no ip domain lookup cisco что это

Cisco router в качестве DNS server

Cisco router можно настроить в качестве кеширующего DNS сервера. Это удобно в небольших офисах, где нет серверов Windows и AD.
Общий вид команд выглядит следующим образом:

Конструкция ip host name1 192.168.0.11 работает подобно файлу hosts в windows.

Проверка:
show ip dns view

DNS server для своих

Предыдущий конфиг приводит к тому, что роутер будет отвечать на все запросы DNS: как изнутри так и снаружи.
Для того, чтобы DNS сервер отвечал только на внутренние запросы у нас есть два пути:

DNS server для своих: ACL

Приведём здесь стандартный ACL, который в том числе запрещает доступ к нашему DNS через внешний интерфейс, и при этом разрешает DNS-запросы наружу:

DNS server для своих: Split DNS

В данном случае мы можем использовать функционал Split DNS:

Просмотр и удаление кеша DNS (DNS cache)

Комментарии

А как правильно назначить

ip domain name это именно

ip domain name это именно доменное имя, т.е. не включает в себя имя роутера

3BALL
Server0
IP address 172.18.0.253
Mask 255.255.255.0
Def gate 172.18.0.1

Server1
IP address 172.18.0.254
Mask 255.255.255.0
Def gate 172.18.0.1

Server2
IP address 172.18.0.252
Mask 255.255.255.0
Def gate 172.18.0.1

12BALL
SW0, SW1, SW2, SW3
Vlan 100
Name Servers
Vlan 101
Name IT
Vlan 102
Name Manager

4BALL
SW0
Int fa0/1
Description Servers
Switchport access vlan 100
Switchport mode access
Int fa0/11
Description IT
Switchport access vlan 101
Switchport mode access
Int fa0/12
Description IT
Switchport access vlan 101
Switchport mode access
Int fa0/2
Description Servers
Switchport access vlan 100
Switchport mode access

4BALL
SW2
Int fa0/1
Description Manager
Switchport access vlan 102
Switchport mode access
Int fa0/2
Description Manager
Switchport access vlan 102
Switchport mode access

SW3
Int fa0/1
Description Manager
Switchport access vlan 102
Switchport mode access
Int fa0/2
Description Manager
Switchport access vlan 102
Switchport mode access

2BALL
SW1
Gig0/1
Description Management
Switchport trunk allowed vlan 1,100-102,252
Switchport mode trunk
Gig0/2
Description Management
Switchport trunk allowed vlan 1,100-102,252
Switchport mode trunk (gig0/2 прописать 2 раза)

2BALL
SW2
Gig0/1
Description Management
Switchport trunk allowed vlan 100-102
Switchport mode trunk
Gig0/2
Description Management
Switchport trunk allowed vlan 100-102
Switchport mode trunk

2BALL
SW3
Gig0/1
Description Management
Switchport trunk allowed vlan 100-102
Switchport mode trunk
Gig0/2
Description Management
Switchport trunk allowed vlan 100-102
Switchport mode trunk

6BALL
SW1
Vtp domain YktSkills
Vtp password ykt2015
Vtp version 2
Vtp mode client

6BALL
SW2, SW3
Vtp password ykt2015
Vtp version 2
Vtp mode client

3BALL
SW0
Vtp domain YktSkills
Vtp password ykt2015
Vtp version 2

3BALL (можно не писать)
Server0, Server1, Server2
Default Gateway 172.18.0.1

8BALL
Server2/вкладка DNS/ создаем
R0/address 10.10.0.1 (жмем add)
SW0/address 10.10.0.2
SW1/address 10.10.0.3
SW2/address 10.10.0.4
SW3/address 10.10.0.5
Dns/address 172.18.0.254
ftp/address 172.18.0.252
web/address 172.18.0.253

1BALL (можно пропустить)
PC6 переключить на DHCP

4BALL
SW0, SW1, SW2, SW3
Spanning-tree mode rapid-pvst

2BALL
R0
Int fa0/0.100
Description Servers
Encapsulation dot1Q 100
Ip address 172.18.0.20 255.255.255.0

