Dieses umfassende Handbuch für Netzwerk- und Sicherheitsspezialisten deckt die komplette Linie der PIX-Firewall-Produkte ab. Es liefert Expertenwissen von Autoren, die in der Praxis ständig ausgefeilte Sicherheitslösungen unter Einsatz von Cisco-PIX-Firewalls für ihre Kunden entwickeln und implementieren. Ausführlich werden die neuesten und besten Features der PIX-Firewall beschrieben, darunter TurboACLs, Objektgruppierung, NTP, HTTP-Failover-Replikation, PIX Device Manager (PDM) und viele andere Leistungsmerkmale.
Reihe
Sprache
Maße
Gewicht
ISBN-13
978-3-8266-1305-0 (9783826613050)
Schweitzer Klassifikation
Inhaltsverzeichnis
Mitwirkende. 13
Technischer Lektor & Mitwirkender. 15
Technischer Redakteur & Mitwirkender. 15
Vorwort. 17
Informationen zu diesem Buch. 17
Informationen zu Callisma. 18
Einführung. 19
1 Sicherheit und Firewalls - Einführung. 23
1.1 Einführung. 23
1.2 Die Bedeutung der Sicherheit. 23
1.2.1 Was ist unter Datensicherheit zu verstehen? 24
1.2.2 Die frühen Tage der Datensicherheit. 26
1.2.3 Unsicherheit und das Internet. 27
1.2.4 Die Bedrohung wächst. 27
1.2.5 Angriffe. 29
1.3 Einrichtung einer Sicherheitsrichtlinie. 30
1.4 Das Cisco Security Wheel. 34
1.4.1 Sicherung der Umgebung. 35
1.4.2 Überwachung der Aktivität. 36
1.4.3 Testen der Sicherheit. 37
1.4.4 Verbesserung der Sicherheit. 39
1.5 Firewall-Konzepte. 39
1.5.1 Was ist eine Firewall? 40
1.5.2 Typen von Firewalls. 42
1.5.3 Firewall-Schnittstellen: innen, außen und DMZ. 46
1.5.4 Firewall-Richtlinien. 49
1.5.5 Adressübersetzung. 50
1.5.6 Virtual Private Networking. 53
1.6 Cisco-Sicherheitszertifizierungen. 55
1.6.1 Cisco Security Specialist 1. 55
1.6.2 Cisco Certified Internetwork Expert Security. 56
1.6.3 CSPFA: Das Examen. 57
1.7 Zusammenfassung. 59
1.8 Lösungen im Schnelldurchlauf. 61
1.9 Häufig gestellte Fragen/FAQs. 62
2 PIX-Firewalls: Einführung. 65
2.1 Einführung. 65
2.2 Leistungsmerkmale von PIX-Firewalls. 66
2.2.1 Eingebettetes Betriebssystem. 66
2.2.2 Adaptive Security Algorithm. 67
2.2.3 Erweitertes Protokoll-Handling. 78
2.2.4 VPN-Support. 79
2.2.5 URL-Filtering. 80
2.2.6 NAT und PAT. 80
2.2.7 Hochverfügbarkeit. 82
2.3 PIX-Hardware. 83
2.3.1 Modelle. 83
2.3.2 Der Konsolen-Port. 86
2.4 Software-Lizenzierung und Upgrades. 88
2.4.1 Lizenzierung. 90
2.4.2 Upgrade der Software. 90
2.4.3 Kennwortwiederherstellung. 93
2.5 Die Befehlszeilenschnittstelle. 94
2.5.1 Standardkonfigurationen. 95
2.5.2 Administrative Zugriffsmodi. 96
2.5.3 Basisbefehle. 98
2.5.4 Verwaltung der Konfigurationen. 105
2.5.5 Zurücksetzung des Systems. 108
2.6 Zusammenfassung. 109
2.7 Lösungen im Schnelldurchlauf. 112
2.8 Häufig gestellte Fragen/FAQs. 114
3 Durchlassen des Datenverkehrs. 117
3.1 Einführung. 117
3.2 Outbound-Verkehr zulassen. 118
3.2.1 Konfiguration der dynamischen Adressübersetzung. 118
