Difference between revisions of "Security Services Design"

From Teknologisk videncenter
Jump to: navigation, search
m
m (Intrusion Detection and prevention)
 
(13 intermediate revisions by 2 users not shown)
Line 12: Line 12:
 
|}
 
|}
 
== Virtual Firewall ==
 
== Virtual Firewall ==
Bemærk at en [[FWSM]] ingen fysiske Interfaces har, men tilslutter sig VLAN interfaces.
+
Bemærk at en [[FWSM]] som er en option til [[Cisco Catalyst 6500 serie switches]] ingen fysiske Interfaces har, men tilslutter sig VLAN interfaces.
  
 
{|
 
{|
Line 18: Line 18:
 
|}
 
|}
  
 +
== Firewall Context Design Consideration ==
 +
''Contexts'' kan fordele [[FWSM]]'ens ressourcer, således at et angreb på en context ikke har indflydelse på et andet Context. Hvis [[FWSM]]'en løber tør for ressourcer nægtes flere forbindelser. I eksemplet nedenunder vil et angreb på '''Context Pop''' kunne få indflydelse på '''Context Water''' og hvis angrebet er på '''defaulte parametre''' også på '''Context Tonic''' og '''Context Soft Drinks'''. Men ikke på '''Context Soda''' da denne er konfigureret med ressourcer på alle parametre. 
 +
{|
 +
|[[Image:Security context.png|500px|left|thumb|Firewall Context Design Consideration]]
 +
|}
 +
== Placering af [[FWSM]] ==
 +
*Ved at placere [[MSFC]] (Catalyst 6500 Router Card) '''indenfor''' [[FWSM]], gør designet af Firewallen nemmere og Firewallen sikrer [[MSFC]].
 +
*Ved at placere [[MSFC]] (Catalyst 6500 Router Card) '''udenfor''' [[FWSM]], bør der kun anvendes en enkelt '''Context''' (Firewall instans) da der ellers Routes mellem forskellige '''Contexts''', hvilket nok ikke er meningen.
 +
{|
 +
|[[Image:Security Placement.png|500px|left|thumb|FWSM Placement]]
 +
|}
 +
== Active/Active Firewall topology ==
 +
Ved fejl i den aktive firewall vil Standby firewallen overtage MAC og IP adresse fra den aktive.
 +
*Bemærk at i Failover trunk'en sendes al tekst i klartekst. Hvis [[FWSM]] anvendes til at terminere VPN tunneller vil brugernavne og passwords kunne ses her.
 +
{|
 +
|[[Image:Security ActiveActive.png|700px|left|thumb|Active/Active Firewall topology]]
 +
|}
 +
== Asymmetrisk Routning med Firewalls ==
 +
[[FWSM]] supporterer asymmetrisk Routning. Returtraffik sendes sendes ud af et andet interface end hvor det var modtaget.
  
 +
Asymmetrisk Routning anvendes mest hvor der er forbindelse til to Service Providere og der ikke anvendes [[NAT]].
 +
 +
[[FWSM]] kan arbejde med '''asr-group interfaces'''. Tabeller over hvilke forbindelser der er lovlige imellem flere Interfaces på samme [[FWSM]] eller mellem Active/Active failover redundans mode.
 +
{|
 +
|[[Image:Security Asymetric.png|500px|left|thumb|Asymetrisk Routning med en [[FWSM]]]]
 +
|-
 +
|[[Image:Security Asymetric2.png|700px|left|thumb|Asymetrisk Routning med Active/Active topologi.]]
 +
|}
 +
== Performance med flere [[FWSM]]s ==
 +
I eksemplerne er Firewallen konfigureret i en Active/Active konfiguration.
 +
=== Load balancing med PBR ===
 +
PBR - Policy Based Routing. Diriger trafikken med Routnings politikker. Clean and simple.
 +
{|
 +
|[[Image:Security performance 1.png|600px|left|thumb|Performance Scaling med Policy Based Routing]]
 +
|}
 +
=== Load balancing med ECMP ===
 +
ECMP - Equal Cost MultiPath. Vær opmærksom på at returtrafikken går gennem samme Firewall eller der benyttes Asymmetrisk Routning.
 +
{|
 +
|[[Image:Security performance 2.png|600px|left|thumb|Performance Scaling med Equal Cost Multipath]]
 +
|}
 +
== Private VLAN ==
 +
=== PVLAN typer ===
 +
*Isolated VLANS - Porte i et isoleret VLAN kan kun kommunikere med Promiscuous porten.
 +
*Community VLAN's - Er et isoleret VLAN men porte i samme Community kan kommunikere med hinanden.
 +
{|
 +
|[[Image:Security PVLAN.png|400px|left|thumb|Private VLANs]]
 +
|}
 
