2915

конфигурация: контроль состояния сети при помощи OAM F5, удаленное управление и мониторинг устройства на основе

Web.

Устройства семейства Prestige (фирма Zyxel).

Варианты устройств и их возможных соединений: -DSL-модем + DSL-модем;

-DSL-коммутатор + DSL-модемы; -ADSL-коммутатор + ADSL-модемы.

Практически у всех устройств семейства имеется наличие функций моста/маршрутизатора. Все устройства работают под управлением встроенной операционной системы ZyNOS™ .

ADSL Модем Prestige 642 + модемный коммутатор

AES-100.

Решение для обеспечения высокоскоростного доступа в Интернет или в корпоративную сеть по существующим телефонным проводам. Скорость связи: может принимать данные со скоростью до 8 Мбит/с и передавать на скорости до

640 Кбит/с.

Безопасность: режим трансляции адресов для подключения всей локальной сети при помощи лишь одного легального IP-адреса (NAT); встроенный межсетевой экран; возможность работы в рамках виртуальной частной сети на базе протокола PPTP.

Пример использования: Доступ в Интернет по выделенным каналам (рис. 36).

137

Рис. 36. DSL-доступ в Интернет

AES-100 может устанавливаться в помещении Интернетпровайдера или телефонной станции и обрабатывать все ADSL ATM потоки данных удаленных клиентов, конвертируя их в IP пакеты. AES-100 имеет два слота для установки сетевых модулей. Каждый сетевой модуль имеет восемь ADSL портов со встроенными телефонными сплиттерами, служащими для разделения данных и голоса, и один Ethernet порт для подключения к Ethernet-коммутатору или маршрутизатору.

Модульный DSL-концентратор Prestige 1600

Является масштабируемой модульной платформой для предоставления услуг доступа в сеть по выделенным и коммутируемым каналам с использованием различных DSLтехнологий на скоростях до 2,3 Мбит/с. Обеспечивает работу необходимых сетевых протоколов, маршрутизацию и подключение к глобальной сети через встроенный WAN-порт или Ethernet-порт 10/100 Mбит/с.

Безопасность: В Prestige 1600 предусмотрена высокая степень защиты информации от несанкционированного доступа путем настройки фильтров пакетов, протоколов транспортных уровней и широковещательных сообщений

138

индивидуально для каждого абонента. Системная консоль защищена паролем.

10.4. Маршрутизаторы (routers)

Маршрутизатор является устройством, позволяющим объединять сети с различными физическими интерфейсами, канальными и сетевыми протоколами в единую гетерогенную сеть. Маршрутизатор может быть реализован программным способом — в этом случае он представляет собой модуль операционной системы, установленной на компьютере общего назначения, или аппаратно-программным способом — тогда он является специализированным техническим устройством, работающим под управлением

производства фирмы Cisco Systems.

Основные характеристики маршрутизаторов Cisco: -модульная конструкция, позволяющая настраивать

конфигурацию маршрутизатора для конкретного применения

высокопроизводительной маршрутизации, шифрования, и широкополосного доступа;

-наличие 1-2 портов 10/100 Fast Ethernet;

-несколько слотов для модулей WAN interface card

(WIC);

-консольный порт; -внутренний слот расширения для модуля аппаратного

шифрования;

-встроенная операционная система CISCO IOS (Internetworking Operating System) с интерфейсом командной строки;

139

-управление через порт консоли, модем и telnet.

Рис. 37. Вид панели соединений маршрутизатора

Функции безопасности устройств Cisco

Стандартные функции:

-аутентификация, авторизация и аккаунтинг (ААА); -стандартные и расширенные списки доступа для

различных сетевых протоколов;

-динамические списки доступа (Lock and Key); -пароли;

-функции поддержки серверов безопасности TACACS+,

RADIUS, Kerberos;

-аутентификация при обмене информацией протоколами маршрутизации.

Дополнительные функции:

-трансляция сетевых адресов (NAT и PAT); -тунелирование сетевых протоколов в IP-пакеты

(удаленные пользователи при подключении по коммутируемым каналам могут использовать стандартную реализацию VPN в операционных системах Windows 95/ 98 и

Windows N);

-поддержка шифрования на сетевом уровне – применение стандартного протокола IPSec (поддерживается стандарты

DES и Tripple DES).

