SSL VPN, TLS и системы обнаружения вторжений (IPS/IDS)

У нас с вами сегодня какое число? 11 октября, уже ничего себе. У нас сегодня среда, это восьмой день курса, предпоследний. Мы укладываемся, как и было обещано, в 9 дней. Вчера мы начали разбирать тему VPN довольно подробно, в рамках сессии поговорили про IPsec, попробовали site-to-site VPN. Он у нас даже получился, у всех поднялся site-to-site VPN. Кто-нибудь сегодня на стенде занимался? Нет? Или вчера закончили? Сейчас мы с вами будем говорить про второй тип VPN — это remote access VPN. Здесь будет немножечко новый материал. Remote access VPN в нашем

курсе CCNA Security — remote access VPN подразумевается совершенно конкретный цисковский SSL VPN. Мы сейчас про него чуть-чуть поподробнее поговорим, но я должен сказать, что технологий именно remote access VPN их немало. Мы с вами проговаривали те же самые стандартные L2TP, PPTP — плюс это целая пачка технологий, которая будет под собой подразумевать SSL-туннель, SSL- инкапсуляцию, которая сейчас, наверное, более распространена, потому что у многих вендоров — я конечно не буду говорить, что у всех, но у очень многих вендоров — существуют свои клиенты для

организации VPN: той же Cisco, Fortinet, Zyxel, Huawei, по-моему, тоже какой-то клиент есть. У многих современных вендоров вендор старается сделать свой клиент. Зачем это нужно, мы чуть попозже расскажем — зачем нужно делать своего клиента VPN. Казалось бы, есть стандартные совершенно решения, и почему бы не пользоваться ими? Но свой клиент — это тоже оправданно. Давайте немножечко про SSL. SSL — эта вещь, которую мы слышим отовсюду. Надо, наверно, напомнить, как развивалась эта система. SSL — это криптосистема, которую в свое время разработала компания Netscape. Я не думаю, что сейчас из молодых сетевых инженеров кто-то помнит компанию Netscape. Netscape в свое время, в 90-х

годах, она была на коне. Эта компания, с которой у меня связано прекрасное воспоминание — это был первый браузер мой, Netscape Navigator 3.0 версия Gold. Был просто 3.0, еще была отдельная версия Gold. Netscape Navigator в то время — это, по-моему, был 95-й год, когда я впервые столкнулся с вебом, или 95–96, нет, 95-й всё таки. В то время Netscape Navigator уделывал своего конкурента Internet Explorer по многим параметрам. Тогда я ещё слабо разбирался, но я знал, что там всё работает как-то побыстрее, и покорректнее, получше всё отображается. В своё время именно Netscape разработала такую криптосистему, с помощью которой обеспечивала шифрование веб-трафика. Сначала она была заточена именно под передачу веб-трафика,

потом она стала развиваться, и SSL стал очень популярным, потому что система SSL базировалась на открытых компонентах — ничего секретного и уж очень проприетарного в ней не было, поэтому она завоевала достаточную популярность. Последняя версия SSL 3.0 была выпущена аж в 1996 году, поэтому именно SSL как таковой он уже давно не актуален, он был выпущен в 96-м году. Хотя поддержка SSL 3.0 до сих пор есть в огромном количестве продуктов, она не очень оправдана. SSL был переработан, и появился протокол TLS — Transport Layer Security. Первая версия в 99-м году уже была выпущена именно как замена SSL. Текущая версия — это 1.2, он описан в RFC,

поэтому TLS — это современный протокол, нормальный, который следует использовать. Сейчас это взаимозаменяемые понятия: если мы говорим «SSL-доступ», то здесь будет иметься в виду, конечно же, TLS-протокол, никакой не SSL. Хотя поддержка до сих пор везде есть, но лучше не использовать. Задача SSL/TLS — это шифрование и аутентификация на уровне сессии и выше. Это не шифрование на сетевом уровне, которым занимается IPsec, а это шифрование именно на уровне приложений — уровень сессии и выше. Я думаю, что модель OSI вы разбирали хорошо, тем более те, кто учился у Иннокентия — вообще Иннокентий и модель OSI это уже притча во языцах, это человек,

который лучше всего может объяснить эту модель. Уровень сессии и выше — это то, что уже реализовано в программных продуктах. Например, отдельных протоколов уровня сессии вы сейчас не встретите в современном мире. Будем говорить, что просто уровень приложений. На уровне приложений будет шифроваться. Протоколы, которые поддерживают SSL/TLS — конечно же, самые популярные это HTTPS — расширение для HTTP, IMAPS и POP3S для почты, LDAPS. Наверное, сейчас практически все современные протоколы уровня приложений, которыми пользуются люди в современном мире, они все имеют поддержку TLS. Естественно, какие криптоалгоритмы будут использоваться в SSL?

Во-первых, надо понимать, что шифрование у нас будет осуществляться с помощью симметричных алгоритмов. Асимметричное шифрование в SSL тоже есть, но это всё опять же в процессе установки сессии. Мы с вами тоже SSL разбирали, когда про симметричное шифрование говорили. Какие будут криптоалгоритмы? Блочные — это 3DES, AES, RC-шки, все будут поддерживаться, обычный DES. На самом деле их очень много. И ГОСТовский — это 28147. Обратите внимание, есть так называемый алгоритм NULL — это специальная заглушка, которая есть в SSL. Она появилась, по-моему, ещё в SSL какой-то древней версии, не в TLS. NULL — это просто программная заглушка, которая

говорит, что шифрование никакое не используется. Кое-где можно встретить именно такую настройку. Кстати, с точки зрения безопасности можно придумать такую атаку, такой вектор угроз, когда — сейчас я из головы выдумываю, но это можно действительно осуществить — когда, например, вы устанавливаете соединение с каким-то сайтом, может быть, с поддельным, где у вас работает HTTPS, где работает SSL-сессия, и у вас строка в браузере зелёненьким светится, хотя в современном браузере она уже тоже не будет светиться, а шифрования никакого нет. Бывает такое, когда сервер настроен на то,

чтобы согласовывать — во-первых, что вообще согласовывается, когда устанавливается сессия — можно было сделать так, что сервер просто согласовывал шифрование NULL. Он согласовывает это как алгоритм: мы будем использовать шифрование NULL, и на самом деле никакого шифрования не происходит. SSL согласован, сессия работает, а трафик передаётся в открытом виде. Так что имейте в виду. Сейчас современные браузеры, тот же Chrome, он будет даже ругаться, если используются какие-то слабые алгоритмы шифрования, например RC2, или если обычный DES используется, то Chrome современных последних версий вместо зелёненькой строчки всё равно будет показывать ошибку. Сессия поставится, всё будет работать, но всё равно будет показывать ошибку — он будет говорить, что используется нестойкий алгоритм шифрования. Я думаю, что вы это где-то видели, если включить наблюдательность — иногда

это бывает. Обращайте внимание на ошибки SSL, современный браузер это пишет. Поэтому сейчас такие вещи типа шифрования NULL они не прокатят, конечно, в современных уже версиях, но до недавнего времени всё было возможно, и были возможны такие атаки. Целостность, которая поддерживается в TLS — это все, наверное, возможные алгоритмы: MD5, старый SHA-1, SHA-2, ГОСТовские алгоритмы — они есть в драфте RFC, и они ещё как бы не официально прямо поддерживаются, но тоже поддерживаются ГОСТовские алгоритмы. Аутентификация, управление ключами — здесь, наверное, может поддерживаться вообще всё, что придумано в криптографии: там и RSA, и DSA, и pre-shared key, и всё это поддерживается,

и Kerberos, и Diffie-Hellman там работает. Так что TLS, в отличие от того же IPsec, разрешает использование намного более широкой гаммы всех возможных алгоритмов. Если у IPsec есть совершенно чёткие рекомендации, что используется, что поддерживается, что не поддерживается, плюс есть ещё стандарт Suite B, то в TLS рекомендации тоже есть, но поддержка не выключена — поддерживается вообще, наверно, всё на свете. Конкретные реализации TLS могут поддерживать и различные другие алгоритмы. Мы написали как пример: в Windows, в том же самом Internet Explorer, если кто-то работает с клиент-банками, то там есть специальный крипто-API в операционной

системе, и протокол TLS может через криптопровайдеры, через какие-то специальные программные прослойки, использовать другие, произвольные вообще, алгоритмы, в том числе российскую криптографию. То есть со сторонними криптопровайдерами — скажем, какие-нибудь КриптоПро — такие программные прослойки тоже могут использоваться в TLS. В результате TLS получается таким очень универсальным механизмом, в котором можно навертеть в принципе вообще всё что хочется. Хочется нам использовать какое-то там суперсшифрование по какому-то своему супералгоритму, сделанное вообще на отдельной железке — пожалуйста, используйте, никто этого не запрещает,

осталось только придумать, как это прикрутить. Дальше, теперь про AnyConnect. Для remote access VPN Cisco рекомендует использовать свой продукт, он называется Cisco AnyConnect, который будет инкапсулировать трафик либо в SSL, либо в IKEv2-туннель. Почему Cisco продвигает свой AnyConnect? Почему сейчас и в курсах Cisco, и в различных источниках Cisco всегда ставят знак равенства: если remote access VPN, то это AnyConnect, и никак по-другому? Дело в том, что AnyConnect может работать не только как VPN-клиент — как VPN-клиент может много кто работать — но он имеет множество полезных функций, которые

в связке с другими продуктами Cisco, например тот же Cisco ISE, может добавлять очень интересный функционал типа принудительной проверки на вирусы, например. Вот как такой пример: через AnyConnect мы можем оценить общее состояние безопасности клиента и выдать ему какие-то рекомендации. Поэтому AnyConnect — это не просто VPN-клиент. В минимальной конфигурации, если AnyConnect просто использовать как VPN-клиент, там надо запомнить, может быть, даже для экзамена, что он включает в себя самоподписанный сертификат сервера, локальную базу аутентификации,

локальный пул адресов для клиентов — это всё настраивается локально на той же ASA. Функции split tunneling, hairpin — это всё в минимальной конфигурации. Что такое split tunneling? Split tunneling — это ещё одно такое название, оно в принципе общераспространённое. Это маршрутизация, когда AnyConnect принимает маршруты от сервера, в которых написано, что, например, трафик, который идёт во внутреннюю сеть компании, зашифровать, а весь остальной трафик пускать в обход, пускать на шлюз по умолчанию. Split tunneling — это просто настройка маршрутизации, когда мы разделяем, какой трафик идёт в туннель, а какой трафик у нас идёт просто на шлюз по умолчанию. Это можно сказать, как crypto access list мы

настраивали с вами — мы тоже отбирали интересный трафик. Split tunneling — когда мы отбираем интересный трафик, заворачиваем его в туннель, и маршрут мы ему делаем на сервер, к которому подключились. Остальной трафик идёт как обычно. Михаил говорит, что AnyConnect очень стабильный, чего не скажешь о других общедоступных клиентах VPN. Да, действительно, просто по опыту могу сказать, что действительно штука стабильная — она просто работает. Этот клиент Cisco вылизала основательно очень. У меня не случалось такого, чтобы AnyConnect как-то глючил или падал — он просто работает и нормально работает. OpenVPN тоже хорошая вещь, никто не говорит, но OpenVPN — у меня с ним в своё время дружба не сложилась. Я OpenVPN пробовал лет 10 назад, с современным OpenVPN я не работаю,

у меня просто как-то нет таких задач, чтобы именно OpenVPN. Наверное, Андрей прав, потому что не сложилось не потому, что сложно — просто раньше он был не очень стабильный. В то время, когда я его пробовал, может быть, не 10 лет назад, может 7 лет назад, но когда ещё были начальные версии, он был не очень стабилен, и как-то мне он не приглянулся. Я вообще привык пользоваться стандартными средствами, стандартными клиентами, которые в операционных системах есть. L2TP меня вполне устраивает. Чем плохо использование PPTP, L2TP в отличие от SSL? Дело в том, что SSL будет работать по стандартным портам, он будет использовать 443-й порт,

и его никто не блокирует. Бывает так, что какие-то транзитные провайдеры блокируют трафик PPTP — это к гадалке не ходи, много кто его блокирует. L2TP очень часто встречается, что не работает. А SSL VPN работает, и никто же не понимает — даже если расковыривать этот трафик, я не говорю про то, что расшифровывать, а просто смотреть заголовки — то они мало чем отличаются от заголовков обычной веб-сессии. Этим и хорош в принципе SSL VPN — он пролезает везде, это большой плюс. Дальше давайте про hairpin. Если вы такой термин не встречали, то лучше его запомнить. Hairpin — это не связано с волосами, это связано с

заколкой для волос, шпилькой такой. Это механизм обхода своего NAT. Сейчас я попробую объяснить, что это такое. Бывают ситуации, когда, например, нам нужно изнутри сети получить доступ ко внешним ресурсам сети, используя внешние адреса. Ресурсы, например, в DMZ размещаются — но это мы с вами поговорили, там из одной зоны в другую — а именно подключиться изнутри сети к внешнему IP-адресу. Если у нас будет работать NAT, там будет не очень красиво всё, потому что — я просто объясню значение hairpin. Есть некоторые техники, например, специальная настройка NAT, чтобы возможно было изнутри сети

подключиться к своим внешним IP-адресам, к каким-то ресурсам. Это называется hairpin — сделать такую вот «шпильку»: подключиться отсюда сюда, как булавочка. Какая цель? Цель может преследоваться разная. Например, посмотреть, как у нас работает веб-сервер, как он виден снаружи. Какой-то сервис — мы опубликовали веб-сервер, поставили веб-сервер, пусть даже опубликовали — static NAT у нас работает на роутере, веб-сервер стоит, люди снаружи могут подключаться к нашему внешнему IP-адресу, и будет NATиться, обычно статически, на веб-сервер. Иногда бывает так, что нужно изнутри тоже подключиться, посмотреть. Юрий, hairpin нужен не когда извне подключаются клиенты, а

когда ты изнутри подключаешься. Сначала роутер твой адрес NATит, операцию NAT производит, а потом ему NATить надо обратно — делать статический NAT в другую сторону. Извне пощупать — правильно. Hairpin — это костыль, который нужен для того, чтобы всё это работало. Про AnyConnect SSL VPN на ASA — наверное, в первую очередь, когда говорят про AnyConnect, будет подразумеваться, что терминироваться это будет на ASA, потому что AnyConnect был придуман именно для Cisco ASA и там был реализован. Хотя сейчас обычный Cisco IOS, который работает на роутерах, он тоже имеет реализацию SSL-сервера, он будет только называться по-другому — он будет называться WebVPN. Если

