با عرض سلام و احترام خواهشمند است در صورت امكان راهنمائي بفرمائيد.

به استحضار مي رساند كه در شبكه اي كه من Admin آن يك سري مشكلات وجود دارد كه جهت كمك و راهنمايي و حل مشكل حضورتان ارسال مي گردد:

1- شبكه ما از طرح سه لايه سيسكو استفاده شده است. جهت كنترل دسترسي به سوئيچ ها نيز از نرم افزار CSACS استفاده مي كنيم. شبكه داراي 8 سوئيچ لايه توزيع مي باشد و 2 عدد هسته و 83 عدد دسترسي از نوع هاي مختلف شركت سيسكو مي باشد. به تمامي سوئيچ هاي لايه دسترسي با نرم افزار Logهin , CSACS مي كنيم يعني هر شخصي با نام كاربري و رمز عبور خود كار مي كند ولي بر روي سوئيچ هاي توزيع به محض اينكه دستورات Authenticating CSACS را مي زنيم و IP كامپيوتر مربوط به كامپيوتري كه بر روي آن نصب است Authenticating Faile مي دهد. همين طور بر روي سوئيچ Core لطفاً راهنمايي فرمايند.

2- در روتينگ پروتكل موجود اي آي جي ر پي نيز هرگاه يك Vlan اضافه مي كنيم به ليست Vlan هاي سوئيچ توزيع بدون اينكه درNetworkهاي EIGRP آنرا add كنيم مي توانيم در هر جاي شبكه آن Vlan را Ping كنيم در صورتيكه اساس كار EIGRP بر اين است كه به ازاي هر Vlan ايجاد شده بايد در ليست Network هاي همسايه اش وارد شود تا كار كند. در صورت نياز فايل Config هاي سوئيچ هاي توزيع و دسترسي ارسال مي گردد. در ادامه اگر بتونم با شما بصورتي ارتباط داشته ياشم يا كلاس داشته باشيد ميتونم برسم حضورتون .

با تشكر

مويدي

پاسخ:

دوستان عزیز لطفا از بخش پرسش و پاسخ برای مطرح کردن سوالات استفاده کنید، ارسال email تنها برای موارد کاری می باشد و ممکن است email های شما بی پاسخ بماند. در ضمن این سایت برای Share کردن مطالب و فایل و کپی های غیرقانونی نیست – تنها مطالب ایجاد شده در این سایت در بخش Download قرار میگرند.

اما در مورد سوال دوست خوبمان، مشکل در هنگام تنظیم AAA به این صورت اتفاق می افتد که ابتدا باید دستورات مربوط به  AAA وارد شود سپس دستورات مرتبط با خود سرور TACACS و RADIUS . در ضمن مراقب دستور aaa authorization commands باشید که منجر به قطع شدن ارتباط شما میشود. مشکلی که با IOS وجود دارد این است که دستورات یکی یکی باید وارد و اجرا شوند و ترتیب آنها میتواند گاهی مشکل ساز شود.

با کمک دستور زیر میتوانید برای Console استثنا قائل شوید تا اگر از Console روتر را تنظیم میکنید از شما Authrorization نخواهد:

aaa authentication login CONAUTH local
aaa authorization console
aaa authorization exec CONAUTH local
aaa accounting exec CONAUTH none
aaa accounting commands 0 CONAUTH none
aaa accounting commands 1 CONAUTH none
aaa accounting commands 15 CONAUTH none
!
line con 0
authorization exec CONAUTH
accounting commands 0 CONAUTH
accounting commands 1 CONAUTH
accounting commands 15 CONAUTH
accounting exec CONAUTH
login authentication CONAUTH

برای اطلاعات بیشتر:

http://blog.shafagh.com/2009/01/30/ccie-security-aaa-policies-with-cisco-secure-acs

اما در مورد سوال دوم شما:

مشکل شما را بدون دیدن Configuration میتوان حدس زد احتمالا در یکی از دستگاه های EIGRP دستور Redistributed Connected را زده اید. هیچگاه از دستورات Redistribute استفاده نکنید مگر آنکه هدف آن را بدانید این پروسه باعث میشود تا پروتکل های دیگر درون EIGRP شما inject شوند.

نوشته شده در IP Routing, Security, پاسخ به پرسش ها ]]> http://persian.shafagh.com/2009/10/04/cisco-secure-acs/feed/ 0 SZandi http://persian.shafagh.com/2009/09/02/%d8%af%d8%b3%d8%aa%da%af%d8%a7%d9%87-%d9%87%d8%a7%db%8c-utm/ http://persian.shafagh.com/2009/09/02/%d8%af%d8%b3%d8%aa%da%af%d8%a7%d9%87-%d9%87%d8%a7%db%8c-utm/#comments Tue, 01 Sep 2009 23:21:51 +0000 Shafagh http://shzandi.wordpress.com/2009/09/02/%d8%af%d8%b3%d8%aa%da%af%d8%a7%d9%87-%d9%87%d8%a7%db%8c-utm/ ]]>  

یکی از دوستان در نامه ای پرسشی مطرح کرده اند به شرح زیر:

آدرس سایت شما رو خیلی اتفاقی پیدا کردم ، واقعا شگفت زده شدم ، خوشحالم که چنین آدم های متخصصی در کشورمون وجود داره، من یه مقدار در مورد شبکه های VPN خدمتتون راهنمایی میخواستم .

من دوره MCSE رو که میگزروندم با این مبحث آشنا شدم و به دلیل پیچیده گی راه اندازی این سرویس خصوصا IPSec و Certification Server در ویندوز به سمت اجرای این سرویس در سیستم عامل های UNIX رفتم … اما با این پیش ضمینه از تجربیات تئوریم چند سوال در ضمینی تجربی از شما داشتم :

چند سالی هست استفاده از سخت افزارهای Unified Threat Management برای سرویسهایی چون Firewall , IDS , VPN و حتی همه این سرویس ها در یک سخت افزار خیلی زیاد شده .

