Cisco что значит no payload encryption

Cisco K8/K9 — защита и шифрование

Cisco NPE

Что такое Cisco PCI? Маршрутизаторы Cisco K9 как средство защиты информации в банковских сетях

Запрет к открытой поставке в Россию таких устройств сетевой защиты как маршрутизаторы и межсетевые экраны Cisco с 3DES шифрованием вызвал значительный резонанс. Подобные сетевые устройства защиты в большинстве своем использовались не частными лицами, а бизнес-структурами, финансовыми и производственными предприятиями. Наибольшая потребность в надежных VPN-устройствах у финансовых организаций – банков. Применение стойких алгоритмов защиты в банковских сетях гарантирует сохранение ценной информации – финансовых данных и личных данных клиентов. Нехватка сетевых средств защиты информации в продаже со вступлением новых законов в силу приостановила рост и развитие финансовых институтов, ввиду отсутствия необходимых устройств защиты сети на российском рынке. В значительной степени это было связано с расширением сети банкоматов – выросло потребление маршрутизаторов младшей серии СISCO881-K9, СISCO861-K9, которые в большинстве использовались банками для организации безопасного подключения мобильного терминала (банкомата) к банковской сети. Понимая сложность ситуации, правительство пришло на помощь. Устройства, специально разработанные для защиты финансовой информации платежных систем, имеют в артикуле сокращение PCI – Payment Card Industry, означающее, что данное устройство одобрено MasterCard, Visa, Amex, JCB для организации доступа к платежным системам. Именно поэтому устройства PCI-K9 продаются, Но приобрести подобные устройства имеет право только финансовое учреждение с лицензией, а продавать – организация, имеющая лицензию на распространение криптографических средств.

Таким образом, подводя итог анализа средств Cisco K9 и Cisco K8 для защиты сети:

1. Все устройства Cisco K9 в окончании артикула на официальном рынке России – имеют криптографию, разрешенную ко ввозу на территорию России без лицензии и разрешены к открытой продаже.

2. Сетевые устройства Cisco, имеющие в артикуле K8 – устройства, с усеченными функциями по криптографии, которые в большинстве касаются отсутствием поддержки протокола 3DES, но при этом поддерживают IPSEC VPN на уровне AES, DES.

3. Устройства PCI – имеют стойкую криптографию (3DES), но продаются только банкам, только организациями, имеющими на это право (имеющими лицензию ФСБ на распространение криптографических средств).

Источник

IOS. Версии, лицензии и что делать в РФ

У начинающих cisco-водов много вопросов вызывают различные варианты линеек IOS их отличия и функционал. Дополнительную сумятицу внесло появление новых маршрутизаторов ISR G2 и новой линейки IOS версии 15. Попробуем разобраться на пальцах.

Будем обсуждать IOS для самых распространенных маршрутизаторов – Integrated Services Router (ISR) первой и второй «волны» (G1 и G2). Я не буду вдаваться совсем уж в историю и начну с IOS 12 версии. Более ранние, конечно, бывают, но встречаются сейчас крайне редко. Мало того, даже для самого древнего железа уже как правило хотя бы 12.0 версия есть.

Начиная с этой линейки у cisco появилось понятие «стабильный» или «основной» образ (main deployment, MD), «ранние версии» (early deployment, ED), всякие экспериментальные версии (обычно содержат несколько новых фич) и целая «продвинутая» технологическая линейка (обозначается буквой Т в названии IOS). Общая идеология такая: все, что обкатали в экспериментальных и технологических линейках предыдущих версий, появляется как основная фича в следующей версии основной линейки. Например, то, что было в 12.3Т и прошло успешные испытания, зафиксировано в 12.4 MD. Понятно, что возможностей у Т-линейки больше, функционал менее оттестирован и статистически менее надежен.

Отдельная тема: функционал IOS. Чтобы вас не запутать, давайте разделим: IOS для ISR G1 (самых обычных маршрутизаторов 85х, 87х, 18хх, 28хх, 38хх а также их предшественников 26хх, 36хх, 37хх) и IOS для ISR G2 (89х, 19хх, 29хх, 39хх). Для последних есть ТОЛЬКО IOS версии 15.0(1)М и новее. Для старых есть и 12 и 15 версия.

Примечание: версий 12.5, 13 и 14 никогда не было. По легенде, 13 – несчастливое число в США, а 14 – в Японии.
Примечание 2: маршрутизатор 86х хоть и относится формально к G2, о выпущен раньше остальной линейки. Имеет IOS 12.4 и не лицензируется (т.е. работает так же, как G1)

ISR G1:
В версиях до 15 фичи IOSов можно было разделить на несколько типов:
1. Security. Позволяет сделать VPN разного вида, МСЭ, IPS и защитить сам маршрутизатор.
2. Enterprise. Позволяет обрабатывать не только IPv4, например, IPX, CLNP. Раньше только в него включали IPv6. Сейчас этот протокол есть и в Base
3. Unified communications. Всевозможные телефонные фичи, типа CUCM, gateway, gatekeeper и пр.
4. IP Base. Минимальный набор. Даже ip sla нет! Я стараюсь IP Base не оставлять.