говорят про WebVPN на роутере — это именно SSL-сервер для AnyConnect. Опционально инфраструктуру AnyConnect можно дополнить: уже нормальный сертификат поставить, который будет подписан нормальным CA, уже прикрутить аутентификацию с помощью сторонних RADIUS-серверов, получение адресов от внешнего DHCP-сервера. Можно AnyConnect-сервер нормально включить в инфраструктуру предприятия, когда будет общая уже аутентификация с авторизацией — да, мы будем использовать с помощью RADIUS, пусть даже там учётные записи из Active Directory, это всё можно сделать. Он будет

работать централизованно. Если DHCP-сервер есть, его тоже можно использовать, не какой-то локальный пул, который на ASA настроен или на роутере — всё централизовано. Можно ещё, наверное, нужно упомянуть про то, что есть свободная реализация сервера для AnyConnect, она работает на Linux, на FreeBSD — не уверен, что есть, но может быть. По-моему, он называется ocserv, по-моему, так он называется. Если кто-то поднимал и настраивал, то знает. Нет, это выпускает не Cisco, это открытая реализация — просто люди взяли, написали сами сервер под AnyConnect. Я скажу, что работает стабильно, работает надёжно, ничего не падает, и всё прекрасно. Как это ни странно, я не знаю по поводу

функционала какого-то расширенного, потому что у меня это работает на удалённой площадке, где я могу только виртуалку с Linux поднять. Я не использую там внешний DHCP-сервер или внешний RADIUS для этого, но я использую там локальные базы. В минимальной какой-то конфигурации всё прекрасно работает, причём подключение происходит даже быстрее, чем к тому же VPN-роутеру на ASA или на IOS. Так что имейте в виду — есть открытая реализация. Если хочется использовать AnyConnect, но вы ограничены в возможностях по лицензированию, поднимите сервер на Linux — всё будет точно так же работать, но в минимальной конфигурации. Хотя я думаю, что и внешние какие-то вещи прикрутить можно. По поводу легальности AnyConnect: сам клиент он бесплатный. Сам клиент, но

честно скажу, я не специалист в лицензировании продуктов Cisco, и возможно, что Cisco это запрещает, но я не думаю, что она это запрещает, потому что реализация свободная, она не какая-то пиратская — это совершенно официально, во многих дистрибутивах она присутствует. С моей точки зрения, я не думаю, что это криминал — пользоваться клиентом. Это же не взлом ASA, чтобы включить там нелегально лицензии. Включение лицензии на ASA, если ты не покупаешь эти лицензии — это нелегально точно. А просто клиент, который можно свободно скачать с сайта Cisco — я не думаю, что здесь какой-то криминал есть. Можно ли через AnyConnect передавать разные маршруты на клиент после установки подключения? Я так не делал,

у меня не было в принципе такой задачи, но я не вижу ничего невозможного. А какие могут быть маршруты, Кирилл, кроме split tunneling? Здесь маршруты — это как раз split tunneling и называется, это штатная вещь. Вы указываете сети, когда настраиваете на сервере — вы указываете сети, которые должны у нас маршрутизироваться через этот туннель, а всё остальное по умолчанию идёт мимо туннеля. Через AnyConnect можно указать разные маршруты, если ресурс, который внутри нашей сети стоит — внутри корпоративной сети — то это обычно split tunneling, это нормальная работа. Если у него внешний

IP-адрес, то в туннель он не пойдёт — вы же в туннель направляете через AnyConnect только конкретные сети, вы указываете маску маршрута, грубо говоря. В CheckPoint — я почему говорил именно про клиенты — почему все стараются свои клиенты выпускать: потому что как раз такие дополнительные фишки они будут хороши при использовании своих клиентов. Дальше, мы здесь сейчас на нашем курсе не будем настраивать эти AnyConnect, хотя можно конечно лабу сделать, но я не вижу в этом никакого смысла, тем более у нас Windows не очень хорошо, и на экзамене у вас никто никогда не спросит, как настраивается AnyConnect. Мы обзорно говорим просто про то, что он есть и что он хорош, Cisco любит его и на курсе говорит, что он хорош. Это что касается одного типа — remote

access VPN. Я забыл сказать, что у Cisco ещё есть классификация. Фирма Cisco любит говорить, что есть VPN, который remote — здесь про remote access следует речь. У Cisco есть утверждение, что есть remote access VPN вместе с клиентом, а есть ещё clientless SSL VPN — это тоже типа отдельный тип VPN. На самом деле, этот clientless SSL VPN — это никакой не VPN вообще. Это не установка туннеля для передачи произвольных данных, хотя Cisco пытается этим заниматься. Я не знаю, как быстро они похоронят этот clientless, может и не похоронят. Смотрите: clientless SSL VPN — это именно прокси-

сервер, который предоставляет просто доступ к внутренним ресурсам сети. Это не возможность удалённого клиента подключиться прямо к конкретному IP-адресу внутри сети. Нет, это просто прокси. Вы подключаетесь к нему — это веб-портал в самом таком классическом понимании, к которому вы подключаетесь обычной SSL-сессией, как с любым другим сайтом, вводите логин и пароль, и уже на этом веб-портале вы можете получить доступ к внутренним ресурсам сети. На самом деле очень ограниченные возможности у этого портала: HTTP там работает, CIFS — можно в принципе посмотреть файлы на файловом сервере, но это очень-очень ограниченная штука. Есть ещё плагины для приложений — это всё уже

написано на Java, я не знаю, насколько хорошо написано, этим не пользуюсь, но они есть в принципе, которые ещё предоставляют доступ к приложениям, опять же через браузер, но это очень ограниченное число приложений. Сами понимаете, доступ через браузер он, конечно, удобный — как вы убедились на примере нашего стенда. Скажем, это тот самый clientless VPN, который у вас сейчас в личном кабинете реализован: доступ к консоли роутера на стенде — это самый лучший пример. Или доступ к машине с Windows через RDP или VNC. Но это всё очень ограниченное применение. Есть ещё так называемые smart tunnels — я не уверен, что вообще в следующей версии этого курса будут про них рассказывать, потому что технология тоже не взлетела. Это вроде бы как можно будет получать доступ к приложениям,

для которых нет плагинов: у вас какие-то там приложения развёрнуты внутри сети, и всё через браузер. Оно в принципе должно работать через любой браузер, но по факту штука довольно геморройная. Если, например, тот же AnyConnect — мы говорили уже с вами — у него есть два типа настройки. Первый вариант AnyConnect, когда вы подключаетесь браузером обычным к ASA, вводите логин-пароль, ASA запускает веб-приложение в виде там ActiveX, например, какого-то, и у вас автоматически скачивается AnyConnect, устанавливается. В принципе,

ASDM точно так же устанавливается. Либо второй вариант — просто скачать дистрибутив и установить на свой компьютер. Даже эта функция установки AnyConnect тоже не во всех браузерах работает, как-то не слишком прямолинейная. То же самое этот clientless веб-портал — он выглядит вот так. На самом деле я не знаю, почему Cisco не наймёт до сих пор нормальных дизайнеров к себе на работу, но именно с дизайном у них как-то не складываются отношения, по моему личному мнению. Этот веб-портал много лет подряд выглядит одинаково, ничего там такого особого нет. В общем, clientless VPN — это не VPN в нормальном понимании, но если вдруг у вас просят на экзамене на цисковском — да, конечно, говорите, что clientless — да-да-да, это

самый настоящий VPN, и там можно получить доступ к внутренним ресурсам компании. Это просто обычный прокси-сервер. Я предлагаю тему VPN на этом уже закрывать, и сейчас будем ломать мозг уже на другую тему. Последний модуль — это IPS, система предотвращения вторжений. Я скажу сразу, что обидно, конечно, но в нынешней версии курса, в третьей версии, этот модуль очень сильно сократили. В прошлой версии, во второй, про IPS было намного больше всего интересного сказано. Мы постарались сделать так, чтобы в этом курсе тоже было достаточно материала. Здесь, я думаю, мы поговорим о многих вещах — они даже в новом экзамене их уже нет. Я не знаю, почему Cisco так сделала, но именно тему

IPS она очень сильно сократила, и тот же IPS на роутерах — уже в официальном курсе этого ничего нет. Лабу на IPS сделаем, конечно, если вам хочется посмотреть, как это всё работает на роутере — почему нет. Роман, мы прямо не будем такой делать прямо вообще, там DPI — но просто, как это взлетает на роутерах, мы увидим. Это несложно, но посмотрим, насколько это для нас будет сложно или несложно. Так что я думаю, что вам тоже будет интересен этот модуль. Может быть, если завтра ещё время останется, я ещё чуть-чуть какие-нибудь дополнительные расскажу вещи про IPS. Давайте поговорим сейчас про самые основы, самые азы, которые тоже нужно понимать и в которых тоже новички очень часто путаются. Что такое IPS, что такое IDS? Очень часто эти термины они взаимозаменяемые, на самом деле немножечко

неправильно. IPS и IDS — это родственники. Давайте сначала просто — в общем, они называются системы IPS. В отличие от пакетных фильтров, с которыми мы с вами познакомились — пакетные фильтры у нас работают с заголовками сетевых протоколов — IPS будет работать именно с содержимым самих пакетов, именно с самой датой, с уровнем приложений. Понятно, что плюс к этому современные IPS умеют работать и с IP-заголовками тоже, никто этого не отменял. Просто дело в том, что firewall всё-таки предназначен для обработки сетевых протоколов, хотя в настоящее время, мы уже с вами говорили, firewall NG — следующего поколения — уже умеет те вещи, которые раньше умели

отдельные устройства, отдельные продукты, именно IPS. Сейчас firewall NG — это такой комбайн, где и IPS тоже есть. Но мы сейчас говорим просто про классические технологии. IPS — синоним, который вы видели и встречать могли — это DPI, deep packet inspection. Это просто синоним. Есть два варианта развёртывания, и чем отличается IPS от IDS. IPS — это Intrusion Prevention System, система, которая предотвращает негативные последствия — именно предотвращение вторжений, она будет бороться с нехорошими людьми. Вариант IDS — это Intrusion Detection System, она просто обнаруживает вредоносный трафик, она не будет никаким образом препятствовать вредоносному трафику, она просто обнаружит и, конечно, сигнализирует — иначе зачем такая система нужна, которая всё обнаруживает, но никому ничего не

говорит, это конечно бесполезная система. Стратегии и варианты развёртывания. Новое слово в нашем курсе — сенсор. Сенсор — это такое очень обобщённое название любого IPS/IDS — просто сенсор, какая-то чувствительная штука, которая будет наблюдать за трафиком. Так что если вы видите название «сенсор», не пугайтесь — это нормальное название. Его используют во многих источниках, и в учебной литературе, и в документации очень часто говорят «сенсор». Сенсор может быть развёрнут либо как отдельное сетевое устройство, это может быть виртуальная машина — сейчас в настоящее время очень часто это виртуальная машина — программное обеспечение на конечных хостах. У нас было несколько слов про endpoint security: современные, опять же, типа «антивирусы» в кавычках, которые когда-то 10 лет назад были просто антивирусами,

сейчас очень часто эти программные продукты тоже включают в себя какой-то модуль IPS, который следит за всем трафиком и вредоносный трафик из него вычленяет и сигнализирует. У Cisco сейчас звучит концепция «сеть как сенсор». Кирилл, я сейчас не буду хвалить компанию Cisco — у них всё время какая-то новая концепция и всё более громкое название для неё. Честное слово, «сеть как сенсор» — да, это звучит, но на самом деле подразумевает обычные принципы эшелонированной защиты: что везде есть какой-то уровень защиты во всех уголках нашей сети, и сеть работает как один большой сенсор. У Cisco много всяких таких идей, они красивые, они здоровские, но именно прямо говорить, что мы работаем по такой-то парадигме, по такой-то концепции —

нельзя. Если кто-то был на курсах Cisco лет пять назад, например, тот же CCNA R&S пятилетней давности или там даже четырёхлетней давности, предыдущая версия — там через слово было везде упоминание концепции Borderless Network. Если кто-то давно с продуктами Cisco работает, должен слышать. Слышали такую концепцию? Не слышали? Borderless Network — реально у них раньше все рекламные материалы, все маркетинговые программы крутились вокруг этого словосочетания — типа «сеть без границ», Borderless Network, и везде в курсе это упоминалось. «У нас теперь сеть не имеет никаких границ, она воспринимается как целое, мы шагнули в будущее, теперь у нас подключаться может кто угодно откуда угодно». И в курсе из прошлой версии это слово Borderless было везде, реально прямо в каждой

теме всё время говорилось, что «а теперь у нас Borderless Network — это новые вызовы в плане безопасности» и так далее. Сейчас в этой версии курса, которая, кстати, сменилась уже не один год назад, уже как-то слово Borderless так не проскакивает, оно там где-то упоминается в конце курса, но этой концепции уже нет. Cisco не то что её похоронила, но она как-то отодвинула. Теперь у них другая концепция. Поэтому, Кирилл, эти концепции Cisco рождает каждый год, они называются опять новыми классными громкими словами, за ними стоят всё те же самые классические технологии. Я всегда всем говорю слушателям, которые у меня учатся, что нужно классическими технологиями заниматься. Именно классика — она бессмертна. Не то что бессмертна, просто надо от этого идти. Те же самые — мы

могли бы, например, этот курс построить как firewall нового поколения, NGFW, и там рассказывать, где какие кнопочки тыкать, но это будет неправильно. Надо всё разобрать по кусочкам. У нас есть классический firewall, он так работает. Есть классический IPsec на crypto map'ах, он так работает. А потом уже рассказывать про какие-то новшества, как это ещё куда превращается. Ладно, я чуть отвлёкся, заболтался. Вы меня одёргивайте, если меня несёт. Давайте про сенсоры дальше поговорим. Самые основные стратегии, которые будут использоваться в технологиях intrusion detection — сейчас это либо обнаружение аномалий, аномального трафика. Что такое аномальный трафик? Это трафик, не похожий на обычный. Когда будет изучаться паттерн трафика — паттерн трафика это рисунок обычного трафика. У нас есть какой-то повседневный обычный трафик в сети, который особо не меняется: пользователи ходят

в интернет, смотрят почту, скачивают какие-то файлы, мы предоставляем кому-то доступ по VPN, кто-то коннектится к нам remote access VPN — это нормальный трафик. Изучается паттерн трафика, наш ежедневный, создаётся так называемый профиль нормальной работы сети, и потом отклонения от этого профиля будут детектиться — это будут уже какие-то сигналы о проблемах в сети. Это обнаружение аномалий. Либо обнаружение на основе правил, когда есть какой-то список правил, что считать нормальным, что считать ненормальным, и в реальном времени по этим правилам делается какой-то анализ. Всем знакомое слово «сигнатуры» — это как раз обнаружение на основе правил. Эти сигнатуры — это и есть правила, которые будут описывать проблемные участки трафика. И как только наш трафик будет под