در صورتی که من تو نمایشگاه با مدیر یکی از همین شرکت های تولید کننده به نام netasq کامل صحبت کردم . میگفت سیستم عامل این دستگاهFreeBSD هست و فایروالش هم همون OpenBSD PF هست و از ISAKMP برای IPSec استفاده میکنه . دقیقا همون سیستم ولی به صورت یک پکیج شیک با یه اینترفیس تحت وب و البته قابلیت بروزرسانی عالی .

فکر میکنم سخت افزارهای سیسکو هم به دلیل قیمت بالاش استفاده خیلی کمی داشته باشند و نسبت به UTM های چند منظوره به صرفه نباشه .

حالا به نظر شما به عنوان یه متخصص من باید در چه زمینه ای فعالیت و تمرکزم رو ادامه بدم ؟

در حال حاضر اجرای پروژهای داخل کشور در این زمینه به چه صورت می باشد ؟ پیشاپیش از راهنمایی هایتان تشکر میکنم

پاسخ:

دوست گرامی

اکثر Appliance های (وقتی یک سخت افزار بصورت یک BOX اغلب قابل Rack Mount است ارائه میشود نام Appliance بخود میگیرد – دستگاه) شبکه بر پایه FreeBSD ایجاد شده اند. نمونه آن سیستم عامل قوی JUNOS که در دستگاههای Juniper استفاده میگردد یا خود IOS سیسکو که براساس Variation ی از Unix ایجاد و Compile شده است.

سالیان قبل، زمانی که پروژه فیبرنوری دانشگاه رودهن را انجام می دادم دستگاه NETASQ را جهت امنیت در استفاده از اینترنت خریداری و نصب کردند که با توجه به نیازهای محدود شبکه دانشگاه عملکرد مطلوبی داشت تا اینکه در خارج از کشور نیز با این شرکت فرانسوی بیشتر آشنا شدم. برای بدست آوردن بازار سیسکو برنامه Trade in اجرا کردند که اگر Cisco PIX از رده خارج شده خود را با سری U تولید کننده معاوضه کنید 40 درصد تخفیف به شما داده خواهد شد که نهایتا تعداد دستگاه های فروخته شده از ابتدای کار این شرکت به 45000 میرسد که عدد بزرگی نیست… اگر در همین حد بخواهم دستگاهی با مدیریت بهتر و محبوبتر نام ببرم Sonicwall است.

دستگاه های UTM یا Unified Threat Management یا بعبارت دیگر All-in-one Firewall دستگاههای چند منظوره هستند که کار Firewall؛ IPS؛ Anti-Virus؛ Anti-Malware و VPN و غیره را انجام میدهند. سیسکو با از رده خارج کردن PIX و عرضه ASA در سال 2004 به پیشباز این تکنولوژی رفت دقیقا کاری که NetScreen با سری SSG انجام داد (که توسط Juniper خریداری شد.) تصویر زیر ASA5505 و SSG 5 که از ارزان ترین و کوچک ترین مدل در رده خود هستند را نشان میدهد. (در حدود 400 دلار قیمت دارند)

اگر در دنیای امنیت شبکه سه شرکت برتر بخواهیم نام ببریم: Juniper ، Cisco و Checkpoint بالاترین سهم را دارند شرکت هایی نظیر ISS (که توسط IBM اخیرا خریداری شد) Tipping Point (جدیدا توسط 3Com خریداری شده) و Palo Alto نیز در این میان بازار خود را دارند.

سیسکو اسم این تکنولوژی را Anti-X گذارده که بجای X میتوان Virus ، Malware یا Worm را بعنوان نمونه قرار داد و Partner او در زمینه Anti-Virus بهترین شرکت در این زمینه یعنی Trend-Micro است که سریعترین سایت تشخیص ویروس در اینترنت Antivirus.com را دارد. (NetASQ با Kaspersky همکاری میکند.) سیسکو در سیستم عامل 8.2 که چند هفته پیش ارائه شد تشخیص Botnet را نیز قرارداده و اگر دستگاهی در شبکه شما عضو شبکه های Zombie شده باشد توسط Database مرکزی شناسایی میگردد. دستگاه ASA تکنولوژی های سیسکو نظیر EZVPN را پیشتیانی میکند ضمن اینکه از SSLVPN و Redundancy نیز برخوردار است. هرچند که ضعف هایی نظیر نبود و عدم پشتیبانی از Policy Based Routing، GRE و BGP دارد.

UTM ها کاربرد Small to Medium و Enterprise دارند و در شبکه های Service Provider و Data Center از آنها کمتر استفاده شده – سعی میشود امنیت را بصورت Modular در دستگاههای متعدد با وظایف مختلف در سطوح پایینتر اما دقیقتر همراه با Redundancy پیاده کرد. آیا تکنولوژی امنیت شبکه تنها به UTM ختم خواهد شد، خیر بخش مصرف خانگی (فایروال های VPN با قابلیت بی سیم) و بخشی از شبکه های شرکت ها به آن سمت حرکت خواهد کرد. استفاده از IPS با Firewall ممکن است در سالیان نزدیک کاملا تلفیق شود اما تکنولوژی های Parallel با آنها نظیر دستگاههای Anomaly Detection و DDOS Guard تا Event Correlation و NAC اجازه نخواهند داد تا شما نفس راحتی کشیده و بازه فعالیت و مطالعه خود را به یک سو متمرکز کنید.

