Безопасность : Устройства защиты Cisco PIX серии 500

Пример конфигурации "Сетевой экран Cisco Secure PIX с двумя маршрутизаторами"

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Интерактивно этот документ предлагает анализ конкретного устройства Cisco.


Содержание


Введение

Конфигурация, приведенная в данном примере демонстрирует защиту сети с использованием сочетания маршрутизаторов и межсетевого экрана Cisco Secure PIX. Существует три уровня защиты (два маршрутизатора и межсетевой экран PIX). Для помощи в выявлении атак, угрожающих безопасности, предусмотрено также ведение журналов на сервере syslog.

Примечание: Этот документ не охватывает проблемы, такие как выбор пароля и другие формы безопасности, которые необходимы для успешной защиты сети от атаки.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на Версии 5.3.1 и выше программы PIX.

Примечание: Команды, используемые в другом программном обеспечении версий PIX, варьируются немного. Сошлитесь на документацию по межсетевому экрану (PIX) перед осуществлением этой конфигурации.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети.

/image/gif/paws/15244/new_20.gif

Конфигурации

Первая конфигурация - для межсетевого экрана PIX, поскольку конфигурации маршрутизатора должны быть понятными по отношению к межсетевому экрану.

При наличии выходных данных команды write terminal устройства Cisco для отображения возможных проблем и способов их решения можно использовать средство Output Interpreter (только для зарегистрированных клиентов).

Эти конфигурации используются в данном документе:

Сетевой экран PIX

!--- Sets the outside address of the PIX Firewall:

ip address outside 131.1.23.2 

!--- Sets the inside address of the PIX Firewall:

ip address inside 10.10.254.1

!--- Sets the global pool for hosts inside the firewall:

global (outside) 1 131.1.23.12-131.1.23.254

!--- Allows hosts in the 10.0.0.0 network to be
!--- translated through the PIX:

nat (inside) 1 10.0.0.0 

!--- Configures a static translation for an admin workstation 
!--- with local address 10.14.8.50:

static (inside,outside) 131.1.23.11 10.14.8.50

!--- Allows syslog packets to pass through the PIX from RTRA.
!--- You can use conduits OR access-lists to permit traffic.
!--- Conduits has been added to show the use of the command,
!--- however they are commented in the document, since the 
!--- recommendation is to use access-list.
!--- To the admin workstation (syslog server):
!--- Using conduit: 
!--- conduit permit udp host 131.1.23.11 eq 514 host 131.1.23.1 



!--- Using access-list:

Access-list 101 permit udp host 131.1.23.1 host 131.1.23.11 255.255.255.0 eq 514
Access-group 101 in interface outside

!--- Permits incoming mail connections to 131.1.23.10:

static (inside, outside) 131.1.23.10 10.10.254.3

!--- Using conduits
!--- conduit permit TCP host 131.1.23.10 eq smtp any
!--- Using Access-lists, we use access-list 101
!--- which is already applied to interface outside.

Access-list 101 permit tcp any host 131.1.23.10 eq smtp

!--- PIX needs static routes or the use of routing protocols
!--- to know about networks not directly connected.
!--- Add a route to network 10.14.8.x/24.

route inside 10.14.8.0 255.255.255.0 10.10.254.2

!--- Add a default route to the rest of the traffic 
!--- that goes to the internet.

Route outside 0.0.0.0 0.0.0.0 131.1.23.1

!--- Enables the Mail Guard feature 
!--- to accept only seven SMTP commands 
!--- HELO, MAIL, RCPT, DATA, RSET, NOOP, and QUIT:
!--- (This can be turned off to permit ESMTP by negating with 
!--- the no fixup protocol smtp 25 command):

fixup protocol smtp 25

!--- Allows Telnet from the inside workstation at 10.14.8.50 
!--- into the inside interface of the PIX:

telnet 10.14.8.50

!--- Turns on logging:

logging on

!--- Turns on the logging facility 20:

logging facility 20

!--- Turns on logging level 7:

logging history 7

!--- Turns on the logging on the inside interface:

logging host inside 10.14.8.50

Примечание: RTRA является внешним маршрутизатором экрана. Это должно экранировать Межсетевой экран PIX от направленных атак, защитить FTP/HTTP - сервер и действие как аварийная система. Если кто-либо входит в RTRA, системный администратор должен быть сразу уведомлен.

