© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner 1 Устранение неполадок средств безопасности маршрутизаторов Cisco ISR G2

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 2 План презентации Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Устранение неполадок системы предотвращения вторжений Cisco IOS

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 3 Маршрутизатор следующего поколения Service Modules 3x-7x-кратный прирост производительности сервисного модуля Адаптер для установки текущих NM Поддержка EPoE Internal Services Module 3x-кратный прирост производительности сервисного модуля Режим экономии электропитания Опция для n на 1941W EHWIC 2x-кратный прирост производительности Непосредственная поддержка HWIC/WIC/VWIC/VIC Проддержка EPoE Многоядерный процессор 4x-кратный прирост производительности Multi Gigabit Fabric Связь модулей Приоритезация и шейпинг пакетов DSP-модули следующего поколения Поддержка видео 4x-кратное увеличение сессий аудиоконференций и транскодинга Режим экономии электропитания Порты GE Дополнительный порт GE (3 на 2911 и выше) SFP на 2921 и выше USB Консоль через USB Хранение файлов Services Performance Engine (3900) Повышение производительности устройства

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 4 Позиционирование ISR G2 по производительности Скорость канала WAN 1941/ Mb 100 Mb 75 Mb 50 Mb 35 Mb T1/E1 Eth VDSL2+ Sub-rate FE 25 Mb Производительность с сервисами при 75% загрузке процессора Line Rate FE +

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 5 Скорость канала подключения к распределенной сети 1941/ Mb 100 Mb 75 Mb 50 Mb 35 Mb T1/E1 Eth VDSL2+/Sub- rate FE Line Rate FE + 25 Mb Line Rate N x FE 3945E 3925E 250 Mb 350 Mb Позиционирование ISR G2 по производительности Производительность с сервисами при 75% загрузке процессора

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 6 Функции безопасности ISR G2 Трансляция сетевых адресов (NAT) Списки доступа (ACL) Межсетевой экран на основе политик зон (ZBFW) Система предотвращения вторжений (IPS) Фильтрация контента (Content Filtering) Поддержка модуля NME-RVPN

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 7 Рост производительности функций безопасности ISR G2 по сравнению с ISR* ПлатформаПропускная способность NAT+ACL Пропускная способность FW Пропускная способность FW+NAT Пропускная способность IPS 3945 и 38452,71,9 1, и 38253,42,42,01, и 28513,42,01,51, и 28212,1 1,61, и 28115,14,15,52, и 28014,53,24,53, и 18413,92,73,72,3 * Размер объекта HTTP 64KB, IMIX 409B (загрузка ЦПУ - 75%)

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 8 План презентации Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Обзор межсетевого экрана Cisco IOS Обработка пакетов межсетевым экраном Cisco IOS Устранение неполадок межсетевого экрана Cisco IOS Типовые неполадки и способы их устранения Резюме Устранение неполадок системы предотвращения вторжений Cisco IOS

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 9 Модели настройки МСЭ Cisco IOS Классический МСЭ IOSМСЭ на основе политик зон Анализ трафика с учетом состояния сеансов на базе интерфейсов Политика МСЭ = политика анализа в сочетании с политикой ACL Корреляция политик затруднена Трудно использовать группы объектов (команды object-group) Анализ трафика с учетом состояния сеансов на базе зон Политики МСЭ основаны на передаче трафика между зонами Корреляция политик проста, просто устранять неполадки Некоторые функции схожи с группами объектов ASA/PIX Более тонкая настройка политики анализа Две модели настройки * МСЭ на базе политик зон поддерживается с версии IOS 12.4(6)T Концептуальные различия классического МСЭ Cisco IOS и МСЭ на основе политик зон: f31f9.html

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 10 Обзор МСЭ на основе политик зон Поддержка группирования физических и виртуальных интерфейсов по зонам Политики МСЭ применяются к трафику, передающемуся между зонами Простота добавления и удаления интерфейсов, а также их интеграции в политику МСЭ ДМЗ Доверенная сеть Политика Private-Public Политика Public-DMZ Политика DMZ-Private Политика Private-DMZ Поддерживаемые функции Учет состояния сеансов Анализ трафика уровня приложений: IM, POP, IMAP, SMTP/ESMTP, HTTP Фильтрация по URL Настройка параметров в соответствии с политикой Прозрачный МСЭ МСЭ с учетом VRF Internet 12.4(6)T E0 S0 Недоверенная сеть

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 11 План презентации Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Обзор межсетевого экрана Cisco IOS Обработка пакетов межсетевым экраном Cisco IOS Устранение неполадок межсетевого экрана Cisco IOS Типовые неполадки и способы их устранения Резюме Устранение неполадок системы предотвращения вторжений Cisco IOS

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 12 Понимание схемы обработки пакетов Необходимо определить полный путь передачи пакета Локализовать неполадку до уровня отдельного устройства Определить правила обработки на основании IP- адреса отправителя, IP-адреса получателя, порта отправителя, порта получателя и протокола Определить интерфейсы/зоны между которыми передается пакет Выполнить систематическую отладку обработки пакета устройством в соответствии с настроенными функциями

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 13 Обработка на устройстве Определение схемы обработки на устройстве позволяет сузить процесс устранения неполадки (проверки конфигурации и трассировки пакетов) до двух интерфейсов Поток пакетов IP – S: a.b.c.1 D: d.e.f.1 Proto: 17 (udp) UDP -- S: xxxx -- D: yyy ДАННЫЕ интерфейс Fa 0/0 интерфейс Fa 1/0 Source Address:a.b.c.1 Destination Address:d.e.f.1 Source Port: xxxx Destination Port:yyy Protocol: UDP Source Interface: Fa 0/0 Destination Interface: Fa 1/0 Поток пакетов интерфейс Fa 2/0 Поток ограничен 2 интерфейсами

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 14 Общая схема обработки пакетов Пакет IPSec? IPS/нет сеансов Входной инт. Прокси аутентиф. Входной ACL Входной инт. Расшифр. пакет IPS/нет сеансов Входной инт. Входной ACL NAT перед маршрутиз. Маршрути- зация NAT после маршрутиз. IPS/конт.снс Выходной инт. Анализ фрагментов Выходной ACL Выходной инт. МСЭ IOS Пакет IPSec? Зашифр. пакет Д Н Д Н

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 15 Поток пакетов: Private -> Public Public : ethernet0Private: ethernet1 interface ethernet0 ip access-group 100 out ip nat outside ip inspect fw-policy out crypto map ipsec-policy Интерфейс Private Входной ACL NATМаршру- тизация IOS FW Output NATВыходной ACL Выход МСЭ IOS Шифро- вание IPSec Вход пакета Политика МСЭ применяется на интерфейсе Public Интерфейс Public interface ethernet1 ip access-group 101 in ip nat inside

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 16 Поток пакетов: Private -> Public Public : ethernet0Private: ethernet1 interface ethernet0 ip access-group 100 out ip nat outside crypto map ipsec-policy Интерфейс Private Входной ACL NAT и маршру- тизация Вход МСЭ IOS IOS FW Output NATВыходной ACL Маршру- тизация Шифро- вание IPSec Вход пакета Политика МСЭ применяется на интерфейсе Private Интерфейс Public interface ethernet1 ip access-group 101 in ip nat inside ip inspect fw-policy in

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 17 Agenda Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Обзор межсетевого экрана Cisco IOS Обработка пакетов межсетевым экраном Cisco IOS Устранение неполадок межсетевого экрана Cisco IOS Типовые неполадки и способы их устранения Резюме Устранение неполадок системы предотвращения вторжений Cisco IOS

