Segurança : Cisco IOS Firewall

Os IO Zona-basearam o Firewall: CME/CUE/GW escolhem o exemplo de configuração da conexão PSTN do local ou do escritório filial

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

O Roteadores do serviço integrado de Cisco (ISR) oferece uma plataforma escalável endereçar exigências dos dados e da rede de voz para um amplo intervalo dos aplicativos. Embora a paisagem da ameaça de redes privadas e Internet-conectadas seja muito um ambiente dinâmico, o Cisco IOS Firewall oferece a inspeção stateful e as capacidades da inspeção de aplicativo e do controle (AIC) de definir e reforçar uma postura segura da rede, ao permitir a capacidade do negócio e a continuidade.

Este documento descreve o projeto e as considerações de configuração para aspectos de segurança do Firewall de dados e de encenações ISR-baseados Cisco específicos do aplicativo de voz. A configuração para serviços de voz e o Firewall são fornecidos para cada encenação do aplicativo. Cada encenação descreve VoIP e as configurações de segurança separadamente, seguido pela configuração de roteador inteira. Sua rede pode exigir a outra configuração para serviços tais como QoS e VPN manter a Qualidade de voz e a confidencialidade.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Fundo do firewall de IOS

O Cisco IOS Firewall é distribuído tipicamente nas encenações do aplicativo que diferem dos modelos de distribuição dos Firewall do dispositivo. As implementações típicas incluem aplicativos do Teleworker, locais pequeno- ou do escritório filial, e os aplicativos varejos, onde a baixa contagem do dispositivo, a integração dos serviços múltiplos, e a profundidade do desempenho mais baixo e da capacidade de segurança são desejadas.

Quando o aplicativo da inspeção do Firewall, junto com outros Serviços integrados no Produtos ISR, pôde parecer atrativo do custo e da perspectiva operacional, as considerações específicas devem ser avaliadas a fim determinar se um Firewall roteador-baseado é apropriado. O aplicativo de cada recursos adicionais incorre a memória e os custos de processamento e contribui-los-á provavelmente às taxas reduzidas do throughput de encaminhamento, à latência de pacote aumentada, e à perda de potencialidade de recursos durante períodos de carga de pico se uma solução roteador-baseada integrada de fraca potência é distribuída.

Siga estas diretrizes quando você decide entre um roteador e um dispositivo:

  • O Roteadores com as características integradas múltiplas permitidas é serido melhor para o escritório filial ou as instalações de telecomutador onde menos dispositivos oferecem uma solução melhor.

  • A largura de banda elevada, aplicativos de capacidade elevada é tipicamente melhor endereçada com dispositivos: Cisco ASA e server unificado Cisco do gerenciador de chamada deve ser aplicado para segurar o NAT e o aplicativo e o Processamento de chamadas da política de segurança, quando o Roteadores endereçar o aplicativo da política de QoS, a terminação MACILENTO, e os requisitos de conectividade do VPN de Site-para-Site.

Antes da introdução de versão 12.4(20)T do Cisco IOS Software, o Firewall clássico e o Firewall Zona-baseado da política (ZFW) eram incapazes de apoiar inteiramente as capacidades exigidas para o tráfego voip e serviços de voz roteador-baseados, exigência de grandes aberturas em políticas de firewall de outra maneira seguras acomodar o tráfego de voz, e oferecimento do apoio limitado para protocolos em desenvolvimento da sinalização voip e dos media.

O Cisco IOS de distribuição Zona-baseou o Firewall da política

O Firewall Zona-baseado Cisco IOS da política, similar a outros Firewall, pode somente oferecer um Firewall seguro se os requisitos de segurança da rede são identificados e descritos pela política de segurança. Há duas aproximações fundamentais a chegar em uma política de segurança: a perspectiva de confiança, ao contrário da perspectiva suspeito.

