЗОПАСНОСТИ ..............................................94Политика безопасности ..............................................................................................................94Обеспечение политики .................................................................................................................95Команды конфигурации PIX ........................................................................................................97Команды конфигурации маршрутизатора отделения компании ............................................98Команды конфигурации маршрутизатора ..............................................................................100

РЕЗЮМЕ ............................................................................................................................................101

ПРИЛОЖЕНИЕ А: ИСТОЧНИКИ ИНФОРМАЦИИ CISCO В ОБЛАСТИБЕЗОПАСНОСТИ ............................................................................................................................102

РУКОВОДСТВА CISCO ПО КОНФИГУРАЦИИ ДЛЯ ПРОГРАММНЫХ ПРОДУКТОВ В ОБЛАСТИОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ И ДЛЯ СООТВЕТСТВУЮЩИХ ПРОГРАММНЫХ КОМПОНЕНТОВ: .......102ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ....................................................................................................102

5

ВведениеВ сетевой отрасли все большее распространение получает термин “безопасность сетейпредприятия”. Безопасность сетей является сложным вопросом отчасти из-за того, что всовременном мире существует великое множество технологий безопасности, многие изкоторых решают сходные задачи и представляют собой лишь ступень на пути к болееполным стратегическим решениям в данной области. В настоящем документе даетсяобзор технологий безопасности, который даст читателям общее представление оперспективах безопасности сетей и о том, как можно использовать продукты и средствакомпании Cisco для создания защищенных сетей предприятий. Этот документ можетиспользоваться в сочетании с так называемыми “белыми книгами” (White Papers) Ciscoи документацией, где детально описываются продукты и средства, упоминаемые в этомтексте.

В первом разделе поясняются элементарные термины и обсуждаются причины,приводящие к необходимости защиты современных сетей. Затем описываются базовыепонятия криптографии и различные методы поддержки безопасности, которые широкоприменяются в современной промышленности. В настоящее время компания CiscoSystems уже поддерживает эти методы или работает над ними. Большинство из них -это стандартные методы, которые разработаны “инженерной группой Интернет” (InternetEngineering Task Force - IETF) и связаны с сетевым протоколом IP. Обычно, когданеобходимо поддержать услуги в области безопасности для других сетевых протоколах,не имеющих подобных стандартных решений, используется метод туннелирования этихпротоколов с помощью протокола IP. За обзором технологий следует детальноеописание принципов корпоративной политики в области безопасности, описаниепродуктов Cisco, а также разъяснения по поводу того, как продукты и функцииоперационной системы Cisco вписываются в архитектуру защищенной сетипредприятия. В конце документа приводится пример корпоративной политики в областибезопасности, подкрепленной соответствующей конфигурацией продуктов Cisco.

ТерминологияЧтобы понять основы безопасности, необходимо прояснить терминологию, котораяшироко используется в данной области. Вот некоторые базовые термины и ихопределения:

Идентификация: Определение источника информации, то есть конечного пользователяили устройства (центрального компьютера, сервера, коммутатора, маршрутизатора ит.д.).Целостность данных: Обеспечение неизменности данных в ходе их передачи.Конфиденциальность данных: Обеспечение просмотра данных в приемлемом форматетолько для лиц, имеющих право на доступ к этим данным.Шифрование: Метод изменения информации таким образом, что прочитать ее не можетникто, кроме адресата, который должен ее расшифровать.Расшифровка: Метод восстановления измененной информации и приведения ее вчитаемый вид.Ключ: Цифровой код, который может использоваться для шифрования и расшифровкиинформации, а также для ее подписи.Общий ключ: Цифровой код, используемый для шифрования/расшифровки информациии проверки цифровых подписей; этот ключ может быть широко распространен; общийключ используется с соответствующими частными ключами.Частный ключ: Цифровой код, используемый для шифрования/расшифровкиинформации и проверки цифровых подписей; владелец этого ключа должен держать егов секрете; частный ключ используется с соответствующим общим ключом.Секретный ключ: Цифровой код, совместно используемый двумя сторонами дляшифрования и расшифровки данных.

6

Ключевой отпечаток пальца: Читаемый код, который является уникальным для общегоключа и может использоваться для проверки подлинности его владельца.Хэш-функция: Математический расчет, результатом которого являетсяпоследовательность битов (цифровой код). Имея этот результат, невозможновосстановить исходные данные, использованные для расчета.Хэш: Последовательность битов, полученная в результате расчета хэш-функции.Результат обработки сообщения (Message digest): Величина, выдаваемая хэш-функцией (то же, что и “хэш”).Шифр: Любой метод шифрования данных.Цифровая подпись: Последовательность битов, прилагаемая к сообщению(зашифрованный хэш), которая обеспечивает идентификацию и целостность данных.AAA - Authentication, Authorization, Accounting: Архитектура идентификации, авторизациии учета компании Cisco Systems.Комплекс: группа или комплекс рядом расположенных зданий предприятия илиорганизации.NAS - Network Access Server: Сервер удаленного доступа к сети.VPN - Virtual Private Networks: Виртуальные частные сети.VPDN - Virtual Private Dial-Up Networks: Виртуальные коммутируемые частные сети.

Требования к безопасности современных сетейВопрос безопасности всегда стоял перед компьютерными сетями, но сегодня какникогда растет осознание того, насколько важна безопасность компьютерных сетей вкорпоративных инфраструктурах. В настоящее время для каждой корпоративной сетинеобходимо иметь четкую политику в области безопасности (см. раздел "Разработкаполитики безопасности для предприятия"). Эта политика разрабатывается на основеанализа рисков, определения критически важных ресурсов и возможных угроз.Существует несколько основных типов угроз, представляющих большую опасность:

“Маскарад”“Маскарад” означает, что один пользователь выдает себя за другого. При этомвозникает вероятность несанкционированного доступа к важным системам.Использование механизмов идентификации и авторизации повышает уверенность втом, что пользователь, с которым вы устанавливаете связь, не является подставнымлицом и что ему можно предоставить санкционированный доступ.

ПодслушиваниеВо время передачи данных о пользователях (пользовательских идентификаторов ипаролей) или частных конфиденциальных данных по незащищенным каналам этиданные можно подслушать и впоследствии злоупотреблять ими. Методы шифровкиданных снижают вероятность этой угрозы.

Манипулирование даннымиДанные, которые хранятся на каких-либо носителях или передаются по каналам связи, впринципе можно изменить. Во многих методах шифрования используется технологиязащиты целостности данных, предотвращающая их несанкционированное изменение.

Отказ от обслуживания (Denial of Service - DoS)Отказ от обслуживания (DoS) является разновидностью хакерской атаки, в результатекоторой важные системы становятся недоступными. Это достигается путемпереполнения системы ненужным трафиком, на обработку которого уходят все ресурсысистемной памяти и процессора. Многие продукты Cisco имеют средства дляраспознавания подобных атак и ограничения их воздействия на сеть.

Базовыми элементами политики в области безопасности являются идентификация,целостность и активная проверка. Идентификация призвана предотвратить угрозуобезличивания и несанкционированного доступа к ресурсам и данным. Хотя

7

авторизация не всегда включает в свой состав идентификацию, в этом документе мыбудем исходить из того, что одно обязательно подразумевает другое. Целостностьобеспечивает защиту от подслушивания и манипулирования данными, поддерживаяконфиденциальность и неизменность передаваемой информации. И наконец, активнаяпроверка означает проверку правильности реализации элементов политикибезопасности и помогает обнаруживать несанкционированное проникновение в сеть иатаки типа DoS.

Прежде чем давать более подробное описание политики безопасности длякорпоративных сетей, необходимо понимание основ криптографии и связанных с нейтехнологий, имеющих функции идентификации и поддержания целостности данных.Именно этому и посвящен следующий раздел.

Основы безопасности данныхВ этом разделе описаны основные “строительные кирпичики”, необходимые дляпонимания более сложных технологий безопасности. Криптография является основойлюбой защищенной связи и поэтому так важно познакомиться с тремя основнымикриптографическими функциями: симметричным шифрованием, асимметричнымшифрованием и односторонними хэш-функциями. Все существующие технологииидентификации, целостности и конфиденциальности созданы на основе именно этихтрех функций. Цифровые подписи будут представлены в виде практического примерасочетания асимметричного шифрования с алгоритмом односторонней хэш-функции дляподдержки идентификации и целостности данных.

КриптографияКриптографией называется наука составления и расшифровки закодированныхсообщений. Кроме того криптография является важным строительным кирпичиком длямеханизмов идентификации, целостности и конфиденциальности. Идентификацияявляется средством подтверждения личности отправителя или получателяинформации. Целостность означает, что данные не были изменены, аконфиденциальность создает ситуацию, при которой данные не может понять никто,кроме их отправителя и получателя. Обычно криптографические механизмы существуютв виде алгоритма (математической функции) и секретной величины (ключа). Алгоритмышироко известны. В секрете необходимо держать только ключи. Ключ можно сравнить сномерным кодом для номерного замка. Хотя общая концепция номерного замка хорошоизвестна, вы не сможете открыть такой замок, если не знаете, какой код следуетнабрать. И чем больше разрядов у этого кода, тем дольше нужно потрудиться, чтобыподобрать его методом простого перебора. То же самое можно сказать и окриптографических ключах: чем больше битов в таком ключе, тем менее он уязвим.

Идентификация, целостность данных и конфиденциальность данных поддерживаютсятремя типами криптографических функций: симметричным шифрованием,асимметричным шифрованием и хэш-функциями.

Симметричное шифрованиеСимметричное шифрование, которое часто называют шифрованием с помощьюсекретных ключей, в основном используется для обеспечения конфиденциальностиданных. На рисунке 1 показаны два пользователя, Алиса и Боб, которые хотятустановить между собой конфиденциальную связь. Для этого Алиса и Боб должнысовместно выбрать единый математический алгоритм, который будет использоватьсядля шифрования и расшифровки данных. Кроме того, им нужно выбрать общий ключ(секретный ключ), который будет использоваться с принятым ими алгоритмомшифрования/расшифровки.

Рисунок 1: Шифрование секретным ключом.

8

Весьма упрощенным примером алгоритма секретного ключа является так называемыйшифр Цезаря, показанный на рисунке 2. Этот метод шифрования заключается в том,что каждая буква в тексте заменяется на другую букву, находящуюся на определенномрасстоянии от нее в алфавите. При шифровании или расшифровке этот алгоритм какбы сдвигает буквы вверх и вниз по алфавиту. Ключом в этом примере являются трибуквы.

Рисунок 2: Шифр Цезаря.

Совершенно ясно, что если кто-нибудь получит зашифрованное этим способомсообщение и будет знать алгоритм (куда сдвигать буквы - вверх или вниз по алфавиту),он сможет легко раскрыть ключ методом простого перебора, который заключается втом, что человек перебирает все возможные комбинации алгоритма до тех пор, пока неполучит в результате расшифрованных текст. Обычно чем длиннее ключ и чем сложнееалгоритм, тем труднее решить задачу расшифровки простым перебором вариантов.

Сегодня широко используются такие алгоритмы секретных ключей, как Data EncryptionStandard (DES), 3DES (или "тройной DES") и International Data Encryption Algorithm(IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Если объемсообщения превышает 64 бита (как это обычно и бывает), необходимо разбить его наблоки по 64 бита в каждом, а затем каким-то образом свести их воедино. Такоеобъединение, как правило, происходит одним из следующих четырех методов:электронной кодовой книги (ECB), цепочки зашифрованных блоков (CBC), x-битовойзашифрованной обратной связи (CFB-x) или выходной обратной связи (OFB).

Шифрование с помощью секретного ключа чаще всего используется для поддержкиконфиденциальности данных и очень эффективно реализуется с помощьюнеизменяемых “вшитых” программ (firmware). Этот метод можно использовать дляидентификации и поддержания целостности данных, но метод цифровой подписи (окотором мы скажем позже) является более эффективным. С методом секретных ключейсвязаны следующие проблемы:

9

• Необходимо часто менять секретные ключи, поскольку всегда существует риских случайного раскрытия.

• Трудно обеспечить безопасное генерирование и распространение секретныхключей.

Для получения и безопасного распространения секретных ключей обычно используетсяалгоритм Диффи-Хеллмана (Diffie-Hellman), который описывается ниже.

Асимметричное шифрованиеАсимметричное шифрование часто называют шифрованием с помощью общего ключа,при котором используются разные, но взаимно дополняющие друг друга ключи иалгоритмы шифрования и расшифровки. Этот механизм полагается на двавзаимосвязанных ключа: общий ключ и частный ключ. Если Алиса и Боб хотятустановить связь с использованием шифрования через общий ключ, обоим нужнополучить два ключа: общий и частный (см. рисунок 3). Для шифрования и расшифровкиданных Алиса и Боб будут пользоваться разными ключами.

Рисунок 3: Шифрование с помощью общего ключа.

Вот некоторые наиболее типичные цели использования алгоритмов общих ключей:

• обеспечение конфиденциальности данных;• идентификация отправителя;• безопасное получение общих ключей для совместного использования.

Чтобы лучше понять, как достигается конфиденциальность данных и проводитсяидентификация отправителя, пройдем по всему процессу шаг за шагом. Сначала иАлиса, и Боб должны создать свои пары общих/частных ключей. После создания такихпар Алиса и Боб должны обменяться своими общими ключами.

На рисунке 4 показано, как шифрование с помощью общих ключей обеспечиваетконфиденциальность информации. Если Алиса хочет отправить Бобуконфиденциальные данные (другими словами, если она хочет, чтобы никто, кроме Боба,не смог их прочесть), она шифрует данные с помощью общего ключа Боба и отправляетБобу данные, зашифрованные этим способом. Получив сообщение от Алисы, Бобрасшифровывает его с помощью своего частного ключа. Так как никто, кроме Боба, неимеет этого частного ключа, данные, отправленные Алисой, может расшифроватьтолько Боб. Таким образом поддерживается конфиденциальность данных.

Рисунок 4: Конфиденциальность данных, зашифрованных с помощью общегоключа.

10

На рисунке 5 показано, как шифрование с помощью общего ключа помогает проводитьидентификацию отправителя. Боб хочет быть уверен, что сообщение отправленоименно Алисой, а не человеком, который выдает себя за нее. Поскольку общий ключ неявляется секретным, доступ к нему может получить кто угодно. Но если Алисазашифрует сообщение своим частным ключом, Боб должен расшифровать его спомощью общего ключа Алисы. Идентификация происходит потому, что доступ кчастному ключу Алисы имеет только она одна и поэтому данные могли бытьзашифрованы только ею.

Рисунок 5: Идентификация отправителя с помощью шифрования общим ключом.

Важным аспектом асимметричного шифрования является то, что частный ключ долженхраниться в тайне. Если частный ключ будет раскрыт, то человек, знающий этот ключ,сможет выступать от вашего имени, получать ваши сообщения и отправлять сообщениятак, будто это сделали вы.

Механизмы генерирования пар общих/частных ключей являются достаточно сложными,но в результате получаются пары очень больших случайных чисел, одно из которыхстановится общим ключом, а другое - частным. Генерирование таких чисел требуетбольших процессорных мощностей, поскольку эти числа, а также их произведениядолжны отвечать строгим математическим критериям. Однако этот процессгенерирования абсолютно необходим для обеспечения уникальности каждой парыобщих/частных ключей. Алгоритмы шифрования с помощью общих ключей редкоиспользуются для поддержки конфиденциальности данных из-за ограниченийпроизводительности. Вместо этого их часто используют в приложениях, гдеидентификация проводится с помощью цифровой подписи и управления ключами.

Среди наиболее известных алгоритмов общих ключей можно назвать RSA (Ривест,Шамир, Адельман) и ElGamal.

Безопасные хэш-функцииБезопасной хэш-функцией называется функция, которую легко рассчитать, но обратноевосстановление которой требует непропорционально больших усилий. Входящеесообщение пропускается через математическую функцию (хэш-функцию), и в результате

11

на выходе мы получаем некую последовательность битов. Эта последовательностьназывается “хэш” (или “результат обработки сообщения”). (См. рисунок 6). Этот процессневозможно восстановить. Другими словами, имея выходные данные, невозможнополучить входные. Хэш-функцию можно сравнить с кофемолкой. Если сообщение - этокофейные зерна, а хэш на выходе - это размолотый кофе, то, имея такой размолотыйкофе, вы не сможете восстановить кофейные зерна.

Рисунок 6: Хэш-функция.

Хэш-функция принимает сообщение любой длины и выдает на выходе хэшфиксированной длины. Обычные хэш-функции включают:

• алгоритм Message Digest 4 (MD4);• алгоритм Message Digest 5 (MD5);• алгоритм безопасного хэша (Secure Hash Algorithm - SHA).

Применения технологии шифрованияТехнология шифрования часто используется в приложениях, связанных с управлениемключами и идентификацией. Эти приложения описаны ниже.

Алгоритм Диффи-ХеллманаАлгоритм Диффи-Хеллмана позволяет двум сторонам, Алисе и Бобу, создать общийдля них секретный ключ, известный только им двоим, несмотря на то, что связь междуними осуществляется по незащищенному каналу. Затем этот секретный ключиспользуется для шифрования данных с помощью алгоритма секретного ключа. Нарисунке 7 показан пример использования алгоритма Диффи-Хеллмана в сочетании салгоритмом DES для создания секретных ключей и последующего использования этихключей для поддержки конфиденциальности данных. Два числа, p (простое число) и g(меньшее, чем p, но с некоторыми исключениями), используются совместно. И Алиса, иБоб генерируют (каждый для себя) большое случайное число. Эти числа (ХА и ХВ)держатся в секрете. Далее используется алгоритм Диффи-Хеллмана. И Алиса, и Бобпроводят вычисления с помощью этого алгоритма и обмениваются их результатами.Окончательным результатом является общая величина Z. Этот ключ Z используется какключ DES для шифрования и расшифровки данных. Человек, который знает величину p

12

или g, не сможет легко рассчитать общую величину Z из-за трудностей с факторизациейочень больших простых чисел.

Рисунок 7: Алгоритм Диффи-Хеллмана с ключом DES.

Важно отметить, что на сегодня пока не создано средств для определения автора такогоключа, поэтому обмен сообщениями, зашифрованными этим способом, можетподвергаться хакерским атакам. Алгоритм Диффи-Хеллмана используется для

13

поддержки конфиденциальности данных, но не используется для идентификации.Идентификация в данном случае достигается с помощью цифровой подписи.

Цифровые подписиЦифровая подпись представляет собой зашифрованный хэш, который добавляется кдокументу. Она может использоваться для идентификации отправителя и целостностидокумента. Цифровые подписи можно создавать с помощью сочетания хэш-функций икриптографии общих ключей. На рисунке 8 показан пример создания цифровой подписи.Сначала Алиса и Боб должны договориться об алгоритме шифрования общим ключом(например, Digital Signature Standard - DSS), создать пары общих/частных ключей иобменяться своими общими ключами. Им также нужно прийти к согласию о том, какуюхэш-функцию использовать для создания цифровых подписей и их проверки.Предположим, что выбран алгоритм MD5. Алиса берет оригинальный документ и подаетего на вход MD5, получая на выходе блок длиной в 128 бит. Эти выходные данныеназываются результатом обработки сообщения (хэшем документа). Алисазашифровывает этот хэш с помощью своего частного ключа. Этот зашифрованный хэшявляется цифровой подписью, которая прибавляется к тексту оригинального документа.

Рисунок 8: Создание цифровой подписи.

Сообщение, которое Алиса отправляет Бобу будет состоять из документа как такового ицифровой подписи. На рисунке 9 показано, как происходит проверка цифровой подписи.На другом конце канала связи Боб получает сообщение и делит его на оригинальныйдокумент и цифровую подпись. Так как цифровая подпись была зашифрована частнымключом Алисы, Боб может провести расшифровку с помощью ее общего ключа. Теперьу Боба есть расшифрованный хэш. Далее Боб подает текст документа на вход той жефункции, которую использовала Алиса. Если на выходе Боб получит тот же хэш,который прислала в своем сообщении Алиса, целостность документа и личностьотправителя можно считать доказанными.

Рисунок 9: Проверка цифровой подписи.

14

Цифровые сертификатыЦифровым сертификатом называется сообщение с цифровой подписью, которое внастоящее время обычно используется для подтверждения действительности общегоключа. На рисунке 10 показан пример цифрового сертификата в стандартном форматеX.509. Общий формат сертификата X.509 включает следующие элементы:

• номер версии;• серийный номер сертификата;• эмитент информации об алгоритме;• эмитент сертификата;• даты начала и окончания действия сертификата;• информация об алгоритме общего ключа субъекта сертификата;• подпись эмитирующей организации.

Рисунок 10: Пример сертификата X.509.

Эмитирующая организация, назовем ее CA, является надежной третьей стороной,которой вы полностью доверяете. На рисунке 11 показано, что Боб, прежде чем

15

отправить данные Алисе, хочет проверить ее общий ключ с помощью CA. Алиса имеетдействующий сертификат, который хранится в CA. Боб запрашивает у СА цифровойсертификат Алисы. CA подписывает сертификат своим частным ключом. Боб имеетдоступ к общему ключу CA и может убедиться в том, что сертификат, подписанный СА,является действительным. Так как сертификат Алисы содержит ее общий ключ, Бобполучает “заверенную” версию общего ключа Алисы.

Рисунок 11: Получение цифрового сертификата.

Заметим, что для реализации этой схемы необходима надежная системараспространения общего ключа CA среди пользователей. В настоящее время созданиебольших инфраструктур, пользующихся общими ключами (PKI), сопряжено струдностями, так как ряд вопросов, связанных с такими инфраструктурами остаетсянерешенным. Еще предстоит разработать эффективные процедуры отзыва и изменениясертификатов, а также определить, как обращаться с иерархиями CA, где разныепользователи могут полагаться на услуги разных CA. Тем не менее все эти вопросыпостепенно решаются.

Рассмотрим простой сценарий безопасной связи с использованием шифрования,который показан на рисунке 12.

Рисунок 12: Безопасная связь с использованием шифрования.

16

Маршрутизатор и межсетевой экран имеют по одной паре общих/частных ключей.Предположим, что CA удалось получить сертификаты X.509 для маршрутизатора имежсетевого экрана по защищенным каналам. Далее предположим, что маршрутизатори межсетевой экран тоже получили копии общего ключа CA по защищенным каналам.Теперь если на маршрутизаторе имеется трафик, предназначенный для межсетевогоэкрана, и если маршрутизатор хочет обеспечить идентификацию и конфиденциальностьданных, необходимо предпринять следующие шаги:

1. Маршрутизатор отправляет в CA запрос на получение общего ключамежсетевого экрана.

2. CA отправляет ему сертификат межсетевого экрана, зашифрованный частнымключом СА.

3. Маршрутизатор расшифровывает сертификат общим ключом CA и получаетобщий ключ межсетевого экрана.

4. Межсетевой экран направляет CA запрос на получение общего ключамаршрутизатора.

5. CA отправляет ему сертификат маршрутизатора, зашифрованный частнымключом СА.

6. Межсетевой экран расшифровывает сертификат общим ключом CA и получаетобщий ключ маршрутизатора.

7. Маршрутизатор и межсетевой экран используют алгоритм Диффи-Хеллмана ишифрование с помощью общих ключей для идентификации.

8. С помощью секретного ключа, полученного в результате использованияалгоритма Диффи-Хеллмана, маршрутизатор и межсетевой экран проводятобмен конфиденциальными данными.

Технологии безопасности данныхСуществует множество технологий безопасности, и все они предлагают решения дляважнейших компонентов политики в области защиты данных: идентификации,поддержания целостности данных и активной проверки. Мы определяемидентификацию как идентификацию пользователя или конечного устройства (клиента,сервера, коммутатора, маршрутизатора, межсетевого экрана и т.д.) и егоместоположения с последующей авторизацией пользователей и конечных устройств.

17

Целостность данных включает такие области, как безопасность сетевойинфраструктуры, безопасность периметра и конфиденциальность данных. Активнаяпроверка помогает удостовериться в том, что установленная политика в областибезопасности выдерживается на практике, и отследить все аномальные случаи ипопытки несанкционированного доступа. В следующем разделе описаны технологиибезопасности, которые часто применяются для идентификации и поддержанияцелостности данных в сети, и продукты компании Cisco, которые уже поддерживают илидолжны в будущем поддерживать эти технологии. Мы хотим, чтобы читатель понялобласть применения каждой из этих технологий, но не будем глубоко вдаваться в ихтехнические особенности. Все эти технологии уже стандартизированы IETF, либонаходятся в процессе стандартизации, поэтому для получения технических деталей исамых последних данных вы можете обратиться на Web-страницу IETF по адресу:http://www.ietf.org.

