Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00101 007841 11008444 na godz. na dobę w sumie
Cisco PIX. Firewalle - książka
Cisco PIX. Firewalle - książka
Autor: Liczba stron: 544
Wydawca: Helion Język publikacji: polski
ISBN: 83-246-0187-2 Data wydania:
Lektor:
Kategoria: ebooki >> komputery i informatyka >> sieci komputerowe >> cisco
Porównaj ceny (książka, ebook, audiobook).

Kompendium wiedzy na temat zapór sieciowych PIX

Współczesne społeczeństwo jest w dużym stopniu zależne od komunikacji elektronicznej. Bezpieczeństwu informacji krążących w sieci poświęca się coraz więcej uwagi. Najcenniejszymi dobrami przedsiębiorstw stały się informacje zapisane na dyskach twardych. Dane te mają często ogromną wartość i poufny charakter, zatem rosną nakłady na ich ochronę. Stworzenie skutecznej polityki bezpieczeństwa danych to już nie kaprys i snobizm, lecz konieczność. Jednak nawet najlepsze zasady są niewiele warte bez zapór sieciowych.

Książka 'Cisco PIX. Firewalle' zawiera wyczerpujące informacje na temat najnowszej serii zapór sieciowych firmy Cisco opartych na systemie operacyjnym PIX w wersji 7.0. W przejrzysty sposób opisuje funkcję dostępu zdalnego, metody wykorzystywania wirtualnych sieci prywatnych oraz sposoby rozszerzania zasięgu sieci korporacyjnej na pracowników zdalnych, oddziały znajdujące się w innych miastach, partnerów, dostawców i klientów firmy. Znajdziesz w niej także szczegółowy opis wszystkich ulepszeń dodanych do wersji 7.0, takich jak interfejsy oparte na wirtualnych sieciach lokalnych (VLAN), dynamiczny routing OSPF przez VPN, proxy uwierzytelniania HTTPS, obsługa kart przyspieszających VPN (VAC+) i obsługa serwera DHCP na więcej niż jednym interfejsie.

Zabezpiecz sieć, stosując najlepsze narzędzia.

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

IDZ DO IDZ DO PRZYK£ADOWY ROZDZIA£ PRZYK£ADOWY ROZDZIA£ SPIS TREŒCI SPIS TREŒCI KATALOG KSI¥¯EK KATALOG KSI¥¯EK KATALOG ONLINE KATALOG ONLINE ZAMÓW DRUKOWANY KATALOG ZAMÓW DRUKOWANY KATALOG TWÓJ KOSZYK TWÓJ KOSZYK DODAJ DO KOSZYKA DODAJ DO KOSZYKA CENNIK I INFORMACJE CENNIK I INFORMACJE ZAMÓW INFORMACJE ZAMÓW INFORMACJE O NOWOŒCIACH O NOWOŒCIACH ZAMÓW CENNIK ZAMÓW CENNIK CZYTELNIA CZYTELNIA FRAGMENTY KSI¥¯EK ONLINE FRAGMENTY KSI¥¯EK ONLINE Wydawnictwo Helion ul. Chopina 6 44-100 Gliwice tel. (32)230-98-63 e-mail: helion@helion.pl Cisco PIX. Firewalle Autor: zepó³ autorów T³umaczenie: Adam Jarczyk ISBN: 83-246-0187-2 Tytu³ orygina³u: Cisco PIX Firewalls: Configure, Manage, Troubleshoot Format: B5, stron: 544 Kompendium wiedzy na temat zapór sieciowych PIX (cid:127) Tworzenie ró¿nych kontekstów zabezpieczeñ (cid:129) Nowe mo¿liwoœci Cisco PIX Security Appliance Software w wersji 7.0 (cid:129) Reagowanie na ataki i ochrona przed nimi Wspó³czesne spo³eczeñstwo jest w du¿ym stopniu zale¿ne od komunikacji elektronicznej. Bezpieczeñstwu informacji kr¹¿¹cych w sieci poœwiêca siê coraz wiêcej uwagi. Najcenniejszymi dobrami przedsiêbiorstw sta³y siê informacje zapisane na dyskach twardych. Dane te maj¹ czêsto ogromn¹ wartoœæ i poufny charakter, zatem rosn¹ nak³ady na ich ochronê. Stworzenie skutecznej polityki bezpieczeñstwa danych to ju¿ nie kaprys i snobizm, lecz koniecznoœæ. Jednak nawet najlepsze zasady s¹ niewiele warte bez zapór sieciowych. Ksi¹¿ka „Cisco PIX. Firewalle” zawiera wyczerpuj¹ce informacje na temat najnowszej serii zapór sieciowych firmy Cisco opartych na systemie operacyjnym PIX w wersji 7.0. W przejrzysty sposób opisuje funkcjê dostêpu zdalnego, metody wykorzystywania wirtualnych sieci prywatnych oraz sposoby rozszerzania zasiêgu sieci korporacyjnej na pracowników zdalnych, oddzia³y znajduj¹ce siê w innych miastach, partnerów, dostawców i klientów firmy. Znajdziesz w niej tak¿e szczegó³owy opis wszystkich ulepszeñ dodanych do wersji 7.0, takich jak interfejsy oparte na wirtualnych sieciach lokalnych (VLAN), dynamiczny routing OSPF przez VPN, proxy uwierzytelniania HTTPS, obs³uga kart przyspieszaj¹cych VPN (VAC+) i obs³uga serwera DHCP na wiêcej ni¿ jednym interfejsie. (cid:129) Typy zapór sieciowych (cid:129) Zasada dzia³ania zapory sieciowej (cid:129) Opisy firewalli z serii CiscoPIX (cid:129) Obs³uga poprzez interfejs konfiguracyjny (cid:129) Instalacja i korzystanie z ASDM (cid:129) Wykrywanie w³amañ (cid:129) Konfiguracja us³ug firewalli CiscoPIX (cid:129) Zarz¹dzanie zapor¹ sieciow¹ PIX (cid:129) Konfiguracja mechanizmów VPN (cid:129) Monitorowanie wydajnoœci firewalla Zabezpiecz sieæ, stosuj¹c najlepsze narzêdzia Podziękowania .................................................................................. 9 O autorach ..................................................................................... 11 Redaktor merytoryczny i autor przedmowy .....................................................................11 Współautorzy ...................................................................................................................12 Recenzent merytoryczny i współautor .............................................................................14 Przedmowa ..................................................................................... 15 Rozdział 1. Bezpieczeństwo i zapory sieciowe — wprowadzenie ......................... 17 Wprowadzenie ..................................................................................................................17 Znaczenie bezpieczeństwa ...............................................................................................18 Co oznacza bezpieczeństwo informacji? ...................................................................18 Wczesne lata bezpieczeństwa informacji ...................................................................20 Brak zabezpieczeń i Internet ......................................................................................21 Zagrożenie rośnie .......................................................................................................21 Ataki ...........................................................................................................................22 Tworzenie zasad bezpieczeństwa .....................................................................................24 Cisco Wheel .....................................................................................................................27 Zabezpieczenie środowiska .......................................................................................28 Monitorowanie działań ..............................................................................................29 Testowanie bezpieczeństwa .......................................................................................30 Poprawa bezpieczeństwa ...........................................................................................32 Pojęcia związane z zaporami sieciowymi ..........................................................................32 Czym jest zapora sieciowa? .......................................................................................32 Typy zapór sieciowych ..............................................................................................34 Połączenia przychodzące i wychodzące ....................................................................37 Interfejsy zapory sieciowej: wewnętrzne, zewnętrzne i DMZ ...................................38 Zasady zapór sieciowych ...........................................................................................41 Translacja adresów .....................................................................................................41 Wirtualne sieci prywatne ...........................................................................................44 Certyfikaty Cisco ..............................................................................................................46 Cisco Firewall Specialist ............................................................................................46 Cisco Certified Security Professional ........................................................................47 Cisco Certified Internetwork Expert Security ............................................................48 Egzamin CSPFA ........................................................................................................49 Podsumowanie .................................................................................................................52 Rozwiązania w skrócie .....................................................................................................53 Najczęściej zadawane pytania ..........................................................................................55 4 Cisco PIX. Firewalle Rozdział 2. Zapory sieciowe PIX — wprowadzenie ............................................. 