Самих IOSов было гораздо больше, т.к. они могли сочетать разные фичи. Подробно узнать, какие возможности есть в каком IOS можно в цискином удобном фича-навигаторе.
_______________
UPD от 3.04.11

Названия линеек IOSов в 12 версии

IP Base
IP Voice
Advanced Security
SP Services
Enterprise Base
Advanced IP Services
Enterprise Services
Advanced Enterprise Services
________________

С 15 версии возможности называются почти так же
1. Security
2. DATA
3. UC
4. Base

15 версия IOS содержит в себе ВСЕ возможности. Для ISR G1 это означает, что можно закачать свежий IOS 15 версии и не бояться. Т-линейка, как и прежде, содержит в себе больше возможностей, но считается менее стабильной.

Зачем же выделять группы фич, если они все доступны? А вот зачем: в ISR G2 внедрена система лицензирования фич, примерно как на ASA. Т.е. залить в ISR G2 другой IOS и получить другой функционал, как привыкли делать в ISR G1, не получится. Нужно покупать лицензии на нужный функционал. Так cisco борется с изобилием «не совсем легальных установок» продвинутого функционала. Ведь IP BASE стоит гораздо дешевле, чем нужный bundle, а значит можно «сэкономить». И хоть формально за это можно пожурить, но если вы не покупали поддержку от cisco (SmartNet), то о факте такой замены никто не узнает.

Дополнительную сложность вносит наше таможенное законодательство, которое ставит табу на ввоз шифровальных средств с длиной ключа более 56 бит (DES еще проходит и так ввозят ASA-K8, а 3DES/AES- нет). Cisco в ответ на эти запреты выпустила локализованную версию IOS, с обрезанным функционалом по шифрованию туннелей. Первой ласточкой была NOVPN для 3845, а для 15 версии IOS такая линейка называется NPE (No Payload Encryption). Такой шаг позволил получить на ISR G2 нотификацию и ввозить на территорию РФ такие циски беспрепятственно (ISR G1 легко ввозятся с IOS IP Base). Однако, лишил нас массы удобных возможностей: IPSec VPN, L2TPoIPSec, SSLVPN, GETVPN, DMVPN, sRTP и других шифровальных возможностей … То, за что многие так уважают цискины маршрутизаторы. Вы можете купить bundle UC, Sec-NPE, DATA, но ни одна из них вам не разблокирует шифрования. И до недавнего времени решения этой проблемы не было: официально купить полноценный IOS (PE) и лицензию на Security, где есть VPN не было…
Но если очень хочется…

Недавно появилась такая возможность: на 12 лет получить «технологические лицензии» на шифрование (SecurityK9, UCk9, DATAk9). Для этого можно сделать так:

1. Найти где-нибудь IOS не NPE, т.е. без NPE в названии, т.е., например, вот такой: c2900-universalk9-mz.SPA.151-3.T.bin.
2. ИОС не ниже версий: 15.0(1)M4, 15.1(1)T2, 15.1(2)T2, 15.1(3)T.
3. Ввести несколько волшебных команд, которые при некоторой настойчивости находятся так:

Ro(config)# license boot ?

и после ввода каждой из строк согласиться с EULA.

Примечание: я намеренно не привожу точных команд, т.к. не знаю, как отреагируют владельцы Хабра на такой «хак»

4. Сохраниться
5. Перезагрузить маршрутизатор, не пугаясь предупреждения, что до конца технологического периода осталось всего ничего: 12 лет 🙂

Дисклаймер: пользуемся на свой страх и риск. Регуляторы возможно могут придраться, так что готовьте security action plan отката. Возможны подводные камни, о которых я не знаю. Например, один из тестировщиков решения сообщил, что после заливки лицензий и перезагрузки пропала часть команд ip inspect.

Источник

Общие вопросы

• Архитектура и технологии
• 1. Какие архитектуры построения беспроводной сети на базе оборудования Cisco существуют?
• 2. Какие основные преимущества дает использование контроллера беспроводной сети?
• 3. В чем ключевые особенности и преимущества использования стандарта 802.11ac? В чем отличие 802.11ac wave 1 от 802.11ac wave 2?
• 4. Что такое Wi-Fi 6? В чем его отличие от других стандартов?
• 5. В чем основные преимущества использования технологий CleanAir и ClientLink на оборудовании Cisco?
• 6. Как оборудование Cisco помогает бороться с помехами в беспроводной сети?
• Точки доступа
• 7. В чем особенность точек доступа Catalyst 9100? В чем их отличия между собой?
• 8. В чем отличие точек доступа x700 и x800?
• 9. В чем отличие точек доступа х800 между собой?
• 10. Есть ли у Cisco всепогодные точки доступа корпоративного класса?
• 11. Какие точки доступа Cisco производят в России?
• 12. Что означает R в партномере точки доступа AIR-AP1832I-R-K9?
• 13. Какие варианты питания точек доступа Cisco существуют?
• Контроллеры
• 14. Что представляют собой контроллеры Cisco Catalyst 9800?
• 15. Контроллеры Cisco Catalyst 9800. Какие архитектуры поддерживаются, какие модели бывают?
• 16. Чем отличаются друг от друга контроллеры серий 2500, 3500, 5500, vWLC?
• 17. Какие варианты резервирования контроллеров серии 2500, 3500, 5500, 7500, 8500, vWLC существуют?
• 18. Контроллер поддерживает работу точек доступа только в локальной сети?
• 19. Почему после обновления ПО контроллера точки доступа не могут зарегистрироваться на контроллере?
• 20. Можно ли подключить к контроллеру беспроводной сети точку доступа, встроенную в маршрутизаторы серии 860, 880, 890?
• Mobility Express
• 21. Какие функции поддерживаются в Mobility Express?
• 22. Какие точки доступа поддерживают работу в режиме Cisco Mobility Express?
• 23. Могу ли я подключить точку доступа с поддержкой Mobility Express к полноценному контроллеру? Можно ли установить на ТД с Mobility Express «автономное» ПО?
• Устаревшие продукты
• 24. Будет ли работать автономная точка доступа с контроллером?
• 25. В чем отличие точек доступа Cisco Aironet 1810/1810W?
• 26. Поддерживают ли контроллеры предыдущего поколения (4400,2100) новые точки доступа?
• 27. В чем отличие точек доступа 700 и 1600 между собой?
• 28. В чем отличие точек доступа x600 и x700?