Технологии идентификацииВ этом разделе описываются основные технологии, которые используются дляидентификации центрального компьютера, конечного пользователя или и того, идругого. Первым шагом на пути идентификации было использование паролей, но дляподдержания высокого уровня безопасности пароли приходится часто менять. Методыиспользования одноразовых паролей применяются по-прежнему широко. Среди нихможно упомянуть методы идентификации по протоколу S/Key или при помощиспециальных аппаратных средств (token password authentication). Механизмидентификации по протоколу Point-to-Point Protocol (PPP) часто применяются в средемодемного доступа и включают использование протоколов Password AuthenticationProtocol (PAP), Challenge Handshake Protocol (CHAP) и Extensible Authentication Protocol(EAP). Разработка протокола EAP все еще продолжается, но уже сейчас он даетвозможность более гибкого использования существующих и только появляющихсятехнологий идентификации в каналах PPP. TACACS+ и Remote Access Dial-In UserService (RADIUS) - это протоколы, которые поддерживают масштабируемые решения вобласти идентификации. Протокол Kerberos (Цербер) используется в ограниченныхобластях для поддержки единой точки входа в сеть. И наконец, механизмидентификации Distributed Computing Environment (DCE) включен в этот текст лишь дляполноты картины, поскольку в настоящее время он используется достаточно редко.

S/KeyСистема одноразовых паролей S/Key, определенная в RFC 1760, представляет собойсистему генерирования одноразовых паролей на основе стандартов MD4 и MD5. Онапредназначена для борьбы с так называемыми “повторными атаками”, когда хакерподслушивает канал, выделяет из трафика идентификатор пользователя и его пароль ив дальнейшем использует их для несанкционированного доступа.

Система S/Key основана на технологии клиент/сервер, где клиентом обычно являетсяперсональный компьютер, а сервером - сервер идентификации. Вначале и клиента, исервер нужно настроить на единую парольную фразу и счет итерации. Клиент начинаетобмен S/Key, отправляя серверу пакет инициализации, а сервер в ответ отправляетпорядковый номер и случайное число, так называемое “зерно” (seed). После этогоклиент генерирует одноразовый пароль в ходе операции, состоящей из трех этапов:подготовительного этапа, этапа генерирования и функции выхода.

На подготовительном этапе клиент вводит секретную парольную фразу любой длины(рекомендуется длина более восьми знаков). Парольная фраза соединяется с “зерном”,полученным от сервера в незашифрованном виде. Это несекретное зерно дает клиентувозможность использовать одну и ту же парольную фразу на множестве машин (сразными “зернами”) и повторно использовать пароли, заменяя “зерно”.

Далее, на этапе генерирования клиент многократно использует хэш-функцию и получает64-разрядную итоговую величину. При каждом новом использовании количество хэш-циклов уменьшается на один, создавая тем самым уникальную последовательность

18

генерируемых паролей. Для совместимости клиента и сервера они должныиспользовать одну и ту же защищенную хэш-функцию.

Функция выхода воспринимает 64-разрядный одноразовый пароль и переводит его вчитаемую форму. Далее этот пароль может вводиться следующими способами:

• через программу-калькулятор, которая будет включать пароль в поток данных;• с помощью функции вырезания и сбрасывания (cut and paste);• с помощью ручного ввода.

В случае ручного ввода одноразовый пароль превращается в последовательность изшести коротких английских слов (от одной до четырех букв каждое). Эти словавыбираются из словаря, в который входит 2048 слов. Таким образом на одно словоприходится по 11 бит, что позволяет кодировать любые одноразовые пароли. Длясовместимости систем S/Key и калькуляторов все они должны пользоваться одним итем же словарем.

После создания одноразового пароля его нужно проверить. Для этого клиент передаетодноразовый пароль на сервер, где он и проверяется. На сервере есть файл (в системеUNIX это /etc./skeykeys), в котором хранится одноразовый пароль, использованный впоследнем успешном сеансе связи с каждым отдельным пользователем. Кроме того,эта запись может инициализироваться с помощью ввода первого одноразового пароляиз данной последовательности с помощью команды keyinit (название этой команды вразных версиях системы может быть разным). Для проверки идентификации системаоднократно пропускает полученный одноразовый пароль через защищенную хэш-функцию. Если результат этой операции совпадает с предыдущим паролем,хранящимся в файле, результат идентификации считается положительным, а новыйпароль сохраняется для дальнейшего использования. Поскольку количество хэш-циклов, которые использует клиент, постоянно сокращается, в какой-то моментпользователю придется инициализировать систему. Это достигается с помощьюкоманды keyinit, которая дает возможность изменить секретную парольную фразу,количество циклов итерации и “зерно”.

На рисунке 13 показано, как действует система одноразовых паролей S/Key упользователя, который пытается подключиться через Telnet к конкретной UNIX-машине,которая одновременно является сервером S/Key.

Рисунок 13: Функционирование системы S/Key.

19

Более подробную информацию о технологии одноразовых паролей можно получить урабочей группы IETF, занимающейся этим вопросом (One-Time Password (OTP)Authentication Working Group). Адрес группы:http://www.ietf.org/html.charters/otp-charter.html.

Идентификация с помощью аппаратных средств (TokenPassword Authentication)Идентификация с помощью аппаратных средств работает по одной из двухальтернативных схем: по схеме запрос-ответ или по схеме идентификации ссинхронизацией по времени. В схеме запрос-ответ пользователь подключается ксерверу идентификации, который в свою очередь предлагает ввести персональныйидентификационный номер (PIN) или пользовательский идентификатор (user ID).Пользователь передает PIN или user ID на сервер, который затем делает "запрос"(передает случайное число, которое появляется на экране пользователя). Пользовательвводит это число в специальное аппаратное устройство, похожее на кредитнуюкарточку, где число запроса шифруется с помощью пользовательского шифровальногоключа. Результат шифрования отображается на экране. Пользователь отправляет этотрезультат на сервер идентификации. В то время как пользователь подсчитывает этотрезультат, сервер идентификации рассчитывает этот же результат самостоятельно,используя для этого базу данных, где хранятся все пользовательские ключи. Получивответ от пользователя, сервер сравнивает его с результатом собственных вычислений.Если оба результата совпадают, пользователь получает доступ к сети. Если результатыоказываются разными, доступ к сети не предоставляется.

При использовании схемы с синхронизацией по времени, на аппаратном устройствепользователя и на сервере работает секретный алгоритм, который через определенныесинхронизированные промежутки времени генерирует идентичные пароли и заменяетстарые пароли на новые. Пользователь подключается к серверу идентификации,который запрашивает у пользователя код доступа. После этого пользователь вводитсвой PIN в аппаратное карточное устройство, и в результате на экран выводитсянекоторая величина, которая представляет собой одноразовый пароль. Этот пароль иотправляется на сервер. Сервер сравнивает его с паролем, который был вычислен насамом сервере. Если пароли совпадают, пользователь получает доступ к сети.

20

Идентификация PPPPPP - это популярное средство инкапсуляции (упаковки), которое часто используется вглобальных сетях. В его состав входят три основных компонента:

• метод инкапсуляции датаграмм в последовательных каналах;• протокол Link Control Protocol (LCP), который используется для установления,

конфигурирования и тестирования связи;• семейство протоколов Network Control Protocols (NCP) для установки и

конфигурирования различных протоколов сетевого уровня.

Чтобы установить прямую связь между двумя точками по каналу РРР, каждая из этихточек должна сначала отправить пакеты LCP для конфигурирования связи на этапе ееустановления. После установления связи и прежде чем перейти к этапу работы напротоколах сетевого уровня, протокол PPP дает (при необходимости) возможностьпровести идентификацию.

По умолчанию идентификация является необязательным этапом. На случай, еслиидентификация потребуется, в момент установления связи система указываетдополнительную конфигурацию протоколов идентификации. Эти протоколыиспользуются, в основном, центральными компьютерами и маршрутизаторами, которыесвязаны с сервером PPP через коммутируемые каналы или линии телефонной связи, а,возможно, и через выделенные каналы. Во время согласования на сетевом уровнесервер может выбрать опцию идентификации центрального компьютера илимаршрутизатора.

PAP и CHAP представляют собой для метода идентификации соединения PPP. EAP -это общий протокол идентификации PPP, который поддерживает множествоидентификационных механизмов. Этот протокол находится в процессе доработки, и вбудущем он сможет поддерживать более современные механизмы идентификации врамках идентификации PPP. Идентификация происходит после согласования LCP и досогласования IP Control Protocol (IPCP), в ходе которого происходит обмен адресами IP.Этот процесс идентификации проходит в автоматическом режиме, и не требует отпользователей ввода в компьютер каких-либо данных при подключении PPP. Частоидентификация PAP или CHAP занимает место переговорного сценария, которыйотвечает на запросы о вводе сетевого имени пользователя (login) и пароля. CHAPподдерживает более высокий уровень безопасности, поскольку не передает реальныйпароль по каналу PPP. Однако PAP используется чаще. Ниже приводится упрощенныйобзор этих трех протоколов. Более подробные технические детали и самую свежуюинформацию можно получить в рабочей группе IETF по расширениям PPP (pppext) поадресу:http://www.ietf.org/html.charters/pppext-charter.html.

Протокол PPP PAPНа рисунке 14 показаны действия по идентификации с использованием протокола PAP.

Рисунок 14: Идентификация PPP PAP.

21

Маршрутизатор отделения пытается провести идентификацию сервера сетевогодоступа (NAS) или “идентификатора”. По завершении этапа установления связи,маршрутизатор передает пару “идентификатор-пароль” серверу NAS до тех пор, покаидентификация не будет проведена или пока связь не прервется.

PAP не является сильным идентификационным методом. PAP идентифицирует тольковызывающего оператора, а пароли пересылаются по каналу, который считается уже“защищенным”. Таким образом, этот метод не дает защиты от использования чужихпаролей и неоднократных попыток подбора пароля. Частота и количество неудачныхпопыток входа в сеть контролируются на уровне вызывающего оператора.

Протокол PPP CHAPCHAP используется для периодической идентификации центрального компьютера иликонечного пользователя с помощью согласования по трем параметрам. Идентификацияпроисходит в момент установления связи, но может повторяться и после ееустановления.

На рисунке 15 показан процесс идентификации CHAP.

Рисунок 15: Идентификация PPP CHAP.

22

Маршрутизатор отделения пытается провести идентификацию сервера сетевогодоступа (NAS) или “идентификатора”. CHAP обеспечивает безопасность сети, требуя отоператоров обмена “текстовым секретом”. Этот секрет никогда не передается по каналусвязи. По завершении этапа установления связи, идентификатор передает вызывающеймашине запрос, который состоит из идентификатора (ID), случайного числа и именицентрального компьютера (для местного устройства) или имени пользователя (дляудаленного устройства). Вызывающая машина проводит вычисления с помощьюодносторонней хэш-функции. Идентификатор, случайное число и общий “текстовыйсекрет” один за другим подаются на вход хэш-функции. После этого вызывающаямашина отправляет серверу ответ, который состоит из хэша и имени центральногокомпьютера или имени пользователя удаленного устройства. По получении ответаидентификатор проверяет проставленное в ответе имя и выполняет те же вычисления.Затем результат этих вычислений сравнивается в величиной, проставленной в ответе.

23

Если эти величины совпадают, результат идентификации считается положительным,система выдает соответствующее уведомление, и LCP устанавливает связь. Секретныепароли на местном и удаленном устройстве должны быть идентичны. Поскольку“текстовый секрет” никогда не передается по каналам связи, никто не может подслушатьего с помощью каких-либо устройств и использовать для нелегального входа в систему.Пока сервер не получит адекватный ответ, удаленное устройство не сможетподключиться к местному устройству.

CHAP обеспечивает защиту от использования чужих паролей за счет пошаговыхизменений идентификатора и применения переменной величины запроса.Повторяющиеся запросы предназначены для ограничения времени, в течение которогосистема теоретически остается подверженной любой отдельной хакерской атаке.Частоту и количество неудачных попыток входа в систему контролирует идентификатор.

Примечание: Обычно в качестве односторонней хэш-функции CHAP используется MD5,а общий секрет хранится в текстовой форме. У компании Microsoft есть свой вариантпротокола CHAP (MS-CHAP), где пароль (на вызывающей машине и наидентификаторе) хранится в зашифрованном виде. Это дает протоколу MS-CHAPнекоторое преимущество: в отличие от стандартного протокола CHAP он можетпользоваться широко доступными базами данных постоянно зашифрованных паролей.

Протокол PPP EAPPPP EAP является общим протоколом идентификации PPP, который поддерживаетмножество идентификационных механизмов. EAP не производит выбор конкретногоидентификационного механизма на этапе контроля соединения, но откладывает этотвыбор до этапа идентификации. Этот сценарий позволяет идентификатору запроситьбольше информации до определения конкретного идентификационного механизма.Кроме того это дает возможность использовать "внутренний" сервер, который реальнозапускает различные механизмы, тогда как идентификатор PPP служит лишь дляобмена идентификационными данными.

На рисунке 16 показано, как работает PPP EAP.

Рисунок 16: Идентификация PPP EAP.

24

Маршрутизатор отделения пытается провести идентификацию сервера сетевогодоступа (NAS) или “идентификатора”. По завершении этапа установления связи,идентификатор отправляет один или несколько запросов для идентификациивызывающей машины. В запросе имеется поле типа запроса, где указано, что именнозапрашивается. Так, например, здесь можно указать такие типы запросов, какидентификация, MD5, S/Key, идентификацию с использованием аппаратной карты длягенерирования паролей и т.д. Запрос типа MD5 очень сходен с протоколомидентификации CHAP. Обычно идентификатор отправляет первоначальныйидентификационный запрос, за которым следует один или несколько дополнительныхзапросов о предоставлении идентификационной информации. При этомпервоначальный запрос не является обязательным и может опускаться в случаях, когдаидентификация обеспечивается иными способами (при связи по выделенным каналам,выделенным номерам и т.д.). В этих случаях вызывающая машина отправляет пакетответных данных в ответ на каждый запрос. Как и пакет запроса, пакет ответных данныхсодержит поле, соответствующее полю типа запроса. И наконец, идентификаторзавершает процесс отправлением пакета, который свидетельствует о положительномили отрицательном результате идентификации.

TACACS+TACACS+ является протоколом последнего поколения из серии протоколов TACACS.TACACS - это простой протокол управления доступом, основанный на стандартах UserDatagram Protocol (UDP) и разработанных компанией Bolt, Beranek, and Newman, Inc.

25

(BBN) для военной сети Military Network (MILNET). Компания Cisco несколько разсовершенствовала и расширяла протокол TACACS, и в результате появилась еесобственная версия TACACS, известная как TACACS+.

TACACS+ пользуется транспортным протоколом TCP. Демон сервера "слушает" порт49, который является портом протокола IP, выделенным для протокола TACACS. Этотпорт зарезервирован для выделенных номеров RFC в протоколах UDP и TCP. Всетекущие версии TACACS и расширенные варианты этого протокола используют порт 49.

Протокол TACACS+ работает по технологии клиент/сервер, где клиентом TACACS+обычно является NAS, а сервером TACACS+, как правило, считается “демон” (процесс,запускаемый на машине UNIX или NT). Фундаментальным структурным компонентомпротокола TACACS+ является разделение идентификации, авторизации и учета (AAA -Authentication, Authorization, Accounting). Это позволяет обмениватьсяидентификационными сообщениями любой длины и содержания, и, следовательно,использовать для клиентов TACACS+ любой идентификационный механизм, в томчисле PPP PAP, PPP CHAP, аппаратные карты и Kerberos. Идентификация не являетсяобязательной. Она рассматривается как опция, которая конфигурируется на месте. Внекоторых местах она вообще не требуется, в других местах она может применятьсялишь для ограниченного набора услуг.

Авторизация - это процесс определения действий, которые позволены данномупользователю. Обычно идентификация предшествует авторизации, однако это необязательно. В запросе на авторизацию можно указать, что идентификацияпользователя не проведена (личность пользователя не доказана). В этом случае лицо,отвечающее за авторизацию, должно самостоятельно решить, допускать такогопользователя к запрашиваемым услугам или нет. Протокол TACACS+ допускает толькоположительную или отрицательную авторизацию, однако этот результат допускаетнастройку на потребности конкретного заказчика. Авторизация может проводиться наразных этапах, например, когда пользователь впервые входит в сеть и хочет открытьграфический интерфейс или когда пользователь запускает PPP и пытаетсяиспользовать поверх PPP протокол IP с конкретным адресом IP. В этих случаях демонсервера TACACS+ может разрешить предоставление услуг, но наложить ограничения повремени или потребовать список доступа IP для канала PPP.

Учет обычно следует за идентификацией и авторизацией. Учет представляет собойзапись действий пользователя. В системе TACACS+ учет может выполнять две задачи.Во-первых, он может использоваться для учета использованных услуг (например, длявыставления счетов). Во-вторых, его можно использовать в целях безопасности. Дляэтого TACACS+ поддерживает три типа учетных записей. Записи “старт” указывают, чтоуслуга должна быть запущена. Записи “стоп” говорят о том, что услуга только чтоокончилась. Записи “обновление” (update) являются промежуточными и указывают нато, что услуга все еще предоставляется. Учетные записи TACACS+ содержат всюинформацию, которая используется в ходе авторизации, а также другие данные, такиекак время начала и окончания (если это необходимо) и данные об использованииресурсов.

Транзакции между клиентом TACACS+ и сервером TACACS+ идентифицируются спомощью общего “секрета”, который никогда не передается по каналам связи. Обычноэтот секрет вручную устанавливается на сервере и на клиенте. TACACS+ можнонастроить на шифрование всего трафика, который передается между клиентомTACACS+ и демоном сервера TACACS+.

На рисунке 17 показано взаимодействие между пользователем с одной стороны иклиентом и сервером TACACS+ с другой.

Рисунок 17: Взаимодействие между пользователем и системой TACACS+.

26

В ходе идентификации TACACS+ используются пакеты трех типов: START, CONTINUE иREPLY. START и CONTINUE всегда отправляются клиентом, а REPLY всегдаотправляется сервером.

Идентификация начинается, когда клиент отправляет серверу сообщение START.Сообщение START описывает тип будущей идентификации и может содержать имяпользователя и некоторый идентификационный данные. Пакет START отправляетсятолько в качестве первого сообщения идентификационной сессии TACACS+ или сразуже после повторного запуска этой сессии. (Повторный запуск может проводиться попросьбе сервера, которая содержится в пакете REPLY). Пакет START всегда имеетпорядковый номер, равный единице.

В ответ на пакет START сервер отправляет пакет REPLY. Сообщение REPLY указывает,завершилась ли идентификация или ее следует продолжить. Если пакет REPLY требуетпродолжения идентификации, он также указывает, какую дополнительную информациюему нужно предоставить. Клиент собирает эту информацию и отправляет ее серверу всообщении CONTINUE.

По завершении идентификации клиент может начать процесс авторизации (если онатребуется). Сессия авторизации состоит из двух сообщений: сообщения REQUEST(запрос) и следующего за ним сообщения RESPONSE (ответ). Сообщение REQUESTсодержит фиксированное количество полей, которые описывают пользователя илипроцесс, и переменный набор аргументов, которые описывают услуги и опции,требующие авторизации.

На рисунках 18 и 19 показаны процессы идентификации и авторизации TACACS+.

Рисунок 18: Процесс идентификации TACACS+.

27

Рисунок 19: Процесс авторизации TACACS+.

RADIUSПротокол RADIUS был разработан компанией Livingston Enterprises, Inc., в качествепротокола идентификации серверного доступа и учета. В июне 1996 года, пятыйпроектный вариант протокола RADIUS был представлен на рассмотрение IETF. Внастоящее время спецификация RADIUS (RFC 2058) и стандарт учета RADIUS (RFC2059) предложены для утверждения в качестве общепринятых стандартов.

Связь между NAS и сервером RADIUS основана на UDP. В целом считается, чтопротокол RADIUS не имеет отношения к подключению. Все вопросы, связанные сдоступностью сервера, повторной передачей данных и отключениями по истечениивремени ожидания, контролируются устройствами, работающими под управлениемпротокола RADIUS, но не самим протоколом передачи.

28

Протокол RADIUS основан на технологии клиент/сервер. Клиентом RADIUS обычноявляется NAS, а сервером RADIUS считается “демон”, работающий на машине UNIXили NT. Клиент передает пользовательскую информацию на определенные серверыRADIUS, а затем действует в соответствии с полученными от сервера инструкциями.Серверы RADIUS принимают запросы пользователей на подключение, проводятидентификацию пользователей, а затем отправляют всю конфигурационнуюинформацию, которая необходима клиенту для обслуживания пользователя. Для другихсерверов RADIUS или идентификационных серверов других типов сервер RADIUSможет выступать в роли клиента-посредника (proxy).

На рисунке 20 показано взаимодействие между пользователем с одной стороны иклиентом и сервером RADIUS с другой.

Рисунок 20: Взаимодействие между пользователем и системой RADIUS.

Сервер RADIUS может поддерживать разные методы идентификации пользователя.Если пользователь предоставит ему свое имя и оригинальный пароль, этот серверможет поддержать PPP PAP или CHAP, UNIX login и другие механизмы идентификации.Обычно регистрация пользователя состоит из запроса (Access Request), которыйпоступает из NAS на сервер RADIUS и соответствующего ответа (положительного илиотрицательного), который дает сервер. Пакет Access Request содержит имяпользователя, зашифрованный пароль, IP-адрес системы NAS и номер порта. Форматзапроса дает возможность пользователю запросить определенный тип сессии.Например, если запрос производится в алфавитно-цифровом режиме, из этого следует,что запрашивается услуга одного типа ("Service-Type = Exec-User"), но если запросделается в пакетном режиме PPP, значит услуга должна быть другой ("Service Type =Framed User" или "Framed Type = PPP").

Когда сервер RADIUS получает от NAS запрос Access Request, он проводит поискуказанного имени пользователя в базе данных. Если в базе данных такого имени нет, тосервер загружает стандартный профиль, используемый по умолчанию, или отправляетпользователю отрицательный ответ. Этот отрицательный ответ может принеобходимости сопровождаться текстом, поясняющим причины отказа.

29

В системе RADIUS функции идентификации и авторизации совмещены. Если имяпользователя найдено в базе данных и если пароль указан правильно, сервер RADIUSдает положительный ответ, в котором приводится список пар атрибутов для даннойсессии. Типичными параметрами этого типа являются тип услуги (shell или framed), типпротокола, адрес IP присваиваемый пользователя (статический или динамический),список объектов доступа или статический маршрут, который необходимо добавить втаблицу маршрутизации NAS. Конфигурационная информация на сервере RADIUSопределяет, какие средства следует установить на машине NAS. На рисунке 21показана процедура идентификации и авторизации RADIUS.

Рисунок 21: Процедура идентификации и авторизации RADIUS.

Учетные функции протокола RADIUS могут использоваться независимо от функцийидентификации и авторизации. Учетные функции RADIUS позволяют в начале и в концекаждой сессии отправлять данные о количестве ресурсов (то есть времени, пакетов,байтов и т.д.), использованных в ходе этой сессии. Провайдер услуг Интернет (ISP)может использовать программные средства контроля доступа и учета RADIUS дляудовлетворения специальных требований безопасности и биллинга.

Транзакции между клиентом и сервером RADIUS идентифицируются с помощью общего“секрета”, который никогда не передается по сетевым каналам. Кроме того обменлюбыми пользовательскими паролями между клиентом и сервером RADIUS идет тольков зашифрованном виде, что исключает подслушивание чужих паролей и последующеезлоупотребление ими.

Самую свежую информацию и подробные технические детали можно получить врабочей группе RADIUS IETF по адресу:http://www.ietf.org/html.charters/radius-charter.html.

Kerberos (Цербер)Kerberos - это протокол идентификации с секретным ключом, разработанный вМассачусеттском технологическом институте (MIT). В этом протоколе для шифрования иидентификации используется криптографический алгоритм DES. Пятая версияпротокола Kerberos является стандартом Интернет (RFC 1510).