A perspectiva de confiança supõe que todo o tráfego é de confiança, salvo que que pode especificamente ser identificado como malicioso ou indesejável. Uma política específica é executada que negue somente o tráfego não desejado. Isto é tipicamente realizado através das entradas de controle de acesso específicas do uso, ou das ferramentas da assinatura ou comportamento-baseado. Esta aproximação tende a interferir menos com os aplicativos existentes, mas exige um conhecimento detalhado da paisagem da ameaça e da vulnerabilidade, e exige a vigilância constante endereçar ameaças e façanhas novas enquanto aparecem. Adicionalmente, a comunidade de usuário deve fazer uma grande parte em manter a Segurança adequada. Um ambiente que permita a liberdade larga com pouco controle para os ocupante oferece a oportunidade substancial para os problemas causados por indivíduos descuidados ou maliciosos. Um problema adicional desta aproximação é que confia muito mais nas ferramentas e nos controles de aplicativo de gerenciamento efetivo que oferecem a suficientes flexibilidade e desempenho poder monitorar e controlar os dados suspeitos em todo o tráfego de rede. Quando a tecnologia estiver presentemente disponível para acomodar isto, a carga operacional excede frequentemente os limites da maioria de organizações.

A perspectiva suspeito supõe que todo o tráfego de rede é indesejado, à exceção do bom tráfego especificamente identificado. Uma política que seja aplicada que negam todo o tráfego de aplicativo salvo que que é permitida explicitamente. Adicionalmente, a inspeção de aplicativo e o controle (AIC) podem ser executados para identificar e negar o tráfego malicioso que crafted especificamente para explorar bons aplicativos do `, assim como o tráfego não desejado que masquerading como o bom tráfego. Além disso, os controles de aplicativo impõem operacional e as cargas do desempenho na rede, embora a maioria de tráfego indesejado deva ser controlado por filtros apátridas tais como o Access Control Lists (ACLs) ou a política Zona-baseada do Firewall da política (ZFW), tão lá devem ser substancialmente menos tráfego que deve ser segurado pelo AIC, pelo Intrusion Prevention System (IPS), ou por outro controles assinatura-baseados tais como a harmonização flexível do pacote (FPM) ou o Network-Based Application Recognition (NBAR). Assim, se somente as portas de aplicativo desejadas (e o tráfego media-específico dinâmico que elevara das conexões de controle conhecidas ou das sessões) são permitidos especificamente, o único tráfego não desejado que estar presente na rede deve cair em um específico, o subconjunto mais-fácil-reconhecido, que reduz a engenharia e a carga operacional impostas para manter o controle sobre tráfego indesejado.

Este documento descreve as configurações de segurança de VoIP baseadas na perspectiva suspeito; assim, trafique somente que é permissível nos segmentos da rede de voz é permitido. As políticas dos dados tendem a ser mais permissivos, como descrito por notas na configuração de cada encenação do aplicativo.

Todas as disposições da política de segurança devem seguir um ciclo do feedback de loop fechado; das distribuições de segurança a capacidade da influência tipicamente e a funcionalidade dos aplicativos existentes e devem ser ajustadas para minimizar ou resolver este impacto.

Para obter mais informações sobre de como configurar o Firewall Zona-baseado da política, refira o projeto do Firewall da política e o guia Zona-baseados Cisco IOS Firewall do aplicativo.

Considerações para ZFW nos ambientes VoIP

O Cisco IOS Firewall Zona-baseou o projeto do Firewall da política e o guia do aplicativo oferece uma breve discussão para fixar o roteador com o uso das políticas de segurança a e da zona do auto do roteador, assim como as capacidades alternativas que são fornecidas com a vária proteção da fundação da rede (NFP) caracterizam. as capacidades Roteador-baseadas de VoIP são hospedadas dentro da zona do auto do roteador, assim as políticas de segurança por que proteja o roteador deve estar ciente das exigências para o tráfego de voz, a fim acomodar a sinalização de voz e os media originados e destinados aos recursos de Cisco Unified CallManager Express, do Survivable Remote Site Telephony, e do gateway de voz. Antes da versão 12.4(20)T do Cisco IOS Software, o Firewall clássico e o Firewall Zona-baseado da política eram incapazes de acomodar inteiramente as exigências do tráfego voip, assim que as políticas de firewall não foram aperfeiçoadas para proteger inteiramente recursos. as políticas de segurança da Auto-zona que protegem recursos roteador-baseados de VoIP confiam pesadamente nas capacidades introduzidas em 12.4(20)T.