140

Функции брандмауэра: -контекстно-ориентированный контроль приложений; -блокирование Java-приложений;

-предупреждения/сообщения в реальном масштабе

(проверка полномочий) и accounting (учет использования ресурсов). Для каждой из трех функций используется поименованный список методов, примененный к интерфейсу. При необходимости использования любой функции AAA IOS "пробегает" по этому списку пытаясь соединиться с соответствующим сервером. Если соединиться не удается, то IOS переходит к следующему методу из списка. По умолчанию, к каждому интерфейсу применяется список методов по имени default.

Ограничение доступа к маршрутизатору: управлять маршрутизаторами можно удаленно через telnet или локально через консольный порт или порт AUX. Отсюда следует два вида ограничения доступа к маршрутизатору - локальное и удаленное.

Парольная защита

В соответствии с имеющимися пользовательским и привилегированным уровнями доступа существует два вида паролей: username password и enable secret (или enable password). Оба типа этих паролей могут иметь длину до 25 символов, содержать в себе различные знаки препинания и пробелы. Пароль типа username password устанавливается с соответствующим ему именем пользователя. Длина простого пароля может быть до 80 байт в длину, включая алфавитноцифровые символы и пробел. Существует 16 уровней привилегий, от 0 до 15. Уровень 1 - обычный

141

пользовательский EXEC режим работы в консоли (CLI) , и 15 - по умолчанию привилегированный уровень.

По умолчанию, любой привилегированный пользователь может просматривать все пароли на маршрутизаторе.

Используя команду "service password-encryption", можно закодировать видимую часть пароля в строке.

Настройка параметров конфигурации

В маршрутизаторах Cisco параметры настроек по умолчанию не отображаются при выводе информации о текущей конфигурации. Используются два типа параметров конфигурации: общие и интерфейсные. Общие параметры действительны для всего устройства, а интерфейсные касаются только конкретного сетевого интерфейса. По умолчанию в IOS включены некоторые сервисы, которые могут стать для атакующего источником дополнительной информации о системе, и при определенных случаях он может осуществить атаку на роутер.

Существует ряд общих команд Cisco IOS, применение которых позволяет повысить общий уровень безопасности сети. К ним относятся команды, отключающие функции распознавания родственных устройств, синхронизации сетевых протоколов, лишних служб и т.п.

Трансляция сетевых адресов (NAT)

Функции NAT используются для решения следующих задач:

-При необходимости подключения к Интернет, когда количество внутренних узлов сети превышает выданное поставщиком услуг Интернет количество реальных адресов IP. NAT позволяет частным сетям IP, использующим незарегистрированные адреса, получать доступ к ресурсам Интернет. Функции NAT конфигурируются на пограничном маршрутизаторе, разграничивающем частную (внутреннюю) сеть и сеть общего пользования (например, Интернет). Функции NAT перед отправкой пакетов во внешнюю сеть осуществляют трансляцию внутренних локальных адресов в уникальные внешние адреса IP.

142

-При необходимости изменения внутренней системы адресов. Вместо того, чтобы производить полное изменение всех адресов всех узлов внутренней сети, что представляет собой достаточно трудоемкую процедуру, функции NAT позволят производить их трансляцию в соответствии с новым адресным планом.

-При необходимости организации простого разделения трафика на основе портов TCP. Функции NAT предоставляют возможность установления соответствия (mapping) множества локальных адресов одному внешнему адресу, используя функции распределения нагрузки TCP.

Одним из важнейших преимуществ NAT является то, что нет необходимости вносить изменения в конфигурацию конечных узлов и маршрутизаторов внутренней сети, за исключением тех устройств, на которых собственно и выполняются эти функции.

-Трансляция внутренних адресов (Source) в уникальные адреса, принадлежащие глобальному адресному пространству, при необходимости обеспечения взаимодействия внутренней сети с внешней сетью. Имеется возможность использования статической или динамической трансляции:

Статическая трансляция устанавливает соответствие адресов по типу ―один к одному‖, т.е. один глобальный внутренний адрес соответствует одному локальному внутреннему адресу. Статическая трансляция применяется в тех случаях, когда некий внутренний узел должен быть доступен извне по постоянному адресу (например, сервер

WWW).

