home *** CD-ROM | disk | FTP | other *** search
/ Cisco Networkers 1998 / Cisco Networkers 1998.iso / pc / talks / nwk06b / nwk06b.eml < prev    next >
Encoding:
Text File  |  1998-04-24  |  51.0 KB  |  870 lines
  1. <HTML>
  2. <HEAD>
  3. </HEAD>
  4. <BODY>
  5. <!--$v=0-->Okay, let's turn this around for a little bit.
  6. <!--$v=3023-->How would you go about protecting an
  7. <!--$v=6321-->internal resource, like the SMTP
  8. <!--$v=9115-->host that's out there?
  9. <!--$v=12000-->We've got various ways of doing it.  Let's take a
  10. <!--$v=14703-->look at using IOS, the PIX, the IOS
  11. <!--$v=17314-->Firewall feature set, and the Centri
  12. <!--$v=19879-->to protect that SMTP host.
  13. <!--$v=23314-->First we'll take a look at IOS with just
  14. <!--$v=26200-->an access list.  We'll start down at the bottom of that configuration.
  15. <!--$v=29223-->Access-list 111 permit tcp
  16. <!--$v=32567-->any to host 172.16.1.1
  17. <!--$v=36048-->eq smtp.
  18. <!--$v=38613-->So if we apply
  19. <!--$v=41132-->that thing to the outside interface, that Ethernet
  20. <!--$v=44201-->01, we will allow packets
  21. <!--$v=47728-->that say there's two source, or two
  22. <!--$v=50889-->destination port number 25 to enter that
  23. <!--$v=53637-->thing and go through the router.  Same thing
  24. <!--$v=56156-->with this other one, permit tcp
  25. <!--$v=59225-->any host 172.16.1.1
  26. <!--$v=61745-->established.  What that's going to
  27. <!--$v=64126-->do is, if the internal
  28. <!--$v=66921-->machine that your SMTP host out there
  29. <!--$v=70356-->starts up a session going to the outside, you want to
  30. <!--$v=73929-->allow packets back in that have the acknowledgment
  31. <!--$v=76860-->bit set on them - also the thin bit set on
  32. <!--$v=79929-->those things.  So you put that
  33. <!--$v=82311-->established in there, so now the packets can come back
  34. <!--$v=85563-->in.  After that, we're
  35. <!--$v=88220-->going to go ahead and accept ICMP packets coming
  36. <!--$v=91151-->from the outside, so we have that third line.  So now
  37. <!--$v=94312-->what's going to happen is the
  38. <!--$v=97885-->router will accept packets that are
  39. <!--$v=100908-->destined to SMTP through it
  40. <!--$v=103473-->from the outside to the in.  It will also allow
  41. <!--$v=106084-->that mailhost to
  42. <!--$v=108878-->set up sessions outbound and allow the
  43. <!--$v=111626-->responses to come back in.  Of course,
  44. <!--$v=114375-->an attacker will be able to craft a packet
  45. <!--$v=117718-->with the acknowledgment bit set on that thing and
  46. <!--$v=120925-->send it in by passing the access-lists.
  47. <!--$v=123536-->Okay, yes that can be done.
  48. <!--$v=126421-->If there is something better than that, why would
  49. <!--$v=129719-->you apply this to protect a resource?  You
  50. <!--$v=133155-->do that in the case that you only want that resource
  51. <!--$v=136224-->to be used for only SMTP.
  52. <!--$v=138880-->In a moderately
  53. <!--$v=142453-->trusted external network, let's say you've got a
  54. <!--$v=145201-->bunch of people out there who not only want
  55. <!--$v=147675-->it to be used as a mailhost, but they want to be able to Telnet to
  56. <!--$v=150927-->it or FTP to it and store files on it,
  57. <!--$v=153904-->but your policy says, "No, don't allow that."  This is a real
  58. <!--$v=157065-->good mechanism where you trust the people on the outside
  59. <!--$v=159859-->to not craft the packets to come in to
  60. <!--$v=162974-->attack it.  This is a real good way to allow
  61. <!--$v=165997-->that router to enforce
  62. <!--$v=168653-->your policy.  Okay, let's take
  63. <!--$v=171035-->a look at the same thing, same scenario,
  64. <!--$v=173463-->using the PIX now.  Let's take a look again
  65. <!--$v=176853-->at this Version 4.0.7 configuration.
  66. <!--$v=179647-->The outside and inside interfaces, yes -
  67. <!--$v=182899-->the IP addresses, yes - we've got those.
  68. <!--$v=186380-->What we're looking at here are the bottom four
  69. <!--$v=189678-->configuration commands.  The mailhost
  70. <!--$v=192151-->command - normally you would use a static command
  71. <!--$v=195541-->here.  The mailhost command puts a little bit of
  72. <!--$v=198656-->extra security for SMTP
  73. <!--$v=201038-->on the interface there.  So we're
  74. <!--$v=204565-->defining the external
  75. <!--$v=206946-->presentation of the SMTP host as 172.17.1.12.
  76. <!--$v=210336-->The internal -
  77. <!--$v=213863-->the real address of this device, the address that it knows itself
  78. <!--$v=217390-->by, is 10.1.1.2.  The
  79. <!--$v=220734-->PIX can act as a network address translation
  80. <!--$v=224169-->to take care of this.  The next couple
  81. <!--$v=226551-->of lines - first one, the conduit -
  82. <!--$v=229070-->this is starting to permit the port number
  83. <!--$v=232185-->25, which is SMTP, to go through
  84. <!--$v=235208-->the PIX to that internal host.
  85. <!--$v=237956-->And it's saying it can come from anything on the outside.
  86. <!--$v=240521-->Again, conduit for
  87. <!--$v=243728-->TCP port 110, the
  88. <!--$v=246522-->POP3 protocol - if you want to use
  89. <!--$v=249408-->this thing as a POP server in your network.  And finally, the
  90. <!--$v=252935-->ident protocol - remember I told you that
  91. <!--$v=255454-->was nasty.  But if you don't have it in a lot of these
  92. <!--$v=258202-->applications, it will wait and wait and
  93. <!--$v=261638-->wait to complete the SMTP
  94. <!--$v=264478-->or the POP3 session until that
  95. <!--$v=267317-->ident D has timed out.  Normally you want to
  96. <!--$v=270478-->allow this, normally you'll see a lot of resets of that,
  97. <!--$v=273593-->as the PCs don't support the ident D
  98. <!--$v=277165-->protocol, or the auth protocol there.
  99. <!--$v=279822-->So what's going to happen with this?  Outside
  100. <!--$v=283303-->devices are going to be able to set up SMTP
  101. <!--$v=286693-->sessions inbound to
  102. <!--$v=289166-->the mailhost.  The mailhost
  103. <!--$v=291915-->command in the PIX is going to watch these sessions
  104. <!--$v=295442-->specifically and only allow the seven
  105. <!--$v=299014-->generally acceptable commands
  106. <!--$v=301580-->to come from the outside.  It will not allow
  107. <!--$v=304328-->things like Wizard or any of the other
  108. <!--$v=307076-->attackable commands to come through
  109. <!--$v=310053-->it.  The IOS
  110. <!--$v=312893-->Firewall feature set - we've got another talk
  111. <!--$v=316420-->here at Networkers that goes into a lot of details about
  112. <!--$v=319993-->this.  Let me just say that a lot of stuff starts happening
  113. <!--$v=323429-->when you turn a router into - or
  114. <!--$v=326818-->when you add the IOS Firewall feature
  115. <!--$v=329337-->set.  First thing that happens is that the
  116. <!--$v=331857-->IOS becomes stateful.  Normally
  117. <!--$v=334330-->routers just try and push packets
  118. <!--$v=336987-->through as best they can and they're not looking at the state of the packets,
  119. <!--$v=340331-->the sequence numbers, the flags, the sequence and ack
  120. <!--$v=343674-->numbers, the flags in the thing or anything else,
  121. <!--$v=346972-->they're just trying to push it through.  IOS
  122. <!--$v=349721-->Firewall feature set changes this.  It becomes
  123. <!--$v=352331-->very stateful.  It watches all the sessions going through the thing.