57 Wprowadzenie ..................................................................................................................57 Cisco PIX 7.0 ...................................................................................................................58 Najważniejsze zmiany w Cisco PIX 7.0 ....................................................................59 Co nowego w PIX 7.0? ....................................................................................................60 Wybrane polecenia dodane do wersji PIX 7.0 .................................................................60 Polecenia zmodyfikowane ................................................................................................61 Z którymi poleceniami się pożegnaliśmy? .......................................................................61 Funkcje zapór sieciowych PIX .........................................................................................62 Wbudowany system operacyjny ................................................................................62 ASA — Adaptive Security Algorithm .......................................................................63 Obsługa zaawansowanych protokołów ......................................................................72 Obsługa VPN .............................................................................................................74 Filtrowanie URL ........................................................................................................74 Translacja adresów .....................................................................................................75 Urządzenia PIX ................................................................................................................76 Modele .......................................................................................................................76 Licencjonowanie i aktualizacje oprogramowania ............................................................79 Licencjonowanie ........................................................................................................80 Aktualizacja oprogramowania ...................................................................................81 Dostęp administracyjny .............................................................................................88 Odzyskiwanie haseł ...................................................................................................92 Interfejs wiersza poleceń ............................................................................................93 Konfiguracja interfejsów ...........................................................................................97 Zarządzanie konfiguracjami .....................................................................................101 Inicjalizacja obrazów ...............................................................................................105 Ustawienia fabryczne konfiguracji ..........................................................................106 IPv6 ................................................................................................................................109 Różnice pomiędzy IPv4 i IPv6 ................................................................................109 Adresy IPv6 .............................................................................................................110 Przestrzeń adresów IPv6 ..........................................................................................112 Podstawy adresowania IPv6 ....................................................................................113 Podsumowanie ...............................................................................................................115 Rozwiązania w skrócie ...................................................................................................118 Pytania i odpowiedzi ......................................................................................................119 Rozdział 3. Działanie zapory sieciowej PIX ...................................................... 121 Wprowadzenie ................................................................................................................121 Konteksty bezpieczeństwa .............................................................................................122 Absolutne minimum: ruch wychodzący .........................................................................124 Konfiguracja dynamicznej translacji adresów .........................................................125 Blokowanie ruchu wychodzącego (definiowanie ACL) ..........................................129 Otwarcie dostępu do sieci z zewnątrz ............................................................................136 Statyczna translacja adresów ...................................................................................137 Listy dostępu ............................................................................................................139 Wyjściowe ACL (nowe) .................................................................................................143 Czasowe ACL (nowe) ....................................................................................................145 Kontrola NAT (nowe) ....................................................................................................147 Omijanie NAT ................................................................................................................148 Tożsamościowa NAT ...............................................................................................148 Wyjątki NAT ...........................................................................................................148 Statyczna tożsamościowa NAT ...............................................................................149 Policy NAT ....................................................................................................................150 Spis treści 5 Grupowanie obiektów ....................................................................................................152 Konfiguracja i korzystanie z grup obiektów ............................................................152 TurboACL ................................................................................................................155 Polecenia conduit i outbound ...................................................................................156 Studium przypadku ........................................................................................................156 Podsumowanie ...............................................................................................................161 Rozwiązania w skrócie ...................................................................................................163 Pytania i odpowiedzi ......................................................................................................164 Rozdział 4. Adaptive Security Device Manager ................................................ 