2BALL
Int fa0/0.101
Description IT
Encapsulation dot1Q 101
Ip address 172.18.0.21 255.255.255.0

2BALL
Int fa0/0.102
Description Manager
Encapsulation dot1Q 102
Ip address 172.18.2.24 255.255.255.0

1BALL
Int fa0/0.252
Description Manager
Encapsulation dot1Q 252
Ip address 10.10.1.8 255.255.255.0

2BALL
PC6
IP 10.10.0.6
MASK 255.255.0.0
Def Get 10.10.0.1

5BALL
R0
Ip dhcp pool Manager
Network 172.18.2.0 255.255.255.0
Default-router 172.18.2.1

Ip dhcp pool IT
Network 172.18.1.0 255.255.255.0
Default-router 172.18.1.1

2BALL
R0
Ip dhcp pool IT
Network 172.18.1.0 255.255.255.0
Default-router 172.18.1.1
Ip dhcp excluded-address 172.18.1.1

Ip dhcp pool Manager
Network 172.18.2.0 255.255.255.0
Default-router 172.18.2.1
Ip dhcp excluded-address 172.18.2.1

Источник

Настройка DNS на маршрутизаторах Cisco

Параметры загрузки

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком. Компания Cisco Systems, Inc. не несет ответственности за точность этих переводов и рекомендует обращаться к английской версии документа (ссылка предоставлена) для уточнения.

Содержание

Введение

Целью этого документа является сведение воедино некоторых данных об использовании DNS маршрутизаторами Cisco.

Предварительные условия

Требования

Читатели данного документа должны обладать знаниями по следующим темам:

Интерфейс командной строки (CLI) Cisco IOS®

Общая модель поведения DNS

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Маршрутизаторы Cisco серии 2500

ПО Cisco IOS 12.2(24a)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Настройка маршрутизатора на использование поиска DNS

Можно настраивать конфигурацию маршрутизатора для использования поиска DNS, если вы хотите использовать команды ping или traceroute с именем хоста, а не IP адресом. Используйте для этого следующие команды:

КомандаОписание
команда ip domain lookup Включает преобразование имени хоста в адрес на основе DNS. Эта команда включена по умолчанию.
ip name-server Задает адрес одного или более сервера доменных имен.
ip domain list Задает список доменов, для каждого из которых выполняется попытка использования.

Примечание. Если список доменов отсутствует, используется доменное имя, заданное с помощью команды глобальной кофигурации ip domain name.

При наличии списка доменов доменное имя по умолчанию не используется.

ip domain name Задает доменное имя по умолчанию, которое используется ПО Cisco IOS для дополнения неполных имен хоста (имен без доменных имен в виде десятичного представления с точкой). Не включайте первую точку, которая отделяет неполное имя от доменного имени.
ip ospf name-lookup Настраивает протокол OSPF для поиска имен DNS, которые необходимо использовать во всех выводах команды OSPF show EXEC. Эта функция упрощает идентификацию маршрутизатора, потому что маршрутизатор называется по имени, а не по идентификатору маршрутизатора или соседа.

Здесь приведен пример конфигурации на маршрутизаторе, конфигурированном для основного поиска DNS:

Пример основной конфигурации поиска в DNS

Устранение неисправностей

Довольно редко можно увидеть одну из следующих ошибок:

Для того чтобы устранить эту проблему, выполните следующие шаги:

Убедитесь, что маршрутизатор может достичь сервера DNS. Отправьте на сервер DNS эхозапрос от маршрутизатора с помощью его IP-адреса и убедитесь, что для настройки IP-адреса сервера DNS на маршрутизаторе используется команда ip name-server.

Используйте эти шаги, чтобы проверить, перенаправляет ли маршрутизатор запросы поиска:

Задайте список контроля доступа (ACL), совпадающий на пакетах DNS:

Используйте команду debug ip packet 101.

Примечание. Убедитесь, что задан ACL. При выполнении без ACL объем выходных данных команды debug ip packet в консоли может оказаться слишком большим, что приведет к перезагрузке маршрутизатора.

