реферат, рефераты скачать Информационно-образоательный портал
Рефераты, курсовые, дипломы, научные работы,
реферат, рефераты скачать
реферат, рефераты скачать
МЕНЮ|
реферат, рефераты скачать
поиск
Защита маршрутизатора средствами CISCO IOS

Защита маршрутизатора средствами CISCO IOS

Реферат

Тема: защита маршрутизатора средствами CISCO IOS

Содержание.

Введение 3

Программное обеспечение маршрутизаторов Cisco 4

Основные интерфейсы 6

Консольные интерфейсы 7

Решения Cisco Systems для обеспечения сетевой безопасности

8

Пользовательский и привилегированный уровни доступа

10

Парольная защита 12

Ограничение доступа к маршрутизатору

15

Заключение 16

Список использованных источников 17

Введение.

Компания Cisco Systems является абсолютным лидером на рынке маршрутизаторов

(занимает около 70% рынка; на втором месте Juniper c 21%). Cisco предлагает

модели от простейших маршрутизаторов для малого офиса (серия 800) до

мультигигабитных устройств, размещаемых в ядре Интернета (серия 12000).

Кроме маршрутизаторов Cisco известна коммутаторами ЛВС марки Catalyst,

межсетевыми экранами марки PIX, продуктами для IP-телефонии, продуктами

марки Aironet для организации беспроводных сетей и др. С учетом всей

номенклатуры выпускаемой продукции Cisco Systems является лидером мирового

рынка оборудования связи (14%; на втором месте Siemens с 11,7%).

Все модели, кроме серии 800, обладают той или иной степенью модульности, то

есть, позволяют устанавливать сменные интерфейсные модули и

специализированные вычислительные модули (для шифрования или обработки

голоса). Соответственно, цена устройства сильно зависит от комплектации.

Широко распространены также устройства серий 2500 и 4000, но в настоящее

время они сняты с производства (за исключением моделей 2509 и 2511). На

смену 2500 пришли маршрутизаторы серий 1700 и 2600, а на смену 4000 - 3600.

Программное обеспечение маршрутизаторов Cisco.

Все маршрутизаторы Cisco работают под управлением операционной системы

Cisco IOS. Для каждой модели маршрутизатора предлагаются несколько

разновидностей IOS.

Образы IOS различаются по версии. Cisco использует достаточно сложную

систему идентификации версий, ознакомиться с которой можно по этой ссылке.

Для студентов достаточно будет следующего понимания: номер версии Cisco IOS

состоит из трех частей:

Номер основного релиза (major release; в настоящее время обычно встречаются

основные релизы 11.3, 12.0, 12.1, 12.2).

Номер обновления (maintenance release), начиная с 1. Обновления выпускаются

каждые 8 недель, в них включаются исправления ошибок. Набор функциональных

возможностей релиза не изменяется.

Номер выпуска (software rebuild), обозначается буквой, начиная с а. Выпуски

предназначены для экстренного исправления ошибок, которое не может ждать до

следующего обновления.

Таким образом, IOS 12.2(6с) - это основной релиз 12.2, обновление 6, выпуск

c.

Каждая версия характеризуется степенью зрелости, как правило это LD

(Limited Deployment) или GD (General Deployment). LD подразумевает меньший

объем тестирования и опыта эксплуатации по сравнению с GD.

Кроме основного ряда IOS существует экспериментальный ряд, так называемый T-

train (или, официально, Technology Releases). Именно в T-train включаются

новые возможности и проходят "обкатку" до того, как будут введены в

основной ряд. Нумерация версий ряда Т строится аналогично основному ряду

(только выпуски нумеруются цифрами):

IOS 12.1(6)T2 - этот T-train базируется на основном релизе 12.1. Это второй

выпуск шестого обновления указанного T-train.

Со временем из T-train получается следующий основной релиз (так например,

12.0(6)Т переходит в 12.1, и в тот же момент образуется ряд 12.1Т для

добавления новых возможностей). Зрелость T-train характеризуется как ED

(Early Deployment), что означает, что программное обеспечение не

рекомендуется применять на ответственных участках, если аналогичную

функциональность можно найти в версиях LD или GD.

Не всякая версия может быть установлена на конкретный маршрутизатор в

конретной конфигурации; предварительно следует проконсультироваться у

специалиста компании-реселлера.