167 Wprowadzenie ................................................................................................................167 Funkcje, ograniczenia i wymogi ....................................................................................168 Obsługiwane wersje sprzętu i oprogramowania PIX ...............................................169 Ograniczenia ASDM ................................................................................................170 Instalacja, konfiguracja i uruchomienie ASDM .............................................................171 Przygotowania do instalacji .....................................................................................172 Instalacja lub aktualizacja ASDM ...........................................................................172 Włączanie i wyłączanie ASDM ...............................................................................175 Uruchomienie ASDM ..............................................................................................176 Konfiguracja zapory sieciowej PIX przy użyciu ASDM ...............................................186 Korzystanie z kreatora Startup Wizard ....................................................................187 Konfiguracja właściwości systemu ..........................................................................191 Konfiguracja VPN za pomocą ASDM ...........................................................................214 Konfiguracja łączy VPN pomiędzy lokalizacjami za pomocą ASDM ....................215 Konfiguracja łącza VPN do dostępu zdalnego za pomocą ASDM ..........................219 Podsumowanie ...............................................................................................................227 Rozwiązania w skrócie ...................................................................................................227 Pytania i odpowiedzi ......................................................................................................228 Rozdział 5. Inspekcja aplikacji ........................................................................ 231 Wprowadzenie ................................................................................................................231 Nowe funkcje PIX 7.0 ....................................................................................................232 Obsługa i zabezpieczanie protokołów ............................................................................233 TCP, UDP i ICMP w zaporach sieciowych PIX ......................................................234 Inspekcja protokołów warstwy aplikacji ...........................................................................235 Definiowanie klasy ruchu ........................................................................................235 Kojarzenie klasy ruchu z czynnością .......................................................................240 Dostosowanie parametrów inspekcji aplikacji .........................................................241 Wprowadzenie inspekcji na interfejsie ....................................................................241 Inspekcja HTTP .......................................................................................................246 Inspekcja FTP ..........................................................................................................247 Inspekcja ESMTP ....................................................................................................250 Inspekcja ICMP .......................................................................................................251 Protokoły do przesyłania głosu i wideo ...................................................................253 Podsumowanie ...............................................................................................................255 Rozwiązania w skrócie ...................................................................................................255 Pytania i odpowiedzi ......................................................................................................256 Rozdział 6. Filtrowanie, wykrywanie włamań i reagowanie na ataki .................. 259 Wprowadzenie ................................................................................................................259 Filtrowanie komunikacji WWW i FTP ..........................................................................260 Filtrowanie URL ......................................................................................................260 Filtrowanie aktywnego kodu ....................................................................................268 Wykrywanie ataków TCP i reagowanie na nie ........................................................270 6 Cisco PIX. Firewalle Wykrywanie włamań przez PIX ....................................................................................272 Obsługiwane sygnatury ............................................................................................273 Konfiguracja wykrywania włamań i inspekcji ........................................................275 Wyłączanie sygnatur ................................................................................................277 Konfiguracja unikania ..............................................................................................278 Reagowanie na ataki i ograniczanie skutków ................................................................278 Wprowadzanie limitów fragmentacji .......................................................................279 SYN FloodGuard .....................................................................................................280 Zapobieganie fałszowaniu IP ...................................................................................281 Inne metody zapobiegania, ograniczania skutków i reagowania na ataki w systemie PIX ......................................................................................................282 Podsumowanie ...............................................................................................................285 Rozwiązania w skrócie ...................................................................................................285 Pytania i odpowiedzi ......................................................................................................287 Rozdział 7. Usługi .......................................................................................... 289 Wprowadzenie ................................................................................................................289 Funkcjonalność DHCP ...................................................................................................289 Serwery DHCP .........................................................................................................290 Przekaźnik DHCP ....................................................................................................292 Klienty DHCP ..........................................................................................................292 PPPoE .............................................................................................................................294 EasyVPN ........................................................................................................................296 Serwer EasyVPN .....................................................................................................296 Zapory sieciowe PIX i routing .......................................................................................297 Routing pojedynczej emisji ......................................................................................297 RIP ...........................................................................................................................298 OSPF ........................................................................................................................300 NAT jako mechanizm routingu ...............................................................................300 Routing multiemisji .................................................................................................301 BGP przez zaporę sieciową PIX ..............................................................................303 Kolejkowanie i ograniczanie ruchu ................................................................................303 Podsumowanie ...............................................................................................................304 Rozwiązania w skrócie ...................................................................................................304 Pytania i odpowiedzi ......................................................................................................306 Rozdział 8. Konfiguracja uwierzytelniania, autoryzacji i rozliczania ................... 