[[Category:CCDP]]
 
[[Category:CCDP]]
 +
== [[FWSM]] i et PVLAN ==
 +
I eksemplet nedenunder sidder [[FWSM]] på en Promiscuous port og ser trafikken fra PVLAN'et. [[FWSM]] agerer som gateway for PVLAN'et. Da Hostene sidder på isolerede porte og [[FWSM]] modulet ikke vil Route mellem Hostene på PVLAN'et, da pakkerne ikke må Routes ud gennem samme interface de kom ind af, har vi isoleret Hostene på PVLAN'et. Anvendes ofte i [[DMZ]] zoner.
 +
{|
 +
|[[Image:Security PVLAN2.png|500px|left|thumb|Isolerede porte på FWSM i Routed mode]]
 +
|}
 +
== Zone based Policy-Firewall ==
 +
Tre Zoner i eksemplet nedenfor. Hver Zone har sit eget Interface
 +
*Internet-Zonen
 +
*DMZ-Zonen
 +
*Inside Zonen
 +
En Zone based Policy-Firewall går ud på at lave regler for hvor og hvilken traffik der må være mellem Zonerne.
 +
{|
 +
|[[Image:Security Zone.png|500px|left|thumb|Zone-Based Policy Firewall]]
 +
|}
 +
= Network Security with Access Control =
 +
== NAC - Network Admission Control ==
 +
NAC anvendes til at inføre sikkerheds politikker på alle enheder der ønsker at bruge ressourcer på netværket. Cisco supporterer to typer af NAC. (Network Access Control)
 +
*Cisco NAC framework - Samarbejde mellem netværksenheder. Mere end 60 leverandører.
 +
*Cisco NAC Appliance - Authenticate, Authorize, evaluate
 +
{|
 +
|[[Image:Security NAC.png|700px|left|thumb|NAC sammenligning]]
 +
|}
 +
=== Cisco NAC fundamentals ===
 +
*NAM - Network Appliance Manager - Administrations server hvor politikker defineres. Kan kontrollere op til 20 NAS'er
 +
*NAS - network Appliance Server - Enheden som sidder mellem det usikre og det sikre net. Håndhæver NAM'ens politikker.
 +
*NAA - network Appliance Agent - Agent på Microsoft Windows som sikrer politikker på maskinen. (Programmer, registreringsdatabase, antivirus...)
 +
*Opdateringer. Prækonfigurerede politikker med nyeste statuser på operativsystemer, antivirus programmer (24 leverandører) spyware
 +
{|
 +
|[[Image:Security NAC2.png|600px|left|thumb|Process flow med NAC Appliance]]
 +
|}
 +
=== Cisco NAS Gateway modes ===
 +
*NAS gateway kan fungere på tre måder
 +
**Virtual Gateway. fungerer som en bro. (OSI lag 2)
 +
**Real IP gateway. Fungerer som Firewall Router
 +
**NAT gateway mode.
 +
{|
 +
|[[Image:Security NAC3.png|400px|left|thumb|Cisco NAS Gateway modes]]
 +
|}
 +
=== NAC Appliance design ===
 +
{|
 +
|[[Image:Security NAC4.png|700px|left|thumb|NAC Appliance redundans design]]
 +
|}
 +
==== Layer-2 inband design ====
 +
Oftest anvendt. NAS'en sidder logisk og ikke fysisk i trafikflowet inside-to-outside.
 +
*Se figuren herunder:
 +