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 18 class-map type inspect match-any myprotocol match protocol smtp match protocol ftp match protocol http class-map type inspect match-all myclass match access-group 102 match class-map myprotocol policy-map type inspect mypolicy class type inspect myclass inspect zone security private zone security public zone-pair security priv-pub source private destination public service-policy type inspect mypolicy interface Ethernet0 zone-member security private interface Serial0 zone-member security public access-list 102 permit ip any Конфигурация МСЭ на основе политик зон ACL 101 на исходящем интерфейсе больше не нужен для блокировки трафика. Сервисы с ACL для определения разрешенных/ заблокированных хостов (необязательно) Определение сервисов, анализируемых политикой Назначение интерфейсов зонам Определение действия МСЭ для трафика Формирование пары зон и применение политики Настройка зон

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 19 Средства устранения неполадок Syslog Команды show Анализ трассировки пакетов Команды debug

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 20 Syslog Наиболее эффективное средство устранения неполадок межсетевого экрана на основе политик для зон Средство для формирования уведомления и формирования журналов аудита Средство для обнаружения удаления пакетов МСЭ Средство для сбора выходных данных команды debug

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 21 Syslog структура сообщения Syslog Симптом: пользователь не может пользоваться web-сервером c IP-адресом EC-SUN[100]# grep " " Jul 26 13:58: : Jul 26 18:02: UTC: %FW-6-SESS_AUDIT_TRAIL_START: (target:class)- publicPrivateOut:myClassMap):Start http session: initiator ( :3372) -- responder ( :80) Jul 26 13:58: : Jul 26 18:02: UTC: %APPFW-4-HTTP_JAVA_APPLET: HTTP Java Applet detected - resetting session : :3372 on zone- pair publicPrivateOut class myClassMap appl-class HttpAic Jul 26 13:58: : Jul 26 18:02: UTC: %FW-6-SESS_AUDIT_TRAIL: (target:class)- (publicPrivateOut:myClassMap):Stop http session: initiator ( :3372) sent 297 bytes -- responder ( :80) sent 0 bytes Причина закрытия соединения Имя пары зон Имя политики AIC Имя карты классов

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 22 Syslog анализ удаленных пакетов Введите команду "ip inspect log drop-pkt" для журналирования пакетов, удаленных МСЭ, с указанием причины удаления Функция добавлена в IOS версии 12.3(8)T Результаты выдаются 1 раз в 30 секунд Router(config)#ip inspect log drop-pkt Router#... *Mar 25 19:21:27.811: %FW-6-DROP_PKT: Dropping tcp session : :0 due to Invalid Header length with ip ident *Mar 25 19:30:23.131: %FW-6-DROP_PKT: Dropping tcp session : :23 due to RST inside current window with ip ident tcpflags 0x5004 seq.no ack

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 23 Syslog типовые причины удаления пакетов Invalid Header length Поле данных IP-пакета настолько мало, что в нем не может содержаться заголовок TCP, UDP или ICMP. Segment matching no TCP connection Получен не первый TCP-сегмент, для которого в таблице соединений нет соответствующего соединения. Invalid Seq# В сегменте содержится недопустимый порядковый номер данных TCP. Invalid Ack (или no Ack) В сегменте содержится недопустимый номер подтверждения данных TCP. SYN inside current window Сегмент с флагом SYN передается в рамках уже установленного TCP- соединения. Out-Of-Order Segment Обнаружен TCP-сегмент, который не соответствует установленному окну. Stray Segment Обнаружен TCP-сегмент, который не должен быть получен в данном состоянии конечного автомата TCP, например, сегмент "TCP SYN" в состоянии "listen". Invalid Window scale option Процесс-приемник TCP предлагает недопустимый вариант размера окна, а процесс-источник не предлагает установить размер окна. RST inside current window Сегмент с флагом RST передается в рамках уже установленного TCP- соединения. SYN with data или with PSH/URG flags В сегменте TCP SYN содержатся данные.

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 24 Команды show Используются для отображения конфигурации и статистической информации о сетевых соединениях. БОЛЬШИНСТВО неполадок можно обнаружить с помощью команд syslog и show. Команды show для классического МСЭ Cisco IOS и МСЭ на основе политик зон различаются.

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 25 Команды show МСЭ на основе политик зон Отображение зоны и входящих в нее интерфейсов Отображение сведений о паре зон Отображение статистики политики и сеансов show policy-map type inspect { [class ] | zone-pair [ ] [sessions | urlfilter cache] } show zone security [zone-name] Router#show zone-pair security source private destination public Zone-pair name priv-pub source-Zone private Destination-Zone public service-policy priv-pub-pol

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 26 Команды show МСЭ на основе политик зон Отображение статистики МСЭ Router#show policy-map type inspect zone-pair policy exists on zp priv-pub Zone-pair: priv-pub Service-policy inspect : firewall-pmap Class-map: L4-inspect-class (match-any) Match: protocol tcp 1 packets, 24 bytes 30 second rate 0 bps Inspect Packet inspection statistics [process switch:fast switch] tcp packets: [44:0] Session creations since subsystem startup or last reset 1 Current session counts (estab/half-open/terminating) [1:0:0] Maxever session counts (estab/half-open/terminating) [1:1:0] Last session created 00:00:40 Last statistic reset never Last session creation rate 1 Maxever session creation rate 1 Last half-open session total 0 Class-map: class-default (match-any) Match: any Drop 0 packets, 0 bytes

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 27 Команды show МСЭ на основе политик зон Отображение сеансов МСЭ Router#show policy-map type inspect zone-pair sessions policy exists on zp priv-pub Zone-pair: priv-pub Service-policy inspect : firewall-pmap Class-map: L4-inspect-class (match-any) Match: protocol tcp 1 packets, 24 bytes 30 second rate 0 bps Inspect Number of Established Sessions = 1 Established Sessions Session 5346C90 ( :44181)=>( :23) tcp SIS_OPEN Created 00:09:22, Last heard 00:09:17 Bytes sent (initiator:responder) [46:119] Class-map: class-default (match-any) Match: any Drop 0 packets, 0 bytes

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 28 Использование дампов трафика В дампах трафика может содержаться подробная информация, недоступная с помощью команд show или сообщений syslog Формирование дампов выполняется вне МСЭ Мощное средство устранения неполадок L4 и L7 Новая инфраструктура формирования дампов трафика, введенная в версии 12.4(20)T, упрощает сбор данных Возможность формирования дампов трафика IPv4 и IPv6 в пути CEF Настраиваемый буфер и параметры точки формирования дампа Расширяемые возможности фильтрации и экспорта данных Поддержка различных типов инкапсуляции в каналах WAN

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 29 Использование дампов пакетов для устранения неполадок МСЭ Типовой сценарий: сбой приложения x при попытке работы через МСЭ Настройка фильтра для формирования дампа нужного потока Запуск формирования дампов на входе и выходе МСЭ Запуск приложения Сравнение дампов для обнаружения удаленных пакетов и сопоставления с журналами МСЭ Внешний Внутренний Формирование дампа Интернет Сервер Клиент