307 Wprowadzenie ................................................................................................................307 Polecenia nowe i zmienione w wersji 7.0 ................................................................308 Pojęcia związane z AAA ................................................................................................309 Uwierzytelnianie ......................................................................................................311 Autoryzacja ..............................................................................................................312 Rozliczanie ...............................................................................................................313 Protokoły zabezpieczeń AAA ..................................................................................313 Serwery AAA .................................................................................................................319 Konfiguracja uwierzytelniania konsoli ..........................................................................320 Konfiguracja uwierzytelniania lokalnego ................................................................321 Konfiguracja autoryzacji poleceń ...................................................................................325 Konfiguracja lokalnej autoryzacji poleceń ..............................................................326 Konfiguracja uwierzytelniania konsoli w usługach RADIUS i TACACS+ ..................327 Konfiguracja autoryzacji poleceń w usłudze TACACS+ ........................................330 Konfiguracja uwierzytelniania dla ruchu przechodzącego przez zaporę sieciową ............333 Konfiguracja proxy typu cut-through ......................................................................333 Wirtualny HTTP ......................................................................................................336 Wirtualny Telnet ......................................................................................................338 Spis treści 7 Konfiguracja autoryzacji dla ruchu przechodzącego przez zaporę sieciową .................339 Konfiguracja rozliczania dla ruchu przechodzącego przez zaporę sieciową .................340 Podsumowanie ...............................................................................................................341 Rozwiązania w skrócie ...................................................................................................342 Pytania i odpowiedzi ......................................................................................................344 Rozdział 9. Zarządzanie zaporą sieciową PIX ................................................... 347 Wprowadzenie ................................................................................................................347 Konfiguracja rejestrowania zdarzeń ...............................................................................348 Poziomy rejestrowania zdarzeń ...............................................................................349 Komunikaty syslog zarzucone i zmienione w porównaniu z wersją 6.x .................350 Źródła komunikatów ................................................................................................356 Rejestrowanie lokalne ..............................................................................................357 Rejestrowanie zdalne przez syslog ..........................................................................358 Wyłączanie wybranych komunikatów .....................................................................363 Konfiguracja dostępu zdalnego ......................................................................................364 SSH ..........................................................................................................................365 Telnet .......................................................................................................................371 Konfiguracja protokołu SNMP ......................................................................................373 Konfiguracja identyfikacji systemu .........................................................................374 Konfiguracja odpytywania .......................................................................................375 Konfiguracja pułapek ...............................................................................................377 Zarządzanie SNMP w systemie PIX ........................................................................377 Konfiguracja systemowego czasu i daty ........................................................................378 Ustawienie i weryfikacja zegara i strefy czasowej ..................................................379 Konfiguracja i weryfikacja NTP ..............................................................................381 Zarządzenie Cisco PIX za pomocą ASDM ..............................................................385 Podsumowanie ...............................................................................................................387 Rozwiązania w skrócie ...................................................................................................388 Pytania i odpowiedzi ......................................................................................................390 Rozdział 10. Konfiguracja wirtualnych sieci prywatnych ..................................... 391 Wprowadzenie ................................................................................................................391 Co nowego w PIX 7.0? ..................................................................................................392 Pojęcia IPsec ............................................................................................................393 Konfiguracja VPN pomiędzy lokalizacjami ..................................................................404 Dostęp zdalny — konfiguracja Cisco Software VPN Client .........................................421 Włączenie IKE i tworzenie pakietu zabezpieczeń ISAKMP ...................................422 Definiowanie zestawu przekształceń .......................................................................422 Mapy kryptografii ....................................................................................................422 Grupy tuneli i zasady grup .......................................................................................423 Konfiguracja puli adresów .......................................................................................424 Tunelowanie dzielone ..............................................................................................424 Problemy z NAT ......................................................................................................425 Uwierzytelnianie w usługach RADIUS, TACACS+, SecurID lub Active Directory .....425 Automatyczna aktualizacja klientów .......................................................................426 Konfiguracja wymogu zapory sieciowej u klienta ...................................................427 Przykładowe konfiguracje PIX i klientów VPN ......................................................427 Podsumowanie ...............................................................................................................430 Rozwiązania w skrócie ...................................................................................................431 Pytania i odpowiedzi ......................................................................................................432 8 Cisco PIX. Firewalle Rozdział 11. Konfiguracja failover ..................................................................... 