بیش از 100 محصول UTM مختلف در بازار داریم. لیست تولیدکنندگان دستگاه های UTM:

O2Security SifoWorks

Palo Alto Networks

Fortinet Fortigate

SonicWall

Watchguard

Crossbeam Systems

Astaro

Untangle

Phion Netfence

Secure Computing’s Secure Firewall and SnapGear

Juniper Networks Firewall

Cisco ASA

Checkpoint UTM

Zyxel

Nokia

IBM

Cyberoam

D-Link NetDefend

Draytek Vigor

Freedom9 freeGuard

eSoft Instagate

Clavister

Gibraltar

SmoothWall

GTA

Hotbrick

SecurePoint

Netasq

GSec1 Prodigy

NetBoxBlue

GAJShield

Celestix MSA

Eland Systems

GateProtect

BlackBox

NetStealth

NetSentron

Arkoon Fast360

Trustix Xsentry

Endian

SecPoint Protector

Calyptix AccessEnforcer

Wiresoft

• من از کدام محصول در منزل استفاده میکنم؟

Cisco ASA5505 که دو پورت POE برای اتصال IPPhone و Wireless Access Point – بدون نیاز به برق (از میان 8 پورت خود) در اختیار میگذارد.

در آخر نگاهی به تست Network World خالی از لطف نیست:

http://www.networkworld.com/reviews/2007/111207-utm-firewall-test

از سری محصولات CiscoWorks میتوان به موارد زیر اشاره کرد:

LAN Management System – LMS

CiscoWorks Voice Manager

CiscoWorks QoS Policy Manager – QPM

CiscoWorks Network Compliance Manager – NCM

 Cisco Security Manager – CSM

CiscoWorks Wireless LAN Solution Engine – WLSE

سری LMS بدون شک پرفروش ترین و معروف ترین CiscoWorks است. در این بین با QPM هم کار کردم که برای مدیریت QoS شبکه طراحی شده و ویژگی های جالبی دارد. WLSE برای مدیریت شبکه های Wireless سیسکو است و مطابق نقشه ساختمان پوشش Wireless ها را نشان داده و در صورتیکه Access-Point زائدی در شبکه نصب شود آنرا شناسایی میکند. CSM خود از زیر نام CiscoWorks در آمده و با پشتیبانی از دیگر محصول سیسکو بنام MARS بعنوان یک محصول قوی جهت استاندارد سازی امنیت شبکه و محدود کردن خطرات عرضه میشود.

برگردیم به LMS برای مدیریت شبکه های LAN… نسخه های اولیه LMS بسیار آزاردهنده بودند. مجموعه ای از 13 CD که یک به یک باید نصب میشدند و بیش از 4 ساعت زمان برای نصب آن نیاز بود. ماه پیش نسخه جدید 3.2 آن ارائه شد که خصوصیات جدیدی را به ارمغان آورده است. برای مقایسه نسخه های متفاوت LMS اینجا را کلیک کنید.

محصول CiscoWorks LAN Management از چندین محصول زیرمجموعه تشکیل شده است:

CiscoWorks Assistant
CiscoWorks Campus Manager
CiscoWorks CiscoView
CiscoWorks Common Services Software
CiscoWorks Device Fault Manager
CiscoWorks Internetwork Performance Monitor
CiscoWorks LAN Management Solution
CiscoWorks LMS Portal
CiscoWorks Resource Manager Essentials

یکی از شش برنامه اصلی در LMS برنامه RME است. کار Resource Management Essentials ایجاد لیست تجهیزات درست مثل فهرست های انبار داری است – Inventory Management مثل شماره سریال سوییچ ها و روتر های شبکه، ماژول ها، میزان حافظه و فلاش هر دستگاه و نوع IOS و نسخه آن. از جمله مواردی که با RME میتوان انجام داد upgrage کردن چندین دستگاه طی یک برنامه زمانبندی شده است. همچنین RME برای شما از Configuration ها و IOS ها بصورت اتوماتیک Backup میگیرد و اگر تغییراتی در تنظیمات انجام شود ثبت میکند و نسخه های قبلی تنظیمات را بصورت History برایتان حفظ میکند.

از دیگر برنامه های پکیج LMS برنامه CiscoView است. بکمک این برنامه میتوان تصویر یک دستگاه را بدون اینکه وارد سایت شویم و چراغ های دستگاه ها را چک کنیم برایمان پدیدار میکند:

روی پورت های سوییچ یا روتر کلیک کنید تا وضعیت ترافیک روی آن را به شما نشان دهد (تصویر بالا). در تصویر زیر پورت Ethernet روتر 1751 ما Shutdown است و برنگ قرمز نشان داده شده است:

LMS برای شما گراف شبکه ایجاد میکند و در صورتیکه دستگاهی ارتباط خود را از دست داد به شما Alert میدهد و روی صفحه نمایشگر بزرگ LCD خود برای Monitoring میتوانید دستگاه خراب را برنگ قرمز ببینید.  این گراف میتواند مربوط به یک ناحیه از شبکه یا کل شبکه باشد و بنام Topology Services داخل صفحه LMS Portal قید شده است:

از دیگر خصوصیات LMS اندازه گیری Performance شبکه و نشان دادن کارایی بر اساس اندازه گیری Jitter (نوسان در تاخیر) یا محاسبه عملکرد ICMP بین نقاط شبکه و حاصل آن را بصورت گراف در اختیارتان میگذارد. به این برنامه IPM یا Internetwork Performance Monitor میگوییم که از LMS2 به بسته CiscoWorks اضافه شد. در شکل زیر عمکرد چند ماه اخیر و نوسان Ping ها  بین نود های مختلف WAN نشان داده شده است.