  124. <!--$v=355767-->It also looks at
  125. <!--$v=358469-->some timeout periods.  It also maintains
  126. <!--$v=360989-->a log of all the sessions, and can send
  127. <!--$v=364470-->these things out to an external server as well.  Let's
  128. <!--$v=368043-->go through this thing pretty quickly.  Again, this is explained a lot
  129. <!--$v=371432-->better and more fully in some other Networkers talks.
  130. <!--$v=374684-->First thing, we're going to inspect the audit trail.
  131. <!--$v=377158-->We're going to limit the DNS timeout to only 10
  132. <!--$v=380639-->seconds.  Why is this important?  You don't want to
  133. <!--$v=383525-->send out a DNS query and then
  134. <!--$v=386273-->15 or 30 seconds later get a response back
  135. <!--$v=389754-->if you know, absolutely certain, that the response
  136. <!--$v=392182-->should come back in from the trusted DNS
  137. <!--$v=395068-->server in under 10 seconds.
  138. <!--$v=397770-->So it's going to clip that thing off.  At the end of 10
  139. <!--$v=400335-->seconds, it's not going to allow any additional responses back
  140. <!--$v=403587-->in.  The TCP idle time -
  141. <!--$v=406427-->60 seconds.  It's a watchdog
  142. <!--$v=408855-->timer.  If someone sets up a TCP session
  143. <!--$v=411970-->through the IOS, if it's -
  144. <!--$v=414809-->remains idle for 60 seconds, IOS is
  145. <!--$v=417970-->going to send resets in both directions and stop
  146. <!--$v=420856-->that session.  Those were global commands.  If
  147. <!--$v=423879-->we go down now and apply an inspection
  148. <!--$v=427085-->name and put these things in a little list here
  149. <!--$v=430292-->called myfw we can override
  150. <!--$v=432765-->the global commands where we apply this thing.  First one is
  151. <!--$v=436292-->with SMTP.  We change that
  152. <!--$v=438674-->timeout to 3600 seconds.  That's one hour.
  153. <!--$v=441743-->That might seem a little bit outrageous in most circumstances
  154. <!--$v=445316-->there.  Another one - the
  155. <!--$v=447789-->TCP timeout is again changed, for
  156. <!--$v=450995-->where this thing is implemented, to one
  157. <!--$v=453469-->hour as well.  Going down through this thing, looking
  158. <!--$v=456950-->at the very bottom of this configuration, we've got some
  159. <!--$v=460019-->very similar rules
  160. <!--$v=462447-->as what we applied to the PIX.  That's smtp,
  161. <!--$v=464874-->pop3, and ident.  So what
  162. <!--$v=467256-->we're doing is allowing those things to come in
  163. <!--$v=469638-->from the outside and then
  164. <!--$v=472020-->IOS is going to maintain the state of these sessions
  165. <!--$v=474814-->and apply the timers and the watches on these things
  166. <!--$v=478387-->as well.  The
  167. <!--$v=480952-->Centri, again, it's stateful.
  168. <!--$v=484021-->It will watch all the sessions and maintain state of these things,
  169. <!--$v=487273-->make sure the acks and the sequence -
  170. <!--$v=489701-->the sequence numbers and the acks are incrementing
  171. <!--$v=492724-->properly.  It's going to limit the SMTP
  172. <!--$v=496022-->commands that come through.  It will
  173. <!--$v=499045-->also limit the characters that are inside of
  174. <!--$v=502434-->the Receipt To or
  175. <!--$v=504954-->Mail From commands, so that you can't have too many
  176. <!--$v=507519-->@ signs or too many exclamation marks.  A few other things as
  177. <!--$v=510771-->well - since the Centri
  178. <!--$v=513199-->has a graphical user interface and it's run on top of an
  179. <!--$v=515809-->NT server, it was very difficult to get any
  180. <!--$v=519291-->meaningful configuration snips for this thing.  So
  181. <!--$v=522818-->please accept just the drawing here.
  182. <!--$v=526161-->We've got some additional mechanisms.  These things are like -
  183. <!--$v=529734-->rather than just having one rope
  184. <!--$v=532574-->hold something aloft, you've now got
  185. <!--$v=535093-->two ropes.  If one of them breaks, the other one
  186. <!--$v=537933-->goes into effect and takes over the entire load.
  187. <!--$v=541002-->Let's go through these things and take
  188. <!--$v=543751-->a look at some other mechanisms we have to enforce
  189. <!--$v=547186-->your policy, if your policy says you have to have some
  190. <!--$v=550530-->amount of uptime.  And a lot of these things
  191. <!--$v=553370-->have been talked about in prior Networkers, and I'm sure a lot of people will go through
  192. <!--$v=556942-->these.  And certainly talk to any Cisco
  193. <!--$v=560057-->person about getting more information about
  194. <!--$v=562439-->these.  The first one is Lock and Key.  This is -
  195. <!--$v=565829-->can be very effective in a low-risk
  196. <!--$v=568714-->environment.  What's going to happen
  197. <!--$v=571554-->here. Someone Telnets to the router,
  198. <!--$v=573982-->the router's going to check the authentication
  199. <!--$v=576822-->by sending that on, in this case a TACACS or a
  200. <!--$v=579845-->CiscoSecure server out there.  If the authentication
  201. <!--$v=582593-->is accepted, then a dynamic
  202. <!--$v=585570-->access list will be allocated to an interface
  203. <!--$v=588594-->to allow that person, knowing that
  204. <!--$v=591525-->IP address that the Telnet started from, to be able to
  205. <!--$v=594823-->access an internal resource.  You can apply
  206. <!--$v=597709-->some timeouts to this, so that it'll be
  207. <!--$v=600091-->closed down after some amount as well.
  208. <!--$v=603618-->Hot Standby Router Protocol - you've got this
  209. <!--$v=606137-->wonderful resource out there.  You don't want to
  210. <!--$v=609068-->burden it with running a dynamic routing protocol
  211. <!--$v=612321-->or anything else.  You don't want it to ever
  212. <!--$v=614977-->know that the network has changed.  You can run HSRP
  213. <!--$v=618229-->between a couple of routers out there.  One of them
  214. <!--$v=621390-->dies, the other one automatically and dynamically takes over that
  215. <!--$v=624596-->load.  Again,
  216. <!--$v=627116-->Spanning Tree Bridging - as  you can
  217. <!--$v=629543-->tell here, the graphics group -
  218. <!--$v=631925-->seminars group sent me a very large file of
  219. <!--$v=635498-->all sorts of icons and they said,
  220. <!--$v=637880-->"Use these in your Networkers presentation."  I'm
  221. <!--$v=640903-->trying my best, I'm using as many as I can.
