Информация предоставлена "Р-Альфа"
Продукция компании Cisco Systems используется примерно на 80% хостов в Интернет. Операционная система Cisco - IOS содержит в своем составе различные механизмы защиты, включая средства разграничения доступа, расширенные списки межсетевого доступа, средства организации виртуальных корпоративных сетей и т.д.
Firewall Feature Set (FFS) представляет из себя набор дополнительных сервисов, которые позволяют существенно приблизить возможности операционной системы IOS к возможностям межсетевого экрана без приобретения дорогостоящего дополнительного оборудования или программного обеспечения.
Ниже приведено краткое описание основных функциональных возможностей FFS:
Основанный на контексте контроль доступа | |
---|---|
Контроль состояния соединения | Контроль состояния и контекста всех соединений через роутер |
Протокольно-зависимая фильтрация | Учет в правилах фильтрации команд служебных протоколов прикладного уровня, обнаружение атак на уровне протоколов, динамическое открытие необходимых для работы приложений портов |
Поддерживаемые приложения | |
TCP/UDP приложения | Telnet, FTP, HTTP, SNMP |
FTP протокол | Активный и пассивный режим |
Мультимедиа приложения | Контроль потоков служебной информации для правильного открытия необходимых портов для аудио/видео соединений (включает H.323 приложения, CU-SeeME, RealAudio, VDOLive, Streamworks и др.) |
Контроль SMTP приложений | Обнаружение неверных SMTP команд, что позволяет избежать необходимости установки почтовых серверов в демилитаризованной зоне |
Поддержка RCP сервисов | Контроль запросов portmapper на открытие соединений для работы RCP приложений |
Поддержка R-команд | Проверка ответов сервера с запросами на установление дополнительных соединений |
Поддержка приложений Oracle | Контроль сообщений о перенаправлении соединений от серверной части Oracle в приложениях клиент-сервер; открытие портов для работы клиентов с сервером |
Приложения по поддержке видеоконференций на основе H.323 | Проверка контрольных сообщений Q.931 и H.245, которые служат для открытия дополнительных UDP соединений для передачи видео и аудио данных |
Обнаружение и предотвращение атак типа "отказ в обслуживании" | |
Защита от популярных видов атак | Защита от syn атак, сканирования портов, защита от атак с исчерпыванием ресурсов маршрутизатора. |
Контроль порядковых номеров | Проверка порядковых номеров (sequence number) в TCP соединениях для гарантии того, что они находятся в ожидаемом диапазоне |
Статистика соединений | Статистика соединений, включающая время, адреса источника/назначения, порты и полное число переданных байт |
Рекомендуемые настройки по умолчанию | Настройки при загрузке, вкл/выкл source routing, разр/запр proxy arp, разрешение всех/только требуемых приложений, шифрование паролей на роутере с помощью MD5, списки доступа и пароли к виртуальным терминалам, разр/запр аутентификации роутеров в поддерживавемых протоколах маршрутизации |
Расширенная статистика по TCP/UDP соединениям | Статистика доступа пользователей (порты и адреса источника/назначения) |
Блокировка Java апплетов | |
Установка уровня защиты | Можно настроить правила фильтрации или полного запрета Java апплетов, не находящихся внутри архивов или сжатых файлов |
Оповещение об атаках в реальном времени | |
Расширенные возможности | Сообщения в случае атак типа "отказ в обслуживании" или иных заранее описанных событий через syslog механизм на заданный хост |
Совместимость с остальными возможностями Cisco IOS | Совместимость со списками доступа, трансляцией адресов, рефлексивными списками доступа, технологией шифрования, используемой в Cisco |
Сетевое управление | |
Поддержка в ConfigMaker | Программа под Windows95/NT, облегчающая настройку сетевых параметров, адресации и параметров FFS |
Контекстный контроль доступа (ККД) - это механизм контроля доступа на уровне приложений для IP трафика. Он распостраняется на стандартные TCP/UDP приложения, мультимедиа (включая H.323 приложения, CU-SeeME, VDOLive, Streamworks и др.), протокол Oracle БД. ККД отслеживает состояние соединения, его статус.
Обычные и расширенные списки доступа, реализованные в IOS, тоже контролируют статус состояния. Однако при их использовании рассматривается только информация из заголовка пакета. ККД же использует всю информацию в пакете и использует ее для создания временых списков доступа для обратного трафика от этого приложения. После окончания соединения эти списки доступа уничтожаются. ККД является более строгим механизмом защиты, чем обычные списки доступа, поскольку он учитывает тип приложения и особенности его поведения
В настоящее время FFS существует только для маршрутизаторов 2500 и 1600 серий, наиболее распостраненных в Интернет.