§ DHCP Snooping – инспекция DHCP сообщений, отбрасывания нелегитимных DHCP сообщений. § Dynamic ARP Inspection – проверяются ARP ответы, полученные на untrusted интерфейсах


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.
Компания ЭВРИКА Комплексные информационные решения


Проблемы безопасности передачи
данных в современных сетях.

Решения
Cisco Systems
по
обеспечению безопасности.

Учебный центр

«Эврика»

Али Алиев

инструктор
Cisco

[email protected]

Компания ЭВРИКА Комплексные информационные решения

Распределенные сети и их безопасность

Атакам подвержены и
пользователи и сервера
и активное сетевое
оборудование

Трафик подвержен перехвату и
искажению при передаче через
интернет и распределенные сети

Удаленный офис

Центральный офис

Удаленный офис

Домашний работник

Домашний работник

Компания ЭВРИКА Комплексные информационные решения



Архитектура от
Cisco
для распределенных сетей, в которых
присутствует трафик разного типа: голос, данные, видео



Пришла на смену архитектуре
SON
А и отличается от нее
повсеместным внедрением виртуализации



Цель сетей, построенных согласно данной архитектуре:
предоставить безопасный доступ пользователям, в любое время, в
любом месте

Компания ЭВРИКА Комплексные информационные решения

Архитектура безопасности
Cisco SAFE


Внедрение безопасности как неотъемлемый и непрерывный
процесс



Любой элемент сети


потенциальная цель для атаки



Решения безопасности


комплексные, затрагивают все элементы
сети, внедряются на всех уровнях модели
OSI

Компания ЭВРИКА Комплексные информационные решения

Внутренняя и внешняя безопасность

Внутренняя безопасность :

Решения для предотвращения атак изнутри сети


Внешняя
безопасность :

Решения для предотвращения атак снаружи сети


Компания ЭВРИКА Комплексные информационные решения

Внутренняя безопасность


Безопасность активного сетевого оборудования и служебного
трафика



Безопасность трафика данных, серверов сети и конечных
устройств

Компания ЭВРИКА Комплексные информационные решения

Безопасность активного сетевого
оборудования и служебного трафика


Внедрение уровней привилегий для управления устройством



Безопасность служебного трафика



Ограничение количества служебного трафика, поступающего на
устройство

Компания ЭВРИКА Комплексные информационные решения




Ограничение служебного трафика,

поступающего
на устройство


т
ранзитный трафик


SSH

OSPF

EIGRP

BGP

Control Plane Policing

Ограничение в пакетах или в байтах
секунду, трафика того или иного
протокола, поступающего на ЦП

Control Plane
Protection

Ограничение количества пакетов того
или иного протокола, в очереди на
передачу в ЦП


Management interface

Ограничение интерфейсов с которых может
приходить трафик управления, ограничение
используемых протоколов удаленного
управление

Компания ЭВРИКА Комплексные информационные решения


Безопасность трафика данных, серверов и
конечных устройств



Аутентификация и авторизация пользователей, получающих
доступ в сеть



Защита от сетевых атак: подмена
IP
и
mac
адресов, подмена
ARP
и
DHCP
ответов



Фильтрация коммутаторами трафика внутри виртуальных
локальных сетей

Компания ЭВРИКА Комплексные информационные решения


Аутентификация и авторизация
пользователей, получающих доступ в сеть


Аутентификация и авторизация

пользователей, получающих доступ
в сеть.

Назначение в результате авторизации
IP

адреса,
VLAN
,
подгружаемых списков

контроля доступа.

Компания ЭВРИКА Комплексные информационные решения

Защита от сетевых атак: подмена
IP
и
MAC
адресов, подмена
ARP
и
DHCP
ответов



DHCP Snooping


инспекция
DHCP
сообщений, отбрасывания
нелегитимных
DHCP
сообщений



Dynamic ARP Inspection



проверяются
ARP
ответы,
полученные на
untrusted
интерфейсах, на их соответствие
записям в
DHCP snooping database



Source Guard


проверяется
IP
адрес источника каждого пакета,
полученного на интерфейсе коммутатора



Port Security



настройка на интерфейсе разрешённых
mac
адресов, а также их количество

Компания ЭВРИКА Комплексные информационные решения




Фильтрация
коммутаторами трафика
внутри виртуальных локальных сетей


VLAN
фильтры:

Позволяют фильтровать трафик на
основе списков контроля доступа
или
mac
адресов источника и
назначения, внутри одной
виртуальной локальной сети.