Kerberos был разработан для идентификации запросов на использование сетевыхресурсов. Он основан на концепции доверенной третьей стороны, которая проводитбезопасную проверку пользователей и услуг. В протоколе Kerberos эта третья сторонаназывается “центром распределения ключей” (key distribution center - KDC), а иногда -сервером идентификации. Основная цель протокола Kerberos состоит в подтверждениитого, что пользователь является именно тем, за кого он себя выдает, и что сетеваяуслуга является именно такой, как об этом заявлено. Для этого доверенный серверKerberos выдает пользователям “билеты”. Эти билеты, имеющие ограниченный срок

30

пользования, сохраняются идентификационной кэш-памяти пользователя и могутприменяться для идентификации вместо традиционной пары имя-пароль.

На рисунках 22 - 24 показан пример обмена данными по протоколу Kerberos.

Рисунок 22: Ключи Kerberos.

Клиент знает ключ шифрования, который известен только пользователю и KDC (K-клиенту). Точно так же, каждый сервер приложений имеет общий ключ шифрования сKDC (K-сервером). Когда клиент хочет создать ассоциацию с конкретным серверомприложений, он (с помощью идентификационного запроса и ответа) получает “билет” иключ сессии от KDC. (См. рисунок 23.)

Рисунок 23: Идентификационный запрос и ответ Kerberos.

В запросе клиент указывает KDC свои идентификационный данные, имя сервераприложений, требуемый срок действия билета и случайное число, которое используетсядля увязывания ответа с запросом. В ответе KDC сообщает ключ сессии (KS1), срокдействия билета, случайное число (такое же, как в запросе), имя сервера приложений и

31

другую информацию из билета. Все это сообщается в зашифрованном виде вместе спаролем пользователя, зарегистрированным в KDC (K-клиент). Сообщается такжебилет Kerberos, который содержит ключ сессии (KS1), имя клиента, которому выдан этотключ, и время, по истечении которого данный ключ сессии станет недействительным.Билет Kerberos шифруется при помощи K-сервера.

Идентификационный ответ, который получает пользователь, требует от него вводапароля. Этот пароль (K-клиент) используется для расшифровки ключа сессии KS1.Теперь клиент готов к сеансу связи с сервером приложений. Обмен запросами иответами с приложением показан на рисунке 24.

Рисунок 24: Обмен запросами и ответами с приложением при помощи Kerberos.

В запросе к приложению клиент указывает две величины: билет Kerberos (о которомговорилось выше) и идентификатор. В полях идентификатора, помимо прочего,указывается текущее время, контрольная сумма и опционный ключ шифрования. Всеэти данные шифруются с помощью KS1. По получении запроса к приложению серверприложений расшифровывает билет с помощью K-сервера, получает ключ сессии KS1 ииспользует этот ключ для расшифровки идентификатора. Если для шифрования ирасшифровки идентификатора используется один и тот же ключ, если контрольнаясумма совпадает, можно считать, что данный идентификатор был сгенерирован именнотем клиентом, который указан в билете и которому был выдан ключ сессии. Этого ещенедостаточно для полной идентификации, так как хакер может перехватитьидентификатор и в дальнейшем пользоваться им от чужого имени. Поэтомупроверяющий сервер (сервер приложений) проверяет еще и метку времени, так как емунужно убедиться, что идентификатор не устарел. Если метка времени не выходит запределы лимита (обычный лимит - пять минут) по сравнению с текущим временемпроверяющего сервера и если эта же метка времени не встречалась в других запросах,сделанных в пределах того же лимита, проверяющий сервер считает идентификациюположительной.

До этого момента мы говорили о том, как сервер идентифицирует клиента. В некоторыхприложениях клиент сам заинтересован в проверке идентичности сервера. Еслинеобходима такая взаимная проверка, сервер генерирует ответ для приложения,выделяя клиентское время из идентификатора и возвращая его клиенту вместе с прочейинформацией, причем все это шифруется с помощью ключа сессии.

32

Базовый протокол идентификации Kerberos дает возможность клиенту, знающемупароль пользователя, получать билет и ключ сессии и доказывать свою идентичностьлюбому проверяющему, зарегистрированному на идентификационном сервере. Парольпользователя должен предъявляться всякий раз, когда пользователь выполняетпроцедуру идентификации для нового проверяющего. Однако в идеале система должнаподдерживать единый вход в систему, при котором пользователь входит в системутолько один раз и предъявляет пароль только один раз при входе, а все последующиепроцессы идентификации выполняются автоматически. Самый легкий и очевидныйспособ поддержки такого единого входа состоит в том, чтобы хранить парольпользователя в кэш-памяти рабочей станции, однако этот путь небезопасен. БилетKerberos и связанный с ним ключ действуют в течение очень короткого времени, апользовательский пароль можно использовать для получения билетов и длядоказательства идентичности пользователя вплоть до момента смены пароля. Поэтомуидея Kerberos состоит в том, чтобы хранить в кэш-памяти только билеты и ключишифрования (“идентификационные данные”), которые действительны только впределах ограниченного срока.

Обмен данными, необходимый для получения билетов Kerberos дает возможностьпользователю получать билеты и ключи шифрования с помощью таких краткосрочныхидентификационных данных, не вводя свой пароль. Когда пользователь впервые входитв сеть, он отправляет идентификационный запрос и в ответ на него получает отидентификационного сервера ключ сессии и билет. Этот билет, который иногданазывается “билетом для получения билетов” (TGT), имеет относительно короткий срокдействия (обычно порядка восьми часов). Ответ расшифровывается, билет и ключсессии сохраняются, а пароль пользователя отбрасывается. В последующем, когдапользователь хочет доказать свою идентичность новому проверяющему, онзапрашивает у идентификационного сервера новый билет с помощью обмена,предназначенного специально для получения билетов. Этот обмен данными идентиченидентификационному обмену за исключением того, что запрос на предоставлениебилета встраивает в себя запрос к приложению, который идентифицирует клиента длясервера приложений. Кроме того, ответ, предоставляющий новый билет, шифруется спомощью ключа сессии, полученного от “билета на получение билетов”, не используяпри этом пользовательский пароль.

На рабочей станции пользователя необходимо установить несколько утилит дляполучения идентификационных данных Kerberos (kinit), уничтоженияидентификационных данных (kdestroy), перечисления этих данных (klist) и для сменыпароля Kerberos (kpassword). На некоторых сайтах регистрационное средство Kerberos(kinit) интегрируется с регистрационной программой рабочей станции (login program), чтоизбавляет пользователей от необходимости дважды вводить свой пароль. Этот способделает использование средств Kerberos почти прозрачным; пользователи иногда и неподозревают о том, что им приходится работать с системой Kerberos. Использованиедля идентификации приложений клиент/сервер требует модификации этих приложений;такие приложения, подготовленные для использования Kerberos называются“церберизованными” (Kerberized).

Самую свежую информацию и более подробные технические детали можно получить врабочей группе IETF Common Authentication Technology (CAT) по адресу:http://www.ietf.org/html.charters/cat-charter.html.

DCEРаспределенная компьютерная среда (Distributed Computing Environment - DCE)представляет собой набор функциональных спецификаций Фонда открытых систем(Open Systems Foundation - OSF http://www.opengroup.org/). Это сочетаниераспределенных компьютерных технологий, поддерживающих услуги безопасности длязащиты и контроля доступа к данным, услуг именования, облегчающих поискраспределенных ресурсов, и хорошо масштабируемая модель организациипользователей, услуг и данных, рассеянных на большой территории.

33

DCE имеет модульную структуру и поддерживает процессы идентификации иавторизации. Идентификационная часть системы построена на технологии Kerberos,хотя в принципе эта технология может быть заменена любым другим механизмом.Авторизационная часть работает так же, как Kerberos, но выполняется серверамипривилегий и серверами регистрации. На практике эти услуги обычно предоставляютсячерез KDC. Сервер регистрации связывает с пользовательскими привилегиями, которыехранятся на сервере привилегий. В свою очередь, сервер привилегий включаетуниверсальный уникальный идентификатор (UUID) и группы в билет Kerberos дляподдержки безопасности передачи данных. Kerberos пользуется именами, которыемогут и не быть согласованными и уникальными в масштабе предприятия. DCEпользуется идентификаторами UUID длиной в 128 бит каждый. В большинстве системдля поля пользовательского идентификатора (UID) и для поля групповогоидентификатора (GID) выделяется по 32 бита.

На практике пользователь может проводить идентификацию с любой рабочей станциипри помощи имени пользователя и пароля. KDC выдает TGT. После этого рабочаястанция использует этот ключ сессии для формирования сессии связи с серверомпривилегий. Затем с сервера привилегий на рабочую станцию с помощью “билета дляпредоставления билетов” (PTGT) передается идентификатор UUID и информация поконтролю за доступом (ACL). Далее используется ключ сессии, зашифрованный в PTGT.Впоследствии для авторизации (разрешения или запрещения доступа к тем или инымуслугам и ресурсам) используется UUID и групповая информация. Следует отметить,что эта технология не произвела того грандиозного эффекта, на который надеялись еесоздатели. В настоящее время эта технология принята некоторыми организациями, ноее поддержка (как и поддержка технологии Kerberos) является весьма трудоемкой, ипоэтому она не получила широкого распространения.

Технологии целостности и конфиденциальностиВ этом разделе описаны технологии, которые используются для поддержки целостностии конфиденциальности данных. Протоколами безопасности на транспортном уровнеявляются SSL и Secure Shell Protocol (SSH), которые обеспечивают безопаснуюпередачу данных между клиентом и сервером. Оба протокола разработаны рабочейгруппой IETF по безопасности транспортного уровня (Transport Layer Security - TLS).Безопасный протокол передачи гипертекста (S-HTTP) предоставляет надежныймеханизм Web-транзакций, однако в настоящее время наиболее популярным средствомявляется SSL. Средство SOCKS является рамочной структурой, позволяющейприложениям клиент/сервер в доменах TCP и UDP удобно и безопасно пользоватьсяуслугами сетевого межсетевого экрана. Протокол безопасности IP (IPSec) представляетсобой набор стандартов поддержки целостности и конфиденциальности данных насетевом уровне (в сетях IP). X.509 - это стандарт безопасности и идентификации,который поддерживает структуры безопасности электронного информационноготранспорта. Он определяет структуру данных цифрового сертификата и решаетвопросы обращения общих ключей. X.509 является важнейшим компонентоминфраструктуры общих ключей (PKI).

SSLSSL - это открытый протокол, разработанный компанией Netscape. SSL определяетмеханизм поддержки безопасности данных на уровне между протоколами приложений(такими как Hypertext Transfer Protocol [HTTP], Telnet, Network News Transfer Protocol[NNTP] или File Transfer Protocol [FTP]) и протоколом TCP/IP. Он поддерживаетшифрование данных, идентификацию серверов, целостность сообщений и (в качествеопции) идентификацию клиентов в канале TCP/IP. SSL был представлен рабочей группепо безопасности консорциума W3 (W3C) для утверждения в качестве стандартногосредства безопасности Web-браузеров и серверов в сети Интернет.

Основная цель протокола SSL состоит в том, чтобы обеспечить защищенность инадежность связи между двумя подключенными друг к другу приложениями. Этотпротокол состоит из двух уровней. Нижний уровень, который располагается поверхнадежного транспортного протокола (например, TCP), называется SSL Record Protocol.

34

SSL Record Protocol используется для встраивания различных протоколов высокогоуровня. Один из таких встроенных протоколов, SSL Handshake Protocol, позволяетсерверу и клиенту идентифицировать друг друга и согласовывать алгоритм шифрованияи криптографические ключи, прежде чем протокол приложения произведет обменпервыми битами данных. Одно из преимуществ SSL состоит в том, что он независим отпротоколов приложений. Протокол высокого уровня может совершенно прозрачнорасполагаться поверх протокола SSL. Протокол SSL поддерживает безопасность связи,придавая ей следующие свойства:

• Защищенность связи. После первоначального квитирования связи применяютсясредства шифрования и определяется секретный ключ. Для шифрованияданных используются средства симметричной криптографии (например, DES,RC4 и т.д.).

• Участник сеанса связи может быть идентифицирован и с помощью общихключей, то есть средствами асимметричной криптографии (например, RSA, DSSи т.д.).

• Надежность связи. Транспортные средства проводят проверку целостностисообщений с помощью зашифрованного кода целостности (MAC). Длявычисления кодов МАС используются безопасные хэш-функции (например,безопасный хэш-алгоритм [SHA], MD5 и т.д.).

Протокол SSL состоит из нескольких уровней. На каждом уровне сообщения имеют рядполей для указания длины, описания и содержания. SSL воспринимает данные,предназначенный для передачи, делит их на управляемые блоки, проводит компрессиюданных (если это необходимо), использует код MAC, производит шифрование ипередает результат. Принятые данные расшифровываются, проверяются,декомпрессируются и реассемблируются, а затем передаются клиентам более высокогоуровня.

Протокол SSL принят только в рамках HTTP. Другие протоколы доказали своюспособность работать с SSL, но используют его не часто.

SSHПротокол Secure Shell (SSH) предназначен для защиты удаленного доступа и другихсетевых услуг в незащищенной сети. Он поддерживает безопасный удаленный вход всеть, безопасную передачу файлов и безопасную эстафетную передачу сообщений попротоколам TCP/IP и X11. SSH может автоматически шифровать, идентифицировать исжимать передаваемые данные. В настоящее время SSH достаточно хорошо защищенот криптоанализа и протокольных атак. Он довольно хорошо работает при отсутствииглобальной системы управления ключами и инфраструктуры сертификатов и принеобходимости может поддерживать инфраструктуры сертификатов, которыесуществуют в настоящий момент (например, DNSSEC, простую инфраструктуру общихключей [SPKI], X.509).

Протокол SSH состоит из трех основных компонентов:

• Протокол транспортного уровня. Обеспечивает идентификацию сервера,конфиденциальность и целостность данных с отличной защищенностьюэстафетной передачи. В качестве опции может поддерживаться компрессияданных.

• Протокол идентификации пользователя позволяет серверу идентифицироватьклиента.

• Протокол соединения мультиплексирует зашифрованный туннель, создавая внем несколько логических каналов.

Все сообщения шифруются с помощью IDEA или одного из нескольких другихшифровальных средств (тройного DES с тремя ключами, DES, RC4-128, Blowfish).Обмен ключами шифрования происходит с помощью RSA, а данные, использованныепри этом обмене, уничтожаются каждый час (ключи нигде не сохраняются). Каждыйцентральный компьютер имеет ключ RSA, который используется для идентификации

35

центрального компьютера при использовании специальной технологии идентификацииRSA. Для защиты от подслушивания (спуфинга) сети IP используется шифрование; длязащиты от DNS и спуфинга маршрутизации используется идентификация с помощьюобщих ключей. Кроме того ключи RSA используются для идентификации центральныхкомпьютеров.

Недостатком протоколов безопасности, действующих на уровне сессий, является ихзависимость от инструкций протокола транспортного уровня. В случае SSL это означает,что атака на TCP может быстро прервать сессию SSL и потребовать формированияновой сессии, в то время как TCP будет считать, что все идет нормально.

Самую свежую информацию и более подробные технические детали о протоколе SSHможно получить в рабочей группе IEFT Secure Shell (secsh) по адресу:http://www.ietf.org/html.charters/secsh-charter.html.

Преимущества средств безопасности транспортного уровня (например, SSL или SSH)включают:

• возможность действий на сквозной основе (end-to-end) с существующимистеками TCP/IP, существующими интерфейсами прикладного программирования(API) (WinSock, Berkeley Standard Distribution [BSD] и т.д.);

• повышенная эффективность по сравнению с медленными каналами, поддержкатехнологии Van Jacobson для компрессии заголовков, поддержка различныхсредств контроля за переполнением сети, просматривающих заголовки TCP/IP;

• отсутствие каких-либо проблем с фрагментацией, определением максимальногообъема блоков, передаваемых по данному маршруту (MTU) и т.д.;

• сочетание компрессии с шифрованием. На этом уровне такое сочетаниеоказывается гораздо более эффективным, чем на уровне пакетов.

S-HTTPS-HTTP представляет собой безопасный протокол связи, ориентированный насообщения и разработанный для использования в сочетании с HTTP. Он предназначендля совместной работы с моделью сообщений HTTP и легкой интеграции сприложениями HTTP. Этот протокол предоставляет клиенту и серверу одинаковыевозможности (он одинаково относится к их запросам и ответам, а также кпредпочтениям обеих сторон). При этом сохраняется модель транзакций иэксплуатационные характеристики HTTP.

Клиенты и серверы S-HTTP допускают использование нескольких стандартныхформатов криптографических сообщений. Клиенты, поддерживающие S-HTTP, могутустанавливать связь с серверами S-HTTP и наоборот, эти серверы могут связываться склиентами S-HTTP, хотя в процессе подобных транзакций функции безопасности S-HTTP использоваться скорее всего не будут. S-HTTP не требует от клиентасертификатов общих ключей (или самих общих ключей), потому что этот протоколподдерживает только операции с симметричными шифровальными ключами. Хотя S-HTTP может пользоваться преимуществами глобальных сертификационныхинфраструктур, для его работы такие структуры не обязательны.

Протокол S-HTTP поддерживает безопасные сквозные (end-to-end) транзакции, чтовыгодно отличает его от базовых механизмов идентификации HTTP, которые требуют,чтобы клиент попытался получить доступ и получил отказ и лишь затем включаютмеханизм безопасности. Клиенты могут быть настроены таким образом, чтобы любая ихтранзакция автоматически защищалась (обычно с помощью специальной метки взаголовке сообщения). Такая настройка, к примеру, часто используется для передачизаполненных бланков. Если вы используете протокол S-HTTP, вам никогда не придетсяотправлять важные данные по сети в незащищенном виде.

S-HTTP поддерживает высокий уровень гибкости криптографических алгоритмов,режимов и параметров. Для того, чтобы клиенты и серверы смогли выбрать единыйрежим транзакции (Так, например, им нужно решить, будет ли запрос только

36

шифроваться или только подписываться или и шифроваться и подписыватьсяодновременно. Такое же решение нужно принять и для ответов.), используетсямеханизм согласования опций, криптографических алгоритмов (RSA или Digital SignatureStandard [DSA] для подписи, DES или RC2 для шифрования и т.д.), и выборасертификатов (Например: “Подписывайтесь своим сертификатом Verisign“). S-HTTPподдерживает криптографию общих ключей и функцию цифровой подписи иобеспечивает конфиденциальность данных.

Протокол S-HTTP распространен не очень широко. Самые свежие данные и болееподробные технические детали можно получить в рабочей группе IETF по безопасностиWeb-транзакций (wts) по адресу:http://www.ietf.org/html.charters/wts-charter.html.

SOCKSSOCKS разработан для того, чтобы дать возможность приложениям клиент/сервер вдоменах TCP и UDP удобно и безопасно пользоваться услугами межсетевого экрана. Ондает пользователям возможность преодолевать межсетевой экран организации иполучать доступ к ресурсам, расположенным в сети Интернет. SOCKS является"посредником уровня приложений": он взаимодействует с общими сетевыми средствами(например, Telnet и браузер Netscape) и с помощью центрального сервера (прокси-сервера) от имени вашего компьютера устанавливает связь с другими центральнымикомпьютерами.

SOCKS был разработан много лет назад Дейвом Кобласом (Dave Koblas) из компанииSGI, и сегодня этот код можно бесплатно получить через Интернет. С момента первоговыпуска этот код пережил несколько крупных модификаций, но каждая из нихраспространялась совершенно бесплатно. SOCKS версия 4 решает вопроснезащищенного пересечения межсетевых экранов приложениями клиент/сервер,основанными на протоколе TCP, включая Telnet, FTP и популярные информационныепротоколы, такие как HTTP, Wide Area Information Server (WAIS) и GOPHER. SOCKSверсия 5, RFC 1928, является дальнейшим расширением четвертой версии SOCKS. Онвключает в себя UDP, расширяет общую рамочную структуру, придавая ей возможностьиспользования мощных обобщенных схем идентификации, и расширяет системуадресации, включая в нее имя домена и адреса IP v.6.

В настоящее время предлагается создать механизм управления входящими иисходящими многоадресными сообщениями IP, которые проходят через межсетевойэкран. Это достигается определением расширений для существующего протоколаSOCKS V.5, что создает основу для идентифицированного перехода межсетевогоэкрана одноадресным пользовательским трафиком TCP и UDP. Однако ввиду того, чтоподдержка UDP в текущей версии SOCKS V.5 имеет проблемы с масштабируемостью идругие недостатки (и их обязательно нужно разрешить, прежде чем переходить кмногоадресной передаче), расширения определяются двояко: как базовые расширенияUDP и как многоадресные расширения UDP.

Функционирование SOCKS заключается в замене стандартных сетевых системныхвызовов в приложении их специальными версиями. Эти новые системные вызовыустанавливают связь с прокси-сервером SOCKS (который конфигурируется самимпользователем в приложении или системным файлом конфигурации), подключаясь кхорошо известному порту (обычно это порт 1080/TCP). После установления связи ссервером SOCKS приложение отправляет серверу имя машины и номер порта, ккоторому хочет подключиться пользователь. Сервер SOCKS реально устанавливаетсвязь с удаленным центральным компьютером, а затем прозрачно передает данныемежду приложением и удаленной машиной. При этом пользователь даже неподозревает, что в канале связи присутствует сервер SOCKS.

Трудность с использованием SOCKS состоит в том, что кто-то должен проводить работупо замене сетевых системных вызовов версиями SOCKS (этот процесс обычноназывается "SOCKS-ификацией" приложения). К счастью, большинство обычныхсетевых приложений (Telnet, FTP, finger, whois) уже SOCKS-ифицированы, и многие

37

производители включают поддержку SOCKS в свои коммерческие приложения. Крометого SOCKS V.5 включает эти процедуры в свою общую библиотеку: на некоторыхсистемах (например, на машинах Solaris) можно автоматически SOCKS-ифицироватьприложение, поставив общую библиотеку SOCKS перед “shared libc” в вашей строкепоиска библиотек (переменная среды LD_LIBRARY_PATH в системах Solaris).

Самую свежую информацию и более подробные технические детали можно получить врабочей группе IETF, работающей над проблемой идентифицированного пересечениямежсетевых экранов, по адресу:http://www.ietf.org/html.charters/aft-charter.html.

IPSecБезопасный протокол IP (IPSec) представляет собой набор стандартов, используемыхдля защиты данных и для идентификации на уровне IP. Текущие стандарты IPSecвключают три независимых от алгоритмов базовые спецификации, которые являютсястандартными RFC. Эти три RFC, перечисленные ниже, сейчас пересматриваются сцелью разрешить различные проблемы безопасности, которые имеются в текущихспецификациях.

• RFC 1825 (Архитектура безопасности IP) определяет общую архитектуру иуказывает элементы, общие для идентификационного заголовка IP (IPAuthentication Header - AH) и встраивающей структуры безопасности IPEncapsulating Security Payload (ESP).

• RFC 2085 (ранее RFC 1826) (Идентификационный заголовок IP - AH) определяетнезависимый от алгоритма механизм экспортируемой криптографическойидентификации без шифрования пакетов IPv4 и IPv6.

• RFC 1827 (Встраиваемое защищенное поле данных - IP Encapsulating SecurityPayload - ESP) определяет независимый от алгоритма механизм шифрованияпакетов IPv4 и IPv6.

Заметим, что со временем будут разработаны новые алгоритмы идентификации ишифрования. Работа над ними не прекращается, и в результате мы будем иметь смесьиз этих алгоритмов, одни из которых будут сильнее, а другие слабее.

Протокол IPSec также включает криптографические методы, удовлетворяющиепотребности управления ключами на сетевом уровне безопасности. Протоколуправления ключами Ассоциации безопасности Интернет (Internet Security AssociationKey Management Protocol - ISAKMP) создает рамочную структуру для управленияключами в сети Интернет и предоставляет конкретную протокольную поддержку длясогласования атрибутов безопасности. Само по себе это не создает ключей сессии,однако эта процедура может использоваться с разными протоколами, создающимитакие ключи (например, с Oakley), и в результате мы получаем полное решение дляуправления ключами в Интернете.

