28.08.03 Новости Cisco и новые продукты за лето 2003

Уведомление об ошибке в программном обеспечении PIX 6.3(2)

В последней версии программного обеспечения PIX Security Appliance Series Operating System Release 6.3(2) обнаружена ошибка, заключающаяся в потере настроек трансляции NAT после перезагрузки устройства.

Описание:
Версия ПО PIX OS 6.3(2) не отображает, при выводе конфигурации, правило для трансляции NAT: nat 0, а после сохранения конфигурации и последующей перезагрузки правило теряется из настроек и становится неактивным. Затронуто только правило nat 0, правила для входящих трансляций и команда nat 0 access-list функционируют нормально.

Пути решения проблемы:
Поставки версии PIX 6.3(2) остановлены, имиджи удалены с Cisco Software Center. Ошибка, зарегистрированная как bug CSCeb84163, будет исправлена в следующей версии ПО PIX OS 6.3(3), которая запланирована к выпуску в конце августа 2003 года. Разработчики выпустили инженерный релиз PIX 6.3(2)103 с исправлением для CSCeb84163. Клиенты уже установившие релиз 6.3(2) могут обратиться в TAC (Technical Assistance Center) за исправленной версией софта, однако инженерный релиз не прошел интенсивного тестирования, поэтому Cisco рекомендует вернуться на версию 6.3(1) до того момента пока не появится релиз 6.3.(3).

Подробная информация:
http://www.cisco.com/warp/public/770/fn26155.shtml

Новости в линейке межсетевых экранов Cisco PIX® Security Appliance

1. Новые ключевые функции PIX OS 6.3(2)
Группа разработчиков программного обеспечения PIX Security Appliance объявила о выпуске новой версии программного обеспечения PIX OS 6.3(2), построенной на базе революционной версии 6.3(1) привнесшей более 30 новых функций в операционную систему межсетевых экранов PIX.
PIX OS 6.3(2) добавляет в арсенал программного обеспечения следующие новые возможности:

• Policy-based NAT, для настройке трансляций на основе комбинаций адрес/порт назначения
• Поддержка Extended DNS (RFC 2671)
• Поддержка загружаемых ACL для обработки динамических user-specific firewall policies
• Поддержка Enhanced SIP
• Настраиваемый TFTP fixup/inspection engine
• Расширены возможности по взаимодействию с VPN-решениями других производителей
• Отображение адресов DHCP и PPPoE в PIX Device Manager (PDM) 3.0

Подробная информация в документе PIX OS 6.3(2) Release Notes:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_63/63rnotes/pixrn632.htm

2. Изменение стандартного комплекта при поставке межсетевых экранов Cisco PIX
С 28 июля 2003 года все модели PIX по умолчанию поставляются с версией программного обеспечения PIX OS 6.3 и PIX Device Manager (PDM) версии 3.0. Новая версия ПО предоставляет массу новых возможностей, включая 5-6 кратное увеличение производительности младших моделей PIX-501 и PIX-506E, поддержку протокола OSPF и множество других новых функций. Новая карта аппаратной шифрации VPN Accelerator Card+ (VAC+) обеспечивает, как минимум, двойной прирост производительности при обработке шифрованного трафика по сравнению с ранее использовавшейся PIX VPN Accelerator Card (VAC). VAC+ автоматически включается в бандлы PIX 515E, 525 и 535 с Unrestricted (UR) или Failover (FO) лицензиями. Новая карта увеличивает скорость 3DES и AES шифрации (с 128, 192 и 256-битными ключами) обеспечивая пропускную способность до 500 Mbps для организации Site-to-Site и remote access VPN.

3. Выпущены новые Maintenance-релизы PIX OS 6.1 и 6.2
В новых версиях внесены исправления и решены проблемы обнаруженные в предыдущих версиях PIX OS. Детальная информация по релизам PIX OS 6.1(5) и 6.2(3) представлена на сайте Cisco:
PIX OS 6.1(5) Release Notes
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_61/relnotes/pixrn615.htm
PIX OS 6.2(3) Release Notes
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_62/relnotes/pixrn623.htm