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 30 Использование встроенных средств формирования дампа IOS Router#monitor capture buffer test-buffer Router#monitor capture buffer test-buffer filter access-list 120 Filter Association succeeded Router# Router#monitor capture point ip cef test-capture serial 2/0 both *Mar 26 20:33:10.896: %BUFCAP-6-CREATE: Capture Point test-capture created. Router#monitor capture point associate test-capture test-buffer Router#monitor capture point start test-capture *Mar 26 20:34:03.108: %BUFCAP-6-ENABLE: Capture Point test-capture enabled. Router# Router#monitor capture point stop test-capture *Mar 26 20:34:21.636: %BUFCAP-6-DISABLE: Capture Point test-capture disabled. Основные этапы настройки Создание буфера и точки формирования дампа Связывание точки формирования с буфером Запуск/остановка формирования дампа

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 31 Использование встроенных средств формирования дампа IOS Дамп готов, что дальше? Router#show monitor capture buffer test-buffer dump 15:34: EST Mar : IPv4 LES CEF : Se2/0 None 05CECE30: 0F CECE40: 6D FE0649DD m...~.I] CECE50: 0017A353 0FB6B952 3EF1499C #S.69R>qI.`.. 05CECE60: 917A z Просмотр пакетов на маршрутизаторе Или экспорт и анализ в Ethereal/Wireshark Router# monitor capture buffer test-buffer export ? ftp: Location to dump buffer http: Location to dump buffer https: Location to dump buffer rcp: Location to dump buffer scp: Location to dump buffer tftp: Location to dump buffer

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 32 Использование Wireshark для анализа дампа Повтор SYN. Что происходит с сегментами «SYN/ACK»?

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 33 Команды debug Команды debug последнее средство устранения неполадки. Использование команд debug может создать существенную нагрузку на ЦП устройства. Команды debug для МСЭ Cisco IOS не поддерживают задание условий Перед запуском команды debug необходимо оценить загруженность маршрутизатора При запуске команд debug необходимо следовать оптимальным методикам Нередко команды debug используют для обнаружения ошибок в МСЭ Cisco IOS, а не для устранения неполадок

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 34 Router#debug policy-firewall protocol tcp Policy-Firewall TCP debugging is on Router#debug policy-firewall detail Policy-Firewall detailed debugging is on FIREWALL: NEW PAK 4DC7548 (0: :12573) (0: :23) tcp FIREWALL sis : pak 4DC > SIS_OPENING/SYNSENT processed seg iisn i_rcvnxt 0 i_sndnxt i_rcvwnd 4128 i_rcvlmt 0 r_rcvlmt 0 risn 0 r_rcvnxt 0 r_sndnxt 0 r_rcvwnd 0 FIREWALL sis : pak 4A53B18 --> SIS_OPENING/SYNRCVD processed seg... FIREWALL sis : pak 4DC7F58 --> SIS_OPEN/ESTAB processed seg... FIREWALL sis : L4 result: PASS packet 0x04DC7F58 ( :12573) ( :23) bytes 32 Команда отладки МСЭ Cisco IOS Отладка TCP-соединения через МСЭ

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 35 Полезные команды debug Для прозрачного МСЭ (команды show напоминают команды для МСЭ L3) Другие команды debug debug policy-firewall obj-creation debug policy-firewall obj-deletion debug policy-firewall events debug policy-firewall protocol ISR-1841#debug ip inspect l2-transparent ? dhcp-passthrough DHCP passthrough packets L2 Inspection packets

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 36 План презентации Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Обзор межсетевого экрана Cisco IOS Обработка пакетов межсетевым экраном Cisco IOS Устранение неполадок межсетевого экрана Cisco IOS Типовые неполадки и способы их устранения Резюме Устранение неполадок системы предотвращения вторжений Cisco IOS

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 37 Типовые неполадки и способы их устранения Снижение производительности «при включении МСЭ IOS» МСЭ Cisco IOS удаляет легитимные пакеты Анализ выполняется при передаче трафика не в том направлении Фрагментация и МСЭ Cisco IOS IPSec и неполадки МСЭ Cisco IOS Закрытие HTTP-соединений Не работает приложение, использующее многоканальный протокол (FTP, VoIP)

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 38 Снижение производительности s0e0 Public Network Cisco IOS Firewall Симптом: После включения МСЭ IOS скорость передачи резко падает Легитимные пакеты начинают удаляться через некоторое время после включения МСЭ Этапы устранения неполадки: Шаг 1. Определение процесса, создающего наибольшую нагрузку на ЦП Router# show processes cpu | exclude 0.00 CPU utilization for five seconds: 70%/39%; one minute: 52%; five minutes: 43% PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process % 0.04% 0.04% 0 EAPFramework % 37.74% 37.02% 0 IP Input % 1.27% 1.26% 0 Inspect process Решение: Процесс IP Input должен характеризоваться наибольшими показателями Если показатели любого процесса > показателей процесса IP Input, следует проанализировать этот процесс (возможно, МСЭ IOS ни при чем) Если показатели процесса IP Input ВЕЛИКИ, неполадка может быть связана с работой МСЭ IOS

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 39 Снижение производительности (продолжение) s0e0 Public Network Cisco IOS Firewall Этапы устранения неполадки: Шаг 2a. Просмотр статистики МСЭ Router# show ip inspect statistics Session creations since subsystem startup or last reset 2 Current session counts (estab/half-open/terminating) [4214:16853:566] Maxever session counts (estab/half-open/terminating) [4214:16853:566] Шаг 2b. Проверка параметров защиты от атак типа «отказ в обслуживании» ip inspect max-incomplete high value (default 500) ip inspect max-incomplete low value (default 400) ip inspect one-minute high value (default 500) ip inspect one-minute low value (default 400) ip inspect tcp max-incomplete host value (default 50) [block-time minutes

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 40 Шаг 1. Убедитесь, что на хостах сети нет вирусов или червей, которые могут создавать множество соединений. Шаг 2. Установите очень большие значения для параметров группы max-incomplete. Если производительность возрастет, откорректируйте их значения в соответствии с трафиком в сети. ip inspect max-incomplete high ip inspect one-minute high ip inspect tcp max-incomplete host block-time 0 До версии 12.4(11)T значения параметров защиты от атак типа «отказ в обслуживании» по умолчанию были небольшими С версии 12.4(11)T по умолчанию установлены большие значения Снижение производительности (продолжение) Решение: Настройка параметров защиты от атак типа «отказ в обслуживании»

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 41 Снижение производительности (продолжение) Этапы устранения неполадки: Шаг 3. Проанализируйте политику МСЭ IOS и убедитесь, что выполняется анализ HTTP-трафика ip inspect name IOSFirewall http ip inspect name IOSFirewall https ip inspect name IOSFirewall pop3 ip inspect name IOSFirewall smtp ip inspect name IOSFirewall dns Команда "Inspect http" добавляет возможность анализировать возвращаемое содержимое для Java-апплетов, т. е. сказывается на производительности Решение: Если фильтрация Java-апплетов НЕ требуется, отключите анализ http- трафика. В противном случае создайте список (Java-list), чтобы отключить анализ контента с доверенных сайтов. ip inspect name IOSFirewall http java-list 20 ip inspect name IOSFirewall smtp ip inspect name IOSFirewall dns access-list 20 permit

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 42 Снижение производительности (продолжение) Этапы устранения неполадки: Шаг 4. Проверьте, не были ли изменены значения тайм-аута для UDP и DNS, принятые по умолчанию Если для тайм-аута DNS или UDP было установлено слишком ВЫСОКОЕ значение, маршрутизатор окажется перегружен в результате слишком большого числа активных, но неиспользуемых UDP- или DNS-сеансов. Если для тайм-аута UDP или DNS было установлено слишком НИЗКОЕ значение, сеанс может закрываться преждевременно, что в итоге приведет к созданию намного большего числа сеансов, чем необходимо Решение: Установите для тайм-аута UDP значение 30 секунд (по умолчанию, а для тайм-аута DNS 5 секунд (по умолчанию), если нет четких причин для изменения этих значений. Router(config)#ip inspect dns-timeout 5 Настройка DNS в политике МСЭ приводила к снижению производительности (bug ID: CSCse35588). Ошибка устранена в версии IOS 12.4(11)T.