  222. <!--$v=644063-->In this thing what we've got is our resource
  223. <!--$v=646995-->out here going to a switch.  One of the
  224. <!--$v=650064-->paths is forwarding, of course, the other one is
  225. <!--$v=652537-->blocking.  If the forwarding one dies, the
  226. <!--$v=656064-->spanning tree will automatically prune it and go to a backup
  227. <!--$v=659546-->link and turn it into forwarding.  This can be very
  228. <!--$v=662614-->effective also for maintaining a network
  229. <!--$v=666187-->resource, making sure it's part - always part of your network.
  230. <!--$v=669760-->Local Director - this is
  231. <!--$v=672188-->distributing a resource or a service across
  232. <!--$v=675760-->multiple servers.  Local Director
  233. <!--$v=678142-->can maintain contact with each of these things,
  234. <!--$v=681578-->make sure they're up.  And if one of them goes out for
  235. <!--$v=683960-->service or something, it'll prune that and allow the
  236. <!--$v=687029-->others - all new sessions to go to the other servers
  237. <!--$v=690372-->to maintain that resource.
  238. <!--$v=693075-->Distributed Director pretty much works the same way except in a
  239. <!--$v=696648-->wide area environment.  It'll allow
  240. <!--$v=699029-->people who are closest to the server
  241. <!--$v=701869-->to establish sessions to that server rather than having
  242. <!--$v=705351-->to traverse half the network to get to a
  243. <!--$v=708099-->remote server.  Let's talk
  244. <!--$v=710710-->a little bit about switch port
  245. <!--$v=713321-->security here.  If you go through the switch
  246. <!--$v=716802-->configuration and set up the port
  247. <!--$v=719596-->security - again, this is one of these very control-freakish
  248. <!--$v=722848-->kind of things - it can be effective certain places, but
  249. <!--$v=726283-->normally you don't apply it across your entire
  250. <!--$v=729078-->network.  Port security on port number 3/1,
  251. <!--$v=732467-->enable, and then you give it a MAC address.  On port
  252. <!--$v=736040-->3/2 you just say, "Enable."  What that
  253. <!--$v=739155-->does, the first line, is it explicitly
  254. <!--$v=742178-->states what the MAC address is that can go
  255. <!--$v=745201-->for that port.  The second line is going to put the
  256. <!--$v=748270-->switch port into learning mode.  The first MAC
  257. <!--$v=751110-->address it sees is what is - was is going
  258. <!--$v=753675-->to be applied there.  Looking at the show
  259. <!--$v=756560-->port 3, later on you can see that
  260. <!--$v=759767-->your security is set up this way.  Down at the bottom
  261. <!--$v=763248-->of that thing, 3/1 is enabled.  The
  262. <!--$v=766729-->secure source address is listed there and the last
  263. <!--$v=770119-->address seen is also listed there.  In port 3/1
  264. <!--$v=773279-->they're the same, so has that port been shut down?
  265. <!--$v=775982-->No it hasn't.  Port number 3/2 -
  266. <!--$v=778776-->you have that secure
  267. <!--$v=781845-->MAC address that it first learned about,
  268. <!--$v=785280-->then you have the last source
  269. <!--$v=788487-->address seen.  That's different
  270. <!--$v=791372-->from the learned MAC address there, so
  271. <!--$v=794533-->what's going to happen?  The switch is going to
  272. <!--$v=797006-->shut down that port until the administrator can come in
  273. <!--$v=800396-->and turn that thing back on.  Perhaps someone
  274. <!--$v=803236-->legitimately changed out a NIC or something like
  275. <!--$v=806030-->that, perhaps not.  This is for you to
  276. <!--$v=808687-->decide how well you really want to implement this.
  277. <!--$v=812214-->If you have a lot of moves, adds, and changes in your network, this is not
  278. <!--$v=815741-->for you.  It would become an administrative nightmare very quickly.
  279. <!--$v=819084-->Okay.  Switch
  280. <!--$v=822153-->access security - we've talked about this going to the
  281. <!--$v=825085-->IOS and the PIX.  Here
  282. <!--$v=827558-->you're going to set up a list that you can permit devices
  283. <!--$v=830902-->to access some
  284. <!--$v=833604-->process on the switch itself.  First
  285. <!--$v=836628-->line, set up - set IP permit and
  286. <!--$v=839742-->address.  Second line, set up a network so that anything
  287. <!--$v=843132-->from the network can come in.  Third line, set IP
  288. <!--$v=846705-->permit enable.  Don't use that
  289. <!--$v=849545-->line first, because if you do that, the list
  290. <!--$v=852476-->is empty and, of course, you're not on the list, so your session
  291. <!--$v=855224-->will be terminated.  Looking at this whole
  292. <!--$v=857744-->thing later on - show IP permit.
  293. <!--$v=860584-->First, it's going to give you back what you
  294. <!--$v=863011-->configured into it.  At the bottom of that thing it's going to give you the
  295. <!--$v=866538-->list of bad boys out there that have been
  296. <!--$v=868920-->probing your network.  The first one there, someone
  297. <!--$v=872218-->has tried to do an SNMP query on your
  298. <!--$v=875699-->machine, on your switch.  The second one, someone tried
  299. <!--$v=879180-->to Telnet into it.  Neither of these devices were in the
  300. <!--$v=882341-->acceptable permitted list, so it logged it
  301. <!--$v=885227-->and it killed those sessions.  You might want to go back
  302. <!--$v=887654-->and look around, see who's been trying to probe your switch here.
  303. <!--$v=890815-->Changing for just a
  304. <!--$v=894159-->second here, let's think about what we've learned.
  305. <!--$v=897319-->The protection costs -
  306. <!--$v=900846-->what is it going to be to you if you lose
  307. <!--$v=903320-->a resource or if that resource becomes
  308. <!--$v=906526-->either accidentally or maliciously corrupted?  How
  309. <!--$v=910053-->much effort do you need to put into this?
  310. <!--$v=913076-->Of course, these things are going to be defined
  311. <!--$v=916237-->by your business needs and by your
  312. <!--$v=918664-->policy that you establish.  All of
  313. <!--$v=921092-->these have got to merge very well together.  The final
  314. <!--$v=924482-->thought here is the ease of use.  If
  315. <!--$v=927963-->you make your users jump through hoops before they can
  316. <!--$v=931444-->actually get to the network, they're going to
  317. <!--$v=934788-->rebel.  They're going to find ways around your security mechanisms,
  318. <!--$v=938040-->conscientiously thinking that,
  319. <!--$v=940971-->hey, all they want to do is to do their job.  Again,
  320. <!--$v=944544-->make sure everything works back to the
  321. <!--$v=948071-->business requirements and it's explicitly
  322. <!--$v=950865-->stated in your policy.
  323. <!--$v=953843-->Let's expand one more time here and get to the
  324. <!--$v=957003-->perimeter protection.  We've got a
  325. <!--$v=959477-->picture of the castle here.  The drawbridge
  326. <!--$v=962087-->is up, it's late at night, but you can see a
  327. <!--$v=964836-->window still has a light shining in it.  Perhaps
  328. <!--$v=968317-->this is a shop that's inside of
  329. <!--$v=971111-->that castle.  What impact
  330. <!--$v=973585-->is it if no one from the outside can actually get to that shop
  331. <!--$v=976608-->on the inside?  Perhaps none - perhaps a great
  332. <!--$v=979722-->deal if actually the shop is a
  333. <!--$v=982883-->major source of revenue for that kingdom.  How would you
  334. <!--$v=986181-->go about addressing this?  Would you keep
  335. <!--$v=988975-->the drawbridge down and post guards to make sure that
  336. <!--$v=992319-->visitors only walked along the path and only walked
  337. <!--$v=995479-->into the shop?  It doesn't seem to make too much sense.