какую-то одну из сигнатур попадать, под правило, мы уже будем сигнализировать — сенсор будет именно так работать. Современные сенсоры комбинируют эти технологии, и зачастую сенсор будет работать и с простыми сигнатурами, и даже с аномалиями. Правда, это будет требовать невероятных каких-то вычислительных возможностей, и наверное только серьёзное железо умеет работать с обнаружением аномалий. Всё-таки обычные сенсоры — это больше сигнатурный продукт. Snort — это сенсор, система DPI, очень известная. Более того скажу, что Snort, когда он начал развиваться как открытый бесплатный продукт… Вы знаете, что с ним случилось? Где теперь Snort обитает? Snort был куплен фирмой Cisco,

и сейчас… Suricata — это форк, свободный. А фирма Cisco купила этот Snort и сделала из него замечательный свой продукт Firepower, или как он сейчас называется. Короче, Cisco переименовывает этот Firepower каждые два-три года. Я завтра буду обзор делать, небольшой специально подготовлюсь и скажу вам последние названия — я сам запутываюсь, потому что я сейчас с Cisco не работаю, с IPS'ами вообще. Но они всё время переименовывают этот купленный Snort, его дорабатывают, допиливают. Snort — это самый классический пример сенсора. Дальше давайте теперь про классификацию. Смотрите, я прошу вашего особого внимания — это вещь,

которая на экзамене сто процентов попадётся. Она попадёт не только на экзамене, а ещё в куче литературы, везде-везде, и в которой будем путаться. Я раньше путался, и вообще — любое принятое решение классифицируется. Это относится кстати не только к IPS — если кто-то занимался программированием, он тоже должен это знать. И в программных продуктах, и в антивирусах — везде эта терминология будет. Есть четыре типа решений, которые принимает IPS (у нас сейчас про это разговор). Бывают нормальные решения, оптимальные, бывают ошибочные решения. Оптимальное решение — это когда IPS делает что-то правильное. True positive — когда IPS при обнаружении угрозы сработал, удачное срабатывание. Либо true

negative — это когда в случае нормального трафика IPS не дёрнулся и не сработал. Если ошибочное решение: false positive — это когда в случае нормального трафика ошибочно было срабатывание. И false negative — когда был вредоносный трафик, но мы не сработали. Эти четыре решения надо запомнить обязательно. Сто процентов на экзамене это спрашивают, всегда, на многих экзаменах. Как это запомнить? Умеете запоминать такие штуки? Если кто-то не первый раз это видит, сейчас будет путаница — чем отличается false positive от true positive. Давайте научимся это запоминать, это пригодится вам в дальнейшей карьере сетевого инженера или безопасника, да и вообще программиста. Фразу решения можно разделить на две части.

True можно перевести как «мы молодцы», потом будет стоять слово — потому что. «Мы молодцы, потому что» — positive значит мы сделали всё как надо, а negative — мы лоханулись. Просто надо запомнить: true — значит мы молодцы, negative — что-то плохое, значит мы лоханулись, а positive — начно, всё сделали правильно. False можно запомнить как «мы идиоты, потому что» — и опять же positive и negative. Positive — потому что мы всё сделали правильно. Либо «мы идиоты, потому что мы лоханулись». Можно, наверно, таким образом запомнить эти решения. Вы везде будете видеть: true positive, true negative, false negative —

это нормальная общепринятая классификация, она встречается вообще везде. Так что постарайтесь эти четыре понятия для себя зазубрить, может быть как-то ещё запомнить, что-то придумать для себя какое-то запоминание. Это сейчас понятно, я объяснил, или непонятно? Не всегда система IPS будет работать так, как нам нужно — вот в чём досада. Не всегда. И антивирус то же самое. Все продукты, которые принимают какое-то решение — мы понимаем, что искусственный интеллект он не существует, в принципе до сих пор не изобретён, и продукт, каким бы он ни был умным, всегда будет как-то ошибаться. Для классификации этих решений как раз есть четыре

таких понятия. Да, Юрий, мы сейчас с вами тоже про это поговорим немножечко. Действия сенсоров — сенсоры могут принимать какие-то решения, и потом на основании этих решений делать какие-то действия. Смотрите, сенсоры — это всё говорится в общем, но и про продукты компании Cisco в первую очередь — бывают пассивные действия, бывают активные действия. Активные действия будут относиться только к IPS, к системе предотвращения вторжений — она умеет что-то делать с трафиком. Пассивные действия — это и IDS-системы, и IPS-системы умеют. Пассивные действия обычно включают в себя действие alert — это просто

сигнализация о том, что что-то произошло. Либо действие monitor — понятно, что отправка сообщения, плюс к этому monitor — это мониторинг дальнейшего трафика именно сессии. Как пример: если произошла какая-то ситуация, которая вызвала недовольство нашего IPS, то IPS сможет, например, взять и TCP-сессию начать дальше отслеживать, а потом отправить кусок этой TCP-сессии, заголовки отправить вместе с alert'ом куда-то. Это называется

monitor-действие — не просто syslog или SNMP, или ещё есть специальные протоколы кстати у IPS'ов, а именно плюс ещё отслеживание дальнейшего потока, и потом уже детальный отчёт. Это что касается пассивных действий. Активные действия — это когда уже IPS будет делать что-то с трафиком, чтобы не допустить дальнейшего развития событий. Сейчас пауза. Итак, активные действия — что может сделать IPS, чтобы предотвратить действие? Drop. Андрей, запись включил? Действие drop — самое простое, что может быть: просто пакеты, которые мы определили, что они принадлежат к нехорошему трафику, либо какой-то payload несут нехороший, просто потихонечку их отбрасывать, чтобы они не дошли до назначения. Действие reset — здесь наверное больше к TCP относится, к коннекту.

Если мы обнаруживаем внутри TCP-сессии какое-то подозрительное содержимое, то мы рвём эту TCP-сессию. Это именно reset — мы посылаем RST в обе стороны, всё, закрыли TCP-сессию, и до свидания. Есть ещё действие block — это именно если reset работает с TCP, то block — это действие на сессии UDP или любой протокол, который не устанавливает никакого соединения. Действие block именно блокирует следующие пакеты из этого flow, из этого потока. IPS будет отслеживать все те же самые потоки UDP — понятие сессии нет. Смотрите: drop — это когда

мы просто единичные пакеты будем отбрасывать. У нас идёт какой-нибудь UDP-трафик, не знаю какой, без разницы какой, и в этом UDP-трафике какие-то подозрительные пакеты обнаруживаются — мы будем отбрасывать единичные пакеты. Действие block — это когда мы весь поток, который идёт, например, на конкретный порт UDP, мы уже дальше весь трафик, который в дальнейшем будет идти, будем просто блокировать. Это отличие от drop. TCP reset — это именно разрыв TCP-сессии, когда мы принудительно рвём TCP-сессию. Уловили разницу? И последнее — это действие shun. Не знаю, как его правильно прочитать. Некоторые IPS-системы — здесь говорится просто про то, что бывают более интеллектуальные IPS-системы — это когда мы можем попросить какое-то другое устройство заблокировать трафик.

IPS-системы сейчас, в настоящее время, всё более и более связываются в единое целое. Есть такое понятие как SIEM — это система, которая будет контролировать уже вообще работу безопасности, скажем так, очень расплывчато. В таких уже сценариях наверное это больше уже дорога в сторону SDN, может быть. Хотя нет, не SDN никакой. Я неправду сказал. Хотя можно и так рассматривать — когда одна система будет просить другую систему, например, заблокировать трафик на её uplink. Это действие shun, она просто так называется. Это не все системы умеют. Вообще этот термин появился именно на Cisco —

в Cisco ASA была прямо такая команда, оттуда взят термин shun. Я не знаю, он никак не переводится. Можно сказать как оркестрация, но это даже не оркестрация — это именно конкретный request заблокировать какой-то конкретный трафик. Этот request может быть послан либо напрямую другому сетевому устройству, либо через какой-то единый центр управления, через оркестратор. Это действие shun — просто надо запомнить. Давайте дальше смотреть. Я предлагаю сейчас на перерыв пойти. Давайте продолжать. Теперь немножечко поговорим про техники обхода IPS. IPS — это тоже не панацея от всего. Есть много вариантов,

как IPS можно обмануть. Здесь ещё раз надо упомянуть про эшелонированную защиту — защитить всё просто сенсором, всю нашу сеть, не представляется возможным, к сожалению. Поэтому надо рассматривать IPS как одну из ступеней нашей защиты. Есть техники, которые позволяют обойти IPS. Мы здесь рассмотрим три самых основных. Основные атаки на IPS — какие атаки? Я не буду говорить сейчас про атаки на само устройство. Мы говорили с вами, помните разговор про firewalls, что одно из требований, которые предъявляются к firewalls — это защита самого firewall'а. То же самое и к IPS'ам будет предъявляться точно такое же требование — сам сенсор должен уметь защитить сам себя.

Но есть атаки, которые будут направлены именно на обход IPS, чтобы каким-то образом пропихнуть через этот сенсор какой-то вредоносный трафик. Техники будут базироваться либо на фрагментации пакетов, либо на инъекции — вторая техника, и третья техника — это альтернативные строковые выражения. Сейчас мы в общих чертах их разберём. Смотрите, IPS работает с потоком, но дело в том, что поток же тоже можно сформировать определённым образом. Давайте сейчас поговорим: может ли нарушитель установить наличие IPS? Вопрос интересный. Я думаю, что если просто в лоб начать какую-то атаку, то здесь

нельзя понять, что стоит IPS, в каких-то сценариях. Но если с точки зрения злоумышленника делать всё правильно и начинать с той же разведки, например, то можно собрать какую-то информацию о сети и понять каким-то образом, что стоит IPS — именно установить наличие IPS. Мы не будем сейчас рассматривать и придумывать примеры, как можно установить. Но я думаю, что можно установить наличие IPS. Конечно, например, даже по CDP, может быть, просто по CDP — формировать какие-то, пытаться делать какие-то атаки, которые

точно не проходят, и по наличию этого установить, что действительно какой-то IPS работает. Если просто рассуждать... Андрей, здесь надо договориться — мы сейчас говорим про сенсор, который IPS. Установить наличие IDS понятно что невозможно — он где-то там слушает какой-то трафик, который просто на него перенаправляется, и никак. Но с другой стороны, если злоумышленник как-то укрепился внутри инфраструктуры, то можно же перехватывать трафик — не знаю, syslog, и по перехваченному трафику или SNMP-трафик перехватить, понять, что работает IDS, который будет что-то говорить кому-то. Мы же уже говорили про то, что он будет бесполезен, если ничего не будет сообщать. Может быть и так установить

наличие. Либо Олег сказал — по утечке, по закупкам для компании. Ну да, компания разместила какой-нибудь тендер в сети на закупку системы предотвращения вторжений — это тоже часть разведки. Можно открытые источники мониторить и понимать, какие средства какая компания покупает. Очень хороший пример. Итак, техники обхода IPS. Скажем так, это так же, как мы рассматривали атаки на VLAN'ы, тот же VLAN hopping — они такие немножко синтетические, эти атаки, просто как пример, что в принципе возможно сделать. Первое — это фрагментация пакетов. Никто не запрещает злоумышленникам передавать какой-то вредоносный трафик в нескольких фрагментах. Почему нет? Можно вредоносное содержимое — здесь фрагментация,

надо договориться, не та фрагментация, которая IP-фрагментация, когда у нас пакет из-за MTU будет рубиться. Нет, это именно фрагментация вредоносного трафика. Смотрите, как пример я нарисовал: у нас есть какой-то веб-сервер, и злоумышленник предполагает, что отправив какой-то обычный HTTP-запрос, GET-запрос, не знаю, страница admin.php, получить какой-то файл с паролями. Может такое быть? Конечно может быть. Я сам видел такие написанные сайты. В те времена, если про PHP говорить, было время, когда я в своё время, когда начинал этому учиться, тоже там глобальные переменные использовали, и бывали такие случаи, что получить файл с паролями с веб-сервера не представлял никакого труда.

Как пример — этот самый запрос и будет представлять у нас вредоносный трафик. Мы же говорили о том, что IPS работает на уровне приложений, он будет мониторить не просто заголовки IP и TCP, а он будет ковыряться именно в самом содержимом — deep packet inspection, глубокое инспектирование пакетов. Поэтому такое вредоносное содержимое по идее злоумышленник может разбить на несколько пакетов, взять и просто разбить на несколько пакетов, отправить их уже как фрагменты, может быть действительно как IP-фрагменты, которые потом конечный хост может собрать у себя и получить целый пакет. Такая штука бывает. Как от этого защищаться? Сейчас очень просто: на IPS можно принудительно

включить сборку фрагментированных пакетов, а потом уже анализировать целый пакет. Дело в том, что не всегда по умолчанию эта возможность включена. IPS же ничего не фрагментирует, не дефрагментирует, он просто проверяет одиночные IP-пакеты. Мы можем на конечном хосте сделать такие фрагменты, чтобы потом веб-сервер собрал. Даже мы будем с вами, когда будем смотреть IPS на роутерах — на роутере тоже есть такая команда, которая будет включать принудительную сборку фрагментированных пакетов, а потом IPS уже должен проверять целый пакет. Это первая такая техника, которую злоумышленник может использовать, и достаточно успешно использовать — фрагментация пакетов. Вещь несложная, но

принудительная сборка фрагментов часто отключена по умолчанию, просто потому что она тоже требует каких-то вычислительных возможностей, и зачастую, чтобы не нагружать железо, такая возможность по умолчанию выключена. Надо помнить — это первый такой пример, как в принципе можно с IPS как-то побороться. Есть ещё интересный пример — injection, так она будет называться. Здесь всё будет базироваться на фрагментации и значениях TTL. Сейчас, дальше: к примеру, злоумышленник может разбить строку — даже не так — он может придумать такое содержимое пакета, в нашем случае это

опять же GET-запрос обычный HTTP. Можно придумать такое содержимое пакета, где часть этого содержимого будет на самом деле просто для отвлечения внимания. Вообще, чтобы отвлечь внимание, можно придумать — видите — GET bogus secret file. Это bogus с английского языка, bogus — как же она переводится правильно — фиктивный, поддельный. Этот кусок запроса на самом деле не нужен, он не несёт никакой полезной нагрузки, он просто фиктивный кусочек для отвлечения внимания. А дальше можно сделать очень просто — опять же фрагментировать наш запрос в несколько фрагментов и поставить для них разные значения TTL. Мы понимаем, что с точки зрения злоумышленника нужно знать, сколько у нас хопов — но это несложно посчитать, сколько хопов до сервера,

подобрать значение TTL таким образом, чтобы до сервера добрались только нужные фрагменты. Видите, в этом примере мы разбили на несколько фрагментов, а дальше сервер — нет, почему будет удивлён? Можно так. Это уже вопрос, как сформировать — это общая концепция, когда формируется несколько фрагментов с разным TTL, и только некоторые фрагменты дойдут до сервера, который в результате соберёт. Это такая техника, называется injection. Когда что-то добавляется — инъекция вроде бы нормальных паттернов трафика — она добавляется просто для отвлечения внимания. И IPS, который,

например, пересоберёт — может быть, каким-то образом у себя он увидит, что вроде бы содержимое пакета нормальное, нет прям такой конкретной команды «получить secret file», нет такого вредоносного запроса, он выглядит как — вроде бы ничего, хотя что-то подозрительное, secret file есть, но прям ни с одной сигнатурой не совпадает. Скажем так, здесь очень упрощённые примеры, вы понимаете, что вредоносный пакет может вообще двоичные данные нести, если мы говорим про какой-то специфический протокол, либо SQL — если кто работает с SQL — сложные какие-то запросы. Можно придумать что-то такое, какой-то сложнейший запрос, и сенсор просто не будет знать, что это на самом деле

разрушительный запрос. Он выглядит просто как куча каких-то вроде бы нормальных фрагментов, а в результате до сервера дойдёт не всё. Это ещё такая техника. Как с этим бороться? На самом деле с таким бороться сложнее — уже не просто пересобрав пакет, пусть даже с неправильными значениями TTL, которые можно не принять во внимание и собрать. Но здесь, наверное, только бороться подкручиванием сигнатур, либо более тщательным анализом нормального трафика — более тщательным построением нормального профиля трафика. Когда мы говорили про аномалии — принимать такие запросы тоже за какую-то аномалию, работать с ними, сигнализировать о них, может быть запрещать.