در آخر باید بخاطر داشت که نصب LMS بصورت کامل کار ساده ای نیست و نیاز به آزمایش، تمرین و تجربه دارد. برای دریافت اطلاعات از تجهیزات باید SNMP را روی دستگاه ها تنظیم کنید و به LMS دسترسی دهید. LMS از یک یا چند روتر بعنوان Seed Device استفاده میکند تا توپولوژی شبکه را تشخیص دهد و بقیه دستگاهها را بصورت Auto Discovery به مجموعه اضافه کند. پس از آن باید RCP را روی دستگاهها تنظیم کنید تا کار کپی IOS برای Upload و Download از LMS به هر روتر و سوییچ امکان پذیر شود. SYSLOG را نیز به آدرس LMS میفرستید چون LMS خود یک Syslog Server نیز هست. پس از آن SMTP سرور را برای LMS تنظیم میکنید تا در صورتیکه خطایی در کارایی شبکه پیدا شد DFM يا Device Fault Management به شما email زده و شما را از حوادث مطلع کند.

در صورتیکه خواستید امتحان کنید نسخه 3.2 را پیشنهاد میکنم (Stable است) که از سایت سیسکو میتوان بصورت Evaluation دریافت کرد. (از IP های ایران ممکن است کار نکند در صورتیکه کار کرد لطفا comment بگذارید.)

http://cisco.mediuscorp.com/lms

چندی پیش برای مشتری بزرگی Presentation برای LMS تهیه کردم و پروژه نصب LMS با License 1000 دستگاه را انجام دادیم. میتوانید این PowerPoint مختصر نیم مگی را Download کنید:

برای تشریح VPN ابتدا نگاهی به معنی لغوی آن می اندازیم:

Virtual Private Network شبکه خصوصی مجازی شبکه ای است که بر روی شبکه ای دیگر تشکیل شده است. شبکه زیرین که کار زیرساخت را ایفا میکند معمولا شبکه ای عمومی (نظیر اینترنت) است…

برای توضیح واژگانی نظیر Transparent و Virtual میتوان چنین عنوان کرد:

اگر چیزی را دیدی و آنجا بود – حقیقی است = Real

اگر چیزی را دیدی اما آنجا نبود Virtual (مجازی) است.

اگر چیزی را ندیدی اما آنجا بود Transparent است (شفاف)

اگر چیزی را ندیدی و آنجا هم نبود … یکجای کار اشکال داره!

حال این اصل ها را به مثال های شبکه برمیگردانیم:

یک سرور که IP Public و درون Rack قرار دارد یک سرور حقیقی است Real Server

یک سرور که قابل دسترسی از طریق IP است اما روی VMware نصب شده و روی سخت افزار مستقیما عمل نمی کند Virtual است.

یک Firewall که در مسیر Traceroute ما دیده نمیشود و قابل Ping و ردیابی نیست Transparent است.

شبکه VPN همانطور که از اسمش پیداست Virtual است … بصورت فیزیکی ساختاری ندارد. وقتی مخابرات برای سازمانی با Frame Relay یا ATM و X.25 یا حتی بصورت Leased Line های مختلف ارتباط شبکه نقاط دوردست را فراهم میکند به آن Overlay Network یا Overlay VPN Model میگوییم. یعنی بنای شبکه شما روی شبکه Provider (سرویس دهنده) نهاده شده است. اگر Peer-to-peer VPN باشد یعنی شبکه شما بصورت پویا با شبکه سرویس دهنده ارتباط برقرار میکند نظیر MPLS VPN.

اما من فکر میکنم بیشتر منظور شما VPN روی اینترنت است…

کلا دو مدل دسترسی به VPN در Internet پیدا سازی میشود:

• Remote Access
• Site to Site

مدل Remote Access امکان دسترسی کاربر را از منزلش به شبکه محیط کار فراهم میکند. بطور مثال من خیلی از روز ها جلسات شرکت و کارهایم را از راه دور، از منزل یا در سفر انجام میدهم برای این کار از Cisco VPN Client یا Cisco AnyConnect استفاده میکنم.

در Remote Access بسته به نوع تکنولوژی و تولیدکننده از پروتکل های متنوعی استفاده میشود PPTP و L2TP روی محصولات Microsoft (سرورهای Remote Access یا RRAS) پشتیبانی میشود. PPTP یا Point to Point Tunneling Protocol پروتکلی است که امکان VPN را بدون رمزنگاری و Encryption محیا میکند. روش آن  PPP و GRE ادغام شده در یک پروتکل است که روی پورت 1723 TCP کار میکند. از ویندوز 95 پشتیبانی این پروتکل استاندارد در ویندوز گنجانده شد و با RFC2637 توسط IETF استاندارد شد:

http://tools.ietf.org/html/rfc2637

PPTP را در سیسکو با دستورات VPDN میتوان فعال کرد هر چند که سیسکو پروتکل L2F را نیز ارائه کرد. در سمت دیگر برای Encryption و بالابردن امنیت و رمزنگاری L2TP در سال 1999 ارائه شد.

محبوبترین پروتکل برای VPN؛ IPSEC است. در سیسکو برای فعال کردن آن به IOS ی با ويژگی های Adv-Security نیاز داریم. سیسکو Cisco VPN Client را برای ویندوز، Mac ، Linux و iPhone ارائه کرده تا بتوان از تمام کلاینت های موجود به VPN وصل شد و اطلاعات Encrypt شده را رد و بدل کرد.

جدیدترین نوع VPN استفاده از SSL و TLS است که بدون نیاز به نرم افزار خاصی در سمت کاربر و تنها به کمک مرورگر میتوان به آن وصل شد و کار کرد. بطور مثال SSL VPN را روی Cisco ASA در شرکت فعال میکنیم و از منزل با وصل شدن به صفحه Webpage شرکت و وارد کردن Username Password به File Server و RDP های روی سرورها درون صفحه Browser متصل میشویم. بدین صورت از CafeNet ها و کامپیوترهایی که برنامه VPN ندارند نیز میتوان برای کار استفاده کرد.