Протокол определения ключей Oakley Key Determination Protocol пользуется гибриднымметодом Диффи-Хеллмана, чтобы создать ключи сессии Интернет для центральныхкомпьютеров и маршрутизаторов. Протокол Oakley решает важную задачу обеспеченияполной безопасности эстафетной передачи данных. Он основан на криптографическихметодах, прошедших серьезное испытание практикой. Полная защита эстафетнойпередачи означает, что если хотя бы один ключ раскрыт, раскрыты будут только теданные, которые зашифрованы этим ключом. Что же касается данных, зашифрованныхпоследующими ключами, они останутся в полной безопасности.

Протоколы ISAKMP и Oakley были совмещены в рамках гибридного протокола IKE -Internet Key Exchange. Протокол IKE, включающий ISAKMP и Oakley, используетрамочную структуру ISAKMP для поддержки подмножества режимов обмена ключамиOakley. Новый протокол обмена ключами обеспечивает (в виде опции) полную защитуэстафетной передачи данных, полную защиту ассоциаций, согласования атрибутов, атакже поддерживает методы идентификации, допускающие отказ от авторства и недопускающие такого отказа. Этот протокол может, к примеру, использоваться для

38

создания виртуальных частных сетей (VPN) и для того, чтобы предоставить удаленнымпользователям, находящимся в удаленных точках (и пользующимся динамическираспределяемыми адресами IP), доступ к защищенной сети.

Стандарт IPSec позволит поддержать на уровне IP потоки безопасных и идентичныхданных между взаимодействующими устройствами, включая центральные компьютеры,межсетевой экраны (сетевые фильтры) различных типов и маршрутизаторы. Нижеприводится пример использования IPSec для обеспечения обменаидентифицированными конфиденциальными данными между удаленныммаршрутизатором и межсетевым экраном (см. рисунок 25).

Рисунок 25: Безопасность обмена данными между удаленным маршрутизатором имежсетевым экраном.

Прежде чем пройти через межсетевой экран предприятия весь трафик, идущий отудаленного маршрутизатора должен быть идентифицирован. Маршрутизатор имежсетевой экран должны согласовать “ассоциацию безопасности” (SA), то есть прийтик согласию относительно политики в области безопасности. SA включает:

• алгоритм шифрования;• алгоритм идентификации;• общий ключ сессии;• срок действия ключа.

Ассоциация SA является однонаправленной, поэтому для двусторонней связи нужноустанавливать две SA, по одной для каждого направления. Как правило в обоих случаяхполитика остается той же самой, но существует возможность и для асимметричнойполитики в разных направлениях. Согласование SA проводится через ISAKMP. Крометого, SA могут определяться вручную. На рисунке 26 показан процесс согласованиячерез ISAKMP, который происходит, когда на маршрутизатор поступает пакет,предназначенный для межсетевого экрана предприятия.

Рисунок 26: Согласование SA через ISAKMP.

39

После согласования SA принимается решение о том, следует ли использовать средстваидентификации, конфиденциальности и целостности данных или ограничиться толькоидентификацией. Если использоваться будут только средства идентификации, текущийстандарт предполагает применение хэш-функции, а точнее алгоритма не ниже MD5 с128-разрядными ключами. Заголовок пакета и данные пропускаются через хэш-функцию, и результаты этого вычисления вводятся в специальное поле заголовка AH,как показано на рисунке 27.

Примечание: Для IPv4 в следующих полях устанавливается ноль: тип услуги (ToS), срокдействия (TTL), контрольная сумма заголовка, смещение, метки.

Рисунок 27: Создание нового идентификационного заголовка IP.

40

Новый пакет с идентификационным заголовком, расположенным между заголовком IP иданными, отправляется через маршрутизатор в пункт назначения. Когда этот пакетпопадает на межсетевой экран, который проверяет его идентичность, вычисляя хэш спомощью хэш-функции, указанной в SA. Обе стороны должны использовать одни и теже хэш-функции. Как показано на рисунке 28, межсетевой экран сравниваетвычисленный им хэш с параметрами, указанными в соответствующем поле AH. Если этивеличины совпадают, идентичность и целостность данных считается доказанной (еслипакет передан из удаленной точки и при передаче не был искажен ни один бит).

Рисунок 28: Проверка идентичности и целостности данных.

41

Заметим, что вставка заголовка АН расширяет пакет и поэтому для данного пакетаможет потребоваться фрагментация. Фрагментация производится после заголовка AHдля исходящих пакетов и перед ним для входящих пакетов.

Если помимо всего вышесказанного стороны пожелают использовать средстваподдержки конфиденциальности, SA указывает, что весь трафик, поступающий изудаленного маршрутизатора на межсетевой экран предпрития долженидентифицироваться и шифроваться. В противном случае межсетевой экран его непропустит. ESP поддерживает идентификацию, целостность и конфиденциальностьданных и работает в двух режимах: туннельном и транспортном, как показано нарисунках 29 и 30.

Рисунок 29: Туннельный режим ESP.

42

Рисунок 30: Транспортный режим ESP.

В туннельном режиме вся датаграмма IP, заголовок IP и данные встраиваются взаголовок ESP. В транспортном режиме шифруются только данные, а заголовок IPпередается в незашифрованном виде. Современные стандарты требуют использованияDES в режиме цепочки зашифрованных блоков (CBC).

Заметим, что вставка заголовка АН расширяет пакет и поэтому для данного пакетаможет потребоваться фрагментация. Фрагментация производится после ESP дляисходящих пакетов и перед ESP для входящих пакетов.

Преимущества поддержки безопасности на сетевом уровне с помощью IPSec включают:

• поддержку совершенно немодифицированных конечных систем, хотя в этомслучае шифрование нельзя назвать в полном смысле слова сквозным (end-to-end);

• частичную поддержку виртуальных частных сетей (VPN) в незащищенных сетях;• поддержку транспортных протоколов, иных чем TCP (например, UDP);• защиту заголовков транспортного уровня от перехвата и, следовательно, более

надежную защиту от анализа трафика;• при использовании AH и средств обнаружения повторяющихся операций

обеспечивается защита от атак типа “отказ от обслуживания”, основанных на“затоплении” систем ненужной информацией (например, от атак TCP SYN).

Самую свежую информацию и более подробные технические детали можно получить врабочей группе IETF по протоколу безопасности IP (IPSEC) по адресу:http://www.ietf.org/html.charters/ipsec-charter.html.

X.509Многие протоколы и приложения, которые пользуются услугами Интернет, применяют вцелях безопасности технологию общих ключей. Для безопасного управления общимиключами в среде широко распределенных пользователей или систем им необходим PKI.

43

Стандарт X.509 представляет собой весьма популярную основу для подобнойинфраструктуры. Он определяет форматы данных и процедуры распределения общихключей с помощью сертификатов с цифровыми подписями, которые проставляютсясертификационными органами (CA). RFC 1422 создает основу для PKI на базе X.509,что позволяет удовлетворить потребности электронной почты с повышенным уровнемзащищенности, передаваемой через Интернет (PEM). С момента появления RFC 1422требования приложений к PKI для сети Интернет резко выросли. Столь же резковозросли и возможности X.509. Предстоит большая работа по поддержке цифровыхсертификатов в Web-приложениях, а также в приложениях электронной почты иприложениях IPSec. В действующих стандартах определен сертификат X.509 версия 3 исписок отзыва сертификатов (CRL) версия 2.

Для технологии общих ключей необходимо, чтобы пользователь общего ключа былуверен, что этот ключ принадлежит именно тому удаленному субъекту (пользователюили системе), который будет использовать средства шифрования или цифровойподписи. Такую уверенность дают сертификаты общих ключей, то есть структурыданных, которые связывают величины общих ключей с субъектами. Эта связьдостигается цифровой подписью доверенного CA под каждым сертификатом.Сертификат имеет ограниченный срок действия, указанный в его подписанномсодержании. Поскольку пользователь сертификата может самостоятельно проверитьего подпись и срок действия, сертификаты могут распространяться черезнезащищенные каналы связи и серверные системы, а также храниться в кэш-памятинезащищенных пользовательских систем. Содержание сертификата должно бытьодинаковым в пределах всего PKI. В настоящее время в этой области предлагаетсяобщий стандарт для Интернет с использованием формата X.509 v3 (см. рисунок 31).

Рисунок 31: Формат сертификата X.509 v3.

Каждый сертификат состоит из трех основных полей: текста сертификата, алгоритмаподписи и самой подписи. В тексте сертификата указывается номер версии, серийныйномер, имена эмитента и субъекта, общий ключ для субъекта, срок действия (дата ивремя начала и окончания действия сертификата). Иногда в этом тексте содержитсядополнительная опционная информация, которую помещают в уникальные поля,связывающие пользователей или общие ключи с дополнительными атрибутами.Алгоритм подписи - это алгоритм, который использует CA для подписи сертификата.Подпись создается пропусканием текста сертификата через одностороннюю хэш-функцию. Величина, получаемая на выходе хэш-функции, зашифровывается частным

44

ключом CA. Результат этого шифрования и является цифровой подписью (см. рисунок32).

Рисунок 32: Создание цифровой подписи для сертификата X.509 v3.

При выдаче сертификата подразумевается, что он будет действовать в течение всегоуказанного срока. Однако могут возникнуть обстоятельства, требующие досрочногопрекращения действия сертификата. Эти обстоятельства могут быть связаны сизменением имени, изменением ассоциации между субъектом и CA (если, например,

45

сотрудник уходит из организации), а также с раскрытием или угрозой раскрытиясоответствующего частного ключа. В этих случаях CA должен отозвать сертификат.

CRL представляет собой список отозванных сертификатов с указанием времени. Онподписывается CA и свободно распространяется через общедоступный репозиторий. Всписке CRL каждый отозванный сертификат опознается по своему серийному номеру.Когда у какой-то системы возникает необходимость в использовании сертификата(например, для проверки цифровой подписи удаленного пользователя), эта система нетолько проверяет подпись сертификата и срок его действия, но и просматриваетпоследний из доступных списков CRL, проверяя, не отозван ли этот сертификат.Значение термина "последний из доступных" зависит от местной политики в областибезопасности, но обычно здесь имеется в виду самый последний список CRL. CAсоставляет новые списки CRL на регулярной основе с определенной периодичностью(например, каждый час, каждый день или каждую неделю). Отозванные сертификатынемедленно вносятся в список CRL. Записи об отозванных сертификатах удаляются изсписка в момент истечения официального срока действия сертификатов.

На рисунке 33 показан пример связи между системами и единым CA при помощицифровых сертификатов.

Рисунок 33: Передача цифрового сертификата.

46

Оба маршрутизатора и CA имеют свои пары общих/частных ключей. Вначале CAдолжен передать обоим маршрутизаторам по защищенным каналам сертификат X.509v3. Кроме того, оба маршрутизатора должны получить по защищенным каналам копиюобщего ключа CA. После этого если маршрутизатор в Нью-Йорке имеет трафик дляотправки парижскому маршрутизатору и хочет передать этот трафик идентичным иконфиденциальным способом, он должен предпринять следующие шаги:

1. Маршрутизатор в Нью-Йорке направляет запрос в CA для получения общегоключа парижского маршрутизатора.

2. CA отправляет ему сертификат парижского маршрутизатора, подписанныйсвоим частным ключом.

3. Маршрутизатор в Нью-Йорке проверяет подпись общим ключом CA иубеждается в идентичности общего ключа парижского маршрутизатора.

4. Парижский маршрутизатор направляет запрос в CA для получения общегоключа нью-йоркского маршрутизатора.

5. CA отправляет ему сертификат нью-йоркского маршрутизатора, подписанныйсвоим частным ключом.

47

6. Парижский маршрутизатор проверяет подпись общим ключом CA и убеждаетсяв идентичности общего ключа нью-йоркского маршрутизатора.

Теперь когда оба маршрутизатора обменялись своими общими ключами, они могутпользоваться средствами шифрования и с помощью общих ключей отправлять другдругу идентичные конфиденциальные данные. Для получения общего секретного ключаобычно используется метод Диффи-Хеллмана, поскольку общий секретный ключ, какправило, применяется для шифрования больших объемов данных.

Предстоит большая работа по созданию эффективной инфраструктуры обращенияобщих ключей в среде Интернет и в корпоративной среде. Еще не решены вопросыввода в действие новых сертификатов (как регистрировать новый сертификат в CA?),распределения сертификатов через какую-то службу директорий (рассматриваетсявозможность использования для этой цели FTP или Lightweight Directory Access Protocol[LDAP] ) и перекрестной сертификации сертификатов (управления иерархиейсертификатов).

Самую свежую информацию и более подробные технические детали можно получить врабочей группе IETF по инфраструктуре общих ключей (PKIX) по адресу:http://www.ietf.org/html.charters/pkix-charter.html.

Технологии удаленного доступа к виртуальнымчастным сетямВиртуальные частные сети с удаленным доступом (Virtual Private Dialup Networks -VPDN) позволяют крупным компаниям расширять свои частные сети, используя линииудаленной связи. Новые технологии снимают проблему высокой стоимостимеждугородной или международной связи и проблему низкой защищенности общихтелефонных линий и каналов Интернет, через которые удаленный пользовательполучает доступ к корпоративной сети. Новые технологии предоставляют удаленнымофисам и пользователям безопасный доступ к инфраструктуре предприятия черезместное подключение к сети Интернет. В настоящее время для этого используется трипротокола: протокол эстафетной передачи на втором уровне (Layer 2 Forwarding - L2F),сквозной туннельный протокол (Point-to-Point Tunneling Protocol - PPTP) и туннельныйпротокол второго уровня (Layer 2 Tunneling Protocol - L2TP).

L2FПротокол эстафетной передачи на втором уровне (Layer 2 Forwarding - L2F) былразработан компанией Cisco Systems. Он обеспечивает туннелирование протоколовканального уровня (то есть фреймов High-Level Data Link Control [HDLC], async HDLCили Serial Line Internet Protocol [SLIP] ) с использованием протоколов более высокогоуровня, например IP. С помощью таких туннелей можно разделить местоположениесервера удаленного доступа, к которому подключается пользователь, используяместные коммутируемые линии связи, и точки, где происходит непосредственнаяобработка протокола удаленного доступа (SLIP, PPP) и пользователь получает доступ всеть. Эти туннели дают возможность использовать приложения, требующие удаленногодоступа с частными адресами IP, IPX и AppleTalk через протокол SLIP/PPP посуществующей инфраструктуре Интернет. Поддержка таких многопротокольныхприложений виртуального удаленного доступа очень выгодна конечным пользователями независимым поставщикам услуг, поскольку позволяет разделить на всех расходы насредства доступа и базовую инфраструктуру и дает возможность осуществлять доступчерез местные линии связи. Кроме того такой подход защищает инвестиции, сделанныев существующие приложения, работающие не по протоколу IP, предоставляязащищенный доступ к ним и в то же время поддерживая инфраструктуру доступа кИнтернет.

PPTPСквозной туннельный протокол Point-to-Point Tunneling Protocol (PPTP) созданкорпорацией Microsoft. Он никак не меняет протокол PPP, но предоставляет для него

48

новое транспортное средство. В рамках этого протокола определяется архитектураклиент/сервер, предназначенная для разделения функций, которые существуют втекущих NAS, и для поддержки виртуальных частных сетей (VPN). Сервер сети PPTP(PNS) должен работать под управлением операционной системы общего назначения, аклиент, которые называется концентратором доступа к PPTP (PAC), работает наплатформе удаленного доступа. PPTP определяет протокол управления вызовами,который позволяет серверу управлять удаленным коммутируемым доступом черезтелефонные сети общего пользования (PSTN) или цифровые каналы ISDN илиинициализировать исходящие коммутируемые соединения. PPTP использует механизмобщей маршрутной инкапсуляции (GRE) для передачи пакетов PPP и обеспечивая приэтом контроль потоков и сетевых заторов. Безопасность данных в PPTP можетобеспечиваться при помощи протокола IPSec.

L2TPКак видим, протоколы L2F и PPTP имеют сходную функциональность. Компании Cisco иMicrosoft согласились вместе (в рамках IETF) разработать единый стандартныйпротокол, который получил название туннельного протокола второго уровня (Layer 2Tunneling Protocol - L2TP). Обе компании будут и далее поддерживать свои собственныерешения для виртуальных частных сетей (L2F и PPTP), а также путь перехода от этихрешений к L2TP. Поэтому сегодня заказчики могут внедрять существующие решениядля виртуальных частных сетей и быть абсолютно уверены в том, что их инвестиции небудут потеряны, когда на рынке появится L2TP.

Пример использования этих протоколов приведен на рисунке 34.

Рисунок 34: Пример виртуального удаленного доступа.

Самую свежую информацию и более подробные технические детали можно получить врабочей группе IETF по расширениям протокола РРР (pppext) по адресу:http://www.ietf.org/html.charters/pppext-charter.html.

49

Сервис Директории и Технологии НаименованияВ настоящее время все больше исследований проводится для решения проблем,связанных с безопасностью при обеспечении надежного механизма для распределенияобщих ключей. Большая часть этой работы выполняется в области сервиса именидомена и сервиса директорий. В данном разделе рассматриваются разработкипротоколов LDAP и DNSSEC.

LDAPLightweight Directory Access Protocol (LDAP) – это протокол для обращения к сервисудиректорий в режиме реального времени. Протокол LDAP был разработанУниверситетом шт. Мичиган в 1995 г. для обеспечения более легкого доступа кдиректориям Х.500. Протокол X.500 был слишком сложными и требовал слишком многоресурсов компьютера для многих потребителей, поэтому и был разработан упрощенныйвариант. Протокол LDAP особо ориентирован на приложения управления и просмотра,которые обеспечивают интерактивный доступ к директориям в режиме чтение/запись.При совместном использовании с директорией, поддерживающей протоколы Х.500,данный протокол предполагается применять в качестве дополнения к протоколу доступак директории X.500 Directory Access Protocol (DAP). RFC 1777 – это версия 2 протоколаLDAP. В настоящее время ведется работа над версией 3, которая будет являетсябазовой для сети Интернет. Протокол LDAP использует непосредственно протокол TCPи может быть использован для обращения как к автономному сервису директории LDAPтак и для обращения к сервису директории, которая заканчивается директорией Х.500.

Данный стандарт определяет:• Сетевой протокол для получения доступа к информации в директории• Информационную модель, которая определяет форму и характер информации• Пространство имен, которое устанавливает, как информация снабжена

ссылками и организована• Распределенную модель функционирования, которая устанавливает, как данные

могут быть распределены и снабжены ссылками (в версии 3).Общая модель, принятая в LDAP, – это один из клиентов, выполняющий протокольныеоперации с серверами. В этой модели клиент передает запрос протокола, описывающийсерверу операцию, которую необходимо выполнить. Этот сервер становитсяответственным за проведение необходимых операций в директории. По завершениюопераций сервер посылает ответ содержащий какие-либо результаты или ошибки. Этотсценарий показан на Рисунке 35.

Рисунок 35: Работа протокола LDAP

50

В версиях 1 и 2 протокола LDAP не был предусмотрен возврат ссылок серверомклиенту. Если сервер LDAP не знает ответа на запрос, он скорее обратится к другомусерверу за информацией, чем пошлет клиенту сообщение о необходимости перейти кданному другому серверу. Однако, для улучшения функционирования и распределенияэта версия протокола позволяет серверам возвращать клиентам ссылки на другиесервера. Такая установка позволяет серверам отбросить работу по установлениюконтактов с другими серверами для ускорения выполняемых операций. Протокол LDAPоперирует на допущении того, что существуют один или более серверов, которыесовместно обеспечивают доступ к информационному дереву директории DIT. Этодерево составлено из входов, которые имеют имена: одно или более атрибутивноезначение входа формирует его соответствующее отличительное имя RDN, котороедолжно быть уникальным среди других таких же входов. Соединение имен RDNпоследовательности входов от конкретного входа к непосредственному подуровнюкорня дерева формирует это отличительное имя, которое является уникальным вдереве. Некоторые сервера могут содержать кэш-память или теневые копии входов,которые могут быть использованы для ответа на поисковый запрос, сравнительныезапросы, но будут возвращать ссылки или взаимодействовать с другими серверами,если поступил запрос на операции по модификации.Протокол LDAP устанавливает следующие операции:

• Связывающая операция инициирует протокольный сеанс между клиентом исервером и обеспечивает идентификацию клиента для сервера. Связывающаяоперация должна быть первым оперативным запросом, полученным серверомот клиента в протокольном сеансе в версиях 1 и 2, однако данное ограничениебыло отменено в версии 3.

• Операция по прекращению связи завершает протокольный сеанс.• Поисковая операция позволяет клиенту сделать запрос на выполнение

сервером поиска от его имени.• Операция по модификации позволяет клиенту сделать запрос на выполнение

модификации информационной базы директории сервером от его имени.• Операция по дополнению позволяет клиенту сделать запрос на введение

дополнительного входа в директории.• Операция по удалению позволяет клиенту запросить удаление какого-либо

входа из директории.• Операция по модификации имени RDN позволяет клиенту изменить последний

компонент имени входа в директории.• Операция по сравнению позволяет клиенту сравнивать утверждение

обеспечиваемое входом директории.• Операция на завершение позволяет клиенту запросить сервер отставить

невыполненную операцию.

51

• Расширенная операция является новой в версии 3, она введена дляобеспечения определения дополнительных операций для тех видов сервиса,которые недоступны где-либо еще в протоколе; например, отмеченныецифровым способом операции и результаты.

Примечание. Связывающая операция протокола LDAP в версии 2 позволяет лишьпростую идентификацию, состоящую из пароля открытого (незашифрованного текста), иидентификацию Kerberos версии 4. В версии 3 допущен любой механизм SASL уровнябезопасности и простой идентификации. SASL позволяет обращаться к сервисуобеспечения целостности и секретности. Также допускается возвратидентификационных данных сервером клиенту, если сервер изберет именно этот путь.

Для получения большего объема технической информации и последних достиженийобращайтесь к ASID (поиск, поиск и индексирование директорий) и рабочие группы IETFпо созданию новых версий протокола LDAP, имеющих следующие адреса в сетиИнтернет, соответственно: http://www.ietf.org/html.charters/asid-charter.html иhttp://www.ietf.org/html.charters/ldapext-charter.html .

DNSSECСистема имени домена DNS стала важной действующей частью инфраструктуры сетиИнтернет. И все же она еще не имеет сильного механизма защиты для обеспеченияцелостности данных или идентификации. Расширения к DSN обеспечивают эти видысервиса для устройств с функциями защиты или для приложений за счет использованиекриптографических цифровых подписей. Эти цифровые подписи включены взащищенные зоны в виде ресурсных записей. Во многих случаях защита все еще можетбыть обеспечена даже через DNS сервера, в которых функции защиты непредусмотрены. Эти расширения также предусматривают хранениеидентифицированных общих ключей в DSN. Такое хранение ключей можетподдерживать общий сервис распределения общих ключей так же, как и безопасностьDNS. Хранящиеся ключи позволяют устройствам с функциями защиты запомнитьидентифицирующий ключ зон в дополнение к тем зонам, к которым они изначальнонастроены. Ключи, связанные с именами DNS, могут быть запрошены для поддержкидругих протоколов. Предусмотрено применение целого ряда алгоритмов и типовключей. Расширения защиты предусматривают дополнительную идентификациютрансакций протокола DSN.Для ознакомления с текущими разработками и получения дополнительных техническихподробностей обращайтесь к рабочей группе IETF Domain Name System Security(dnssec) по адресу в сети Интернет: http://www.ietf.org/html.charters/dnssec-charter.html.

Разработка политики безопасности предприятияОпределение политики безопасности предприятия является одним из краеугольныхкамней разработки сети предприятия. Это так же важно, как и определение диапазонатребований или потребностей резервирования. Политика безопасности определяет иустанавливает руководящие принципы, которых должен придерживаться персонал,получивший доступ к технологическим и информационным ресурсам организации. Нижеприведены преимущества разработки корпоративной политики безопасности:

• Создание структуры для совершенствования элементов безопасности винфраструктуре сети

• Обеспечение процесса проверки существующей системы безопасности сети• При необходимости – создание базы для юридических действийПолитика безопасности предприятия является результатом оценки риска иопределения важных средств и возможных угроз. Средства сети в себя включают:• Хосты сети (такие как ПК; включает операционные системы, приложения и

данные хостов)• Устройства сети (такие как маршрутизаторы, коммутаторы и межсетевые

экраны)• Данные сети (данные, которые передаются по данной сети)

52

Вы должны установить, как средства Вашей сети, так и степень, в которой каждое изэтих средств должно быть защищено. Если устройства сети или данные подвергнутыриску, приведет ли это к затруднению или краху? Чем больше вероятность краха, темстроже должна быть политика обеспечения безопасности.Угрозы обычно возникают в виде перехвата или кражи информации, нарушениявозможности доступа к ресурсам сети (нападения типа «отказ в сервисе»),несанкционированный доступ к ресурсам или манипуляция данными. Особымивнимание уделяется зонам подключения к сети, точкам удаленного доступа, а такжеважным устройствам и серверам инфраструктуры сети.