Убедитесь, что на маршрутизаторе включена команда ip domain-lookup.

Веб-сервер отвечает на эхо-запросы, но HTML-страницы не отображаются

В редких случаях доступ к определенным веб-сайтам по имени невозможен. Обычно проблема возникает из-за недоступных сайтов, выполняющих обратный поиск DNS на исходном IP адресе с целью проверки того, что адрес не имитируется. При возврате неверной записи или отсутствии записей (иными словами, при отсутствии cвязанного названия для диапазона IP-адресов) запрос HTTP будет заблокирован.

Получив доменное имя в Интернете, следует также обратиться за получением домена inaddr.arpa. Этот специальный домен иногда называют обратным доменом. Домен обратного преобразования осуществляет преобразование цифровых IP-адресов в доменные имена. Если интернет-провайдер предоставляет вам сервер имен или назначил вам адрес из блока своих адресов, не требуется самостоятельно обращаться за получением домена in-addr.arpa. Консультация Интернет-провайдера.

Давайте Давайте Рассмотрим пример, в котором используется www.cisco.com. Приведенные ниже выходные данные были получены от рабочей станции UNIX. Использовались программы nslookup и dig. Обратите внимание на различия в выходных данных:

Программа dig дает более детальную информацию о DNS пакетах:

Маршрутизатор запрашивает несколько серверов преобразования имен

В зависимости от уровня сетевой активности маршрутизатор может запросить несколько серверов имен, перечисленных в конфигурации. Ниже представлен пример:

Это поведение весьма вероятно и имеет место, когда маршрутизатору требуется создать запись протокола разрешения адресов (ARP) для сервера DNS. По умолчанию маршрутизатор поддерживает ARP-запись в течение четырех часов. В периоды низкой активности маршрутизатору требуется дополнить ARP-запись и затем выполнить запрос DNS. Если ARP-запись для сервера DNS отсутствует в ARP-таблице маршрутизатора, при передаче только одного запроса DNS произойдет сбой. Поэтому отправляются два запроса: один для получения ARP-записи, если необходимо, а второй — для отправки запроса DNS. Такое поведение является обычным для приложений TCP/IP.

Источник

Шаблон базовой настройки маршрутизатора Cisco

В последнее время приходится часто настраивать с нуля маршрутизаторы Cisco (в основном 800-1800 серии) для филиалов моей компании и дабы не набирать одни и теже команды третий десяток раз составил для себя небольшой шаблон настроек на разные случаи жизни. Сразу скажу что сертификаты от Cisco не получал, книжек по данным роутерам особо не читал, весь свой опыт приобрел методом научного тыка, курением мануалов на cisco.com и кое каким вдумчивым заимствованием кусков чужих конфигов…

Итак распаковываем роутер, заливаем последнюю прошивку (для SSH необходим минимум Advanced Security), делаем
#erase startup-config
дабы избавится от преднастроеного мусора и перегружаемся.

Настройка авторизации и доступа по SSH

! включаем шифрование паролей
service password-encryption
! используем новую модель ААА и локальную базу пользователей
aaa new-model
aaa authentication login default local
! заводим пользователя с максимальными правами
username admin privilege 15 secret PASSWORD

! даем имя роутеру
hostname
ip domain-name router.domain
! генерируем ключик для SSH
crypto key generate rsa modulus 1024
! тюнингуем SSH
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
! и разрешаем его на удаленной консоли
line vty 0 4
transport input telnet ssh
privilege level 15

Настройка роутинга

! включаем ускоренную коммутацию пакетов
ip cef

Настройка времени

! временная зона GMT+2
clock timezone Ukraine 2
clock summer-time Ukraine recurring last Sun Mar 2:00 last Sun Oct 2:00
! обновление системных часов по NTP
ntp update-calendar
! ntp сервера лучше задавать по айпи, ибо если при перегрузке DNS-сервера не доступны то настройки по именам слетают…
ntp server NTP.SERVER.1.IP
ntp server NTP.SERVER.2.IP