Так что такая атака уже более интересная, чем простая тупая фрагментация. Альтернативные строковые выражения — это опять же такой распространённый метод обхода системы IPS. Не только IPS, и многие на это ведутся, и люди. Как пример: мы взяли, что одну и ту же строку иногда можно записать разными способами. Простой HTTP-запрос мы можем превратить с помощью спецсимволов. Вы знаете, что в спецификации HTTP, например, есть много спецсимволов. Вы слышали — иногда, когда какая-то ссылка в браузере написана

русским алфавитом, она потом при копировании превращается в похожее что-то. Можно по идее нормальное строковое выражение представить как альтернативное. Есть способы записи — здесь будет касаться только конкретики про конкретные протоколы, в HTTP можно представить таким образом строку вредоносную. И IPS, если не имеет на борту специальных механизмов, он просто не распознает. Какие меры противодействия? Есть такая вещь, как нормализация протоколов. Нормализация протоколов подразумевает — я сейчас тоже общими словами буду говорить — когда сенсор хорошо знает

структуру протокола, знает, как он работает, и он пытается такие вещи, встречающиеся строковые выражения, приводить к нормальному виду. Например, можно же в IPS описать спецификации того же HTTP, и нормальный сенсор будет знать, что %2F — это на самом деле обозначает слэш. В HTTP это сплошь и рядом, и это описать несложно. И сенсор будет именно сначала проводить такую нормализацию, приводить у себя в уме эту строку к нормальному виду, и потом уже принимать какое-то решение. А зачем чексуммы пересчитывать, Андрей? IPS не обязан изменять пакет. IPS может взять этот пакет, скопировать к себе в оперативную память и там сделать над ним все нужные вычисления,

а потом уже принять решение: если это плохой пакет — его зарубить, если это нормальный — отправить дальше. И веб-сервер это поймёт, это совершенно стандартные способы кодировки, он поймёт, у себя перекодирует. Если IPS это пропустил, если сенсор посчитал это нормальным трафиком, то пакет не надо менять. Если IPS посчитал это ненормальным трафиком — пакет просто убьётся, и всё. Так что здесь никакого изменения пакетов нет. Хотя есть... системы, но это уже были более интеллектуальные системы, которые могут изменять на лету пакет, и здесь всё будет ограничено только фантазией разработчиков, и я сам это не трогал, не экспериментировал с этим, но по отзывам людей, которым я доверяю, которые работали с этим, что

можно на сенсорах менять, например, содержимое сообщений. Допустим, сообщение электронной почты — можно на лету взять и поменять содержимое. Как у — Михаил, наверно, помнит, там один из тренеров рассказывал. Да, и один из тренеров рассказывал такую историю, что сообщение в ICQ, где написано «начальник козёл», может, например, автоматически меняться на «начальник хороший человек». Вот такую обработку тоже на сенсорах в принципе можно производить. Но Андрей, всё правильно, и это тоже существует, но здесь работа IPS с пакетами она, конечно, может быть очень и очень творческой.

Так. Про FireSIGHT — этот модуль, этот слайд мы включили в курс просто потому, что он есть в официальном руководстве, и возможно вас будут спрашивать на экзамене. Я не ставлю своей целью рассказать про Cisco FireSIGHT очень много, потому что я не люблю врать — я с ним не работаю, я знаю, что он умеет. Поэтому мы не будем сейчас про него долго распинаться. Я думаю, что достаточно посмотреть какие-нибудь даже маркетинговые материалы, чтобы ещё больше узнать, чем написано на этом слайде. Но для тех, кто хочет сдавать экзамен, мы напомним: цисковский современный IPS — это FireSIGHT. Про эти названия, которые меняются с каждым годом — я думаю, я вам сделаю какой-нибудь обзор или найду

нормальную ссылку, по-моему, на Хабре человек писал про всю эту эволюцию. Как сейчас называется, правда, не знаю, но в официальном руководстве, с которым мы сверялись, когда готовили курс, он называется FireSIGHT. Как сейчас он называется — Firepower, да, Firepower Threat Defense сейчас, развитие следующее. Но в этой версии курса пусть остаётся FireSIGHT, пока так. FireSIGHT что умеет: в части обнаружения — это IPS, мониторинг подозрительной активности, обнаружение вредоносной. Видеть полную картину трафика в сети — это про то, что мы с вами говорили: именно обнаружение аномалий, именно составление профиля трафика.

Это не все системы умеют. Мы говорили, что более простые сигнатурные системы этим не занимаются. Для этого нужны действительно хорошие мощности, чтобы именно на таком уровне делать обнаружение. Работа на разных уровнях: пользователей, хостов и сети, приложений — FireSIGHT много уровней в себя включает. Реагирование на угрозы: блокирование, помещение либо изменение вредоносного трафика. FireSIGHT — это мощный продукт, который умеет — будем говорить не просто FireSIGHT, а современные цисковские файрволы — они умеют изменять вредоносный трафик, они умеют не просто блокировать и куда-то ругаться, но и каким-то образом его изменять. На одной из маркетинговых презентаций от Cisco, по-моему, у них был какой-то трюк: когда в социальной сети, скажем, в Facebook, можно было

запретить сотрудникам лайкать новости компании-конкурента в Facebook. Вот таким образом изменять трафик, когда уже будут выполняться совершенно интеллектуальные задачи. В таком смысле уже можем менять трафик с помощью современных сенсоров. Расширенные способы реагирования: цисковские современные продукты, тот же FireSIGHT, умеют либо блокирование downstream-линка, либо запуск сканирования вообще на конечных хостах. Мы с вами говорили про то, что эти клиенты, которые все современные вендоры пытаются нам продать вместе с файрволами, они все умеют уже дополнительные функции. Например, тот вендор, с которым я сейчас работаю у себя на работе, сейчас я начинаю с ним работать —

он тоже имеет своего клиента, который и как антивирус работает, и как IPS работает местный. Плюс ко всему он умеет работать с центральным файрволом, центральным IPS, и при обнаружении сенсор может отправить команду на клиент, который уже будет выполнять какие-то свои отдельные действия. Я сейчас с Fortinet начинаю работать, связался на свою голову. Вероятно, что все лидеры рынка — и Check Point, и Palo Alto — такие возможности тоже уже имеют, потому что всё-таки рынок уже перенасыщен функциями, и более-менее все производители сравнялись, скажем так. Плюс у FireSIGHT есть автоматизация методов реагирования, отчётность у него прекрасная. Плюс дополнительные возможности:

чёрные списки, какие-то Advanced Malware Protection. Про AMP ещё будет пару слов. Динамический анализ файлов, когда IPS — опять же развитие системы IPS — когда они из просто классических систем обнаружения вторжений превращаются в такие комбайны, которые ещё и на вирусы файлы проверяют, и ещё будут файловый трафик тоже каким-то образом проверять. Когда из проходящего трафика будут вычленяться совершенно конкретные файлы, эти файлы как-то будут загружаться либо сбрасываться, может быть, во временный какой-то кэш, и с ними уже будет вестись дальнейшая работа. Сейчас я прочитаю то, что Михаил написал. Размещение сенсора — это

то, что про FireSIGHT — это было такое лирическое отступление, может быть, немножко не в своём месте, но мы проговорили вкратце. Размещение сенсора — это важный вопрос, один из основных вопросов, когда ведётся разговор про сенсоры: где нужно защищать, зачем нужно защищать. И как с файрволами мы с вами говорили, что просто так поставить файрвол на бордере, на границе нашей сети — это недостаточно, то же самое будет с сенсором. Сенсор нужно правильно разместить, много факторов будет влиять, где и как его поставить. Давайте проговорим. Во-первых, конечно, мы возвращаемся к самому началу курса и вспоминаем про наши активы. Мы с вами уже говорили про то, что есть активы, и сейчас,

если говорим конкретно, в нашей сети в разных её сегментах могут быть разные активы, и они имеют свою разную стоимость, которая тоже определяется — помните, да, там куча факторов, как определить стоимость этого актива. Исходя из стоимости этих активов и нужно понимать, где размещать сенсор: какая часть нашей сети, какой её сегмент будет самый уязвимый, какой сегмент сети нужно защищать более усиленно, где какую-то более качественную защиту придумывать. В больших, крупных инсталляциях, в каких-то крупных инфраструктурах одним сенсором тоже не обойтись. Потому что если разговор идёт про офис в 20 компьютеров, у которых единственный шлюз и один uplink до провайдера — там вообще всё ясно, там нет ни серверного сегмента, ничего. В маленьких сетях есть определённая чёткая граница, где можно поставить и

сенсор, и firewall, и в принципе на хостах добавить тоже какое-то программное обеспечение — будет всё прекрасно. А в крупных сетях будет всё зависеть именно от топологии и от того, где какие активы размещаются. Также, как с файрволом: если мы сейчас говорим не про обнаружение, про IDS, а именно про IPS, про предотвращение — так же, как с файрволом, здесь будет работать тот принцип, что не должно быть какого-то маршрута в обход IPS. Если мы размещаем сенсор на границе двух сегментов, например, обычного и серверного сегмента, у нас должен быть один единственный путь, без обхода этого IPS. Если мы говорим про отказоустойчивость, то понятно, что надо ставить два сенсора, если у нас есть два канала между этими сегментами. Но так же, как в случае с файрволом, это должна быть единственная

точка, через которую пройдёт трафик. Если есть какой-то обходной путь, то ценность такого сенсора стремится к нулю. Естественно, утилизация полосы пропускания — тоже важный момент. Мы понимаем, что сенсор-IPS будет влиять и достаточно заметно на полосу пропускания. Если мы поставим сенсор между какими-то двумя сегментами, где идёт очень активный обмен трафиком и там скорости могут быть уже серьёзные — не обязательно должна быть большая компания, чтобы были серьёзные скорости в сети. У меня компания небольшая, но скорости в сети действительно серьёзные. Между такими сегментами сенсор

в виде IPS — не знаю, нужно ли ставить, потому что, говоря по-русски, будут возникать тормоза. Так что здесь надо принимать во внимание этот фактор тоже. Серьёзная скорость — это сколько? Я не буду сравнивать малый бизнес с какими-то серьёзными провайдерами, но для обычной кампусной сети, для сети предприятия, серьёзная скорость — это 10 гигабит в секунду, которая утилизируется практически полностью. Канал такой между серверами и компьютерами — это будет более-менее серьёзная скорость. Например, в моём сегменте бизнеса, где я работаю сейчас, большие файлы — это нормально. Мои коллеги работают именно с тяжёлым контентом, обрабатывают большие тяжёлые файлы. Да, мой отец работает в компании, которая вообще кинопроизводством занимается. Я в своё

время помогал им настраивать их сеть, у них там тоже всё тяжёлое. Компания очень маленькая, там правда маленькая, меньше 20 человек работает, но трафик у них настолько тяжёлый — ну представляете, кинопроизводство, там вообще капец. Не надо проводить корреляцию между размером компании и трафиком. Так что офис на 10 человек — это образное выражение, это бухгалтерия. А бывает офис на 10 человек, где 10 гигабит — и этого мало. Поэтому полоса пропускания будет играть роль. Сенсоры лучше в таком случае, когда есть какой-то хорошо утилизированный канал, есть какой-то тяжёлый трафик, который тоже надо контролировать, лучше всё-таки здесь использовать именно IDS-решение — именно просто мониторить этот трафик и никаким образом не влиять. Всё-

таки IPS будет влиять на полосу пропускания. Режим bypass — это нормальный режим, который есть даже в системах антиспама, когда, например, не обрабатывать файл больше 50 килобайт. Мы можем какой-то трафик самому сенсору указать вообще не контролировать. Но ещё очень хорошая идея, которой в принципе нужно придерживаться: неплохо бы трафик в сети сначала почистить — возьмём это слово в скобочки — неплохо бы сначала почистить трафик в сети перед тем, как этот трафик обрабатывать сенсором. Что такое почистить трафик? Это

такой — я честно не вспомню, от кого я услышал этот термин, но мне нравится. Бывает, бывает грубая работа с трафиком. Я говорю про фильтрацию: мы можем разделить в принципе всю фильтрацию на несколько уровней. Грубая фильтрация — это когда мы какими-то самыми дешёвыми способами выполняем простейшие операции. Например, access-листы. Сначала неплохо бы включить какую-то грубую фильтрацию. Опять вспомните разговор про firewall: почему бы на внешнем интерфейсе, который смотрит в интернет, для начала не повесить самый простейший access-лист, который будет фильтровать частные диапазоны сетей? Мы точно знаем, что из интернета мы не получим