Realces da Voz do firewall de IOS – 12.4(20)T

O Cisco IOS Software Release 12.4(20)T introduziu diversos realces para permitir o Firewall co-residente e as capacidades de voz da zona. Três recursos principais aplicam-se diretamente para fixar Aplicações de voz:

  • Realces do SORVO: Gateway de camada de aplicativo e inspeção de aplicativo e controle

    • Suporte de versão do SORVO das atualizações a SIPv2, como descrito pelo RFC 3261

    • Alarga o suporte de sinalização do SORVO para reconhecer uma variedade mais larga de fluxos de chamadas

    • Introduz a inspeção de aplicativo do SORVO e o controle (AIC) para aplicar controles granulados para endereçar vulnerabilidades e façanhas específicas do nível de aplicativo

    • Expande a inspeção da auto-zona para poder reconhecer os canais secundários da sinalização e dos media que resultam do tráfego do SORVO locally-destined/-originated

  • Apoio para o tráfego local magro e o CME

    • Apoio das atualizações SCCP à versão 16 (previamente versão suportada 9)

    • Introduz a inspeção de aplicativo SCCP e o controle (AIC) para aplicar controles granulados para endereçar vulnerabilidades e façanhas específicas do nível de aplicativo

    • Expande a inspeção da auto-zona para poder reconhecer a sinalização secundária e o media canaliza resultar do tráfego locally-destined/-originated SCCP

  • Apoio de H.323 v3/v4

    • Apoio de H.323 das atualizações a v3 e a v4 (v1 e v2 previamente apoiados)

    • Introduz a inspeção de aplicativo de H.323 e o controle (AIC) para aplicar controles granulados para endereçar vulnerabilidades e façanhas específicas do nível de aplicativo

As configurações de Segurança de roteadores descritas neste documento incluem as capacidades oferecidas por estes realces, com explicação descrever a ação aplicada pelas políticas. Para detalhes completos nas características da inspeção da Voz, refira os documentos dos recursos individuais alistados na seção Informação Relacionada deste documento

Caveats

A fim reforçar os pontos mencionados mais cedo, o aplicativo do Cisco IOS Firewall com as capacidades de voz roteador-baseadas deve aplicar o Firewall Zona-baseado da política. O firewall de IOS clássico não inclui a capacidade necessário de apoiar inteiramente as complexidades da sinalização e o comportamento do tráfego de voz.

Tradução de endereço de rede

O Cisco IOS Network Address Translation (NAT) está configurado frequentemente simultaneamente com o Cisco IOS Firewall, particularmente nos casos onde as redes privadas devem conectar com o Internet, ou se as redes privadas díspares devem conectar, particularmente se o espaço de endereços IP de sobreposição está no uso. O Cisco IOS Software inclui gateway de camadas de aplicativo NAT (ALGs) para o SORVO, magro, e o H.323. Idealmente, a conectividade de rede para a Voz IP pode ser acomodada sem o aplicativo do NAT, enquanto o NAT introduz a complexidade adicional aos aplicativos da pesquisa de defeitos e da política de segurança, particularmente nos casos onde a sobrecarga NAT é usada. O NAT deve somente ser aplicado como uma última solução do caso para endereçar interesses da conectividade de rede.

Cliente do Cisco Unified Presence

Este documento não descreve as configurações que apoiam o uso do cliente do Cisco Unified Presence (CUPC) com firewall de IOS, porque CUPC não é apoiado ainda pela zona ou pelo Firewall clássico até à data do Cisco IOS Software Release 12.4(20)T1. CUPC será apoiado em uma liberação futura do Cisco IOS Software.