Архивирование конфигов

! включаем архивирование всех изменений конфига, скрывая пароли в логах
archive
log config
logging enable
hidekeys

! историю изменения конфига можно посмотреть командой
show archive log config all

Настройка DNS

! включить разрешение имен
ip domain-lookup
! включаем внутренний DNS сервер
ip dns server
! прописываем DNS провайдера
ip name-server XXX.XXX.XXX.XXX
! на всякий случай добавляем несколько публичных DNS серверов
ip name-server 4.2.2.2
ip name-server 208.67.222.222
ip name-server 208.67.220.220

Настройка локальной сети

! обычно порты внутреннего свитча на роутере объединены в Vlan1
interface Vlan1
description === LAN ===
ip address 192.168. 1

! включаем на интерфейсе подсчет пакетов передаваемых клиентам — удобно просматривать кто съедает трафик
ip accounting output-packets

! посмотреть статистику можно командой
show ip accounting
! очистить
clear ip accounting

Настройка DHCP сервера

! исключаем некоторые адреса из пула
ip dhcp excluded-address 192.168. 1 192.168. 99
! и настраиваем пул адресов
ip dhcp pool LAN
network 192.168. 0 255.255.255.0
default-router 192.168. 1
dns-server 192.168. 1

Настройка Internet и Firewall

! настраиваем фильтр входящего трафика (по умолчанию все запрещено)
ip access-list extended FIREWALL
permit tcp any any eq 22

! включаем инспектирование трафика между локальной сетью и Интернетом
ip inspect name INSPECT_OUT dns
ip inspect name INSPECT_OUT icmp
ip inspect name INSPECT_OUT ntp
ip inspect name INSPECT_OUT tcp router-traffic
ip inspect name INSPECT_OUT udp router-traffic
ip inspect name INSPECT_OUT icmp router-traffic

Настройка NAT

! на Интернет интерфейсе
interface FastEthernet0/0
ip nat outside

! на локальном интерфейсе
interface Vlan1
ip nat inside

! создаем список IP имеющих доступ к NAT
ip access-list extended NAT
permit ip host 192.168. any

! включаем NAT на внешнем интерфейсе
ip nat inside source list NAT interface FastEthernet0/0 overload

! добавляем инспекцию популярных протоколов
ip inspect name INSPECT_OUT http
ip inspect name INSPECT_OUT https
ip inspect name INSPECT_OUT ftp

Отключение ненужных сервисов

no service tcp-small-servers
no service udp-small-servers
no service finger
no service config
no service pad
no ip finger
no ip source-route
no ip http server
no ip http secure-server
no ip bootp server

UPD. Убрал лишнее по советам хаброюзеров
UPD2. Добавил отключение ненужных сервисов
UPD3. Изменил настройка файрвола (спасибо Fedia)

Источник

Как обезопасить маршрутизатор Cisco

Исторически сложилось так, что пакетные маршрутизаторы разрабатывались для маршрутизации всего трафика. В некоторой степени такая особенность сохраняется и в принятой по умолчанию конфигурации современных пакетных маршрутизаторов. Но чаще всего эти устройства используются в качестве шлюза для доступа к Internet. В стандартной конфигурации многие из них уязвимы с точки зрения безопасности, особенно это касается атак по типу «отказ в обслуживании» (Denial of Service, DoS). В этой статье рассматриваются конфигурационные команды и концепция настройки фильтрации, применение которых позволяет повысить уровень безопасности стандартной конфигурации маршрутизатора Cisco. Многие сервисы можно отключить либо модифицировать без снижения его функциональности. Кроме того, обсуждаются базовая операционная система IOS и интегрированные функции брандмауэра маршрутизаторов Cisco.

РАЗМЕЩЕНИЕ МАРШРУТИЗАТОРА НА ПЕРИМЕТРЕ СЕТИ

Доступ организации к Internet обычно осуществляется путем подключения специального устройства (это может быть маршрутизатор) к глобальной сети через так называемую «точку присутствия» провайдера Internet.