  338. <!--$v=998457-->Could you move the shop actually outside the
  339. <!--$v=1001251-->perimeter there, keep the drawbridge up at night, and, you know,
  340. <!--$v=1004411-->if you see a horde of angry bandits coming, just
  341. <!--$v=1007526-->lower the drawbridge, and quick, move the shop back in?  That's probably
  342. <!--$v=1011053-->not a real good idea either.  Same thing
  343. <!--$v=1013572-->applies to your network.
  344. <!--$v=1016366-->What we have in this diagram is the
  345. <!--$v=1018977-->traditional time-honored design
  346. <!--$v=1022550-->for a firewall and how to
  347. <!--$v=1025207-->present services to untrusted
  348. <!--$v=1028138-->people, let's say across the Internet.
  349. <!--$v=1031207-->Walking through this thing - the green box is the
  350. <!--$v=1034230-->demilitarized zone, this is where you want to offer services.
  351. <!--$v=1037437-->You want to allow people from the outside
  352. <!--$v=1040597-->to come in through your ISP
  353. <!--$v=1043575-->link, through that top screening router,
  354. <!--$v=1046460-->where you put in some access lists and say, "I want
  355. <!--$v=1049941-->inbound sessions to only go to these devices.
  356. <!--$v=1052965-->Specifically, I want inbound sessions on port
  357. <!--$v=1056492-->80, HTTP, to only go to the Web server.
  358. <!--$v=1059423-->Inbound sessions on port 25 explicitly
  359. <!--$v=1062675-->only go to the mailserver."  Then you've got
  360. <!--$v=1065515-->your firewall.  Do you want any sessions inbound
  361. <!--$v=1068538-->on that thing?  Most likely
  362. <!--$v=1070920-->not.  There's some situations where you will.  Most likely
  363. <!--$v=1074035-->you want that to enforce your policy for your people
  364. <!--$v=1076921-->going outbound.
  365. <!--$v=1079531-->Use your access lists on both your firewall, your screening router,
  366. <!--$v=1083013-->and make sure you have a switch in there, just in case someone
  367. <!--$v=1085761-->does compromise one of your resources
  368. <!--$v=1088326-->on your - in your DMZ, they will not be able
  369. <!--$v=1091487-->to put up some sniffer software and watch all
  370. <!--$v=1094510-->the other traffic go in between all your other devices.  That's been
  371. <!--$v=1098037-->talked about quite some time now.
  372. <!--$v=1100785-->Let's talk about syn attacks coming from the
  373. <!--$v=1103808-->outside.  What happens here, this guy -
  374. <!--$v=1107198-->you can tell he's a bad guy, he's wearing a black hat.  He is
  375. <!--$v=1110541-->continually sending in - you know, the
  376. <!--$v=1113290-->TCP three-way handshake - he's continually
  377. <!--$v=1116175-->sending in syn packets that he's crafted
  378. <!--$v=1119565-->to this one target.  The first one is from
  379. <!--$v=1121947-->1.1.1.1, the second one, 1.1.1.2,
  380. <!--$v=1124512-->and he just keeps on sending these things in.
  381. <!--$v=1127535-->The target has got to allocate
  382. <!--$v=1130054-->resources every time a syn
  383. <!--$v=1132482-->packet is received.  It will then
  384. <!--$v=1134864-->send out the syn/ack packet and wait.
  385. <!--$v=1137750-->Typically it has to wait 75 seconds
  386. <!--$v=1141185-->for the acknowledgment to come back in before
  387. <!--$v=1144437-->it can tear down the resource.  A lot of
  388. <!--$v=1146819-->people have had this problem and they've found very good
  389. <!--$v=1149338-->ways to harden the hosts so that
  390. <!--$v=1152041-->they don't have to wait that
  391. <!--$v=1154560-->amount of time, or so that they don't use up as
  392. <!--$v=1157079-->much resources on the server.  If this
  393. <!--$v=1160286-->thing succeeds, a lot of these syn packets can
  394. <!--$v=1163813-->come in, actually set up too much
  395. <!--$v=1166561-->processing on that server, and the server
  396. <!--$v=1169080-->could fall over because it just doesn't have anymore resources to allocate.
  397. <!--$v=1172653-->How do we combat this?  First,
  398. <!--$v=1175859-->let's look at it - the - just the IOS,
  399. <!--$v=1178333-->and this would be on your screening router out there.
  400. <!--$v=1181768-->The intercept process
  401. <!--$v=1184562-->on the router will watch for
  402. <!--$v=1187540-->syn packets coming in.  And the way it works -
  403. <!--$v=1190059-->a syn packet comes in from the outside, the router
  404. <!--$v=1193494-->accepts it and sends back the syn/ack in
  405. <!--$v=1197067-->proxy of the actual resource out there.
  406. <!--$v=1200228-->When it gets the final acknowledgment back in, it turns
  407. <!--$v=1203571-->around and says, "Great, I've got this half session over
  408. <!--$v=1206091-->here.  Let me take it over to this side now."  I'm going to send
  409. <!--$v=1209160-->a syn packet into the actual resource, I'm going to get the
  410. <!--$v=1212412-->syn/ack back.  I'm going to ack that thing, I'm going to take the
  411. <!--$v=1215801-->two half sessions and marry them together, and then get
  412. <!--$v=1219053-->out of the way.  The router - the
  413. <!--$v=1222031-->configuration snip is the way to just turn this thing on.
  414. <!--$v=1225512-->You identify your protected resources with an
  415. <!--$v=1228718-->access list there.  You don't want
  416. <!--$v=1231146-->to have this access list permit
  417. <!--$v=1233757-->everything because, of course, you don't
  418. <!--$v=1236459-->expect to initiate syn attacks on the outbound side,
  419. <!--$v=1239941-->so you want to protect your resources.
  420. <!--$v=1242414-->Some other
  421. <!--$v=1244887-->options with this - you can get the IOS to see
  422. <!--$v=1248185-->how many session requests have come out
  423. <!--$v=1250659-->in the last one-minute time period and also
  424. <!--$v=1253270-->how many incomplete sessions are there.  If
  425. <!--$v=1256430-->the IOS watches these things and there's
  426. <!--$v=1259179-->a default high-water mark - if
  427. <!--$v=1262385-->these two values get above the high water mark - IOS will go
  428. <!--$v=1265683-->into aggressive mode and start shooting down some of these half
  429. <!--$v=1268981-->open sessions until it passes
  430. <!--$v=1271454-->below the low-water mark.