435 Wprowadzenie ................................................................................................................435 Pojęcia w technice failover ............................................................................................436 Wymogi ....................................................................................................................436 Tryby aktywny-pasywny i aktywny-aktywny .........................................................437 Łącze failover ...........................................................................................................438 Failover z zachowaniem stanu .................................................................................440 Wykrywanie awarii ..................................................................................................441 Konfiguracja synchronizacji i replikacji poleceń ....................................................442 Używane adresy IP i MAC ......................................................................................443 Konfiguracja i monitorowanie .......................................................................................445 Konfiguracja i monitorowanie failover aktywny-pasywny z użyciem łącza szeregowego ..........................................................................................................445 Konfiguracja i monitorowanie failover aktywny-pasywny z użyciem LAN ...........451 Konfiguracja failover aktywny-aktywny z użyciem łącza szeregowego .................454 Konfiguracja failover aktywny-aktywny z użyciem LAN .......................................455 Zaawansowane sterowanie i konfiguracje failover ........................................................455 Wymuszanie failover ...............................................................................................456 Wyłączenie failover .................................................................................................456 Uwierzytelnianie i szyfrowanie failover ..................................................................456 Replikacja HTTP .....................................................................................................457 Parametry wykrywania awarii .................................................................................457 Blokowanie failover .................................................................................................459 Podsumowanie ...............................................................................................................459 Rozwiązania w skrócie ...................................................................................................460 Pytania i odpowiedzi ......................................................................................................462 Rozdział 12. Rozwiązywanie problemów i monitorowanie wydajności .................. 463 Wprowadzenie ................................................................................................................463 Rozwiązywanie problemów ze sprzętem i okablowaniem ............................................465 Rozwiązywanie problemów sprzętowych z PIX .....................................................466 Rozwiązywanie problemów z okablowaniem PIX ..................................................476 Rozwiązywanie problemów z łącznością .......................................................................479 Sprawdzenie adresowania ........................................................................................480 Kontrola routingu .....................................................................................................482 Kontrola translacji ....................................................................................................486 Kontrola dostępu ......................................................................................................489 Rozwiązywanie problemów z IPsec ...............................................................................491 IKE ...........................................................................................................................492 IPsec .........................................................................................................................495 Rejestrowanie transmisji ................................................................................................498 Wyświetlanie zarejestrowanych pakietów ...............................................................499 Pobieranie zarejestrowanego ruchu .........................................................................500 Monitorowanie i rozwiązywanie problemów z wydajnością .........................................502 Monitorowanie wydajności procesora .....................................................................503 Monitorowanie wydajności pamięci ........................................................................507 Monitorowanie wydajności sieci .............................................................................509 Protokół IDENT a wydajność systemu PIX ............................................................510 Podsumowanie ...............................................................................................................511 Rozwiązania w skrócie ...................................................................................................512 Pytania i odpowiedzi ......................................................................................................514 Skorowidz ..................................................................................... 515 Rozdział 3. W tym rozdziale: t Konteksty bezpieczeństwa t Absolutne minimum: ruch wychodzący t Otwarcie dostępu do sieci z zewnątrz t Wyjściowe ACL (nowe) t Czasowe ACL (nowe) t Kontrola NAT (nowe) t Omijanie NAT t Policy NAT t Grupowanie obiektów t Podsumowanie t Rozwiązania w skrócie t Pytania i odpowiedzi Wprowadzenie Po wyciągnięciu zapory sieciowej PIX z pudełka, podłączeniu, uruchomieniu i skon- figurowaniu podstawowych parametrów systemu, większość administratorów zajmu- jących się zabezpieczeniami najpierw konfiguruje odpowiednie przepuszczanie ruchu (tzn. zgodne z zasadami bezpieczeństwa firmy). Zapora sieciowa blokująca cały ruch jak popadnie nie służy niczemu. Aby odpowiednio zabezpieczała sieć, musi filtrować 122 Cisco PIX. Firewalle ruch w obu kierunkach, przychodzący i wychodzący. Podstawową zasadą konfiguracji zapory sieciowej jest przepuszczanie tylko pożądanego ruchu i blokowanie niechcia- nego. Idea prosta, lecz nie zawsze łatwa w realizacji. Niniejszy rozdział opisuje podstawy niezbędne do przepuszczania ruchu przez zapory sieciowe Cisco PIX. Jedną z najważniejszych podstaw jest translacja adresów, która występuje w dwóch odmianach: statycznej i dynamicznej. Po skonfigurowaniu trans- lacji system PIX będzie automatycznie zezwalał na wszystkie połączenia z interfejsu o wyższym poziomie bezpieczeństwa do interfejsu o niższym poziomie bezpieczeństwa i blokował wszystkie połączenia z interfejsu o niższym poziomie bezpieczeństwa do interfejsu o wyższym poziomie bezpieczeństwa. Aby bardziej szczegółowo kontrolować dostęp, można dopuszczać i blokować określone typy ruchu za pomocą list dostępu. Decyzje o przepuszczaniu i blokowaniu określonych transmisji składają się na reguły zapory sieciowej, zwykle w formie listy dostępu. Niezależnie od tego, czy konfigu- rujemy reguły dla ruchu wychodzącego, czy przychodzącego, proces ogólnie wygląda tak samo: 1. Konfiguracja translacji adresów. 