При разработке политики безопасности необходимо учитывать требованиесбалансировать легкость доступа к информации и адекватный механизм идентификацииразрешенного пользователя и обеспечения целостности и конфиденциальности данных.Политика безопасности должна внедрятся принудительно как технически, так иорганизационно. Для начала необходимо определить, что и от чего должно бытьзащищено. Кроме того, должна быть учтена вероятность угроз. Обычно самым легкимпутем является разделение сети предприятия на три отличительных составных части:главный комплекс зданий - далее по тексту "комплекс", подключение удаленного доступаи подключение к сети Интернет, как показано на Рисунке 36.

Рисунок 36: Составные части сети предприятия

Сеть главного комплекса включает центральную сеть предприятия. Компонентудаленного доступа содержит подключение для удаленных отделений предприятия,надомных и/или мобильных пользователей. Компонент сети Интернет, который можетбыть назван периметром сети, обеспечивает подключение от центрального комплекса ксети Интернет. Все три компонента: главный комплекс, удаленный доступ и сетьИнтернет могут быть рассмотрены отдельно для разработки всеобъемлющей политикибезопасности.В политике безопасности рассматриваются три главных элемента: идентичность,целостность и аудит. Идентичность – это элемент, который включает какидентификацию, так и авторизацию. Функция идентификации отвечает на вопрос: «КтоВы?» и «Где Вы?», а функция авторизации - «К чему Вы имеете допуск?».Механизмы идентичности необходимо внедрять осторожно, т.к. даже самаяпродуманная политика может быть расстроена, если сложно использоватьусовершенствования. Классическим примером является запись пароля на клочке бумагии прикрепление его к монитору компьютера – что является выходом для потребителя,который должен помнить множество паролей для получения доступа к меняющимся

53

составным частям сети. Обременительные или чрезмерно дублированные системыверификации и авторизации могут расстроить пользователей, поэтому их следуетизбегать. Целостность – это элемент, который включает безопасность устройстваинфраструктуры сети (физический и логический доступ), безопасность периметра иконфиденциальность данных. Безопасность физического доступа может выражаться вразмещении оборудования сети в специально созданных для этого оборудованияшкафах, которые имеют ограниченный доступ.Безопасность логического доступа главным образом относится к обеспечениюмеханизмов идентичности (идентификации и авторизации) перед тем, как дать доступдля сети связи Telnet или для терминала к компонентам инфраструктуры общей сети(например, маршрутизаторам или межсетевым экранам).Безопасность периметра связана с функциями межсетевых экранов, определяющих,какой трафик разрешен или запрещен от различных зон сети, обычно – между сетьюИнтернет и главным комплексом или между пользователями удаленного доступа иглавным комплексом. Последним главным элементом системы безопасности являетсяаудит, который необходим для слежения и верификации процесса исследованияполитики безопасности.Для испытания эффективности инфраструктуры системы безопасности, аудитбезопасности должен происходить часто, через равные промежутки времени, а такжедолжен включать проверки установки новой системы, методы для определениявозможной вредительских действий кого-либо из внутреннего персонала и возможногоналичия особого класса проблем (нападения типа «отказ в сервисе»), а также общееследование политике безопасности объекта.Ниже приведен примерный список вопросов для оказания помощи в определенииполитики безопасности предприятия для данной среды. Сами по себе вопросыдостаточно прямые. Именно ответы могут стать сложными из-за неизвестного риска дляинформации, находящейся под угрозой. Во-первых, необходимо выполнить общуюоценку в масштабах компании с последующим уточнением деталей для составныхчастей: внутреннего комплекса, внешнего подключения удаленного допуска и внешнейсети Интернет.

Политика в отношении информации• Какая информация является конфиденциальной и должна быть защищена?• Как эта информация будет защищена?• Будет ли эта конфиденциальная информация зашифрована?• Будет ли существовать ограниченный доступ к информации?• Кто может обратиться к информации и внести в ней изменения?• Кто может аннулировать доступ к информации?• Кто имеет право настроить и задать конфигурацию инфраструктуры сети?

Доступ внутреннего комплексаНа рисунках 37, 38 и 39 отдельно показаны три составные части сети вместе собразцами вопросов для облегчения выработки соответствующей политикибезопасности.

Рисунок 37. Внутренний комплекс

54

Идентичность• Должны ли все иметь доступ ко всем ресурсам?• Будет ли ограниченный доступ к различным ресурсам?• Будет ли ограниченный доступ к некоторым отделам?• Будет ли ограниченный доступ к некоторым объектам?• К каким ресурсам будет ограничен доступ и от кого?• Какие механизмы будут использованы для обеспечения идентичности между

объектами?

Целостность• Какие требования должны быть удовлетворены, прежде чем устройство может

быть подключено к корпоративной сети?• Какие требования должны быть удовлетворены, прежде чем удаленный объект

устройство может быть подключен к корпоративной сети?• Какие механизмы будут использованы для обеспечения целостности данных при

работе между объектами?• Какие механизмы будут использованы для обеспечения конфиденциальности

данных при работе между объектами?

55

Активный аудит• Как политика проверяется и внедряется?• Как осуществляется слежение для выявления вторжения?

Внешний удаленный доступ

Рисунок 38. Внешний удаленный доступ

Идентичность• Какие механизмы будут использованы для идентификации пользователей

удаленного доступа?

Целостность• Как осуществлено подключение к внешним сетям?• Кто может настроить модемы для удаленного доступа к сети и доступа к

наружным сетям?• Кто может настроить удаленные маршрутизаторы?• Какие механизмы будут использованы для обеспечения целостности данных при

работе между объектами?• Какие механизмы будут использованы для обеспечения конфиденциальности

данных при работе между объектами?

Активный аудит• Как политика проверяется и внедряется?• Как осуществляется слежение для выявления вторжения?

56

Внешний доступ сети Интернет

Рисунок 39. Внешняя сеть Интернет

Идентичность• Какие механизмы будут использованы для идентификации пользователей сети

Интернет?• Кто должен иметь доступ к сети Интернет?• Что этот персонал может выполнять в сети Интернет?• Кто должен получить доступ к Вашей сети из сети Интернет?• Что разрешено выполнять пользователям, входящих в Вашу сеть из сети

Интернет?

Целостность• Кто может задать конфигурацию устройств периметра?• Как установлены связи к и от сети Интернет?• Какие механизмы будут использованы для обеспечения целостности данных ?• Какие механизмы будут использованы для обеспечения конфиденциальности

данных?

Активный аудит• Как политика проверяется и внедряется?• Как осуществляется слежение для выявления вторжения?

Эти вопросы предлагают упрощенную модель начала процесса разработки политикибезопасности в масштабах предприятия. Для получения всеобъемлющих руководящихпринципов по выработке политики безопасности обращайтесь к руководству побезопасности объекта, которое является информационным запросом на комментарии(RFC 2196) из IETF: ftp://ds.internic.net/rfc/rfc2196.txt. Имейте в виду, что политикаобеспечения безопасности не может оставаться статичной. Поскольку организациипостоянно подвергаются изменениям, политика по обеспечению безопасности должнасистематически обновляться для отражения новых направлений в бизнесе,технологических изменений и распределения ресурсов. При разработке политикиобеспечения безопасности самое время обратить внимание на то, как обеспечитьОбеспечение выбранной политики в инфраструктуре сети.

57

Существующие разработки Cisco по обеспечениюбезопасности сети предприятияВ этом разделе рассмотрены системные компоненты существующих продуктов Cisco,которые могут быть использованы уже сейчас для выполнения политики обеспечениябезопасности какой-либо данной сети предприятия. Эти системные компонентывключают такие элементы, как идентичность, целостность и аудит в инфраструктурувашей сети.В зависимости от особенностей политики обеспечения безопасности предприятия,степени защиты, требуемой для каждой зоны, процесс внедрения этих элементов дляглавного комплекса, компонентов удаленного доступа и доступа сети Интернет можетотличатся. Некоторые технологии обеспечивают более интенсивную защиту, но этообычно достигается за счет более высокой стоимости при повышенном использованиивозможностей центрального процессора. При разработке политики определитетребования по обеспечению безопасности перед определением безопасности, а не ееобеспечением с тем, чтобы Вы не пришли к простому оправданию конкретныхтехнических решений, которые в действительности могут и не требоваться.Данный раздел не является всеобъемлющим глубоким изучением продукта и системныхкомпонентов, а скорее представляет собой обстоятельный обзор для помощи в выборе,в котором какой-либо системный компонент наилучшим образом сообразуется сприменением существующей системы обеспечения безопасности.Ccылки на документацию Cisco, которая в подробностях описывает продукты исистемные компоненты, даны в конце каждого раздела.

ИдентичностьНа рисунке 40 показана сеть большого предприятия, которая состоит из трех основныхобластей доступа:

• Доступ через Интернет• Удаленный доступ• Доступ в рамках комплекса зданий

Рисунок 40. Составные части сети предприятия

Для всех трех областей доступа мы хотим установить идентичность потребителей илиустройств (Кто Вы? и Где Вы?) перед авторизацией доступа к определенным частямсети или особых приложений. Обычно с доступом сети Интернет и удаленным доступом

58

это является предпочтительным для идентификации особых потребителей. В пределахсамого комплекса главным образом существует требование в идентификации клиентов(т.е. конечных хостов, серверов, принтеров), однако, в настоящее время начинаетпревалировать тенденция устанавливать личность отдельного пользователя даже впределах комплекса перед тем, как позволить допуск к определенным частям сети илиособым приложениям.Для установления идентичности пользователей и хостов перед допуском к ресурсамсети (т.е. использование механизмов идентификации и авторизации) у Cisco имеютсяследующие продукты и системные компоненты:

• Cisco PPP PAP/PPP CHAP• Cisco TACACS+/RADIUS client• CiscoSecure TACACS+/RADIUS servers• Cisco firewall authentication

• Cisco IOS® Lock and Key• PIX' Firewall cut-through proxy

• Cisco IOS KerberosНиже показано, как эти продукты и системные компоненты могут применяться.

Cisco PPP PAP/PPP CHAPПрограммное обеспечение Cisco IOS обеспечивает полную поддержку стандартныхпротоколов идентификации PPP PAP и PPP CHAP. Для больших сред удаленногодоступа должна быть использована центральная структура базы данных такая, какTACACS+ и RADIUS с целью облегчения отслеживания клиентов и паролей, а такжеразличных уровней авторизации.

Клиенты Cisco TACACS+/RADIUSВ средах удаленного доступа достигнуто масштабируемое решение в отношенииидентификации посредством использования протоколов TACACS+ или RADIUS. Обапротокола разработаны как взаимодействие клиент/сервер и предусматриваютраспределенную и масштабируемую архитектуру ААА для пользователей удаленногодоступа.Программное обеспечение Cisco IOS поддерживает программное обеспечениеTACACS+ client с момента выпуска Release 10.3(3) и RADIUS client c момента выпускаRelease 11.1. Обычно сервер удаленного доступа функционирует как TACACS+ илиRADIUS client для удаленных пользователей в большой корпоративной сети.

Серверы Cisco TACACS+/RADIUSПродукты управления доступом CiscoSecure были разработаны для централизацииконтроля доступа серверов доступа, межсетевых экранов, коммутаторов имаршрутизаторов использующих при этом функциональные возможности программногообеспечения Cisco IOS. Набор продуктов CiscoSecure имеет диапазон от простых виспользовании продуктов начального уровня, которые позволяет администраторамвнедрить архитектуру ААА, до наиболее сложных приложений, ориентированных напоставщиков услуг и обеспечивающих преобразование протоколов безопасности ираспределенную обработку запросов. Эти продукты включают CiscoSecure EasyACS,CiscoSecure ACS для Windows NT, CiscoSecure Access Control Server (ACS) для UNIX иCiscoSecure Global Roaming Server (GRS) для UNIX, краткие описания которыхприведены ниже.

CiscoSecure EasyACSПоставляемый с каждым сервером доступа CiscoSecure EasyACS являетсяпрограммным обеспечением сервера безопасности начального уровня, который можетфункционировать на сервере операционной системы Windows NT, обслуживая одинсервер удаленного доступа. Это позволяет поставщикам услуг и предприятиям начатьобеспечение централизованного контроля доступа и осуществление мер безопасности.Продукт CiscoSecure EasyACS обеспечивает базовую поддержку протокола TACACS+ и

59

интерфейс на основе браузера для упрощения и распределения конфигурациипользователей и групп пользователей, а также для настройки самого EasyACS. Егоподдержка базы пользователей Windows NT обеспечивает единую процедурувхождения в сеть. Учетная информации, хранящейся в формате «значение,разделенное запятой»/comma-separated-value (CSV) обеспечивает удобный процессимпорта данных для приложений выставления счетов за услуги. Обеспечивается такжеподдержка монитора производительности Windows NT для просмотра статистики вреальном масштабе времени.

CiscoSecure ACS для Windows NTCiscoSecure ACS для Windows NT является важным продуктом обеспечениябезопасности удаленного доступа для предприятий и рабочих групп, которымнеобходимо масштабирование политики безопасности для инфраструктуры WindowsNT. CiscoSecure ACS для Windows NT обеспечивает одновременную поддержкуTACACS+ and RADIUS. Поддержка баз данных Windows NT обеспечивает единуюпроцедуру вхождении в связь при использовании протоколов идентификации PAP илиMS-CHAP. Поддержка коммутируемых виртуальных сетей обеспечивается как на уровнесервера удаленного доступа поставщика услуг, так и на уровне шлюза корпоративнойсети. Кроме того CiscoSecure ACS для Windows NT включает поддержку клиентов длясерверов аппаратных средств идентификации Security Dynamics и Axent Technologies. Вконечном счете, переход от CiscoSecure EasyACS к CiscoSecure ACS для Windows NTвесьма прост.

CiscoSecure ACS для UNIXCiscoSecure ACS для UNIX включает системные компоненты, которые расширяютвозможности поставщиков услуг по предложению сервисов по снижению затрат длякорпоративных пользователей. Это ПО также обеспечивает надежный, безопасныйсервер ААА, в котором нуждаются большие корпоративные потребители для защитысвоих сетей и информационных средств. CiscoSecure ACS для UNIX одновременноподдерживает полные версии протоколов TACACS+ и RADIUS, в то же времяобеспечивая поддержку баз данных для Oracle, Sybase или Sequenced Query Language(SQL) Anywhere. Кроме того, данный продукт может выступать клиентом для сервероваппаратных средств контроля доступа, например компаний Security Dynamics, SecureComputing и CryptoCard. Возможность контроля максимального количества сессий дляодного пользователя может быть использована для предотвращения несколькиходновременных сеансов. Этот продукт также, как CiscoSecure для NT обеспечиваетподдержку коммутируемых виртуальных сетей (VPDN) для создания туннелей L2F как упоставщика услуг, так в сети предприятия.

CiscoSecure GRS для UNIXВместе с CiscoSecure GRS, пользователи сети Интернет и мобильного доступа сиспользованием коммутируемых виртуальных сетей будут способны подключиться вглобальную сеть с обеспечением роуминга, состоящую из региональных поставщиковуслуг и поставщиков услуг Интернет, использующих существующие серверабезопасности TACACS+ или RADIUS. Глобальный роуминг значительно снизит затраты,связанные с мобильным доступом к корпоративным сетям и сети Интернет на большихрасстояниях. GRS работает следующим образом: вместо установления соединения сосновным офисом компании, расположенном на большом расстоянии, мобильныепользователи могут подключатся к ближайшим точкам доступа к сети Интернет или ихкорпоративной сети, таким образом устраняя высокие затраты, связанные с стоимостьюмеждународных или междугородних соединений по коммутируемым линиям связи.Поставщики услуг также могут использовать GRS для превращения существующихинфраструктур удаленного доступа в глобальную сеть с роумингом. Этот сценарийзначительно увеличивает количество точек доступа для поставщиков услуг сетиИнтернет или корпоративных партнеров. Т.к. CiscoSecure GRS можетвзаимодействовать с любым сервером TACACS+ или RADIUS, поставщики услуг могутпродолжать использовать свои существующие инфраструктуры ААА или базы данных.

60

CiscoSecure GRS для UNIX обеспечивает быстрое и удобное внедрение сервисаглобального роуминга; возможности сервера - посредника (proxy) , обеспечивающеготрансляцию и пересылку данных TACACS+ или RADIUS. Данный продукт также можетограничить количество сеансов роуминга на домен, давая поставщикам услуг мощныесредства для управления качеством услуг и получения дохода. Кроме того, возможностиподсчета дают гибкие решения для поставщика услуг и его клиентов.

Матрица системных компонентов для всех продуктов CiscoSecure представлена вТаблице 1.

Таблица 1. Матрица возможностей продуктов CiscoSecure ACS

Возможности CiscoSecureEasyACS V.1.0

CiscoSecureACS V.2.1 forWindows NT

CiscoSecureACS V.2.2 forUNIX

CiscoSecureGRS V.1.1 forUNIX

Базовые функции TACACS+(PPP-IP, PPP-IPX, Exec) Да Да Да

Трансляция исервер -посредник

Интерфейс пользователя HTML HTML/Java HTML/Java Java

Поддержка баз данныхWindows NT исобственнаябаза

Windows NT,собственнаябаза, ODBC

Oracle RDBMSили SybaseRDBMS

Oracle RDBMSилисобственнаябаза

Операционная система Windows NTServer 4.0

Windows NTServer 4.0 SUN Solaris SUN Solaris

Поддерживаемые системыпаролей PAP, CHAP PAP, CHAP, ARA

PAP, CHAP,ARA,DES,ClearText,S/Key, UNIX,etc.//passwd file

--

Блокирование пользователя понескольким неправильнымпопыткам идентификации

Да Да Да --

Тип файлов с учетнойинформацией CSV CSV RDBMS или

CSVИспользуетсяACS

Расширенные функцииTACACS+ (all T+ services, ACLs,downloadable strings)

-- Да Да Сервер -посредник

RADIUS (IETF) -- Да ДаТрансляция исервер -посредник

RADIUS (Cisco vendor-specificattribute) --- Да Да

Трансляция исервер -посредник

RADIUS (Ascend) --- Да ДаТрансляция исервер -посредник

Настраиваемый словарьRADIUS --- --- Да ---

Поддержка серверов аппартныхсредств идентификации --- Да Да ---

Поддержка шлюзовкоммутируемых виртуальныхсетей

Да Да ДаТрансляция исервер -посредник

Поддержка точек доступакоммутируемых виртуальных --- Да Да Трансляция и

сервер -

61

сетей посредник

Выделение имени домена длявиртуальных сетей --- --- Да

Трансляция исервер -посредник

Ограничение доступа повремени суток --- Да Да ---

Ограничение доступа по номеруабонента --- Да Да ---

Фильтры NAS, Port, Rem_AdrFilters --- Rem_Adr ---

Средства импорта данных --- Да Да ---Поддержка SSL для удаленногоуправления -- -- Да --

Групповое администрирование -- -- Да --Ограничение по количествусессий -- Да Да --

Интерфейс командной строки -- -- Да ДаТрансляция атрибутовTACACS+/RADIUS -- -- -- Да

Фильтры авторизационныхатрибутов -- -- -- Да

Максимальное количествосессий роуминга -- -- -- Да

Сравнение имен доменов дляроуминга -- -- -- Да

Настройка разделителей дляимен доменов -- -- -- Да

Примечание: При использовании протоколов TACACS+ или RADIUS, важно помнить,какие взаимные действия зашифрованы. Для обоих протоколов необходима настройкасекретного ключа для клиента и сервера. В этом случае протокол TACACS+ зашифруетвсю связь между сервером и клиентом. Протокол RADIUS зашифрует только пароль.Внедрение индивидуальных и виртуальных профилей пользователей и Cisco IOSVersion 11.3, используемых совместно с серверами безопасности обеспечивает гибкое,масштабируемое, легко поддерживаемое решение для клиентов с большимколичеством удаленных пользователей. Информация о параметрах каждогоиндивидуального пользователя храниться на сервере безопасности и посылается этимсервером на сервер доступа или маршрутизатор в ответ на запрос авторизации в ходеэтапа идентификации абонента РРР. Этот метод позволяет иметь индивидуальныепрофайлы для конкретных пользователей, обеспечивая индивидуальные возможностидоступа для каждого. Для получения более подробной информации обратитесь кhttp://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/dial_c/dcprt7/dcperusr.htm#9225.

На Рисунке 41 показан пример совместного применения семейства продуктовCiscoSecure и программного обеспечения Cisco IOS для идентификации и авторизациидоступа по запросу в больших предприятиях.

Рисунок 41. Удаленный доступ CiscoSecure

62

Идентификация Cisco FirewallCisco предлагает функции межсетевого экрана в своих маршрутизаторах Cisco IOS, атакже межсетевой экран PIX. Они выделяются тем, что расширяют возможности порешению задачи идентификации/авторизации в сети предприятия. Этими системнымикомпонентами являются Cisco IOS Lock and Key и PIX Cut-Through Proxy. (Болееобстоятельный обзор предложений Cisco в области межсетевых экранов будетприведен в разделе по безопасности периметра).

Cisco IOS Lock and KeyТехнология Lock and Key (замок и ключ) является механизмом для обеспечения легкогосоздания списков динамического доступа (пакетных фильтров). Это требует отпользователя идентификации до того, как появится список временного доступа наустройстве Cisco IOS. Программный компонент Lock and Key на основании ответовпользователя при идентификации обеспечивает загрузку уникального списка доступа влокальный или удаленный маршрутизатор, с которым удаленный пользовательустановил соединение. После правильных ответов на идентификационнуюпоследовательность Lock and Key создает "привязывает" временный список доступатолько к тому порту, к которому подключен данный пользователь. Временный входудаляется после истечения определенного холостого таймаута или абсолютноготаймаута, настроенного менеджером системы. Менеджер системы также может явноудалить список временного доступа. Lock and Key является платформо-независимымсредством и работает с такими сервисами, как ISDN, Frame Relay, X.25, dial-on-demandrouting (DDR), а также PPP. Это помогает обеспечить безопасность для одногопользователя, многочисленных пользователей и многочисленных устройств влокальных и удаленных сетях.Технологии идентификации, которые в настоящее время поддерживаются для данногосистемного компонента, включают следующие:

• TACACS+• RADIUS• Пароль линии/Line password• Пароль и имя пользователя/Username password

На рисунке 42 показаны примеры взаимодействия Lock and Key.

63

Рисунок 42. Lock and Key

Для получения более подробной информации по конфигурации Lock and Key,обращайтесь к разделу по конфигурации безопасности документации Cisco IOS поадресу Интернет:http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt3/sclock.htm

PIX Cut-Through ProxyСистемный продукт PIX Cut-Through Proxy обеспечивает идентификацию пользователядо использования определенных приложений. Эти приложения в настоящее времяограничены сеансами протоколов HTTP, Telnet и FTP. Идентификация поддерживаеткак TACACS+ так и RADIUS; таким образом, поддерживаемыми технологиямиидентификации являются те, которые поддерживаются семейством идентификационныхсерверов CiscoSecure. Идентификация для сеансов протоколов HTTP, Telnet и FTPможет быть установлена как для входящего, так и для исходящего трафика.На рисунке 43 показан промер взаимодействия компонента PIX Cut-Through Proxy.

Рисунок 43. Программный компонент PIX Cut-Through Proxy

64

Cisco IOS KerberosПрограммное обеспечение Cisco IOS Release 11.2 включает Kerberos V Clientподдержку. Этот компонент позволяет организациям, уже внедряющим Kerberos,совместно использовать ту же иерархию идентификационных данных для работы междусетями. Следующие виды сетевого сервиса поддерживаются идентификационнымивозможностями Kerberos в программном обеспечении Cisco IOS Release 11.2:

• Протокол удаленной копии (rcp)• Протокол удаленной оболочки (rsh)• Remote shell daemon (rshd)• Удаленное вхождение в связь (rlogin)• Telnet• Telnetd

Kerberos-зашифрованный Telnet поддерживается в Release 11.3ED. Поддержка состороны Cisco выполнения Kerberos V client основана на коде, разработанном CyberSafeи взятом из кода MIT. В результате выполнение Cisco Kerberosбыло успешно протестировано на полную совместимость с коммерческим серверомKerberos от CyberSafe Challenger и общим кодом сервера домена MIT.