مدل دوم پیاده سازی VPN ، بنام Site to Site یا LAN to LAN برای ایجاد VPN بین دو یا چند شبکه است بطور مثال یک شعبه کوچک بانکی با پنج تا ده کلاینت به یک شعبه مرکزی VPN میکند (Tunnel)

در این مدل اگر نیازی به رمزنگاری نباشد میتوان از پروتکل GRE یا Generic Routing Encapsulation استفاده کرد. در صورتیکه به Encryption نیاز باشد از IPsec همراه با ISAKMP و IKE برای ردوبدل کردن کلید و Certificate استفاده میشود. استفاده از GRE همراه با IPsec امکان خوبی برای Routing و همچنین انتقال امن دیتا را فراهم میسازد.

سیسکو EZVPN را برای ساده کردن پیاده سازی Site 2 Site VPN ارائه کرده که بدین صورت با IP های Dynamic اینترنت نیز بتوان از VPN استفاده کرد.

DMVPN و GETVPN دو مدل دیگر VPN برای شبکه هایی است که میخواهند تعداد زیادی از شعب را روی اینترنت به هم متصل کنند در این مدل غیر از سایت های اصلی بقیه میتوانند از IP داینامیک و ADSL استفاده کنند که نیازی به IP Static نباشد. (پایین آوردن هزینه)

انواع دیگری از VPN نیز داریم که از حوصله و سطح بحثمان خارج است اما در دنیای امروز برای VPN از تکنولوژی IPsec برای Tunnel بین شبکه ها؛ SSL برای Remote-access ها و از TLS برای ipphone ها استفاده میشود.

جالب اینجاست که تمامی تکنولوژی های VPN روی یک روتر سری 1800 یا 2800 سیسکو بهمراه IOS مورد نیاز، قابل پیاده سازی است. قبلا سیسکو VPN Concentrator را ارائه میکرد که با ارائه Cisco ASA تولید آن متوقف شد.

"با سلام و تشکر
اگر امکان دارد یکسری منابع خوب برای یادگیری کار با مارس به من معرفی کنید. مجتبی"

برای MARS انتشارات سیسکو دو کتاب منتشر کرده که مطالعه هر دو آنها ضروری است:

کتاب Security Monitoring with Cisco Security MARS نوشته گری هالن و گرگ کیلاگ برای محافظت از شبکه، نظارت و دفع حملات بکمک مارس، استفاده از مارس همراه با NAC و سازگاری ودستیابی به استانداردهای PCI و Regularity ها نوشته شده:

http://www.ciscopress.com/bookstore/product.asp?isbn=1587052709

کتاب Security Threat Mitigation and Response: Understanding Cisco Security Mars برای آشنایی و نحوه برخورد با انبوه Log ها و مدیریت سیستم های امنیتی منتشر شده است:

http://www.ciscopress.com/bookstore/product.asp?isbn=1587052601

برای دریافت Configuration Guide های سیسکو مارس نیز میتوانید به سایت سیسکو رجوع کنید:

http://www.cisco.com/go/mars

http://www.cisco.com/en/US/products/ps6241/tsd_products_support_configure.html

موسسه SANS در مورد تنظیم مارس:

http://www.sans.org/reading_room/whitepapers/logging/configuring_and_tun
ing_cisco_csmars_2044

لینک های مرتبط:

http://blog.shafagh.com/2009/06/25/cs-mars

http://persian.shafagh.com/2009/04/24/mars

پروتکل NetFlow در سال 1996 توسط دو مهندس سیسکو بنامهای Darren Kerr  و Barry Bruins ایجاد شد. یک پروتکل مدیریتی که اطلاعات Flow هایی که از روتر یا سوییچ عبور میکنند را به سرور ارسال میکند. بدین صورت میتوان از Flow ها و ترافیک در حال عبور مطلع شد.

NetFlow به پنج سوال رایج در ترافیک شبکه پاسخ میدهد: who, what, when, where and how

چه فرستنده ای به کدام گیرنده در زمان مشخص چه دیتایی را در چه حجمی ارسال میکند.

Source IP address

Destination IP address

Source port for UDP or TCP, 0 for other protocols

Destination port for UDP or TCP, type and code for ICMP, or 0 for other protocols

IP protocol

Ingress interface

IP Type of Service

از این پروتکل در Backbone های اینترنت جهت Accounting براساس ترافیک IP استفاده میشود. (Peering Arrangement )

براین اساس Backbone ها میتوانند ترافیک مورد Exchange خود با یکدیگر را حساب کنند. از دیگر موارد استفاده آن Network Planning و بررسی منابع مورد نیاز شبکه است.

از مصارف جدیدتر NetFlow، NBA يا Network Behavior Analysis است که در امنیت شبکه و برای تشخیص حملات و Denial of Service – DOS مورد استفاده قرار میگیرد.

اطلاعات جمع آوری شده در زمان های مشخصی توسط UDP به سرور NetFlow Collector ارسال میگردد. عموما 20 تا 50 Flow در هر بسته گزارش گنجانده میشود روی اکثر روتر های سیسکو و سوییچ های 6500 و 4500 پشتیبانی  شده و جدیدا در نسخه 8.2 سیستم عامل ASA روی فایروال نیز گنجانده شده است. که به آن NSEL یا NetFlow Security Event Logging گفته میشود و برای ارسال Flow ها به CS-MARS در نظر گرفته شده است.