  431. <!--$v=1274752-->And a difference to this,
  432. <!--$v=1277501-->still within IOS, is going into watch mode.  This is
  433. <!--$v=1280936-->pretty much the sa - a little bit different here.  The syns
  434. <!--$v=1284188-->will come through - IOS is going to allow them to go all
  435. <!--$v=1287715-->the way through to the resource.  The resource,
  436. <!--$v=1290692-->by itself, comes back with the syn/ack, and then
  437. <!--$v=1294082-->the ack should follow.  If -
  438. <!--$v=1296739-->again, we're doing pretty much the same thing, watching
  439. <!--$v=1299395-->how many session requests have come through in the last one minute,
  440. <!--$v=1302419-->how many incomplete sessions are there, and how
  441. <!--$v=1305625-->long do I wait for that final acknowledgment to come back?  If -
  442. <!--$v=1309152-->again, if these - if the high-water
  443. <!--$v=1311992-->mark is exceeded by these parameters, IOS will
  444. <!--$v=1315473-->go into aggressive mode and start shooting down some of the
  445. <!--$v=1318496-->incompleted sessions until it passes
  446. <!--$v=1320970-->below the low-water mark.  You can change
  447. <!--$v=1323351-->these default values, start thinking about what
  448. <!--$v=1326833-->your resource can actually handle.
  449. <!--$v=1330405-->How do we do this in the PIX?
  450. <!--$v=1333383-->I've got two configuration snips here.  The first one
  451. <!--$v=1336406-->is with the mailhost.  Again, that's
  452. <!--$v=1338925-->watching for the SMTP commands.  The second one
  453. <!--$v=1341765-->is just done with the static command.  What we
  454. <!--$v=1344880-->have at the end of each of these commands is the
  455. <!--$v=1348407-->maximum connections and the embryonic
  456. <!--$v=1350834-->limit.  Maximum connections - just what it sounds
  457. <!--$v=1354178-->like, you cannot have any more
  458. <!--$v=1356835-->sessions to that device than are specified in the
  459. <!--$v=1360270-->maximum connections - key word there.  Embryonic
  460. <!--$v=1363751-->limit - this is going to say how many half-open sessions
  461. <!--$v=1366637-->you have.  Once that limit is reached, no more
  462. <!--$v=1369981-->will be received through the PIX.
  463. <!--$v=1373279-->The IOS Firewall feature set - again,
  464. <!--$v=1376577-->this changes things quite a bit, changes the basic
  465. <!--$v=1380058-->characteristics of IOS.
  466. <!--$v=1382990-->This is going to be - the way it deals with syn attacks is
  467. <!--$v=1386562-->very similar to the way the
  468. <!--$v=1389723-->IOS does in watch mode.
  469. <!--$v=1393021-->It will watch the TCP syns
  470. <!--$v=1395861-->come through, it'll allow them all the way through to the
  471. <!--$v=1398380-->resource.  The resource will send back
  472. <!--$v=1400991-->the syn/ack, and it should be followed up with the final ack
  473. <!--$v=1404014-->there.  Again, it's watching to see if
  474. <!--$v=1407266-->these high-water thresholds are met.
  475. <!--$v=1410152-->How many session requests, incompleted -
  476. <!--$v=1413633-->how many incompleted sessions there are, and how long does
  477. <!--$v=1416519-->it wait for the final acknowledgment?  If these things
  478. <!--$v=1419084-->pass above the high-water mark, it'll go
  479. <!--$v=1421970-->into aggressive mode and start shooting them down again.
  480. <!--$v=1425542-->Okay, moving to
  481. <!--$v=1428062-->something else - the Virtual Private Networking out there.
  482. <!--$v=1431497-->A lot of people are starting to get into this, so let's
  483. <!--$v=1434749-->address this.  This
  484. <!--$v=1437360-->has not, in most
  485. <!--$v=1439742-->cases, withstood the test of time like
  486. <!--$v=1443315-->the firewall design.  So we're getting some new
  487. <!--$v=1445971-->designs out there.  We're getting a lot of new things
  488. <!--$v=1449224-->happening.  Let's go through and take a look at the history
  489. <!--$v=1452247-->of these things first.  Very, very
  490. <!--$v=1454766-->early on there were the value-added networks.  And
  491. <!--$v=1457789-->these things have been great for a lot of companies.  Right now
  492. <!--$v=1461224-->a lot of the value-added networks are migrating themselves to using
  493. <!--$v=1464751-->the Internet as a transport.  It's still an
  494. <!--$v=1468095-->untrusted transport, so they've got to do some things to maintain
  495. <!--$v=1471347-->their confidentiality, integrity, and various other
  496. <!--$v=1474279-->aspects of the session across it.  The alternative
  497. <!--$v=1477210-->is to use the private links, up at the top.
  498. <!--$v=1480188-->
  499. <!--$v=1482615-->Specifically looking at electronic commerce, we've got
  500. <!--$v=1485639-->an example here of what may be
  501. <!--$v=1488158-->a good way to do this.  This is, in fact,
  502. <!--$v=1490814-->Cisco's CCO network.  What
  503. <!--$v=1494250-->happens is a user from the outside,
  504. <!--$v=1497181-->across the Internet, establishes
  505. <!--$v=1499655-->a Web session to the internal Web server,
  506. <!--$v=1503044-->or the Web server that's on the DMZ there.
  507. <!--$v=1506617-->That gateway router is a screening router
  508. <!--$v=1509274-->and it's going to only allow traffic to go
  509. <!--$v=1512251-->specifically where you tell it, it can go.
  510. <!--$v=1515503-->And this means that no sessions, all the way
  511. <!--$v=1518343-->from the outside, can come all the way through and
  512. <!--$v=1521137-->hit that firewall.  The only sessions that are
  513. <!--$v=1523840-->going to be allowed to go to the firewall and, hence,
  514. <!--$v=1527138-->into the network - into the internal network - are going
  515. <!--$v=1530711-->to be from the Web server.  So, outside
  516. <!--$v=1533642-->client hits the Web server, kicks up some
  517. <!--$v=1536711-->processes, the processes on the Web server
  518. <!--$v=1539826-->come in and talk to the secure commerce servers
  519. <!--$v=1543261-->on the inside.  There again the firewall is
  520. <!--$v=1546193-->watching these things and will only permit
  521. <!--$v=1548620-->sessions from the secure commerce servers to come back
  522. <!--$v=1552147-->through the firewall to the internal
  523. <!--$v=1555079-->enterprise servers.  This
  524. <!--$v=1557598-->way it will be allowed to update
  525. <!--$v=1560804-->the processes in a
  526. <!--$v=1563232-->known fashion to get back whatever
  527. <!--$v=1565614-->that client is looking for on the outside, perhaps
  528. <!--$v=1568866-->delivery dates, perhaps some ordering information.  At least
  529. <!--$v=1572347-->it's checkpointed at every case and we've got
  530. <!--$v=1575141-->some rules to say where traffic can and cannot
  531. <!--$v=1578256-->go to.  Very, very
  532. <!--$v=1580638-->high level here - the VPN security
  533. <!--$v=1583615-->requirements.  We've got a lot of other
  534. <!--$v=1586318-->VPN and VPDN sessions
  535. <!--$v=1589158-->at Networkers here.  Very, very high levels - the
  536. <!--$v=1592089-->security requirements for these.  Either
  537. <!--$v=1594975-->encrypt the session to provide the authentication,
  538. <!--$v=1598227-->the integrity, and the confidentiality, or
  539. <!--$v=1601800-->move it over to a private line to accomplish
  540. <!--$v=1604823-->the same goals.