4. Релиз PIX OS 6.2 получил статус GD (General Deployment)
Получение статуса GD (General Deployment) по классификации Cisco означает, что разработка данной версии программного продукту в целом завершена, исправлены обнаруженные ошибки, новые функции добавляться не будут. Продукт рекомендуется к повсеместному использованию в сетях клиентов, обеспечивает стабильность и устойчивость в работе. Группа разработчиков PIX Security Appliance с гордостью сообщает, что новая версия PIX OS 6.2(3) удовлетворяет критериям GD и доступна для всех моделей межсетевых экранов Cisco PIX.
Информация по межсетевым экранам Cisco PIX Security Appliance:
http://www.cisco.com/go/pix

Новый модуль обнаружения вторжений NM-CIDS-K9 для маршрутизаторов Cisco 3660, 2600XM и 3700-серий

Новый модуль системы обнаружения вторжений (Intrusion Detection System) интегрируемый в маршрутизаторы Cisco 3660, 2600XM и 3700-серий обеспечивает полнофункциональную защиту от вторжений на скоростях до 45Mbps. Модуль работает с новой версией программного обеспечения Cisco IDS v4.1 Sensor Software, включающей все функции и самые последние разработки Cisco в области IDS-решений.
Впервые стала возможной установка IDS-модулей в удаленных офисах для защиты и мониторинга трафика на всех интерфейсах. В случае терминации маршрутизатором VPN/GRE-туннелей, модуль может использоваться для контроля и мониторинга расшифрованного IPsec VPN трафика. Таким образом, IDS-модуль обеспечивает защиту и контроль вторжений как со стороны сети Интернет, так и попытки неавторизованной активности из локальной сети

Управляющий модуль для Catalyst 4ххх (Supervisor Engine II-Plus)

Новый модуль предназначен для шасси коммутаторов Catalyst 4006, 4503, 4506, 4507R.

Модуль работает под управлением IOS, поддерживает неблокируемую коммутацию на уровне 2, базовые возможности маршрутизации, QOS.

Новый модуль рекомендуется использовать вместо Supervisor Engine II

Сравнение модулей Supervisor Engine II-Plus и Supervisor Engine II

Модуль рекомендуется также применять, если использование Supervisor Engine III/IV экономически неоправданно.

Сравнение модулей Supervisor Engine II-Plus и Supervisor Engine IV

Модуль поддерживается в IOS начиная с версии 12.1(19)EW

Подробнее про модуль можно прочитать на:

http://newsroom.cisco.com/dlls/SUPII-Plus_DS_0616.pdf

Новые коммутаторы Cisco Systems Catalyst 2940, Catalyst 2970

Catalyst 2940

Серия коммутаторов Catalyst 2940 представлена 2 моделями:
Catalyst 2940-8TT
8 - 10/100 ports,
1 - 10/100/1000 port
Catalyst 2940-8TF
8 - 10/100 ports,
1 - 100FX port
1 - SFP Slot (одновременно доступен или порт 100FX или SFP Slot)

Особенности Catalyst 2940

• Пропускная способность 3.6-Gbps, скорость отправки пакетов 2.7-Mpps
• Модели комплектуются ПО Cisco IOS по функциям аналогичным моделям 2950-SI с единственным ограничением (поддержка максимум 4-х VLAN/STP)
• Поддерживается Cisco Express Setup (Для упрощения конфигурирования коммутатора)
• Коммутаторы предназначены для монтажа в комнатах, где работают люди
• могут устанавливаться на стены помещений,
• есть защита от физического доступа к кабелям, подключенным к коммутатору
  (Cable Guard)
• в коммутаторах отсутствует активное охлаждение (вентиляторы)

Подробнее про коммутаторы можно прочитать на:
http://www.cisco.com/en/US/products/hw/switches/ps5213/index.html

Catalyst 2970

Серия коммутаторов Catalyst 2970 пока представлена 1 моделью:
Catalyst 2970 24 10/100/1000T
24 - 10/100/1000 ports

Особенности Catalyst 2970

• Пропускная способность 24-Gbps, скорость отправки пакетов 35.7-Mpps
• Модели комплектуются ПО Cisco IOS по функциям аналогичным моделям 2950-EI
• Поддерживается QOS на уровнях 2/3/4 без потерь производительности
• Поддерживается Cisco Express Setup (Для упрощения конфигурирования коммутатора)
• Коммутаторы предназначены для рабочих групп или небольших офисов, где требуется высокая производительность Gigabit Ethernet

Подробнее про коммутаторы можно прочитать на:
http://www.cisco.com/en/US/products/hw/switches/ps5206/index.html

Уязвимость в операционной системе Cisco IOS IPv4

Обнаружена уязвимость в операционной системе IOS компании Cisco Systems. Любое устройство с этой операционной системой, настроенное на обработку пакетов протокола IPv4 уязвимо для атаки типа "отказ в обслуживании". Направив на интерфейс устройства специальным образом сформированную последовательность пакетов злоумышленник может добиться блокировки этого интерфейса.

Данная уязвимость касается всех устройств с Cisco IOS, которые настроены на прием и обработку пакетов IPv4 на своих интерфейсах. Не подвержены данной уязвимости:

• устройства, не имеющие адресов IPv4 на своих интерфейсах;
• устройства, на которых запрещен прием пакетов IPv4 на интерфейсах;
• устройства с Cisco IOS версии 12.3 и выше;
• устройства, работающие только с IPv6.

Возможные варианты решения:

1. Наиболее приемлемый и правильный - настройка списков доступа, блокирующих нежелательный трафик, направленный на интерфейсы устройства. Вообще, рекомендуется разрешить на устройстве трафик только конкретных протоколов, которые реально задействованы на устройстве (например telnet, http, протоколы маршрутизации) от конкретных узлов сети, остальной трафик, не являющийся транзитным, направленный на само устройство - запретить. При этом, на входных маршрутизаторах сети фильтровать таким же образом трафик, направленный на внутренние узлы сетевой инфраструктуры. Минус такого решения - в некоторых случаях это может повлиять на производительность устройства;

2. Для связи с самими устройствами (для управления) использовать протокол IPv6. Те протоколы, которые должны продолжить работу по IPv4 защитить списками доступа;

3. Обновить версию IOS на устройствах. Это не всегда возможно, для некоторых устройств исправленный вариант IOS еще не выпущен, для некоторых уже не будет выпущен. Во многих случаях переход на новую версию потребует увеличения объема оперативной и flash-памяти. Получить исправленную версию пользователи, имеющие сервисный контрактSmartNet, могут бесплатно с сайта производителя. Пользователи, не имеющие сервисных контрактов, должны обращаться по месту приобретения своих устройств.

Полная информация об обнаруженной уязвимости, ее детальное описание и инструкции по настройке списков доступа содержатся в документе на сайте Cisco Systems:
http://cisco.com/warp/public/707/cisco-sa-20030717-blocked.shtml

Cisco Call Manager v3.3(3)

Компания Cisco Systems выпустила версию 3.3(3) программного обеспечения Call Manager. В этом релизе исправлен ряд ошибок и добавлена новая функциональность.
Кроме того, вышли в свет два других приложения для серверов с ПО Call Manager: WebDialer 1.0(3) – позволяет абонентам набирать номер выбрав ссылку в веб- или другом настольном приложении и Cisco CallManager Upgrade Assistant Utility – диагностическое приложение, упрощающее процедуру модернизации серверов Call Manager.

В версии ПО Call Manager 3.3(3) реализована поддержка новых моделей IP-телефонов - 7902G, 7905G, 7912G и беспроводного IP-телефона 7920.

Подробную информацию о версии ПО Call Manager v3.3(3), список исправлений и новых функций можно найти в документе Release Notes for Cisco CallManager Release 3.3(3) по адресу:
http://www.cisco.com/univercd/cc/td/doc/product/voice/c_callmg/3_3/rel_note/333cmrn.pdf

Версия 3.3(3) ПО Call Manager доступна на веб-сервере Cisco (для владельцев сервисных контрактов Smartnet), по адресу:
http://www.cisco.com/cgi-bin/tablebuild.pl/callmgr-33

PIX Device Manager v.3.0

Компания Cisco Systems выпустила очередную версию программного обеспечения Cisco PIX Device Manager.

Эта утилита позволяет управлять межсетевым экраном Cisco PIX в графическом режиме, из браузера. Располагается она во флэш-памяти устройства Cisco PIX и после подключения администратора защищенным соединением по протоколу HTTPS загружается на его компьютер, работая под управлением виртуальной машины Java.

В новой версии модифицирован механизм загрузки модулей, что позволило отказаться от загрузки неиспользуемого в данный момент кода и, таким образом, уменьшить общее время загрузки приложения. Появилась возможность включить кэширование модулей, что позволяет вообще
отказаться от загрузки кода по сети, если приложение (PDM) не обновлялось на устройстве PIX.

Расширен список поддерживаемых операционных систем и браузеров, в частности добавилась возможность управлять PIX со станции, работающей под управлением OS Linux (Red Hat Linux 8) а также при промощи браузеров Netscape Communicator 7 и Mozilla. Виртуальная машина Java
поддерживается Sun Java Plug-In (1.4.1).

Новая версия также поддерживает новые возможности PIX OS, появившиеся в версии 6.3 — в частности поддержку VLAN, шифрование алгоритмом AES, EasyVPN Remote, поддержку OSPF, Object Grouping. Для новых функций созданы инструменты быстрой первоначальной настройки — Setup Wizard и VPN Wizard.

Непосредственно из PDM можно получать статистику, отчеты и вести мониторинг сетевых событий реальном времени. Отчеты, в частности, можно получать по процессам фильтрации, системы обнаружения вторжений, системы криптозащиты трафика и по использованию ресурсов. Также в состав утилиты входит модуль Syslog Event Viewer, что позволяет просматривать журнал событий и фильтровать их по различным критериям.

Для связи между управляющей консолью и PDM используется защищенное соединение через SSL, с использованием алгоритмов DES или 3DES.
Идентификация и авторизация администратора осуществляется с использованием логина и пароля, используется либо локальная (на PIX) база данных, либо централизованная - RADUIS или TACACS+.

Новый коммутатор Cisco 3700

Компания Cisco Systems объявила о выходе новой серии стекируемых коммутаторов.

За последние три года технологии коммутации Ethernet развились настолько, что поставили под сомнение целесообразность применения в коммутаторах технологии стекирования.

Действительно, скорость передачи данных по стек-шине практически у всех производителей равнялась 1–2 Гбит/сек. В такой ситуации предпочтительнее вместо фирменной шины использовать стандартный медный порт Gigabit Ethernet, а при надобности пускать поверх него протокол внутристекового обмена. Такое решение и было использовано Cisco в сериях коммутаторов Catalyst 2590 и 3550. Однако в любом случае внутристековые соединения оставались узким местом — суммарная пропускная способность портов даже одного коммутатора в несколько раз превышала пропускную способность шины.
В новой серии 3700 шине возвращена ее исходная роль — быстрого и надежного соединения между коммутаторами. Ее пропускная способность составляет 32 Гбит/сек, а кольцевая структура обеспечивает отказоустойчивость. Это с избытком покрывает потребности стекирования.

Программное обеспечение коммутаторов обеспечивает возможность использования любых функций в пределах всего стека, как если бы стек являлся одним большим коммутатором.
В новом семействе 4 модели. Три из них имеют по 24 порта, одна — 48 портов 10/100Base-TX. Модели с 24 портами имеют 2 порта медного Gigabit Ethernet, 4 слота под SFP GBIC и 2 слота соответственно (основные порты у первых двух моделей – 10/100/1000Base-TX). Модель с 48 портами также имеет 4 слота SFP GBIC.
Применение Small Form-factor Pluggable Gigabit Interface Convertor позволило сэкономить место на передней панели и увеличить число портов Gigabit Ethernet.
Каждая модель доступна в двух вариантах — с ПО Standard Multilayer и Enhanced Multilayer Image — как и в семействе 3550 в EMI они поддерживают коммутацию третьего уровня.

Ниже приведена таблица с описанием новых моделей:

Product	Part Number	Port Speed	Number of Ports	Uplinks	Software Image
Catalyst® 3750-24TS	WS-C3750-24TS-S	10/100	24	2 Small Form-Factor Pluggable (SFP) uplinks	Standard Multilayer Image (SMI) Software
Catalyst 3750-24TS	WS-C3750-24TS-E	10/100	24	2 SFP uplinks	Enhanced Multilayer Image (EMI) Software
Catalyst 3750-48TS	WS-C3750-48TS-S	10/100	48	4 SFP uplinks	SMI
Catalyst 3750-48TS	WS-C3750-48TS-E	10/100	48	4 SFP uplinks	EMI
Catalyst 3750G-24T	WS-C3750G-24T-S	10/100/1000	24	None	SMI
Catalyst 3750G-24T	WS-C3750G-24T-E	10/100/1000	24	None	EMI
Catalyst 3750G-24TS	WS-C3750G-24TS-S	10/100/1000	24	4 SFP uplinks	SMI
Catalyst 3750G-24TS	WS-C3750G-24TS-E	10/100/1000	24	4 SFP uplinks	EMI