CME/CUE/GW escolhem o local ou ramificam conexão PSTN

Esta encenação introduz a telefonia Voz-sobre-IP roteador-baseada segura para empresas pequenas à média do único-local ou para as organizações maiores do multi-local que desejam distribuir o Processamento de chamadas distribuído, mantendo conexões legadas à rede telefônica pública comutada (PSTN). O controle de chamada VoIP é acomodado com o aplicativo de um gerenciador de chamada unificado Cisco expresso.

A conectividade de PSTN pode ser mantida a longo prazo ou pode ser migrada a uma rede de área ampla convirgida IP Voz-e-DATA, como descrito pelo exemplo de aplicativo discutido no CME/CUE/GW escolha o local ou o escritório filial com o tronco do SORVO ao CCM no QG ou exprima a seção do fornecedor deste documento.

As organizações devem considerar executar este tipo de encenação do aplicativo para as circunstâncias onde os ambientes VoIP díspares estão usados entre locais ou se VoIP é pouco prático devido à conectividade de dados MACILENTO inadequada, ou limitações lugar-específicas no uso de VoIP em redes de dados. Os benefícios e os melhores prática da Telefonia IP do único-local são descritos em Cisco Unified CallManager Express SRND.

Fundo da encenação

A encenação do aplicativo incorpora telefones prendidos (Voz VLAN), PC prendidos (VLAN de dados), e dispositivos Wireless (que incluem dispositivos voip tais como o comunicador IP).

A configuração de segurança fornece:

  • Roteador-iniciado sinalizando a inspeção entre o CME e os telefones locais (SCCP e/ou SORVO)

  • Furo de pino das mídias de voz para uma comunicação no meio:

    • Segmentos prendidos e wireless do Local

    • CME e os telefones locais para MoH

    • SUGESTÃO e os telefones locais para o correio de voz

  • Aplique a inspeção de aplicativo e o controle (AIC) a:

    • O limite de taxa convida mensagens

    • Assegure a conformidade do protocolo em todo o tráfego do SORVO.

isr_config_01_108014.gif

Vantagens e desvantagem

A maioria de benefício óbvio do aspecto de VoIP da encenação é o caminho de migração oferecido integrando infraestrutura de rede de voz e de dados existente em um ambiente existente POTS/TDM, antes de mover-se para uma voz convergida/rede de dados para serviços de telefonia para o mundo além do LAN. Os números de telefone são mantidos para empresas de pequeno porte, e centrex existente ou prestaram serviços de manutenção podem ser saidos no lugar para as organizações maiores que desejam uma migração encenada à telefonia de pacote de informação do contorno de tarifa.

As desvantagens incluem a perda de poupanças de despesas que poderiam ser realizadas com Toll Bypass se movendo para uma rede de voz e de dados convirgida, assim como de limitações em chamar a flexibilidade e a falta da integração e da mobilidade organização-largas das comunicações que poderia ser realizada com uma rede de voz e de dados inteiramente convirgida.

De uma perspectiva da Segurança, este ambiente do tipo de rede minimiza ameaças de segurança de VoIP, evitando a exposição de recursos de VoIP à rede pública ou a WAN. Contudo, o expresso do Cisco Call Manager encaixado dentro do roteador ainda seria vulnerável às ameaças internas tais como o tráfego malicioso ou o tráfego de aplicativo funcionando mal. Assim, a política é executada que permite o tráfego Voz-específico que encontra as verificações da conformidade do protocolo, e as ações específicas de VoIP (isto é o SORVO CONVIDA) são limitadas para reduzir a probabilidade dos maus funcionamentos maliciosos ou involuntários do software que impactam negativamente recursos e usabilidade de VoIP.