65

Примечание: Так как идентификационный сервер поддерживает базу данных паролей(ключей шифрования), то для всех пользователей на объекте, чрезвычайно важнообеспечить его установку на тщательно и физически защищенной машине. Повозможности, данная машина должна быть выделена только для работыидентификационного сервера, а количество пользователей, имеющих доступ, должнобыть ограниченно. Начальные пароли для пользователей объекта должны бытьзарегистрированы на идентификационном сервере. Если количество пользователейневелико, то первичную регистрацию лучше провести в присутствии администратора,который может проверить водительское удостоверение, паспорт или другой физическийдокумент. На объектах с большим количеством пользователей и ограниченнойчисленности персонала в администрационной системе приемлемым компромиссомможет стать менее обременительная и менее безопасная процедура.Например, если пользователи регулярно обращаются к проверенной системе, топрограмма вхождения в связь может быть изменена для регистрации паролейнезарегистрированных пользователей после проверки правильности пароля. Будучипроще, чем персональная регистрация, такие методы самонастройки должны в то жевремя применятся с осторожностью, т.к. они изначально полагаются на безопасностьболее слабой идентификационной системы.

На рисунке 44 показан пример взаимодействия продукта Cisco IOS Kerberos

Рисунок 44. Cisco IOS Kerberos

66

Для получения более подробной информации по поддержке Cisco продукта Kerberosобращайтесь к разделу по конфигурации безопасности в отношении конфигурацииKerberos документации Cisco IOS по адресу в сети Интернет:http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt2/sckerb.htm.

ЦелостностьЦелостность включает комбинацию безопасности инфраструктуры, безопасностипериметра и конфиденциальности данных. Ниже приведены продукты и параметрыCisco которые могут быть использованы для выполнения той части политикибезопасности сети, которая относится к целостности:

• Безопасный доступ и конфигурация• Безопасная рабочая группа – безопасность порта• Безопасность периметра(межсетевые экраны)

• Cisco IOS packet filter firewall• PIX Firewall

• Безопасная маршрутизация• Безопасная пересылка данных

Безопасный доступ и конфигурация

Безопасный доступ и конфигурация относятся к обеспечения безопасностиинфраструктуры через механизмы идентификации и авторизации перед получениемфизического (терминал) и логического (Telnet) доступа к устройствам, которыесоставляют инфраструктуру вашей сети. Это также предусматривает различные уровнизащиты на основе разрешенных команд. Обычно этот сценарий достигается за счет порядового уровня доступа, начиная от простых демонстрационных команд и до болеевысокого уровня управления, такого как команды конфигурации. Для устройств CiscoIOS идентификация для доступа через терминал или Telnet может включать:

• Разрешающий пароль• TACACS+• RADIUS• Логический пароль• Kerberos• Пароль линии связи

Межсетевой экран PIX Firewall требует конфигурации хостов, которые могут иметьлогический доступ к устройству (через Telnet или HTTP), и использует простой механизмпароля.Семейство коммутаторов Catalyst® для контроля доступа через терминал или Telnetиспользует TACACS+, RADIUS или простые пароли.

Усовершенствование программного обеспечениябезопасности

Все выпуски программного обеспечения Cisco на Cisco Connection Online (CCO) и всевыпуски Cisco IOS на базе гибких дисков, следующие за и включающие выпуск версии10.2(5) в настоящее время обеспечены использованием идентификацией имиджа MD5.MD5, определенная в RFC1321, сканирует имидж и вырабатывает уникальную 128-битовую контрольную сумму. Математика алгоритма MD5 делает невозможнымсуществование той же контрольной суммы MD5 для двух различных файлов. MD5позволяет пользователю ССО убедиться, что ни одна единица информации не былаиспорчена в ходе передачи файла, тем самым снижая вероятность загрузкииспорченного программного обеспечения в их маршрутизаторы. Проверка гибкого дискаMD5 обеспечивает целостность имиджа при доставке информации на гибких дисках.

67

Безопасная рабочая группаВ зоне центрального комплекса все большее внимание уделяется обеспечениюцелостности на уровне рабочих групп. Продукт обеспечения безопасности порта вкоммутаторах Catalyst обеспечивает более специфическое управление устройствами,которые подключаются к портам коммутаторов. Этот компонент позволяет коммутаторуотслеживать, какой адрес управления доступа носителя информации Media AccessControl (MAC) с каким портом связан. Если в порт начинает поступать трафик с адресомисточника MAC, который отличается от ожидаемого, то включается система защиты ипроизводится одно из трех действий:

• Порт отключается до тех пор, пока администратор вновь его не включит• Порт отключается на определенное время• Посылается сигнал тревоги

Программный компонент безопасности порта дает дополнительную гибкостьвыполнению операций.

Безопасность периметраБезопасность периметра включает в себя все аспекты технологии защиты данных.По существу, это механизм, который внедряется для определения какой трафик можетпроходить к и от различных зон сети. Хотя пакетные фильтры составляют саму базовуюфункцию защиты данных, что может быть достигнуто за счет применения списковдоступа Cisco IOS (расширенных и рефлексивных), рекомендуется включение впериметр сети более мощных функциональных возможностей, входящих в один из двухтипов продуктов защиты данных, которые Cisco в настоящее время предлагает: PIX иCisco IOS Firewall Feature Set.Межсетевой экран PIX Firewall является специальным устройством безопасности,которое предлагает наиболее передовой набор компонентов и широкую поддержкуприложений в сочетании с прекрасным функционированием и масштабируемостью. Онобыло легко внедрено в средах больших и малых сетей, которые требуют высокогоуровня безопасности и низкой стоимости права владения. В настоящее время продуктPIX Firewall готов к реализации и предлагает выбор конфигураций платформ иразличных возможностей. Межсетевой экран Cisco IOS Firewall являетсяусовершенствованной версией, обеспечивающей широкую поддержку приложений идополняющей полную маршрутизацию и возможности доступа WAN, предлагаемыхпрограммным обеспечением Cisco IOS. Этот дополнительный набор компонентапозволяет легкую интеграцию в существующие среды на базе Cisco IOS и обеспечиваетусиление режима доступа на основе списков в пределах инфраструктуры сети.Набор Cisco IOS Firewall является гибким , легким в управлении решением, котороеможет способствовать существующему вложению маршрутизатора.Он может использоваться для платформ маршрутизатора Cisco 1600 и 2500.В таблице 2 представлено простое сравнение предложений межсетевых экранов Cisco.

Таблица 2. Решения Cisco Firewall

Cisco IOS Firewall PIX FirewallМетодология контролясостояния

Управление доступом набазе контекста

Алгоритм адаптивнойбезопасности

Фильтрование содержания Да ДаNAT Да ДаPAT Да ДаИдентификация Да ДаАвторизация Да ДаVPN Да Да

Методология контроля состояния основана на информации состояния по переговорамTCP и UDP. Средство защиты данных маршрутизатора Cisco IOS использует

68

управление доступом на базе подключения, которое основано на источнике и конечномпункте адресов протокола IP сети Интернет, номерам портов IP и наиболеераспространенных протоколов приложений. PIX Firewall использует адаптивныйалгоритм безопасности, где управление основано на адресах IP отправителя иполучателя протокола, номерах портов IP, случайных чисел последовательностей TCPи большого диапазона протоколов приложений.Какое из средств защиты данных внедрять в конкретной конструкции сети главнымобразом зависит от функциональных свойств и типа трафика. Более подробнаяинформация по каждому из этих межсетевой экранов может быть найдена по адресу:

PIX: http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v4/index.htm

Cisco IOS: http://wwwin.cisco.com/Mkt/cc/cisco/mkt/ios/tech/security/fire_ds.htm

Безопасная маршрутизацияБезопасная маршрутизация охватывает все области, которые обеспечиваютцелостность маршрутизации. Простейший путь произвести полное разрушение сети –это намеренно внедрить ложные маршруты в центральной сети. Данная проблемаможет быть решена путем применения идентификации и фильтрации маршрутов.Маршрутная идентификация гарантирует, что обновление маршрутизации исходит отпроверенного источника и что никакие данные не испорчены. Она используетшифрование, одностороннюю хэш-функцию для обеспечения идентификации рабочегоместа и целостность содержания обновления маршрутизации. На рисунке 45 показанпример маршрутной идентификации.

Рисунок 45. Маршрутная идентификация

На всех маршрутизаторах в сети должны быть настроены специальные ключи иалгоритм шифрования. Рекомендуется алгоритм MD5. Протоколы маршрутизации IP,которые в настоящее время поддерживают маршрутную идентификацию, включают всебя следующие: Routing Information Protocol Version 2 (RIPv2), Border Gateway Protocol(BGP), Open Shortest Path First (OSPF), Enhanced Interior Gateway Routing Protocol(EIGRP) и Intermediate System-to-Intermediate System (IS-IS). Для получения болееподробной информации по маршрутной идентификации обратитесь к «Руководству пообеспечению безопасности»/Security Configuration Guide, входящему в «Другиекомпоненты безопасности»/Other Security Features/«Маршрутная идентификациясоседа»/Neighbor Router Authentication по адресу:

69

http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt5/index.htm.

Для протоколов маршрутизации, которые не поддерживают маршрутнуюидентификацию МD5, применяются команды RIPv1 и IGRP типа validate-update-source,которые гарантируют, что IP адрес источника входящих обновлений маршрутизациинаходится в той же сети IP, что и один из адресов, определенных для принимающегоинтерфейса.Этот параметр действует по умолчанию. Для получения дальнейшей информацииобратитесь к источнику по адресу:http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/np1_r/1rrip.htm#xtocid2297115.

Кроме того, может применяться команда "distance" для изменения правдоподобностимаршрута. За дальнейшей информации обратитесь к источнику по адресу:http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/np1_r/1rindep.htm.

Фильтрация маршрутов может быть выполнена различными способами, которыепоказаны на рисунке 46.

Рисунок 46. Фильтрация маршрутов

Маршрутные фильтры полезны при управлении процессом выбора того, какиеобновления маршрутизации будут посланы и к каким определенным частям сети, атакже того, какие маршруты приемлемы от определенных интерфейсовмаршрутизатора. Маршрутные фильтры используют пакетные фильтры Cisco IOS, атакже команду типа distribute list in/out.

Безопасная пересылка данныхБезопасная пересылка данных обеспечивает их конфиденциальность; это достигаетсяза счет поддержки шифрования как со стороны Cisco IOS так и со стороны межсетевогоэкрана PIX.Шифрование Cisco IOS доступно для программного обеспечения Cisco IOS Version 11.2и использует шифрование DES 40- или 56-бит. В PIX применяется IPSec иподдерживаются только 56-бит ключи шифрования. В настоящий момент в обоих

70

продуктах предлагается также поддерживается технология шифрации IPSec.Внедрение этой технологии в программном обеспечении PIX и Cisco IOS обеспечиваетвзаимодействие между устройствами периметра, а также с пакетами программногообеспечения пользователей, которые поддерживают IPSec.Для получения более подробной информации по современным возможностям Cisco IOSпо шифрованию, обратитесь к «белой книге» шифрования в Cisco IOS по адресу:http://wwwin.cisco.com/Mkt/cc/cisco/mkt/ios/tech/security/А также руководству по конфигурации шифрования Cisco IOS по адресу:http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt4/index.htm.

За более подробной информацией по программному компоненту PIX Private Linkобратитесь к документации PIX Firewall в Configuring by Feature/Configuring Private Linkпо адресу:http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v41/pixcfg41/pix41cfg.htm#xtocid473423.

Активный аудитАктивный аудит включает механизмы для проверки правильного выполнениясуществующей политики безопасности, слежения в реальном масштабе времени заотклонениями и выявление вторжения. В настоящее время ведутся работы пообъединению отдельных предложений в объединенные средства аудита. Средисуществующих продуктов и программных компонентов Cisco, предназначенных дляосуществления функции аудита, находятся следующие:

• Средства Netsys• Сканер уязвимости системы безопасности/NetSonarTM Security Vulnerability

Scanner• Средства расчета и управления• Средства регистрации ошибок (syslog)• Средства сдерживания нападений типа «отказ в сервисе»/ Denial-of-service

(DoS) deterrents

Средства NetsysСредства технологии Netsys включают:

• Средства анализа соединений Netsys• Средства функционирования Netsys• Эдвайзер Netsys

Средства анализа соединений Netsys используются персоналом сетевого планированиив деятельности по решению проблем, проектированию и планированию соединений,анализу маршрутов и потоков данных.Средства функционирования Netsys позволяют потребителю создать базу сети наоснове конфигурации и данных функционирования и затем проанализироватьвзаимодействие между потоком трафика, топологией, параметрами маршрутизации ипрограммными продуктами Cisco IOS. Пользователи могут также производитьдиагностику и решать операционные проблемы, проводить тесты по сценарию «чтоесли», настраивать конфигурацию сети для улучшения ее работы, а такжеразрабатывать планы для будущих изменений сети.Эдвайзер Netsys работает со средствами как анализа соединений, так ифункционирования с целью быстрого определения проблем в сети и поиска их решенияс использованием эксклюзивной «мыслящей» технологии на базе моделей.

Сканер уязвимости системы безопасности NetSonarПрограммное обеспечение NetSonar обеспечивает всесторонний анализ уязвимостисистемы безопасности, выполняет подробное отображение сети и составляетэлектронную опись систем сети. Как проактивное приложение в наборе средств системыбезопасности сети, программное обеспечение NetSonar обеспечивает современныесредства уведомления конечного пользователя и консультантов по безопасности о

71

внутренних аспектах уязвимости сети, таким образом позволяя им эффективно решатьпотенциальные проблемы безопасности.

Средства расчета и управленияВ настоящее время Cisco предлагает набор средств расчета и управления. Трудностьюявляется объединение всех решений на единой платформе и обеспечение всехнеобходимых функциональных возможностей для безопасного управления иотслеживания статистики трафика сети. Средства расчета, в настоящее времядоступные для аудита потоков трафика сети, включают встроенные расчетныевозможности протоколов TACACS+ и RADIUS , а также компонент Cisco IOS NetFlow.Продукт PIX Firewall обладает средствами централизованного управления дляоблегчения задания конфигурации и слежения за каким-либо количеством межсетевойэкранов PIX Firewalls. Менеджер ресурсов Cisco Resource Manager является наборомсредств управления для слежения за маршрутизаторами и коммутаторами.

Средства расчета протоколов TACACS+ и RADIUSПротоколы TACACS+ и RADIUS обладают функциями расчета, являющимисясоставной частью самих протоколов. Расчет в системе безопасности является третьейпо счету важной функцией после идентификации и авторизации. Расчет может бытьиспользован администраторами сети для выставления отделам или клиентам счетов завремя подключения, Он также позволяет администраторам отслеживать попыткиподозрительных подключений в сеть. Протоколы TACACS+ и RADIUS даютинформацию подсчета, которая включает времена начала и окончания сеансов,продолжительность подключения и использованные ресурсы сети; однако, каждыйпротокол выдает подобную информацию в разном виде.

Программный компонент Cisco IOS Router NetFlowСетевой поток – это однонаправленная последовательность пакетов между источникоми конечной точкой назначения. Потоки сети – высоко гранулированы; конечные точкипотока идентифицируются как по адресу IP, так и по номерам портов приложениятранспортного уровня (NetFlow также использует IP, тип сервиса [ToS] и портинтерфейса входа для уникальной идентификации потока). Коммутация потока NetFlowSwitching поддерживает IP (и инкапсулированный IP) маршрутизированный поток дляширокого диапазона типов интерфейсов и инкапсуляций, включая Ethernet, FastEthernet, Fiber Distributed Data Interface (FDDI), High-Speed Serial Interface (HSSI), Packetover SONET Interface Processor (POSIP), Channelized T3 (CT3), и сериал. Заметьте, чтоNetFlow в настоящее время не измеряет трафик Inter-Switch Link/virtual LAN (ISL/VLAN)или ATM LAN Emulation (LANE).NetFlow является технологией измерения входного потока, которая должна бытьвнедрена на соответствующих интерфейсах на периметре/точках концентрации илимаршрутизаторах доступа WAN для получения всестороннего обзора исходящего иобрабатываемого трафика с целью удовлетворения потребностей клиента к расчете,мониторинге или планирования потоков данных в сети.NetFlow может быть внедрен инкрементально (т.е. интерфейс к интерфейсу) илистратегически (т.е. на тщательно выбранных маршрутизаторах) вместо широкогоразмещения NetFlow на каждом маршрутизаторе в сети. Cisco работает с клиентами дляопределения ключевых маршрутизаторов и ключевых интерфейсов, где NetFlow долженбыть активирован на основе шаблонов потока трафика потребителя, топологии сети иархитектуры Информация, собранная маршрутизатором с использованием компонентаNetFlow, может быть считана на какой-либо сервер для хранения информации расчета иисторических трендов через программный компонент экспорта NetFlow. Истекшиепотоки группируются вместе в дейтаграмму потока для экспорта от маршрутизатора.Дейтаграммы потока экспортируются по крайней мере раз в секунду или же как толькостановится доступной полная дейтаграмма истекших потоков. Экспорт потокастановится возможным на маршрутизаторе через использование команды IP flow-export ip-address udp-port. Данные параметры относятся к адресу IP и к порту UDPсоответствующего коллектора потока с конфигурацией на прием данныхэкспортируемого потока.

72

Cisco Enterprise Accounting для NetFlowПродукт Cisco Enterprise Accounting (CEA) для NetFlow использует данные собранныепрограммным обеспечением Cisco's NetFlow FlowCollector. FlowCollector являетсянадежным высокоскоростным решением для сбора данных, снижения их объема иуправлением хранения потоков, основанных на программном обеспечении NetFlow иполученных от множества маршрутизаторов. FlowCollectorобеспечивает поддержку 15 первых по списку маршрутизаторов с полнойконфигурацией. CEA для NetFlow обеспечивает поддержку до 100 коллекторов потокаFlowCollectors, давая масштабируемое и мощное решение для контроля сетевого потокаданных.Более детальная информация может быть найдена по адресу:http://wwwin.cisco.com/Mkt/cc/cisco/mkt/enm/cea/ceanf_ds.htm.

Централизованное управление PIXДля упрощенного управления серия продуктов Cisco PIX Firewallвключает Firewall Manager, средство управления и конфигурации с интуитивнымграфическим интерфейсом пользователя (GUI). Администраторы просто осуществляютвызов на определенной пиктограмме, которая отображает желаемый продукт PIXFirewall для контроля, редактирования параметров настройки и централизованногоуправления режимами безопасности. При наличии отчетов по управлению, менеджерысети могут проводить статистический анализ по неразрешенным пользователям, объемутрафика и регистрации событий для потенциального расчета стоимости. Менеджерысети могут также редактировать журналы URL для слежения за тем, какие Web-сайты ихпользователи посещают чаще всего. Посредством установки пороговых значенийразличных параметров администраторы автоматически в реальном масштабе временимогут получать сигналы тревоги через электронную почту или уведомление на пейджеро том, что межсетевой экран подвергся нападению хакеров.

Mенеджер ресурсов CiscoМенеджер ресурсов является новым мощным набором средств управления Cisco,который сочетает простоту доступа из любой точки и в любое время с гибкостьюрешений по управлению на основе технологий Web для маршрутизаторов Cisco икоммутируемых сетей. Набор средств сетевых приложений Resource Manager включаетсервер Web и следующие 4 приложения:

• Inventory Manager• Аvailability Manager• Syslog Analyzer• Software Image Manager

Менеджер учета оборудования/Inventory Manager сканирует сеть с использованиемпротокола Simple Network Management Protocol (SNMP) и периодически посылаетотчеты по изменениям в маршрутизаторах, программном обеспечении и коммутаторах.Отчеты представляют подробную информацию, которая включает: место расположенияустройства, аппаратные и программные версии, размер Flash памяти, информацию поэнергонезависимой памяти и интерфейсную информацию.Менеджер готовности/Availability Manager быстро определяет оперативное состояниекритических, с точки зрения функционирования сети, маршрутизаторов и коммутаторов.Его «панель доступности приборов» обеспечивает быстрый обзор наличия/готовностиустройств, которые вы выбрали в качестве ключевых для работоспособности сети. Измонитора готовности/Availability Monitor вы можете контролировать каждое конкретноеустройство и для получить детальную информацию по времени его реакции, готовности,перезагрузкам, протоколам и состоянию интерфейсов.Анализатор системного журнала/Syslog Analyzer фильтрует сообщения системногожурнала, записанные маршрутизаторами с Cisco IOS; затем он выдает объяснениявозможной причины и рекомендуемые действия. Он использует встроенную технологиюCisco для обеспечения подробной информацию по устройству. Его отчеты на уровнесети основаны на определенных пользователем фильтрах, которые выделяютспецифические ошибки или критичные состояния и помогают определить, когда

73

происходят важные события (такие как разрыв линии или перезагрузка устройства).Syslog Analyzer позволяет сообщениям системного журнала быть привязанным кинформации, ориентированной на потребителя, такой как административные подсказкина базе Web или запуски сценариев интерфейса Common Gateway Interface (CGI) длявыполнения исправляющих действий.Менеджер образа программного обеспечения/Software Image Manager в значительнойстепени упрощает управление версиями и процедуру обновления программногообеспечения в маршрутизаторах и коммутаторах Cisco за счет планирования, загрузки иотслеживания изменений программного обеспечения. Он также представляетинформацию о версиях программного обеспечения устройств для маршрутизаторов икоммутаторов в сети. Software Image Manager автоматизирует шаги, требуемые дляобновления образов программного обеспечения, в то же время он скрывает сложности,связанные с возможностью возникновения ошибок в ходе процесса обновления. Ониспользует детальную информацию по устройствам от Inventory Manager для доступанепосредственно к необходимым образам Cisco IOS на CCO. Перед началом процессаобновления новые образы "привязываются" к каждому маршрутизатору иликоммутатору, в которые они будут загружены, отмечая устройства, конфигурациикоторых не могут подлежат обновлению. Когда происходит обновление множестваустройств, Software Image Manager синхронизирует задачи загрузки и позволяетпользователям определять и отслеживать прогресс выполнения запланированныхработ. По завершению администратору по электронной почте отправляется сообщениес результатами каждой операции.

Средства регистрации ошибок

SyslogСистемный журнал Syslog является главным механизмом для регистрации ошибокоборудования Cisco. Главным образом это применяется для отслеживания нарушенийполитики безопасности, таких как попытки идентификации, которые провалились илитрафика, который нарушает требования фильтра (допуск по списку). Созданиеконфигурации системного журнала syslog на устройства и использование анализаторасистемного журнала, описанное в предыдущем разделе, обеспечивает хорошиймеханизм для слежения за журналами ошибок (и возможных попыток проникновения всеть).

Средства сдерживания нападений типа «отказ всервисе» Denial-of-Service DeterrentsНападения типа «отказ в сервисе» DoS истощают сервис сети и не позволяютавторизованным пользователям применять легитимный сервис сети. В группу продуктовCisco включены многочисленные программные компоненты для смягчения воздействияподобных нападений. Ниже приведен список хорошо известных нападений DoS и списокпрограммных компонентов семейства продуктов, которые могут быть использованы дляборьбы с такими нападениями.

Нападения типа SYN FloodНападения типа SYN flood встречаются в трафике на базе протокола TCP, где должнаяпоследовательность установления соединения не завершена. Для установки сеансаТСР должно произойти трехстороннее установление соединения, как показано нарисунке 47.