3.2.2 Outbound-Verkehr blockieren. 126
3.3 Inbound-Verkehr zulassen. 136
3.3.1 Statische Adressübersetzung. 137
3.3.2 Access Lists (Zugriffssteuerungslisten). 138
3.3.3 Conduits (Passagen). 139
3.3.4 ICMP. 140
3.3.5 Port-Umleitung. 140
3.4 TurboACLs. 142
3.5 Objektgruppierung. 143
3.5.1 Konfiguration und Verwendung von Objektgruppen. 144
3.6 Fallstudie. 148
3.6.1 Access Lists (Zugriffssteuerungslisten). 150
3.6.2 Conduits und Outbound/Apply. 153
3.7 Zusammenfassung. 155
3.8 Lösungen im Schnelldurchlauf. 156
3.9 Häufig gestellte Fragen/FAQs. 158
4 Fortgeschrittene PIX-Konfiguration. 159
4.1 Einführung. 159
4.2 Erweitertes Protokoll-Handling. 159
4.2.1 File Transfer Protocol. 164
4.2.2 Domain Name Service. 169
4.2.3 Simple Mail Transfer Protocol. 171
4.2.4 Hypertext Transfer Protocol. 173
4.2.5 Remote Shell. 173
4.2.6 Remote Procedure Call. 175
4.2.7 Real-Time Streaming Protocol, NetShow und VDO Live. 176
4.2.8 SQL*Net. 181
4.2.9 H. 323 und verwandte Anwendungen. 182
4.2.10 Skinny Client Control Protocol. 185
4.2.11 Session Initiation Protocol. 186
4.2.12 Internet Locator Service und Lightweight Directory Access Protocol. 188
4.3 Filterung von Web-Datenverkehr. 189
4.3.1 Filtern von URLs. 190
4.3.2 Filtern von aktivem Code. 197
4.4 Konfiguration der Intrusion Detection. 199
4.4.1 Unterstützte Signaturen. 200
4.4.2 Konfiguration der Überwachung. 203
4.4.3 Konfiguration von Shunning. 206
4.5 DHCP-Funktionalität. 207
4.5.1 DHCP-Clients. 208
4.5.2 DHCP-Server. 210
4.6 Andere erweiterte Features. 215
4.6.1 Fragmentation Guard. 215
4.6.2 AAA Floodguard. 217
4.6.3 SYN Floodguard. 218
4.6.4 Reverse-Path Forwarding. 220
4.6.5 Unicast-Routing. 223
4.6.6 Routing Information Protocol. 225
4.6.7 Stub Multicast Routing (SMR). 228
4.6.8 PPPoE. 235
4.7 Zusammenfassung. 238
4.8 Lösungen im Schnelldurchlauf. 239
4.9 Häufig gestellte Fragen/FAQs. 241
5 Konfiguration von Authentifizierung, Autorisierung und Accounting. 243
5.1 Einführung. 243
5.2 AAA-Konzepte. 244
5.2.1 Authentifizierung. 246
5.2.2 Autorisierung. 248
5.2.3 Accounting. 248
5.2.4 AAA-Protokolle. 248
5.3 Cisco Secure ACS für Windows. 253
5.3.1 Einführung und Features. 254
5.3.2 Installation und Konfiguration von Cisco Secure ACS. 255
5.3.3 Ein NAS für den Cisco Secure ACS-Server. 262
5.3.4 Ein Benutzer für den Cisco Secure ACS-Server. 266
5.4 Konfiguration der Konsolenauthentifizierung. 268
5.4.1 Konfiguration der lokalen Konsolenauthentifizierung. 269
5.4.2 Konfiguration der RADIUS- und TACACS+-Konsolenauthentifizierung. 270
5.5 Konfiguration der Befehlsautorisierung (Command Authorization). 276
5.5.1 Konfiguration der lokalen Befehlsautorisierung. 277
5.5.2 Konfiguration der TACACS+-Befehlsautorisierung. 279
5.6 Konfiguration der Authentifizierung für Verkehr durch die Firewall. 287