آخرین نسخه NetFlow v9 است که اجازه تعریف اطلاعات ارسالی را بصورت Template به فرستنده و گیرنده میدهد. مثل MPLS و IPv6. همچنین IETF نسخه ای بنام IPFIX را که Version 10 آن اطلاق میشود براساس v9 استاندارد کرده است.RFC5101, RFC5102

از NetFlow برندهای دیگر شبکه نظیر جونیپر ، HP و Brocade تحت عنوان sFlow استفاده میکنند. (استاندارد)

برنامه های Collector متعددی برای NetFlow وجود دارد که قابلیت های زیاد و متنوعی را ارائه میکنند:

بطور مثال در Scrutinizer میتوان کاربر تعریف کرد و براساس هر کاربر سطح دسترسی مشخص کرد. نسخه رایگان آن را از وب سایت Plixer میتوان Download کرد. که البته نسخه حرفه ای آن رایگان نیست:

http://www.plixer.com/products/scrutinizer.php

تنظیمات:

router#configure terminal

router-2621(config)#interface FastEthernet 0/1

router-2621(config-if)#ip route-cache flow

router-2621(config-if)#exit

router-2621(config)#ip flow-export destination 192.168.0.101 9996

router-2621(config)#ip flow-export source FastEthernet 0/1

router-2621(config)#ip flow-export version 5

router-2621(config)#ip flow-cache timeout active 1

router-2621(config)#ip flow-cache timeout inactive 15

router-2621(config)#snmp-server ifindex persist

router#show ip flow export

router#show ip cache flow

از دیگر برنامه های Collector :

Adventnet Netflow analyzer

Solarwinds

Linux, FlowScan – http://net.doit.wisc.edu/~plonka/FlowScan

Netscout

Fluke Netflow Tracker – http://www.flukenetworks.com/fnet/en-us/products/NetFlow+Tracker

همچنین:

http://www.switch.ch/tf-tant/floma/software.html

http://www.networkuptime.com/tools/netflow

سلام و تشكر

لطفا در مورد CISCO MARS توضيح دهيد.

ا. ناظم

پاسخ:

سوال شما در زمان خوبی مطرح شد وقتی که روی یک دستگاه CSMARS در اتاقم مشغول کار بودم.

مارس یک راه حل برای دریافت Log های روتر، سوییچ، فایروال، IPS، آنتی ویروس ها همچنین Log های سرورها و آنالیز و به هم ربط دادن آن هاست. به آن Event Correlation میگوییم.

این تکنولوژی توسط شرکت Portego که بعدا توسط سیسکو خریداری شد ارائه گردید.

MARS یک راه حل پیشرفته STM يا Security Threat Mitigation است و بصورت سخت افزاری ارائه میشود. سیستم عامل لینوکس با Oracle روی سخت افزار نصب شده و در مدل های زیر تولید میشود:

20,25,50,55,100,110,200,210,GC,GC2,GCR,GC2R

که تفاوت آنها در قدرت پروسینگ تعداد Log در ثانیه و گنجایش Hard Disk می باشد.

نسخه فعلی نرم افزار سیستم عامل CS-MARS نسخه 6.0.3 است.

برای تنظیم اولیه مارس باید با کابل کنسول با سرعت باند 19200 به آن وصل شویم – برخلاف اکثر محصولات سیسکو که 9600 هستند.

مارس یکی از ابزارهای Cisco self defending Network است. این عنوان به راه کارها و ادوات سیسکو اشاره میکند که شبکه را توسط خود ابزار شبکه امن نگه میدارند اجزایی مثال IPS, Firewall و غیره. مارس میتواند گراف شبکه را بکشد و براساس اتفاقاتی که دریافت میکند به شما راه کار جلوگیری از حملات را ارائه کند.

اولین گام بعد از تنظیم IP روی دستگاه وارد شدن به محیط گرافیکی GUI آن است که روی SSL کار میکند.

کلمه عبور و نام کاربری قراردادی pnadmin است که از PNMARS یا مارس زمان Portego ارث برده شده…

پس از ورود به سیستم حتما باید License آنرا وارد کرد که در این جا من به مشکل جدی برخوردم. یادم نبود License دستگاه را کجا گذاشتم پس از چند دقیقه ای جستجو و باز کردن پنل جلوی دستگاه License آن نمایان میشود:

بعد از وارد کردن کد License صفحه Dashboard ظاهر میشود:

دستگاه های شبکه را تنظیم میکنیم تا توسط Syslog، SNMP، NetFlow، SDEE اتفاقات رخ داده در شبکه را به مارس ارسال کنند.

یکی از نکات قابل توجه مارس Data Reduction یا کم کردن دیتایی است که Admin باید با آن روبرو شود فرض کنیم یک حمله طول مسیری را طی میکند تا به مقصد برسد در این بین 4 دستگاه Event به مارس ارسال میکند و مارس این Event ها متوجه میشود که مربوط به یک Session هستند و تنها به شما وقوع یک Incident را نشان میدهد و در صورت تمایل جزییات را در اختیار شما قرار میدهد.

در تصویر زیر صفحه Dashboard مارس را میبینیم برای اینکه همه چیز مثل دنیای نا امن واقعی اینترنت بنظر برسد تعداد زیادی Packet های مختلف حمله و ویروس را در شبکه ایجاد کردم.

پس از 48 ساعت کار 2661364 اتفاق ثبت گردیده که در این بین 63 درصد صرفه جویی در جمع آوری Data صورت گرفته است.

در تصویر زیر نمودار حملات در سی دقیقه اخیر نشان داده شده است.

یکی از قابلیت های مارس ترسیم توپولوژی شبکه بصورت اتوماتیک است.

در نمودار زیر بردار حملات از هکر به مقصد نشان داده شده. همانطور که میبنید در یکی از حملات 128 اتفاق ثبت شده که با کلیک روی آن از جزییات آن مطلع میشویم. حمله فوق به پورت 25 یا سرویس SMTP است.

