отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 

"Следствие ведут ИТ-шники". День 2: Информационная безопасность. Задачи.

Задача 1.

Описание проблемы:

ЗАМЕЧАНИЕ: Все дебаги в задании реальные, все IP адреса изменены.

Администратором сети настроен туннель IPsec LAN-to-LAN VPN между двумя маршрутизаторами: Cisco 881 и маршрутизатором другого производителя (условно назовем его "ZZZ").  Публичные адреса - 100.1.1.1 и 200.1.1.1.

LAN1 172.16.8.0/24 -- Cisco 881 [100.1.1.1] -- VPN -- [200.1.1.1] ZZZ Router -- 172.16.1.0/24 LAN2

При тестировании туннеля, администратор обнаружил следующее:  если послать трафик (пинг) из сети LAN1 в сеть LAN2, туннель поднимается.  Если послать трафик в обратном направлении, из сети LAN2 в сеть LAN1, то туннель не поднимается.

Иными словами, туннель поднимается, когда инициирован со стороны Cisco 881 и не поднимается при инициировании со стороны роутера ZZZ.

После каждой перезагрузки маршрутизаторов, администратору приходится вручную делать пинг со стороны Cisco 881 из LAN1 в LAN2, чтобы поднять туннель.  После поднятия туннеля, трафик нормально ходит в обоих направлениях.

Администратор собрал дебаг на стороне Cisco 881 при неуспешной попытке поднять туннель, инициированной со стороны роутера ZZZ (отправкой трафика из LAN2 в LAN1-см. дебаг проблемного сценария):

 

Вопросы: Почему не поднимается туннель при инциировании со стороны роутера ZZZ?  Почему этот же туннель успешно поднимается при инициировании со стороны роутера Cisco 881? (нужно перечислить возможные предположения для асимметричного поведения туннеля и обосновать их)

 

Задача 2.  

У меня есть межсетевой экран Cisco ASA с версией 9.1 в маршрутизирующем режиме (routed mode) и множество серверов, которые я хочу разместить в DMZ за ASA и сделать доступными из внешнего мира. Использование трансляции адресов (static PAT) для них невозможно, в силу особенностей используемых прикладных протоколов (VoIP и т.д.). Провайдер выдал мне сетку из своего адресного пространства, скажем 194.1.1.0/24. На внешний (outside) интерфейс ASA д.б. назначен адрес 194.1.1.253. У провайдера соответственно 194.1.1.254. Я хочу задействовать остальные адреса из этой сети для DMZ, причем, по возможности, без потери каких-то адресов или диапазонов или по кр. мере с минимальной потерей. При этом провайдер не хочет настраивать ничего со своей стороны, кроме маршрута на 194.1.1.0/24 через 194.1.1.253.

 

Вопросы: Как мне решить данную задачу максимально эффективным образом? Приведите пожалуйста фрагмент конфигурации ASA.

Дополнение: при тестировании мы будем с серверов пинговать не только адреса в Internet, но и роутер провайдера 194.1.1.254.

 

Задача 3.

Топология:

 

                          212.1.1.2 <--- NATed --------< 192.168.0.2

 

---------------- Hub -------------------- ISP ---------------------- Spoke ------------------

192.168.255.0/24     .1  194.1.1.0/24  .3     .3  192.168.0.0/24  .2       .2  192.168.1.0/24

                                                                               192.168.2.0/24

                                                                               192.168.3.0/24

 

У меня настроен DMVPN между роутером филиала 192.168.0.2 и центральным хабом 194.1.1.1. Адрес филиального роутера натируется провайдером в 212.1.1.2. Используется туннельный режим IPSec.

 

Конфигурации (см. файл)

 

Проблема состоит в том, что трафик между локальными сетями филиала (192.168.x.0/24) и локальной сетью центрального офиса (192.168.255.0/24) не ходит, хотя все маршруты на месте и IPSec в "up" (см. файл)

 

Если пинговать 192.168.255.x из LAN филиала, то видно, что трафик приходит в головной офис, в "show crypto ipsec sa" растет счетчик расшифрованных пакетов, ответ уходит, но не долетает до роутера филиала. Мы заметили, что трафик начинает ходить, когда даешь "no ip cef" на DMVPN Hub.

 

Вопрос: Почему так происходит и что делать? Отключение IP CEF крайне нежелательно.

 

Задача 4.

В банке для защиты банковских приложений в коммутатор Cisco Catalyst 6509 установили 2 FWSM-модуля в failover в мультиконтекстном режиме. Через 5 месяцев успешной работы пользователи стали жаловаться на периодические проблемы с доступом к банковским приложениям. Администраторы, отвечающие за банковские приложения зафиксировали периодические потери пакетов между серверами и клиентами. Был открыт кейс в сетевом департаменте банка. Сотрудники сетевого департамента не производили никаких изменений в топологии или конфигурации сегмента сети до/во время/после обнаружения проблемы, в котором расположены банковские сервера. Просматривая логи на FWSM, были обнаружены периодические ошибки в контексте защищающем сервера с банковскими приложениями:

 

%FWSM-1-105005: (Primary_group_2) Lost Failover communications with mate on interface inside

%FWSM-1-105008: (Primary) Testing Interface inside

%FWSM-1-105009: (Primary_group_2) Testing on interface inside Passed

%FWSM-1-105005: (Primary_group_2) Lost Failover communications with mate on interface servers

%FWSM-1-105008: (Primary) Testing Interface servers

%FWSM-1-105009: (Primary_group_2) Testing on interface servers Passed

 

Эти ошибки появляются в логе приблизительно каждые 30 минут.

 

При проверки счетчиков интерфейса на FWSM были обнаружены дропы пакетов:


Interface servers "servers", is up, line protocol is up

 

      MAC address 001e.be73.c800, MTU 1500

 

         IP address 192.168.123.254, subnet mask 255.255.252.0

 

  Traffic Statistics for "servers":

 

         11835272 packets input, 1336857430 bytes

 

      8213607 packets output, 1063871466 bytes

 

      15180468 packets dropped

 

А также дропы пакетов на NP FWSM-а:

 

sh np blocks

                 MAX   FREE   THRESH_0   THRESH_1   THRESH_2

NP1 (ingress)  32768  32768      29943    1210847    9860762

    (egress)  521206 521204          0          0          0

NP2 (ingress)  32768  32768      41399     908001   13652165

    (egress)  521206 521204          0          0          0

NP3 (ingress)  32768   1344     725152 3199828308 1128531585

    (egress)  521206 521204          0          0          0

 

Вопрос: Назовите причину появившейся проблемы и предложите способ её предотвращения средствами FWSM-а.

 

Подсказки

Ответы

История версий
Редакция №
1 из 1
Последнее обновление:
‎01-10-2015 05:22 AM
Автор обновления:
 
Метки (1)
Теги (2)