Многие современные методы подключений — кабельное (сетевой доступ с помощью широкополосной линии связи), DSL (Digital Subscriber Line, высокоскоростная передача данных по медному проводу) — заканчиваются на клиентской стороне портом Ethernet (кабельный модем/маршрутизатор или модем/маршрутизатор DSL). Маршрутизатор может быть использован в точке подключения по протоколу Ethernet для обеспечения дополнительных сетевых сервисов, таких, как преобразование сетевых адресов (Network Address Translation, NAT) или динамического предоставления IP-адресов клиентам (Dynamic Host Configuration Protocol, DHCP). Многие кабельные и DSL-модемы обладают встроенными функциями маршрутизации и могут обеспечивать соединение с провайдером Internet, предоставляя дополнительные функции наподобие NAT.

no ip domain lookup cisco что это. Смотреть фото no ip domain lookup cisco что это. Смотреть картинку no ip domain lookup cisco что это. Картинка про no ip domain lookup cisco что это. Фото no ip domain lookup cisco что это
Рисунок 1. Пример размещения пограничного маршрутизаторa.

На Рисунке 1 представлены две схемы. На первой показано применение маршрутизатора в качестве оконечного устройства в точке подключения к глобальной сети. Он может находиться перед одним или несколькими другими маршрутизаторами, брандмауэрами либо иными сетевыми устройствами. На второй схеме маршрутизатор располагается в точке подключения сети малого или домашнего офиса (Small Office/Home Office, SOHO) к предоставляемому провайдером Internet кабельному или DSL-соединению.

ПАРАМЕТРЫ ГЛОБАЛЬНОЙ КОНФИГУРАЦИИ

В маршрутизаторах Cisco используются два типа параметров конфигурации: общие и интерфейсные. Общие параметры действительны для всего устройства, а интерфейсные касаются только конкретного сетевого интерфейса. В этом разделе дается определение ряда общих команд, имеющихся в большинстве версий Cisco IOS, применение которых позволит повысить общий уровень безопасности.

no ip source routе — четвертая версия IP имеет средства для включения информации о маршруте в пакет. Эта технология известна как маршрутизация от источника. Она никогда широко не применялась и уже удалена из новой версии протокола TCP/IP. Взломщики часто обращаются к ее возможностям, чтобы обойти таблицы маршрутизации устройств, и таким образом скрыть источник трафика. Данная команда заставляет маршрутизатор игнорировать пакеты с таким заголовком.

no service finger — процесс finger (указатель на детальную информацию об интересующем объекте) в маршрутизаторе подобен процессу finger в системе UNIX. Он может предоставить потенциальным взломщикам информацию, которую им не следует знать. Данная команда его отключает.

no service tcp-small-servers и no service udp-small-servers — в последних версиях IOS она применяется по умолчанию. Устройства Cisco поддерживают такие «малые» службы IP, как echo, chagren и discard. Ими легко воспользоваться, однако ввиду нечастого применения их лучше отключить.

no cdp run — протокол обнаружения Cisco (Cisco Discovery Protocol, CDP) является собственным информационным протоколом Cisco второго уровня. Предоставляемая им информация не нужна для работы маршрутизатора но может быть использована взломщиками. Однако если протокол CDP используется в вашей сети, то его можно отключить на тех интерфейсах, где он не нужен, с помощью соответствующей интерфейсной команды.

no ntp enable — синхронизирующий сетевой протокол (Network Time Protocol, NTP) может оказаться ненужным для пограничного маршрутизатора и должен быть отключен. При этом маршрутизатор не может быть ни источником, ни конечным пунктом маршрута для трафика NTP. Однако если протокол NTP все же используется в сети, то его можно отключить на тех интерфейсах, где он не нужен, с помощью соответствующей интерфейсной команды.

no ip domain-lookup — oтключает в маршрутизаторе функции поиска по DNS, которые в большинстве случаев не требуются для выполнения стандартных операций.

service password-encryption — определяет шифрование паролей, хранящихся на локальном маршрутизаторе, и обеспечивает необходимый уровень безопасности, если имеется брешь в системе защиты либо пароли скомпрометированы.