5.6.1 Konfiguration der Cut-Through-Proxy-Funktionalität. 287
5.6.2 Virtual HTTP. 292
5.6.3 Virtual Telnet. 295
5.7 Konfiguration der Autorisierung für Verkehr durch die Firewall. 297
5.8 Konfiguration des Accounting für Verkehr durch die Firewall. 299
5.9 Konfiguration von herunterladbaren Access Lists. 302
5.9.1 Konfiguration von benannten herunterladbaren Access Lists. 302
5.9.2 Konfiguration von herunterladbaren Access Lists ohne Namen. 307
5.10 Zusammenfassung. 309
5.11 Lösungen im Schnelldurchlauf. 310
5.12 Häufig gestellte Fragen/FAQs. 313
6 Konfiguration des System-Managements. 315
6.1 Einführung. 315
6.2 Konfiguration der Protokollierung. 316
6.2.1 Lokale Protokollierung. 317
6.2.2 Syslog. 319
6.2.3 Protokollierungs-Level. 325
6.2.4 Protokollierungs-Facility. 328
6.2.5 Deaktivierung von speziellen Syslog-Meldungen. 329
6.3 Konfiguration von Remote Access (Fernzugriff). 331
6.3.1 Secure Shell. 332
6.3.2 Telnet. 341
6.3.3 HTTP über den PIX Device Manager. 343
6.4 Konfiguration des Simple Network Management Protocol. 344
6.4.1 Konfiguration der Systemidentifikation. 345
6.4.2 Konfiguration des Polling. 345
6.4.3 Konfiguration von Traps. 348
6.5 Konfiguration der Systemzeit. 349
6.5.1 Einrichtung und Verifizierung der Systemuhr und der Zeitzone. 349
6.5.2 Konfiguration und Verifizierung des Network Time Protocols. 352
6.6 Zusammenfassung. 355
6.7 Lösungen im Schnelldurchlauf. 356
6.8 Häufig gestellte Fragen/FAQs. 357
7 Konfiguration von Virtual Private Networks (VPNs). 359
7.1 Einführung. 359
7.2 IPsec-Konzepte. 360
7.2.1 IPsec. 360
7.2.2 Internet Key Exchange. 365
7.2.3 Security Associations (Sicherheitszuordnungen). 368
7.2.4 Certificate-Authority-Unterstützung. 373
7.3 Konfiguration von Site-to-Site-IPsec unter Verwendung von IKE. 374
7.3.1 Planung. 375
7.3.2 Zulassung von IPsec-Verkehr. 376
7.3.3 Aktivierung von IKE. 377
7.3.4 Erstellung einer ISAKMP Protection Suite. 378
7.3.5 Definition eines Pre-Shared-ISAKMP-Keys. 380
7.3.6 Certificate-Authority-Unterstützung. 380
7.3.7 Konfiguration von Crypto-Access-Lists. 388
7.3.8 Definition eines Transform-Sets. 390
7.3.9 Umgehen der Network Address Translation. 391
7.3.10 Konfiguration eines Crypto-Maps. 392
7.3.11 Troubleshooting. 395
7.4 Konfiguration von Site-to-Site-IPsec ohne Verwendung von IKE (Manuelles IPsec). 396
7.5 Konfiguration des Point-to-Point Tunneling Protocol. 398
7.5.1 Überblick. 399
7.5.2 Konfiguration. 401
7.6 Konfiguration des Layer 2 Tunneling Protocol mit IPsec. 409
7.6.1 Überblick. 410
7.6.2 Konfiguration. 412
7.7 Konfiguration der Unterstützung für den Cisco Software VPN Client. 416
7.7.1 Modus-Konfiguration. 417
7.7.2 Extended Authentication. 419
7.7.3 VPN-Gruppen. 420
7.7.4 Beispielkonfigurationen von PIX und VPN-Clients. 423
7.8 Zusammenfassung. 432