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 43 access-list 101 deny ip any any interface Serial0 description outside ip access-group 101 in s0e0 Интернет Общедоступная сеть МСЭ Cisco IOS ACL 101 ip inspect name IOSFW tcp ip inspect name IOSFW udp interface Serial0 description outside ip inspect IOSFW in Политика анализа входящего трафика и ACL применяются на выходном интерфейсе, трафик из Интернета удаляется ACL 101 Анализ Анализ выполняется при передаче трафика не в том направлении Симптом: Через маршрутизатор не передается трафик в обратном направлении, возможно, он удаляется ACL Закрытая сеть

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 44 Анализ выполняется при передаче трафика не в том направлении Этапы устранения неполадки: Выполните команду show ip inspect sessions на маршрутизаторе, чтобы просмотреть таблицу сеансов (она будет пуста) Проверьте направление трафика, обрабатываемого на интерфейсе ACL и средствами анализа; анализ и ACL распространяются на входящий трафик Resolution: Apply Inspection Outbound on the Internet facing interface (while, ACL is applied Inbound) Анализ s0 e0 ACL 101 Общедоступная сеть Закрытая сеть МСЭ Cisco IOS Интернет

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 45 Фрагментация и МСЭ Cisco IOS До IOS версии 12.3(8)T Использование анализа фрагментированных пакетов в ситуациях, когда легитимные фрагменты могли поступать с нарушением порядка следования, могли привести к снижению производительности (фрагменты удалялись). Router(config)# ip inspect name inspection-name fragment С версии 12.3(8)T Теперь МСЭ IOS использует "механизм виртуальной сборки фрагментированных пакетов" (VFR). IOS поддерживает буфер для переупорядочивания и виртуальной сборки фрашментированных IP-датаграмм, соответственно, МСЭ IOS может управлять сеансами, в которых передаются фрагментированные пакеты. Этот режим необходимо включить как на внешнем, так и на внутреннем интерфейсах. Router(config-if)# ip virtual-reassembly

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 46 IPSec и МСЭ Cisco IOS Описание проблемы: Как выполняется обработка IPSec-трафика на МСЭ Cisco IOS Решения: МСЭ IOS обрабатывает трафик IPSec в одном из двух режимов: МСЭ IOS и ядро IPSec функционируют на одном маршрутизаторе МСЭ IOS не анализирует расшифрованные входящие пакеты МСЭ IOS анализирует исходящие пакеты перед шифрованием для передачи на внешний интерфейс Для работы IPSec на интерфейсе необходимо разрешить трафик UDP/500 (ISKMP), UDP/4500 (NAT-T), IP 50 (ESP)/ IP 51 (AH) Транзитный трафик IPSec через МСЭ IOS МСЭ IOS не будет анализировать зашифрованные IPSec-пакеты, поскольку значение поля "протокол" в IP-заголовке отличается от TCP/UDP Будет анализироваться трафик ISKMP (UDP/500) Для передачи IPSec-трафика маршрутизатор должен допускать передачу UDP/500 (ISKMP) UDP/4500 (NAT-T), IP 50 (ESP)/ IP 51 (AH)

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 47 IPSec и межсетевой экран на основе политик зон Два типа IPSec-конфигурации Классическая конфигурация (к интерфейсу применяется криптосхема, нет ассоциации интерфейса VPN с зоной) Конфигурация IPSec на интерфейсе GRE over IPSec DMVPN Статический VTI (интерфейс виртуального туннеля) EzVPN с использованием динамического VTI VPN-интерфейс должен принадлежать к зоне безопасности

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 48 Классическая конфигурация IPSec на МСЭ на основе политик зон PrivatePublic PrivateN/A Разрешить весь исходящий TCP/UDP/ICMP- трафик Public Разрешить TCP/UDP/ICMP-трафик из туннеля и web-трафик на сервер N/A Определение политик безопасности зон Целевая зона Исходная зона Клиенты Сервер Туннель IPSec Internet-трафик (TCP/UDP/ICMP) Интернет Web- сервер Клиенты Зона Private Зона Public / /24

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 49 Классическая конфигурация IPSec с МСЭ на основе политик зон - конфигурация class-map type inspect match-any all-traffic match protocol tcp match protocol udp match protocol icmp class-map type inspect match-all pub-pri-cmap match class-map all-traffic match access-group name tunnel- traffic class-map type inspect match-all inbound-web match protocol http match access-group name web-server ! policy-map type inspect pri-pub-pmap class type inspect all-traffic inspect policy-map type inspect pub-pri-pmap class type inspect pub-pri-cmap inspect class type inspect inbound-web inspect zone security public description Internet facing zone zone security private description Secure private zone zone-pair security pub-pri source public destination private service-policy type inspect pub-pri-pmap zone-pair security pri-pub source private destination public service-policy type inspect pri-pub-pmap ! interface FastEthernet0/0 zone-member security public crypto map test ! interface FastEthernet1/0 zone-member security private ! ip access-list extended tunnel-traffic permit ip ip access-list extended web-server permit ip any host

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 50 Настройка IPSec на интерфейсах для МСЭ на основе политик зон Определение политик безопасности зон PrivatePublicVPN PrivateN/A Разрешить весь TCP/UDP/ICMP- трафик Public Разрешить web- трафик на адрес N/AЗапретить VPN Разрешить весь TCP-трафик ЗапретитьN/A Исходная зона Целевая зона IPSec-туннель Интернет-трафик (TCP/UDP/ICMP) Интернет Клиенты Зона Private Зона Public / /24 Зона VPN Web- сервер Сервер Клиенты

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 51 Настройка IPSec на интерфейсах для МСЭ на основе политик зон конфигурация class-map type inspect match-any tcp- traffic match protocol tcp ! policy-map type inspect pri-pub-pmap class type inspect all-traffic inspect policy-map type inspect pub-pri-pmap class type inspect inbound-web inspect policy-map type inspect pri-vpn-pmap class type inspect all-traffic inspect policy-map type inspect vpn-pri-pmap class type inspect tcp-traffic inspect ! zone security public description Internet facing zone zone security private description Secure private zone zone security vpn description This is the VPN zone zone-pair security pub-pri source public destination private service-policy type inspect pub-pri-pmap zone-pair security pri-pub source private destination public service-policy type inspect pri-pub-pmap zone-pair security vpn-pri source vpn destination private service-policy type inspect vpn-pri-pmap zone-pair security pri-vpn source private destination vpn service-policy type inspect pri-vpn-pmap ! interface Tunnel0 zone-member security vpn tunnel mode ipsec ipv4 tunnel protection ipsec profile test ! interface FastEthernet0/0 zone-member security public ! interface FastEthernet1/0 zone-member security private