пакет, у которого адрес источника будет 192.168.1.1. Такую фигню надо сразу отсекать на самых ранних стадиях. Зачем нам нужно, например, загружать наш firewall — тот же самый zone-based firewall, который уже будет более интеллектуальную обработку трафика делать — нафига его грузить такой работой? Я сейчас, Андрей, говорю не конкретно про это, хотя и такое тоже бывает. Не всякий провайдер отсечёт, честное слово. Например, у нас несколько каналов интернета. У нас есть канал, который просто как резервный работает, он подключён к дому напротив, обычный домашний провайдер. Там

такое прилетает, я вам честно скажу — там реально такое прилетает из этого коммутатора, который на чердаке дома стоит. Там просто всё что угодно прилетает оттуда: и шторм всякий прилетает, и там дичь реально. Спасибо, Роман, за правильное слово. В домашней сети может быть и школьные хакеры всякие, которые после школы какой-то фигнёй занимаются, и какой-то видеотрафик стримится, бродкаст. Просто дичь всякая может прилететь. И IP-пакет, который прилетел с адресом источника 172.16.1.1, — это самое меньшее из зол, которое может прилететь к вам от провайдера. Поэтому неплохо бы сначала проводить такую грубую очистку трафика именно самыми простыми, самыми дешёвыми средствами. Access-лист в плане вычислительных

потребностей — это дешёвое средство. Access-листы всегда работают быстро, если мы говорим про оборудование Cisco, про классические какие-нибудь роутеры, они быстро очень обрабатываются, хранятся в TCAM. Так что самое дешёвое средство — почему бы сначала этим самым дешёвым средством не отфильтровать побольше всякого, извиняюсь за выражение, а потом уже мы будем нагружать наши драгоценные IPS или наши драгоценные firewall, у которых зачастую каждый мегагерц на счету процессорном. Так что неплохо бы перед тем, как задействовать IPS, даже между сегментами внутренней сети, неплохо бы сначала где-то ещё повесить какие-то access-листы. У меня, например, на distribution-коммутаторе,

туда, где у меня терминируются VLAN'ы — у меня сейчас два основных сегмента, на distribution-коммутаторе, где они терминируются, где у меня SVI уже настроены интерфейсы, — на этих интерфейсах у меня тоже висят access-листы. Почему бы нет? Коммутатор хороший, достаточно мощный, пусть он не самый новый, но он прекрасно работает, и access-листы у него шарашат — он может молотить ими дай бог. Поэтому я просто на distribution беру, access-листы вешаю на SVI — это классный дешёвый способ отфильтровать всякую ерунду, а уже потом работать IPS'ом. Как будет использоваться сенсор — тоже от этого будет зависеть его размещение: либо это будет просто обнаружение атак по сигнатурам, какое-то элементарное, либо нам нужно какие-то аномалии в сети обнаруживать. Здесь всё-таки нужно строить уже

профиль нормального трафика и давать на сенсор больше нормального трафика, чтобы именно профиль построить. Так что размещение сенсора — штука тоже не такая простая. Надо сначала сто раз подумать, сто раз прикинуть, как мы можем почистить трафик, который пойдёт на этот IPS, дешёвыми средствами, а потом уже принимать решение, что здесь неплохо бы добавить ещё IPS. Но во-первых, неплохо бы добавить firewall, который будет всё-таки дешевле, чем сенсор. Но видите, это всё мы сейчас про классические решения говорим. Новые решения, которые next generation — это уже будет выглядеть по-другому: давайте-ка поставим сюда просто одну железку, у которой и пакетная фильтрация, и IPS, и ещё антивирус с антиспамом — всё на свете. Вот так сейчас это выглядит. Но я не знаю, хорошо это или плохо. Наверное,

это хорошо, потому что железо с каждым годом становится всё мощнее, и почему бы уже в одном устройстве не совмещать много функций — я только это приветствую. Но иногда встречаются старые схемы работы, когда ставится отдельное устройство: отдельно сенсор, отдельно firewall, отдельно, может быть, ещё какая-то фильтрация на уровне приложений. И так тоже бывает. Теперь продолжаем мысль про варианты развёртывания. Немножко поговорили об IDS и IPS. Пассивный режим. Сейчас слайд прочитаю, ещё, может, что-то уточним. Сенсор не включён в путь прохождения трафика — только копии пакетов мы каким-то образом на него заворачиваем и будем анализировать. У него действительно возможности реагирования ограниченные,

мы просто ругаемся, если мы что-то обнаруживаем. В большинстве случаев здесь SPAN используется, но могут возникнуть проблемы переподписки. Что такое проблема переподписки? SPAN подразумевает собой, что мы зеркалируем трафик с одних портов коммутатора на какой-то другой порт. Здесь может возникнуть проблема, когда трафик с нескольких интерфейсов коммутатора просто может не пролезть в тот интерфейс, куда мы его зеркалируем. Наш сенсор может захлебнуться. Либо переподписка уже на интерфейсе сенсора может возникнуть, если у нас есть сенсор, который по своим вычислительным возможностям не

может обрабатывать, например, больше 100 мегабит в секунду, а интерфейс у него гигабитный, а мы ему налили туда трафика с нескольких 100-мегабитных портов — просто ничего не получится, у сенсора возникнет переподписка на процессоре, и всё, сенсор будет бесполезен практически. Более предпочтительный способ — network tap. Network tap — здесь имеется в виду специальный тип устройств, это не SPAN, перенаправление на уровне коммутатора. Network tap — это, грубо говоря, врезка в какой-то существующий линк и отвод именно на физическом уровне. Короче, SPAN — это просто копирование пакетов, копирование кадров, наверное, правильнее сказать. А network tap — это просто физическая штука. Как пример,

Андрей, это — представьте, что это устройство типа хаба. В каких-то случаях это может быть действительно интереснее, когда мы просто берём и на физическом уровне, прямо реально на физическом уровне берём и копируем. Врезаемся в линк, ставим хаб — ну, практически как хаб, какое-то устройство, которое будет спокойненько трафик копировать прям физически. Посмотрите ссылку на ту же Википедию — на английской Википедии про это написано побольше, там именно про устройство написано.

Эти устройства в принципе не часто используются, но это просто такой тип устройств, нужно знать, что можно на физическом уровне в принципе. Кстати, ссылка на английской Википедии — потом на досуге почитайте, там написано опять же, что иногда SPAN не очень хорошо, потому что возникает именно переподписка. Таким способом прикольно. Опять же, если кто-то сталкивался — TAP-интерфейс существует, программные такие вещи, которые копируют трафик ещё в какое-то место, и программные такие вещи тоже есть. Это что касается IDS. Активный режим — IPS. Я уже рассказал, что сенсор будет включаться в путь прохождения трафика, соответственно, он будет влиять на полосу пропускания, и здесь всё будет зависеть только от того, насколько утилизирована полоса пропускания, насколько мощный сенсор у нас, какие задачи он будет выполнять. Он

анализирует проходящий сквозь него трафик. Самый большой плюс — что подозрительный трафик может быть отброшен до того, как он достиг назначения, мы можем уже как-то блокировать. И опять же разные сенсоры умеют по-разному себя вести. Нормальные сенсоры, мы с вами говорили, даже не только сенсоры — тоже ASA, firewall умеет работать в прозрачном режиме, когда сенсор просто анализирует коммутируемый трафик и никаким образом себя не проявляет, просто работает как бридж. Либо router mode, так называемый режим роутера, когда сенсор работает как нормальный маршрутизатор — на него направляется трафик, и он дальше уже куда-то его будет маршрутизировать. Какой из этих вариантов более предпочтительный — transparent mode или router mode — однозначно сказать нельзя. В некоторых случаях transparent mode, конечно, прикольно,

когда сенсор никаким образом себя не обнаруживает. С другой стороны, иногда нужно, чтобы он работал как маршрутизатор, когда мы, например, каким-то образом специально будем заворачивать на него трафик. Можно придумать такие случаи. Давайте дальше продолжать. Все сидят, замолчали, я уж думаю, что-то не так рассказываю — все молчат. Так, теперь немножечко пару слов про IPS на IOS. Сама операционная система Cisco IOS, которая работает на маршрутизаторах, имеет свой программный модуль IPS. Этот модуль от железа в принципе никак не зависит, и возможности IPS появились уже давным-давно.

Я, к сожалению, совсем уж некрофильское железо от Cisco не застал, и самое старое, с чем я работал и что даже сейчас есть в моей инфраструктуре — это 26-й роутер. Если кто-то знает линейку Cisco, то 26-я, второе поколение, она очень старая. Не знаю, сколько ему лет, ну просто очень старая, скажем, никакого 15-го IOS и в помине не было, и это всё такое уже древность. Но даже у меня стоит. Нет, Андрей, это лет 15, я бы сказал. Я сейчас могу, конечно, поставить на паузу, пойти в серверную, посмотреть наклеечку, какого года он выпущен. Хотя нет, не будем сейчас заниматься походами в серверную. Я думаю, что

где-то 2003 год, может быть. Железо, такое старое железо — и уже на этом железе были возможности IPS. В принципе, уже тогда Cisco придумала, что неплохо бы в роутеры включать и такую возможность. Но сами понимаете, что в современных реалиях, с современным трафиком, конечно же, такое железо работать не может. Это в качестве лабораторного экземпляра — на таком железе можно погонять IPS, даже на виртуалке. С нормальным трафиком такое, конечно, никаким образом не справится. Этот программный модуль IPS будет включаться в путь прохождения трафика, будет работать глубоко внутри маршрутизации, когда пакеты будут отправляться на IPS и потом дальше. Как он включается, как настраивается —

мы с вами попозже поговорим тоже. Я думаю, что, может быть, сегодня лабу сделаем, не знаю, посмотрим. Он не копируется, на него трафик — не IDS, а именно как полноценный IPS он будет внутри роутера работать. Всё обнаружение у него будет основываться на сигнатурах, это достаточно — я бы не сказал, что простой сенсор, нет, просто это классический сенсор, который именно работает с сигнатурами. До недавнего времени все эти клёвые штуки типа обнаружения аномалий были не реализованы в сенсорах обычных. Всё-таки на роутере — это нельзя сказать, что прямо мега-сенсор, это обычный сигнатурный классический сенсор. Никаких приколов типа построения профиля нормального трафика не ждите. Но у него есть плюсы — почему прикольно использовать IPS на маршрутизаторах: не нужно никакое дополнительное

железо, у нас есть роутер, на котором в принципе можно всё настроить. И понятно, что про лицензии — отдельный разговор здесь возникает, но если у вас роутер с какой-нибудь enterprise жирной лицензией, почему бы нет? Если у него в запасе есть достаточно мощности, можно попробовать. IPS умеет динамическое обновление сигнатур — не обязательно IOS обновлять, сигнатуры будут как отдельные файлики храниться и не будут связаны с операционной системой. Удобство управления с помощью CCP — я по ходу нашего курса уже много раз ругался на Cisco Configuration Professional и говорил, что мне, правда, не нравится продукт, мне он не нужен по жизни. Но именно в работе с IPS на роутере он, наверное, незаменим, если вы не просто так настроили и забыли, а если вы с ним как-то более-

менее активно работаете. Потому что сигнатура — штука такая, в которой тоже есть что подкрутить. Я не говорю сейчас про то, что подкрутить именно в механизме анализа пакетов, хотя так глубоко тоже можно забраться, я не пробовал никогда. Но просто у сигнатуры тоже есть много свойств, которые поддаются настройке. С помощью CCP, конечно, удобнее этим управлять, в разы удобнее. Дальше, мы подобрались к понятию сигнатуры. Но смотрите, это важный разговор, который перенесён из прошлой версии курса. В современном курсе, по которому сдаются экзамены, этого разговора уже нет — это мы вытащили из прошлой версии. Так, давайте сделаем перерыв. Давайте разговаривать про сигнатуры, раз уж к ним подобрались. Неплохо бы выяснить, что это такое. Обычно, знаете, говоря «сигнатуры, сигнатуры», а

дальше никто ничего не может объяснить, что это такое. Мы сейчас попробуем систематизировать эти знания. Сигнатуры — это описание каких-то ситуаций, вот такое общее выражение я придумал. Это какие-то конкретные правила, в которых будет написано, что такое хорошо, что такое плохо, какой трафик считать плохим. Если говорить более конкретно, в IOS IPS сигнатуры бывают разных типов, сейчас мы с ними разберёмся. Какие возможности у сигнатур в IOS IPS есть? Можно применить слово «паттерн», хотя паттерн здесь — сейчас я попробую сформулировать — паттерн немножко неправильно, это более

узкое выражение. Сигнатура содержит не только паттерн — паттерн это то, с чем будет сравниваться — не только паттерн, но и ещё информацию о действиях, которые нужно делать. В сигнатуре описывается не просто ситуация, а ещё будут описаны дополнительные какие-то параметры. Что могут сигнатуры? Соответствие регулярным выражениям — умеют сигнатуры. Настройка действия реагирования — в самой сигнатуре прописано, как реагировать на тот или иной паттерн. Хорошее слово Глеб сказал — сигнатуры умеют суммировать сигналы. Например, что такое суммирование сигналов? При каком-то активном трафике у нас может быть достаточно много срабатываний

IPS, и эти сигналы, которые IPS должен посылать на каждое срабатывание, неплохо бы суммировать. Реально — отправлять не каждые две миллисекунды крик о помощи, а просуммировать одинаковые сигналы, если у нас несколько будет попаданий под какой-то паттерн, и потом отправить такой суммарный сигнал, где, образно сказать, написано, что это действие у нас за последнюю секунду случилось 10 раз. Это суммирование сигналов. Настройка пороговых значений — в сигнатуре тоже можно настроить какие-то пороговые значения для срабатывания, не просто так постоянно. Сигнатура — штука такая, которую можно, я говорил уже, подкручивать. Андрей, это к системе оповещения, но и в сигнатуре будет прямо можно

описывать в принципе, можно ли это суммировать или нельзя. У сигнатуры много параметров, и про суммирование там тоже можно сказать. Дальше, что ещё касается сигнатур — рейтинги рисков. Опять же, у сигнатуры есть такие значения, как настраиваемые рейтинги. Есть сигнатуры, в которых будет написано, что этот риск более важен, есть сигнатуры, у которых рейтинг пониже. Опять же, срабатывание разных сигнатур потом при дальнейшем анализе можно будет оценивать по каким-то рискам. Есть такое выражение, как micro engines — микродвижки. Я объясню: микродвижки — это просто программные модули,

которые будут у IPS, и разные сигнатуры будут обрабатываться разными микродвижками. Просто микродвижок — это какой-то модуль IPS, который будет отвечать за обработку этой сигнатуры, за обработку трафика именно по этим правилам. Можно их не запоминать, я просто расскажу, какие они бывают. Основные — раньше это было всё в официальном руководстве, и раньше этому больше внимания уделялось. Микродвижки могут быть: во-первых, atomic. Atomic — это самый простой способ обработки сигнатуры, когда по сигнатуре будут сверяться одиночные пакеты. Например, простые пакеты простых протоколов — ICMP, например. Это просто способ обработки одиночных пакетов.