**VLAN 110 er mapped til VLAN 10 igennem NAS'en.
 +
**VLAN 90 og VLAN 91 er Manangement VLAN's for NAS'er og NAM'er.
 +
{|
 +
|[[Image:Security NAC5.png|600px|left|thumb|Layer 2 in-band design]]
 +
|-
 +
|[[Image:Security NAC6.png|600px|left|thumb|Layer 2 in-band Virtual Gateway eksempel]]
 +
|-
 +
|[[Image:Security NAC7.png|600px|left|thumb|Layer 2 in-band Real IP Gateway eksempel]]
 +
|-
 +
|[[Image:Security NAC8.png|600px|left|thumb|Layer 2 Out-of-band Real IP Gateway eksempel]]
 +
|-
 +
|[[Image:Security NAC9.png|600px|left|thumb|Layer 3 in-band Virtual Gateway eksempel]]
 +
|-
 +
|[[Image:Security NAC10.png|600px|left|thumb|Layer 3 in-band with multiple remotes]]
 +
|-
 +
|[[Image:Security NAC11.png|600px|left|thumb|Layer 3 out-of-band with addressing]]
 +
|}
 +
== NAC framework overview ==
 +
*Subjects: Managed eller Unmanaged Hosts som skal NAC'es.
 +
*Enforment Devices: Enheder som skal håndhæve NAC. (Routere, VPN gateways, Lag 2 og 3 switche og Wireless Access Points (WLC)
 +
*Beslutnings udstyr:
 +
**AAA - Authentication, Autherization and Accounting server.
 +
**Directory Server - Bruger og Host authentication
 +
**PVS - Post Validation Server: Applications specifikke politikker indføres. (Antivirus software opdateringer etc.)
 +
**Remediation Server: Server hvor software ligger til at opdatere Hosts som ikke lever op til PVS'ens krav.
 +
**Audit Server: Tager beslutning om en Host må komme på nettet eller ej
 +
 +
{|
 +
|[[Image:Security NAC framework 1.png|800px|left|thumb| Router Platform support for NAC Framework]]
 +
|}
 +
=== Router Platform support for NAC Framework ===
 +
{|
 +
|[[Image:Security NAC framework 2.png|600px|left|thumb| Router NAC Framework]]
 +
|}
 +
=== Switch Platform support for NAC Framework ===
 +
{|
 +
|[[Image:Security NAC framework 3.png|600px|left|thumb| Switch NAC Framework]]
 +
|}
 +
== Cisco Client Security Software ==
 +
*NAA - Cisco NAC Appliance Agent: Optional Client-side checker klient inden den får adgang til nettet.
 +
*Cisco Security Agent: til Server og Desktop. Kan QoS mærke trafik ift. Policy Rules. Integrerer sig med Cisco NAC Framework og MARS (Montoring, Alalysis, Response System)
 +
*SSC - Secure Services Client: Authentication framework på Klient.
 +
** 802.1x
 +
**WI-FI WPA, WPA2 og EAP
 +
= Intrusion Detection and prevention =
 +
{|
 +
|[[Image:Security IDS 1.png|500px|left|thumb|IDS og IPS]]
 +
|}
 +
==IDS or IPS Deployments==
 +
{|
 +
|[[Image:Security IDS 2.png|500px|left|thumb|IPS design]]
 +
|}

Latest revision as of 18:32, 12 September 2010

Kapitel 8 fra CCDP ARCH bogen.

Kate.png This article is under development....