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 52 Принудительное закрытие HTTP-соединения Симптом: Неожиданное принудительное закрытие соединения при пользовании web-сайтом. Этапы устранения неполадки: Шаг 1a. Анализ сообщений syslog от маршрутизатора Jul 26 13:58: : Jul 26 18:02: UTC: %APPFW-4- HTTP_JAVA_APPLET: HTTP Java Applet detected - resetting session : :3372 on zone-pair publicPrivateOut class myClassMap appl-class HttpAic Шаг 1b. Анализ конфигурации с помощью команды show. class-map type inspect http match-any HttpAic match response body java-applet exit policy-map type inspect http HttpAicPolicy class type inspect http HttpAic reset log Exit Решение: Удалить команду reset из карты политики. Причина закрытия соединения

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 53 Принудительное закрытие HTTP-соединения (продолжение) Этапы устранения неполадки: Шаг 2a. Анализ сообщений syslog от маршрутизатора – Jul 26 15:03: : Jul 26 19:08: UTC: %APPFW-4-HTTP_CONTENT_LENGTH: Content length (82271) out of range - resetting session : :3491 on zone-pair publicPrivateOut class myClassMap appl-class HttpAic Шаг 2b. Использование команды show показывает, что для параметра "Body Length" web-трафика установлено слишком НИЗКОЕ значение. Решение: Увеличить допустимую запроса/ответа – class-map type inspect http match-any HttpAic match req-resp body length gt exit

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 54 Принудительное закрытие HTTP-соединения (продолжение) Этапы устранения неполадки: Шаг 3a. В ходе анализа сообщений syslog обнаружено следующее – Jul 27 13:12: : Sig:12 HTTP URI length exceeded. Received :1451 to : Шаг 3b. При анализе конфигурации с помощью команды show может выясниться, что для параметра "Request URI Length" установлено слишком НИЗКОЕ значение. Решение: Задание длины URI, равной 256 байт – class-map type inspect http match-any HttpAic match request uri length gt 256 exit

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 55 Нарушение работы многоканальных протоколов Симптомы: Пример 1. FTP-соединение с сервером устанавливается, просмотр каталогов (ls) невозможен. Пример 2. Вызовы принимаются и отправляются, но ничего не слышно. Этапы устранения неполадки: Проверка состояния соединения для передачи данных с помощью команды "show ip inspect session". Анализ сообщений syslog. Решение: Необходимо проанализировать работу каждого многоканального протокола в отдельности.

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 56 План презентации Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Обзор межсетевого экрана Cisco IOS Обработка пакетов межсетевым экраном Cisco IOS Устранение неполадок межсетевого экрана Cisco IOS Типовые неполадки и способы их устранения Резюме Устранение неполадок системы предотвращения вторжений Cisco IOS

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 57 Резюме ВСЕГДА СЛЕДУЙТЕ системному подходу при устранении неполадок МСЭ IOS НЕ ИЗМЕНЯЙТЕ установленные по умолчанию значения тайм-аутов для сеансов UDP и DNS Определите профиль трафика в своей сети, проходящего через МСЭ IOS, и настройте параметры защиты от DoS-атак соотвествующим образом ВСЕГДА применяйте анализ трафик в направлении исходного потока трафика Для многоканальных протоколов ВСЕГДА анализируйте работу протокола уровня приложений

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 58 Резюме Руководство по проектированию и применению МСЭ Cisco IOS на основе политик зон cts_tech_note09186a00808bc994.shtml Страница, посвященная средствам безопасности маршрутизаторов html

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 59 План презентации Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Устранение неполадок системы предотвращения вторжений Cisco IOS Обзор IPS Cisco IOS Обработка пакетов Устранение неполадок Типовые неполадки и способы их устранения Резюме

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 60 Система предотвращения вторжений Cisco IOS обзор До версии 12.3(8)T называлась IDS, использовалась команда "ip audit" С версии 12.3(8)T называется "IPS Cisco IOS" Программный сенсор системы предотвращения вторжений при транзитной передаче трафика Поддерживает формат сигнатур Cisco IPS версии 5.x с версии 12.4(11)T* Анализ пакетов на основе сигнатур, набор сигнатур соответствует платформе сенсоров IPS 4200 Динамическое обновление сигнатур, не требующее обновления образа IOS Возможность настройки различных событий для сигнатуры и категории Простота управления CCP, CSM** * Формат сигнатур версии 5.x не совместим с форматом сигнатур версии 4.x ** CCP = Cisco Configuration Professional; CSM = Cisco Security Manager

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 61 Система предотвращения вторжений Cisco IOS системные компоненты Микроядра сигнатур (SME) SME определяет параметры сигнатур в категории для определенного протокола, например HTTP Файлы сигнатур Содержат ядро сигнатур, сведения о параметрах (например, имя сигнатуры, ИД сигнатуры, действия при срабатывании сигнатуры) и т. п. Категории сигнатур* В категории сигнатур содержатся заранее сформированные наборы сигнатур для определенной уязвимости SEAP (Signature Event Action Processor, процессор действий для сигнатур) SEAP обеспечивает возможность расширенной фильтрации действий и позволяет переопределять основные параметры механизма ERR (Event Risk Rating) Мониторинг событий Сообщения syslog и/или уведомления SDEE** для событий, сформированных IPS IOS * Только для формата сигнатур версии 5.x (IOS 12.4(11)T или более поздней версии) ** SDEE = Security Device Event Exchange

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 62 Router#sh ip ips category ? adware/spyware Adware/Spyware (more sub-categories) attack Attack (more sub-categories) ddos DDoS (more sub-categories) dos DoS (more sub-categories) (more sub-categories) instant_messaging Instant Messaging (more sub-categories) ios_ips IOS IPS (more sub-categories) l2/l3/l4_protocol L2/L3/L4 Protocol (more sub-categories) network_services Network Services (more sub-categories) os OS (more sub-categories) other_services Other Services (more sub-categories) p2p P2P (more sub-categories) reconnaissance Reconnaissance (more sub-categories) releases Releases (more sub-categories) viruses/worms/trojans Viruses/Worms/Trojans (more sub-categories) web_server Web Server (more sub-categories) Категории сигнатур В IPS IOS с сигнатурами в формате Cisco IPS 5.x/6.x используются категории сигнатур Категория сигнатур представляет собой группу соответствующих сигнатур, объединенных под информативным именем Все сигнатуры разделены на категории Отдельная сигнатура может принадлежать к нескольким категориям

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 63 План презентации Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Устранение неполадок системы предотвращения вторжений Cisco IOS Обзор IPS Cisco IOS Обработка пакетов Устранение неполадок Типовые неполадки и способы их устранения Резюме

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 64 Обработка пакетов в IPS Cisco IOS входящий трафик Декапсуляция уровня 2 IPSEC? Входящий ACL Расшифр. IPSec IPS (без сеансов) Д Н Повторная вставка пакета в поток трафика Прокси аутент. Входящий ACL NAT Пересылка Вход. ACL для карты шифр.