  541. <!--$v=1607388-->Looking at the Virtual Private Dial Networks,
  542. <!--$v=1610045-->we're seeing a lot of people starting to work their way
  543. <!--$v=1613526-->into the L2TP, Layer 2 Tunneling
  544. <!--$v=1615908-->Protocol, and some people have actually used the Layer
  545. <!--$v=1619160-->2 Forwarding as well.
  546. <!--$v=1622641-->Here, this is what
  547. <!--$v=1625664-->we've come up with as the - possibly the best solution
  548. <!--$v=1629191-->for this.  You're probably going to have some network address
  549. <!--$v=1632489-->translation problems coming from the Internet
  550. <!--$v=1635512-->out there, going through that gateway router -
  551. <!--$v=1638169-->the screening router again.  You want to explicitly
  552. <!--$v=1641330-->say where traffic can and cannot
  553. <!--$v=1643941-->go to.  Coming from the outside, if it is a
  554. <!--$v=1646964-->L2TP session, you only
  555. <!--$v=1649529-->want to allow it to go to the home gateway.  If it's
  556. <!--$v=1652827-->an outbound session, you only want it - to
  557. <!--$v=1655804-->permit it to come from the firewall and head
  558. <!--$v=1658965-->back outwards as well.
  559. <!--$v=1662217-->Dial Access Protection - a lot of
  560. <!--$v=1664644-->people have asked, "Where should I place the network
  561. <!--$v=1667805-->access server?"  Some people have actually
  562. <!--$v=1670462-->said, "It's an untrusted device.
  563. <!--$v=1672843-->Move it all the way out to the DMZ."  I don't
  564. <!--$v=1675821-->think this is a good plan.  Really, you want the NAS
  565. <!--$v=1679027-->to be inside your network, but
  566. <!--$v=1682234-->beyond a screening router.  This is
  567. <!--$v=1684936-->probably the most secure and safest place for it.  You don't have
  568. <!--$v=1687959-->to go and start poking holes through your
  569. <!--$v=1690478-->firewall to allow all these sessions coming from your
  570. <!--$v=1693639-->network access server back into your
  571. <!--$v=1696296-->trusted network.  Now it's already in there, but you can set up
  572. <!--$v=1699731-->your screening router to make sure traffic only
  573. <!--$v=1702525-->comes and goes to where you want it to come and go to.
  574. <!--$v=1706098-->Okay, let's move on now.  Think about
  575. <!--$v=1709442-->some network security sustainment.  You've got
  576. <!--$v=1712282-->to have your network running in a secure mode, 24
  577. <!--$v=1715671-->hours a day, 7 days a week.  How can
  578. <!--$v=1718648-->you go about doing that?  First one, pretty
  579. <!--$v=1721946-->simple - use dynamic routing protocols and make sure
  580. <!--$v=1725061-->you have enough redundant paths throughout
  581. <!--$v=1727580-->your network.  This way it'll route around
  582. <!--$v=1730604-->any failed node.
  583. <!--$v=1733810-->Let's take a look at specifically -
  584. <!--$v=1736329-->well, there's a known type of attack out there
  585. <!--$v=1739765-->that will - someone can craft a route update
  586. <!--$v=1743292-->packet to go in and
  587. <!--$v=1745765-->disrupt the routing tables and perhaps
  588. <!--$v=1748147-->actually bring your whole network down.  The way
  589. <!--$v=1751216-->around this is with keyed hashing for authentication
  590. <!--$v=1753964-->and integrity.  What
  591. <!--$v=1756346-->happens with this - you start out with a shared secret
  592. <!--$v=1759323-->key.  Everyone who's in the pool here knows what
  593. <!--$v=1762850-->this secret key is.  If you're not in the know,
  594. <!--$v=1765873-->then you'll never know what the secret key is.  You take a
  595. <!--$v=1768897-->message - you take the secret key and
  596. <!--$v=1771553-->the message, put them together, either on
  597. <!--$v=1774302-->top or at the bottom or actually in both places,
  598. <!--$v=1777325-->run it through a hashing function - this is
  599. <!--$v=1780073-->MD5 or SHA1 - come out with
  600. <!--$v=1782684-->a signature.  You can send that
  601. <!--$v=1785066-->along with the message to another device out there
  602. <!--$v=1788593-->who's going to do the same thing.  They're going to get the message - they have the
  603. <!--$v=1791845-->shared key, so they're going to put it either at the top, the
  604. <!--$v=1794502-->bottom, or the top and the bottom, munch it all
  605. <!--$v=1796883-->together, run it through the same hash function.  If the
  606. <!--$v=1800090-->shared - if the signature
  607. <!--$v=1802517-->coming in matches the signature that they
  608. <!--$v=1805632-->generated, then that message is authenticated
  609. <!--$v=1808793-->and it must be correct.  How do we
  610. <!--$v=1811220-->apply this to the actual routing updates?
  611. <!--$v=1814427-->First, a router is going to take - it's going to
  612. <!--$v=1817496-->build the route update packet.  It'll have
  613. <!--$v=1820885-->the IP header on the front of it and it'll have the key in a
  614. <!--$v=1824458-->certain location inside the payload.  It'll
  615. <!--$v=1827619-->take that, run it through the hash function, usually MD5,
  616. <!--$v=1830596-->come out with a signature.  That signature
  617. <!--$v=1833802-->has the exact same length as that
  618. <!--$v=1836321-->key.  So it'll take the key, throw it away,
  619. <!--$v=1839803-->chunk in that signature in the packet, and then
  620. <!--$v=1843238-->ship that across the wire.  First thing
  621. <!--$v=1845712-->another router does when it gets this, it takes
  622. <!--$v=1848918-->that - the signature out, puts
  623. <!--$v=1852170-->it to the side, inserts the key that it also
  624. <!--$v=1855193-->knows, runs that whole thing through the hash function,
  625. <!--$v=1858308-->and comes up with another signature, then
  626. <!--$v=1861056-->compares the two signatures.  If they're identical, then you
  627. <!--$v=1864583-->know that you've got authentication and
  628. <!--$v=1867469-->integrity of that packet.
  629. <!--$v=1870217-->We can use this for, let's see,
  630. <!--$v=1872828-->it's quite a list now.  It's BGP, OSPF, ISIS,
  631. <!--$v=1876355-->EIGRP, and RIP Version 2.
  632. <!--$v=1879561-->I don't think too many people are actually using
  633. <!--$v=1882356-->RIP Version 2 out there right now.
  634. <!--$v=1884875-->Route Filtering.
  635. <!--$v=1887257-->This is an additional mechanism that you can use.  Let's take a
  636. <!--$v=1890738-->look at the configuration snip of this thing.  If you
  637. <!--$v=1893990-->have router RIP running and you've got
  638. <!--$v=1896647-->network 10, you can apply distribute list number 1
  639. <!--$v=1900174-->inbound on this - on your routing
  640. <!--$v=1903014-->process.  What this is going to do, it's going to look down for
  641. <!--$v=1906449-->access list number 1, which
  642. <!--$v=1908877-->says deny 0.0.0.0 network,
  643. <!--$v=1912404-->"Deny the default RIP network."  So you don't
  644. <!--$v=1915014-->want someone to insert a default network
  645. <!--$v=1917946-->into your router.  It will also permit only the
  646. <!--$v=1920969-->10 network to come into your
  647. <!--$v=1923717-->RIP process.  This
  648. <!--$v=1926145-->is going to limit people who might
  649. <!--$v=1928527-->set up a new router and say, "Here is - here's the path
  650. <!--$v=1931642-->to the Internet."  Well, those route-up dates will not
  651. <!--$v=1934207-->be accepted by this router.  Also,
  652. <!--$v=1937276-->if someone makes a mistake and sets up network
  653. <!--$v=1940390-->11, this router will never be able to learn it.  Looking
  654. <!--$v=1943917-->down in the router, sho ip proto, you're going to see
  655. <!--$v=1947399-->that the incoming update filter list for all
  656. <!--$v=1950376-->interfaces is set to 1.  There's
  657. <!--$v=1953078-->various other ways you can apply this thing, you can also apply it to
  658. <!--$v=1956239-->an outbound
  659. <!--$v=1959262-->access for the route updates as well.