Designing Firewalls

Dette kapitel anvender primært FWSM som eksempel. PIX eller ASA enheder kunne også godt anvendes. (Forskelle vises).

PIX, ASA og FWSM forskelle

  • En PIX eller ASA Firewall tillader som standard trafik fra et inside (high security level) til outside (low security level)
  • En FWSM tillader ikke trafik mellem Interfaces medmindre det er eksplicit tilladt af en ACL.

Firewall Modes

Routed og Transparent Firewall mode

Virtual Firewall

Bemærk at en FWSM som er en option til Cisco Catalyst 6500 serie switches ingen fysiske Interfaces har, men tilslutter sig VLAN interfaces.

Virtual Firewall overview

Firewall Context Design Consideration

Contexts kan fordele FWSM'ens ressourcer, således at et angreb på en context ikke har indflydelse på et andet Context. Hvis FWSM'en løber tør for ressourcer nægtes flere forbindelser. I eksemplet nedenunder vil et angreb på Context Pop kunne få indflydelse på Context Water og hvis angrebet er på defaulte parametre også på Context Tonic og Context Soft Drinks. Men ikke på Context Soda da denne er konfigureret med ressourcer på alle parametre.

Firewall Context Design Consideration

Placering af FWSM

  • Ved at placere MSFC (Catalyst 6500 Router Card) indenfor FWSM, gør designet af Firewallen nemmere og Firewallen sikrer MSFC.
  • Ved at placere MSFC (Catalyst 6500 Router Card) udenfor FWSM, bør der kun anvendes en enkelt Context (Firewall instans) da der ellers Routes mellem forskellige Contexts, hvilket nok ikke er meningen.
FWSM Placement

Active/Active Firewall topology

Ved fejl i den aktive firewall vil Standby firewallen overtage MAC og IP adresse fra den aktive.

  • Bemærk at i Failover trunk'en sendes al tekst i klartekst. Hvis FWSM anvendes til at terminere VPN tunneller vil brugernavne og passwords kunne ses her.
Active/Active Firewall topology

Asymmetrisk Routning med Firewalls

FWSM supporterer asymmetrisk Routning. Returtraffik sendes sendes ud af et andet interface end hvor det var modtaget.

Asymmetrisk Routning anvendes mest hvor der er forbindelse til to Service Providere og der ikke anvendes NAT.

FWSM kan arbejde med asr-group interfaces. Tabeller over hvilke forbindelser der er lovlige imellem flere Interfaces på samme FWSM eller mellem Active/Active failover redundans mode.

Asymetrisk Routning med en FWSM
Asymetrisk Routning med Active/Active topologi.

Performance med flere FWSMs

I eksemplerne er Firewallen konfigureret i en Active/Active konfiguration.

Load balancing med PBR

PBR - Policy Based Routing. Diriger trafikken med Routnings politikker. Clean and simple.

Performance Scaling med Policy Based Routing

Load balancing med ECMP

ECMP - Equal Cost MultiPath. Vær opmærksom på at returtrafikken går gennem samme Firewall eller der benyttes Asymmetrisk Routning.

Performance Scaling med Equal Cost Multipath

Private VLAN

PVLAN typer

  • Isolated VLANS - Porte i et isoleret VLAN kan kun kommunikere med Promiscuous porten.
  • Community VLAN's - Er et isoleret VLAN men porte i samme Community kan kommunikere med hinanden.
Private VLANs

FWSM i et PVLAN

I eksemplet nedenunder sidder FWSM på en Promiscuous port og ser trafikken fra PVLAN'et. FWSM agerer som gateway for PVLAN'et. Da Hostene sidder på isolerede porte og FWSM modulet ikke vil Route mellem Hostene på PVLAN'et, da pakkerne ikke må Routes ud gennem samme interface de kom ind af, har vi isoleret Hostene på PVLAN'et. Anvendes ofte i DMZ zoner.

Isolerede porte på FWSM i Routed mode

Zone based Policy-Firewall

Tre Zoner i eksemplet nedenfor. Hver Zone har sit eget Interface

  • Internet-Zonen
  • DMZ-Zonen
  • Inside Zonen

En Zone based Policy-Firewall går ud på at lave regler for hvor og hvilken traffik der må være mellem Zonerne.

Zone-Based Policy Firewall

Network Security with Access Control

NAC - Network Admission Control

NAC anvendes til at inføre sikkerheds politikker på alle enheder der ønsker at bruge ressourcer på netværket. Cisco supporterer to typer af NAC. (Network Access Control)

  • Cisco NAC framework - Samarbejde mellem netværksenheder. Mere end 60 leverandører.
  • Cisco NAC Appliance - Authenticate, Authorize, evaluate
NAC sammenligning

Cisco NAC fundamentals

  • NAM - Network Appliance Manager - Administrations server hvor politikker defineres. Kan kontrollere op til 20 NAS'er
  • NAS - network Appliance Server - Enheden som sidder mellem det usikre og det sikre net. Håndhæver NAM'ens politikker.
  • NAA - network Appliance Agent - Agent på Microsoft Windows som sikrer politikker på maskinen. (Programmer, registreringsdatabase, antivirus...)
  • Opdateringer. Prækonfigurerede politikker med nyeste statuser på operativsystemer, antivirus programmer (24 leverandører) spyware
Process flow med NAC Appliance

Cisco NAS Gateway modes

  • NAS gateway kan fungere på tre måder
    • Virtual Gateway. fungerer som en bro. (OSI lag 2)
    • Real IP gateway. Fungerer som Firewall Router
    • NAT gateway mode.
Cisco NAS Gateway modes

NAC Appliance design

NAC Appliance redundans design

Layer-2 inband design

Oftest anvendt. NAS'en sidder logisk og ikke fysisk i trafikflowet inside-to-outside.

  • Se figuren herunder:
    • VLAN 110 er mapped til VLAN 10 igennem NAS'en.
    • VLAN 90 og VLAN 91 er Manangement VLAN's for NAS'er og NAM'er.
Layer 2 in-band design
Layer 2 in-band Virtual Gateway eksempel
Layer 2 in-band Real IP Gateway eksempel
Layer 2 Out-of-band Real IP Gateway eksempel
Layer 3 in-band Virtual Gateway eksempel
Layer 3 in-band with multiple remotes
Layer 3 out-of-band with addressing

NAC framework overview

  • Subjects: Managed eller Unmanaged Hosts som skal NAC'es.
  • Enforment Devices: Enheder som skal håndhæve NAC. (Routere, VPN gateways, Lag 2 og 3 switche og Wireless Access Points (WLC)
  • Beslutnings udstyr:
    • AAA - Authentication, Autherization and Accounting server.
    • Directory Server - Bruger og Host authentication
    • PVS - Post Validation Server: Applications specifikke politikker indføres. (Antivirus software opdateringer etc.)
    • Remediation Server: Server hvor software ligger til at opdatere Hosts som ikke lever op til PVS'ens krav.
    • Audit Server: Tager beslutning om en Host må komme på nettet eller ej
Router Platform support for NAC Framework

Router Platform support for NAC Framework

Router NAC Framework

Switch Platform support for NAC Framework

Switch NAC Framework

Cisco Client Security Software

  • NAA - Cisco NAC Appliance Agent: Optional Client-side checker klient inden den får adgang til nettet.
  • Cisco Security Agent: til Server og Desktop. Kan QoS mærke trafik ift. Policy Rules. Integrerer sig med Cisco NAC Framework og MARS (Montoring, Alalysis, Response System)
  • SSC - Secure Services Client: Authentication framework på Klient.
    • 802.1x
    • WI-FI WPA, WPA2 og EAP

Intrusion Detection and prevention

IDS og IPS

IDS or IPS Deployments

IPS design