Второй микродвижок — service. Это когда будет анализироваться уже уровень приложений, уровень сервиса. Микродвижок string — строка. Здесь говорится именно о строковом анализе, когда у нас будут какие-то регулярные выражения, и по ним будет сравниваться какая-то текстовая информация. Ещё есть подвид — multi string. Это более гибкий способ, но это тоже строковая обработка по регулярным выражениям. Есть такая компания Trend Labs, и multi string она выпускала эти сигнатуры в основном раньше. Ещё есть микродвижок service — здесь

имеется в виду сравнение именно каких-то особенностей протокола, например, разбор команд SMTP. Всё, что относится — нет, это не stateful firewall, нет, это IPS. Мы же говорили, он анализирует содержимое приложений. Здесь будет какая-то конкретика, работа именно под конкретный протокол уровня приложений. Например, HTTP анализируется — там будет несколько движков задействовано, несколько сигнатур будет работать, когда протокол HTTP анализируется. Service — это именно содержимое протокола, HTTP, например, нужно проанализировать. Дальше, это

то, что касается микродвижков. Когда у нас сигнатуры загружены, с ними будут работать разные программные модули, по-разному собственно работать. Теперь про состояние сигнатур. Сигнатуры — ну, нельзя сказать, что это, конечно, файлы в каком-то понимании, просто эти объекты, сигнатуры, они могут в разных состояниях быть: они могут просто так у нас лежать на диске, либо работать есть определенное состояние ритарит это сигнатура которая вообще не работает они компилируются не загружаются в оперативную память либо сигнатуру может быть анри тает эта сигнатура которая скомпилирована и она загружена в оперативной память вот по ней по вот эти сигнатуры то рабочие которые ипс уже применяют своей работе сигнатуры можно также включать и выключать нет смысла в принципе

срабатывать при этом на каждую сигнатуру мы сейчас будем лабу делать и посмотрим да можно просто выключить ее включить то есть если она и не был в случае срабатывания какие-то действия которые в ней описаны они будут срабатывать disabled в случае срабатывания ничего не будет выполняться но вот просто сработала сигнатуру и все можно и так сделать то есть просто взять и сказать что пока ее отключить временно то есть отключить именно действие которые в ней заложено так настройка ну что попробуем посмотреть как на роутере ты ипс работает я думаю что стоит вам это показать сейчас она паузу нажму так продолжаем про нашу тему безопасности несколько слов хочется сказать про end point protection про защиту конечных

хостов опять же вспоминая принципы шланнированной защиты конечных осты они важны конечные хосты end point это не только компьютеры в сети это вообще любые терминальные устройства компьютеры планшеты мобильные телефоны принтеры какие-нибудь там айпи камеры то есть любой любое устройство которое будет у нас иметь сетевой адрес это будет хост то есть то устройство которое может отправлять и принимать трафик надо понимать что поведение пользователей представляет значительную угрозу безопасности мы про это много с вами говорили про принцип 80 на 20 мы с вами тоже рассуждали самая главная мысль здесь в том что от конечных хостов у нас будет в настоящем в настоящее время исходить намного

больше угроз чем извне то есть защищаться изнутри нам придется более как-то досконально продумывать эту защиту защищаться изнутри это важнее чем защищаться от внешних угроз вот в нашем сегодняшнем мире потому что намного больше будет здесь векторов атаки в общем серьезно к этому подходить защиты конечных хостов в настоящее время да у нас обеспечивается тремя компонентами это персональный firewall который стоит на хосте это антивирус и система обнаружения вредоносного трафика мы понимаем что не на всех осты можно установить эти компоненты ну например на принтер никаким образом не персональный firewall не антивирус не те более ps установить просто невозможно поэтому защиту вот таких конечных хостов мы можем обеспечить только сетевыми средствами как кстати как ни

странно принтер это очень и очень серьезный вектор атаки современной сети потому что современные сетевые принтеры это не просто там какой-то простейший хост на котором запущен просто там lpr какой-нибудь сервера там до элементарный нет там же там же пипец там и с нмп есть при чем что он может быть по умолчанию открыт на запись да там и веб-сервер есть и ftp сервер там есть и даже почтовый сервер какой-то может быть элементарный в принтере есть где же такие принтер до которым письмо отправляешь его ново распечатывает вот и они сами отправляют но этого достаточно клиента есть принтеры которые печатают из почты это шикарный вообще вектор атаки на сервер который почтовый сервер установлен в принтере или ftp сервер да там

вообще можно можно так его похакать что мало не покажет а потом вот такие устройства как там принтеры какие-нибудь айпи камера нижние обновляются нифига вы скажите вот кто работает системно администраторами как часто вы обновляете прошивки принтеров или веб-камер который годами работают понимаете да что это операция очень редкая нафига обновлять там прошивку принтер если его купили и он работает или ту же камеру вот купили веб-камеру там но не веб-ка айпи камеру поставили она работает все прекрасно вот если посмотреть на залезть на сайт производителя принтеров потом посмотреть какие вышли новые прошивочки а также каждой прошивочки можно посмотреть собственно список изменений который там сделан и зачастую список уязвимостей который закрыт в этой прошивке да там волосы дыбом начинают вставать сколько

было уязвимостей которые закрыты в очередной прошивки которые вы почему-то забыли скачать и установить на принтер так что вот защита конечных хостов она заключается не только в антивирусах она заключается и и в том чтобы защищать и такие устройства хотя бы как минимум просто обновлением программного обеспечения это конечно может быть опасно с точки зрения доступности да могут быть сюрпризы какие-то но если задуматься о безопасности нужно это делать периодически никто не не заставляет вас обновлять прошивки рейд контроллеров но вот те же принтеры да опять же контролировать трафик принтеров тоже очень важно принтеры должны быть по моему разумению в отдельном вилане это же прекрасно конечно здорово поместить принтеры все в отдельный вилан и из этого вела на например закрыть доступ в

интернет кто знает какие там данные сливает ваш принтер произвел своему производителю никто про это не знает может быть он просто статистику фигачит по расходным материалом а может быть отправлять все ваши напечатанные документы представляете это вообще через принтеры же проходят документы на печать как правило те которые потом руками подписываются который имеет серьезная серьезную ценность для организации я призываю вас тоже об этом тоже задуматься когда понимаете да вот именно вот такие вещи они в безопасности играют огромную роль ну призыв включить паранойю это нормальная приза вообще если мы же мы же на курсе по безопасности находимся в безопасности интересуетесь раз сюда пришли поэтому я вам потихонечку копы на мозги на тему того что безопасность это процесс он

постоянный и она должна быть везде оглянитесь вокруг себя посмотрите какие устройства у вас работают сети и каким образом можно защитить но давайте дальше это все лирика это нужная лирика про персональный firewall пару слов до что это программный компонент который установлен на конечных хостах персональный firewall занимается тем что будет контролировать сетевую активность двух направлениях персональные firewall и даже встроенные в операционной системы например тот же firewall в операционной системе windows он на самом деле не так уж плохо я не знаю за что его ругают часто но это firewall который умеет контролировать подключение не просто на основании протоколов портов да а также на основании запущенных приложений и контролировать именно трафик приложений плюс можно если там windows сервер взять там firewall он и

на основании пользователей может работать то есть это классная вещь и пренебрегать им тоже не стоит персональный firewall будет разделять политики какие-то в зависимости от местоположения устройства да тот же стандартный windows когда вы там вставляете ему кабель он находит новую сеть он спрашивает да что это засеть там рабочие домашние это тоже полезная штука потому что на персональных файл валах можно создать несколько профилей и определить какие-то правила и потом эти профили будут меняться автоматически то есть windows firewall это классная вещь там много таких возможностей персональный firewall может быть реализован виде распределенного фрву опять же я возвращаюсь к той мысли что сейчас у многих производителей их персональные клиенты они очень мощные взять того же там форте нет с которым я сейчас работаю да

там там столько всего интересного и что самое главное есть централизованное управление общий административный контроль когда мы можем например айпи с на центральной железки принял какое-то решение дал команду клиентам и все клиенты взяли и заблокировали какой-то порт потому что айпи с обнаружил атаку именно на этот порт это классно и вот такие централизованные решения да они не дешевые они стоят денег как правило вот те же там лицензии именно вот для такой работы для клиентской они стоят зачастую дороже чем сама центральная железка и лицензии на нее про антивирус я думаю что все знают что антивирус признан отслеживать состояние программных компонентов до либо по сигнатурам и в рестический анализ поведенческий антивирус и

развиваются классными темпами мне нравится как они развиваются те же песочницы уже во всех наверно антивирус включили он обеспечивает защиту в реальном времени но мы понимаем да что вот это тот компонент который требует регулярного обновления если firewall в принципе обновлять ты незачем да ну только когда производитель какие-то новые фишки там может быть придумает с регулярными обновлениями приедет то антивирус требует регулярного обновления может быть ежедневного там еженедельного без обновления антивирус не нужен по поводу any connect а еще хотелось бы здесь добавить в этой версии курса и не connect у больше внимания уделено чем раньше потому что они конект развивается помимо установки просто ремонт access vpn any connect еще умеет многие вещи он умеет например быть 802 один из x сапликанта мы

про 802 один x чуть-чуть обзор на поговорим с вами сегодня 802 один x классная вещь это то с помощью чего мы можем неплохо защититься на канальном уровне вместо обычного порт security который ну скажем так портить хорошая штука но не всегда она сработает плюс any connect имеет несколько модулей вот современная оса то же самое либо cisco ice cisco ice это флагманский продукт циско который не надо воспринимать просто как там радиус сервера он имеет дофигище всего вот в any connect и есть так называемый модуль соответствия я не знаю как правильно перевести с английского но вот модуль соответствия он паще модуль по моему на английском называется то есть это модуль с помощью которого и не connect будет каким-то образом

взаимодействовать с осой либо сайсом когда они connect например будет подсоединяться к сети например 802 один x либо ремонт аксесс в пен то cisco ice продукт может каким-то образом этот any connect еще до как на да он может его пнуть и сказать скажи-ка пожалуйста установлен ли у тебя в системе фаервол там ну фаервол антивирус если все последние обновления у тебя операционной системы если есть да то все хорошо мы пускаем сеть если нет мы можем клиента посадить в отдельный вилан где ничего не будет только например сервис обновления в там для фаервол для антивируса да и уже потом после обновления антивируса опять переподключиться он может переподключиться и получить нормальный доступ в сеть все эти системы

сейчас уже неплохо реализованы так вот модуль соответствия я сказал то есть обновление с антивируса при необходимости опять же там мы можем дать команду циск и не connect а вот давай-ка обновить пожалуйста там скачай все последнее обновление только после этого еще раз попробуй подключиться и мы проверим получилось все или не получилось так что современные не connect это не просто подключалка для vpn а циско amp fire points у циска есть продукт advanced malware protection если я правильно расшифровал это клиент для конечных хостов расширенная защита от вредоносного трафика это непрерывное мониторинг сетевой активности у него есть репутационная фильтрация это айпи с тот же самый до который

может по точным сигнатурам работать либо вот машинное обучение то про что мы говорили составление какого-то профиля нормального поведения трафика потом выявление аномалии отклонения вот этот продукт это умеет к сожалению я с этим продуктом не работал вот я с ним просто не сталкиваюсь в своей повседневной работе но могу сказать что по тем материалам которые я читал про этот продукт он интересный сейчас у циска да наверно у всех уже производители есть свои какие-то облачные службы у циска это коллектив security интеллигент же интеллигент склод он по моему его они переименовали да если я правильно помню вот он умеет с облачными службами также работать так как же он сейчас называется это это здесь имеется ввиду

талас но я амбрелла то есть у них сейчас сейчас он по моему ну у них несколько у них вот это общая облачная служба она там у них есть подразделение у них и стал из до которой сигнатуры пишет антиспам еще есть в общем сейчас они там развивают штуку он называется из яйпом них общая коллектив security intelligence дальше немножечко поговорим про контент security это маленький обзор того что что ждет вас дальнейших курт курсах циску да там дальше уже на сиски более подробный разговор про это здесь просто небольшой обзор давайте про контент security про те решения которые циска описывает

в этом курсе на самом деле чуть-чуть информация уже устарела потому что знаем да постоянно новые какие-то маркетинговые вещи появляются и все это переименовывается в общем черт ногу сломит но в курсе у нас рассказано про две два основных продукта линейки ironport есть такая линейка ironport продуктов у циска это именно решение для защиты содержимого мы с вами поговорили про то что у нас и фаерволы замечательные есть и айпи с замечательные есть но это все для работы с угрозами и с угрозами все-таки более сетевого порядка хотя и пьес может и глубже ковырять но все равно есть еще специальные устройства для они будут узко специализированы то есть совсем узко специализированы в рамках одного-двух сервисов но

эти устройства занимаются своей конкретной задачей и делают это намного лучше чем устройство с более широкой специализации а у циска есть если до email security appliance и wsa web security appliance вот email security appliance эта штука которая будет работать только с электронной почты не с чем ни с чем с другим она будет иметь кучу возможностей фильтрации да там репутационный фильтр то есть репутационный фильтр здесь имеется ввиду то что обычно не любит почтовые админы использовать всяческие сервис репутации отправителя да там те же самые blacklist и это обычный вот такой пример репутационной фильтрации когда при приеме какого-то письма почтовый сервер обращается к какому-то там сервису облачному не облачном без разницы ему говорят что вот чувак от которого ты сейчас письмо получил он плохое не нужно от него

письма получать и на основе вот таких данных сервер уже будет знать что дело с почта он будет и убивать либо как-то помечать либо просто пропускать игнорировать это вот такая штука она есть фильтр сообщений да по тем же самым заголовком почтовым я не говорю про айпи заголовки а именно заголовки уже почтовых протоколов тоже можно производить какую-то фильтрацию антиспама антивирс но вообще тема антиспама она заслуживает такого большого большого рассказа там используется кучу всяких разных механизмов и технологий антиспамы сами знаете сейчас на данный момент систем полно у циска говорят очень хороший антиспам вот я слышал от тех людей которые с ней работают но с одним небольшим с одной небольшой оговоркой что