به بخش Incident میرویم تا این حمله را بررسی کنیم. در تصویر زیر Incident از پیش تعریف شده ای را می بینیم که وقتی دستگاهی در بازه زمانی مشخص 20 بار به یک سرور SMTP کند در لیست حمله کنندگان قرار میگیرد.

وقتی روی این اتفاق کلیک میکنیم وقوع آن را بصورت یک Session به ما نشان میدهد. این حمله یک بار اتفاق افتاده اما در سه جا شناسایی شده ابتدا موقع عبور از فایروال سپس توسط سوییچ 6500 و پس از آن روی روتر شبکه دیده شده است. دقت کنید که پس از عبور از فایروال IP دستگاه مقصد که سرور ماست تغییر میکند زیرا NAT شده اما MARS این اتفاق را بصورت هوشمندانه متوجه شده و آنرا حمله ای جداگانه نشان نمیدهد.

باکلیک روی Incident Vector بردار حملات به webserver را بصورت جداگانه بهمراه توضیحات پکت های دریافت شده در سمت چپ تصویر را برای ما نمایان میکند.

اگر روی Path Information کلیک کنیم نمودار عبور بسته ها درطول شبکه از Hacker به Target را نشان میدهد:

یکی از قابلیت های جالب MARS این است که به شما پیشنهاد میدهد چگونه و با چه Access-list ی روی کدام دستگاه جلوی حمله را بگیرید یا اینکه خودش دست به کار شده و در لایه دو MAC آدرس حمله کننده را روی پورت سوییچ فیلتر میکند…

در تصویر زیر راه حل مارس بستن پورت SMTP سرور برای دستگاه هکر است.

مارس به محصولات سیسکو محدود نشده و از هر دستگاهی حتی سرورهای مایکروسافت و برنامه های آنتی ویروس میتواند Log دریافت کرده و بصورت همزمان رخداد ها را نمایش دهد. بدین صورت با کمک این تکنولوژی مدیریت امنیت شبکه بسیار ساده تر و در عین حال پویا تر از قبل میشود. به همین دلیل است که امروزه وقتی مشتریان برای مشاوره و طراحی امنیت شبکه به سراغ ما می آیند ما راه حلی برای Premeter Security یا امنیت در دروازه ورودی شبکه ارائه نمیکنیم چراکه این مدل قدیمی قابلیت جلوگیری حملات از داخل شبکه را ندارد امنیت باید در نقطه نقطه شبکه پیاده شود با خریدن یک BOX بدست نمی آید.

این جریان به اواخر سال 2002 یا 1381 برمیگردد…

بخاطر دارم صبح که سرکار آمدم روی گراف MRTG دریافت زیادی از پهنای باند مشهود بود بعد از بررسی Port Utilization روی سوییچ ها متوجه شدم این ترافیک مربوط به Download هیچ یک از کامپیوتر ها و سرورهای داخل شبکه نیست متوجه Alert های IDS شدم (آن موقع IDS ی از شرکت ISS داشتیم) که ترافیکی زیاد را به پورت SQL نشان میداد که مشابه Worm بود. در آن روزها بازار کرم های اینترنتی مشابه امروز داغ نبود. حمله برای Signature های IDS ناشناس بود و تنها از غیرمعمول بودن آن خبر میداد (Anomaly Detect) و در حال Scanning این پورت بود.

به SANS رجوع کردم و دیدم بله یک ورم جدید آمریکا و اروپا را فرا گرفته که از Vulnerability های Microsoft SQL استفاده کرده و توسط این Exploit خود را در اینترنت پخش میکند اما در گراف های Traffic Monitor بنظر میرسید این ترافیک هنوز ایران را فرا نگرفته و ما اولین شبکه ی بودیم که این ترافیک را روی Sensor های IDS و روی PIX525 ی که داشتیم detect کردیم. با موسسه فیزیک نظری تماس گرفتیم (که پهنای باند ما را تامین می کرد) و به آنها فرستنده را معرفی کردیم تا روی دستگاه های خود ببندد تا این ترافیک برای ما در ورودی شبکه محسوب نشده و پهنای باند ورودی بیشتری داشته باشیم.

از جریان بالا چند نتیجه میتوان گرفت، IDS و فایروال کار خود را بخوبی انجام دادند اما وقتی Log های آنها مورد توجه قرار گرفت که روی MRTG تغییر گراف را مشاهده کردیم پس جای یک Event Correlation و جریانی که Log ها را آنالیز و شسته رفته در اختیار ما قراردهد در آن روزگار کم بود.

حال اگر ترافیک مربوط به حمله در ابعاد کوچکتری بود و آن روز فرصت بررسی Log ها را نداشتیم یا این کار را از روی تنبل بودن ذات آدمی به فردا موکول میکردیم دو ابزار امن سازی فوق نیز کارآمدی خود را تا حدودی از دست میدهند. حمله فوق موج اول Slammer بود و فردای آن روز ویروس ایران و اخبار را فراگرفت…

حال با این مقدمه می توانیم به سوال یکی از دوستان در مورد CS-MARS بپردازیم…

توضیح در مورد Slammer

Slammer سومین حمله کرم های اینترنتی در آن سال ها پس از Code Red و NIMDA یا همان ADMIN چپه شده! بود آن زمان Code Red که حمله هکرهای چینی (موج ارتش سرخ) به آمریکا بخاطر اعتراض به سقوط هواپیمای مسافربری چین بود؛ اینترنت را با استفاده از حفره های امنیتی و Exploit های IIS فراگرفت که خوشبختانه بازار خوبی را برای ما بهمراه آورد! چندین سرویس دهنده ایرانی و موسسه دولتی دچار آن شدند در حالیکه IIS های ما بخاطر داشتن CSA يا Cisco Secure Agent که Host Intrusion Prevention يا HIPS سیسکو است به مشکلی برنخورد.

http://en.wikipedia.org/wiki/SQL_slammer

Refresh of CCIE Security Lab Exam is Now Live

Effective April 20, 2009, important content changes have been implemented in the CCIE Security Lab exam. Candidates should prepare using the v3.0 Lab Equipment and Software Versions and v3.0 Blueprint. After April 20, 2009, students should no longer use the v2.0 Lab Equipment and Software Versions and v 2.0 blueprint as they have formally reached end of life.