  660. <!--$v=1962514-->Overall on your entire network you've got
  661. <!--$v=1965904-->to go back and secure each of
  662. <!--$v=1968469-->the vital resources there.  These are three
  663. <!--$v=1970897-->of them that should be given some special consideration.  The
  664. <!--$v=1974469-->time service servers that are out
  665. <!--$v=1977401-->there - make sure no one can come in and change the times
  666. <!--$v=1980561-->throughout your entire network.  Worst
  667. <!--$v=1983264-->case in a Kerberos network, nothing's
  668. <!--$v=1985737-->going to work again.  This could be very detrimental.
  669. <!--$v=1989219-->The Domain Name Servers - again,
  670. <!--$v=1992104-->there are known attack methods.  You can see these in the
  671. <!--$v=1994898-->Cert. Advisories all the time.  People are poisoning the
  672. <!--$v=1998425-->DNS caches out there.
  673. <!--$v=2001311-->Spend some time, first
  674. <!--$v=2003739-->harden the machine itself, and then set up some protection in
  675. <!--$v=2007037-->front of that thing.  Again, the new one that's coming out here are
  676. <!--$v=2010609-->the Certificate Authorities.  If you're running an internal
  677. <!--$v=2013633-->intranet based upon Web
  678. <!--$v=2016060-->access so your people can access HR
  679. <!--$v=2019129-->records and things, you want to make sure that your Certificate
  680. <!--$v=2022152-->Authority is pretty rock hard, solid,
  681. <!--$v=2025221-->and no one can get into it and break in.
  682. <!--$v=2028015-->Periodically we get a lot of questions
  683. <!--$v=2031359-->about multilevel security, and this comes
  684. <!--$v=2033924-->from RFC-1108.  It
  685. <!--$v=2037131-->goes through and defines things for
  686. <!--$v=2040612-->IPSO, the Internet Protocol Security Options, SIPSO,
  687. <!--$v=2044047-->AESO, DN6, Audit Trail, things
  688. <!--$v=2047528-->like that.  In the military, in the
  689. <!--$v=2051009-->DOD networks -
  690. <!--$v=2053804-->vastly used.  These things are set up to do
  691. <!--$v=2056506-->that all the time.  They've got
  692. <!--$v=2059529-->the support people to make sure this is happening.  What
  693. <!--$v=2063010-->happens here is that the - each
  694. <!--$v=2065804-->individual resource, be it a computer, a printer,
  695. <!--$v=2069286-->a file, and everything, is given a label.  It's
  696. <!--$v=2072858-->given a security level and some additional
  697. <!--$v=2075240-->key words behind it.  This
  698. <!--$v=2077897-->is so that anyone else, any
  699. <!--$v=2081103-->subject coming into this network - they're also
  700. <!--$v=2083531-->given a label and they can only access other
  701. <!--$v=2086783-->resources out there if the labels meet or
  702. <!--$v=2090081-->the subject is higher than the object
  703. <!--$v=2092646-->out there.  It's really,
  704. <!--$v=2095028-->really difficult to implement inside
  705. <!--$v=2097731-->of an enterprise network,
  706. <!--$v=2100387-->you know, unless - like I said, unless you're the military or the
  707. <!--$v=2103685-->Department of Defense.  I've
  708. <!--$v=2106113-->said a bunch of negative things about multilevel
  709. <!--$v=2108907-->security and the trusted computer security evaluation
  710. <!--$v=2111701-->criteria.  That's the Redbook, Orangebook stuff.
  711. <!--$v=2114907-->What positive thing can I say
  712. <!--$v=2117793-->about this?  Now let's talk
  713. <!--$v=2120267-->about session protection through encryption now.  There's
  714. <!--$v=2123656-->three generally accepted ways of doing
  715. <!--$v=2126496-->this.  Starting at the bottom of this diagram,
  716. <!--$v=2129061-->there's the link layer encryption.  There are a
  717. <!--$v=2132451-->lot of link layer encryptors out there.  They are
  718. <!--$v=2135382-->actually very good.  They can take a stream coming in, usually
  719. <!--$v=2138955-->going across a serial link, but I've seen this also across
  720. <!--$v=2141749-->frame relays or Ethernet links, and
  721. <!--$v=2145185-->send it over to another link layer encryptor, which will decrypt it
  722. <!--$v=2148712-->and send it back up to the next higher, the network layer
  723. <!--$v=2151964-->device there.  Also, looking at the top of this thing -
  724. <!--$v=2155353-->application layer encryption.
  725. <!--$v=2158880-->I guess the best example of this
  726. <!--$v=2161583-->would be Lotus Notes.  When they
  727. <!--$v=2164972-->first came up with Lotus Notes, they
  728. <!--$v=2167583-->identified the security requirements for it and they put in
  729. <!--$v=2171156-->application layer encryption in this for both
  730. <!--$v=2174683-->client/server sessions and for
  731. <!--$v=2177660-->server-to-server database replications.  It is -
  732. <!--$v=2180317-->the domestic version of this is
  733. <!--$v=2183248-->56-bit DES, fairly strong encryption for this.
  734. <!--$v=2186501-->So, within Lotus Notes,
  735. <!--$v=2189203-->Lotus can, in fact, encrypt its own session.
  736. <!--$v=2192776-->To be more generally available and come up with a
  737. <!--$v=2195341-->lot more solutions, everyone is working towards the network
  738. <!--$v=2198914-->layer encryption and this is going to apply to
  739. <!--$v=2202395-->the applica - or the - each of the
  740. <!--$v=2204823-->end nodes out there so that they'll be
  741. <!--$v=2207204-->able to take whatever application, run it through
  742. <!--$v=2210044-->their network layer encryption, and then
  743. <!--$v=2212793-->send it all the way across, peer-to-peer.
  744. <!--$v=2215312-->Or they can send it to a
  745. <!--$v=2218014-->security gateway, which will then decrypt the session
  746. <!--$v=2221404-->and send it in clear text for that last little bit, or in
  747. <!--$v=2224702-->fact, they can have it set up, clear text down to the
  748. <!--$v=2227588-->network layer device, encrypt it across the
  749. <!--$v=2230886-->network, come out to the other security gateway, decrypt
  750. <!--$v=2234413-->it back in clear text going towards the
  751. <!--$v=2236932-->server out there.  A lot of this is going through
  752. <!--$v=2240276-->the IPSEC working
  753. <!--$v=2242658-->group within the IETF.
  754. <!--$v=2245039-->Basically how it works - there's first a secure
  755. <!--$v=2248292-->mechanism to exchange shared
  756. <!--$v=2250673-->keys and then the
  757. <!--$v=2253101-->session, whatever will be encrypted, with
  758. <!--$v=2256124-->those shared keys between the two devices.