enable secret — определяет шифрование паролей в привилегированном режиме, в отличие от команды enable password, которая разрешает передачу пароля в виде нешифрованного текста.

banner motd text — эта команда аналогична команде motd в операционной системе UNIX, которая выводит на экран окно с предупреждением для взломщиков о том, что они вошли в частную систему. Стандартный текст находится в действующей по умолчанию конфигурации маршрутизатора. Данная команда не обеспечивает какую-либо защиту, но может быть полезна в случае судебных разбирательств в связи со взломом сети, поэтому при создании такого баннера было бы целесообразно проконсультироваться с юридическим отделом вашей компании.

ip tcp intercept mode intercept access-list 102 permit tcp any 172.30.0.0.0.0.255.255 ip tcp intercept list 102 ip tcp intercept max-incomplite high 200

Функция перехвата протокола TCP предоставляет возможность программной защиты серверов TCP от атак SYN flooding. Эта разновидность атак по типу «отказ в обслуживании» приводит к тому, что сервер оказывается заблокирован многочисленными запросами. Список доступа (дополнительную информацию см. далее в разделе «Списки доступа») определяет серверы и сети, от которых принимаются входящие соединения TCP. Параметр high 200 определяет максимально допустимое число открытых соединений TCP на хост. Команда может содержать много конфигурационных параметров, и ее следует применять, только если вы хорошо понимаете, какого типа трафик и соединения типичны для вашей сети.

ПАРАМЕТРЫ КОНФИГУРАЦИИ ИНТЕРФЕЙСА

Как уже говорилось в предыдущем разделе, эти параметры применяются непосредственно к сетевому интерфейсу для изменения его функции. Если не указано иное, большинство подобных команд должно применяться к внешнему по отношению к вашей сети интерфейсу маршрутизатора.

no ip redirects — отключает переадресацию протокола управляющих сообщений (Internet Control Messging Protocol, ICMP). ICMP переадресует сообщения от маршрутизатора с указанием лучшего сетевого маршрута. Такие сообщения могут быть использованы для организации атаки по типу «отказ в обслуживании».

no ip unreachables — отключает сообщения протокола ICMP о недоступности участков сети. Эти сведения маршрутизатор передает при невозможности доставить пакет адресату. Они также могут быть использованы для организации атаки по типу «отказ в обслуживании».

no ip proxy-arp — протокол разрешения адресов (Address Resolution Protocol, ARP) позволяет маршрутизатору отвечать на запросы ARP от подсетей помимо той, к которой он подключен. Для того чтобы информацией не воспользовались взломщики, такую возможность лучше отменить.

no ip mrout-cache — отключает кэш многоадресной рассылки Cisco IOS. Если рассылка не используется, то кэш для нее не нужен.

ntp disable — отключает NTP на уровне интерфейса. Это позволяет выполнять протокол NTP на маршрутизаторе, но делает его «невидимым» снаружи.

no cdp enable — отключает протокол CDP на уровне интерфейса, что очень полезно, если протокол CDP применяется только во внутренней локальной сети.

no ip directed broadcast — действует по умолчанию в IOS Version 12 и выше. Команда блокирует прямую широковещательную рассылку в конкретную сеть или ее подсеть. Появление широковещательного трафика в сети часто является признаком такой разновидности атак по типу «отказ в обслуживании», как Smurf. Этот режим хорошо бы установить на всех сетевых маршрутизаторах компании, естественно, если отсутствуют конкретные приложения, которым необходима широковещательная рассылка.

mac-address 00550.04FE.7F9C — изменяет MAC-адрес интерфейса (Burned In Address, BIA) в программном обеспечении. Это позволяет слегка повысить уровень безопасности путем введения в заблуждение злоумышленника. С помощью указанной команды можно переопределить MAC-адрес интерфейса. Так как производители сетевого оборудования назначают MAC-адреса при изготовлении устройств, изменение данного параметра поможет скрыть тип устройства, например тип вашего маршрутизатора. Обычно я беру MAC-адрес сетевого адаптера 3COM со своего компьютера. Подобная операция может запутать потенциального взломщика, а также окажется весьма полезной, если ваш поставщик услуг связи (кабельного или DSL-соединения) неодобрительно относится к использованию маршрутизаторов в его сети.