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 65 Обработка пакетов IPSec/IPS исходящий трафик NAT IPS (без сеансов) Пересылка Анализ фрагмент. Исходящий ACL IPS (без сеанс.) и МСЭ IPSEC? Исходящий ACL карты шифр. Н Д Шифрование IPSec Инкапсуляция уровня 2 Пересылка

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 66 План презентации Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Устранение неполадок системы предотвращения вторжений Cisco IOS Обзор IPS Cisco IOS Обработка пакетов Устранение неполадок Типовые неполадки и способы их устранения Резюме

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 67 Пример базовой конфигурации ip ips config location flash:ips/ retries 1 ip ips notify SDEE ip ips name iosips ip ips signature-category category all retired true category ios_ips advanced retired false crypto key pubkey-chain rsa named-key realm-cisco.pub signature key-string D0609 2A F70D F A | snip | F quit interface GigabitEthernet0/1 ip address ip ips iosips in ip virtual-reassembly duplex auto speed auto Включение политики IPS IOS на интерфейсе Ключ IPS IOS В начале ВСЕГДА выбирается категория all И блокируются все сигнатуры

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 68 Настройка уведомлений о событиях с использованием SDEE Сообщения SDEE передаются по HTTP/HTTPS Для использования SDEE необходимо включить HTTP/HTTPS При использовании IME рекомендуется установить количество одновременных подписок, равное 3 Router(config)#ip sdee subscriptions ? Number of concurrent SDEE subscriptions Формат сообщения в журнале IPS IOS: *Mar 22 03:53:13.827: %IPS-4-SIGNATURE: Sig:5114 Subsig:1 Sev:75 WWW IIS Unicode Attack [ :4150 -> :80] RiskRating:75 *Mar 22 03:53:13.827: %IPS-4-SIGNATURE: Sig:5081 Subsig:0 Sev:100 WWW WinNT cmd.exe Access [ :4150 -> :80] RiskRating:100

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 69 Типовые этапы устранения неполадок 1.Проверьте конфигурацию IPS IOS, чтобы убедиться, что политика применена к нужному интерфейсу в нужном направлении show run 2.Проверьте состояние сигнатур, чтобы убедиться, что они скомпилированы show ip ips config show ip ips signatures count 3.Проверьте потоки трафика, анализируемые IPS IOS, чтобы убедиться, что IPS IOS анализирует трафик show ip ips sessions detail 4.Проверяйте уведомления SDEE / сообщения syslog, чтобы убедиться, что атаки обнаруживаются show ip sdee alerts show logging 5.Используйте соответствующие команды debug

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 70 Команды для устранения неполадок IPS IOS Шаг 1. Проверка конфигурации IPS IOS Router#sh run Building configuration output skipped -- ! ip ips config location flash:ips/ retries 1 ip ips notify SDEE ip ips name iosips ! ip ips signature-category category all retired true category ios_ips advanced retired false ! crypto key pubkey-chain rsa named-key realm-cisco.pub signature key-string D0609 2A F70D F A output skipped -- F quit ! interface GigabitEthernet0/1 ip address ip ips iosips in ip virtual-reassembly

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 71 Router#sh ip ips all IPS Signature File Configuration Status Configured Config Locations: flash:ips/ Last signature default load time: 16:42:08 PST Mar Last signature delta load time: 22:59:57 PST Mar Last event action (SEAP) load time: -none- General SEAP Config: Global Deny Timeout: 3600 seconds Global Overrides Status: Enabled Global Filters Status: Enabled IPS Auto Update is not currently configured IPS Syslog and SDEE Notification Status Event notification through syslog is enabled Event notification through SDEE is enabled IPS Signature Status Total Active Signatures: 581 Total Inactive Signatures: 1623 IPS Packet Scanning and Interface Status IPS Rule Configuration IPS name iosips IPS fail closed is disabled IPS deny-action ips-interface is false Fastpath ips is enabled Quick run mode is enabled Interface Configuration Interface GigabitEthernet0/1 Inbound IPS rule is iosips Outgoing IPS rule is not set IPS Category CLI Configuration: Category all: Retire: True Category ios_ips advanced: Retire: False Команды для устранения неполадок IPS IOS Шаг 2. Проверка конфигурации IPS IOS и состояния сигнатур Определение кол-ва активных сигнатур Проверка, что политика IPS IOS применена к нужному интерфейсу в нужном направлении Проверка использования категории сигнатур

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 72 Router#show ip ips signatures count Cisco SDF release version S318.0 Trend SDF release version V0.0 Signature Micro-Engine: multi-string: Total Signatures 8 multi-string enabled signatures: 8 multi-string retired signatures: 8 - output omitted - Signature Micro-Engine: service-msrpc: Total Signatures 27 service-msrpc enabled signatures: 27 service-msrpc retired signatures: 19 service-msrpc compiled signatures: 1 service-msrpc inactive signatures - invalid params: 7 Total Signatures: 2204 Total Enabled Signatures: 873 Total Retired Signatures: 1617 Total Compiled Signatures: 580 Total Signatures with invalid parameters: 7 Total Obsoleted Signatures: 11 Команды для устранения неполадок IPS IOS Шаг 2. Проверка состояния сигнатур Проверка версии выпуска сигнатур Проверка, что сигнатуры скомпилированы

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 73 Router#show ip ips sessions detail Established Sessions Session 47506A34 ( :3959)=>( :21) tcp SIS_OPEN Created 00:02:49, Last heard 00:02:44 Bytes sent (initiator:responder) [25:95] sig cand list ID sig cand list ID Команды для устранения неполадок IPS IOS Шаг 3. Проверка потоков, анализируемых IPS IOS

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 74 Команды для устранения неполадок IPS IOS Шаг 4. Проверка уведомлений Router#sh logging Syslog logging: enabled (12 messages dropped, 7 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled) -- output skipped -- Log Buffer (4096 bytes): *Mar 22 03:53:13.827: %IPS-4-SIGNATURE: Sig:5114 Subsig:1 Sev:75 WWW IIS Unicode Attack [ :4150 -> :80] RiskRating:75 *Mar 22 03:53:13.827: %IPS-4-SIGNATURE: Sig:5081 Subsig:0 Sev:100 WWW WinNT cmd.exe Access [ :4150 -> :80] RiskRating:100 Router#sh ip sdee alerts Alert storage: 200 alerts using bytes of memory SDEE Alerts SigID Sig Name SrcIP:SrcPort DstIP:DstPort or Summary Info 1: 5114:1 WWW IIS Unicode Attack : :80 2: 5081:0 WWW WinNT cmd.exe Access : :80

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 75 Команды отладки IPS Cisco IOS Шаг 5. Использование команд debug Включение отладки определенных ядер IPS IOS Router# debug ip ips timers Router# debug ip ips [object-creation | object-deletion] Router# debug ip ips function trace Router# debug ip ips detail Команды debug L3/L4: Router# debug ip ips [ip | icmp | tcp | udp] Команды debug уровня приложений: Router# debug ip ips [tftp | smtp | ftp-cmd | ftp-token] Включение отладки по определенным атрибутам SDEE Router# debug ip sdee [alerts | details | messages | requests | subscriptions ] Не рекомендуется в производственной сети

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 76 План презентации Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Устранение неполадок системы предотвращения вторжений Cisco IOS Обзор IPS Cisco IOS Обработка пакетов Устранение неполадок Типовые неполадки и способы их устранения Резюме

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 77 Типовые неполадки Неверное толкование терминов, используемых для описания состояния сигнатур Ошибки выделения памяти при компиляции сигнатур Общее число сигнатур, которое можно успешно скомпилировать Сбой при компиляции сигнатуры Этапы настройки Применение политики IPS Cisco IOS в неверном направлении/к неверному интерфейсу Несрабатывание сигнатуры при соответствующем ей трафике Трафик, соответствующий сигнатуре, обнаруживается, но не удаляется по умолчанию Удаление пакетов в связи с рассинхронизацией соединения

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 78 Неверное толкование терминов, используемых для описания состояния сигнатур Retire и unretire (блокировка и разблокировка) Enable и disable (включение и отключение) Compiled и loaded (скомпилировано и загружено) В IPS Cisco IOS эти термины унаследованы от аппаратной IPS серии 4200 С учетом ограничений по объему памяти большая часть сигнатур на маршрутизаторе заблокированы по умолчанию Пользователям IPS IOS необходимо контролировать как состояние «enable/disable», так и состояние «retire/unretire»