  759. <!--$v=2259468-->We've got another talk here at Networkers that goes
  760. <!--$v=2262949-->into all the details about this and
  761. <!--$v=2265743-->specifically how it can work for you.
  762. <!--$v=2269041-->NetRanger is a new product we have at Cisco.
  763. <!--$v=2272568-->You can set up sensors throughout
  764. <!--$v=2275546-->your network to watch what's
  765. <!--$v=2278156-->going on.  These things have the attack signatures
  766. <!--$v=2281180-->of a lot of different attacks out there
  767. <!--$v=2284203-->and it can identify these or some other problems.
  768. <!--$v=2287546-->And it can take some proactive steps to stop
  769. <!--$v=2290661-->them, including accessing
  770. <!--$v=2293043-->the router to install some dynamic access
  771. <!--$v=2296616-->lists for you.  What I show here is
  772. <!--$v=2299547-->a single directory out there, but in
  773. <!--$v=2302204-->fact we've got - or the whole thing is set up so that it can be tiered.
  774. <!--$v=2305731-->There can be a workgroup director which is
  775. <!--$v=2309212-->watching this workgroup.  Again, another director over here
  776. <!--$v=2312373-->watching this workgroup.  These things
  777. <!--$v=2314846-->at the lowest tier going up a layer, an
  778. <!--$v=2318007-->area director.  Several areas
  779. <!--$v=2320618-->are covered by a director by themselves, and then working
  780. <!--$v=2323687-->up to the top layer a - for example, a -
  781. <!--$v=2326847-->your enterprise-wide director.  All of
  782. <!--$v=2330282-->these things watching what goes on, on your network
  783. <!--$v=2333809-->and taking care of a lot of the problems that could
  784. <!--$v=2336695-->creep into it, specifically, some attacks.
  785. <!--$v=2340268-->NetSonar is a new product that
  786. <!--$v=2343658-->also is going
  787. <!--$v=2346406-->to help you a lot enforce your security
  788. <!--$v=2349566-->policy.  The first thing it's going to
  789. <!--$v=2351948-->do is go out and start mapping
  790. <!--$v=2354330-->your network.  It'll go through and look,
  791. <!--$v=2356987-->and this not just a topology map or anything, it's going to
  792. <!--$v=2360422-->go through and actually find
  793. <!--$v=2362804-->what servers are out there, what devices are on your network,
  794. <!--$v=2366377-->and it's going to do some probes on it to find out specifically
  795. <!--$v=2369171-->what services are on these servers.
  796. <!--$v=2371782-->And then it will match that to
  797. <!--$v=2374255-->a database of known
  798. <!--$v=2377004-->attack points and see if
  799. <!--$v=2379752-->that server and service are vulnerable to
  800. <!--$v=2383141-->those attacks.  It will then come up with a report that you can
  801. <!--$v=2386256-->look at and see, "Hey, I really need to go over here and
  802. <!--$v=2389829-->take care of this machine because it's open
  803. <!--$v=2392257-->to a known form of attack."
  804. <!--$v=2395142-->Okay, how do we go through and make sure that
  805. <!--$v=2398303-->everything,
  806. <!--$v=2401326-->not only is it working properly all the time, but we want
  807. <!--$v=2403983-->some assurances that it's really, really working
  808. <!--$v=2406410-->all the time?  And again, this has got to go back to your
  809. <!--$v=2409937-->business needs.  First thing, if
  810. <!--$v=2412915-->you're going through and doing some moves, adds, and changes in your network,
  811. <!--$v=2416487-->you want to model these changes.  You want to make
  812. <!--$v=2418869-->sure that you're getting proper access lists
  813. <!--$v=2421892-->in all the routers, make sure they're consistent
  814. <!--$v=2425053-->across the routers, make sure you don't have any empty
  815. <!--$v=2427985-->access lists in any of the routers.  An
  816. <!--$v=2431237-->empty access list is, like if you set up
  817. <!--$v=2433756-->an access list 101 and define
  818. <!--$v=2436917-->a bunch of things to it, and then go to the interface, and
  819. <!--$v=2439848-->say, "Access group 102, something or another."  There is
  820. <!--$v=2443375-->no access group or access list 102 and you've
  821. <!--$v=2446810-->defined that to the interface.  What
  822. <!--$v=2449788-->happens in that case, there is no implicit deny at the end of it.
  823. <!--$v=2453040-->Since it is empty, it allows all packets to go
  824. <!--$v=2456200-->through.  NETSYS - the NETSYS modeling tool
  825. <!--$v=2459453-->can look for each of these things
  826. <!--$v=2462201-->and it can give you - it can let you do a
  827. <!--$v=2464949-->bunch of "what if" scenarios so that
  828. <!--$v=2467331-->you can go through and say, "If I add this to
  829. <!--$v=2470904-->the network, will I still
  830. <!--$v=2473606-->never be able to get to that vital resource?"  If
  831. <!--$v=2477179-->that's your policy, you can do some "what if" scenarios
  832. <!--$v=2479744-->on it and make sure that that is - that can
  833. <!--$v=2482355-->be accomplished.  And, in fact, the NETSYS will spit out all
  834. <!--$v=2485470-->the correct configurations for that.
  835. <!--$v=2489043-->Network management - again,
  836. <!--$v=2492386-->it's not just that box that sits on the side and
  837. <!--$v=2495272-->flashes the colors at you every now and then.
  838. <!--$v=2497837-->You should use this to make sure that you're
  839. <!--$v=2500906-->meeting your policy and your
  840. <!--$v=2503288-->business requirements.  Figure out what you need
  841. <!--$v=2506448-->to monitor and what
  842. <!--$v=2508922-->you need to report on from your network management
  843. <!--$v=2511395-->station and come up with those
  844. <!--$v=2514281-->type of reports to say, "Yes, I am meeting my
  845. <!--$v=2517442-->business goals and here exactly is why."
  846. <!--$v=2521014-->Coming down to it, I'm sure you've all seen this old
  847. <!--$v=2524129-->poem.  All it's saying
  848. <!--$v=2526511-->here is that the weakest link
  849. <!--$v=2528985-->in your network could be your downfall.  It
  850. <!--$v=2532374-->could be an attack point.  It could be exploited by either
  851. <!--$v=2535901-->an accident or someone maliciously trying to control
  852. <!--$v=2539153-->your network.  Go back
  853. <!--$v=2541673-->and think about where your weak links
  854. <!--$v=2544421-->are in your network and see if you can't protect those
  855. <!--$v=2547765-->things.  Keep in mind
  856. <!--$v=2550467-->that security is a foundation service
  857. <!--$v=2554040-->across all of your network.  You've really got to
  858. <!--$v=2557200-->think of it that way.  Start out by being
  859. <!--$v=2560269-->security conscious as you've designed this network.
  860. <!--$v=2563476-->And then, if you can enforce your policy
  861. <!--$v=2566636-->through your procedures and operations,
  862. <!--$v=2569751-->you should have smooth sailing.
  863. <!--$v=2572820-->Anyway, that concludes our talk.  I hope that you all
  864. <!--$v=2576118-->have found some good subject matter
  865. <!--$v=2578912-->in here and I hope this helps you with your network.  Thank
  866. <!--$v=2581798-->you very much.
  867. </BODY>
  868. </HTML>
  869.  
  870.