Рисунок 47. Установка сеанса TCP

74

Однако, если поток входящих пакетов запроса не имеет действительных IP адресовисточника, сеансы никогда не будут установлены, и они останутся полуоткрытымисвязями. Многие реализации TCP способны справиться лишь с небольшим числомтекущих подключений на порт; таким образом, эти порты эффективно не доступны дотех пор, пока время полуоткрытого подключения не истечет (обычно это 75 секунд длямашин UNIX). Кроме того, это нападение может вызвать истощение памяти сервера илиизрасходовать циклы процессора при поддержании информации состояния на этихподключениях.Ряд усилий по борьбе с нападениями DoS сконцентрированы вокруг возможностейпакетного фильтрования, которое позволяет только пользователям с известнымиадресами иметь доступ к ресурсам, а также вокруг установки улучшенного программногообеспечения, имеющегося у ряда производителей серверов и хостов.Однако, для сервиса в масштабе Интернет, такого как сервис на серверах Web,управление доступом на основе входящих адресов невозможно, и обновление самихсерверов обычно является важным действием, но это может помочь лишь частично.Важно признать, что практически невозможно остановить нападение типа TCP SYNflooding. Однако, что может быть сделано, - так это ограничение его воздействия наважные части сети. Обычно межсетевой экран настраивается на работу какуполномоченное устройство, когда установлена связь TCP. Устройство Межсетевойэкран проверяет входящие запросы подключения TCP и как доверенное устройствоотвечает от имени сервера назначения для того, чтобы удостовериться в том, чтозапрос подлинный, перед последующим подключением к серверу (смотри рисунок 48).

Рисунок 48. TCP Proxy

75

После того, как межсетевой экран установил подлинность подключения с клиентом исервером, оно объединяет эти два подключения в единый сеанс источник/назначение.На случай фиктивного запроса межсетевой экран имеет параметры на установку оченьагрессивного времени простоя на полуоткрытом подключении и параметры для уровнейпорога для количества текущего и входящего уровня запросов на ТСР подключение.Программными компонентами Cisco IOS, которые могут быть использованы длясдерживания нападений типа TCP SYN flooding, являются продукт TCP Intercept икомплект Cisco IOS Firewall.PIX Firewall может ограничить количество незавершенных сеансов ТСР принятых наадрес IP, а также может ограничить количество незавершенных подключений через егостатическую команду.

Нападение типа ping-of-deathНападение типа ping-of-death выполняется путем посылки ping пакета, размер которогопревышает максимально допустимый размер IP пакета 65,536 байт. Это пакет делитсяна фрагменты, а когда получающий хост пытается вновь собрать этот большой пакет,многие машины при попытке выделить память для этого пакета с фиктивной длинойведут себя не очень грациозно и обычно перезагружаются. Конечным решениемявляется принятие мер поставщиками по недопустимости отправки пакетов размеромбольше 65,536 байт, и многие из них уже внесли это усовершенствование. Однако, длямногих хостов потребуется некоторое время, чтобы стать невосприимчивыми к такомунападению. В то же время Cisco предлагает ряд программных компонентов, которыемогут помочь сдерживать такого рода нападения. Программное обеспечение Cisco IOSне подвержено нападениям типа ping-of-death. PIX Firewall не поддается этомунападению, т.к. он не пропускает пакеты рing размером больше, чем 1472 бит. Всеверсии PIX Firewall имеют встроенную защиту от ping.

76

Нападение типа SMTP Flooding (Бомбы для электроннойпочты)Бомбардировка электронной почты характерна для нарушителей, которые повторнопосылают одно и то же сообщение по какому-либо конкретному адресу. Из-затрудностей, связанных с генераторами почты, которые по случайному закону выбираютIP адрес источника почты, посылаемой только одному адресату, потоки почты трудноподдаются эффективному подсчету без нанесения вреда продуктивности пользователейсети, к которым данная почта отправляется.Программное обеспечение Cisco IOS может использовать фильтры, которые отвергаютподключения Simple Mail Transfer Protocol (SMTP) от определенных хостов, внесенных вчерный список. Однако спэммеры имеют тенденцию отводить почту от легитимныххостов, таким образом, этот метод создает риск блокирования легитимных сообщений.PIX Firewall может использовать команду mailhost и ограничивать количество входящихподключений сервера почты, если данный сервер находится сзади PIX Firewall. Этаустановка ограничивает частоту, при которой почта прибывает на почтовые сервера.

Примечание: Программный компонент "Защита почты/Mail Guard" в продукте PIXFirewall является полезным для предотвращения нападений, основанных на отправке попочте вирусов. Это обусловливает использование только семи команд, описанных вразделе 4.5.1 в RFC 821, для доступа к почте хоста. (Данными командами являютсяHELO, MAIL, RCPT, DATA, RSET, NOOP и QUIT.)

Злобные апплетыНекоторые программы на языках Java, JavaScript или ActiveX могут действовать каквирусы и вызывать разрушение или связывание ресурсов компьютера.Обычно фильтрование на наличие этих мини-приложений апплетов выполняется сучетом магических байтов (последовательность битов, указывающих на присутствиемини-приложения апплета) Легитимные (не Java файлы), которые начинаются ссигнатуры Java также блокируются. Это является неизбежной особенностьюнеопределенности, присущей блокирующему механизму. Мини-приложения Java могуттакже доставляться к браузерам в инкапсулированных архивных файлах. В такихслучаях межсетевой экран распакует архивный файл и произведет поиск сигнатурыJava. Мини-приложения Java applets могут быть также доставлены к браузеру черезпорты FTP, Gopher или даже через нестандартные порты HTTP, все это делает процессблокирования Java applet более трудным. Все межсетевые экраны Cisco поддерживаютразличные формы блокирования Java апплетов. Наиболее применяемым компонентомблокирования является блокировка известных апплетов из известных местрасположения.Набор программных компонентов Cisco IOS Firewall включает в себя блокированиеJava. Оно основано на магическом числе в начале документов, которые возвращенычерез HTTP от серверов и отвергнуты блокирующим списком допуска через порт 80.Продукт PIX Firewall может блокировать Java applets посредством использованиякоманды outbound, которая создает список допуска, определяющий, каким образомвнутренние адреса IP могут получить допуск к деятельности снаружи. Он используетсясовместно с командой apply для уточнения того, применяется ли список допуска кнаружной сети или для загрузки информации от удаленного источника во внутреннююсеть.

Дополнительные перспективные функциональныевозможности по обеспечению безопасностиПрограммный компонент IPSec был выпущен в середине 1998 г. для программногообеспечения как PIX Firewall, так и IOS. Этот продукт обеспечивает более гибкиевнедрения более мощной идентификации и механизмов шифрования данных. Ciscoбудет также работать над цифровой сертификационной поддержкой по всему семействупродуктов, в том числе, поддержкой сертификационного формата X.509 v3. Ciscoявляется главным вкладчиком в усилия индустрии по созданию взаимодействующихвнедрений IPSec и процессам сертификационной регистрации.

77

Современные сценарии обеспечения безопасностипредприятияВ этом разделе в деталях рассмотрены три практических сценария осуществленияполитики безопасности предприятия. Показанные конфигурации являются не полнымиконфигурациями устройств, а скорее командами, необходимыми для выполненияданной политики безопасности через выбранные программные компоненты. Сценарииполитики безопасности основаны на изменяющихся степенях жесткости системыбезопасности, при этом дается большой объем деталей. Первый сценарий даетминимальную защитную среду, второй – необходимость в более жесткой защите, атретий – сценарий максимальной защиты. Важно отметить, что в качестве первого шаганеобходимо определение режимов безопасности. Затем следует выбратьсоответствующие программные компоненты в инфраструктуре сети, которые будутсоответствующим образом осуществлять выбранную политику в области безопасности.

Примечание: Для всех маршрутизаторов Cisco IOS, определенные компоненты,используемые по умолчанию, должны быть явно отключены, если в них нетнеобходимости. Они не будут показаны на образцовых конфигурациях, а вместо этого –показаны ниже:

no service tcp-small-servers ! turns off rarely used TCP diagnostic servicesno service udp-small-servers ! turns off rarely used UDP diagnostic servicesservice password-encryption ! stores all passwords in an encrypted mannerno cdp running ! turns off cisco discovery protocolno ip source-route ! turns off source routingenable secret <something> ! more security for priviledged password using

! MD5 encryptionbanner exec ^c message ^c ! message is displayed when someone telnets to router

! this message should give warning about unauthorized! access and avoid location and purpose specifics

no ip proxy arp ! disable proxy arp (interface command)no ip directed-broadcast ! disable dirceted broadcast (interface command)no cdp enable ! disable cdp (interface command)

Сценарий 1:Необходимость в минимальнойбезопасностиНа рисунке 49 показан образец сети со всеми тремя составными частями предприятия:главный комплекс, подключение в Интернет и подключение удаленного доступа.

Рисунок 49. Корпоративная сеть – минимальная безопасность

78

В данном примере режим защиты является минимальным и может быть отнесен комногим небольшим компаниям с минимальным уровнем риска. Главное в этой среде –это иметь некоторую защиту, но сводить ее стоимость к минимуму и сохранятьмаксимально возможную открытость. Соответствующей политикой безопасности длякаждого компонента сети являются:

Политика безопасности

Подключение в сеть Интернет:• Доступ к аппаратуре инфраструктуры сети ограничен с защитой паролем• Нет ограничений на то, кто может обратиться к внутренним ресурсам• Минимальная защита во избежание явно фиктивного трафика от

недействительных адресов источника и точки назначения

Подключение удаленного доступа:• Доступ к аппаратуре инфраструктуры сети ограничен с защитой паролем• Минимальная идентификация для идентификации входящих подключений• Минимальная защита во избежание явно фиктивного трафика от

недействительных адресов источника и точки назначения• Минимальная защита во избежание явного фиктивного трафика от

недействительных адресов источника и точки назначения

Доступ к комплексу:• Доступ к аппаратуре инфраструктуры сети ограничен с защитой паролем• Минимальная защита во избежание явного фиктивного трафика от

недействительных адресов источника и точки назначения

Обеспечение политикиОбщим элементом во всех трех составных частях предприятия является то, что дляоборудование инфраструктуры сети требуется идентификация до того, какпредоставлен физический (т.е. через терминал) или логический (т.е. через Telnet)доступ. Обычно лучше всего иметь единую политику по инфраструктуре сети иосуществлять тот же механизм идентификации для всего оборудования сети. В среде,где подразумевается простой режим безопасности, могут быть внедрены простыепароли, однако, рекомендуется их регулярно менять, в том числе, немедленно присмене персонала. В этой сети во всем оборудовании инфраструктуры используется 3разных пароля:

79

• vty-secret для vty доступа к прибору• con-secret для доступа к терминалу• ena-secret для более привилегированного доступаОни будут показаны на примерах соответствующей конфигурации оборудования,которые приведены ниже.

Подключение к сети ИнтернетТ.к. существует требование только в минимальной защите и намерение избежать лишьнаиболее очевидных нападений, при таком сценарии для выполнения простых функцийзащиты данных будет достаточно и обычных пакетных фильтров. Пакетные фильтрыиспользуются для предотвращения проникновения явно фиктивных трафиков в сетькомплекса (пакеты, использующие зарезервированные RFC адреса в качествеисточника) и для допуска лишь действительных трафиков от комплекса. На рисунке 50показано подключение периметра, где маршрутизатор Cisco IOS используется какмежсетевой экран.

Рисунок 50. Подключение в сеть Интернет – минимальная безопасность

Далее следуют соответствующие команды конфигурации, которые должныиспользоваться для маршрутизатора периметра со стандартным программнымобеспечением IOS:

Стандартные команды конфигурации маршрутизатора Cisco IOS

hostname Perimeter-Router ! router nameenable secret ena-secret ! priviledged access password is ena-secret

interface serial 0 ! define interfacedescription To The Internet ! describe it's purposeip address 161.71.73.33 255.255.255.248 ! set ip address

80

ip access-list 101 in ! define inbound filterip access-list 102 out ! define outbound filter

access-list 101 deny ip 127.0.0.0 0.255.255.255 any ! block inbound packets from Internetaccess-list 101 deny ip 10.0.0.0 0.255.255.255 any ! with RFC reserved addresses asaccess-list 101 deny ip 172.16.0.0 0.240.255.255 any ! sourceaccess-list 101 deny ip 192.168.0.0 0.0.255.255 anyaccess-list 101 permit ip any ! permit all else

access-list 102 permit ip 144.254.0.0 0.0.255.255 any ! allow only packets with sourceaccess-list 102 deny ip any ! address of campus network to the! Internet

line con 0password con-secret ! password for console access is con-secretline aux 0transport input none ! no telnet into the boxno exec ! don't get a prompt on this portline vty 0 4login ! password for telnet access is vty-secretpassword vty-secret

Подключение удаленного доступаПодключение удаленного доступа является минимальным, а идентификациявыполняется на локальной базе данных в NAS. Маршрутизатор отделения компанииподключается к главному комплексу через ISDN и использует пароли CHAP дляидентификации маршрутизатора для при установлении соединения с серверомудаленного доступа (NAS). Удаленные пользователи осуществляют удаленный доступчерез линии последовательной передачи и используют CHAP или PAP дляидентификации (рисунок 51).

Рисунок 51. Подключение удаленного доступа - минимальная безопасность

81

Ниже приведены соответствующие команды конфигурации для маршрутизатораотделения компании и для NAS:

Команды конфигурации маршрутизатора отделения компании

hostname Branch-Router ! set router nameenable secret ena-secret ! priviledged access password is ena-secretusername NAS-5200 password isdnsecret ! shared password for CHAP authentication

interface Ethernet 0 ! define local LAN interfacedescription Branch connection ! interface purposeip address 192.150.42.1 255.255.255.0 ! assign ip addressip access 101 in ! assign input filter

interface Bri 0 ! define ISDN interfacedescription To The Campus ! describe interface connectionip address unnumbered Ethernet 0 ! assign address as virtual address of Ethernet0dialer map ip 144.254.5.20 name NAS-52004085267170 ! assign dial-string and associated address

Encapsulation ppp ! define ppp encapsulationppp authentication chap ! enable ppp chap authenticationip access 102 in ! define input filter list

access-list 101 permit ip 192.150.42.0 0.0.0.255any ! permit all traffic from local ethernet

access-list 101 deny ip any any

access-list 102 deny ip 192.150.42.0 0.0.0.255 any ! block inbound packets with internal address assource

access-list 102 deny ip 127.0.0.0 0.255.255.255any

! block inbound packets with RFC reservedaddresses

access-list 102 deny ip 10.0.0.0 0.255.255.255 any ! as sourceaccess-list 102 deny ip 172.16.0.0 0.240.255.255anyaccess-list 102 deny ip 192.168.0.0 0.0.255.255anyaccess-list 102 permit ip any any

line con 0loginpassword con-secret ! password for console access is con-secretline aux 0transport input none ! no telnet access via aux portno exec ! don't get prompt on aux portline vty 0 4loginpassword vty-secret ! password for telnet access is vty-secret

Команды конфигурации NAS

hostname NAS-5200

82

enable secret ena-secret ! priviledged access password is ena-secretusername Branch-Router password isdnsecret ! shared password for CHAP authenticationusername modemuser password somesecrt ! local database for modem user authentication

interface Ethernet 0 ! define local LAN interfacedescription Campus side connection ! interface purposeip address 144,.254.5.20 255.255.255.0 ! assign ip address

isdn switch-type primary-5ess ! define isdn switch typecontroller T1 0framing esf ! define type of framingclock source line primarylinecode b8zspri-group timeslots 1-24

interface loopback 0 ! loopback interface is 'logical'subnet which allip address 144.254.200.254 255.255.255.0 ! dial-in users belong to

interface Serial0:23 ! configuring PRIdescription To The Branchip unnumbered Loopback0 ! users will be on subnet defined under loopback 0peer default ip address pool default ! assign IP addresses from pool named 'default'Encapsulation ppp ! specify ppp encapsulationppp authentication chap pap ! define chap authentication with pap as fallbackdialer map ip 192.150.42.1 name Branch-Routerdialer-group 1 ! define which packets keep link up as set by dialer-list

interface Group-Async1 ! modem access configurationip unnumbered Loopback0 ! users will be on same subnet as loopback 0Encapsulation ppp ! define ppp encapsulationasync mode interactive ! user interactively selects to use box as

! a terminal server or a ppp routerpeer default ip address pool default ! assign IP address from pool named 'default'dialer-group 1 ! define which packets keep link up as set by dialer-listppp authwentication pap chap ! pap authentication with chap as fallbackgroup-range 1-48 ! define all asynch lines to belong to this interface

line 1 48 ! modem RS-232 interface configurationautoselect during-login ! present a login prompt but monitor packetsautoselect ppp ! if ppp packet detected, shift automatically into ppp modelogin local ! use local database to authenticate usernamemodem InOut ! selects state machine for CD and DTR modem signalstransport input all ! allow connections to modem using any transport

ip local pool default 144.254.20.1144.254.20.48 ! default address pool

dialer list 1 protocol ip permit ! permit dialing and keep line up for IP traffic

line con 0

83

loginpassword con-secret !password for console access is con-secret

Подключение комплексаВ пределах самого комплекса не существует дополнительных требований ккомпонентам безопасности, кроме безопасного доступа к оборудованиюинфраструктуры сети, показанного на рисунке 52.

Рисунок 52. Подключение комплекса – минимальная безопасность

Ниже показаны соответствующие команды для маршрутизаторов и коммутаторов.

Команды конфигурации маршрутизатора

hostname Campus-Routerenable secret ena-secret ! priviledged access password is ena-secret

interface FDDI0 ! define backbone interfacedescription Campus Backboneip address 144.254.5.101 255.255.255.0

interface Ethernet 1 !define local LAN interfacedescription Department Networkip address 155.254.101.1 255.255.255.0

line con 0password con-secret ! password for console access is con-secretline aux 0

84

transport input none ! no telnet into the boxno exec ! don't get a prompt on this portline vty 0 4loginpassword vty-secret ! password for telnet access is vty-secret

Switch Configuration Commandsset authentication enable local ! default - local privileged authenticationset authentication login local ! default - local telnet authentication

Сценарий 2: Необходимость в безопасностипромежуточного уровняНа рисунке 53 показан образец сети со всеми тремя составными частями предприятия:главный комплекс, подключение в сеть Интернет и подключение удаленного доступа.

Рисунок 53. Корпоративная сеть – Безопасность промежуточного уровня

Данный сценарий включает сервер FTP, который доступен пользователям через«грязную» сеть. Политика безопасности является более жесткой, как в средах, где длявнутренних ресурсов требуется более прочная защита, а подключение к комплексуболее ограничено. Главное внимание в этой среде уделяется ограниченному доступу копределенным важным ресурсам и большей избирательности в отношении тех, ктоимеет доступ к внутреннему комплексу. Ниже дана соответствующая политикабезопасности для каждого компонента сети.

Политика безопасности

Подключение сети Интернет:• Логический доступ к оборудованию инфраструктуры сети ограничен путем

защиты паролем через ААА• Физический доступ к оборудованию инфраструктуры сети ограничен путем

защиты паролем• Защита от нападений типа «отказ в сервисе»• Допуск трафика FTP от сети Интернет только к серверам FTP

85

• Допуск любого трафика Web от сети Интернет к комплексу с блокированиеммини-приложений Java applets

• Допуск всего трафика TCP, исходящего от комплекса, назад в комплекс

Подключение удаленного доступа:• Логический доступ к оборудованию инфраструктуры сети ограничен путем

защиты паролем через ААА• Физический доступ к оборудованию инфраструктуры сети ограничен путем

защиты паролем• Допуск к комплексу только идентифицированных пользователей

Допуск к комплексу:• Логический доступ к оборудованию инфраструктуры сети ограничен путем

защиты паролем через ААА• Физический доступ к оборудованию инфраструктуры сети ограничен путем

защиты паролем• Идентификация обновлений маршрутизации от внутренней сети• Защита портов коммутатора, который связан с важными ресурсами

Обеспечение политики

Оборудование инфраструктуры

Общим элементом во всех трех составных частях предприятия является то, что дляоборудование инфраструктуры сети требуется идентификация до того, какпредоставлен физический (т.е. через терминал) или логический (т.е. через Telnet)доступ. Обычно лучше всего иметь единую политику по инфраструктуре сети иосуществлять тот же механизм идентификации для всего оборудования инфраструктурысети. В данной сети на всем оборудовании инфраструктуры для логического доступаиспользуется механизм идентификации ААА. Для терминального и привилегированногодоступа требуется обычный пароль. Они будут показаны на примерах соответствующейконфигурации оборудования.

Подключение к сети ИнтернетВ этот раз подключение в сеть Интернет выполняется с использованиеммаршрутизатора периметра и автономного маршрутизатора. Данный маршрутизаторпериметра может выполнять простое пакетное фильтрование, а другиефункциональные операции, занимающие большую мощность процессора, выполняютсяавтономным межсетевой экраном.Если подключение к сети Интернет широко используется, а маршрутизатор периметраотносится к серии Cisco 2500 или 1600 то может использоваться набор компонентовпрограммного обеспечения Cisco IOS Firewall. Пакетные фильтры отвергают любойтрафик, приходящий от сети Интернет, который может привести к брешам в защите,согласно рекомендации группы Customer Engineering Response Team (CERT)(ftp://info.cert.org/pub/tech_tips/packet_filtering). Весь трафик FTP от сети Интернетнаправляется к серверу-бастиону FTP, а весь трафик Web от сети Интернетпропускается в комплекс, при этом осуществляется все возможное для фильтрацииапплетов - мини-приложений Java. Способы фильтрации таких элементов приведен вразделе «Злобные апплеты». Разрешены все подключения TCP, исходящие изкомплекса. Межсетевой экран сдерживает нападения типа TCP SYN «отказ в сервисе».Ниже приведены примеры команд конфигурации, использующие маршрутизаторпериметра с межсетевой экраном PIX Firewall, как это показано на рисунке 54.

Рисунок 54. Подключение к сети Интернет – Промежуточный уровеньбезопасности

86

Ниже приведены соответствующие команды конфигурации

Команды конфигурации маршрутизатора периметра

hostname Perimeter-Router ! router nameenable secret ena-secret ! priviledged access password is ena-secret

interface serial 0 ! define interfacedescription To The Internet ! describe it's purposeip address 161.71.73.33 255.255.255.248 ! set ip addressip access-list 101 in ! define inbound filterip access-list 102 out ! define outbound filter

access-list 101 permit tcp any any established Note 1 ! allow all incoming tcp traffic where session wasinitiated! within the campus network

access-list 101 permit tcp any host 144.254.1.3 eqftp ! allow ftp to ftp server on dirty net

access-lsit 101 permit tcp any host 144.254.1.3 eqftp-date ! allow ftp data to ftp server on dirty net

access-list 101 deny ip 127.0.0.0 0.255.255.255any ! block inbound packets from Internet

access-list 101 deny ip 10.0.0.0 0.255.255.255 any ! with RFC reserved addresses asaccess-list 101 deny ip 172.16.0.0 0.240.255.255any ! source

87

access-list 101 deny ip 192.168.0.0 0.0.255.255anyaccess-list 101 deny icmp any any echo-reply ! deny any echo replyaccess-list 101 deny icmp any any host-unreachable ! deny any host unreachable

access-list 101 deny udp any any eq snmp ! deny incoming snmpaccess-list 101 deny udp any eq 2000 ! deny incoming openwindowsaccess-list 101 deny udp any any gt 6000 ! deny incoming X-windowsaccess-list 101 deny tcp any any eq 2000 ! deny incoming openwindowsaccess-list 101 deny tcp any any gt 6000 ! deny incoming X-windowsaccess-list 101 deny udp any any eq 69 ! deny incoming tftpdaccess-list 101 deny udp any any eq 111 ! deny incoming SunRPCaccess-list 101 deny udp any any eq 2049 ! deny incoming NFSaccess-list 101 deny tcp any any eq 111 ! deny incoming SunRPCaccess-list 101 deny tcp any any eq 2049 ! deny incoming NFSaccess-list 101 deny tcp any any eq 87 ! deny incoming linkaccess-list 101 deny tcp any any eq 512 ! deny incoming BSD UNIX "r" commandsaccess-list 101 deny tcp any any eq 513 ! deny incoming BSD UNIX "r" commandsaccess-list 101 deny tcp any any eq 514 ! deny incoming BSD UNIX "r" commandsaccess-list 101 deny tcp any any eq 515 ! deny incoming lpdaccess-list 101 deny tcp any any eq 540 ! deny incoming uucpd

access-list 101 permit ip any any ! permit all else

access-list 102 permit ip 144.254.0.0 0.0.255.255any ! allow only packets with source

access-list 102 deny ip any any ! address of campus network to the Internet

aaa new-model ! enable AAA globallyaaa authentication login default tacacs+ ! default login method is via tacacs+

aaa authentication login staff tacacs+ local ! username staff authenticates via tacacs+...if serveris! not available, fallback method is local authentication

aaa authorization exec tacacs+ local ! Authorize to run exec shell when authenticated

aaa authorization commands 0 tacacs+ none ! authorization for exec mode commands associatedwith

aaa authorization commands 1 tacacs+ none ! a specified privilege level - if tacacs+ server is not

aaa authorization commands 15 tacacs+ local ! available commands with priviledge level 15 requirelocal! authentication, the others don't require anyauthentication

aaa accounting update newinfo ! interim accounting records will be sent to serverevery! time there is new accounting info to report

aaa accounting exec start-stop tacacs+ ! accounting for exec terminal sessionsaaa accounting network start-stop tacacs+ ! accounting for all PPP, SLIP and ARAP connectionsusername staff password 7 staffpassword ! create local password and store in encrypted formattacacs-server host 144.254.5.9 ! define tacacs+ server addresstacacs-server key thisisasecret ! define shared tacacs+ secret

line con 0exec-timeout 5 30 ! ensure console session times out

88

login authentication staff ! only username staff can gain cosole accessline aux 0transport input none ! no telnet into the boxno exec ! don't get a prompt on this portline vty 0 3exec-timeout 5 30 ! ensure telnet session times outlogin authentication default ! authenticate via tacacs+ loginprivilege level 15 ! gain priviledge 15 levelline vty 4exec-timeout 5 30 ! ensure telnet session times outlogin authentication staff ! authenticate as staffrotary 1privilege level 1

logging on ! turn on sysloglogging 144.254.5.5 ! define syslog server addresslogging console information ! define what is to be logged

Примечание: Ключевое слово "established" может быть использовано только дляпротокола верхнего уровня ТСР. Списки рефлексивного доступа (поддерживаемые сVersion 11.3) обеспечивают более мощный механизм фильтрования сеанса. Спискирефлексивного доступа могут быть определены только со списками расширенногопоименного доступа IP. Для получения дополнительной информации обращайтесь поадресу:http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt3/screflex.htm.