• Общие сведения
• 1. Какие решения на базе программно-определяемых сетей предлагает компания Cisco?
• SD-WAN
• 2. Что такое SD-WAN?
• 3. Какие преимущества даёт внедрение SD-WAN?
• 4. Какие решения являются обязательными для построения SD-WAN?
• 5. Почему стоит перейти на SD-WAN?
• 6. Что будет, если откажет контроллер SD-WAN?
• 7. Как обеспечивается отказоустойчивость решения SD-WAN?
• 8. Что необходимо для запуска расширенных функций безопасности?
• 9. Что такое OMP?
• SD-Access
• 10. Какие преимущества даёт внедрение SD-Access?
• 11. Какие решения являются обязательными для построения SD-Access?
• ACI
• 12. Какие преимущества даёт внедрение ACI?
• 13. Какие решения являются обязательными для построения фабрики ACI?

Данная аббревиатура (NPE — No payload encryption) означает, что в программном обеспечении отсутствуют функции любого шифрования, кроме шифрования данных, передаваемых при управлении устройством, а именно протоколом SSH, SSL в рамках HTTPS и SNMPv3. Маршрутизаторы и межсетевые экраны Cisco с программным обеспечением NPE попадают в категорию С2.

В соответствии с Российским законодательством (Указ 334 от 1995 года, ПП 957 2007) ввоз на территорию РФ крипто-содержащих средств с длиной ключа более 54 бит (алгоритмы шифрации 3DES/AES) разрешен только при получении лицензии Минпромторга России, выдаваемой на основании заключения Центра по лицензированию, сертификации и защите государственной тайны ФСБ России на каждую единицу оборудования.

Компания Cisco в Росcии использует свою внутреннюю классификацию сетевого оборудования. Все оборудование Cisco, доступное для ввоза на территорию РФ, делится на 4 категории:

• C1 – продукты, не требующие разрешения на ввоз;
• C2 – продукты, для который имеются зарегистрированные нотификации и разрешенные ко ввозу без лицензии;
• C3 – продукты, подлежащие импорту с получением лицензии Минпромторга России, выдаваемой на основании заключения центра по лицензированию, сертификации и защите государственной тайны ФСБ России (ЦЛСЗ);
• C4 – продукты, не распределенные ни по одной из предыдущих категорий.

Источник

diflyon

Журнал айтишника

Новое поколение маршрутизаторов Cisco использует IOS версии 15, в котором присутствует возможность отключения функции шифрования, что автоматически включает зеленый свет на возможность легального ввоза и использования оборудования от данного производителя в коммерческих или личных целях. Правда о криптостойких VPN туннелях можно забыть.

В остальном, функционал остался прежним. Но доступ к дополнительным функциям IOS изменился. Теперь не достаточно просто скачать Advanced Enterprise Services, чтобы получить полный функционал. В новом IOS дополнительные возможности активируются лицензиями. А лицензию, как известно, найти в интернете и скачать нельзя, ее можно только купить.

Старая схема IOS выглядит так:

Новая схема представлена следующим образом и актуальная для ISR G2 1900, 2900, и 3900 Series:

Есть базовый универсальный IOS с функционалом IP Base на котором при желании дополнительные возможности активируются соответствующими лицензиями.

Для России есть возможность заказать универсальный IOS с вырезанными возможностями шифрования:

UNIVERSAL – NO PAYLOAD ENCRYPTION (DATA)

UNIVERSAL – NO PAYLOAD ENCRYPTION (IP BASE)

UNIVERSAL – NO PAYLOAD ENCRYPTION (SECURITY)

UNIVERSAL – NO PAYLOAD ENCRYPTION (UC)

UNIVERSAL – NO PAYLOAD ENCRYPTION (DATA & SECURITY)

UNIVERSAL – NO PAYLOAD ENCRYPTION (DATA & SECURITY & UC)

Источник