Динамическая трансляция устанавливает соответствие между внутренним локальным адресом и пулом глобальных адресов.

На рис. 38 показан маршрутизатор, транслирующий адреса узлов, содержащихся в поле Source заголовков пакетов IP из внутренних во внешние.

143

Рис. 38. Использование маршрутизатора с NAT

Организация списков доступа

Прохождением трафика через интерфейсы роутера (разрешая или запрещая передачу пакетов, удовлетворяющих указанным условиям) позволяют управлять пакетные фильтры. Пакетные фильтры используются в качестве базового средства обеспечения безопасности сети. Пакетные фильтры в Cisco реализованы через списки доступа (accesslists).

Списки доступа (Access Lists) используются в целом ряде случаев и являются общим механизмом задания условий, которые роутер проверяет перед выполнением каких-либо действий. Некоторые примеры использования списков доступа:

-управление передачей пакетов на интерфейсах; -управление доступом к виртуальным терминалам

роутера и управлению через SNMP;

-уграничение информации, передаваемой динамическими протоколами роутинга.

144

Конфигурирование списков доступа

Списки доступа либо нумеруются, либо именуются. Использование нумерованных, либо именованных списков доступа определяется их применением (некоторые протоколы требуют использования только нумерованных списков, некоторые - допускают как именованные, так и нумерованные списки).

Основной вид списка доступа — стандартный список, по которому проверяются только сетевые адреса отправителя. Расширенные списки предоставляют более широкие возможности фильтрации за счет проверки начального и конечного адресов маршрута, протокола/порта, а также битов синхронизации.

Списки доступа следующего поколения — это

возвратные и контекстно-зависимые списки доступа (Context Based Access Control, CBAC). Они позволяют учитывать протоколы и функции более высокого уровня. Возвратные списки называют также фильтрацией сеанса IP, поскольку они строят динамический обратный путь на основе информации о сеансе. Одна из замечательных особенностей возвратных списков состоит в том, что они позволяют выполнять исходящие команды ping (и другие аналогичные команды протокола ICMP), но при этом запрещают входящий трафик

ICMP.

Контекстно-зависимые списки доступа типа работают на прикладном уровне. Они проверяют трафик, который проходит через брандмауэр в целях выявления информации о состоянии сеансов TCP и UDP и управления ими. Эта информация используется для создания временных окон в списках доступа брандмауэра с целью пропуска обратного трафика, а также для создания дополнительных соединений в рамках законных сеансов.

Списки доступа, учитывающие время, позволяют сетевым администраторам контролировать доступ в сети, используя в качестве параметров время, день недели или комбинацию этих параметров. Наибольшее распространение

145

временные списки доступа получили при ограничении доступа в Интернет в организациях.

Система выявления вторжений (Intrusion Detection System, IDS).

Технология IDS позаимствована от соответствующих продуктов Cisco (прежде называвшихся NetRanger). IOS IDS содержит подмножество специальных профайлов с сигнатурами наиболее часто встречающихся типов атак. IDS проверяет пакеты во время их прохождения через маршрутизатор. Этот процесс отнимает много ресурсов, поэтому IDS реализована только на наиболее мощных маршрутизаторах, где используется CSIS (маршрутизаторы серий 2600, 3600 либо 7x00). Процесс проверки контекстнозависимых списков может значительно уменьшить производительность сети в зависимости от объема и вида трафика. Система выявления вторжений записывает информацию о событиях в буфере протоколирования системных событий маршрутизатора, но для внешнего хранения и использования этой информации потребуются CS IDS Director или сервер авторизации под управлением UNIX. IDS нуждается в соответствующей настройке и последующем контроле для того, чтобы обычный трафик не воспринимался ею как отклоняющийся от нормы. Стандартная конфигурация включает систему IDS в автономном режиме, а запись о событиях производится в буфер протоколирования системных событий.

10.5. Аппаратные криптосистемы

Назначение:

-шифрование сетевого трафика; -реализация функции цифровой подписи;

-шифрование данных на магнитных носителях; -управление доступом к ПК и ПО.

146