RTRA
no service tcp small-servers 

!--- Prevents some attacks against the router itself.

logging trap debugging

!--- Forces the router to send a message 
!--- to the syslog server for each and every
!--- event on the router. This includes packets denied 
!--- access through access lists and
!--- configuration changes. This acts as an early warning system to the system
!--- administrator that someone is trying to break in, or has broken in and is
!--- trying to create a "hole" in their firewall.

logging 131.1.23.11

!--- The router logs all events to this 
!--- host, which in this case is the 
!--- "outside" or "translated" address of the system 
!--- administrator's workstation.

enable secret xxxxxxxxxxx
!
interface Ethernet 0
 ip address 131.1.23.1 255.255.255.0
!
interface Serial 0
 ip unnumbered ethernet 0
 ip access-group 110 in 

!--- Shields the PIX Firewall and the HTTP/FTP 
!--- server from attacks and guards 
!--- against spoofing attacks.

!
access-list 110 deny ip 131.1.23.0 0.0.0.255 any log

!--- RTRA and the PIX Firewall. 
!--- This is to prevent spoofing attacks.

access-list 110 deny ip any host 131.1.23.2 log

!--- Prevents direct attacks against the 
!--- outside interface of the PIX Firewall and
!--- logs any attempts to connect to the  
!--- outside interface of the PIX to the syslog server.

access-list 110 permit tcp any 131.1.23.0 0.0.0.255 established 

!--- Permits packets which are part 
!--- of an established TCP session.

access-list 110 permit tcp any host 131.1.23.3 eq ftp 

!--- Allows FTP connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq ftp-data

!--- Allows ftp-data connections into the FTP/HTTP server.

access-list 110 permit tcp any host 131.1.23.3 eq www

!--- Allows HTTP connections into the FTP/HTTP server.

access-list 110 deny ip any host 131.1.23.3 log

!--- Disallows all other connections to 
!--- the FTP/HTTP server, and logs any attempt
!--- to connect this server to the syslog server.

access-list 110 permit ip any 131.1.23.0 0.0.0.255

!--- Permits other traffic destined to the 
!--- network between the PIX Firewall and RTRA.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 131.1.23.11

!--- Permits only the workstation of the administrator
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few 
!--- entries as possible.

Примечание: RTRB является внутренним маршрутизатором экранирования. Это последняя линия защиты в межсетевом экране и точка входа во внутреннюю сеть.

При наличии выходных данных команды show running-configuration от устройства Cisco для отображения потенциальных проблем и исправлений можно использовать Output Interpreter (только для зарегистрированных клиентов).

RTRB
logging trap debugging
logging 10.14.8.50

!--- Log all activity on this router to the 
!--- syslog server on the administrator's 
!--- workstation, including configuration changes.

!
interface Ethernet 0
 ip address 10.10.254.2 255.255.255.0
 no ip proxy-arp
 ip access-group 110 in

!--- Prevents inside and outside addresses 
!--- from mingling; guards against attacks 
!--- launched from the PIX Firewall or the 
!--- SMTP server as much as possible.

!
access-list 110 permit udp host 10.10.250.5 0.0.0.255

!--- Permits syslog messages destined 
!--- to the administrator's workstation.

access-list 110 deny ip host 10.10.254.1 any log

!--- Denies any other packets sourced 
!--- from the PIX Firewall.

access-list 110 permit tcp host 10.10.254.3 10.0.0.0 0.255.255.255 eq smtp

!--- Permits SMTP mail connections from the 
!--- mail host to internal mail servers.

access-list 110 deny ip host 10.10.254.3 10.0.0.0 0.255.255.255

!--- Denies all other traffic sourced 
!--- from the mail server.

access-list 110 deny ip 10.10.250.0 0.0.0.255 any

!--- Prevents spoofing of trusted addresses 
!--- on the internal network.

access-list 110 permit ip 10.10.254.0 0.0.0.255 10.10.250.0 0.255.255.255

!--- Permits all other traffic sourced from  
!--- the network between the PIX Firewall and RTRB.

!
line vty 0 4
 login
 password xxxxxxxxxx
 access-class 10 in

!--- Restricts Telnet access to the router 
!--- to those IP addresses listed in 
!--- access list 10.

!
access-list 10 permit ip 10.14.8.50

!--- Permits only the workstation of the administrator 
!--- to Telnet into the router. This
!--- access list may need to be changed to permit 
!--- access from the Internet for
!--- maintenance, but should contain as few entries as possible.

!--- A static route or routing protocol must be utilized
!--- to make the router aware of network 10.14.8.x (which is 
!--- inside the corporate network). This is because 
!--- it is not a directly connected network. 

