Podczas Cisco Expo 2004 użytkownicy technologii tej firmy mieli szansę zgłębić jej tajniki oraz dowiedzieć się co nieco o strategii Cisco.

Cisco, które na wiedzy swoich inżynierów zarabia na co dzień pieniądze, raz do roku wydaje ich na pastwę głodnych wiedzy klientów i partnerów. Podczas dwóch dni Cisco Expo odbywają się dziesiątki sesji technicznych, ale także biznesowych, dzięki którym użytkownicy technologii i produktów Cisco mają szansę zgłębić ich tajniki oraz dowiedzieć się co nieco o strategii na najbliższe kwartały. Tak było i tym razem.

Uwaga, kontrola!

Nowości wprowadzane w systemach z linii IOS 12.3 pokazują, że w dziedzinie bezpieczeństwa ruchu sieciowego oraz bezpieczeństwa samych urządzeń sieciowych wciąż pojawiają się nowe potrzeby. Zacznijmy od najważniejszych.

Wersja 12.3 to pierwsza edycja IOS zawierająca funkcje NAC (Network Access Control), rozwijane przez Cisco wspólnie z partnerami zewnętrznymi. NAC dba o to, aby dostęp do zasobów i usług sieci otrzymać mogły wyłącznie komputery spełniające określone wymagania względem bezpieczeństwa własnego. W szczególności chodzi o stan aktualizacji systemu i wybranych aplikacji oraz konfigurację oprogramowania antywirusowego, zapory itd.

W nowej edycji IOS pojawiła się możliwość zainstalowania przezroczystej (in-line) sondy IDS/IPS. Do tej pory wydajna analiza ruchu przez sondę zewnętrzną wymagała zastosowania funkcji polegającej na kopiowaniu ruchu z jednego interfejsu na inny (port mirroring). Fundamentalną wadą takiej architektury był fakt, że wykrycie włamania na kopii nie powstrzymywało ruchu właściwego przed wywołaniem problemów.

In-line IDS/IPS stoi tymczasem "na drodze" pakietów - nie ma możliwości go ominąć. Zastosowanie analizy ruchu przepływającego przez urządzenie jest ponadto zasadniczo wydajniejsze niż nasłuchiwanie przez jeden interfejs działający w trybie promiscuous, stosowane w tradycyjnych rozwiązaniach IDS.

Uproszczona topologia

Wielu użytkownikom routerów Cisco spodoba się zawarta w IOS 12.3 funkcja Dynamic Multipoint VPN (DM VPN). Do tej pory większość firm decydujących się na budowanie sieci rozległych opartych na Internecie i tunelach VPN wybierała topologię gwiazdy. W konsekwencji, jeżeli oddział chciał komunikować się z innym oddziałem, ruch musiał przechodzić przez centralę.

Dzięki DM VPN klient VPN inicjujący połączenie jedynie uwierzytelnia się w centrali, zaś sam tunel jest zestawiany pomiędzy dwoma oddziałami - bez pośrednictwa bramki VPN w centrali. O zalecie takiego zabiegu nie trzeba chyba nikogo przekonywać. Dodatkową korzyścią z DM VPN jest uproszczenie konfiguracji sieci w warunkach, gdy oddziały otrzymują IP z serwera DHCP lokalnego operatora. Inicjujący połączenie aktualizuje adres docelowy innych oddziałów podczas zestawienia połączenia.

Wzmocniona zapora

Ważną nowością jest przezroczysta (in-line) zapora działająca w warstwach 3-7 (analiza nie tylko TCP/IP, ale także protokołów aplikacyjnych, jak HTTP, FTP i innych, np. Kazaa). Ruch warstwy drugiej jest mostkowany. Zaletą zapory przezroczystej jest możliwość wyłączenia routingu pomiędzy segmentami sieci IP (te same maski na obu interfejsach), dzięki czemu zaporę taką można bez zmiany konfiguracji sieci umieścić w dowolnym jej punkcie. Zapora in-line to też wyższa wydajność inspekcji pakietów.

Oprócz zmienionej architektury, w nowej zaporze dla IOS pojawiły się filtry dla nagłówków pomocniczych pakietów. Ta niepozornie brzmiąca funkcja ma w praktyce spore znaczenie. Nagłówki pomocnicze niosą informacje dla routera o tym, jak powinien przetwarzać pakiety, przez co stały się atrakcyjnym narzędziem do prowadzenia ataków DoS na routery.

Dotychczas administratorzy mieli do wyboru dwie opcje: przetwarzać wszystkie nagłówki pomocnicze lub nie przetwarzać ich w ogóle. Nowa funkcja wprowadza możliwość bardziej granularnego potraktowania problemu, np. ustalenia, jakie nagłówki pomocnicze mogą być przetwarzane, a jakie nie, jakie są ich dozwolone parametry itp.

Pojawiła się także funkcja Auto Secure Rollback, pozwalająca na proste odwołanie komendy Auto Secure, automatycznie konfigurującą router zgodnie z konserwatywną polityką bezpieczeństwa. W wersji 12.3 firewall obsługuje ruch IPv6.

Wysyp nowości

Wśród nowości IOS 12.3 pojawiło się jeszcze mnóstwo drobnych, acz użytecznych funkcji. Cisco wprowadziło Control Plane Policing - funkcję umożliwiającą ochronę routera przed atakami DoS kierowanymi nie na sieć, lecz na router. Jest to możliwe przez określenie z góry, ile pakietów zawierających adres IP routera jako adres docelowy router ma prawo przetworzyć w ciągu sekundy.

Kolejna ważna nowość to wbudowanie w IOS funkcji serwera CA (Certificate Authority) potrzebnego do budowy wewnętrznych urzędów certyfikacji PKI. Na razie CA Cisco umożliwia przydzielanie certyfikatów tylko pierwszego poziomu. W kolejnych wersjach IOS będzie możliwa certyfikacja wielopoziomowa.

IP Service Tracker to uproszczona wersja narzędzia NetFlow. Zamiast całego ruchu, funkcja ta pozwala analizować ruch dla jednego lub kilku wybranych adresów źródłowych, badać którymi interfejsami przepływa itd. Nowością w IOS jest narzędzie IP Traffic Export, dostępne do tej pory jedynie w oprogramowaniu COS przełączników Catalyst.

W dziedzinie QoS Cisco wprowadziło oznaczanie klas ruchu przesyłanego w stałych tunelach IPsec terminowanych na routerze. Ujednoliciło też dla wszystkich platform narzędzia do konfiguracji priorytetów ruchu (Modular QoS CLI).

To tylko najważniejsze nowości w IOS 12.3. Drobnych udoskonaleń jest znacznie więcej.