2. Zdefiniowanie listy dostępu i zastosowanie jej do interfejsu. Musimy zapewnić, że użytkownicy będą mieli dostęp do wymaganych usług sieciowych przez zaporę. Musimy też zapewnić dostępność zewnętrznych usług jednej lub wielu społecznościom użytkowników. Wprawdzie proces filtrowania ruchu przychodzącego i wychodzącego wygląda tak samo, lecz szczegóły czynności się różnią. Zapory sieciowe Cisco PIX udostępniają kilka funkcji przydatnych w zarządzaniu ruchem, w tym: t Grupowanie obiektów, upraszczające konfigurację i utrzymanie list dostępu. t Czasowe ACL. t Rejestrowanie zdarzeń list dostępu. t Włączanie i wyłączanie wpisów w ACL. t Kontrola NAT. t NAT dla określonych adresów źródłowych — Policy NAT. W treści niniejszego rozdziału przedstawimy przykłady ilustrujące poszczególne pole- cenia. Opiszemy też złożone studium przypadku, które utrwali wprowadzone pojęcia. Konteksty bezpieczeństwa Czy nie przydałoby się czasem sklonować zaporę sieciową Cisco PIX? Obsłużyć w sieci dwa zupełnie odmienne zestawy zasad bezpieczeństwa, na przykład jeden dla działu finansowego (bardzo restrykcyjny), a drugi dla działu informatycznego (wszystko wolno)? Rozdział 3. ♦ Działanie zapory sieciowej PIX 123 Firma Cisco posłuchała użytkowników i w wersji 7.0 zaimplementowała coś, co otrzy- mało nazwę kontekstów bezpieczeństwa (ang. security contexts). Każdy skonfigurowany kontekst bezpieczeństwa ma własne zasady bezpieczeństwa, interfejsy i obsługiwane funkcje. Oznacza to, że nie wszystkie funkcje zapory sieciowej są obsługiwane w kon- tekstach bezpieczeństwa. Do niedostępnych w przypadku więcej niż jednego kontekstu stosowanego w urządzeniu należą: t protokoły routingu dynamicznego, t VPN, t multiemisje. Gdy system PIX uruchomiony w trybie pojedynczego kontekstu jest konwertowany do trybu wielokontekstowego, we wbudowanej pamięci flash zostaje utworzony nowy plik o nazwie admin.cfg. Jest to domyślny kontekst bezpieczeństwa administratora. Możemy przechowywać dodatkowe konteksty w tej samej pamięci flash lub pobierać je przez system PIX z sieci z użyciem TFTP, FTP lub HTTP(S). Przy konwersji z trybu pojedynczego kontekstu bezpieczeństwa do trybu wielu kon- tekstów bezpieczeństwa oryginalna konfiguracja startowa nie zostaje zapisana, więc podczas pracy z kontekstami bezpieczeństwa należy zawsze wykonywać kopie robocze. Uruchomiona konfiguracja jest wykorzystywana do utworzenia dwóch nowych plików kontekstów bezpieczeństwa. Do przełączenia zapory sieciowej Cisco PIX w tryb wielu kontekstów bezpieczeństwa służy polecenie mode. Opcje dostępne dla tego polecenia są następujące: PIX1(config)# mode ? configure mode commands/options: multiple Multiple mode; mode with security contexts noconfirm Do not prompt for confirmation single Single mode; mode without security contexts PIX1(config)# Przejście z trybu pojedynczego do wielokrotnego wygląda tak: PIX1(config)# mode multiple WARNING: This command will change the behavior of the device WARNING: This command will initiate a Reboot Proceed with change mode? [confirm] Convert the system configuration? [confirm] !! The old running configuration file will be written to flash The admin context configuration will be written to flash The new running configuration f *** *** --- SHUTDOWN NOW --- *** 124 Cisco PIX. Firewalle *** Message to all terminals: *** *** change mode file was written to flash Security context mode: multiple Rebooting... Po potwierdzeniu urządzenie Cisco PIX uruchomi się ponownie, aby włączyć nowy tryb. Możemy potwierdzić stan urządzenia poleceniem show: PIX1# show mode Security context mode: multiple PIX1# Aby powrócić do pojedynczego kontekstu bezpieczeństwa, trzeba skopiować oryginalną konfigurację (zrobiłeś kopię zapasową, prawda?) do pamięci flash: PIX1# copy flash:old_running.cfg startup-config Teraz możemy wrócić do trybu pojedynczego: PIX1(config)# mode single WARNING: This command will change the behavior of the device WARNING: This command will initiate a Reboot Proceed with change mode? [confirm] Absolutne minimum: ruch wychodzący Po ukończeniu wstępnej konfiguracji podstawowym zadaniem jest dopuszczenie ruchu wychodzącego (np. z sieci wewnętrznej do zewnętrznej). Połączenia wychodzące to takie, które odbywają się z interfejsu o wyższym poziomie bezpieczeństwa (np. sieci wewnętrznej organizacji) do interfejsu o niższym poziomie bezpieczeństwa (np. sieci zewnętrznej, takiej jak Internet). Wymaga to albo skonfigurowania translacji adresów, albo jawnego wyłączenia jej. Po skonfigurowaniu translacji adresów, jeśli nie zostały zastosowane żadne listy dostępu, to domyślnie cały ruch wychodzący jest dozwolony. Jest to podstawowa funkcja Adaptive Security Algorithm (ASA) i powód, dla którego poziomy bezpieczeństwa są tak ważne. Ponieważ PIX przeprowadza inspekcje stanu, po nawiązaniu połączenia wychodzącego transmisje powrotne należące do tego połą- czenia są dopuszczane z interfejsu o niższym poziomie bezpieczeństwa do interfejsu o wyższym poziomie bezpieczeństwa. Metoda szczegółowego sterowania ruchem wychodzącym opiera się na: t Skonfigurowaniu dynamicznej translacji adresów. t Zdefiniowaniu listy dostępu i zastosowaniu jej do interfejsu PIX (opcjonalnie). Rozdział 3. ♦ Działanie zapory sieciowej PIX 125 W wersji 7.0 wymóg zdefiniowania zasad translacji adresów przed dopuszczeniem ruchu sieciowego z hostów wewnętrznych do zewnętrznych został wyeliminowany dzięki funkcji kontroli NAT. W nowszych konfiguracjach (np. w nowej instalacji PIX używającej systemu 7.0) reguły translacji nie są wymagane, a funkcja kontroli NAT jest automatycznie wyłączana poleceniem no nat-control. W konfiguracjach aktu- alizowanych (np. istniejąca zapora sieciowa PIX zmodernizowana do wersji 7.0) reguły translacji są wymagane, aby zachować funkcjonalność zdefiniowaną już w konfiguracji, a funkcja kontroli NAT jest automatycznie włączona poleceniem nat-control. Proszę zwrócić uwagę, że kontrola NAT jest czymś innym niż tożsa- mościowa NAT (nat 0). Zobacz podrozdział „Kontrola NAT”. Konfiguracja dynamicznej translacji adresów Translacja adresów jest pierwszym wymogiem przepuszczania ruchu wychodzącego. Polega na mapowaniu przez NAT i (lub) PAT lokalnych adresów IP na globalne. Lo- kalne adresy IP to te, które znajdują się w sieci chronionej przez PIX (np. wewnętrznej sieci organizacji) i często należą do zakresów prywatnych adresów IP. Globalne adresy IP stosowane są w sieci, do której podłączony jest zewnętrzny interfejs PIX, i często są nimi publiczne, routowalne adresy IP. Konfiguracja translacji adresów powoduje konwersję przez PIX lokalnych adresów IP na adresy globalne poprzez odpowiednie podstawienie informacji w pakiecie. Po skonfigurowaniu NAT i (lub) PAT system PIX automatycznie pozwala na przechodzenie w zaporze sieciowej ruchu sieciowego z inter- fejsu o wyższym poziomie bezpieczeństwa do interfejsu o niższym poziomie bezpie- czeństwa (czyli połączeń wychodzących). Oprócz tego PIX dopuszcza ruch powrotny związany z tymi połączeniami wychodzącymi. Konfiguracja NAT/PAT jest procesem złożonym z dwóch kroków: 1. Identyfikacja za pomocą polecenia nat lokalnych adresów, które będą konwertowane. 2. Zdefiniowanie za pomocą polecenia global adresów globalnych, na które będą konwertowane adresy lokalne. Rekordy translacji adresów są nazywane translation slots (xlate) i przechowywane są w tablicy translacji. Do wyświetlenia zawartości tej tablicy służy polecenie show xlate. Licznik czasu xlate monitoruje zawartość tablicy translacji i usuwa rekordy bezczynne od czasu dłuższego niż zdefiniowany limit czasowy. Domyślnie wartość tego limitu wynosi trzy godziny. Można go zmienić poleceniem timeout xlate i zwe- ryfikować poleceniem show running-config timeout xlate. Składnia polecenia nat wygląda następująco: nat (rzeczywisty_int) numer_nat rzeczywisty_ip [maska [dns] [outside] [[tcp] maks_poł_tcp [limit_emb] [norandomseq]]] [udp maks_poł_udp] Opcje i parametry polecenia nat: Parametr rzeczywisty_int wskazuje interfejs będący źródłem transmisji podlegających translacji. Musi być zgodny z nazwą zdefiniowaną dla interfejsu poleceniem nameif. 