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 79 Неверное толкование терминов, используемых для описания состояния сигнатур (продолж.) Retire и Unretire (блокировка и разблокирование) Команды позволяют выбирать сигнатуры, которые используются IPS IOS для анализа трафика Блокировка сигнатуры означает, что IPS IOS НЕ будет компилировать эту сигнатуру в памяти для анализа трафика Разблокирование сигнатуры означает, что IPS IOS скомпилирует сигнатуру в памяти и будет использовать эту сигнатуру для анализа трафика Для блокировки и разблокирования отдельных сигнатур и целых категорий сигнатур может использоваться как интерфейс командной строки (CLI), так и SDM/CCP

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 80 Неверное толкование терминов, используемых для описания состояния сигнатур (продолж.) Enable и Disable (включение и выключение) Включение/выключение не означает включение/исключение сигнатур из набора, используемого IPS IOS Включение сигнатуры означает, что при срабатывании сигнатуры по пакету или сочетанию факторов будет выполнено связанное с сигнатурой действие Необходимо помнить, что действующими являются только включенные И успешно скомпилированные И разблокированные сигнатуры. Иными словами, если сигнатура заблокирована, то даже при ее включении она не будет скомпилирована (поскольку она заблокирована), и связанное с сигнатурой действие не будет выполнено Выключение сигнатуры означает, что при срабатывании сигнатуры по пакету или сочетанию факторов НЕ БУДЕТ выполняться связанное с сигнатурой действие Иными словами, если сигнатура выключена, то даже если она разблокирована и успешно скомпилирована, связанное с сигнатурой действие не будет выполнено Для включения и выключения отдельных сигнатур и целых категорий сигнатур может использоваться как интерфейс командной строки (CLI), так и SDM/CCP

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 81 Неверное толкование терминов, используемых для описания состояния сигнатур (продолж.) Compiled и Loaded (скомпилировано и загружено) Загрузка означает процесс анализа IPS IOS файлов сигнатур (файлов XML в расположении config) и заполнения БД сигнатур Это происходит при загрузке сигнатур с помощью команды "copy idconf" или при перезагрузке маршрутизатора с настроенной IPS IOS Компиляция означает процесс компиляции значений параметров разблокированных сигнатур в таблицу регулярных выражений Это происходит при разблокировании сигнатур или при изменении других параметров сигнатур, используемых в регулярных выражениях После компиляции сигнатур анализ трафика выполняется путем сопоставления пакетов со скомпилированными сигнатурами

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 82 Ошибки выделения памяти при компиляции сигнатур Число сигнатур, которое можно скомпилировать, определяется объемом свободной памяти маршрутизатора. Если объем свободной памяти маршрутизатора недостаточно велик, сообщения о сбое при выделении памяти будут занесены в журнал. Для анализа трафика используются скомпилированные сигнатуры. После сбоя при выделении памяти компиляция сигнатур для текущего ядра будет прервана. IPS IOS перейдет к компиляции сигнатур для следующего ядра. *Mar 18 07:09:36.887: %SYS-2-MALLOCFAIL: Memory allocation of bytes failed from 0x400C1024, alignment 0 Pool: Processor Free: Cause: Memory fragmentation Alternate Pool: None Free: 0 Cause: No Alternate pool -Process= "Exec", ipl= 0, pid= 3, -Traceback= 0x4164F41C 0x400AEF1C 0x400B4D58 0x400B52C4 0x400C102C 0x400C0820 0x400C23EC 0x400C0484 0x424C1DEC 0x424C2A4C 0x424C2FF0 0x424C31A0 0x430D6ECC 0x430D7864 0x430F0210 0x430FA0E8 *Mar 18 07:09:36.911: %SYS-2-CHUNKEXPANDFAIL: Could not expand chunk pool for regex. No memory available - Process= "Chunk Manager", ipl= 3, pid= 1, -Traceback= 0x4164F41C 0x400C06FC *Mar 18 07:09:37.115: %IPS-4-SIGNATURE_COMPILE_FAILURE: service-http 12024:0 - compilation of regular expression failed *Mar 18 07:09:41.535: %IPS-4-SIGNATURE_COMPILE_FAILURE: service-http 5280:0 - compilation of regular expression failed *Mar 18 07:09:44.955: %IPS-4-SIGNATURE_COMPILE_FAILURE: service-http 5284:0 - compilation of regular expression failed *Mar 18 07:09:44.979: %IPS-4-SIGNATURE_COMPILE_FAILURE: service-http 12023:0 - compiles discontinued for this engine

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 83 Ошибки выделения памяти при компиляции сигнатур решение Заранее определенные категории сигнатур IPS IOS Basic и Advanced содержат оптимальный набор сигнатур для всех конфигураций со стандартным объемом памяти Не следует разблокировать категорию all Для маршрутизаторов с объемом памяти 128 Мбайт рекомендуется использовать категорию IPS IOS Basic Для маршрутизаторов с объемом памяти 256 Мбайт рекомендуется использовать категорию IPS IOS Advanced Затем можно настроить набор сигнатур путем блокировки/разблокирования нескольких сигнатур в нужное время Объем свободной памяти необходимо контролировать после выполнения каждой операции, связанной с блокировкой/разблокированием сигнатур

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 84 Общее число сигнатур, которое можно успешно скомпилировать Универсальной формулы не существует! Это число зависит от многих факторов: Объем свободной памяти маршрутизатора Типы разблокируемых сигнатур, например сигнатуры сложного ядра STRING.TCP Разблокирование сигнатур следует немедленно прекращать, как только объем свободной памяти маршрутизатора станет составлять менее 10% от общего объема памяти маршрутизатора

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 85 Сбой при компиляции сигнатуры Существуют три основные причины сбоев при компиляции сигнатур Ограничения по объему памяти Отсутствие поддержки сигнатур в IPS IOS: сигнатуры META Слишком большой объем таблицы регулярных выражений (таблица для конкретного ядра не должна превышать 32 Мбайт) Список сигнатур, поддерживаемых IPS IOS: 586/ps6634/prod_white_paper0900aecd8062ac75.html Для экономии памяти следует блокировать сигнатуры, которые не поддерживаются IPS IOS или не применимы к вашей сети

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 86 Этапы настройки Выполняйте начальную настройку IPS Cisco IOS в следующем порядке: Шаг 1. Загрузите пакет сигнатур IPS IOS на ПК Шаг 2. Создайте конфигурационный каталог IPS IOS Шаг 3. Настройте криптографический ключ IPS IOS Шаг 4. Создайте политику IPS IOS и примените ее к интерфейсам Не забудьте СРАЗУ заблокировать категорию all Шаг 5. Загрузите пакет сигнатур IPS IOS на маршрутизаторе Затем проверьте конфигурацию и количество скомпилированных сигнатур: show ip ips configuration show ip ips signatures count

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 87 Этапы настройки (продолжение) Теперь можно выполнить тонкую настройку набора сигнатур, используя следующие варианты: Блокировка/разблокирование сигнатур (добавление/удаление сигнатур из списка скомпилированных) Включение/выключение сигнатур (разрешение/запрет действий) Изменение действий, связанных с сигнатурами Краткое руководство по началу работы: 586/ps6634/prod_white_paper0900aecd805c4ea8.html