As políticas dos dados, Firewall Zona-baseado, exprimem a Segurança, e as configurações CCME

A configuração descrita aqui ilustra uns 2851 com uma configuração do serviço de voz para a Conectividade CME e de SUGESTÃO:

!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!

Configuração de firewall Zona-baseada da política, composta de zonas de Segurança para segmentos prendido e do Wireless LAN, LAN privada (composta de segmentos prendidos e wireless), um segmento MACILENTO público onde a conectividade de Internet não confiável seja alcançada, e a zona do auto onde os recursos da Voz do roteador são encontrados.

/image/gif/paws/108014/isr_config_02_108014.gif

Configuração de segurança
class-map type inspect match-all acl-cmap
 match access-group 171
class-map type inspect match-any most-traffic-cmap
 match protocol tcp
 match protocol udp
 match protocol icmp
 match protocol ftp
!
!
policy-map type inspect most-traffic-pmap
 class type inspect most-traffic-cmap
  inspect
 class class-default
  drop
policy-map type inspect acl-pass-pmap
 class type inspect acl-cmap
  pass
!
zone security private
zone security public
zone security wired
zone security wireless
!
zone-pair security priv-pub source private destination public
 service-policy type inspect most-traffic-pmap
zone-pair security priv-vpn source private destination vpn
 service-policy type inspect most-traffic-pmap
zone-pair security acctg-pub source acctg destination public
 service-policy type inspect most-traffic-pmap
zone-pair security eng-pub source eng destination public
 service-policy type inspect most-traffic-pmap
!
!
!
interface GigabitEthernet0/0
 ip virtual-reassembly
 zone-member security eng

Configuração de roteador inteira
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname 2851-cme2
!
!
logging message-counter syslog
logging buffered 51200 warnings
!
no aaa new-model
clock timezone mst -7
clock summer-time mdt recurring
!
dot11 syslog
ip source-route
!
!
ip cef
no ip dhcp use vrf connected
!
ip dhcp pool pub-112-net
   network 172.17.112.0 255.255.255.0
   default-router 172.17.112.1
   dns-server 172.16.1.22
   option 150 ip 172.16.1.43
   domain-name bldrtme.com
!
ip dhcp pool priv-112-net
   network 192.168.112.0 255.255.255.0
   default-router 192.168.112.1
   dns-server 172.16.1.22
   domain-name bldrtme.com
   option 150 ip 192.168.112.1
!
!
ip domain name yourdomain.com
!
no ipv6 cef
multilink bundle-name authenticated
!
!
!
!
voice translation-rule 1
 rule 1 // /1001/
!
!
voice translation-profile default
 translate called 1
!
!
voice-card 0
 no dspfarm
!
!
!
!
!
interface GigabitEthernet0/0
 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
 ip address 172.16.112.10 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 duplex auto
 speed auto
!
interface GigabitEthernet0/1
 no ip address
 duplex auto
 speed auto
!
interface GigabitEthernet0/1.132
 encapsulation dot1Q 132
 ip address 172.17.112.1 255.255.255.0
!
interface GigabitEthernet0/1.152
 encapsulation dot1Q 152
 ip address 192.168.112.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/2/0
!
interface FastEthernet0/2/1
!
interface FastEthernet0/2/2
!
interface FastEthernet0/2/3
!
interface Vlan1
 ip address 198.41.9.15 255.255.255.0
!
router eigrp 1
 network 172.16.112.0 0.0.0.255
 network 172.17.112.0 0.0.0.255
 no auto-summary
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip http path flash:/gui
!
!
ip nat inside source list 111 interface GigabitEthernet0/0 overload
!
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 111 deny   ip 192.168.112.0 0.0.0.255 192.168.0.0 0.0.255.255
access-list 111 permit ip 192.168.112.0 0.0.0.255 any
!
!
!
!
!
!
tftp-server flash:/phone/7940-7960/P00308000400.bin alias P00308000400.bin
tftp-server flash:/phone/7940-7960/P00308000400.loads alias P00308000400.loads
tftp-server flash:/phone/7940-7960/P00308000400.sb2 alias P00308000400.sb2
tftp-server flash:/phone/7940-7960/P00308000400.sbn alias P00308000400.sbn
!
control-plane
!
!
!
voice-port 0/0/0
 connection plar 3035452366
 description 303-545-2366
 caller-id enable
!
voice-port 0/0/1
 description FXO
!
voice-port 0/1/0
 description FXS
!
voice-port 0/1/1
 description FXS
!
!
!
!
!
dial-peer voice 804 voip
 destination-pattern 5251...
 session target ipv4:172.16.111.10
!
dial-peer voice 50 pots
 destination-pattern A0
 port 0/0/0
 no sip-register
!
!
!
!
telephony-service
 load 7960-7940 P00308000400
 max-ephones 24
 max-dn 24
 ip source-address 192.168.112.1 port 2000
 system message CME2
 max-conferences 12 gain -6
 transfer-system full-consult
 create cnf-files version-stamp 7960 Jun 10 2008 15:47:13
!
!
ephone-dn  1
 number 1001
 trunk A0
!
!
ephone-dn  2
 number 1002
!
!
ephone-dn  3
 number 3035452366
 label 2366
 trunk A0
!
!
ephone  1
 device-security-mode none
 mac-address 0003.6BC9.7737
 type 7960
 button  1:1 2:2 3:3
!
!
!
ephone  2
 device-security-mode none
 mac-address 0003.6BC9.80CE
 type 7960
 button  1:2 2:1 3:3
!
!
!
ephone  5
 device-security-mode none
!
!
!
line con 0
 exec-timeout 0 0
 login local
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
line vty 5 15
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
ntp server 172.16.1.1
end

Abastecimento, Gerenciamento, e monitoração

O abastecimento e a configuração para recursos roteador-baseados da Telefonia IP e o Firewall Zona-baseado da política são geralmente os melhores acomodados com Cisco Configuration Professional. O gerente do CiscoSecure não apoia o Firewall Zona-baseado da política ou a Telefonia IP roteador-baseada.

O Firewall clássico do Cisco IOS apoia a monitoração SNMP com o Firewall unificado Cisco MIB. Contudo, o Firewall Zona-baseado da política não é apoiado ainda no Firewall unificado MIB. Como tal, a monitoração do Firewall deve ser segurada através das estatísticas na interface de linha de comando do roteador, ou com as ferramentas GUI tais como o Cisco Configuration Professional.

Suporte básico das ofertas da monitoração e do sistema de reporte do CiscoSecure (CS-MARS) para o Firewall Zona-baseado da política, embora as mudanças de registro que melhoraram a correlação do mensagem de registro para traficar que foram executadas em 12.4(15)T4/T5 e em 12.4(20)T não fossem apoiadas ainda inteiramente em CS-MARS.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

O Firewall da zona do Cisco IOS fornece comandos show and debug ver, monitorar, e pesquisar defeitos a atividade do Firewall. Esta seção fornece uma introdução aos comandos debug do Firewall da zona que fornecem informação de Troubleshooting detalhada.

Comandos debug

Os comandos Debug são úteis caso você usar um atípico ou configuração não suportada e precisam de trabalhar com o tac Cisco ou os Serviços de suporte técnico do outro Produtos para resolver questões de interoperabilidade.

Nota: O aplicativo dos comandos debug às capacidades específicas ou o tráfego podem causar muito um número grande de mensagens do console, que fazem com que o console de roteador se torne sem resposta. Mesmo no esse você precisa de permitir a eliminação de erros, você pôde querer prever o acesso alternativo da interface de linha de comando, tal como um indicador do telnet que não faça monitore o diálogo terminal. Você deve somente permitir debuga no equipamento autônomo (do ambiente de laboratório) ou durante um indicador da manutenção planejada, como permitindo debugar pôde substancialmente afetar o desempenho de roteador.


Informações Relacionadas


Document ID: 108014