126 Cisco PIX. Firewalle Parametr nat_id jest liczbą całkowitą z zakresu od 0 do 65 535, która tworzy mapo- wanie pomiędzy lokalnym adresem IP (rzeczywisty_ip), zidentyfikowanym przez polecenie nat, oraz globalnym adresem IP wskazanym przez polecenie global. Iden- tyfikator 0 jest specjalny i służy do oznaczenia, że nie chcemy translacji wskazanych adresów lokalnych: adresy lokalne i globalne są takie same. Parametr maska w połączeniu z rzeczywisty_ip służy do wskazania adresów IP prze- znaczonych do translacji. Użycie opcjonalnego słowa kluczowego dns powoduje translację adresów zawartych w odpowiedziach DNS przy użyciu aktywnych wpisów w tablicy translacji. Opcjonalne słowo kluczowe outside pozwala na translację adre- sów zewnętrznych. Opcjonalne słowo kluczowe tcp pozwala skonfigurować kilka parametrów związanych z TCP. Parametr maks_poł_tcp definiuje maksymalną dopuszczalną liczbę równocze- snych aktywnych połączeń TCP, natomiast limit_emb wskazuje, ile równoczesnych połączeń półotwartych TCP jest dozwolonych. Dla obu wartość domyślna wynosi 0, co oznacza nieograniczoną liczbę połączeń. Zbyt wiele takich połączeń może być wynikiem ataku DoS, którego skutki może zminimalizować wartość limit_emb. Domyślnie podczas translacji adresów zapora sieciowa PIX generuje też losowe numery sekwencyjne segmentów TCP. Użycie opcjonalnego słowa kluczowego norandomseq wyłącza tę funkcję, co może być przydatne (a nawet niezbędne) przy dwukrotnej trans- lacji adresów (np. gdy na trasie komunikacji stosowane są dwie zapory sieciowe), gdzie wielokrotne losowanie numeru nie jest pożądane. Opcjonalne słowo kluczowe udp konfiguruje związany z UDP parametr max_poł_udp, który definiuje maksymalną dozwoloną liczbę równoczesnych aktywnych „połączeń” UDP. Z uwagi na bezstanowy charakter protokołu nie istnieje coś takiego jak „połączenie” UDP. Zapora sieciowa PIX jest stanowa i może zezwalać na ruch powrotny w odpo- wiedzi na datagram UDP. Bezstanowa natura UDP jest też powodem, dla którego nie istnieje parametr limit_emb dla słowa kluczowego udp, jak dla słowa kluczowego tcp. W UDP nie istnieją połączenia półotwarte. Po wskazaniu poleceniem nat lokalnych adresów, które mają podlegać translacji, musimy zdefiniować adresy globalne, na które te adresy lokalne będą konwertowane. Do tego celu służy polecenie global: global (mapowany_int) nat_id {mapowany_ip [-mapowany_ip] [netmask mapowana_maska]]}interface Parametr mapowany_int definiuje interfejs wyjściowy dla ruchu wychodzącego. Parametr nat_id kojarzy jedną lub więcej instrukcji nat z instrukcją global. Parametr mapowany_ip definiuje globalne adresy IP przeznaczone do translacji. Jeśli podamy tylko jeden adres IP, przeprowadzana będzie translacja portów i adresów (PAT). Jeśli wskażemy zakres adresów (przez - mapowany_ip), będzie używana translacja NAT, Rozdział 3. ♦ Działanie zapory sieciowej PIX 127 dopóki będą dostępne adresy globalne. Po wyczerpaniu tej puli przeprowadzana będzie translacja PAT. Słowo kluczowe netmask jest kojarzone z zakresem mapowany_ip w celu zdefiniowa- nia maski podsieci. Wskazuje ona zakres poprawnych adresów globalnych, których może używać PIX, i zapewnia, że urządzenie nie będzie do translacji używać adresów rozgłoszeniowych ani adresów sieci. Jeśli globalny adres IP, który ma zostać użyty, jest przypisany do interfejsu (np. inter- fejsu zewnętrznego PIX), można go wskazać słowem kluczowym interface zamiast parametru mapowany_ip. Użycie poleceń nat i global możemy zilustrować na przykładzie fikcyjnej organizacji. Nasza zmyślona firma Secure Corporation musi połączyć siecią trzy lokalizacje i za- pewnić swoim pracownikom dostęp do Internetu. Firma nie ma własnych publicznych adresów IP i musi w swoich sieciach wewnętrznych używać adresów prywatnych, zdefi- niowanych w RFC 1918. Adresy te nie są routowalne i nie można ich używać w sie- ciach publicznych, np. w Internecie. Secure Corporation używa adresów prywatnych, ponieważ nie chce być zmuszona do zmiany adresowania w przypadku zmiany dostawcy usług internetowych. Dzięki tym adresom firma może zmieniać publiczny adres IP, gdy wymagają tego okoliczności, a wymaga to od niej tylko skojarzenia nowych adresów IP z adresami prywatnymi. Strukturę sieci przedstawia rysunek 3.1. (Uwaga: sieć 192.168.0.0/16 należy do zakresu adresów prywatnych, lecz w niniejszym rozdziale będzie reprezentować przestrzeń publicznych adresów IP. Proszę pamiętać o tym podczas dalszej lektury). Rysunek 3.1. Translacja adresów sieciowych Z rysunku 3.1 wynika, że każdej lokalizacji została przydzielona 24-bitowa sieć z zakresu zdefiniowanego w RFC 1918. Są to odpowiednio sieci 172.16.1.0/24, 172.16.2.0/24 i 172.16.3.0/24. Dostawca usług internetowych do każdej lokalizacji przydzielił 24-bitową podsieć (odpowiednio 192.168.1.0/24, 192.168.2.0/24 i 192.168.3.0/24), która musi być mapowana na zakres adresów prywatnych. Poniższa konfiguracja pozwala na mapowanie do każdego węzła unikatowego publicznego adresu IP, dynamicznie przydzielanego 128 Cisco PIX. Firewalle z puli zdefiniowanej dla każdej lokalizacji. Transmisje, które mają podlegać translacji, są identyfikowane poleceniem nat, a następnie mapowane na pulę publicznych adresów IP, zdefiniowaną poleceniem global: PIX1(config)# nat (inside) 1 172.16.1.0 255.255.255.0 PIX1(config)# global (outside) 1 192.168.1.1-192.168.1.254 netmask 255.255.255.0 PIX1(config)# nat (inside) 2 172.16.2.0 255.255.255.0 PIX1(config)# global (outside) 2 192.168.2.1-192.168.2.254 netmask 255.255.255.0 PIX1(config)# nat (inside) 3 172.16.3.0 255.255.255.0 PIX1(config)# global (outside) 3 192.168.3.1-192.168.3.254 netmask 255.255.255.0 PIX1(config)# exit PIX1# clear xlate Polecenie clear xlate służy do usunięcia zawartości tablicy translacji. Powinno być wykonane po każdej zmianie konfiguracji translacji; w przeciwnym razie ryzyku- jemy pozostawieniem przestarzałych wpisów w tablicy. Należy jednak pamiętać, że to polecenie jednocześnie przerywa wszystkie bieżące połączenia, które korzystały z translacji. Możemy teraz sprawdzić poprawność konfiguracji, używając poleceń show running-config nat i show running-config global: PIX1# show running-config nat nat (inside) 1 172.16.1.0 255.255.255.0 nat (inside) 2 172.16.2.0 255.255.255.0 nat (inside) 3 172.16.3.0 255.255.255.0 PIX1# show running-config global global (outside) 1 192.168.1.1-192.168.1.254 netmask 255.255.255.0 global (outside) 2 192.168.2.1-192.168.2.254 netmask 255.255.255.0 global (outside) 3 192.168.3.1-192.168.3.254 netmask 255.255.255.0 W tym prostym, lecz mało realistycznym przykładzie dostawca usług internetowych przydzielił wystarczająco dużo adresów publicznych, by pozwolić na mapowanie 1:1 pomiędzy adresami lokalnymi i globalnymi. A jak wyglądałaby sytuacja, gdyby do- stawca usług nie dał wystarczającej liczby adresów publicznych? Zmodyfikujmy nasz przykład. Teraz ISP przyznał firmie Secure Corp. pojedynczy zakres adresów sieci 24-bitowej (192.168.1.0/24). Zamiast oddzielnej puli globalnej dla każdej lokalizacji mamy jedną, wspólną pulę, co oznacza, że potrzebna jest PAT. Translacja PAT po- zwala mapować wiele adresów IP na jeden adres, dzięki temu, że obejmuje zarówno adres IP, jak i port źródłowy. Konfiguracja będzie teraz wyglądać następująco: PIX1(config)# nat (inside) 1 172.16.1.0 255.255.255.0 PIX1(config)# nat (inside) 1 172.16.2.0 255.255.255.0 PIX1(config)# nat (inside) 1 172.16.3.0 255.255.255.0 PIX1(config)# global (outside) 1 192.168.1.1-192.168.1.254 netmask 255.255.255.0 PIX1(config)# exit PIX1# clear xlate PAT pozwala na używanie DNS, FTP, HTTP, poczty, RPC, RSH, Telnet, filtrowania URL i wychodzących poleceń traceroute. Nie współpracuje z H.323, buforującymi ser- werami nazw i PPTP. Rozdział 3. ♦ Działanie zapory sieciowej PIX 129 Aby włączyć NAT dla większej liczby interfejsów, należy użyć osobnych poleceń global dla każdego interfejsu. Kluczem jest ten sam id dla wszystkich poleceń global, pozwa- lający na mapowanie przez jeden zestaw poleceń nat dla interfejsów z translacją pry- watnego adresu IP na jeden z kilku różnych zakresów adresów globalnych na podstawie miejsca przeznaczenia. Na przykład, poniższe polecenia konfigurują w PIX translację sieci 172.16.1.0 albo na adresy 192.168.1.0/24, albo przez PAT na adres IP interfejsu strefy zdemilitaryzowanej, zależnie od tego, przez który interfejs pakiet ma wyjść: PIX1(config)# nat (inside) 1 172.16.1.0 255.255.255.0 PIX1(config)# global (outside) 1 192.168.1.1-192.168.1.254 netmask 255.255.255.0 PIX1(config)# global (dmz) 1 interface PIX1(config)# exit PIX1# clear xlate Podobnie jak dla większości poleceń w zaporze sieciowej PIX, słowo kluczowe no użyte z poleceniami nat i global usuwa ustawienia z konfiguracji. Blokowanie ruchu wychodzącego (definiowanie ACL) Bez dodatkowej konfiguracji PIX pozwala na wysyłanie wszelkiego ruchu