تجهیزات امتحان Security LAB به نسبت به امتحانی که من دادم تغییر عمده ای کرده از VPN Concentrator دیگر خبری نیست و بجای IOS 12.2 از 12.4 استفاده میشود. بجای PIX و ASA از 3 ASA استفاده خواهد شد و SSL VPN و GETVPN نقش مهمی را ایفا خواهند کرد. در ضمن IPS نسخه جدید تر Version 6 استفاده میشود.

در امتحان من Cisco Secure ACS دو بار Hang کرد و IPS نیز نیاز به Restart پیدا کرد و با این تغییرات امتحان بنوعی ساده شده و از تنوع محصولات کم شده هر چند که Security کماکان از سخت ترین CCIE هاست و بنظر من قابل مقایسه با Routing & Switching نیست…

به یاد تمرین های امتحان

سوال شما من را یاد کتاب جدید سیسکو انداخت:

Cisco ASA, PIX, and FWSM Firewall Handbook

ISBN-10: 1587054574

که از کتاب های خوب  برای آشنایی با Firewall های سیسکو است. برای این که به این سوال جواب دهیم باید به زمان و تاریخ رجوع کنیم.

 Cisco PIX   Private Internet eXchangeاز اولین محصولات تاریخ فایروال و امنیت شبکه است که به سال 1995 ارائه شد و روز July 28, 2008 با اطلاع قبلی فوت شد (البته سیسکو مشتریان را تا 2013 پشتیبانی خواهد کرد)

بعد از ده سال از شروع به کار PIX؛ سیسکو ASA را در سال 2005 ارائه کرد و PIX را از رده خارج. هر چند که تکنولوژی PIX کماکان زنده است و درون سوییچ های 6500 و روتر های 7600 بنام FWSM کار میکند.

FireWall Services Module  يا  FWSM   یک Blade يا ماژول درون 6500 است که مستقل از خود سوییچ کار میکند اما با سرعت بالا به Backplane وصل میشود و میتواند سر راه VLAN ها قرار گیرد.

FWSM سال 2003 ارائه شد و به جرات میتوان آنرا از بهترین و منحصر به فردترین محصولات سیسکو دانست که حتی Juniper Netscreen هم نمیتواند با آن رقابت کند. زیرا که با 5Gbps درون Backplane سوییچ های Core 6500  شما قرار میگیرد و در هر شاسی تا 4 ماژول با سرعت 20Gbps میتوانید قرار دهید inline یعنی نیازی به اتصال به بیرون ندارد.

FWSM صرفا فایروال است VPNرا پشتیبانی نمیکند برای VPN باید از Blade دیگر و برای IDS از Blade دیگری استفاده کنید.

ساخت PIX توسط John Mayes صورت گرفت و در شکل زیر اولین PIX با شماره سریال 00000000 را میبینیم:

تصویر زیر دفتر شرکت در سال 94 در حال کار روی PIX را نشان میدهد که بسیار شلوغ بوده … تعداد کارمندان گروه PIX کمتر از ده نفر بودند.

از نسخه 7 سیستم عامل PIX؛ سیسکو شروع به یکسان سازی آن با IOS کرد بصورتیکه اگر با PIX6 کار کنید نیمتوانید دستورات را با PIX7 مقایسه کنید سیستم عامل جدید بسیار راحت تر برای IOS کاران است. کاری که Juniper برای Netscreen و ScreenOS هنوز نتوانسته کند و به فرم Junos در آورد. هر چند که فایروال های جونیپر دارای قابلیت های خوبی هستند که ASA با تعجب از کنار آنها گذشته نظیر PBR و DMVPN که در خیلی از پروژه ها کار مارا خراب کرده و مجبور شدیم از روتری در کنار آن استفاده کنیم.

نسخه 7 برای ASA ساخته شد که روی PIX نیز اجرا میشود اما نسخه 8 دیگر روی PIX اجرا نشده و ASA تنها آنرا پشتیبانی میکند پس مزایایی مثل SSL VPN روی PIX پشتیبانی نشده و ناگریز به استفاده از ASA خواهید بود.

علاوه بر این ASA قابلیت Virtualization دارد يعنی میتوانید یک سخت افزار را به چند Context تقسیم کنید و چند فایروال مجازی داشته باشید. این کار برای Hosting ها بسیار مفید است میتوانند به مشتریان با Policy های مختلف فایروال بدهند در حالیکه فایروال نخرند و Context اختصاص دهند.

در ضمن روی ASA يک درگاه افزایش Module وجود دارد که میتوانید آنرا به IPS و CSC مجهز کنید که قبلا به آن پرداخته ایم:

http://shzandi.wordpress.com/2008/11/14/asa-ips

ASA قابلیت Transparent Firewall در لایه دو را نیز دارد:

http://shzandi.wordpress.com/2008/11/12/transparent-firewall-stealth-mode

در پایان

انتخاب شما بین ASA و FWSM است درصورتیکه 6500 دارید FWSM را پیشنهاد میکنم بشرطی که کار VPN و IPS را به دستگاه های دیگر واگذار کنید.