все-таки с русским языком этот антиспам не очень хорошо работает все-таки антиспам больше направлен на анализ именно содержимого писем да на какой-то вот на какой-то анализ да поэтому невозможно сделать такой антиспам который будет анализировать содержимое содержимое писем там на всех языках мира понятно что у google такое число google а такой антиспам есть тоже я думаю что google развивая свой антиспам может быть даже быстрее всех на этой планете потому как у него огромная база пользователей и огромные возможности по анализу писем так что вот ну понятно что с google м тягаться на этом поле никто не будет но скажем вот сравнивая с такими с продуктами других вендоров

не google а вот там сетевых вендоров да и кто программное обеспечение делать почтовое то по мнению коллег у циски неплохой антиспам до антивирус который опять же можно подключить во время проверки почты проверять вложения я на самом деле сейчас не знаю кто в данный момент поставщик антивируса у циски циска не сама по моему тренд микро может быть циска не сама же пишет антивирус понимаем что даже самая крутая крупная компания такая как циска не в состоянии писать все сама и делать все продукты вот прямо самостоятельно в своих лабораториях антивируса они у кого-то покупают я не знаю чекпоинт сам пишет свой антивирус или тоже у кого-то покупают я не уверен что там свои у них вируса антивируса писателей есть но вообще по антивирусом я знаю что многие сетевые вендоры пользуются тем

тем самым тренд микро тренд микро кламмов не знаю чей продукт дальше но фильтр содержимого короче вот если резюмировать рассказ про если это действительно мощный классный продукт но будем честными он дорогой он умеет много всего да если вы кто-то из вас работал с электронной почты я знаю что михаил плотно работать с электронной почты я работаю с электронной почты плотно то то бывают решения которые более мощные за меньшие деньги я я не буду не хвалить не ругать цисковские продукты но я я ими тоже не пользуюсь я пользуюсь немножко другими продуктами и кстати бесплатные продукты открытые тоже неплохи например

если в качестве рекламы что-то вам назвать не не будем здесь рекламу в курсе устраивать потом расскажу а ну спам ассасин да это классический спам фильтр который который в принципе неплох да но бывают наверное не то что лучше на самом деле анализ вот смотрите на самом деле анализ именно спама он производится у многих вендоров по в принципе одним и тем же алгоритмам придумать именно математические алгоритмы для какого-то нового анализа но довольно трудно это также как в шифровании вот есть конкретный набор алгоритмов да и эти алгоритмы используют все в антиспаме похожие ситуации на мой взгляд да я могу быть не объективным но ситуация похожа что алгоритм это в принципе тот же самый баяс до его много

кто использует алгоритмы общие а вот удобство работы с антиспамом она тут может быть решающим фактором выступать тот же спама совсем да классный но работы с ним совершенно неудобно ну просто не то что я не умею его готовить я им пользовался много лет но не слишком нравится да есть и были продукты немножечко поудобнее и сейчас новые продукты есть которые хороши довольно таки в своей работе дальше это что касается почтовой темы почтовой тем можем потом в личных беседах продолжить но меха миха миха михаил правильно говорит еще вот дополнение небольшое в большинстве словом сейчас антиспам и конечно они халтурят назовем это тогда когда уже на самом деле современный спам определить не так и просто

вот именно анализ анализ текста он становится все сложнее и сложнее спамер тоже не дремлют и вы получаете все спамы видите что письма становится все более хитрыми поэтому да многие антиспамом сервисы они уже начинают халтурить и говорить что мы все что можем мы делаем но вы нам давайте помогайте и сами указывайте что спама что не спал да а потом они запоминают просто то что вы им говорите спам они это не пускают но они то есть работа по анализу спама она еще и возложенные на пользователей антиспама это же важное уточнение все-таки искусственный интеллект он еще не родился и его не существует а жаль а может быть этой к лучшему по поводу wsa цисковский web security appliance это прокси сервер прокси сервер достаточно удобный который может у нее который может делать неплохой фильтрацию немного

возможности по фильтрации по категориям там по репутации там у него есть разграничение на основе разграничение доступа там на основе приложений либо на основе там группы за актив директори ну просто групп пользователей не обязательно активных просто групп пользователь да и также антивирус туда прикручен в принципе штука неплохая я не пользуюсь прокси сервером на предприятии просто потому что у нас все-таки больше работает административные меры противодействия на сами проект тоже говорили да вот все таки с моей точки зрения как системного администратора предприятия прокси сервер штука такая она полезна вот в плане потокового антивируса может быть до чтобы на вирусы проверять но разграничением доступа заниматься на прокси сервере с моей точки зрения не очень эффективно все-таки надежнее это

административные меры противодействия кирилл спрашивает это железки или программные штуки это железные продукты это прям конкретные appliance железка который этим занимается они дорогие да но сейчас они ну и в виртуальном исполнении тоже есть я не слежу за обновлениями линейки циску я признаюсь честно но по моему сейчас почти у всего что было железным циска уже выпустила для виртуальной среды аналоги так что виртуалки они должны быть эти здесь показывается просто пару слайдов с интерфейсом пользователя то же самое весы если на этом заострять не будем пару слов про идентифик менеджмент смотрите что

такое идентифик менеджмент мы с вами говорили вообще если так резюмируя наш курс про огромное количество типов доступа типов доступа дофига уже мы разобрали я вам говорил такую мысль что в настоящий момент в нашем современном мире мы не можем полагаться только например на фильтрацию по ip адресам но это же вообще ерунда это уже вообще ни о чем или фильтрация по mac адресам но нам это вообще не не поможет в настоящее время поэтому вот только на одном факторе там источник пакета или группа пользователей управлять доступом нельзя в современном мире у нас появилась такая штука как контекстная безопасность это термин циско контекст security но я думаю что он в принципе точно отображает

положение вещей вот эта модель доступа который объединяет много всевозможные факторы то есть контекст это совокупность ответов на вопросы кто когда откуда как вот все эти факторы кто да какой пользователь откуда там с какой айпи сети когда то есть в какое время каким образом как он подключился к сети например подключается там с помощью не знаю 802 1 x или с помощью там ремонт акцесс в пены или или просто по эзернету вот все вот эти параметры их совокупности это контекст и современные системы управления доступом например тот же самый циско айс который я уже много раз сказал что это такой сейчас супер продукт который развивается иск вот он именно опирается на контекст он является центром вот этой самой

контекстной безопасности но ключевые задач на задачи у циско из во первых это управление доступом она централизирован централизованная она унифицированная то есть мы управляем доступом разным доступом унифицирована да мы можем конкретному пользователю запретить там подключение независимо от того каким образом он будет подключаться по vpn или там как то еще вот это унифицированное управление на разных железах на разных железках и в разных ситуациях у нас будет такое одинаковое управление доступом точно идентификация устройств сети это тоже чем занимается циско айс когда наш центр безопасности назовем его так будет совершенно точно знать все о тех устройств которые у нас есть сети мобильные клиенты или там стационарные какие-то хосты принуждение конечных устройств безопасности то о чем я вам рассказывал до этого

дака когда циск лая сможет затребовать у клиента проставить все обновления например антивируса это тоже умеет этот продукт логическое сегментирование сети на основе траст сек чуть чуть попозже я объясню что такое трасс сек это вообще космос я вам скажу на самом деле космос если как мне сказал один уважаемый такой тренер и уважаемый специалист в свое время я когда первый сессийный только сдал самый самый первый я вот у него спрашиваю слушать чувак вот куда идти дальше чем бы чем интересно заниматься потому что я тоже стоял на распутье мне было все интересно и простая простой routing свичинг да и голос мне тоже интересно потому что с этим работаю на работе и безопасность тоже интересная вот у него говорю

чувак вот вот что вот выбрать что ты посоветуешь на самом деле если вы мне за такой вопрос зададите я вам тоже ничего не посоветую это очень сложный вопрос и он мне там рассказал там вот ну смотри вот это вот это вот это вот это вот это голосом я тебе не советую заниматься потому что кроме как голосом ты тогда в своей жизни вообще ничем не будешь заниматься точно специфическая вещь чтобы заниматься вай фаем но в общем он высказал свою точку зрения по разным направлением вот и он сказал что вот безопасность да там классно и он сказал там тогда если говорит трассе косилишь если говорит вот реализация там трассе к вот будешь знать на 5 баллов бред чувак тебе цены не будет это такая вещь я как-то заинтересовался этим но я честно признаю что я ее не осилил на 5 баллов я знаю что это такое но у меня у нашей компании не так много денег чтобы это

внедрять это классная вещь но не дешевая что еще умеет а цисква изда какие-то гостевые сервисы когда мы можем предоставлять неполный доступ к нашей сети ограниченной поддержка биот bring you on девайс это вот то что люди из мира безопасности просто ненавидит вот это четыре буквы и на языке безопасников я вам уже говорил что биода обозначает очень большой большой геморрой большие проблемы вот поддержка биот здесь будет иметься в виду поддержка тех устройств которые не постоянно находится в нашей сети люди приносят собой вот безопасность этих устройств это больная тема у всех как обеспечить вообще безопасное перемещение когда кто-то приносит наше устройство к нам в сеть ну это одно да здесь мы

можем хоть какую-то минимальную безопасность попытаться обеспечить ну там поместить в какую это там отдельный вилан либо что-то как вы-то дать ограниченный доступ но гораздо сложнее задача когда у нас производится обратное перемещение когда устройство из нашей сети переносится куда-то там домой не дай бог но представляете вот это для любого безопасника это означает седые волосы если это серьезная инфраструктура какая-то может быть компания с серьезными активами то здесь вот этот вот это парадигма биода она просто не работает техническом плане она может быть продажи нереализуемо вообще то но это моё такое мое видение ситуации одно дело принести какой девайс из дома хрен с ним его можно обезопасить и работать а вот те девайсы которые будут из нашей сети куда-то в другое место перемещаться и

сделать так чтобы сто процентов предотвратить утечку данных это невероятно трудно вы понимаете поэтому вот этого концепция bring you on девайс который была модно еще даже лет пять шесть назад опять же можно проследить по курсам циско в прошлой версии этого курса также как и borderless network повторялась через каждую строчку биод упоминался очень часто и надежды были на это да это вроде бы как уменьшение расходов предприятия когда не нужно покупать никакие компьютеры все приходится своими ноутбуками но видите как сейчас об этом все реже и реже говорят гораздо безопаснее потратить деньги на покупку компьютеров своим сотрудникам чем вкладывать огромные деньги по сравнению с покупкой компьютеров в безопасность тех данных которые могут утечь

так что здесь тоже помните один из таких основополагающих принципов которые мы вначале разбирали нельзя тратить на безопасность актива больше чем этот актив стоит в случае с бьетом получается так что на безопасность больше денег потратить чем просто на покупку устройств видели хоть одного человека нет но один из м то все не ограничивается в наших российских условиях да это же не только ограничиться 1с am биод это те же самые это тот же самый генеральный директор который приходит со своим планшетом и пялиться в него к целый день скачивать на него корпоративную почту где у него там очень важные документы да потом все это уносит домой и этот планшет дает ребенку ребенок вечером сидит на диване в этот планшет играет ну вот про какой безопасность здесь может идти речь да это генеральный директор блин ну

но как правило чем выше пост но это про нашу российскую действительность я не знаю как в западных компаниях но в нашей российской действительности да вот такая ситуация она сплошь и рядом чем выше пост занимает человек тем у него больше прав и тем за ним меньше контроля а планшет который он таскает домой на работу может быть бесценными данными для компании и и у меня как не защищен ребенок у него дома играет так что биод я вы поняли я противник этого давайте пару слов вот действительно пару слов про 800 2 1 x штука важная штука нужная к сожалению на уровне сисе иные она не рассматривается потому что но она такая очень объемная у циска есть специальный курсом по моему называется сисас это

защитиваешь не помню как ладно нет мы лобить ее точно не будем вот у циска есть целый курс где такой огромный кусок про 800 2 1 x и про айс и про взаимодействие вот это туда приглашаются люди вот на кул на сисе иные им говорится про то что хотите у нас есть дальше про это рассказа поэтому так очень обзорно 802 1 x мы рассматриваем лобить я точно скажу что не факт что получится андрей в виртуальной среде я 802 1 x тестировал вот кстати там буквально полгода назад и у меня очень долго не срасталась на виртуалках это дело но так что не факт что точно заведется хотя должно ну ладно эта тема может быть для домашней работы

дальше так вы тут уже начали делиться впечатлениями от биода ну да в общем Гоните в шею всех, кто предлагает вам внедрить эту концепцию, если у вас есть возможность, то лучше не связываться вообще. Давайте про 802.1X пару слов буквально. 802.1X — это механизм аутентификации устройств именно на порту коммутатора. Очень здорово, когда мы можем делать какую-то аутентификацию в момент подключения вообще на канальном уровне, не где-то там дальше вводить логин и пароль и домены — это всё понятно, это уже дело десятое, но защитить свою коммутируемую сеть с помощью 802.1X — это бесценно. Когда мы точно знаем,

совершенно точно знаем, какой пользователь, прям пользователь, его имя, за каким портом коммутатора у нас находится — это здорово. В современной сети, я бы сказал по своему опыту, может быть процентов 80 устройств это уже поддерживают и умеют с этим работать, и это не только компьютеры и ноутбуки, там новые IP-телефоны современные это поддерживают, может быть даже принтеры современные какие-то уже это умеют. Но всё равно всегда будет какой-то класс устройств, которые не будут это поддерживать, но для этого есть особые механизмы. 802.1X призван именно аутентификацию делать устройств на порту — это здорово. В 802.1X каждое устройство будет выполнять какую-то роль. Как мы говорили с вами: клиент-сервер, как всегда у кого-то

какая-то роль. Здесь будет три роли. Наверное, нужно запомнить эти названия, они совершенно точно вам встретятся. Во-первых, supplicant — это слово, которое обозначает агента на конечном устройстве. Именно он будет запрашивать доступ к сети. Например, supplicant может быть и AnyConnect тот же самый, мы говорили, либо встроенный в операционную систему supplicant в том же Windows, и начиная чуть ли не с Windows XP, по-моему. Наверное, да, есть supplicant 802.1X, правда включить его не так просто. Если кто-то будет дальше это в лабораторных условиях разбирать или хочет попробовать, я скажу, что 802.1X в Windows включается, по-моему, включением службы беспроводного доступа к сети.

