Лабораторная работа
ZBF с элементами DMZ
Цель: научиться настраивать на маршрутизаторах CISCO межсетевой экран, работающий на основе политики зон, изучить понятие и назначение демилитаризованных зон в компьютерных сетях.
Межсетевой экран для Cisco IOS (CBAC) существует довольно давно, однако имели место значительные ограничения в его использовании. Например, маршрутизатор по-умолчанию всегда разрешал трафик между всеми интерфейсами, по сути, поддерживалось только два интерфейса – внешний и внутренний.
ZBF (Zone Based Firewall) привносит в Cisco IOS понятие зон межсетевого экрана, в которые помещаются интерфейсы маршрутизатора, между зонами трафик по умолчанию запрещен. В этом и заключается основное отличие модели ZBF от CBAC, первый, как очевидно из названия, оперирует на уровне зон, второй на уровне интерфейсов.
Второе значительное улучшение - возможность применения политики к определенному трафику. Дело в том, что в классическом CBAC невозможно применять различные политики к различным группам трафика в пределах одного интерфейса. К примеру, если за внутренним интерфейсом находиться не одна сеть, а несколько, то в случае CBAC применять для них различные политики инспектирования не представляется возможным. С ZBF же это достаточно тривиальная задача.
Несколько интересных фактов облегчающих понимание работы ZBF:
-
Зона может состоять из интерфейса или нескольких интерфейсов.
-
Политика применяется к направлению между зонами. Т.е. inside-outside и outside-inside это две разных политики.
-
Важное изменение, политика по умолчанию - deny any any.
-
Можно использовать CBAC и ZBF одновременно, но на разных интерфейсах.
-
Если два интерфейса не принадлежат ни к одной зоне - трафик разрешен.
-
Если один из интерфейсов принадлежит к какой-либо зоне, другой нет - трафик запрещен.
-
Если два интерфейса принадлежат к разным зонам - трафик запрещен до явного разрешения.
-
Трафик в пределах одной зоны не подвергается инспектированию.
Элементы конфигурации:
class-map - служит для выделения конкретного трафика из потока, например с помощью acl или выделения по протоколам. Может быть вложенным, т.е. можно выделить трафик с source 192.168.0.0/24 по протоколу http.
Пример:
! class-map может быть двух типов - с логикой AND и с логикой OR. В
! данном случае OR - любой из трех протоколов
R1(config)#class-map type inspect match-any cm_http-dns-smtp
R1(config-cmap)#match protocol http
R1(config-cmap)#match protocol smtp
R1(config-cmap)#match protocol dns
! это пример class-map с логикой AND. Данная карта выбирает
! фильтрует трафик с source 10.10.12.0/24 и любым из протоколов http, dns, smtp
R1(config)#access-list 120 permit ip 10.10.12.0 0.0.0.255 any
R1(config)#class-map type inspect match-all cm_web
R1(config-cmap)#match class-map cm_http-dns-smtp
R1(config-cmap)#match access-group 120
policy-map - применение политики, существует всего три возможных действия - drop, pass, inspect (отбросить, пропустить, проверить).
Пример:
! создание политики, применяющей class-map из предыдущего примера
R1(config)#policy-map type inspect in-out
R1(config-pmap)#class type inspect cm_ web
Для конфигурирования ZBF необходимо:
-
Настроить зоны межсетевого экрана
-
Определить между какими зонами будет передаваться трафик
-
Поместить интерфейсы в эти зоны
-
Определить трафик с помощью class-map
-
Определить действия над трафиком с помощью policy-map
-
Прикрепить policy-map на пары зон, между которыми нужно обеспечить прохождение трафика.
Demilitarized Zone
DMZ (демилитаризованная зона, граничная сеть) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети (web, ftp, e-mail, и т.д.), находятся в особом сегменте сети, именуемом DMZ, и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола). Назначение DMZ заключается в том, чтобы общедоступные сервера не могли связаться с другими сегментами внутренней сети, в том случае, если эти сервера оказываются взломаны или поражены вирусами, т.е. представляют реальную угрозу для остальной части сети.
На серверах, размещенных в DMZ, не должно быть никакой информации о пользователях, клиентах компании, иной конфиденциальной информации, не должно быть личных почтовых ящиков сотрудников — это все должно быть надежно "спрятано" в защищенной части локальной сети. А для той информации, которая будет доступна на публичных серверах, необходимо предусмотреть проведение резервного архивирования. Кроме этого рекомендуется для почтовых серверов применять как минимум двух-серверную модель обслуживания, а для веб-серверов вести постоянный мониторинг состояния информации для своевременного обнаружения и устранения последствий взлома.
Конфигурации DMZ
В зависимости от требований к безопасности, DMZ может организовываться одним, двумя или тремя файрволами.
Конфигурация с одним файрволом
Простейшей (и наиболее распространённой) схемой является схема, в которой DMZ, внутренняя сеть и внешняя сеть подключаются к разным портам маршрутизатора (выступающего в роли файрвола), контролирующего соединения между сетями. Подобная схема проста в реализации, требует всего лишь одного дополнительного порта. Однако в случае взлома (или ошибки конфигурирования) маршрутизатора сеть оказывается уязвима напрямую из внешней сети.
Пример DMZ с одним маршрутизатором
Конфигурация с двумя файрволами
В конфигурации с двумя файрволами DMZ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в DMZ, а второй контролирует соединения из DMZ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из файрволов или серверов, взаимодействующих с внешней сетью — до тех пор, пока не будет взломан внутренний файрвол, злоумышленник не будет иметь произвольного доступа к внутренней сети, а взлом внутреннего файрвола не возможен без взлома внешнего файрвола.
Схема с двумя файрволами может быть организована как с общим подключением (когда между внешним и внутренним файрволами есть соединение), так и с раздельным (когда сервера имеют два сетевых порта, один из которых связан с внешним файрволом, а второй с внутренним). В последнем случае прямое взаимодействие между внешним и внутренним файрволами отсутствует.