Cisco Network Security - ZPF
1. Modele konfiguracji zapory sieciowej Cisco IOS:
2. Główne motywacje dla specjalistów ds. bezpieczeństwa sieciowego do przejścia na model ZPF to jego struktura i łatwość użycia. Strukturalne podejście jest przydatne do tworzenia dokumentacji i komunikacji. Łatwość użycia sprawia, że implementacje bezpieczeństwa sieciowego są dostępne dla szerszej grupy specjalistów ds. bezpieczeństwa.
ZPF ma wiele korzyści:
3. Projektowanie ZPF obejmuje kilka kroków:
- Klasyczna Zapora - tradycyjny model konfiguracji, w którym polityka zapory sieciowej jest stosowana na interfejsach.
- Zapora Polityki Strefowej (ZPF) - model konfiguracji, w którym interfejsy są przypisywane do stref bezpieczeństwa, a polityka zapory sieciowej jest stosowana do ruchu przechodzącego między strefami.
2. Główne motywacje dla specjalistów ds. bezpieczeństwa sieciowego do przejścia na model ZPF to jego struktura i łatwość użycia. Strukturalne podejście jest przydatne do tworzenia dokumentacji i komunikacji. Łatwość użycia sprawia, że implementacje bezpieczeństwa sieciowego są dostępne dla szerszej grupy specjalistów ds. bezpieczeństwa.
ZPF ma wiele korzyści:
- Nie zależy od list ACL.
- Zasada bezpieczeństwa routera polega na blokowaniu, chyba że jest wyraźnie zezwolone.
- Polityki są łatwe do odczytania i rozwiązywania problemów za pomocą języka polityki klasyfikacji Cisco Common (C3PL). C3PL to metoda strukturalna tworzenia polityk ruchu opartych na zdarzeniach, warunkach i działaniach. Dzięki temu skalowalność jest większa, ponieważ jedna polityka wpływa na dowolny ruch, zamiast potrzeby wielu list ACL i działań inspekcji dla różnych typów ruchu.
- Interfejsy wirtualne i fizyczne mogą być grupowane w strefy.
- Polityki są stosowane do ruchu jednokierunkowego między strefami.
3. Projektowanie ZPF obejmuje kilka kroków:
- Określ strefy - Administrator dzieli sieć na strefy, które ustanawiają granice bezpieczeństwa sieci.
- Ustanów polityki między strefami - Dla każdej pary “strefa źródłowa-strefa docelowa”, zdefiniuj sesje, które klienci w strefach źródłowych mogą żądać od serwerów w strefach docelowych.
- Projektuj infrastrukturę fizyczną - Po zidentyfikowaniu stref i udokumentowaniu wymagań dotyczących ruchu między nimi, administrator projektuje infrastrukturę fizyczną.
- Zidentyfikuj podzbiory w strefach i scal wymagania dotyczące ruchu - Dla każdego urządzenia zapory, administrator identyfikuje podzbiory stref, które są podłączone do jego interfejsów i scala wymagania dotyczące ruchu dla tych stref.
Ważne jest zauważenie, że oba modele konfiguracji, klasyczna zapora sieciowa IOS i ZPF, mogą być równocześnie włączone na routerze, ale nie mogą być łączone na pojedynczym interfejsie.
4. Polityki określają działania, które ZPF podejmie w odniesieniu do ruchu sieciowego. Można skonfigurować trzy możliwe działania do przetwarzania ruchu według protokołu, stref źródłowych i docelowych (par stref) oraz innych kryteriów.- Inspect - Realizuje inspekcję stanową pakietów Cisco IOS.
- Drop - Jest to odpowiednik instrukcji deny na liście ACL. Dostępny jest log, który rejestruje odrzucone pakiety.
- Pass - Jest to odpowiednik instrukcji permit na liście ACL. Działanie pass nie śledzi stanu połączeń ani sesji w ruchu.
5. Przykładowa konfiguracja:
! Krok 1. Utwórz strefy
! Strefy to logiczne grupy interfejsów o podobnym poziomie bezpieczeństwa
! Przykład: strefa wewnętrzna (inside), strefa zewnętrzna (outside) i strefa zdemilitaryzowana (dmz)
zone security inside
zone security outside
zone security dmz
! Krok 2. Zidentyfikuj ruch
! Ruch to strumienie pakietów, które mają być filtrowane lub inspekcjonowane
! Przykład: ruch HTTP, ICMP i POP3
class-map type inspect match-any http-traffic
match protocol http
class-map type inspect match-any icmp-traffic
match protocol icmp
class-map type inspect match-any pop3-traffic
match protocol pop3
! Krok 3. Zdefiniuj akcję
! Akcja to działanie, które ma być podjęte na ruchu pasującym do klasy
! Przykład: akcja inspect, pass lub drop
policy-map type inspect http-policy
class type inspect http-traffic
inspect
class class-default
drop
policy-map type inspect icmp-policy
class type inspect icmp-traffic
inspect
class class-default
drop
policy-map type inspect pop3-policy
class type inspect pop3-traffic
inspect
class class-default
drop
! Krok 4. Zidentyfikuj parę stref i dopasuj do polityki
! Para stref to kierunek ruchu między dwiema strefami
! Przykład: para stref inside-outside, outside-inside, inside-dmz, outside-dmz
zone-pair security inside-outside source inside destination outside
service-policy type inspect http-policy
service-policy type inspect icmp-policy
service-policy type inspect pop3-policy
zone-pair security outside-inside source outside destination inside
service-policy type inspect icmp-policy
zone-pair security inside-dmz source inside destination dmz
service-policy type inspect http-policy
service-policy type inspect icmp-policy
zone-pair security outside-dmz source outside destination dmz
service-policy type inspect http-policy
! Krok 5. Przypisz strefy do interfejsów
! Interfejsy to fizyczne lub logiczne porty routera, które należą do stref
! Przykład: interfejs GigabitEthernet0/0 należy do strefy inside, interfejs GigabitEthernet0/1 należy do strefy outside, a interfejs GigabitEthernet0/2 należy do strefy dmz
interface GigabitEthernet0/0
zone-member security inside
interface GigabitEthernet0/1
zone-member security outside
interface GigabitEthernet0/2
zone-member security dmz