1. Архитектура и стратегия информационной безопасности Cisco

Первой зоной является локальная сеть предприятия Lan, где находятся сотрудники компании и сервисы, которые предполагается защищать от несанкционированного доступа из сети Интернет.

Вторая зона - это так называемая DMZ демилитаризованная зона – (сегмент сети, который содержит общедоступные сервисы и отделяющий их от частных). На нашем предприятии таким сегментом является Web, Ftp. Такие зоны организовываются при наличии сервисов, которые не смотря на угрозу проникновения с внешней среды обязаны быть доступными для клиентов сети интернета. Наша организация специализируется на продаже деталей для автомобилей, и если web-сервер компании будет спрятан за каменной стеной то наши клиенты не смогут иметь к нему доступ из любой точки мира что бы выбрать запчасти для своих машин. Поэтому мы организовываем специальную зону DMZ для того что бы уменьшить возможные последствия проникновения злоумышленников на наш сервер.

Третья зона это WAN к этой зоне мы относимся как к самой опасной, весь трафик из такой сети мы пресекаем для обеспечения безопасности.

Добавим на ISP router провайдера маршрут в нашу сеть ip route 192.168.1.0 255.255.255.0 fastEthernet0/0

Также из зоны DMZ трафик не может попасть в нашу сеть поскольку он находится в более низком.

Security level такой подход более надежный нежели access list.Если мы устанавливаем соединения из нашей сети такой трафик сможет вернутся в нашу сеть если ASA знает что он разрешен (inspect icmp) Маршрутизатор будет запоминать те сессии, которые были инициированы изнутри, и пропускать снаружи только те пакеты, которые «заказаны».

Если же пришедший пакет не соответствует никакой сессии, то дальше маршрутизатор проверяет ACL, висящий на интерфейсе, на предмет наличия разрешающего правила для этого пакета так работает на DMZ.

На cisco ASA поднят dhcp сервер который раздает ip адреса в нашей сети.

Dynamic Host Configuration Protocol является сетевым протоколом, который позволяет компьютерам автоматически получать IP-адрес и иные параметры, требуемые для работы в сети TCP/IP.

dhcpd address 192.168.1.2-192.168.1.20 Lan

dhcpd dns 192.168.1.100 interface Lan

dhcpd enable Lan

NAT (от англ. Network Address Translation – «преобразование сетевых адресов») – это механизм в сетях TCP/IP, который позволяет преобразовывать IP-адреса транзитных пакетов. Также носит названия IP Masquerading, Network Masquerading и Native Address Translation

subnet 192.168.1.0 255.255.255.0

nat (Lan,Wan) dynamic interface
Для доступа из локальной сети к cisco ASA поднят безопасный протокол ssh

username admin password Qn2pDL07UUCs0vlq encrypted

aaa authentication ssh console LOCAL

ssh 192.168.1.0 255.255.255.0 Lan