Применяются к виртуальным
локальным сетям, а не к
интерфейсам

Компания ЭВРИКА Комплексные информационные решения

Внутренняя безопасность


выводы:


Внутренняя безопасность, это безопасность как активного
сетевого оборудования и его служебного трафика, так и
безопасность конечных устройств.



Компания
Cisco Systems
предлагает широкий функционал, для
обеспечения внутренней безопасности: включающий как
функционал, общий для всех производителей, так и
проприетарные решения.

Компания ЭВРИКА Комплексные информационные решения

Внешняя
безопасность


Шифрование и аутентификация трафика
(внедрение
VPN
)


Инспекция трафика

Компания ЭВРИКА Комплексные информационные решения



1
. Шифрование и аутентификация
трафика (внедрение
VPN
)



Построение
site
-
to
-
site VPN

-

IPsec

VPN
без
туннелирования

-

IPsec

VPN
сети с использованием
GRE
туннелей

-



Построение
remote
-
access VPN

-

Построение без клиентских
SSL VPN
соединений

-

Построение
клиентских
SSL VPN
соединений

-
Построение клиентских
remote
-
access IPsec VPN
соединений



Модули и клиенты для поддержки методов шифрования и
аутентификации ГОСТ 28147
-
89, ГОСТ Р 34.11
-
94



Компания ЭВРИКА Комплексные информационные решения



Site
-
to
-
Site IPsec
VPN
без
туннелирования



Нешифрованный
трафик

Шифрованный трафик

Компания ЭВРИКА Комплексные информационные решения



IPSec

VPN
сети с использованием
GRE
туннелей


spoke

Удаленный
офис

Hub

Главный офис

spoke

Удаленный
офис

spoke

Удаленный
офис

Компания ЭВРИКА Комплексные информационные решения



Решение компании
Cisco
-

DMVPN


spoke

Удаленный
офис


Hub
-
1

Центральный офис


Hub
-
2

Центральный офис


spoke

Удаленный
офис


spoke

Удаленный
офис


NHRP

NHS

NHS

Компания ЭВРИКА Комплексные информационные решения





SECONDARY
KEY SERVER

GROUP
MEMBER

GROUP
MEMBER

GROUP
MEMBER

PRIMARY KEY
SERVER

Компания ЭВРИКА Комплексные информационные решения

VPN
соединения удаленного доступа


Отличаются по протоколам, на которых
строится
VPN
соединения:
IPSec
или
SSL



Бывают клиентскими и
бесклиентскими

Компания ЭВРИКА Комплексные информационные решения




Построение
бесклиентских

удаленных
SSL VPN
соединений


HTTP,
HTTPS
сервер

FTP
сервер

SSH,
rdp,rdp2

Подключение
из интернет
кафе

Подключение из
удаленного офиса

Компания ЭВРИКА Комплексные информационные решения



Построение клиентских
SSL
VPN
соединений


HTTP,
HTTPS
сервер

FTP
сервер

SSH,
TFTP,

syslog

Подключение
работника из
дома

Подключение
офиса

Компания ЭВРИКА Комплексные информационные решения




Построение удаленных клиентских
IPsec

VPN
соединений


HTTP,
HTTPS
сервер

FTP
сервер

SSH,
TFTP,

syslog

Подключение
из офиса

Подключение

из офиса

Компания ЭВРИКА Комплексные информационные решения





Модули и клиенты для поддержки
методов шифрования и аутентификации
ГОСТ 28147
-
89, ГОСТ Р 34.11
-
94




На данный момент, устройства
Cisco
,


силами

операционных систем,

поддерживают в качестве алгоритмов

шифрования



AES, DES, 3DES, rc2, rc4
, в качестве


алгоритмов аутентификации



md5, sha
-
1, sha
-
2, sha
-
3, sha
-
5
и т.д.

Для поддержки алгоритма шифрования

ГОСТ 28147
-
89 и алгоритма аутентификации

ГОСТ
Р
34.11
-
94 был разработан модуль


для маршрутизаторов
Cisco
-


NME
-
RVPN
.