СПИСКИ ДОСТУПА
Стандартный список доступа
Расширенный список доступа

Интерфейсная команда ip access group активизирует эти списки доступа на соответствующем интерфейсе. IOS позволяет задавать только по одному фильтру на каждом направлении (на входе или на выходе пакета). Если вы включили фильтрацию с использованием списков доступа IP, как минимум, убедитесь, что этот фильтр выполняет следующие операции фильтрации.

Выполнение хотя бы минимальной фильтрации может быть полезно, даже если у вас есть брандмауэр между маршрутизатором на границе сети и внутренней сетью. Для пропуска только трафика, необходимого для работы вашей сети, могут быть разработаны более строгие фильтры. Пакетная фильтрация способна стать мощным средством безопасности. Однако пакетная фильтрация такого рода «не помнит» промежуточные состояния, поэтому маршрутизатор не «знает» о потоках, соединениях и обратном трафике. Например, если политика доступа разрабатывалась в предположении, что из вашей сети будет исходить только конкретный вид трафика, то природа пакетной фильтрации «без сохранения состояния» требует, чтобы вы проверяли и обратный трафик. Некоторые типы соединений предполагают, что пользователь устанавливает соединение вовне, а в ответ сервер инициирует соединение с пользователем (режим порта ftp, потоковое мультимедиа). Это потребует открытия «высоких» портов (больше чем 1023), а также контроля за битами TCP SYN и ACK, которые легко фальсифицировать.

Списки доступа следующего поколения — это возвратные списки доступа и контекстно-зависимые списки доступа (Context Based Access Control, CBAC). Они позволяют учитывать протоколы и функции более высокого уровня. Возвратные списки называют также фильтрацией сеанса IP, поскольку они строят динамический обратный путь на основе информации о сеансе. Возвратные списки доступа являются частью базового набора функций Cisco IOS, начиная с версии 12.0.

возвратные списки

Возвратные списки обладают всей гибкостью расширенных и стандартных списков, но в них учтены и исправлены некоторые слабые места последних. Одна из замечательных особенностей возвратных списков состоит в том, что они позволяют выполнять исходящие команды ping (и другие аналогичные команды протокола ICMP), но при этом запрещают входящий трафик ICMP. В предыдущем примере разрешается весь исходящий трафик изнутри сети (и обратный трафик в ответ на команды), входящий трафик ответов и входящий трафик почтовых соединений по протоколу SMTP, направленных на адрес 1.2.3.4. Возвратные списки отличаются большими возможностями по сравнению со стандартными и расширенными, но обеспечивают фильтрацию только на уровне сеанса.

Контекстно-зависимые списки доступа типа работают на прикладном уровне. Они проверяют трафик, который проходит через брандмауэр в целях выявления информации о состоянии сеансов TCP и UDP и управления ими. Эта информация используется для создания временных окон в списках доступа брандмауэра с целью пропуска обратного трафика, а также для создания дополнительных соединений в рамках законных сеансов. Контекстно-зависимые списки доступа являются частью интегрированной системы безопасности Cisco (Cisco Secure Integrated Security (CSIS), ранее известной как Firewall IOS). В таких списках требуется задавать специфические параметры проверки в зависимости от типа протокола. Специальные правила проверки имеются для таких протоколов, как http, а также стандартные правила для протоколов TCP, UDP и фрагментации IP. Если общие списки доступа применяются к интерфейсу, то контекстно-зависимые управляют соединениями. Они могут работать только с протоколами TCP и UDP, поэтому фильтрация по протоколам IP и ICMP должна осуществляться с помощью списков доступа других типов — «без сохранения состояния». В предлагаемой в качестве образца конфигурации маршрутизатора приводятся примеры контекстно-зависимых списков доступа.