7.9 Lösungen im Schnelldurchlauf. 434
7.10 Häufig gestellte Fragen/FAQs. 435
8 Konfiguration des Failover-Features. 437
8.1 Einführung. 437
8.2 Failover-Konzepte. 437
8.2.1 Konfigurationsreplikation. 441
8.2.2 IP- und MAC-Adressen für das Failover. 441
8.2.3 Ausfallerkennung. 442
8.2.4 Stateful-Failover. 444
8.3 Standard-Failover mittels Failover-Kabel. 445
8.3.1 Konfiguration und Aktivierung des Failover-Features. 446
8.3.2 Überwachung des Failover-Features. 452
8.3.3 Failing-Back. 454
8.3.4 Deaktivierung des Failover-Features. 455
8.4 LAN-basiertes Failover. 456
8.4.1 Konfiguration und Aktivierung des Failover-Features. 456
8.4.2 Überwachung des Failover-Features. 462
8.4.3 Failing-Back. 464
8.4.4 Deaktivierung des Failover-Features. 464
8.5 Zusammenfassung. 464
8.6 Lösungen im Schnelldurchlauf. 465
8.7 Häufig gestellte Fragen/FAQs. 466
9 PIX Device Manager. 469
9.1 Einführung. 469
9.2 Funktionen, Einschränkungen und Anforderungen. 470
9.2.1 PIX-Firewall: unterstützte Hardware- und Software-Versionen. 471
9.2.2 PIX Device Manager: Einschränkungen. 473
9.3 Installation, Konfiguration und Start von PDM. 473
9.3.1 Installationsvorbereitung. 474
9.3.2 Installation und Upgrade von PDM. 474
9.3.3 Start von PDM. 479
9.4 Konfiguration der PIX-Firewall mithilfe von PDM. 485
9.4.1 Arbeiten mit dem Startup Wizard. 486
9.4.2 Konfiguration der Systemeigenschaften. 494
9.4.3 Verwaltung von Hosts und Netzwerken. 519
9.4.4 Konfiguration der Übersetzungsregeln. 524
9.4.5 Konfiguration von Zugriffsregeln. 531
9.4.6 VPN-Konfiguration. 539
9.5 Überwachung der PIX-Firewall mithilfe von PDM. 551
9.5.1 Sessions und Statistiken. 552
9.5.2 Diagramme. 556
9.6 Überwachung und Unterbrechung von Sessions. 565
9.7 Zusammenfassung. 565
9.8 Lösungen im Schnelldurchlauf. 566
9.9 Häufig gestellte Fragen/FAQs. 567
10 Troubleshooting und Leistungsüberwachung. 569
10.1 Einführung. 569
10.2 Troubleshooting - Hardware und Verkabelung. 570
10.2.1 Troubleshooting - PIX-Hardware. 572
10.2.2 Troubleshooting - PIX-Verkabelung. 583
10.3 Troubleshooting - Connectivity. 586
10.3.1 Überprüfung der Adressierung. 588
10.3.2 Überprüfung des Routing. 589
10.3.3 Überprüfung der Übersetzung. 596
10.3.4 Überprüfung des Zugriffs. 599
10.4 Troubleshooting - IPsec. 605
10.4.1 IKE. 607
10.4.2 IPsec. 611
10.5 Capturing von Verkehr. 614
10.5.1 Anzeige von mitgeschnittenem Verkehr. 616
10.5.2 Download von mitgeschnittenem Verkehr. 617
10.6 Troubleshooting und Überwachung - Performance. 619
10.6.1 Überwachung der CPU-Leistung. 620
10.6.2 Überwachung der Speicherleistung. 625
10.6.3 Überwachung der Netzwerkleistung. 628
10.6.4 Identification-Protokoll (IDENT) und PIX-Performance. 629
10.7 Zusammenfassung. 630
10.8 Lösungen im Schnelldurchlauf. 631
10.9 Häufig gestellte Fragen/FAQs. 633
Stichwortverzeichnis. 635