Компания ЭВРИКА Комплексные информационные решения

CSP VPN Client

Поддерживаемые алгоритмы
шифрования:

DES
-
CBC (IV32), 3DES
-
K168
-
CBC,
IDEA
-
CBC, AES
-
K128
-
CBC, AES
-
K192
-
CBC, AES
-
K256
-
CBC,
ГОСТ
28147
-
89


Поддерживаемые алгоритмы
аутентификации

MD5, SHA1, ГОСТ Р 34.11
-
94






Компания ЭВРИКА Комплексные информационные решения


Инспекция
трафика



Инспекция трафика посредством межсетевого
экрана от компании
Cisco Systems
-

Cisco ASA

Компания ЭВРИКА Комплексные информационные решения

Инспекция трафика
при помощи
Cisco
ASA

outside

DMZ

inside

Компания ЭВРИКА Комплексные информационные решения

Отказоустойчивость
Active/Standby

Primary/Active

Secondary/Standby

Failover interface

Компания ЭВРИКА Комплексные информационные решения

Виртуализация устройств
Cisco ASA

В зависимости от модели
устройства и от лицензии


одно устройство можно
поделить на 2
-

200 контекстов.

С выходом
IoS

версии 9.0,
каждый контекст


полноценное, независимое
устройство.

Компания ЭВРИКА Комплексные информационные решения

Отказоустойчивость
Active/Active

На 2х устройствах создаются
одинаковые контексты, которые
помещаются в 2
failover
группы.

Для каждой из групп


одно
устройство активное, другое
запасное.

Компания ЭВРИКА Комплексные информационные решения

Внешняя безопасность
-

выводы:


Для внешней безопасности, можно использовать шифрование и
аутентификацию трафика, а также его фильтрацию



Помимо стандартных решений, компания
Cisco Systems
,
предлагает дополнительные решения, которые позволяют
повысить гибкость и производительность различных
VPN
соединений



Межсетевые экраны
Cisco ASA
, поддерживают инспекцию
трафика на разных уровнях модели
OSI
, а также богатые
возможности виртуализации и отказоустойчивости

Компания ЭВРИКА Комплексные информационные решения

Сертификация CCNA
Security

Курс
CCNA Security
является базовым курсом в линейке курсов
безопасности компании
Cisco Systems
. Знакомит слушателей с основами
сетевой безопасности и учит внедрять безопасность при помощи решений
компании
Cisco Systems.


Сертификация CCNP
Security

Линейка курсов из трека
Cisco CCNP Security

учит слушателей внедрять
комплексные решения безопасности, при помощи оборудования
Cisco
Systems:
строить различные виртуальные защищенные сети (
VPN
),
внедрять системы предотвращения вторжений (
IPS)
, настраивать
межсетевые экраны (
FIREWALL)
, использовать функционал оборудования
для предотвращения сетевых атак

(
SECURE)
.

Сертификация состоит из следующих курсов и экзаменов:



642
-
637 SECURE

Securing


with

Cisco

Routers

and

Switches

(SECURE)


642
-
618 FIREWALL

Deploying

Cisco

ASA
Firewall

Solutions

(FIREWALL)



642
-
648 VPN



Deploying

Cisco

ASA VPN
Solutions

(VPN)


642
-
627
IPS


Implementing

Cisco

Intrusion

Prevention

System

(IPS)

Компания ЭВРИКА Комплексные информационные решения

Учебный центр
«ЭВРИКА
»

организован
в
ноябре1999 года
как

подразделение компании

системного интегратора

ЗАО
«ЭВРИКА»

Учебный центр «ЭВРИКА
»

специализируется
на
подготовке

высококвалифицированных IT

специалистов
и имеет статус авторизованного
учебного

центра
от компаний
Cisco

Systems
, EC
-
Council,Microsoft
,
Novell
,
Red

Hat
. Также
проводятся авторские курсы по офисным
решениям на
Microsoft

Office

и
OpenOffice
,
построению решений на
VMware
, проводится
обучение по ITIL и MOF.

Компания ЭВРИКА Комплексные информационные решения





Спасибо за внимание!

Ждем Вас в нашем
учебном центре.


Приложенные файлы

  • pdf 7819042
    Размер файла: 4 MB Загрузок: 0

Добавить комментарий