Использование списков доступа для фильтрации входящих коммуникаций с маршрутизатором

В системе IOS списки доступа могут служить для фильтрации как входящих, так и исходящих соединений маршрутизатора. Два вида таких соединений, telnet и SNMP, направлены к маршрутизатору. Список доступа может применяться непосредственно к процессам telnet и snmp для ограничения трафика.

Пример для входящего трафика telnet:

Пример для трафика SNMP:

!использовать список доступа 10 для доступа SNMP snmp-server community my-community RW 10

ВСТРОЕННЫЕ ФУНКЦИИ IOS ДЛЯ ВЫЯВЛЕНИЯ ВТОРЖЕНИЙ

Контекстно-зависимые списки доступа — не единственный компонент интегрированной системы безопасности. Она также включает систему выявления вторжений (Intrusion Detection System, IDS). Технология IDS позаимствована от соответствующих продуктов Cisco (прежде называвшихся NetRanger). IOS IDS содержит подмножество специальных профайлов с сигнатурами наиболее часто встречающихся типов атак. IDS проверяет пакеты во время их прохождения через маршрутизатор. Этот процесс отнимает много ресурсов, поэтому IDS реализована только на наиболее мощных маршрутизаторах, где используется CSIS (маршрутизаторы серий 2600, 3600 либо 7×00). Процесс проверки контекстно-зависимых списков может значительно уменьшить производительность сети в зависимости от объема и вида трафика. Система выявления вторжений записывает информацию о событиях в буфере протоколирования системных событий маршрутизатора, но для внешнего хранения и использования этой информации потребуются CS IDS Director или сервер авторизации под управлением UNIX. IDS нуждается в соответствующей настройке и последующем контроле для того, чтобы обычный трафик не воспринимался ею как отклоняющийся от нормы. Буфер протоколирования системных событий можно просмотреть с помощью команды show log. К данному буферу следует обращаться в том случае, когда внешнее протоколирование невозможно. IDS может оказаться не в состоянии проверять весь трафик — все зависит от доступных ресурсов маршрутизатора и объема трафика. Она способна реально обеспечить дополнительный уровень защиты. Стандартная конфигурация включает систему IDS в автономном режиме, а запись о событиях производится в буфер протоколирования системных событий.

КОММЕНТАРИЙ К РАБОЧЕЙ КОНФИГУРАЦИИ МАРШРУТИЗАТОРА

Приведенная рабочая конфигурация в настоящее время используется на маршрутизаторе в домашнем офисе, подключенном к Internet по кабельному модему. Маршрутизатор Cisco2621 работает под управлением IOS версии 12.1(3)T (C2600-JO3S56I-M). В качестве внешнего интерфейса используется Fast Ethernet 0/0. Он подключается к кабельному модему с помощью переходного кабеля Ethernet. Внутренний интерфейс — Ethernet 0/1 — подсоединен к коммутатору Ethernet домашнего офиса. Внешний интерфейс имеет собственный MAC-адрес, как у сетевой платы компьютера, и получает адрес от провайдера по протоколу DHCP. Внутренний интерфейс использует сервер DHCP для предоставления информации об адресах оборудования домашнего офиса. Частный адрес (RFC 1918) применяется внутри. Маршрутизатор выполняет динамическое преобразование сетевых адресов NAT с использованием адреса внешнего интерфейса в качестве адреса отправителя. Безопасность обеспечивается за счет применения контекстно-зависимых списков доступа и системы выявления вторжений. Маршрутизатор использует также процесс учета, авторизации и идентификации (Accounting, Autho-rization, Authentication, AAA) для обеспечения безопасности консоли, вспомогательного последовательного порта и telnet. Процесс AAA обеспечивает большую безопасность, чем использование паролей отдельно для каждой линии, так как предоставляет унифицированный метод регистрации.

ЗАКЛЮЧЕНИЕ

Хотя в малых и домашних офисах уже широко используются брандмауэры, а также высокоскоростные линии связи, проблема безопасности внешнего периметра сети часто игнорируется. Маршрутизаторы Cisco при соответствующем конфигурировании могут обеспечить необходимый уровень безопасности любой сети.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *