легкое решение сложной задачи ДМИТРИЙ РЫЖАВСКИЙ Спецвыпуск: Хакер, номер #068, стр. 068-072-4 - поддержка локальных списков ACL для принятия или отклонения сертификатов на основании полей сертификации; - интеграция с AAA для авторизации сертификатов на базе имени пользователя и других атрибутов; - поддержка онлайнового протокола статуса сертификата (Online Certificate Status Protocol, OCSP); - поддержка списков отзыва сертификатов и автоматического переиздания. [настройка сервера цифровых сертификатов на маршрутизаторе.] Встроенный в Cisco IOS Сервер цифровых сертификатов имеет богатые возможности по настройке. Приведем минимально необходимое количество команд для создания работоспособной конфигурации. !задай имя для сервера цифровых сертификатов crypto pki server certsrv database level names issuer-name CN=certsrv, OU=client-group-1, O=Cisco Systems grant auto !настройку параметров можно производить только в выключенном состоянии, после завершения настройки сервер нужно перевести в рабочее состояние no shutdown После этого будет сгенерирована ключевая пара для корневого сертификата сервера. При помощи ее частного ключа в дальнейшем будут подписываться все выдаваемые сервером сертификаты. Команда grant auto позволяет автоматически выдавать сертификаты на запросы пользователей, что значительно упрощает процедуру выдачи сертификатов большому числу клиентов. Если канал между клиентом и сервером цифровых сертификатов во время выписки защищен, то сохраняется должный уровень безопасности. Например, выдачу сертификатов онлайн можно разрешить только пользователям внутри корпоративной сети. [технология Cisco Easy VPN.] Технология Cisco Easy VPN упрощает администрирование и управление сетями VPN, которые связывают различные узлы сети между собой, за счет активного продвижения новых политик безопасности из головного узла в сети на удаленные площадки. Для простоты конфигурации и высокой масштабируемости в решении Easy VPN применяется технология «проталкивания политики» (policy-push), но при этом сохраняется широкий спектр настроек и контроль над соблюдением политики. Сервер Easy VPN, сконфигурированный в центральном офисе компании, передает политики безопасности на удаленные устройства VPN, обеспечивая реализацию на таких соединениях действующих политик еще до установки соединения. [7 преимуществ Easy VPN.] 1 Easy VPN Server и Easy МЗТ Client поддерживается на маршрутизаторах с интеграцией сервисов, VPN-концентраторах, межсетевых экранах Cisco PIX и многофункциональных защитных устройствах Cisco ASA. 2 Клиентское программное обеспечение Cisco VPN Client можно инсталлировать без дополнительных затрат на компьютерах PC, Mac и в системах UNIX, для удаленного доступа к VPN-маршрутизатору. Поскольку одна и та же технология (Easy VPN) используется на аппаратуре у клиента (CPE) и программном обеспечении, общая стоимость владения снижается за счет упрощения и унификации в обслуживании, мониторинге и сервисов AAA. 3 В Easy VPN предусмотрены опции локальной (на базе маршрутизаторов) и централизованной аутентификации RADIUS. Аутентификацию на базе стандарта 802.1x также можно использовать для аутентификации хостов в каждом местоположении CPE. |