Команды конфигурации PIXПреобразования сетевых адресов не требуется. Весь трафик Web из сети Интернетнаправляется на сервер Web, а весь исходящий трафик Web экранируется на наличиемини-приложений. Посредством введения лимита на количество полуоткрытыхподключений (эмбрионный предел) любое нападение TCP SYN может быть сдержано впределах периметра комплекса.

ip address inside 144.254.5.1255.255.255.0 ! define interface connected to internal campus

Ip address outside 144.254.1.2255.255.255.0 ! define interface connected to perimeter routr

Route 0.0.0.0 0.0.0.0 144.254.1.1 1 ! specify default routePassword secretpw encrypted ! specify password for telnet seeions to be stored encryptedEnable password ena-password encrypted ! specify enable password to be stored encryptedTelnet 144.254.5.0 255.255.255.0 ! specify hosts from specific subnet to have telnet accessTacacs-server host 144.254.5.9 secretkey ! specify tacacs+ server and shared secretNat 0 0.0.0.0 0.0.0.0 ! no address translationOutbound 1 permit 144.254.0.0 255.255.0.080 ! permit web traffic

Outbound 1 deny 144.254.0.0 255.25.0.0java ! deny java applets

Apply 1 outgoing_src! define global addresses

Static 144.254.9.11 144.254.9.11 500 50 ! define static to web server with 500 open connection

89

! limit and 50 embryonic connection (no of half open! connection limit

Conduit 144.254.9.11 80 tcp 0.0.0.0 0.0.0.0 ! define conduit (traffic to be initiated from outside)! here we only allow web traffic to be initiated from outside

Syslog output 23.4 ! define syslog messages logged (local7, warning messages)Syslog host 144.254.5.5 ! define syslog host

Команды конфигурации Cisco IOS Router/Firewall

В данном разделе приведены команды, требуемые для настройки программногокомпонента межсетевой экрана, который будет содержать информацию состояния дляпротоколов TCP и UDP, обеспечивая блокировку Java и средства сдерживаниянападений TCP SYN. Эти команды должны быть использованы совместно синформацией по конфигурации, которая была отображена на маршрутизаторепериметра, обеспечивающего возможности пакетного фильтрования иидентифицированный доступ к терминалу и через Telnet.

hostname Perimeter-Router-FWEnable secret ena-secretip inspect name myfw udp timeout 15ip inspect name myfw tcp timeout 3600

interface Ethernet 0description Campus sideip address 144.254.1.1 255.255.255.0ip access-group 101 inip inspect myfw in

interface Serial 0description To The Internetip addressip access-list 102 inip inspect myfw in

access-list 101 permit tcp 144.254.1.0 0.0.0.255 anyaccess-lsit 101 permit udp 144.254.1.0 0.0.0.255 anyaccess-lsit 101 permit icmp 144.254.1.0 0.0.0.255 anyaccess-list 101 deny ip any any

access-list 102 permit???

Подключение удаленного доступаПодключение Удаленного доступа является несколько более ограниченным, т.к. всемпользователям необходимо себя идентифицировать перед получением доступа к сетикомплекса. Этот сценарий осуществляется через Lock and Key в маршрутизатореотделения, где списки динамического доступа создаются на интерфейсе ISDNмаршрутизатора внешнего отделения компании. Вся идентификация выполняется черезсервер ААА с использованием протокола TACACS+. (Смотри рисунок 55).

90

Рисунок 55. Подключение удаленного доступа – Промежуточный уровеньбезопасности

Ниже приведены соответствующие команды для конфигурации инфраструктуры сети.

Команды конфигурации маршрутизатора отделения

hostname Branch_Router

interface Ethernet 0ip address 192.150.42.1 255.255.255.0ip access-group 107 out ! access-list to prevent packet spoofing from branch

interface BRI 0ip address unnumbered Ethernet 0Encapsulation pppdilaer map ip 144.254.5.20 name NASdialer-group 1ppp authentication chapip access-group 106 in ! access-list to allow lock&key traffic

access-list 106 permit tcp any host 144.254.5.20 eqtelnet ! allow telnet to remote router

access-list 106 dynamic usrauth timeout 5 permit ipany anyaccess-list 107 permit ip host 192.150.42.00.0.0.255 any ! allow only packets with source

access-list 107 deny ip any any ! address of branch network to the campus

dialer-list 1 protocol ip permit ! defines traffic to dial or keep up isdn line

91

aaa new-model ! enable AAA globallyaaa authentication login default tacacs+ ! default login method is via tacacs+

aaa authentication login staff tacacs+ local ! username staff authenticates via tacacs+...if serveris! not available, fallback method is local authentication

aaa authorization exec tacacs+ local ! Authorize to run exec shell when authenticated

aaa authorization commands 0 tacacs+ none ! authorization for exec mode commands associatedwith

aaa authorization commands 1 tacacs+ none ! a specified privilege level - if tacacs+ server is not

aaa authorization commands 15 tacacs+ local ! available commands with priviledge level 15 requirelocal! authentication, the others don't require anyauthentication

aaa accounting update newinfo ! interim accounting records will be sent to serverevery! time there is new accounting info to report

aaa accounting exec start-stop tacacs+ ! accounting for exec terminal sessionsaaa accounting network start-stop tacacs+ ! accounting for all PPP, SLIP and ARAP connectionsusername staff password 7 staffpassword ! create local password and store in encrypted formattacacs-server host 144.254.5.9 ! define tacacs+ server addresstacacs-server key thisisasecret ! define shared tacacs+ secret

line con 0exec-timeout 5 30 ! ensure console session times outlogin authentication staff ! only username staff can gain cosole accessline aux 0transport input none ! no telnet into the boxno exec ! don't get a prompt on this portline vty 0 3exec-timeout 5 30 ! ensure telnet session times outlogin authentication default ! authenticate via tacacs+ loginprivilege level 15 ! gain priviledge 15 levelline vty 4exec-timeout 5 30 ! ensure telnet session times outlogin authentication staff ! authenticate as staffrotary 1privilege level 1

logging on ! turn on sysloglogging 144.254.5.5 ! define syslog server addresslogging console information ! define what is to be logged

Команды конфигурации NASКонфигурация NAS является той же, что и при минимальном уровне безопасности, заисключением включения идентификации TACACS+ для доступа Telnet, как показано впредыдущем примере для маршрутизатора отделения.

Подключение комплексаДоступ к комплексу все еще является достаточно открытым, хотя маршрутизаторы,которые составляют инфраструктуру, теперь включают идентификацию маршрутов во

92

избежание фальсификаций в сети. Для защиты критических серверов в коммутаторахиспользуется компонент безопасности порта. Все коммутаторы и маршрутизаторывключают идентификацию AAA TACACS+ перед получением логического доступа.Подключение комплекса показано на рисунке 56.

Рисунок 56. Подключение комплекса – Промежуточный уровень безопасности

Соответствующие команды конфигурации для маршрутизаторов и коммутаторовприведены ниже.

Команды конфигурации маршрутизатораНа этом примере показана конфигурация для идентификации маршрута с применениемпротокола маршрутизации EIGRP. Вся идентификация для доступа через терминал иTelnet является такой же, как и для конфигурации маршрутизатора периметра,приведенной ранее.

Router Configuration at Building1:hostname Buiding1

key chain To Building2 ! define key chain namekey 1 ! up to 5 separate keys can be specifiedkey-string secretkey ! the secret keyaccept-lifetime 08:30:00 June 6 1998 infinite ! life time of key

93

send-lifetime 08:30:00 June 6 1998 infinite

clock timezone PST -8 ! need accurate time between authenticating routersinterface FDDI 0 ! backbone interfaceip address 144.254.4.2 255.255.255.0

ip authentication mode eigrp 109 md5 ! specify md5 authentication for routing updatesip authentication key-chain eigrp 109toBuilding2 ! specify keychain to routing process mapping

router eigrp 109network 144.254.0.0ntp master 6 ! ntp used for test scenario....typically routers will notntp peer 144.254.4.3 ! be NTP source. Important that router clocks are

! synchronized for authentication to work

Router Configuration at Building 2:hostname Buiding2

key chain ToBuilding1 ! define key chain namekey 1 ! up to 5 separate keys can be specifiedkey-string secretkey ! the secret keyaccept-lifetime 08:30:00 June 6 1998 infinite ! lifetime of keyssend-lifetime 08:30:00 June 6 1998 infinite

clock timezone PST -8 ! need accurate time between authenticating routersinterface FDDI 0 ! backbone interfaceip address 144.254.4.3 255.255.255.0

ip authentication mode eigrp 109 md5 ! specify md5 authentication for routing updatesip authentication key-chain eigrp 109 to Building2 ! specify keychain to routing process mapping

router eigrp 109network 144.254.0.0

ntp clock period 17179909 ! important for clocks to be synchronized betweenrouters

ntp server 144.254.4.2 ! that are using authentication

Команды конфигурации коммутатораДва важных файловых сервера будут использовать программный компонентбезопасности порта для гарантии того, что только эти сервера определены дляспецифических портов на коммутаторе Catalyst 5500.

set port security 2/1 enable0800.aac6.5498 ! secure port 2/1 with server MAC address

set port security 2/2 enable0800.aabc.6832 ! secure port 2/2 with server MAC address

set authentication login tacacs enable ! specify telnet access TACACS+ authenticationset authentication enable tacacs enable ! specify enable access TACACS+ authenticationset tacacs key secretkey ! define TACACS+ encryption keyset tacacs server 144.254.5.9 ! specify TACACS+ server

94

set logging console disable ! disable logging to consoleset logging server 144.254.5.5 ! define syslog logging serverset logging server enable ! adds syslog servers to the system logging server table.

set logging session enable ! enables system logging messages to the current loginsession

Сценарий 3 : необходимость строгой системыбезопасностиНа рисунке 57 показан образец сети со всеми тремя составными частями предприятия:главный комплекс, подключение в сеть Интернет и подключение удаленного доступа.

Рисунок 57. Корпоративная сеть – Средний уровень безопасности

Теперь сценарий включает два отдельных сервера (WWW и FTP), которые доступныдля пользователей через сеть DMZ. Политика безопасности является более жесткой,как в средах, где для внутренних ресурсов требуется более прочная защита, аподключение к комплексу более ограничено. Главный упор в такой среде делается наограничение доступа к определенным важным ресурсам и на большую избирательностьпо отношению к тем, кто имеет доступ к внутреннему комплексу. Ниже приведенаполитика безопасности для каждого компонента сети.

Политика безопасности

Подключение к сети Интернет:• Логический доступ к оборудованию инфраструктуры сети ограничен путем защиты

паролем через ААА• Физический доступ к оборудованию инфраструктуры сети ограничен путем защиты

паролем• Защита от нападений типа «отказ в сервисе»• Допуск назад в комплекс только трафика TCP, отправленного из комплекса• Допуск только трафика Web, почты FTP к серверам в «грязной» сети• Допуск только идентифицированного трафика Telnet, FTP и HTTP из комплекса в

сеть Интернет

95

• Ограничение доступа через терминал и Telnet к конкретным адресам IP или кподсети

Подключение удаленного доступа:• Логический доступ к оборудованию инфраструктуры сети ограничен путем защиты

паролем через ААА• Физический доступ к оборудованию инфраструктуры сети ограничен путем защиты

паролем• Допуск к комплексу только идентифицированных пользователей• Ограничение доступа через Telnet к конкретным адресам IP или к подсети• Шифрование трафика Web и Telnet IP от отделения компании

Допуск к комплексу:• Логический доступ к оборудованию инфраструктуры сети ограничен путем защиты

паролем через ААА• Физический доступ к оборудованию инфраструктуры сети ограничен путем защиты

паролем• Ограничение доступа через Telnet к конкретным адресам IP или к подсети• Идентификация обновлений маршрутизации от внутренней сети• Управление обновлением маршрутизации• Защита портов коммутатора, который связан с важными ресурсами

Обеспечение политики

Оборудование инфраструктуры

Общим элементом во всех трех составных частях предприятия является то, что дляоборудование инфраструктуры сети требуется идентификация до того, какпредоставлен физический (т.е. через терминал) или логический (т.е. через Telnet)доступ. Обычно лучше всего иметь единую политику по инфраструктуре сети иосуществлять тот же механизм идентификации для всего оборудования инфраструктурысети. В данной сети на всем оборудовании инфраструктуры для логического доступаиспользуется механизм идентификации ААА. Для всех маршрутизаторов Cisco IOSдоступ Telnet возможен только для конкретных адресов IP.Для терминального и привилегированного доступа требуется обычный пароль.

Подключение к сети ИнтернетВ этот раз подключение к сети Интернет выполняется с маршрутизатором периметра иавтономным маршрутизатором. Данный маршрутизатор периметра может выполнятьпростое пакетное фильтрование, а другие функциональные операции, отнимающиебольшую мощность процессора, выполняются автономным межсетевой экраном.Перед допуском любого наружного или внутреннего трафика Telnet, FTP и Webосуществляется идентификация пользователей средствами PIX или Centri Firewall.Ниже приведены примеры команд конфигурации, использующие маршрутизаторпериметра с устройством PIX Firewall, как это показано на рисунке 58.

Рисунок 58. Подключение к сети Интернет – Максимальный уровень безопасности

96

Ниже приведены соответствующие команды конфигурации

Команды конфигурации маршрутизатора периметраВ данном сценарии маршрутизатор периметра используется для пропуска всеготрафика, который является необходимым и отсекания другого трафика. Допуск к самомумаршрутизатору ограничен только до идентифицированных TACACS+ пользователей,которые находятся в определенных сетях (поскольку все сетевое устранение неполадокдолжно выполняться из той сети, где находится сетевой оперативный центр NetworkOperations Center [NOC]). Здесь сеть NOC network находится в сети 144.254.33.0.

interface serial 0 ! define interfacedescription To The Internet ! describe it's purposeip address 161.71.73.33 255.255.255.248 ! set ip addressip access-list 101 in ! define inbound filterip access-list 102 out ! define outbound filter

access-list 101 permit tcp any any established Note 1 ! allow all incoming tcp traffic where session wasinitiated! within the campus network

access-list 101 permit tcp any host 144.254.1.3 eqftp ! allow ftp to ftp server on dirty net

access-lsit 101 permit tcp any host 144.254.1.3 eqftp-date ! allow ftp data to ftp server on dirty net

97

access-list 101 permit tcp any host 144.254.1.4 eqwww ! allow http traffic to web server on dirty net

access-list 101 deny ip any any ! deny all else from entering campus

access-list 102 permit ip 144.254.0.0 0.0.255.255any ! allow only packets with source

access-list 102 deny ip any any ! address of campus network to the Internet

access-list 10 permit 144.254.33.0 0.0.0.255 ! allow telnet access to router only from hostsline vty 0 4 ! on the 144.254.33.0 subnetaccess-class 10 in

Примечание: Ключевое слово "established" может быть использовано только дляпротокола верхнего уровня ТСР. Списки рефлексивного доступа (поддерживаемые сверсии Version 11.3) обеспечивают более мощный механизм фильтрования сеанса.Списки рефлексивного доступа могут быть определены только со спискамирасширенного поименного доступа IP. Для получения дополнительной информацииобращайтесь по адресу:http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/scprt3/screflex.htm.

Команды конфигурации PIXЭти команды идентифицируют весь исходящий трафик Telnet, HTTP и FTP черезTACACS+.

aaa authentication any outbound 0.0.0.0 0.0.0.0 tacacs+ ! specify authenticationtacacs-server host 144.254.5.9 sharedsecret ! specify tacacs+ host and shared secretaaa authorization any outbound 0.0.0.0 0.0.0.0 ! specify authorization

Подключение удаленного доступаКонтроль удаленного доступа является более ограниченным и всем пользователямнеобходимо себя идентифицировать перед получением доступа к сети комплекса.Кроме того, весь трафик Web и Telnet IP от отделения и от комплекса зашифрован.Вся идентификация выполняется через сервер ААА с использованием протоколаTACACS+, а доступ к маршрутизаторам ограничен лишь специальными хостами иподсетями. (Смотри рисунок 59).

Рисунок 59. Подключение удаленного доступа – Максимальный уровеньбезопасности

98

Ниже приведены соответствующие команды для конфигурации инфраструктуры сети.

Команды конфигурации маршрутизатора отделения компанииКоманды идентификации и TACACS+ здесь не показаны, обратитесь к конфигурациидля маршрутизатора отделения, показанной на странице --. Нижеприведенные командыпоказывают конфигурацию шифрования и ограниченный доступ Telnet.Подразумевается, что как маршрутизатор отделения, так и NAS уже создали и поменялиобщие ключи.

hostname Branch_router

crypto map toNAS 10set algorithm 40-bit des cfb-64 ! using 40-bit keysset peer NAS ! encryption peer is device named NAS

match address 101 ! encrypt and decrypt what's defined in thisaccess-list

interface Ethernet 0ip address 192.150.42.1 255.255.255.0 ! ip address for this ethernet interface

interface Bri0ip address unnumbered Ethernet 0 ! conserving ip address spaceEncapsulation ppp ! using ppp encapsulationdilaer map ip 144.254.5.20 name NASdialer-group 1ppp authentication chapcrypto map toNAS ! associate crypto map with BRI interface

99

dialer-list 1 protocol ip permit ! define traffic to start dial or keep isdn lineup

access-list 101 permit ip 144.254.0.0 0.0.255.255192.150.42.0 0.0.0.255 eq telnet

! encrypt/decrypt telnet traffic betweenbranch and campus

access-list 101 permit ip 144.254.0.0 0.0.255.255192.150.42.0 0.0.0.255 eq http

! encrypt/decrypt www traffic betweenbranch and campus

access-list 10 permit 192.150.42.66 0.0.0.0 ! allow telnet access to router from host192.150.42.66 and

access-list 10 permit 144.254.33.0 0.0.0.255 ! all hosts on the 144.254.33.0 subnet

line vty 0 4access-class 10 in

Команды конфигурации NAS

hostname NAS

crypto map to Branch 10set algorithm 40-bit des cfb-64 ! using 40-bit keys

set peer Branch_router ! encryption peer is device namedBranch_router

match address 101 ! encrypt and decrypt what's defined in thisaccess-list

interface Ethernet 0ip address 144.254.5.20 255.255.255.0 ! ip address for ethernet interface

interface Serial0:23 ! configuring PRIdescription To The Branchcrypto-map to Branch

access-list 101 permit tcp 192.150.42.0 0.0.0.255144.254.0.0 0.0.255.255 eq telnet

! encrypt/decrypt telnet traffic betweenbranch and campus

access-list 101 permit tcp 192.150.42.0 0.0.0.255144.254.0.0 0.0.0.255 eq http

! encrypt/decrypt telnet traffic betweenbranch and campus

access-list 10 permit 144.254.33.0 0.0.0.255 ! allow telnet access to router only fromhosts

line vty 0 4 ! on the 144.254.33.0 subnetaccess-class 10 in

Подключение комплексаДоступ к комплексу может быть сделан еще более ограниченным посредствомфильтрования обновлений маршрутизации в центральной сети и допуска коборудованию инфраструктуры только через процедуру ограниченного допуска.Фильтрование обновлений маршрутизации обычно является результатом сложнойкорпоративной сети, как та, что показана на рисунке 60.

Рисунок 60. Подключение комплекса – Максимальный уровень безопасности

100

Соответствующие команды конфигурации для маршрутизаторов и коммутаторовприведены ниже.

Команды конфигурации маршрутизатораЦентральная сеть включает коммутаторы 100BaseT связанные с маршрутизаторами.Идентификация маршрута используется так, как показано на рисунке 57. Кроме того,интерфейсы 10BaseT к локальным вычислительным сетям LAN используют RIP.Фильтрование маршрута используется для обеспечения того, что локальнымвычислительным сетям LAN объявлены только маршруты по умолчанию, и что ни одиниз небрежных нетактичных хостов не может стать для основной сети источникоммаршрута по умолчанию. Заметьте, что в случае с DHCP, хосты локальнойвычислительной сети LAN имеют маршрутизатор с конфигурацией по умолчанию и нетребуют использования RIP.

router eigrp 109network 144.254.0.0distance 255 ! don't believe any EIGRP routing updatesdistance 100 144.265.5.0 0.0.0.255 ! believe only updates coming from backbone routers

router ripnetwork 144.254.0.0passive-interface FDDI 0/0 ! don't send RIP updates on backbonedistribute list 11 out ! only send out default route

101

distance 255 ! don't believe any RIP routes coming in

access-list 11 permit 0.0.0.0

access-list 10 permit 144.254.33.0 0.0.0.255 ! allow telnet access to router only from hostsline vty 0 4 ! on the 144.254.33.0 subnetaccess-class 10 in

Примечание: Так как для EIGRP необходим сосед перед отправкой обновлениймаршрутизации, для интерфейсов локальной вычислительной сети не требуетсякоманда пассивного интерфейса. Если других соседей EIGRP в LAN не существует, тообновления маршрутизации не будут отправлены.

РезюмеБезопасность инфраструктуры сети является интегральной частью современныхсетевых сред. Наиболее важным является необходимость в выработке политикибезопасности сети предприятия, из которой могут быть определены соответствующиепрограммные продукты и компоненты, необходимые для реализации данной политики.Технологии обеспечения безопасности будут продолжать обновляться и улучшаться помере того, как будут найдены более сложные алгоритмы. Cisco будет продолжатьотслеживать появляющиеся технологии и включать в свои продукты новыепрограммные компоненты и функциональные свойства по мере их доступности.

102

Приложение А: Источники информации Cisco вобласти безопасности

Руководства Cisco по конфигурации для программныхпродуктов в области обеспечения безопасности и длясоответствующих программных компонентов:

Безопасность Cisco IOS :http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/113ed_cr/secur_c/index.htm

PIX Firewall:http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm

Catalyst 5000 series:http://www.cisco.com/univercd/cc/td/doc/product/lan/cat5000/c5k3_1/c5kcg3_1/12secure.htm

Netsys:http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/netsys/netsysug/index.htm

NetFlow Flow Collector:http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/nfc/nfc_ug/index.htm

NetFlow Flow Analyzer:http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/nfa/nfa_ug/index.htm

Cisco Resource Manager:http://www.cisco.com/univercd/cc/td/doc/product/rtrmgmt/crm/crm_ug2/index.htm

Дополнительная информацияМосковский офис Cisco SystemsРиверсайд ТауерзКосмодамианская наб., 52Стр. 1, 4 этаж113054 Москва, Россиятелефон: +7 095 9611410факс: +7 095 9611469World Wide Web: www.cisco.comCisco Russia WWW: www.cisco.ru