Кроме версий, образы IOS различаются по заложенной в них функциональности.

Функциональные возможности группируются в наборы, называемые feature sets.

Минимальная функциональность содержится в IP only feature set (или просто

"IP"); она включает в себя, в частности, поддержку IP-интерфейсов,

статическую и динамическую IP-маршрутизацию, поддержку мониторинга и

управления по SNMP. IP Plus feature set включает дополнительные возможности

(например, поддержку технологии VoIP для передачи голоса). Также имеются

feature sets с функциями межсетевого экрана (FW, Firewall), системы

обнаружения атак (IDS), криптозащиты трафика (IPSEC) и др., в том числе

имеются и комбинированные образы, например IP Plus FW IPSEC. Бесплатно с

маршрутизатором поставляется только IP only feature set, остальные образы

необходимо покупать. Для определения того, в каком feature set имеется

требуемая вам возможность, следует обратиться к специалисту компании-

реселлера.

Таким образом, конкретный образ IOS идентифицируется тремя параметрами:

аппаратная платформа, для которой он предназначен,

feature set,

версия.

Пример имени файла с образом IOS: c3620-is-mz.122-13a.bin. Это IOS IP Plus

12.2(13a) для Cisco 3620. Feature set (IP Plus) идентифицируется символами

"is", следующими за обозначением платформы. Другие примеры feature sets:

"i" - IP, "js" - Enterprise Plus, "io" - IP FW. Подобная кодировка

справедлива для серий 2600, 3600; для других платформ коды feature set

могут отличаться.

Буквы "mz" означают, что IOS при запуске загружается в оперативную память

(m) и что в файле образ хранится в сжатом виде (z).

Основные интерфейсы.

В каждом маршрутизаторе имеется некоторое число физических интерфейсов.

Наиболее распространенными типами интерфейсов являются:

Ethernet/FastEthernet и последовательные интерфейсы (Serial).

Последовательные интерфейсы по своему аппаратному исполнению бывают

синхронные, синхронно-асинхронные (режим выбирается командой конфигурации)

и асинхронные (Async). Протоколы физического уровня последовательных

интерфейсов: V.35 (чаще всего используется на синхронных линиях), RS-232

(чаще всего используется на асинхронных линиях) и другие.

Каждому интерфейсу соответствует разъем на корпусе маршрутизатора.

Интерфейсы Ethernet на витой паре обычно имеют разъем RJ-45, но на

некоторых моделях (серия 2500) встречаются разъемы AUI (DB-15), которые

требуют подключения внешнего трансивера, реализующего тот или иной

интерфейс физического уровня Ethernet.

Последовательные интерфейсы чаще всего снабжаются фирменными разъемами DB-

60 F или SmartSerial F (последний более компактен). Для того, чтобы

подключить интерфейс к внешнему оборудованию, необходимо использовать

фирменный кабель - свой для каждого протокола физического уровня. Фирменный

кабель имеет с одной стороны разъем DB-60 M, а с другой стороны - разъем

выбранного стандарта физического уровня для устройства DTE или DCE. Таким

образом, кабель выполняет следующие задачи:

путем замыкания специальных контактов в разъеме DB-60 сигнализирует

маршрутизатору, какой выбран протокол физического уровня, и каким типом

устройства является маршрутизатор: DTE или DCE;

является переходником с универсального разъема DB-60 на стандартный разъем

выбранного протокола физического уровня.

Примечание. В терминологии Cisco кабель DTE подключается к устройству DCE,

а кабель DCE - к устройству DTE; то есть тип кабеля указывает, какого вида

устройством является сам маршрутизатор, а не тот прибор, с которым его

соединяет кабель.

Обычно кабели DTE используются для подключения к маршрутизатору модемов, а

связка двух кабелей DTE-DCE используется для соединения двух

маршрутизаторов напрямую (back-to-back), при этом, естественно, один из

маршрутизаторов будет в роли DCE. На рисунке 2.2 приведен пример

сипользования кабедей для соединения устройств через интерфейс V.35

(стандартный разъем M.34).