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 88 Политика IPS IOS применяется к неверному направлению/интерфейсу неверная конфигурация Главный офис Серверы приложений ПК в главном офисе Web-кластеры Филиал Cisco 28xx Cisco 18xx IPSec-туннель ПК/ноутбуки в филиале Интернет-трафик Интернет Интерфейс FastEthernet0/0 ip ips ips-policy out Черви Внутренняя сеть Внешняя сеть Политика применена в неверном направлении FE0/0FE0/1 Пример A: проблема Защита от атак из внутренней сети

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 89 Защита от атак из внутренней сети Политика IPS IOS применяется к неверному направлению/интерфейсу решение Главный офис Серверы приложений ПК в главном офисе Web-кластеры Филиал Cisco 28xx Cisco 18xx IPSec-туннель ПК/ноутбуки в филиале Интернет-трафик Интернет Интерфейс FastEthernet0/0 ip ips ips-policy in Черви Внутренняя сеть Внешняя сеть FE0/0FE0/1 Политика применена в верном направлении Пример A: решение

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 90 Политика IPS IOS применяется к неверному направлению/интерфейсу неверная конфигурация Главный офис Серверы приложений ПК в главном офисе Web-кластеры Филиал Cisco 28xx Cisco 18xx IPSec-туннель ПК/ноутбуки в филиале Интернет-трафик Интернет ДМЗ атаки Интерфейс FastEthernet0/1 ip ips ips-policy out Внутренняя сеть Внешняя сеть FE0/0FE0/1 Политика применена в неверном направлении Пример В: проблема Защита от атак из внешней сети

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 91 Политика IPS IOS применяется к неверному направлению/интерфейсу решение Главный офис Серверы приложений ПК в главном офисе Web-кластеры Филиал Cisco 28xx Cisco 18xx IPSec-туннель Интернет-трафик Интернет ДМЗ атаки Интерфейс FastEthernet0/1 ip ips ips-policy in Внешняя сеть ПК/ноутбуки в филиале Внутренняя сеть FE0/0FE0/1 Политика применена в верном направлении Пример В: решение Защита от атак из внешней сети

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 92 Несрабатывание сигнатуры при соответствующем ей трафике Убедитесь, что средства анализа IPS IOS используются в нужном направлении (входящий/исходящий) на нужном интерфейсе Включены ли уведомления о событиях IPS IOS (syslog/SDEE)? Есть ли сигналы/уведомления, подтверждающие соответствие сигнатуре? Необходимо убедиться, что трафик вызывает срабатывание сигнатуры Для контроля количества срабатываний сигнатуры используйте команду show ip ips signatures statistics | i Выполните команду debug: debug ip ips debug ip ips detailed debug ip ips function-trace (если две предыдущих команды не позволили получить нужную информацию)

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 93 Трафик, соответствующий сигнатуре, обнаруживается, но не удаляется по умолчанию В выпусках пакетов сигнатур в формате версии 4.x (т. е., до версии IOS 12.4(11)T) в прекомпилированных файлах сигнатур (128/256MB.sdf) версии 5 и более ранних версий для сигнатур с рейтингом риска (RR) не меньше 95 по умолчанию задано удаление пакетов Эта настройка действия по умолчанию вызвала нарекания со стороны ряда активных пользователей Для обеспечения согласованности с работой автономного устройства Cisco IPS с версии 6 прекомпилированных файлов пакетов сигнатур (128/256MB.sdf) для таких сигнатур установлено действие по молчанию produce-alert В выпуске IOS 12.4(11)T и более поздних выпусках (формат сигнатур версии 5.x) для сигнатур IPS IOS установлено действие по умолчанию produce-alert

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 94 Удаление пакетов на МСЭ в связи с рассинхронизацией соединения После включения IPS время отклика систем, использующих web-трафик, может увеличиться. Проверьте, не поступают ли от маршрутизатора syslog-сообщения об удалении пакетов *Jan 6 19:08:45.507: %FW-6-DROP_PKT: Dropping tcp pkt :1090 => :443 *Jan 6 19:09:47.303: %FW-6-DROP_PKT: Dropping tcp pkt :1091 => :443 *Jan 6 19:13:38.223: %FW-6-DROP_PKT: Dropping tcp pkt :80 => :1100 *Jan 6 19:15:28.931: CBAC* sis 84062FEC L4 inspectresult: SKIP packet 83A6F83C ( :443) ( :1118) bytes 174 ErrStr = Out-Of-OrderSegment tcp *Jan 6 19:15:28.931: CBAC* sis 84062FEC pak 83A6FF64SIS_OPEN/ESTAB TCP ACK SEQ LEN 0 ( :1118) => ( :443) *Jan 6 19:15:28.931: CBAC* sis 84062FEC pak 83A6F83CSIS_OPEN/ESTAB TCP ACK SEQ LEN 1317 ( :443)

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 95 Удаление пакетов на МСЭ в связи с рассинхронизацией соединения решение Для анализа трафика с использованием сигнатур IPS необходимо своевременное получение пакетов в нужном порядке, поэтому пакеты, поступающие с нарушением порядка следования удаляются; это одна из причин увеличения времени отклика IPS IOS поддерживает обработку пакетов, прибывших с нарушением порядка следования, начиная с выпуска 12.4(9)T2 Эта ошибка не исправлена в выпусках 12.4, принадлежащих к основной линии Исправление Out-of-Order также распространяется на МСЭ уровня приложений Исправление Out-of-order НЕ распространяется на случай, когда интерфейс IPS IOS включен в зону МСЭ на основе политик зон Исправление Out-of-order работает при использовании IPS IOS и классического МСЭ IOS (ip inspect) При использовании выпуска, в котором отсутствует данное исправление, для устранения неполадки можно использовать ACL для направления потока трафика в обход IPS IOS В этом примере ACL 120 запрещает весь трафик и предотвращает анализ трафика с использованием IPS; в этом случае не будут возникать задержки при передаче трафика router(config)#access-list 120 deny ip any host router(config)#access-list 120 deny ip host any router(config)#access-list 120 permit ip any any router(config)#ip ips name myips list 120 Удаление пакетов на МСЭ в связи с рассинхронизацией TCP-соединения может замедлить сетевой трафик

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 96 План презентации Обзор маршрутизаторов ISR G2 Устранение неполадок межсетевого экрана Cisco IOS Устранение неполадок системы предотвращения вторжений Cisco IOS Обзор IPS Cisco IOS Обработка пакетов Устранение неполадок Типовые неполадки и способы их устранения Резюме

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 97 Резюме Используйте "Краткое руководство по началу работы" в качестве справочника для проверки правильности конфигурации IPS IOS. Не забывайте в начале ЗАБЛОКИРОВАТЬ ВСЕ сигнатуры. ip ips signature-category category all retired true Следуйте рекомендациям по использованию предопределенной категории IPS IOS Basic или Advanced и последующей настройке этой категории Команды IPS Cisco IOS show являются эффективным средством устранения неполадок Ссылка на документацию по IPS Cisco IOS:

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 98 Дополнительная информация

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 99 Документация по средствам безопасности Cisco IOS Средства безопасности маршрутизаторов Справочник по командам Cisco IOS, связанным с обеспечением безопасности ference_chapter09186a00801a7f84.html#wp Межсетевой экран Cisco IOS IPS Cisco IOS Cisco Configuration Professional (CCP)

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 100 Ваши вопросы?

© 2010 Cisco Systems, Inc. All rights reserved. Cisco Partner G2_Sec_TSHOOT 101