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Понятия

Цель Межсетевых экранов состоит в том, чтобы предотвратить неавторизованная запись в сеть при разрешении заданного трафика в то же время. Возможно, проще всего начать с анализа, что именно может быть целью несанкционированного доступа, а затем обдумать, как затруднить потенциальному преступнику доступ к своей сети. Предположим в ситуации, описанной в этом документе, что у преступника был сервер в памяти, который содержал секретную информацию, которая будет иметь большое значение конкурентам. IP-адрес этого сервера, преступник учился, 10.100.100.10.

- Также Тотчас же злоумышленник встречается с серьезной проблемой: IP-адрес сервера является адресом, который не может быть достигнут по Интернету, поскольку никакая организация, подключенная к Интернету, не передает пакеты к сети 10 адресов назначения (DA). Это вынуждает преступника к любой попытке узнать то, что обращается, это преобразовывает в в Интернете (умный системный администратор никогда не позволял бы этому адресу быть преобразованным на Интернет), или разделитесь непосредственно на сеть для получения "базового лагеря", от которого можно напасть на сервер, содержащий уязвимые данные. Предположите, что преступник не может найти способ напасть на сервер непосредственно, и нападать на сеть для нападения на сервер из сети.

Первое препятствие, с которым сталкивается злоумышленник, – это первая DMZ, которая находится между RTRA и межсетевым экраном PIX. Преступник может попытаться войти в RTRA, но маршрутизатор настроен, чтобы только принять соединения от рабочей станции администратора, и к блокировкам пакета, которые, кажется, получены от самого DMZ. Если злоумышленник проникнет в RTRA, среди целей для атаки он обнаружит только PIX Firewall – он не будет находиться внутри сети и не сможет атаковать хост с важной информацией непосредственно.

Преступник также может предпринять попытку проникнуть в сервер FTP/HTTP – это опасность, которой следует остерегаться. Следует обеспечить максимально возможную защиту этого узла от любых таких атак. Если злоумышленник успешно проник на FTP/HTTP-сервер, он все равно не сможет атаковать хост с важными данными напрямую, но он сможет напрямую атаковать PIX Firewall. В любом случае действия нарушителя должны быть зарегистрированы на каком-либо шаге в процессе атаки с тем, чтобы администратор был оповещен о присутствии злоумышленника.

Если атакующий успешно проник во внешнюю зону DMZ, у него появится возможность для атаки межсетевого экрана PIX, и следующей целью становится вторая (внутренняя) зона DMZ. Он может достигнуть этой цели с атакой на сам Межсетевой экран PIX или атакой на RTRB, который запрограммирован для принятия сеансов Telnet только от рабочей станции системного администратора снова. Еще раз его попытки войти во внутренний DMZ зарегистрированы и Межсетевым экраном PIX и RTRB, таким образом, системный администратор должен иметь некоторое предупреждение и быть в состоянии остановить атаку, прежде чем атакующий перейдет к сути дела, где он может напасть на уязвимый сервер непосредственно.

Нарушитель может также обойти внешнюю зону DMZ и попытаться проникнуть во внутреннюю зону DMZ, атакуя почтовый узел. Этот хост защищен межсетевым экраном PIX и должен быть защищен путем тщательного мониторинга и настройки конфигурации. Данный хост является наиболее уязвимым из всех, защищенных межсетевым экраном.

Понятие должно предоставить несколько уровней защиты, а не одну "супер сильную" стену. Части должны образовывать одну устойчивую структуру межсетевого экрана, достаточно гибкую, чтобы разрешить требуемый трафик, но также предоставляющую достаточное число сигналов и систем предварительного оповещения.

Сетевые протоколы, не рекомендуемые к использованию вместе с межсетевым экраном

В связи со своей незащищенной природой, некоторые сетевые протоколы не предназначены для работы через межсетевые экраны между ненадежными и надежными сетями. Примерами таких незащищенных протоколов являются:

  • NFS

  • rlogin

  • rsh

  • любой основанный на RPC протокол

Последние версии PIX включали поддержку протоколов RPC. Cisco, однако, строго препятствует использованию этой возможности, поскольку RPC очень неуверен. Эта функция предназначается, чтобы использоваться при только самом необычном из обстоятельств.

PIX 7.0 использует команду inspect rpc для обработки пакетов RPC. Команда inspect sunrpc включает и выключает проверку приложений для протокола Sun RPC . Сервисы Sun RPC могут работать на любом порте системы. Когда клиент пытается получить доступ к сервису Sun RPC на сервере, он должен выяснить, с каким портом работает этот сервис. В заказе делают это, запросы клиента процесс сопоставления портов на хороше известном номер порта 111. Клиент передает количество программы RPC сервиса и возвращает номер порта. С этого момента программа-клиент посылает свои запросы RPC на этот новый порт.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 15244