Кроме универсальных последовательных интерфейсов, рассматривавшихся выше,

существуют специализированные последовательные интерфейсы, реализованные

вместе с каналообразующим оборудованием: контроллеры E1, модули ISDN BRI,

модули DSL, встроенные аналоговые или ISDN-модемы. В этом случае

последовательный интерфейс находится внутри маршрутизатора, "между"

каналообразующим оборудованием и ядром маршрутизатора. Для подключения

линий связи к вышеуказанному каналообразующему оборудованию обычно

используется разъем RJ-45 (для подключения линий к аналоговым модемам - RJ-

11).

Консольные интерфейсы.

Два специальных последовательных интерефейса - CON и AUX - предназначены

для доступа с терминала администратора к маршрутизатору для настройки и

управления. Интерфейс CON подключается напосредственно к COM-порту

компьютера администратора. К интерфейсу AUX подключается модем, что дает

возможность удаленного управления маршрутизатором путем дозвона на модем.

Интерфейс AUX может быть использован и как обычный последовательный

интерфейс, через который производится маршрутизация дейтаграмм, но обрабока

пакетов на этом интерфейсе требует большой доли процессорного времени

(каждый полученный байт вызывает прерывание), а скорость ограничена 115

кбит/с. Интерфейс CON используется только для терминального доступа к

маршрутизатору, параметры COM-порта должны быть 9600-8-N-1.

Обычно разъемы CON и AUX выполнены в формате RJ-45. Подключение к ним

производится с помощью специального кабеля RJ45-RJ45, прилагаемого к

маршрутизатору. Одним концом кабель включается в CON или AUX, а на другой

надевается переходник. Для подключения порта CON к компьютеру на кабель

надевается переходник, помеченный как "TERMINAL", а для подключения порта

AUX к модему со стороны модема используется переходник "MODEM".

Виртуальные интерфейсы.

Наряду с физическими интерфейсами в маршрутизаторе могут быть организованы

виртуальные интерфейсы: Loopback, Null, Dialer, Virtual-Template,

Multilink, BVI и др.

Loopback и Null вообще никак не связаны с физическими интерфейсами.

Loopback - это интерфейс обратной связи, ему можно назначать IP-адрес и

указывать некоторые другие параметры, используемые при настройках

интерфейсов. Loopback имеет следующие свойства:

интерфейс всегда активен (в отличие от физических интерфейсов, где,

например, обрыв кабеля переводит интерфейс в отключенное состояние);

как и в случае физических интерфейсов, пакеты, адресованные на этот

интерфейс, считаются адресованными маршрутизатору, а воображаемая IP-сеть,

к которой он "подсоединен" (согласно своим адресу и маске), считается

непосредственно подсоединенной к маршрутизатору;

пакеты, маршрутизированные через такой интерфейс (то есть, направленные к

узлам воображаемой сети, к которой подсоединен Loopback), уничтожаются.

Применения интерфейсов Loopback будут рассмотрены по ходу лабораторного

практикума.

Интерфейс Null не имеет IP-адреса и прочих настроек. Пакеты,

маршрутизированные через интерфейс типа Null, уничтожаются. Null

применяется при фильтрации дейтаграмм, а также для создания защитных

маршрутов при суммировании маршрутов.

Другие виртуальные интерфейсы фактически получают и отправляют данные через

физические интерфейсы, однако в данном случае IP-интерфейс больше не

ассоциируется непосредственно с физическим портом маршрутизатора. Порт

(порты), находящиеся "под" виртуальным интерфейсом, функционируют теперь

только на уровнях 1 и 2 и им не присваиваются IP-адреса.

Решения Cisco Systems для обеспечения сетевой безопасности.

Компания Cisco Systems, являясь одним из ведущих производителей сетевого

оборудования, предлагает полный спектр решений для обеспечения сетевой

безопасности. Ниже приведен краткий перечень новых продуктов и решений,

предлагаемых в данной области.

Для обеспечения защиты сетевых соеднений: Network based IPSec VPN solution

for Service Providers, VPN AIM Module for Cisco 2600XM, VAM2 Card for

7200s, VPN SM for Cat6500/7600, VPN 3000 Concentrator v4.0, AES Module for

VPN 3000, VPN Client v.4.0.

Для управления системой безопасности: Cisco IOS AutoSecure, Cisco Security

Device Manager v1.0 , Cisco ISC v3.0, CiscoWorks VMS v2.2, CiscoWorks

Security Information Management Solution (SIMS) v3.1.