Если кто-то сталкивался, тот точно знает, потому что так просто не работает, и по-моему, я не ошибаюсь, там логика нарушена: он называется «беспроводной доступ» в русской версии. Ну ладно, неважно. Аутентификатор — это агент именно на коммутаторе, который будет заниматься контролем доступа к сети. Это своеобразный такой посредник между клиентом и сервером. Сервер triple A мы с вами знаем — это какой-то сервер аутентификации, который занимается уже тем, что говорит: правильный пароль, неправильный пароль, можно входить, нельзя входить. Для Wi-Fi это называется WPA2 Enterprise — это аналогичный механизм для Wi-Fi, и это конечно имеет большой смысл, но здесь прикол в том, что

современные Wi-Fi сети в плане аутентификации лучше — не в том смысле, что лучше развиты, а просто они предусматривают по умолчанию какую-либо аутентификацию, там либо пароль какой-то ввести, и отношение к их безопасности — оно более... как сказать, администраторы больше внимания уделяют безопасности беспроводной сети, потому что надо защитить обязательно Wi-Fi, чтобы не похакали и так далее, а почему-то безопасности проводной сети уделяют внимания меньше. Я не знаю, почему так, наверно потому, что беспроводная сеть Wi-Fi более уязвима, естественно, это общая среда передачи данных, там чего угодно может быть, но это не отменяет того, что

проводной сети должно быть такое же внимание, как и беспроводной — я имею в виду уровень доступа, даже канальный уровень. Окей. Как будет работать аутентификация и авторизация 802.1X — в общих чертах. Здесь будет использоваться EAP — это тот протокол, Extensible Authentication Protocol, протокол, внутри которого может ехать миллион и один способ аутентификации. Он очень гибкий, он модульный, он удобный, но сервер triple A должен поддерживать это сам, и возможности авторизации — на самом деле их дофига. В 802.1X, например, назначение VLAN — очень удобная вещь, когда у вас есть какие-то постоянно подключающиеся в вашу сеть те же самые ноутбуки. Бывают такие компании, где приходят

люди со своими либо не со своими ноутбуками, какие-то клиенты приходят, садятся в переговорную и подключают проводом ноутбук, хотя это не так часто происходит, всё-таки Wi-Fi везде есть, но всё равно. Поэтому для этого можно разные VLAN'ы например назначать клиентам в зависимости от того, как он аутентифицировался, потом авторизацию: этой группе вот этот VLAN назначить, этой группе вот этот VLAN назначить. Это оправдано, когда, например, у нас сотрудники переезжают с места на место. В небольших компаниях, например, как у нас, там до 100 человек, сотрудники не так часто переезжают, и переписать там, перекинуть VLAN'ы — не такая большая проблема. В компании, где например работают 2000 человек или 3000 человек в кампусе сидят, и они постоянно переезжают — прикиньте, в таком большом коллективе,

где кадровые перестановки например совершаются часто, просто статистически сотрудники будут переезжать намного чаще, и даже постоянно переписывать там два-три подключения в день — это уже затрахает кого угодно, а на самом деле это иногда бывает и больше масштаб. Поэтому назначение VLAN — это прикольно. Назначение access-листа — тоже хорошая вещь, когда в результате авторизации будет какой-то access-лист назначен прям на порт коммутатора: раз — приехал access-лист, повесили его на порт — тоже прикольная вещь. Это не все устройства умеют, я имею в виду коммутаторы, и не все серверы, которые будут авторизацией заниматься.

Мы можем просто повесить access-лист, например, мы знаем, что вот этой группе сотрудников можно дать только доступ в интернет, например, или из гостевого VLAN дать только доступ, или там этой группе сотрудников дать доступ только к этому серверу — больше ничего на свете не нужно, и динамически, независимо от того, где находится сотрудник, вешать туда access-лист. Почему я говорил про контекстную безопасность — вот, 802.1X он уже будет обеспечивать контекстную безопасность. Не просто какой-то компьютер с каким-то MAC-адресом куда-то воткнут в порт, а компьютер с определённым MAC-адресом, который представляется именем пользователя, уже понятным, и паролем — то есть 802.1X требует самой настоящей аутентификации. Плюс

конкретное время. Совокупность этих параметров уже дальше на сервере аутентификации, на triple A сервере, уже можно как-то обработать и сказать, что вот этой группе — если он подключился в такое-то время суток, не давать никакой доступ: нечего ночью сидеть на работе. Таким образом это важная штука. Я уже проговорил два последних пункта: на основе времени можно, на основе групп безопасности. Опять же, для клиентов, которые не поддерживают аутентификацию, там можно использовать — есть такая штука MAC Authentication Bypass. В 802.1X, когда мы знаем, что подключённый клиент не умеет 802.1X, не умеет аутентификацию, мы просто по MAC-адресу его выпускаем, и всё. Его MAC-адрес

прокидываем на сервер, может быть даже сервер говорит, что с этим MAC-адресом делать — вручную, так скажем, работать. Либо придумать веб-аутентификацию, когда мы можем перенаправить клиента сначала — весь его трафик принудительно, как сделано, когда в метро подключаешься к Wi-Fi, тебя сначала заставляют веб-аутентификацию пройти. Это в Wi-Fi, беспроводных сетях, сейчас очень развито, это повсеместно, практически уже везде, а в проводных сетях можно сделать то же самое. Ну либо уже port security использовать, нам знакомый. Дальше так, MAB использует для RADIUS — да, всё правильно, MAC-адреса Authentication Bypass — как раз будут MAC-адреса исходящих кадров.

RADIUS будет по ним уже делать какую-то аутентификацию. Можно независимо аутентифицировать разных клиентов на порту — это тоже классная вещь, когда мы на одном порту можем иметь два клиента, можем ведь — правда, там компьютер подключён через телефон, и тот и другой умеют выступать supplicant'ами, multi-host тот же самый — это тоже всё работает. В двух словах буквально, как происходит аутентификация. Здесь обмен — я не думаю, что вам нужно запоминать. Нет, конфигов Андрей точно не будет, потому что можно дать конфиг для какого-то одного коммутатора Cisco. Андрей, я ещё раз говорю, это реклама курса, все семь, и вы сами понимаете, что про 802.1X там будет очень большой подробный разговор.

Не хочется перегружать CCNA такими знаниями. Смотрите, здесь очень просто. Объясним, что у нас есть два состояния порта: либо авторизованный, либо неавторизованный. Порт по умолчанию будет всегда находиться в неавторизованном состоянии, и supplicant, когда подключается, будет с помощью протокола EAP общаться с аутентификатором. Все сообщения между ними будут идти именно по протоколу EAP: там start identity, request identity, response identity — это те сообщения, но их не нужно заучивать сейчас, я не думаю, что спросят на экзамене, хотя потом со слайда можете переписать всю четвёрку.

А в свою очередь аутентификатор будет общаться с triple A сервером по протоколу RADIUS. Просто запомните самые главные мысли, что supplicant с аутентификатором — у него протокол общения EAPoL, так называемый, аутентификатор с RADIUS triple A сервером общается по RADIUS. То есть прямого общения supplicant'а с сервером здесь быть не может никакого. Теперь два слова про TrustSec — вот эта самая штука, которую я сказал, что это космическая штука. Представьте такую штуку, что... Но для начала просто два слова: TrustSec офигенно упрощает развёртывание и управление защищённым доступом. На самом деле

фильтрация упрощается в разы, она становится более гибкой и классной. Просто смотрите, главная мысль в чём: когда мы проводим аутентификацию и авторизацию клиента на порту — здесь разговор идёт именно про Ethernet, про канальный уровень — то сервер, тот же Cisco ISE, может сказать, что этому клиенту мы даём какую-то метку. Есть такое понятие меток безопасности. Эти метки безопасности будет выдавать сервер на основе своих каких-то критериев, то есть контекст можно зашифровать в одну единственную метку. Например, у нас на сервере написано, что если подключится Василий из такой-то группы, из такого-то отдела, подключится он в два часа дня,

подключится он на таком-то коммутаторе — там много можно придумать условий — то этому Василию выдать метку номер 2, или вот как у нас: метка номер три, вот этот синий чувак получил метку номер три. А затем на каждом устройстве, реально на каждом устройстве, которое будет поддерживать эти метки, мы будем проводить фильтрацию именно уже на основе этих меток. Эти метки будут вставляться — сейчас у нас тут нет... на самом деле показано, куда вставляется. Есть специальное такое Cisco metadata поле, которое будет вставляться уже в Ethernet прям заголовок, и там будет ехать эта метка. Так вот, дальше всю фильтрацию

мы можем делать прям на основе этих меток. Прикиньте: нам не надо писать — реально access-лист, в котором мы будем писать просто метки. Не нужно будет писать, от какого IP-адреса какому IP-адресу — вот это вообще всё можно забыть. Этим можно всё централизованно рулить на сервере. То есть мы договорились — давайте на картинку посмотрим — что вот этот сервер у нас будет иметь метку 12, этот сервер будет иметь метку 13, и на сервере договориться, что вот такие-то пользователи при таких условиях, при таком-то контексте, будут иметь вот такую-то метку, а этот контекст у нас будет иметь такую-то метку. А потом на устройствах уже, на тех же маршрутизаторах или коммутаторах,

мы можем фильтрацию на основе меток проводить. Вот посмотрите, прям access-лист — он так и будет выглядеть: просто писать метки, что эта метка к этой метке может идти по протоколу HTTP, а метка... Кадры с меткой 10 — это прям на коммутаторах пишется — кадры с меткой 10 могут идти куда угодно, и вообще не надо больше ни о чём париться. Так что это намного удобнее. Представляете, если бы вы писали на коммутаторах access-листы по IP-адресам или MAC-адресам — это смерти подобно в крупной сети. Именно на основе меток — очень классно. Но нужно время описывать группы для меток. Но, Андрей, не так сложно, как кажется.

Zone-based firewall тоже сначала кажется страшно, просто разобраться для начала. Это не как VLAN, нет, как VLAN нельзя рассматривать — здесь намного шире всё. Вообще можно метки рассмотреть как IP-адреса, может быть, не знаю. Я не знаю, с чем это сравнить, это просто вот такой очень прикольный метод безопасности. Можно как с MPLS сравнить — в MPLS тоже есть метки, по которым быстро-быстро у нас будет маршрутизироваться, нам не нужно никакие IP-адреса осматривать — ничего. Так и здесь: у нас есть метки, мы туда вставили. Мы можем назначать эти метки статически —

для конкретных IP-адресов либо конкретных портов коммутатора, если у нас вдруг какие-то тупые клиенты, а если 802.1X работает на порту, то динамически прям с сервера: аутентифицировался на этом порту коммутатора — вот тебе, держи, эта метка, и все кадры, которые этот клиент будет генерировать, в эти кадры будет вставляться метка. Метка может ехать либо в CMD — вот в этом самом с таким-то EtherType 0x8909, иногда бывает так, что не все транзитные узлы поддерживают — вот там есть такой специальный SGT протокол, чтобы обменяться привязками IP-адресов к меткам. Про MPLS конечно устройства ничего не знают, здесь тоже ничего не знают, потому что зачем конечным устройствам знать что-то про эту метку — она

срезается. Дальше. Есть ещё такая штука MACsec. MACsec — я не знаю популярность этой технологии. Она придумана на самом деле достаточно давно. Сейчас — Миша говорит, они должны заканчиваться на порту. Ну да, последний коммутатор эту метку срезает, она дальше нигде не нужна. А хочу дальше фильтровать? А дальше уже не надо никакую фильтрацию, дальше конечный хост, например, просто сам. Но всё, Миш, я понял, я просто неправильно понял вопрос. Вы поняли вообще кайф этого дела, или как-то не дошло до вас? Тут кайф вообще великий будет, просто реально действительно великий кайф. Но я уже сказал, что в деньгах штука не дешёвая, вообще.

Как внедрить это: начать с 802.1X, потом начать покупку оборудования, которое поддерживает Security Group Tags. Здесь всё-таки это моновендорная штука, на Cisco завязана — Cisco вот так придумала. Это дорого, поэтому у меня просто этого нет, я с этим не работаю, и к сожалению, поэтому не могу очень подробно про эти технологии рассказывать, но такая вещь есть. Дальше немножечко про MACsec. MACsec — это тоже технология, она стандартная, она будет защищать кадры в peer-to-peer линке, она будет вообще шифровать содержимое. Её можно сравнить в какой-то мере с IPsec, только на канальном уровне.

Если IPsec у нас на сетевом уровне работает, то эта штука работает на канальном уровне. Про популярность технологии ничего не могу сказать, всё-таки она сравнительно давно уж появилась, не знаю сколько лет назад, это и не старая технология, и не уже не особо свежая, но просто её мало кто реализовывает, и внедрение MACsec в сети — я таких сетей не видел, если честно. Я много сетей видел в своей жизни, и работал с ними, или просто видел, но MACsec нигде нет, потому что... Наверное, Миша говорит правильно: также популярна, как Cisco TelePresence, который тоже классный, но не у всех есть. Но MACsec — это не Cisco'вская штука, MACsec совершенно стандартный, IEEE triple A, и 802.1AE — стандарт,

именно шифрование кадров, содержимого кадров, но, к сожалению, она не везде работает. Надо какие вещи запомнить, может быть будет полезно. EtherType 88E5 — она на самом деле шифрует не всё содержимое заголовка. Зашифрованное содержимое — это 802.1Qона, заголовок 8021Q, то есть Cisco-метод, где будет метка — она тоже шифруется, и payload оригинального кадра тоже будет шифроваться. Про MACsec, наверное, не будем больше говорить. Это стандартизировано, здесь имеется в виду в цисковской реализации MACsec — она тоже будет у нас

шифровать 802.1Q. Telepresence — да, это Миша написал в чат — это классная штука, но стоит она как самолёт. Я не знаю сколько стоит, Андрей. Telepresence у нас в компании нет, я его никогда не внедрял, потому что я не специалист по передаче видео, но стоит очень дорого. Друзья, я предлагаю на этом обзор на этот модуль закончить. В принципе мы с вами просмотрели все слайды. Никаких итогов курса подводить мы пока не будем, это рано. Завтра у нас будет день лабораторный. Мы завтра всё-таки пощупаем IPsec, который у нас сегодня не получилось потрогать. Завтра ещё вернёмся к теме VPN — тема такая, будоражащая умы, и мы ещё с ней позанимаемся чуть-чуть. И тогда завтра подведём какие-то уже итоги курса. Мне, конечно же,

жалко, что курс заканчивается, но вы понимаете, что вечных курсов не бывает в этой жизни. На пятничный вечер у нас уже никаких планов не будет, потому что мы в принципе всю программу курса, кроме лабораторных работ нескольких, выполнили. Мы просмотрели все слайды, я думаю, что весь необходимый материал я до вас донёс — не знаю, правильно или неправильно, доходчиво или нет — я думаю, доходчиво. Так что завтра мы будем только лабить уже. Мы, конечно, поговорим про всякие интересные вещи, если у нас по ходу они встретятся, и порассуждаем, и, может быть, что-то новое ещё расскажу, если вспомню вдруг. Тогда на этом мы слайды закончим, я поставлю нашу запись на финиш.