z interfejsów o wyższym poziomie bezpieczeństwa do interfejsów o niższym poziomie bezpieczeń- stwa. Jeśli chcemy zablokować jakiś ruch wychodzący, to musimy zrobić to jawnie. Kontrola nad ruchem wychodzącym, który ma prawo przejść przez zaporę sieciową PIX, zawsze stanowi element dobrze zaprojektowanych zasad bezpieczeństwa. W wersji 7.0 do tego celu służy tylko jedno narzędzie: listy dostępu. W starszych wersjach oprogramowania PIX można było dodatkowo blokować ruch wychodzący poleceniem outbound. W wersji 7.0 zostało ono całkowicie zastąpione poleceniem access-list i nie jest już obsługiwane. Firma Cisco do pewnego czasu odradzała używania poleceń outbound, więc nie powinno to być niespodzianką. Istniejące polecenia outbound nie są automatycznie konwertowane na polecenia access-list. Punkt „Polecenia conduit i outbound” zawiera więcej informacji na ten temat oraz opis, jak konwertować polecenia outbound na access-list. Listy dostępu Listy dostępu w zaporach sieciowych PIX są bardzo podobne do stosowanych w ro- uterach Cisco i mogą być używane do ograniczania ruchu sieciowego na podstawie kilku kryteriów, w tym adresu źródłowego, adresu docelowego, źródłowych portów TCP/UDP i docelowych portów TCP/UDP. Konfiguracja list dostępu jest procesem złożonym z dwóch kroków: 1. Zdefiniowanie listy dostępu przez utworzenie poleceniem access-list instrukcji permit i deny. 2. Zastosowanie listy dostępu do interfejsu poleceniem access-group. Polecenie access-list obsługuje trzy różne podstawowe klasy protokołów: IP, TCP/UDP i ICMP. Dla każdej klasy ma nieco inną składnię: 130 Cisco PIX. Firewalle access-list numer_ACL [line nr_linii] [extended] {deny}permit] protokół {host źródłowe_IP}źródłowe_IP maska}any] {host docelowe_IP}docelowe_IP maska}any] access-list numer_ACL [line nr_linii] [extended] {deny}permit] {tcp}udp] {host źródłowe_IP}źródłowe_IP maska}any] [operator port] {host docelowe_IP}docelowe_IP maska}any] [operator port] access-list numer_ACL [line nr_linii] [extended] {deny}permit] icmp {host źródłowe_IP}źródłowe_IP maska}any] {host docelowe_IP}docelowe_IP maska}any] [typ_icmp] Poniżej przedstawiamy parametry i słowa kluczowe wspólne dla wszystkich trzech odmian składni access-list. Parametry i słowa kluczowe dotyczące konkretnych wersji składni zostaną omówione w następnych punktach. Parametr numer_ACL identyfikuje listę dostępu i może nim być nazwa albo liczba. Listy dostępu są przetwarzane sekwencyjnie od pierwszej pozycji do ostatniej. Pierwszy pasujący wpis zostaje zastosowany, a dalsze przetwarzanie jest wstrzymywane. Słowo kluczowe line i parametr nr_linii pozwalają wstawiać wpisy na określonych pozycjach listy dostępu. Słowo kluczowe extended identyfikuje rozszerzoną listę dostępu, która pozwala wska- zywać źródłowe i docelowe adresy i porty IP. Źródłowy adres IP jest definiowany parametrem źródłowe_IP i identyfikuje źródło transmisji. Docelowy adres IP jest definiowany parametrem docelowe_IP i identyfikuje miejsce przeznaczenia transmisji. Parametr maska wskazuje liczbę bitów maski podsieci stosowanej do parametru źródłowe_IP lub docelowe_IP. Słowo kluczowe any oznacza wszystkie sieci lub hosty i jest odpowiednikiem sieci 0.0.0.0 i maski 0.0.0.0. Słowo kluczowe host, po którym następuje adres IP, wskazuje pojedynczego hosta. Składnia list dostępu w zaporach sieciowych PIX jest bardzo podobna do stoso- wanej w routerach IOS. Podstawowa różnica polega na tym, że w listach dostępu zapór sieciowych stosowane są standardowe maski podsieci, a w routerach odwró- cone (wildcard). Na przykład, przy blokowaniu 24-bitowej podsieci w zaporze sieciowej PIX użyjemy maski 255.255.255.0, a w routerze Cisco maski 0.0.0.255. Parametry i słowa kluczowe access-list dla protokołu IP W składni polecenia access-list dla protokołu IP parametr protokół wskazuje protokół IP. Można podać wartość liczbową lub nazwę literałową. Tabela 3.1 przedstawia nie- które dostępne nazwy literałowe. Rozdział 3. ♦ Działanie zapory sieciowej PIX 131 Tabela 3.1. Literałowe nazwy protokołów i wartości Literał ah eigrp esp gre icmp igmp igrp ip ipinip nos ospf pcp snp tcp udp Wartość 51 88 50 47 1 2 9 0 4 94 89 108 109 6 17 Opis Authentication Header for IPv6, RFC 1826 Enhanced Interior Gateway Routing Protocol Encapsulated Security Payload for IPv6, RFC 1827 Generic Routing Encapsulation Internet Control Message Protocol, RFC 792 Internet Group Management Protocol, RFC 3228 Interior Gateway Routing Protocol Internet Protocol Ekapsulacja IP-in-IP Network Operating System (NetWare firmy Novell) Protokół routingu Open Shortest Path First, RFC 1247 Payload Compression Protocol Sitara Networks Protocol Transmission Control Protocol, RFC 793 User Datagram Protocol, RFC 768 Parametry i słowa kluczowe access-list dla protokołów TCP i UDP W składni polecenia access-list dla protokołów TCP i UDP parametry i słowa klu- czowe mają następujące znaczenie: Słowa kluczowe tcp i udp wskazują, czy dany wpis listy dostępu dotyczy ruchu TCP, czy UDP. operator i port wskazują porty źródłowy i docelowy. Aby wskazać wszystkie porty, nie trzeba podawać operatora i portu. Aby wskazać pojedynczy port, należy użyć jako operatora słowa kluczowego eq. Aby wskazać wszystkie porty o numerach niższych niż podany, należy użyć jako ope- ratora słowa kluczowego lt. Aby wskazać wszystkie porty o numerach wyższych niż podany, należy użyć jako operatora słowa kluczowego gt. Aby wskazać wszystkie porty z wyjątkiem jednego, należy użyć jako operatora słowa kluczowego neq. Aby wskazać zakres portów, należy użyć jako operatora słowa kluczowego range. Port może być wskazany z podaniem liczby lub nazwy. Listę nazw portów przedsta- wia tabela 3.2. 132 Cisco PIX. Firewalle Tabela 3.2. Literałowe nazwy portów i wartości Nazwa Protokół Port Nazwa Protokół Port Nazwa Protokół Port bgp biff bootpc bootps chargen citrix-ica cmd daytime discard dnsix domain echo exec finger ftp ftp-data gopher h323 TCP UDP UDP UDP TCP TCP TCP TCP TCP, UDP UDP TCP, UDP TCP, UDP TCP TCP TCP TCP TCP TCP 179 512 68 67 19 1494 514 13 9 195 53 7 512 79 21 20 70 1720 TCP http TCP hostname TCP ident TCP irc UDP isakmp TCP klogin TCP kshell TCP login TCP lpd mobile-ip UDP nameserver UDP netbios-dgm UDP UDP netbios-ns TCP nntp ntp UDP pim-auto-rp TCP, UDP pop2 pop3 TCP TCP 80 101 113 194 500 543 544 513 515 434 42 138 137 119 123 496 109 110 1812 radius UDP 520 rip UDP 25 smtp TCP 161 snmp UDP 162 snmptrap UDP TCP sqlnet 1521 TCP, UDP 111 sunrpc UDP syslog 514 TCP, UDP 49 tacacs TCP, UDP 517 talk telnet TCP 23 69 UDP tftp 37 UDP time 540 TCP uucp who UDP 513 43 TCP whois 80 TCP www xdmcp UDP 177 Proszę zauważyć, że zdefiniowane w systemie mapowanie http jest takie samo jak www i jest tłumaczone na nie w konfiguracji. Parametry i słowa kluczowe access-list dla protokołu ICMP W składni polecenia access-list dla protokołu ICMP parametry i słowa kluczowe mają następujące znaczenie: Słowo kluczowe icmp oznacza, że dany wpis listy dostępu dotyczy ruchu ICMP. Parametr typ_icmp identyfikuje typ komunikatu ICMP i może być wskazany z poda- niem liczby lub nazwy. Listę typów komunikatów ICMP i odpowiadających im nazw literałowych przedstawia tabela 3.3. Po skonfigurowaniu listy dostępu należy zastosować ją do interfejsu poleceniem: access-group access-list {in}out] interface nazwa_interfejsu Parametry i słowa kluczowe polecenia access-group są następujące: Parametr access-list definiuje, które instrukcje listy dostępu mają stosować się do interfejsu. Wartość tego parametru musi odpowiadać numer_ACL (nazwie) wskazanej w poprzednich poleceniach access-list. Rozdział 3. ♦ Działanie zapory sieciowej PIX 133 Tabela 3.3. Typy komunikatów ICMP Typ ICMP 0 3 4 5 6 8 9 10 11 12 13 14 15 16 17 18 31 32 Literał echo-reply unreachable source-quench redirect alternate-address echo router-advertisement router-solicitation time-exceeded parameter-problem timestamp-reply timestamp-request information-request information-reply mask-request mask-reply conversion-error mobile-redirect Słowo kluczowe in albo out służy do wskazania, czy lista dostęp
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Cisco PIX. Firewalle
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: