Cisco IOS Firewall Feature Set

Информация предоставлена "Р-Альфа"

Продукция компании Cisco Systems используется примерно на 80% хостов в Интернет. Операционная система Cisco - IOS содержит в своем составе различные механизмы защиты, включая средства разграничения доступа, расширенные списки межсетевого доступа, средства организации виртуальных корпоративных сетей и т.д.

Firewall Feature Set (FFS) представляет из себя набор дополнительных сервисов, которые позволяют существенно приблизить возможности операционной системы IOS к возможностям межсетевого экрана без приобретения дорогостоящего дополнительного оборудования или программного обеспечения.

Основными преимуществами такого решения являются:

1. Гибкость - одновременно решаются вопросы маршрутизации, обеспечения защищенного доступа в Интернет. В описаниии правил доступа используется информация о пользователях, адресах, типах приложений, как для входящих, так и выходящих соединений;
2. Защита инвестиций - дополнительные возможности по защите в маршрутизаторе позволяет сэкономить средства на обучении работе с иной аппаратной платформой;
3. Легкость управления - использование возможностей удаленного администрирования позволяет управлять системой со своего рабочего места через сеть;
4. Совместимость с другими продуктами и решениями компании Cisco Systems

Ниже приведено краткое описание основных функциональных возможностей FFS:

Основанный на контексте контроль доступа
Контроль состояния соединения	Контроль состояния и контекста всех соединений через роутер
Протокольно-зависимая фильтрация	Учет в правилах фильтрации команд служебных протоколов прикладного уровня, обнаружение атак на уровне протоколов, динамическое открытие необходимых для работы приложений портов
Поддерживаемые приложения
TCP/UDP приложения	Telnet, FTP, HTTP, SNMP
FTP протокол	Активный и пассивный режим
Мультимедиа приложения	Контроль потоков служебной информации для правильного открытия необходимых портов для аудио/видео соединений (включает H.323 приложения, CU-SeeME, RealAudio, VDOLive, Streamworks и др.)
Контроль SMTP приложений	Обнаружение неверных SMTP команд, что позволяет избежать необходимости установки почтовых серверов в демилитаризованной зоне
Поддержка RCP сервисов	Контроль запросов portmapper на открытие соединений для работы RCP приложений
Поддержка R-команд	Проверка ответов сервера с запросами на установление дополнительных соединений
Поддержка приложений Oracle	Контроль сообщений о перенаправлении соединений от серверной части Oracle в приложениях клиент-сервер; открытие портов для работы клиентов с сервером
Приложения по поддержке видеоконференций на основе H.323	Проверка контрольных сообщений Q.931 и H.245, которые служат для открытия дополнительных UDP соединений для передачи видео и аудио данных
Обнаружение и предотвращение атак типа "отказ в обслуживании"
Защита от популярных видов атак	Защита от syn атак, сканирования портов, защита от атак с исчерпыванием ресурсов маршрутизатора.
Контроль порядковых номеров	Проверка порядковых номеров (sequence number) в TCP соединениях для гарантии того, что они находятся в ожидаемом диапазоне
Статистика соединений	Статистика соединений, включающая время, адреса источника/назначения, порты и полное число переданных байт
Рекомендуемые настройки по умолчанию	Настройки при загрузке, вкл/выкл source routing, разр/запр proxy arp, разрешение всех/только требуемых приложений, шифрование паролей на роутере с помощью MD5, списки доступа и пароли к виртуальным терминалам, разр/запр аутентификации роутеров в поддерживавемых протоколах маршрутизации
Расширенная статистика по TCP/UDP соединениям	Статистика доступа пользователей (порты и адреса источника/назначения)
Блокировка Java апплетов
Установка уровня защиты	Можно настроить правила фильтрации или полного запрета Java апплетов, не находящихся внутри архивов или сжатых файлов
Оповещение об атаках в реальном времени
Расширенные возможности	Сообщения в случае атак типа "отказ в обслуживании" или иных заранее описанных событий через syslog механизм на заданный хост
Совместимость с остальными возможностями Cisco IOS	Совместимость со списками доступа, трансляцией адресов, рефлексивными списками доступа, технологией шифрования, используемой в Cisco
Сетевое управление
Поддержка в ConfigMaker	Программа под Windows95/NT, облегчающая настройку сетевых параметров, адресации и параметров FFS

Принцип действия контекстного контроля доступа

Контекстный контроль доступа (ККД) - это механизм контроля доступа на уровне приложений для IP трафика. Он распостраняется на стандартные TCP/UDP приложения, мультимедиа (включая H.323 приложения, CU-SeeME, VDOLive, Streamworks и др.), протокол Oracle БД. ККД отслеживает состояние соединения, его статус.

Обычные и расширенные списки доступа, реализованные в IOS, тоже контролируют статус состояния. Однако при их использовании рассматривается только информация из заголовка пакета. ККД же использует всю информацию в пакете и использует ее для создания временых списков доступа для обратного трафика от этого приложения. После окончания соединения эти списки доступа уничтожаются. ККД является более строгим механизмом защиты, чем обычные списки доступа, поскольку он учитывает тип приложения и особенности его поведения

В настоящее время FFS существует только для маршрутизаторов 2500 и 1600 серий, наиболее распостраненных в Интернет.