Для обнаружения и предотвращения сетевых атак и вторжений: IDS 4215 Sensor,

IDS Network Module for Cisco 2600XM, 3660, 3700 series, Cisco Security

Agents v4.0, Cisco CSS 11501S and WebNS v7.2 SSL s/w ,Cisco ACNS Software

version 5.0.3 with Websense Content Filtering On-Box.

Для достоверной идентификации сторон, участвующих в защищенном обмене

информацией: Cisco IOS software Identity Enhancements.

Network based IPSec VPN solution for Service Providers позволяет

поставщикам услуг доступа управлять распределенными сетями на базе MPLS-

VPN, IP-VPN и FR/ATM-VPN при помощи одного интегрированного пакета

управления.

VPN AIM Module for Cisco 2600XM (AIM-VPN/BPII) предоставляет маршрутизатору

функции аппаратной шифрации с поддержкой алгоритмов DES, 3DES и AES и

обеспечивает в два раза более высокую производительность по сравнению с

предыдущим модулем ускорения шифрации (AIM-VPN/BP) - до 22 Мбит/сек.

VAM2 Card for Cisco 7200 - модуль аппаратного ускорения шифрации для

маршрутизаторов серии Cisco 7200. Один модуль обеспечивает

производительность шифрации до 260 Мбит/сек, два модуля - до 460 Мбит/сек.

VPN SM for Cat6500/7600 - сервисный модуль аппаратной шифрации для

коммутаторов Catalyst 6500/7600. Обеспечивая производительность до 14

Гбит/сек он также поддерживает расширенную функциональность - поддержку и

ускорение GRE-туннелей, полнофункциональне резервирование IPSec-соединений

(stateful failover), IPSec Remote Access и возможность подключения WAN-

интерфейсов.

VPN 3000 Concentrator v4.0 - новое ПО для концентратора VPN-соединений.

Появились новые диагностические функции, поддержка авторизации

пользователей через Kerberos/Active Directory, LAN-to-LAN backup для

резервирования межсетевых соединений. Также появилась поддержка нового

модуля шифрации AES - SEP-E, поддерживающего до 10000 одновременных

соединений DES/3DES/AES.

VPN Client v.4.0 - новая версия ПО для клиентских рабочих станций,

работающих через VPN. Интеграция с Cisco Security Agent предоставляет

пользователю функции firewall, удобный и простой графический интерфейс

облегчает настройку и управление, поддержка приложений, работающих с

протоколом H.323 позволяет дистанционно общаться, не беспокоясь о

защищенности соединения.

Cisco IOS AutoSecure - функция интерфейса IOS, позволяющая быстро

произвести настройку функций безопасности, отключить редко используемые

сетевые сервисы и разрешить доступ и управление только для авторизованных

пользователей.

Cisco Security Device Manager v1.0 - ПО управления сетевой безопасностью,

доступное на всех моделях маршрутизаторов доступа, от Cisco 830 до Cisco

3700, позволяющее в графическом режиме, удаленно с любой раюбочей станции

(через веб-браузер) изменять любые настройки безопасности на

маршрутизаторе. Встроенный алгоритм аудита предупредит пользователя о

потенциально опасных настройках и предложит варианты решения.

Cisco ISC v3.0 - Cisco IP Solution Center позволяет определять политики

безопасности для всей сети, скрывая подробности реализации политик на

конкретных устройствах. Политики позволяют учитывать схемы реализации

механизмов LAN-to-LAN VPN, Remote Access VPN, EZ VPN и DMVPN, Firewall, NAT

и QoS, а ISC реализует их на всех сетевых устройствах, работающих с

механизмами безопасности (IOS, PIX, VPN3K Concentrator и т.п.).

CiscoWorks VPN/Security management Solution 2.2 централизует функции

управления, мониторинга, учета, диагностики и обновления для ПО всех

сетевых устройств Cisco, реализующих функции сетевой безопасности.

CiscoWorks Security Information Management Solution (SIMS) v3.1 позволяет

управлять безопасностью в сетях, использующих оборудование и ПО различных

производителей.

IDS 4215 Sensor - отдельное устройство в стоечном исполнении, высотой 1 RU,

Страницы: 1, 2



© 2003-2013
Рефераты бесплатно, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент.