mẹo hay Mẹo Hay Hướng dẫn

Tài liệu hướng dẫn xử lý lỗi firewall asa

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN _______________________________

ĐỒ ÁN 5 NGÀNH: CÔNG NGHỆ THÔNG TIN CHUYÊN NGÀNH: MẠNG VÀ TRUYỀN THÔNG TÊN ĐỀ TÀI: TÌM HIỂU FIREWALL TRÊN CÔNG NGHỆ CISCO VÀ DEMO MỘT SỐ ỨNG DỤNG THỰC TIỄN

Nhóm sinh viên:

Phạm Thị Viên Vũ Tiến Dương

GV hướng dẫn:

Vi Hoài Nam

Hưng yên, tháng 11, năm 2011

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

Page 1

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. Giáo viên hướng dẫn

Page 2

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. ............................................................................................................................................. Giáo viên phản biện

Page 3

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

LỜI CẢM ƠN Sau gần 3 tháng nỗ lực tìm hiều và thực hiện, đồ án “ Tìm hiểu Firewall trên công nghệ Cisco và Demo một số ứng dụng thực tiễn” đã được hoàn thành, ngoài sự cố gắng hết mình của bản thân, chúng tôi còn nhận được nhiều sự động viên,khích lệ từ gia đình, thầy cô và bạn bè. Đây là một đề tài khá hay mang tính thiết thực cao. Nhóm chúng tôi đã nghiên cứu và cố gắng thiết kế một hệ thống mạng cho đơn vị hoàn chỉnh nhất bằng hết khả năng của mình. Tuy đã cố gắng hết sức song chắc chắn đề tài này không tránh khỏi những thiết sót. Rất mong nhận được sự thông cảm và chỉ bảo tận tình của các Thầy cô và các bạn. Chúng tôi xin bày tỏ lòng biết ơn chân thành nhất đến Thầy Vi Hoài Nam đã tận tâm chỉ bảo và hướng dẫn tận tình trong suốt thời gian nhóm chúng em thực hiện đề tài này. Chúng tôi cũng xin chân thành cảm ơn quý Thầy cô trong Khoa Công nghệ thông tin, trường Đại học sư phạm kỹ thuật Hưng Yên đã tận tình giảng dạy, hướng dẫn, giúp đỡ và tạo điều kiện cho chúng tôi thực hiện tốt đề tài này. Xin cảm ơn tất cả các bạn bè đã và đang giúp đỡ động viên chúng tôi trong quá trình học tập và hoàn thành đồ án. Mặc dù đã cố gắn hết sức để hoàn thành đồ án này,nhưng chắc chắn sẽ không tránh khỏi những sai sót.Chúng tôi rất mong nhận được sự thông cảm và đóng góp, chỉ bảo tận tình của quý thầy cô và bạn bè! Hưng Yên, ngày 25, tháng 11 năm 2011 Sinh viên thực hiện: Phạm Thị Viên Vũ Tiến Dương

Page 4

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn LỜI MỞ ĐẦU Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ [Hardware, software], mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những Tổ chức sử dụng nó. Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông tin trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm. Người ta đã đưa ra khái niệm FireWall để giải quyết vấn đề này. Cũng có rất nhiều kiểu, và loại firewall nhưng Cisco đưa ra công nghệ bảo mật với firewall rất hữu hiệu Để làm rõ các vấn đề này thì đồ án “Tìm hiểu friewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn ” sẽ cho chúng ta cái nhìn sâu hơn về khái niệm, cũng như chức năng, cách thức bảo mật cụ thể của Firewall Cisco. Một lần nữa nhóm tôi xin chân thành cảm ơn thầy Vi Hoài Nam và các thầy cô khoa CNTT đã hướng dẫn nhóm tôi hoàn thành đồ án của mình!

Mục tiêu

Page 5

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Đồ án này sẽ giúp cho chúng ta biết được các khái niệm cũng như chức năng Firewall. Giúp ta biết sâu hơn về các chính sách bảo mạt Firewall của Cisco cụ thể như thế nào? Cấu hình chúng ra sao. II. Phương pháp nghiên cứu • Đọc kỹ và nắm bắt được các yêu cầu của đồ án đề ra. Phương pháp thiết yếu nhất trong đồ án này đó là kỹ năng đọc, dịch và hiểu tài liệu Tiếng Anh •

• Đi sâu trong việc tìm kiếm tài liệu và trình bày một cách hợp lý nhất. • Chăm chú lắng nghe và tiếp thu những ý kiến đóng góp của giáo viên hướng dẫn. III. Bố cục * Nội dung của đồ án này được chia làm 3 chương như sau: •

Chương 1: Ta tìm hiểu về tổng quan Firewall.

•

Chương 2: Các vấn đề bảo mật

•

Chương 3: Tìm hiểu sâu vào tìm hiểu Firewall của Cisco

•

Chương 4: Tổng quan về VPNs

•

Chương 5: Demo một số mô hình ứng dụng trong thực tế

Page 6

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

MỤC LỤC LỜI CẢM ƠN............................................................................................................ 4 LỜI MỞ ĐẦU............................................................................................................ 5 MỤC LỤC................................................................................................................. 7 DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU....................................................................10 DANH MỤC CÁC TỪ VIẾT TẮT.................................................................................12 1.1. KHÁI NIỆM VỀ FIREWALL...............................................................................13 1.1.1. Tại sao phải sử dụng một Firewall cho mạng máy tính kết nối Internet?......................13 1.1.2. Sự ra đời của Firewall .......................................................................................................14 1.1.3. Mục đích của Firewall .......................................................................................................15 1.1.4. Các lựa chọn Firewall........................................................................................................19 1.1.4.1. Firewall phần cứng...........................................................................19 1.1.4.2. Firewall phần mềm.........................................................................................................20 1.2. CHỨC NĂNG CỦA FIREWALL ........................................................................21 1.2.1. Firewall bảo vệ những vấn đề gì? .....................................................................................21 1.2.2. Firewall bảo vệ chống lại những vấn đề gì? ....................................................................21 1.2.2.1. Chống lại việc Hacking ....................................................................21 1.2.2.2. Chống lại việc sửa đổi mã................................................................21 1.2.2.3. Từ chối các dịch vụ đính kèm...........................................................22 1.2.2.4. Tấn công trực tiếp............................................................................22 1.2.2.5. Nghe trộm .......................................................................................22 1.2.2.6. Vô hiệu hoá các chức năng của hệ thống [Deny service]..................22 1.2.2.7. Lỗi người quản trị hệ thống..............................................................23 1.2.2.8. Yếu tố con người..............................................................................23 1.3. MÔ HÌNH VÀ KIẾN TRÚC CỦA FIREWALL........................................................23 1.3.1. Kiến trúc Dual - Homed host [máy chủ trung gian]........................................................24 1.3.2. Kiến trúc Screend Host .....................................................................................................25 1.3.3. Kiến trúc Screened Subnet................................................................................................27 Page 7

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn 1.4. PHÂN LOẠI FIREWALL...................................................................................28 1.4.1. Packet Filtering Firewall ..................................................................................................28 1.4.2. Application-proxy firewall ................................................................................................30 1.5. MỘT SỐ VẤN ĐỀ KHI LỰA CHỌN MỘT FIREWALL ..........................................31 1.5.1. Sự cần thiết của Firewall ..................................................................................................31 1.5.2. Firewall điều khiển và bảo vệ gì ?.....................................................................................31 1.6. NHỮNG HẠN CHẾ CỦA FIREWALL..................................................................32 2.1. Nguyên tắc bảo vệ hệ thống mạng...............................................................35 2.1.1. Hoạch định hệ thống bảo vệ mạng....................................................................................35 2.1.2. Mô hình bảo mật................................................................................................................36 2.1.3. Nâng cao mức độ bảo mật.................................................................................................36 2.2. Kiến trúc bảo mật của hệ thống mạng..........................................................37 2.2.1. Các mức an toàn thông tin trên mạng..............................................................................37 2.2.2. Ảnh hưởng của các lỗ hổng mạng.....................................................................................38 CHƯƠNG 3. FIREWALL CISCO...............................................................................39 3.3 Tổng quan về NAT.......................................................................................53 3.3.1 Địa chỉ Private.....................................................................................................................53 3.3.2 Nhu cầu của NAT................................................................................................................54 3.3.3 Lợi ích của NAT.................................................................................................................55 3.3.4 Thuật ngữ và định nghĩa NAT...........................................................................................55 3.3.5 Một vài ví dụ điển hình NAT.............................................................................................56 3.4.2 Cấu hình NAT tĩnh.............................................................................................................69 3.4.2 Cấu hình PAT tĩnh .............................................................................................................71 3.5 Access Control.............................................................................................72 3.6 Web content................................................................................................80 3. 7 Khời tạo các chính sách bảo mật trên ASA...................................................88 3.8 Các chức năng nâng cao của ASA ...............................................................93 CHƯƠNG 4. VPNs.................................................................................................110 4.1 IPSec là gì?.................................................................................................110 Page 8

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn 4.2 Cách làm việc của IPSec.............................................................................111 4.3 Các loại kết nối:..........................................................................................111 4.4 Hướng dẫn cấu hình...................................................................................113 4.4.4 Cấu hình anyconnect webvpn...........................................................................................125 KẾT LUẬN............................................................................................................135 TÀI LIỆU THAM KHẢO...........................................................................................137

Page 9

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

DANH MỤC CÁC HÌNH VẼ, BẢNG BIỂU

SỐ HIỆU

MÔ TẢ

TRANG

Hình 1.1

Firewall được đặt ở giữa mạng riêng và mạng công cộng

Hình 1.2

Mạng gồm có Firewall và các máy chủ

Hình 1.3

Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật

Hình 1.4

Kiến trúc của hệ thống sử dụng Firewall

Hình 1.5

Cấu trúc chung của một hệ thống Firewall

Hình 1.6

Kiến trúc Dual - Homed host

Hình 1.7

Kiến trúc Screened host

Hình 1.8

Kiến trúc Screened Subnet

Hình 1.9

Packet filtering firewall

Hình 1.10

Circuit level gateway

Hình 1.11

Application-proxy firewall

Hình 2.1

Các mức an toàn thông tin trên mạng

Hình 2.2

Cấu hình từ chối một host theo standard -accesslist

Hình 2.3

Cấu hình từ chối telnet từ subnet

Hình 3.15

Ví dụ về chính sách NAT

Hình 3.16

Ví dụ chính sách xác định NAT

Hình 3.17

Ví dụ cấu hình NAT tĩnh

Hình 3.18

Ví dụ PAT tĩnh

Hình 3.19

ví dụ về NAT với 2 interface

Hình 3.20

Ví dụ NAT với mô hình 3 interfaces

Hình 3.21

Thay đổi proxy

Hình 3.22

Ví dụ về cấu hình WCCP

Page 10

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.23

mô hình Active/Standby Stateful Failover

Hình 3.24

Mô hình chứng thực của ASA

Hình 3.25

Chứng thực bằng Cut-through-Proxy cho kết nối Telnet,FTP,HTTP[S]

Hình 3.26 [a]

Định tuyến tĩnh

101

Hình 3.27 [b]

Định tuyến tĩnh

103

Hình 3.28

Mô hình sử dụng RIP với một mạng nhiều Router

105

Hình 4.1

mô hình site-to-site

110

Hình 4.2

Mô hình Access VPN

111

Hình 4.3

Bước 8 cấu hình client sortware

120

Hình 4.4

cài đặt VPN client

135

Hình 4.5

Lưu cấu hình cài đặt VPN client

121

Hình 4.6

khởi tạo kết nối Remote Access VPN

121

Hình 4.7

Đăng nhập để chứng thực

122

Hình 4.8

Mô hình Active/Standby

123

Hình 4.9

Hoạt động của AnyConnect VPN

125

Hình 4.10

Cấu hình AnyConnect

126

Hình 4.11

Truy cập ASA

132

Hình 4.12 [a]

Thiết lập kết nối SSL VPN

133

Hình 4.12[b]

Thiết lập kết nối SSL VPN

133

Bảng 3.1

Tham số lệnh Match Class map mặc định

Bảng 3.2

Lệnh match cho kiểm soát lưu lượng mặc định

Bảng 4.1

Các Trasform

115

Bảng 4.2

Thông tin dữ liệu được mã hóa

117

Page 11

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn DANH MỤC CÁC TỪ VIẾT TẮT

SỐ HIỆU

CỤM TỪ

VIẾT TẮT

Network Interface Controller

NIC

Internet Protocol

Local Area Network

LAN

Demilitarized Zone

DMZ

File Transfer Protocol

FTP

Open Systems Interconnection

OSI

Transmission Control Protocol

TCP

Asymmetric Digital Subscriber Line

Domain Name System

DNS

Internet Security and Acceleration

ISA

Virtual Private Network

VPN

Network Address Translation

NAT

Wide Area Network

WAN

Operating System

Post Office Protocol

POP

Access Con trol List

ACL

Adaptive Security Appliance

ASA

Internet Control Message Protocol

ICMP

User Datagram Protocol

UDP

port Address Translation

PAT

Authentication Authorization Accounting

AAA

Virtual Private Network

VPNs

IP security

IPsec

Page 12

ADSL

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

CHƯƠNG 1. TỔNG QUAN VỀ FIREWALL

1.1. KHÁI NIỆM VỀ FIREWALL 1.1.1. Tại sao phải sử dụng một Firewall cho mạng máy tính kết nối Internet? Internet ra đời đã đem lại nhiều lợi ích rất lớn cho con người, nó là một trong những nhân tố hàng đầu góp phần vào sự phát triển nhanh chóng của cả thế giới và có thể nói Internet đã kết nối mọi người tới gần nhau hơn. Chính vì một khả năng kết nối rộng rãi như vậy mà các nguy cơ mất an toàn của mạng máy tính rất lớn. Đó là các nguy cơ bị tấn công của các mạng máy tính, tấn công để lấy dữ liệu, tấn công nhằm mục đích phá hoại làm tê liệt cả một hệ thống máy tính lớn, tấn công thay đổi cơ sở dữ liệu …Trước những nguy cơ đó, vấn đề đảm bảo an toàn cho mạng máy tính trở nên rất cấp thiết và quan trọng hơn bao giờ hết. Các nguy cơ bị tấn công ngày càng nhiều và ngày càng tinh vi hơn, nguy hiểm hơn. Đã có nhiều giải pháp bảo mật cho mạng máy tính được đưa ra như dùng các phần mềm, chương trình để bảo vệ tài nguyên, tạo những tài khoản truy xuất mạng đòi hỏi có mật khẩu … nhưng những giải pháp đó chỉ bảo vệ một phần mạng máy tính mà thôi, một khi những kẻ phá hoại mạng máy tính đã thâm nhập sâu hơn vào bên trong mạng thì có rất nhiều cách để phá hoại hệ thống mạng. Vì vậy đã đặt ra một yêu cầu là phải có những công cụ để chống sự xâm nhập mạng bất hợp pháp ngay từ bên ngoài mạng, đó chính là nguyên nhân dẫn tới sự ra đời của Firewall [Tường lửa]. Một Firewall có thể lọc các lưu lượng Internet nguy hiểm như hacker, các loại sâu, và một số loại virus trước khi chúng có thể gây ra trục trặc trên hệ thống. Ngoài ra, Firewall có thể giúp cho máy tính tránh tham gia các cuộc tấn công vào các máy tính khác mà không hay biết. Việc sử dụng một Firewall là cực kỳ quan trọng đối với các máy tính luôn kết nối Internet, như trường hợp có một kết nối băng thông rộng hoặc kết nối DSL/ADSL.

Page 13

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Trên Internet, các tin tặc sử dụng mã hiểm độc, như là các virus, sâu và Trojan, để tìm cách phát hiện những cửa không khóa của một máy tính không được bảo vệ. Một tường lửa có thể giúp bảo vệ máy tính khỏi bị những hoạt động này và các cuộc tấn công bảo mật khác. Vậy một tin tặc có thể làm gì? Tùy thuộc vào bản chất của việc tấn công. Trong khi một số chỉ đơn giản là sự quấy rầy với những trò đùa nghịch đơn giản, một số khác được tạo ra với những ý định nguy hiểm. Những loại nghiêm trọng hơn này tìm cách xóa thông tin từ máy tính, phá hủy nó, hoặc thậm chí ăn căp thông tin cá nhân, như là các mật khẩu hoặc số thẻ tín dụng. Một số tin tặc chỉ thích đột nhập vào các máy tính dễ bị tấn công. Các virus, sâu và Trojan rất đáng sợ. May mắn là có thể giảm nguy cơ lây nhiễm bằng cách sử dụng một Firewall. 1.1.2. Sự ra đời của Firewall Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế [Mechanism] để bảo vệ mạng tin tưởng [Trusted network] khỏi các mạng không tin tưởng [Untrusted network]. Thông thường Firewall được đặt giữa mạng bên trong [Intranet] của một công ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài [Internet] và cấm truy nhập từ bên trong [Intranet] tới một số địa chỉ nhất định trên Internet. Internet FireWall là một tập hợp thiết bị [bao gồm phần cứng và phần mềm] giữa mạng của một tổ chức, một công ty, hay một quốc gia [Intranet] và Internet: [INTRANET - FIREWALL - INTERNET] Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như một mạng cục bộ sử dụng Firewall để ngăn cách phòng máy và hệ thống mạng ở tầng dưới.

Page 14

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Một Firewall Internet có thể giúp ngăn chặn người ngoài trên Internet không xâm nhập được vào máy tính. Một Firewall làm việc bằng cách kiểm tra thông tin đến và ra Internet. Nó nhận dạng và bỏ qua các thông tin đến từ một nơi nguy hiểm hoặc có vẻ nghi ngờ. Nếu bạn cài đặt Firewall của bạn một cách thích hợp, các tin tặc tìm kiếm các máy tính dễ bị tấn công không thể phát hiện ra máy tính. Firewall là một giải pháp dựa trên phần cứng hoặc phần mềm dùng để kiểm tra các dữ liệu. Một lời khuyên là nên sử dụng firewall cho bất kỳ máy tính hay mạng nào có kết nối tới Internet. Đối với kết nối Internet băng thông rộng thì Firewall càng quan trọng, bởi vì đây là loại kết nối thường xuyên bật [always on] nên những tin tặc sẽ có nhiều thời gian hơn khi muốn tìm cách đột nhập vào máy tính. Kết nối băng thông rộng cũng thuận lợi hơn cho tin tặc khi được sử dụng để làm phương tiện tiếp tục tấn công các máy tính khác. 1.1.3. Mục đích của Firewall Với Firewall, người sử dụng có thể yên tâm đang được thực thi quyền giám sát các dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống khác. Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông hành" của bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người sử dụng, chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ. Các giải pháp Firewall là thực sự cần thiết, xuất phát từ chính cách thức các dữ liệu di chuyển trên Internet. Giả sử gửi cho người thân của mình một bức thư thì để bức thư đó được chuyển qua mạng Internet, trước hết phải được phân chia thành từng gói nhỏ. Các gói dữ liệu này sẽ tìm các con đường tối ưu nhất để tới địa chỉ người nhận thư và sau đó lắp ráp lại [theo thứ tự đã được đánh số trước đó] và khôi phục nguyên dạng như ban đầu. Việc phân chia thành gói làm đơn giản hoá việc chuyển dữ liệu trên Internet nhưng có thể dẫn tới một số vấn đề. Nếu một người nào đó với dụng ý không tốt gửi tới một số gói dữ liệu, nhưng lại cài bẫy làm cho máy tính của không biết cần phải xử lý các gói dữ liệu này như thế nào hoặc làm cho các gói dữ liệu lắp ghép theo thứ tự sai, thì có thể nắm quyền kiểm soát từ xa đối với máy tính của và gây nên những vấn đề

Page 15

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn nghiêm trọng. Kẻ nắm quyền kiểm soát trái phép sau đó có thể sử dụng kết nối Internet của để phát động các cuộc tấn công khác mà không bị lộ tung tích của mình. Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn. Chức năng kiểm soát các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những kẻ xâm nhập trái phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn công cửa sau tới những máy tính khác trên mạng Internet.

Hình 1.1. Firewall được đặt ở giữa mạng riêng và mạng công cộng Một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng, giao diện chung kết nối với Internet, là phía mà mọi người có thể truy cập, giao diện riêng là phía mà chứa các dữ liệu được bảo vệ. Trên một Firewall có thể có nhiều giao diện riêng tuỳ thuộc vào số đoạn mạng cần được tách rời. Ứng với mỗi giao diện có một bộ quy tắc bảo vệ riêng để xác định kiểu lưu thông có thể qua từ những mạng chung và mạng riêng. Page 16

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợi và khó khăn. Thông thường nhà quản trị mạng sử dụng Firewall như một thiết bị đầu nối VPN, máy chủ xác thực hoặc máy chủ DNS. Tuy nhiên như bất kì một thiết bị mạng khác, nhiều dịch vụ hoạt động trên cùng một máy chủ thì các rủi ro càng nhiều .Do đó, một Firewall không nên chạy nhiều dịch vụ. Firewall là lớp bảo vệ thứ hai trong hệ thống mạng, lớp thứ nhất là bộ định tuyến ở mức định tuyến sẽ cho phép hoặc bị từ chối các địa chỉ IP nào đó và phát hiện những gói tin bất bình thường. Firewall xem những cổng nào là được phép hay từ chối. Firewall đôi lúc cũng hữu ích cho những đoạn mạng nhỏ hoặc địa chỉ IP riêng lẻ. Bởi vì bộ định tuyến thường làm việc quá tải, nên việc sử dụng bộ định tuyến để lọc ra bộ định tuyến IP đơn, hoặc một lớp địa chỉ nhỏ có thể tạo ra một tải trọng không cần thiết. Firewall có ích cho việc bảo vể những mạng từ những lưu lượng không mong muốn. Nếu một mạng không có các máy chủ công cộng thì Firewall là công cụ rất tốt để từ chối những lưu lượng đi vào, những lưu lượng mà không bắt đầu từ một máy ở sau Firewall, Một Firewall cũng có thể được cấu hình để từ chối tất cả các lưu lượng ngoại trừ cổng 53 đã dành riêng cho máy chủ DNS.

Page 17

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 1.2. Mạng gồm có Firewall và các máy chủ Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một tập hợp các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa vào. Đây cũng có thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu hoặc không đầy đủ có thể mở lối cho kẻ tấn công, và mạng có thể không được an toàn. Nhiều nhà quản trị mạng không nghĩ rằng Firewall hoạt động như một thiết bị mạng phức tạp. Người ta quan tâm nhiều đến việc giữ lại những lưu lượng không mong muốn đến mạng riêng, ít quan tâm đến việc giữ lại những lưu lượng không mong muốn đến mạng công cộng. Nên quan tâm đến cả hai kiểu của tập các quy luật bảo vệ. Nếu một kẻ tấn công muốn tìm cách xâm nhập vào một máy chủ, chúng không thể sử dụng máy chủ đó để tấn công vào các thiết bị mạng ở xa.

Page 18

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Để bảo vệ và giúp cho các lưu lượng bên trong đoạn mạng các nhà quản lý thường chạy hai bộ Firewall, bộ thứ nhất để bảo vệ toàn bộ mạng, và bộ còn lại để bảo vể các đoạn mạng khác. Nhiều lớp Firewall cũng cho phép các nhà quản trị an toàn mạng kiểm soát tốt hơn những dòng thông tin, đặc biệt là các cơ sở bên trong và bên ngoài công ty phải xử lý các thông tin nhảy cảm. Các hoạt động trao đổi thông tin có thể cho phép trên phần nào đó của mạng thì có thể bị giới hạn trên những vùng nhạy cảm hơn.

Hình 1.3. Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật 1.1.4. Các lựa chọn Firewall Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn: Firewall phần cứng và Firewall phần mềm. 1.1.4.1. Firewall phần cứng Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn. Firewall phần cứng cũng có một ưu điểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm. Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ, đặc biệt cho những công ty có chia sẻ kết nối Internet. Có thể kết hợp Firewall và một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thống này để bảo vệ cho toàn bộ mạng. Firewall phần cứng có thể là một lựa chọn đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng. Page 19

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Trong số các công ty cung cấp Firewall phần cứng có thể kể tới Linksys [//www.linksys.com] và NetGear [//www.netgear.com]. Tính năng Firewall phần cứng do các công ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh nghiệp nhỏ và mạng gia đình. 1.1.4.2. Firewall phần mềm Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụng Firewall phần mềm. Về giá cả, Firewall phần mềm thường không đắt bằng firewall phần cứng, thậm chí một số còn miễn phí [phần mềm Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …] và bạn có thể tải về từ mạng Internet. So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng của từng công ty. Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trong mạng có qui mô nhỏ. Firewall phần mềm cũng là một lựa chọn phù hợp đối với máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tính đi bất kỳ nơi nào. Các Firewall phần mềm làm việc tốt với Windows 98, Windows ME và Windows 2000. Chúng là một lựa chọn tốt cho các máy tính đơn lẻ. Các công ty phần mềm khác làm các tường lửa này. Chúng không cần thiết cho Windows XP bởi vì XP đã có một tường lửa cài sẵn. * Ưu điểm: -

Không yêu cầu phần cứng bổ sung.

Không yêu cầu chạy thêm dây máy tính.

Một lựa chọn tốt cho các máy tính đơn lẻ.

* Nhược điểm: -

Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí.

Việc cài đặt và và đặt cấu hình có thể cần để bắt đầu.

Cần một bản sao riêng cho mỗi máy tính.

Page 20

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn 1.2. CHỨC NĂNG CỦA FIREWALL FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. 1.2.1. Firewall bảo vệ những vấn đề gì? Bảo vệ dữ liệu: Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Những thông tin cần được bảo vệ do những yêu cầu sau: -

Bảo mật: Một số chức năng của Firewall là có thể cất giấu thông tin mạng

tin cậy và nội bộ so với mạng không đáng tin cậy và các mạng bên ngoài khác. Firewall cũng cung cấp một mũi nhọn trung tâm để đảm bảo sự quản lý, rất có lợi khi nguồn nhân lực và tài chính của một tổ chức có giới hạn. -

Tính toàn vẹn.

Tính kịp thời.

Tài nguyên hệ thống. Danh tiếng của công ty sở hữu các thông tin cần bảo vệ. 1.2.2. Firewall bảo vệ chống lại những vấn đề gì? FireWall bảo vệ chống lại những sự tấn công từ bên ngoài. 1.2.2.1. Chống lại việc Hacking Hacker là những người hiểu biết và sự dụng máy tính rất thành thạo và là những người lập trình rất giỏi. Khi phân tích và khám phá ra các lổ hổng hệ thống nào đó, sẽ tìm ra những cách thích hợp để truy cập và tấn công hệ thống. Có thể sử dụng các kỹ năng khác nhau để tấn công vào hệ thống máy tính. Ví dụ có thể truy cập vào hệ thống mà không được phép truy cập và tạo thông tin giả, lấy cắp thông tin. Nhiều công ty đang lo ngại về dữ liệu bảo mật bị đánh cắp bởi các hacker. Vì vậy, để tìm ra các phương pháp để bảo vệ dữ liệu thì Firewall có thể làm được điều này. 1.2.2.2. Chống lại việc sửa đổi mã Khả năng này xảy ra khi một kẻ tấn công sửa đổi, xóa hoặc thay thế tính xác thực của các đoạn mã bằng cách sử dụng virus, worm và những chương trình có chủ tâm. Khi tải file trên internet có thể dẫn tới download các đọan mã có dã tâm, thiếu kiến thức về

Page 21

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn bảo mật máy tính, những file download có thể thực thi những quyền theo mục đích của những người dùng trên một số trang website. 1.2.2.3. Từ chối các dịch vụ đính kèm Từ chối dịch vụ là một loại ngắt hoạt động của sự tấn công. Lời đe dọa tới tính liên tục của hệ thống mạng là kết quả từ nhiều phương thức tấn công giống như làm tràn ngập thông tin hay là sự sửa đổi đường đi không được phép. Bởi thuật ngữ làm tràn ngập thông tin, là một người xâm nhập tạo ra môt số thông tin không xác thực để gia tăng lưu lượng trên mạng và làm giảm các dịch vụ tới người dùng thực sự. Hoặc một kẻ tấn công có thể ngắm ngầm phá hoại hệ thống máy tính và thêm vào phần mềm có dã tâm, mà phần mềm này sẽ tấn công hệ thống theo thời gian xác đinh trước. 1.2.2.4. Tấn công trực tiếp Cách thứ nhất: là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ … và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là Crack. Cách thứ hai: là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập [có được quyền của người quản trị hệ thống]. 1.2.2.5. Nghe trộm Có thể biết được tên, mật khẩu, các thông tin truyền qua mạng thông qua các chương trình cho phép đưa giao tiếp mạng [NIC] vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng. 1.2.2.6. Vô hiệu hoá các chức năng của hệ thống [Deny service] Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho thực hiện các chức năng được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.

Page 22

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn 1.2.2.7. Lỗi người quản trị hệ thống Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống. Đối với người dùng cá nhân, không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin cho mỗi cá nhân. Qua đó, tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker. Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn. 1.2.2.8. Yếu tố con người Với những tính cách chủ quan và không hiểu rõ tầm quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker. * Ngoài ra thì còn dùng Firewall để chống lại sự “ giả mạo địa chỉ IP “. 1.3. MÔ HÌNH VÀ KIẾN TRÚC CỦA FIREWALL Kiến trúc của hệ thống sử dụng Firewall như sau:

FIRE WA L L

The In te rn e t In te rn e t ro u te r

S erver

Router S erver

Com puter Com puter

Com puter

Hình 1.4. Kiến trúc của hệ thống sử dụng Firewall

Page 23

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Các hệ thống Firewall đều có điểm chung ở các cấu trúc cụ thể như sau:

Trong đó: -

Screening Router: là chặng kiểm soát đầu tiên cho LAN.

DMZ: là vùng có nguy cơ bị tấn công từ internet.

Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi

liên lạc, thực thi các cơ chế bảo mật. -

IF1 [Interface 1]: là card giao tiếp với vùng DMZ.

IF2 [Interface 2]: là card giao tiếp với vùng mạng LAN.

FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng

LAN ra internet là tự do. Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server. -

Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng

có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực Hình 1.5. Cấu trúc chung của một hệ thống Firewall thông qua Authentication server. -

Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật

xác thực mạnh như one-time password/token [mật khẩu sử dụng một lần]. Tất cả các Firewall đều có chung một thuộc tính là cho phép phân biệt đối xử hay khả năng từ chối truy nhập dựa trên các địa chỉ nguồn. Nhờ mô hình Firewall mà các máy chủ dịch vụ trong mạng LAN được bảo vệ an toàn, mọi thôn tin trao đổi với internet đều được kiểm soát thông qua gateway. 1.3.1. Kiến trúc Dual - Homed host [máy chủ trung gian] Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máy tính Dualhomed host. Một máy tính được gọi là Dual-homed host nếu có ít nhất hai Network interfaces, có nghĩa là máy đó có gắn hai card mạng giao tiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là router phần mềm. Kiến trúc Dual-homed host rất Page 24

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn đơn giản. Dual-homed host ở giữa, một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ [LAN]. Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền [proxy] chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homes host. Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm, Dual-homed host là nơi giao tiếp duy nhất.

Internet Rem ote Us er

Firewall

Dual-hom ed host

Internal network

Us er

Hình 1.6. Kiến trúc Dual - Homed host

1.3.2. Kiến trúc Screend Host Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiến trúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng một router tách rời với mạng bên ngoài. Trong kiểu kiến trúc này, bảo mật chính là phương pháp Packet Filtering. Bastion host được đặt bên trong mạng nội bộ, Packet Filtering được cài trên router. Theo cách này, Bastion host là hệ thống duy nhất trong mạng nội bộ mà những host trên Internet có thể kết nối tới. Mặc dù vậy, chỉ những kiểu kết nối phù hợp [được thiết lập trong Bastion host] mới được phép kết nối. Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc các dịch vụ bên trong đều phải kết nối tới host này. Page 25

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Vì thế, Bastion host là host cần phải được duy trì ở chế độ bảo mật cao. Packet Filtering cũng cho phép Bastion host có thể mở kết nối ra bên ngoài. Cấu hình của packet filtering trên screening router như sau : -

Cho phép tất cả các host bên trong mở kết nốt tới host bên ngoài thông qua

một số dịch vụ cố định. -

Không cho phép tất cả các kết nối từ host bên trong [cấm những host này

sử dụng dịch vụ proxy thông qua Bastion host]. -

Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau.

Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.

Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.

Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bên trong, nó dường như nguy hiểm hơn kiến trúc Dual-homed host, vì thế nó được thiết kế để không một packet nào có thể tới được mạng bên trong. Tuy nhiên trên thực tế thì kiến trúc Dual-homes host đôi khi cũng có lỗi mà cho phép một packet thật sự đi từ bên ngoài vào bên trong [bởi vì những lỗi này hoàn toàn không biết trước, nó hầu như không được bảo vệ để chống lại những kiểu tấn công này] . Hơn nữa, kiến trúc Dual-homes host thì dễ dàng bảo vệ router [là máy cung cấp rất ít các dịch vụ] hơn là bảo vệ các host bên trong mạng. Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc Dual-homed host. So sánh với mộ số kiến trúc khác, chẳn hạn như kiến trúc Screened subnet thì kiến trúc Screened host có một số bất lợi. Bất lợi chính là nếu kẻ tấn công tìm cách xâm nhập Bastion host thì không có cách nào để ngăn tách giữa Bastion host và các host còn lại bên trong mạng nội bộ. Router cũng có một số điểm yếu là nếu router bị tổn thương, toàn bộ mạng sẽ bị tấn công. Vì lý do này mà Screened subnet trở thành kiến trúc phổ biến nhất.

Page 26

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Internet RemoteUser

Firewall

Screening Router

Internal network

User

BastionHost

User

Hình 1.7. Kiến trúc Screened host 1.3.3. Kiến trúc Screened Subnet Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lược phòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, tách bastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bị tổn thương, người ta đưa ra kiến trúc Firewall có tên là Screened subnet. Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host bằng cách thêm vào phần an toàn: mạng ngoại vi [perimeter network] nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thông thường khác. Kiểu Screen subnet đơn giản bao gồm hai screened router: -

Router ngoài [External router còn gọi là access router]: nằm giữa mạng

ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi [bastion host, interior router]. Nó cho phép ngững gì outbound từ mạng ngoại vi. Một số quy tắc packet filtering đặc biệt được cài ở mức cần thiết đủ để bảo vệ bastion host và interior router vì bastion host còn là host được cài đặt an toàn ở mức cao. Ngoài các quy tắc đó, các quy tắc khác cần giống nhau giữa hai router. -

Router trong [Interior router còn gọi là choke router]: nằm giữa mạng

ngoại vi và mạng nội bộ, nhằm bảo vệ mạng nôi bộ trước khi ra ngoài và mạng ngoại vi. Nó không thực hiện hết các quy tắc packet filtering của toàn bộ firewall. Các dịch vụ mà interior router cho phép giữa bastion host và mạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giống nhau. Giới Page 27

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượng máy [số lượng dịch vụ trên các máy này] có thể bị tấn công khi bastion host bị tổn thương và thỏa hiệp với bên ngoài. Chẳng hạn nên giới hạn các dịch vụ được phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bên ngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và email server bên trong. Internet

Bastion Host

ExteriorRouter PerimeterNetwork InteriorRouter

Internal Network

User

Hình 1.8. Kiến trúc Screened Subnet 1.4. PHÂN LOẠI FIREWALL Hiện nay có nhiều loại Firewall, để tiện cho quá trình nghiên cứu và phát triển, người ta chia Firewall ra làm hai loại chính bao gồm: -

Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bên trong mạng và bên ngoài mạng có kiểm soát.

Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữa các máy khách và các host.

1.4.1. Packet Filtering Firewall Đây là kiểu Firewall thông dụng hoạt động dựa trên mô hình OSI mức mạng. Firewall mức mạng thường hoạt động theo nguyên tắc router hay còn được gọi là router, tức là tạo ra các luật lệ về quyền truy cập mạng dựa trên mức mạng. Mô hình này hoạt động theo nguyên tắc lọc gói tin. Ở kiểu hoạt động này các gói tin đều được kiểm

Page 28

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn tra địa chỉ nguồn nơi chúng xuất phát. Sau khi địa chỉ IP nguồn được xác định, nó sẽ tiếp tục được kiểm tra với các luật đã đặt ra trên router. Với phương thức hoạt động như vậy, các Firewall hoạt động ở lớp mạng có tốc độ xử lý nhanh vì nó chỉ kiểm tra địa chỉ IP nguồn mà không cần biết địa chỉ đó là địa chỉ sai hay bị cấm. Đây chính là hạn chế của kiểu Firewall này vì nó không đảm bảo tính tin cậy. Lỗ hổng của kiểu Firewall này là nó chỉ sử dụng địa chỉ IP nguồn để làm chỉ thị. Khi một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ vượt qua được một số mức truy nhập để vào bên trong mạng. Firewall kiểu packet filtering chia làm hai loại: -

Packet filtering firewall: Hoạt động tại lớp mạng [Network Layer] của mô hình OSI. Các luật lọc gói tin dựa trên các trường trong IP header, transport header, địa chỉ IP nguồn và địa chỉ IP đích …

S e c u ri t y p e ri m e t e r P ri v a t e N e t w o rk

I n t e rn e t P a c ke t f i l t e ri n g ro u te r

Hình 1.9. Packet filtering firewall

Circuit level gateway: Hoạt động tại lớp phiên [Session Layer] của mô hình OSI. Mô hình này không cho phép các kết nối end to end.

Page 29

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

C i rcu i t l e v e l g a te w a y o u tsi d e c o n n e c ti o n out

Ou ts i d e h o s t

out

i n si d e c o n n e cti o n In s i d e h o s t

Hình 1.10. Circuit level gateway

1.4.2. Application-proxy firewall Khi mộ kết nối từ một người dùng nào đó đến mạng sử dụng Firewall kiểu này thì kết nối đó sẽ bị chặn lại, sau đó Firewall sẽ kiểm tra các trường có liên quan của gói tin yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các luật đặt ra trên Firewall thì Firewall sẽ tạo mộ cầu kết nối cho gói tin đi qua. * Ưu điểm: -

Không có chức năng chuyển tiếp các gói tin IP.

Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall.

Đưa ra công cụ cho phép ghi lại quá trình kết nối.

* Nhược điểm: -

Tốc độ xử lý khá chậm.

Sự chuyển tiếp các gói tin IP khi mộ máy chủ nhận được mộ yêu cầu từ mạng ngoài rồi chuyển chúng vào mạng trong chính là lỗ hổng cho hacker xâm nhập.

Kiểu firewallnày hoạt động dựa trên ứng dựng phần mềm nên phải tạo cho mỗi dịch vụ trên mạng một trình ứng dựng uỷ quyền [proxy] trên Firewall [Ex. Ftp proxy, Http proxy].

* Firewall kiểu Application- proxy chia thành hai loại:

Page 30

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Applicatin level gateway: Hoạt động ở lớp ứng dụng [Application Layer] trong mô hình TCP/IP. Application level gateway outside connection Outsidehost

TELNET FTP

inside connection Insidehost

SMTP HTTP

Hình 1.11. Application-proxy firewall -

Stateful multilayer inspection firewall: Đây là loại Firewall kết hợp được tính năng của các loại Firewall trên, mô hình này lọc các gói tin tại lớp mạng và kiểm tra nội dung các gói tin tại lớp ứng dụng. Loại Firewall này cho phép các kết nối trực tiếp giữa client và host nên giảm thiểu được lỗi, nó cung cấp các tính năng bảo mật cao và trong suốt đối với End Users.

1.5. MỘT SỐ VẤN ĐỀ KHI LỰA CHỌN MỘT FIREWALL 1.5.1. Sự cần thiết của Firewall Giải quyết đến thực thi vấn đề Firewall sẽ không xảy ra nếu không nghiên cứu và phân tích. Giải quyết đến vấn đề thực thi Firewall sẽ dựa những đòi hỏi phải định danh và chứng minh. Bởi vì thực thi của Firewall không được định danh như hướng giải quyết của những tổ chức khác. Tạo ra những Firewall dựa vào quy mô nhỏ, những ý nghĩa không thể tạo ra được bởi lổ hổng an ninh và cơ chế gây ra những vấn đề mạng lưới nhiều hơn là thực hiện Firewall. 1.5.2. Firewall điều khiển và bảo vệ gì ? Để tạo ra một Firewall thì phải định danh cho được chức năng nào của Firewall sẽ cần để thực hiện. Nó sẽ điều khiển truy cập đến từ mạng lưới nào, hay nó sẽ bảo vệ những dịch vụ và người sử dụng nào. Firewall điều khiển gì ? -

Truy cập vào mạng.

Truy cập ngoài mạng.

Page 31

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn -

Truy cập trong những mạng lưới bên trong, những lĩnh vực hay những công trình kiến trúc.

Truy cập những nhóm đặt trưng, nhũng người sử dụng hoặc địa chỉ.

Truy cập đến những tài nguyên cụ thể hoặc những dịch vụ.

Firewall cần bảo vệ cái gì? -

Những mạng lưới hoặc bộ điều khiển đặc biệt.

Dịch vụ đặc biệt.

Thông tin riêng tư hoặc công cộng.

Người sử dụng.

Sau khi nhận ra được Firewall cần để bảo vệ và điều khiển cái gì, quyết định điều gì có thể xảy ra liên tục với sự bảo vệ và điểu khiển này. Điều gì sẽ xảy ra khi người sử dụng truy cập đến những trang mà không có quyền truy cập. Điều này sẽ xảy ra nếu dịch vụ không được bảo vệ và thông tin không được bảo mật tốt. Có phải sự rủi ro của việc điều khiển hoặc bảo vệ đủ cho bước kế tiếp trong ước lượng thì cần phải có giải pháp Firewall. 1.6. NHỮNG HẠN CHẾ CỦA FIREWALL Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường dial-up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu [data-drivent attack]. Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây. Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của

Page 32

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Firewall. Firewall có thể ngǎn chặn những kẻ xấu từ bên ngoài nhưng còn những kẻ xấu ở bên trong thì sao. Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi. Để có được khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên được sử dụng kết hợp với các biện pháp an ninh mạng như các phần mềm diệt virus, phần mềm đóng gói, mã hoá dữ liệu. Đặc biệt, chính sách bảo mật được thực hiện một cách phù hợp và có chiều sâu là vấn đề sống còn để khai thác tối ưu hiệu quả của bất cứ phần mềm bảo mật nào. Và cũng cần nhớ rằng công nghệ chỉ là một phần của giải pháp bảo mật. Một nhân tố nữa hết sức quan trọng quyết định thành công của giải pháp là sự hợp tác của nhân viên, đồng nghiệp.

CHƯƠNG 2. TÌM HIỂU CÁC VẤN ĐỀ BẢO MẬT

Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp hiện nay. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong việc làm sập một mạng hoặc dịch vụ Web của một công ty. Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa, mã hóa, và mạng riêng ảo. Bảo mật hệ thống mạng bao gồm 3 yếu tố: Tính bảo mật, tính nguyên vẹn, tính sẵn sàng Tính bảo mật: Bảo vệ thông tin nhạy cảm không bị truy cập bởi những người không có quyền hạn - Tính nguyên vẹn: Bảo vệ thông tin hệ thống khỏi bị sửa bởi hacker - Tính sẵn sàng: Luôn đảm bảo sự sẵn có tài nguyên tới người dùng Để bảo vệ hệ thống của bạn, đầu tiên bạn phải nhận ra bạn cần bảo vệ chúng khỏi ai và khỏi cái gì. Để có thể phòng thủ đối với các sự tấn công, bạn phải hiểu các kiểu đe dọa đến sự bảo mật mạng của bạn. Có 4 mối đe dọa bảo mật • Mối đe dọa ở bên trong • Mối đe dọa ở bên ngoài

Page 33

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn • Mối đe dọa không có cấu trúc • Mối đe dọa có cấu trúc

Mối đe dọa ở bên trong

Thuật ngữ “Mối đe dọa ở bên trong” được sử dụng để mô tả một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và họ tin tưởng hoàn toàn vào các ACL [Access Control Lists] và quyền truy cập server để quy định cho sự bảo mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản. Vì vậy cần phải có các mức bảo mật như sau: -

Bảo mật mức vật lý: Đặt thiết bị mạng vào trong một phòng an ninh , luôn khóa

Bảo mật hệ điều hành: Sử dụng phiên bản mới nhất IOS để đáp ứng các nhu cầu của doanh nghiệp. Lưu trữ bản sao file cấu hình

Bảo mật Router, Switch: Bảo mật truy cập quản trị như console, telnet… Tắt các cổng trên router, switch không sử dụng, tắt các dịch vụ không cần thiết b] Mối đe dọa ở bên ngoài Mối đe dọa ở bên ngoài là từ các tổ chức, chính phủ, hoặc cá nhân cố gắng truy cập từ bên ngoài mạng của công ty và bao gồm tất cả những người không có quyền truy cập vào mạng bên trong. Thông thường, các kẻ tấn công từ bên ngoài cố gắng từ các server quay số hoặc các kết nối Internet. Mối đe dọa ở bên ngoài là những gì mà các công ty thường phải bỏ nhiều hầu hết thời gian và tiền bạc để ngăn ngừa. Giải pháp như sau:

Triển khai firewall bảo vệ mạng bên trong

Chỉ cho phép các dịch vụ cần thiết đáp ứng nhu cầu của tổ chức

Có các biện pháp ngăn ngừa và phát hiện xâm nhập vào mạng bên trong

Page 34

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Mối đe dọa có cấu trúc Mối đe dọa có cấu trúc là khó ngăn ngừa và phòng chống nhất vì nó xuất phát từ các tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực hiện tấn công. Các hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra mối đe dọa này. Các hacker này biết các gói tin được tạo thành như thế nào và có thể phát triển mã để khai thác các lỗ hổng trong cấu trúc của giao thức. Họ cũng biết được các biện pháp được sử dụng để ngăn ngừa truy cập trái phép, cũng như các hệ thống IDS và cách chúng phát hiện ra các hành vi xâm nhập. Họ biết các phương pháp để tránh những cách bảo vệ này. Trong một vài trường hợp, một cách tấn công có cấu trúc được thực hiện với sự trợ giúp từ một vài người ở bên trong. Đây gọi là mối đe dọa có cấu trúc ở bên trong. Cấu trúc hoặc không cấu trúc có thể là mối đe dọa bên ngoài cũng như bên trong. 2.1. Nguyên tắc bảo vệ hệ thống mạng 2.1.1. Hoạch định hệ thống bảo vệ mạng Trong môi trường mạng, phải có sự đảm bảo rằng những dữ liệu có tính bí mật phải được cất giữ riêng, sao cho chỉ có người có thẩm quyền mới được phép truy cập chúng. Bảo mật thông tin là việc làm quan trọng, và việc bảo vệ hoạt động mạng cũng có tầm quan trong không kém. Mạng máy tính cần được bảo vệ an toàn, tránh khỏi những hiểm hoạ do vô tình hay cố ý. Tuy nhiên một nhà quản trị mạng cần phải biết bất cứ cái gì cũng có mức độ, không nên thái quá. Mạng không nhất thiết phải được bảo vệ quá cẩn mật, đến mức người dùng luôn gặp khó khăn khi truy nhập mạng để thực hiện nhiệm vụ của mình. Không nên để họ thất vọng khi cố gắng truy cập các tập tin của chính mình. Bốn hiểm hoạ chính đối với sự an ninh của mạng là: -

Truy nhập mạng bất hợp pháp.

Sự can thiệp bằng phương tiện điện tử.

Kẻ trộm.

Tai họa vô tình hoặc có chủ ý.

Mức độ bảo mật: Tuỳ thuộc vào dạng môi trường trong đó mạng đang hoạt động.

Page 35

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Chính sách bảo mật: Hệ thống mạng đòi hỏi một tập hợp nguyên tắc, điều luật và chính sách nhằm loại trừ mọi rủi ro. Giúp hướng dẫn vượt qua các thay đổi và những tình huống không dự kiến trong quá trình phát triển mạng. Đào tạo: Người dùng mạng được đào tạo chu đáo sẽ có ít khả năng vô ý phá huỷ một tài nguyên. An toàn cho thiết bị: Tuỳ thuộc ở quy mô công ty, độ bí mật dữ liệu, các tài nguyên khả dụng. Trong môi trường mạng ngang hàng, có thể không có chính sách bảo vệ phần cứng có tổ chức nào. Người dùng chịu trách nhiệm đảm bảo an toàn cho máy tính và dữ liệu của riêng mình. 2.1.2. Mô hình bảo mật Hai mô hình bảo mật khác nhau đã phát triển, giúp bảo vệ an toàn dữ liệu và tài nguyên phần cứng: -

Bảo vệ tài nguyên dùng chung bằng mật mã: Gắn mật mã cho từng tài nguyên dùng chung.

Truy cập khi được sự cho phép: Là chỉ định một số quyền nhất định trên cơ sở người dùng, kiểm tra truy nhập tài nguyên dùng chung căn cứ vào CSDL useraccess trên máy server.

2.1.3. Nâng cao mức độ bảo mật Kiểm toán: Theo dõi hoạt động trên mạng thông qua tài khoản người dùng, ghi lại nhiều dạng biến cố chọn lọc vào sổ nhật ký bảo mật của máy server. Giúp nhận biết các hoạt động bất hợp lệ hoặc không chủ định. Cung cấp các thông tin về cách dùng trong tình huống có phòng ban nào đó thu phí sử dụng một số tài nguyên nhất định, và cần quyết định phí của những tài nguyên này theo cách thức nào đó. Máy tính không đĩa: Không có ổ đĩa cứng và ổ mềm. Có thể thi hành mọi việc như máy tính thông thường, ngoại trừ việc lưu trữ dữ liệu trên đĩa cứng hay đĩa mềm cục bộ. Không cần đĩa khởi động. Có khả năng giao tiếp với server và đăng nhập nhờ vào một con chip ROM khởi động đặc biệt được cài trên card mạng. Khi bật máy tính không đĩa, chip ROM khởi động phát tín hiệu cho server biết rằng nó muốn khởi động. Server trả lời bằng cách tải phần mềm khởi động vào RAM của máy tính không đĩa và tự động hiển thị màn hình đăng nhập . Khi đó máy tính được kết nối với mạng. Page 36

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Mã hoá dữ liệu: Đó là mã hoá thông tin sang dạng mật mã bằng một phương pháp nào đó sao cho đảm bảo thông tin đó không thể nhận biết được nếu nơi nhận không biết cách giải mã. Một người sử dụng hay một host có thể sử dụng thông tin mà không sợ ảnh hưởng đến người sử dụng hay một host khác. Chống virus : -

Ngăn không cho virus hoạt động.

Sửa chữa hư hại ở một mức độ nào đó.

Chặn đứng virus sau khi nó bộc phát.

Ngăn chặn tình trạng truy cập bất hợp pháp là một trong những giải pháp hiệu nghiệm nhất để tránh virus. Do biện pháp chủ yếu là phòng ngừa, nên người quản trị mạng phải bảo đảm sao cho mọi yếu tố cần thiết đều đã sẵn sàng: -

Mật mã để giảm khả năng truy cập bất hợp pháp.

Chỉ định các đặc quyền thích hợp cho mọi người dùng.

Các profile để tổ chức môi trường mạng cho người dùng có thể lập cấu hình và duy trì môi trường đăng nhập, bao gồm các kết nối mạng và những khoản mục chương trình khi người dùng đăng nhập.

Một chính sách quyết định có thể tải phần mềm nào.

2.2. Kiến trúc bảo mật của hệ thống mạng 2.2.1. Các mức an toàn thông tin trên mạng

Hình 2.1. Các mức an toàn thông tin trên mạng Page 37

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

An toàn hay bảo mật không phải là một sản phẩm, nó cũng không phải là một phần mềm. Nó là một cách nghĩ. Sự an toàn có thể được khởi động và dường như một dịch vụ. Bảo mật là cách an toàn. Tài liệu bảo mật là tư liệu mà những thành viên của tổ chức muốn bảo vệ. Trách nhiệm của việc bảo mật là người quản trị mạng. Sự an toàn mạng có vai trò quan trọng tối cao. Cơ chế bảo mật cần phải bao gồm cấu hình mạng của Server, chu vi ứng dụng của tổ chức mạng và thậm chí của những Client truy nhập mạng từ xa. Có vài cách mà ta cần phải xem xét: -

Sự an toàn vật lý.

An toàn hệ thống.

An toàn mạng.

An toàn các ứng dụng.

Sự truy nhập từ xa và việc chấp nhận.

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay ở các dịch vụ cung cấp như sendmail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows 95, XP, UNIX hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, các hệ databases ... 2.2.2. Ảnh hưởng của các lỗ hổng mạng Ở phần trên đã phân tích một số trường hợp có những lỗ hổng bảo mật, những kẻ tấn công có thể lợi dụng những lỗ hổng này để tạo ra những lỗ hổng khác tạo thành một chuỗi mắt xích những lỗ hổng. Ví dụ, một kẻ phá hoại muốn xâm nhập vào hệ thống mà không có tài khoản truy nhập hợp lệ trên hệ thống đó. Trong trường hợp này, trước tiên kẻ phá hoại sẽ tìm ra các điểm yếu trên hệ thống, hoặc từ các chính sách bảo mật, hoặc sử dụng các công cụ dò xét thông tin trên hệ thống đó để đạt được quyền truy nhập vào hệ thống. Sau khi mục tiêu duy nhất đã đạt được, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt được các điểm yếu và thực hiện các hành động phá hoại tinh vi hơn.

Page 38

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Tuy nhiên, có phải bất kỳ lỗ hổng bảo mật nào cùng nguy hiểm đến hệ thống hay không. Có rất nhiều thông báo liên quan đến lỗ hổng bảo mật trên mạng Internet, hầu hết trong số đó là các lỗ hổng loại C, là không đặc biệt nguy hiểm đối với hệ thống. Ví dụ, khi những lỗ hổng về sendmail được thông báo trên mạng, không phải ngay lập tức ảnh hưởng trên toàn bộ hệ thống. Khi những thông báo về lỗ hổng được khẳng định chắc chắn, các nhóm tin sẽ đưa ra một số phương pháp để khắc phục hệ thống. CHƯƠNG 3. FIREWALL CISCO 3.1 FIREWALL ASA -

Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance

ASA là một giải pháp bảo mật đầu cuối chính của Cisco. Hiện tại ASA là sản phẩm bảo mật dẫn đầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp doanh nghiệp, tích hợp giải pháp bảo mật mạng

Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai. Nó bao gồm các thuộc tính sau + Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco + Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco + Sử dụng SNR để bảo mật kết nối TCP + Sử dụng Cut through proxy để chứng thực telnet, http. ftp + Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn + VPN: IPSec, SSL và L2TP + Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS + NAT động, NAT tĩnh, NAT port + Ảo hóa các chính sách sử dụng Context 3.1.1 Dòng sản phẩm ASA

Có tất cả 6 model khác nhau. Dòng sản phẩm này phân loại khác nhau từ tổ chức nhớ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP. Mô hình càng cao Page 39

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn thì thông lượng, số port, chi phí càng cao. Sản phẩm bao gồm : ASA 5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40

Hình 3.1 Sản phẩm ASA 5550

Ví dụ như thông số của dòng ASA 5550

3.1.2 Thuật toán bảo mật ASA Một chức năng chính của ASA là stateful firewall.Stateful firewall thêm và duy trì thông tin kết nối của người dùng. Thông tin này được lưu trữ trong bảng state table, thường được gọi là conn table. ASA Firewall sử dụng conn table để gia tăng chính sách bảo mật cho kết nối người dùng Dưới đây là một vài thông tin mà stateful firewall giữ trong bảng conn table + Địa chỉ IP nguồn + Địa chỉ IP đích + Giao thức: Như TCP hay UDP + Thông tin giao thức IP như là TCP/UDP port, TCP Syn và TCP flag 3.1.2.1 Giải thích cơ chế Stateful Firewall Page 40

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Ta có mô hình như sau :

Hình 3.2 Cơ chế stateful Firewall a.Figure 1-1

PC-A trong mạng nội bộ thực hiện truy cập webserver bên ngoài mạng Internet

Gói tin Request http đến firewall, firewall lấy thông tin về kết nối của PC-A đó là: địa chỉ nguồn, địa chỉ đích, giao thức IP, và bất cứ thông tin giao thức khác và đặt nó trong bảng conn table

Firewall sau đó chuyển tiếp gói tin http request tới webserver

Page 41

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.2 Cơ chế stateful firewall b. Figure 1-2

Webserver gửi trả lại trang web cho người dùng PC-A

Firewall kiểm tra gói tin trả lại này và so sánh với entrie trong bảng conn table + Nếu việc so sánh là hợp lệ trong bảng conn table thì gói tin được cho phép + Nếu so sánh là không hợp lệ trong bảng conn table thì gói tin bị xóa

Một stateful firewall duy trì bảng kết nối này. Nếu firewall thấy client ngắt kết nối thì stateful firewall sẽ xóa entry trong bảng conn table đó đi. Nếu entry không hoạt động trong một khoảng thời gian thì entry đó sẽ timeout và stateful firewall sẽ xóa entry đó khỏi bảng conn table 3.1.2.2 So sánh Stateful và Packet Filtering Firewall:

Một stateful firewall có khả năng nhận biết về tình trạng của kết nối đi qua nó. Mặt khác Packet firewall không thấy được tình trạng của kết nối Page 42

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn -

Một ví dụ rõ ràng cho việc hiểu Packet filtering firewall là việc sử dụng Extended ACL mà Router sử dụng. Với loại ACL này Router sẽ chỉ thấy được các thông tin sau trong mỗi packet riêng biệt + Địa chỉ IP nguồn + Địa chỉ IP đích + IP protocol + Thông tin giao thức IP như TCP/UDP Port

Ngay cái nhìn đầu tiên thì có vẻ thông tin mà Packet filtering firewall sử dụng là giống Stateful Firewall. Tuy nhiên Router sử dụng ACL sẽ không nhận biết được tình trạng kết nối là request hay kết nối đang tồn tại, hay ngắt kết nối, mà nó chỉ nhìn được mỗi gói tin riêng biệt đi qua interface đó. Nghĩa là Packet filtering firewall chỉ kiểm tra gói tin ở lớp 3 và lớp 4 thôi.

3.1.2.3 Sequence Number Randomization [SNR] Firewall ASA có một đặc đính được gọi là Sequence Number Randomization [SNR]. Đặc tính này được khởi tạo bằng thuật toán bảo mật. SNR được sử dụng để bảo vệ bạn chống lại việc mất thông tin và tấn công cướp phiên kết nối TCP khỏi hacker.Như chúng ta đã biết một vấn đề với giao thức TCP là hầu hết giao thức TCP/IP khởi tạo quá trình kết nối bắt tay 3 bước theo một phương thức có thể đoán trước được khi sử dụng SYN và ACK. Với rất nhiều phương thức, hacker có thể sử dụng các công cụ này để dự đoán về tập thiết lập của dữ liệu tiếp theo được gửi trên mạng và khi dự đoán được số SYN đúng. Hacker có thể sử dụng thông tin này để cướp phiên kết nối và giả mạo kết nối -

Firewall ASA có thể giải quyết vấn đề này bằng cách tạo ngẫu nhiên số SYN và đặt nó vào trong đầu mào của gói tin TCP Segment. ASA sẽ thay thế số SYN cũ bằng số SYN mới vào trong bảng conn table. Tất cả các lưu lượng trở về từ máy đích thông qua Firewall trở về nguồn, ASA tìm kiếm thông tin này và thay đổi trở lại với số ACK. Vì vậy máy nguồn trong mạng cục bộ có thể nhận được gói tin trả về từ đích.

Sau đây là ví dụ về SNR

Page 43

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.3 Cơ chế hoạt động của SNR

Gói tin TCP đi qua Firewall ASA với số SYN =578. SNR của ASA thay đổi giá trị SYN này thành một giá trị SYN ngẫu nhiên và đặt nó vào trong bảng conn table [ trong trường hợp này là 992], và chuyển tiếp gói tin đó tới đích. Máy đích không thể nhận biết được về sự thay đổi này và gửi lại cho nguồn với ACK =993. Firewall nhận gói tin trả về này và thay đổi giá trị 993 thành 579 vì vậy máy nguồn sẽ không từ chối gói tin này. Hãy nhớ rằng gói tin chứa ACK tăng lên 1 và sử dụng giá trị này như ACK number

Chú ý rằng: SNR đối với máy nguồn và máy đich là một quá trình trong suốt. Cisco khuyến cáo bạn không nên vô hiệu hóa tính năng này. Nếu vô hiệu hóa tính năng SNR thì mạng của bạn sẽ đối mặt với kiểu tấn công TCP session hijacking.

3.1.2.4 Cut-through Proxy

Bảo mật SA khởi tạo rất nhiều đặc tính bảo mật của hệ điều hành CISCO. Bên cạnh đó một thuật toán gia tăng bảo mật khác là Cut-through Proxy [CTP]. CTP cho phép firewall ASA kiểm tra những kết nối ra vào mạng và chứng thực chúng trước khi chúng được cho phép đi vào mạng nội bộ. CTP thường được sử dụng trong trường hợp khi người sử dụng kết nối đến một server mà không thể thực hiện được chứng thực chính nó

Page 44

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Kết nối người dùng không được chứng thực bởi ASA. Nhưng ta có thể sử dụng một Server chuyên dụng cho việc chứng thực này như là Cisco Secure Access Control Server [CSACS] Cisco cung cấp cả hai giao thức cho việc chứng thực đó là TACACS+ và RADIUS. CTP có thể thực hiện chứng thực theo các loại kết nối sau + FTP + HTTP và HTTPS + Telnet Khi cấu hình Firewall ASA được cấu hình CTP, đầu tiên nó chứng thực kết nối đó trước khi cho phép chúng đi xuyên qua firewall. Hình dưới đây mô tả từng bước CTP làm việc

Hình 3.4 Các bước làm việc của CTP

User Pong khởi tạo kết nối đến FTP Server có địa chỉ IP: 200.200.200.2

Page 45

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Firewall ASA kiếm tra kết nối này và đồng thời kiểm tra xem có entry nào trong bảng conn table không. Nếu tồn tại một entry trong ASA thì ASA cho phép kết nối này. Nhưng trong trường hợp này User phải được chứng thực trước Nếu ASA không tìm thấy bất cứ một entry nào phù hợp với kết nối đó trong bảng conn table thì nó sẽ yêu cầu chứng thực User Pong với Username và password và chuyển tiếp thông tin này tới Server chứng thực Server chứng thực kiểm tra bảng người dùng mà nó đã được cấu hình sẵn và so sánh. Nếu cho phép hay từ chối truy cập thì Server sẽ gửi gói tin Allow hay Deny tới ASA + Nếu ASA nhận gói tin Allow thì nó sẽ thêm thông tin kết nối của người dùng vào bảng conn table và cho phép kết nối đó + Nếu ASA nhận gói tin Denny nó sẽ xóa bỏ kết nối đó hoặc yêu cầu cung cấp lại thông tin username/password Một khi người dùng đã được chứng thực thì tất cả các lưu lượng của người dùng sẽ được xử lý bởi ASA ở lớp 3 và lớp 4 của mô hình OSI. Sự khác biệt với ứng dụng proxy truyền thông là tất cả các lưu lượng được xử lý ở lớp 7 trong mô hình OSI. Với CTP, quá trình chứng thực được xử lý ở lớp 7 nhưng lưu lượng dữ liệu lại được xử lý ở lớp 3 và lớp 4 trong hầu hết các trường hợp 3.1.2.4 Khởi tạo chính sách – Policy Implementation Thuật toán bảo mật có trách nhiệm cho việc khởi tạo và gia tăng chính sách bảo mật. Thuật toán này cũng sử dụng mô hình kế thừa, cái cho phép bạn khởi tạo nhiều mức bảo mật khác nhau.Để hoàn thành điều này, mỗi Interface trên ASA cần phải chỉ định một giá trị từ 0 đến 100, ứng với 0 là ít bảo mật nhất và 100 là mức bảo mật cao nhất. Thuật toán bảo mật sử dụng những mức bảo mật này để gia tăng chính sách bảo mật mặc định. Một ví dụ cho điều này. Interface kết nối ra internet có mức bảo mật thấp nhất, Interface kết nối tới mạng LAN sẽ có mức bảo mật cao nhất Sau đây là 4 quy tắc cho tất cả các lưu lượng đi qua ASA + Mặc định lưu lượng từ interface có mức bảo mật cao đến interface có mức bảo mật thấp là được cho phép + Mặc định lưu lượng từ interface có mức bảo mật thấp hơn đến interface có mức bảo mật cao hơn là bị cấm + Mặc định lưu lượng từ một interface đến một interface khác với cùng mức bảo mật là bị cấm

Page 46

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn + Mặc định lưu lượng vào ra cùng 1 interface là bị cấm Ví dụ sau chỉ ra lưu lượng nào được cho phép, lưu lượng nào không được phép. Trong ví dụ này User trong mạng cục bộ khởi tạo kết nối tới webserver ngoài internet là được phép đi qua ASA. Như vậy thuật toán bảo mật thêm kết nối này vào trong bảng conn table. Khi webserver gửi trả về trang web từ internet sẽ được cho phép. Một khi User ngắt kết nối, thông tin kết nối đó sẽ bị xóa khởi bảng conn table. Nếu User trên Internet cố gắng truy cập webserver ở trong mạng cục bộ. Thuật toán bảo mật trên ASA tự động cấm kết nối đó Những rule này là mặc định. Chúng ta có thể tạo các ngoài lệ đối với các rule này trên ASA. Điều này thường chia thành 2 loại: + Cho phép truy cập dựa trên tài khoản + Truy cập dựa trên điều kiện lọc

Hình 3.5 Thuật toán khởi tạo chính sách – Policy Implementation

Một ví dụ khác, khi User từ ngoài Internet cố gắng truy cập FTP server nằm trong mạng cục bộ thì mặc định bị cấm. Bạn có thể sử dụng hai phương thức để mở kết nối đó thông qua firewall + Khởi tạo CTP cho phép kết nối + Sử dụng ACL để mở kết nối tạm thời Page 47

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

3.2. Kiểm soát lưu lượng bằng ASA 3.2.1 Tổng quan về giao thức TCP/IP -

Trước khi đi vào chi tiết các câu lênh cấu hình cho phép các lưu lượng qua ASA thì cần phải nắm chắc cơ chế của các giao thức phổ biến như TCP,UDP và ICMP. Điều này rất quan trọng bởi ASA nhận biết các luồng lưu lượng này khác nhau trong quá trình lọc gói tin theo cơ chế Stateful Firewall

TCP là một giao thức hướng kết nối. Có nghĩa là trước khi vận chuyển dữ liệu qua mạng thì một vài tham số kết nối phải được thương lượng để thiết lập kết nối. Để thực hiện việc thương lượng này, TCP sẽ trải qua quá trình bắt tay ba bước: + Phần đầu của quá trình bắt tay ba bước, địa chỉ nguồn gửi một TCP Syn, chỉ ra rằng muốn mở một kết nối + Khi máy đích nhận được gói tin chứa số SYN đó, nó nhận biết điều này với số SYN cùng với số ACK. Qúa trình đáp trả này thường được gọi là SYN/ACK. Gía trị ACK chỉ ra nguồn mà đích nhận được với số SYN do nguồn yêu cầu + Máy nguồn sau đó gửi ACK lại đích. Điều này chi ra quá trình thiết lập kết nối hoàn thành

Yêu cầu kết nối ra bên ngoài Khi một kết nối đang được thiết lập, luồng dữ liệu đi theo hai hướng qua Firewall ASA. Gỉa sử rằng một người dùng bên trong mạng cục bộ khởi tạo kết nối TCP đến một máy chủ bên ngoài Internet. Bởi vì ta đã cấu hình một rule cho việc thiết lập kết nối TCP nên nó rất là dễ dàng cho Firewall ASA hiểu điều gì đang xảy ra với quá trình thiết lập kết nối đó. Hay nói cách khác, rất dễ cho Firewall ASA kiểm tra lưu lượng này. Như được nói ở phần trước, stateful firewall giữ toàn bộ trạng thái của kết nối Như trong ví dụ này, Firewall ASA nhìn gói tin có chứa số SYN và nhận ra đây là một gói tin yêu cầu kết nối từ bên trong mạng cục bộ. Bởi vì đây là một Stateful firewall nên ASA sẽ thêm kết nối này vào trong bảng conn table vì thế gói tin chưa SYN/ACK từ bên ngoài gửi lại sẽ được cho phép vào trong mạng cục bộ và Usẻ trong mạng cục bộ có thể hoàn thành kết nối với số ACK cuối cùng. ASA sau đó sẽ cho phép lưu lượng đi lại giữa 2 máy này Khi ngắt một kết nối TCP, gói tin yêu cầu ngắt kết nối sẽ đi qua firewall và được firewall nhận biết tình trạng của kết nối như vậy. Qúa trình nhận biết dựa trên FIN và FIN/ACK hay RST. Và sau đó Firewall sẽ xóa đối tượng kết nối đó khỏi bảng conn Page 48

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn table. Vì lẽ đó khi một đối tượng bị xóa khỏi bảng conn table thì thiết bị bên ngoài sẽ không thể kết nối vào mạng Lan của chúng ta, tất cả các traffic mặc định bị drop Yêu cầu kết nối vào bên trong mạng nội bộ Bởi vì firewall ASA hoạt động như một stateful firewall nên mặc định tất cả các kết nối từ bên ngoài đi vào mạng nội bộ mặc định bị cấm. Để cho phép các kết nối này, bạn sẽ phải khởi tạo cho phép một Rule TCP mà bạn muốn Tuy nhiên có một vấn đề với TCP, đó là khả năng có thể dự đoán được trước các tham số trong quá trình bắt tay ba bước, điều này thường giúp cho Hacker xâm nhập vào mạng nội bộ của chúng ta. Ví dụ cho điều này, một kẻ tấn công cố gắng gửi đống loạt số lượng lớn TCP SYN đến một máy tính bên trong mạng nội bộ, để làm giả việc thiết lập kết nối TCP. Tuy nhiên mục đích của kẻ tấn công là không cần phải hoàn thành quá trình bắt tay ba bước mà chỉ cố gắng liên tục gửi SYN để làm cạn kiệt nguồn tài nguyên của máy tính trong mạng cục bộ. 3.2.2 Tổng quan về UDP UDP- User Datagram Protocol là một giao thức không hướng kết nối. Không giống như TCP, nó không có định nghĩa về tình trạng kết nối. Điều này có nghĩa là không có quá trình bắt tay ba bước như TCP. Thay vì đó một thiết bị chỉ việc gửi gói tin UDP khi nó muốn giao liên lạc với một thiết bị khác. Vì vậy không có quá trình định nghĩa ở lớp 4 trong mô hình OSI và không có xác minh ở tầng Vận Chuyển chỉ ra kết thúc quá trình gửi tin. UDP chính nó cũng không có chức năng điều khiển luồng dữ liệu giữa hai thiết bị. Bởi vì sự hạn chế này nên UDP thường được sử dụng trong việc gửi khối lượng thông tin rất là nhỏ giữa 2 thiết bị Một ví dụ điển hình cho việc hiểu UDP là giao thức DNS. DNS được sử dụng khi một thiết bị cần phân giải một hostname thành một địa chỉ IP. Thiết bị gửi một gói tin truy vấn DNS[ Gói tin UDP] đến DNS Server, DNS server trả lời lại với chỉ một gói tin Reply. Trong trường hợp này UDP là cách thức sử dụng hữu hiệu hơn TCP bởi vì chỉ cần có 2 gói tin đi và về. Yêu cầu kết nối ra bên ngoài Chúng ta sẽ nhìn vào một ví dụ khác để minh họa một trong những vấn đề mà Firewall ASA làm gì với các traffic UDP. Trong ví dụ này giả sử rằng một User trong mạng LAN thực hiện việc kết nối tới một TFTP server bên ngoài Internet. Khi User này khởi tạo kết nối TFTP, firewall sẽ thực hiện quá trình stateful firewall và thêm kết nối tạm thời này vào bảng conn table. Điều này cho phép bất cứ UDP segment từ ngoài TFTP trở vào mạng Lan

Page 49

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn `Vấn đề ở đây là một khi User hoàn thành việc truyền file TFTP, firewall không biết rằng kết nối đã hoàn thành. Bạn sẽ không muốn giữ mãi kết nối tạm thời này trong bảng conn table sau khi việc vận chuyển file thành công. Để giải quyết vấn đề này thiết bị Firewall có một giải pháp là: Firewall kiểm soát thời gian chờ của kết nối UDP. Một khi Firewakk thấy không có lưu lượng nào được truyền trong một khoảng thời gian chờ, nó sẽ xóa kết nối đó ra khỏi bảng conn table. Đối với UDP, thời gian chờ mặc định là 2 phút, tuy nhiên bạn có thể tùy chỉnh điều này. Việc sử dụng thời gian chờ không phải là một giải pháp hoàn toàn thông minh, bởi vì khoảng thời gian chờ hợp lệ có thể xảy ra trong khi hay thiết bị UDO đang thực hiện quá trình truyền file khác và sẽ tiếp tục kết nối của chúng ngay sau đó. Trong ví dụ này, firewall có thể xóa kết nối tạm thời này khỏi bảng conn table, khi thiết bị bên ngoài tiếp tục truyền file thì firewall sẽ cấm traffic đó vì thời gian kết nối đã hết hạn, và kết nối đó không còn tồn tại trong bảng conn table nữa Chú ý rằng một vài ứng dụng UDP như DNS có thể thấy được sự đơn giản trong kết nối của nó hơn TFTP. Trong vì dụ về DNS, User khởi tạo truy vấn DNS thì chỉ có 1 và chỉ 1 gói tin trả về từ DNS Server. Trong hoàn cảnh này, firewall có thể nhận biết để xóa kết nối đó khỏi bảng conn table khi gói tin DNS reply vào mạng LAN Yêu cầu kết nối đến Như đã nói từ trước, bởi vì firewall asa hoạt động theo cơ chế Stateful Firewall, nó sẽ không cho phép các traffic vào trong mạng cục bộ Lan của chúng ta nếu nguồn của traffic là ở bên ngoài Internet. Bạn phải cấu hình cho phép traffic UDP này Bởi vì UDP là giao thức không hướng kết nối nên để giải quyết vấn đề với những yêu cầu kết nối đến này sẽ tạo ra nhiều vấn đề bảo mật Khi ngắt một kết nối UDP, firewall sẽ không nhận biết được điều này và nó vẫn giữ thông tin của kết nối này trong bảng conn table. Như vậy một kẻ tấn công sẽ lợi dụng điều này làm giả địa chỉ IP nguồn, Firewall sẽ không nhận biết được sự xâm nhập này Bởi vì UDP không sử dụng bất cứ quá trình thiết lập kết nối nào nên khi khởi tạo một luồng dữ liệu, sẽ khó khăn trong việc phân biệt sự khác nhau giữ việc bắt đầu khởi tạo hay đang khởi tạo hay kết thực kết nối. Vì sẽ đó hacker có thể thực hiện việc duy trì phiên tấn công. 3.2.3 Tổng quan về ICMP

ICMP – Internet Control Management Protocol là một giao thức không hướng kết nối, nghĩa là không có định nghĩa trạng thái kết nối

Page 50

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn ICMP được sử dụng trong rất nhiều mục đích bao gồm việc kiểm tra kết nối, kết nối điều kiển và các thông tin cấu hình. ICMP có một vài đặc tính rất gióng UDP, vì nó là không hướng kết nối và không có điều khiển luồng. Vì lẽ đó firewall có vấn đề giống như UDP Mặc định firewall không thêm các gói tin ICMP vào trong bảng conn table. Vì vậy hoặc bạn phải sử dụng ACL để cho phép luồng gói tin ICMP echo hoặc bật tính năng giám sát ICMP trên firewall. Một khi bạn bật tính năng giám sát ICMP thì khi đó một gói tin ICMP được gửi ra ngoài, nó chứa số SYN trong ICMP header và đồng thời thông tin kết nối này được đưa vào bảng conn table. Firewall sẽ thấy gói tin ICMP echo quay trở lại và chứa số SYN nếu nó là 1 phần của một kết nối đang tôn tại. Gói tin ICMP echo được cho phép quay trở lại vào mạng nội bộ LAN Những giao thức khác Tất cả các giao thức khác và những kết nối liên quan tới chúng là không được kiểm tra bời firewall. Hay nói cách khác, firewall không bao giờ thêm các kết nối này vào trong bảng conn table. Những vấn đề về ứng dụng và giao thức: Có 3 vấn đề chính mà stateful firewall phải đối mặt đó là: - Ứng dụng có nhiều kết nối

- Ứng dụng và giao thức được những địa chỉ và thông tin kết nối trong phần payload của tầng ứng dụng Ứng dụng và giao thức có các vấn đề bảo mật Applications với nhiều kết nối Một vấn đề với firewall là giải quyết các ứng dụng có nhiều hơn 1 kết nối, giống như FTP, thoại, kết nối CSDL và …. Một vài dạng của giao thức và ứng dụng là cấn thiết gia tăng mức độ bảo mật qua firewall Chúng ta hãy nhìn vào ví dụ sau để minh họa vấn đề này và cung cấp giải pháp

Page 51

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.6 Application với nhiều kết nối

Trong mạng này, client đang khởi tạo một kết nối FTP. Với loại kết nối này, client mở một kết nối điều khiển TCP đến cổng 21 của FTP Server. Bất cứ khi nào user gửi một câu hình FTP như là get hay put thông qua kết nối này thì client gửi luôn port của nó để của FTP Server sử dụng. Sau đó FTP Server mở một kết nối thứ 2, thường gọi là data connectionvới port nguồn là 20 và port đích là port của client gửi trước đó. Vì thế trong vì sụ này, client mở một kết nối điều khiển tới server và server sẽ mở một kết nối truyền dữ liệu đến Client -

Đối với firewall ASA thì User được kết nối vào Interface có mức bảo mật cao hơn gói là Inside, Server ngoài internet được kết nối vào Interface có mức độ bảo mật thấp hơn gọi là Outside Tuy nhiên với kết nối thứ 2 [port 20 cho việc truyền dữ liệu ] là bị cấm mặc định, bởi vì nó đến từ mức bảo mật thấp hơn đến mức bảo mật cao hơn Giải pháp cho vấn đề này là phải cấu hình làm sao cho Firewall ASA kiểm tra được payload của tầng ứng dụng của kết nối điều khiển FTPđể quyết định xem chế độ là active hay standard, những câu lệnh được thự thi và port mà client muốn sử dụng để truyền dữ liệu. Vì lẽ đó mà firewall ASA có thể thêm kết nối này vào bảng conn table thâm chí trước khi kết nối thứ 2 được khởi tạo Thông tin địa chỉ được nhúng vào trong ứng dụng Một vài ứng dụng có nhúng thông tin địa chỉ vào trong phần payload của kết nối, điều này mong đợi thiết bị đích sử dụng thông tin này cho những kết nối phụ. Tuy nhiên thông tin địa chỉ này có thể đã ở trong bảng NAT của firewall rồi

Page 52

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.7 Thông tin địa chỉ được nhúng vào trong ứng dụng

Trong ví dụ này, chúng ta sẽ sử dụng FTP ở chế độ active để minh họa vấn đề. Đối với kết nối truyền dữ liệu thì kết nối đó cần phải được mở, client muốn sử dụng local port 51001. Tuy nhiên đã tồn tại một kết nối với port này trong bảng NAT của firewall. Nếu firewall không giải quyết vấn đề này thì bất cứ traffic nào có thể không được NAT đúng và được gửi đến một thiết bị khác trong mạng mà không phải là máy khởi tạo và yêu cầu kết nối Một firewall tốt nên thay thông tin địa chỉ Payload thành một thứ gì đó khác và nên tạo một NAT khác trong bảng NAT cho kết nối này. Sản phẩm CISCO ASA cung cấp nhiều giao thức và ứng dụng Firewall ASA dịch chuyển số cổng đối với kết nối truyền số liệu 60000 và thêm kết nối này vào bảng NAT. Firewakk cũng đồng thời cập nhật payload của kết nối điều khiển FTP với port 60000. Vì thế khi server nhận yêu cầu kết nối cho kết nối điều khiển, nó sẽ sử dụng port 60000 cho việc truyền dữ liệu lại cho client, và Firewall sẽ dịch chuyển thành 51001 3.3 Tổng quan về NAT Một trong rất nhiều vấn đề bạn sẽ phải làm với hệ thống mạng của mình là chỉ định địa chỉ IP cho tất cả các thiết bị mạng. Bởi vì sự cạn kiệt địa chỉ public Ipv4. Trong rất nhiều trường hợp bạn phải sử dụng địa chỉ private cho các thiết bị mạng LAN 3.3.1 Địa chỉ Private Để giải quyết vấn đề cạn kiệt địa chỉ IP, để đáp ứng như cầu phát triển của công ty kết nối ra Internet, tổ chức IETF đã phát triển RFC 1918

Page 53

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.8 Địa chỉ Private Như bạn có thể thấy từ bảng địa chỉ, bạn nên có dư địa chỉ Private để đáp ứng nhu cầu của công ty. Mỗi thiết bị trong mạng sẽ được chỉ định bởi một địa chỉ IP duy nhất. Tuy nhiên RFC 1918 định nghĩa rằng: Gói tin có chưa địa chỉ Private hoặc trong địa chỉ nguồn hay địa chỉ đích sẽ không được chuyển tiếp trên mạng public Hãy tưởng tượng hai công ty có tên là công ty A và công ty B, cả hai đều sử dụng dải địa chỉ private là 10.0.0.0/8 cho các thiết bị bên trong mạng cục bộ LAN. Rõ ràng điều này tạo ra rất nhiều vấn đề bởi vì cả 2 công ty đều trùng lặp địa chỉ. Trong trường hợp này, việc trùng lặp subnet không cho phép bạn có thể liên lạc các thiết bị mạng với nhau. Ví dụ: Cả hai công ty đều sử dụng 10.1.1.0/24 như hình dưới

Với các kết nối trong công ty thì không có vấn đề gì nhưng nếu 2 subnet này cần kết nối lại với nhau, thì điều này là không thể. Router biên giữa hai mạng này sẽ không thể liên kết hai hệ thống mạng này lại. 3.3.2 Nhu cầu của NAT Để giải quyết vấn đề trùng lặp địa chỉ, cũng như giải quyết vấn đề sử dụng địa chỉ IP Private và truy cập mạng Public, tổ chức IETF đã phát triển RFC 1631. RFC 1631 định nghĩa quá trình thực hiện NAT. Điều này cho phép bạn dịch chuyển từ địa chỉ Private trong mào đầu của gói tin IP đến một địa chỉ IP khác. Dưới đây là một vài ví dụ chung mà bạn có thể cần triển khai NAT - Bạn đang cần kết hợp hai mạng lại với nhau. Page 54

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn -

Nhà cung cấp dịch vụ ISP chỉ định cho bạn khối lượng địa chỉ IP public giới hạn và bạn cần phải cung cấp rất nhiều các thiết bị truy cập Internet

- Bạn được cung cấp một không gian địa chỉ IP public và khi bạn chuyển sang nhà cung cấp dịch vụ khác, nhà cung cấp dịch vụ mới này không cung cấp địa chỉ IP public hiện tại đang dùng - Bạn đang có một dịch vụ mạng trên một thiết bị và bạn cần public chúng lên mạng Internet để ai cũng có thể truy cập dịch vụ này 3.3.3 Lợi ích của NAT Một trong những lợi ích chính của NAT là việc thoải mái sử dụng số lượng địa chỉ ip private rộng lớn, hơn 17 triệu địa chỉ/ Điều này bao gồm 1 lớp địa chỉ mạng lớp A, 16 địa chỉ mạng lớp B và 256 địa chỉ mạng lớp C. Khi bạn sử dụng địa chỉ Ip private dù cho bạn có đổi nhà cung cấp dịch vụ, bạn sẽ không cần phải đánh lại địa chỉ cho các thiết bị trong mạng cục bộ mà bạn chỉ phải thay đổi cấu hình NAT trên firewall để trùng với địa chỉ IP public mới Bởi vì tất cả các traffic phải đi firewall để đến các thiết bị có địa chỉ IP private, bạn có thể điều khiển điều này bằng cách sau: - Những nguồn mà Internet truy cập vào mạng Inside của chúng ta - User nào trên mạng Inside được phép truy cập Internet 3.3.4 Thuật ngữ và định nghĩa NAT Thiết bị thực hiện NAT có thể là rất nhiều dạng. Thiết bị này có thể là một firewall, một router, một proxy gateway hay thậm chí là một file server. Cisco router sử dụng IOS 11.2 và firewall có khả năng NAT. Để hiểu tốt hơn về các câu lệnh được sử dụng trên firewall để cấu hình NAT, bạn phải hiểu một vài thuật ngữ thường được sử dụng trong NAT -

Inside: Những địa chỉ được translate, thường là địa chỉ Ip private cho các thiết bị bên trong mạng LAN hay địa chỉ public mua từ ISP

Outside: Những địa chỉ được cấp phát trên Internet

Inside Local: Những địa chỉ Private được gán cho các host nằm bên trong mạng LAN

Inside Global: Những địa chỉ public được gán cho Inside host. Thường thì đây là pool địa chỉ được cấp bởi ISP

Outside Global: Những địa chỉ được gán cho các thiết bị Outside device

Page 55

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn 3.3.5 Một vài ví dụ điển hình NAT Có nhiều loại NAT khác nhau có thể được thực hiện bởi Firewall. Trong phần này bạn sẽ thấy hai ví dụ: NAT và PAT

Hình 3.8 Ví dụ về NAT Ví dụ về NAT Như được nói trước đó, NAT thực hiện việc dịch chuyển từ 1 địa chỉ đến 1 địa chỉ. Bạn thường sử dụng NAT tĩnh khi bạn có một Server, và bạn muốn mọi người trên Internet có thể truy cập Server này. Tuy nhiên, đối với các User trên mạng cục bộ bạn sẽ tạo một pool địa chỉ IP và để thiết bị NAT ngẫu nhiên chỉ định các địa chỉ IP public cho các thiết bị bên trong mạng cục bộ. Trong ví dụ này User bên trong mạng cục bộ đang truy cập nguồn tài nguyên bên ngoài Internet[User có địa chỉ 192.168.1.5 đang cố gắng truy cập 201.201.201.2]

Page 56

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.9 Ví dụ về NAT [a] Ở hình 3.9, bạn có thể nhìn thấy thực sự việc truyền dữ liệu từ 192.168.1.5. Firewall nhận gói tin từ 192.168.1.5 và quyết định xem nó có cần thực hiện NAT hay không và chuyển tiếp gói tin tới đich Firewall nhận thấy gói tin đến nó và so sánh với rule NAT. Bởi vì gói tin trùng với rule trong chính sách NAT, Firewall sẽ dịch chuyển địa chỉ nguồn trong gói tin từ 192.168.1.5 thành 200.200.200.1, đây là địa chỉ ip public. Tiếp theo bạn có thể thấy địa chỉ địch 201.201.201.2 nhận gói tin. Nó nhận thấy địa chỉ nguồn là 200.200.200.1. Điều này là trong suốt với người dùng trong mạng cục bộ và cả máy đích

Page 57

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.9 Ví dụ về NAT [b] Khi đó máy đích gửi gói tin trả lời trở lại cho User, nó sử dụng địa chỉ IP public mà nó thấy được sau khi Nat là 200.200.200.1 Tiếp theo Firewall nhận gói tin và kiểm tra chính sách NAT của nó. Sau khi quyết định cần thiết dịch chuyển lại địa chỉ ban đầu. Nó thấy địa chỉ 200.200.200.1 và thay đổi địa chỉ Ip public này trở lại địa chỉ Ip private ban đầu là 192.168.1.5, sau đó chuyển tiếp gói tin này vào địa chỉ User trong mạng cục bộ Ví dụ về PAT Với PAT, firewall sẽ thay đổi địa chỉ IP và TCP/UDP port của gói tin. Ví dụ này nhà cung cấp dịch vụ ISP chỉ định cho bạn một địa chỉ IP public và bạn cần phải sử dụng địa chỉ này cho tất cả các kết nối của người dùng ra ngoài Internet.

Page 58

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.10 ví dụ về PAT [a]

Trong hình trên User ở địa chỉ 192.168.1.5 telnet đến 201.201.201.2. Firewall nhận gói tin và nó so sánh thông tin của gói tin với chính sách NAT và quyết định xem nó có cần thực hiện NAT hay không. Do nó trùng với chính sách vì thế firewall thực hiện việc NAT và thay đổi địa chỉ private 192.168.1.5 thành 200.200.200.1. Trong trường hợp này, thông số port nguôn là 1024 không được sử dụng trong bảng NAT nên nó vấn được giữ nguyên mà không thay đổi số Port. Chú ý rằng firewall thêm địa chỉ NAT này vào trong bảng NAT để mà nó có thể giải quyết vấn đề traffic quay trở lại mạng cục bộ. Máy đích nhận được gói tin sau khi NAT. Một lần nữa quá trình NAT này là trong suốt với cả máy nguồn và máy đích Khi máy địch gửi gói tin trả về, nó sẽ sử dụng địa chỉ IP đích là 200.200.200.1 và port đích là 1024. Khi firewall nhận gói tin đến, nó quyết định xem có thực hiện NAT hay không và sau đó nó tìm kiếm xem có thuộc rule nào trong bảng NAT không. Khi thấy trùng, nó thay đổi địa chỉ đích từ 200.200.200.1 thành 192.168.1.5 và để lại port nguồn như ban đầu Một ví dụ khác, giả sử có một máy cục bộ có địa chỉ 192.168.1.6 cũng telnet đến 201.201.201.2 với địa chỉ port nguồn là 1024

Page 59

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.10 Ví dụ về PAT

Firewall nhận gói tin, và gói tin trùng với chính sách NAT đã thiết lập. Firewall tạo một đối tượng NAT trong bảng NAT cho kết nối của User. Trong trường hợp này địa chỉ IP public 200.200.200.1 được sử dụng. Tuy nhiên bởi vì port nguồn 1024 đã tồn tại trong bảng NAT, nên firewall chỉ định một port khác là 1025 cho kết nối của User. Port nguồn khác nhau nhằm giúp cho thiết bị đích nhận biết, phân biệt giữa các kết nối là của 192.168.1.5 hay 192.168.1.6 và cũng cho phép Firewall dịch chuyển gói tin trả về từ 201.201.201.2 3.4

Cấu hình NAT

Trong phần này sẽ tập trung chủ yếu vào chính sách dịch địa chỉ để chuyển đổi thông lượng qua các thiết bị của bạn. Chúng tôi sẽ trình bày cách để cấu hình một địa chỉ NAT, PAT động . Một địa chỉ NAT, PAT tĩnh như thế nào. Hạn chế số lượng kết nối TCP, để ngăn chặn các cuộc tấn công trànTCP SYN , và kiểm tra cấu hình dịch.Một địa chỉ được dịch phải đảm bảo các yêu cầu sau đây: Yêu cầu cấu hình: Trong phiên bản 6 hoặc phiên bản trước đó. Bạn luôn phải cấu hình rule cho Nat các gói tin. Hay nói cách khác, nếu gói tin không được cho phép bởi Rule NAT thì nó sẽ bị cấm. Rule này áp dụng cho cả traffic vào và ra Trong phiên bản 7, NAT là tùy chọn và không được yêu cầu. Để khởi động tính năng NAT, sử dụng câu lệnh sau: Asa[config]

nat-control

Page 60

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Lần thứ nhất ta yêu cầu địa chỉ dịch với lệnh nat-control, quy tắc này cũng tương tự trong phiên bản 6.0. Nếu chính sách giữa inbound và outbound không liên kết được với nhau và một địa chỉ dịch có giá trị thì packet bị lỗi. Tuy nhiên, có một ngoại lệ đối với quy tắc này là: nếu có 2 interface tham gia vào quá trình giaop tiếp có mức độ bảo mật như trên thì chúng ta không cần đến một địa chỉ dịch theo quy tắc để chuyển paket giữa chúng. 3.4.1 Cấu hình NAT động Việc cấu hình một địa chỉ dịch động [ cả NAT hay PAT] tham gia vào 2 quá trình sử lý sau: Xác định địa chỉ local sẽ được NAT Tạo nên một địa chỉ global mà địa chỉ local có thể được NAT tới Theo đó chúng ta có thể cấu hình 2 loại này mà không có vấn đề gì. Phần sau ta sẽ bàn tới việc từng bước cài đặt địa chỉ NAT và PAT động cũng như diễn đạt lại nhiều ví dụ khác nhau của các ví dụ dịch động Xác định địa chỉ local trong việc dịch

Để xác định một địa chỉ local có thể được dịch, ta sử dụng lệnh nat như sau: ciscoasa[config]# nat [logical_if_name] NAT_ID local_IP_addr subnet_mask [tcp] max_TCP_conns [embryonic_conn_limit] [udp max_UDP_conns] [dns] [norandomseq]

Những quy định cụ thể của lệnh nat mà địa chỉ local sẽ dịch sang quy định rất ngiêm khắc trong lệnh global. Tên logic của interface nơi mà các thiết bị vùng được đặt xuất hiện trong dấu ngoặc đơn [“[ ]”], ví dụ như : [inside] NAT_ID Các mối quan hệ giữa lệnh nat và global, tạo ra một chính sách.Nhưng trong một số trường hợp ngoại lệ, số lượng bạn sử dụng cho các NAT_ID [số chính sách] không quan trọng. Có một trường hợp đặc biệt bằng cách sử dụng một số NAT_ID: nếu bạn nhập số 0, bạn đang nói với các thiết bị mà các địa chỉ theo sau này trong lệnh nat không nên translated.Cisco đề cập đến tính năng này như nhận dạng NAT, đã được giới thiệu trong phiên bản 6.2. Bạn có thể muốn sử dụng nhận dạng NAT nếu bạn có một hỗn hợp các địa chỉ công cộng và cá nhân đang được sử dụng bên trong mạng của bạn cho các máy tính với địa chỉ công cộng, bạn có thể vô hiệu hóa NAT bằng cách sử dụng lệnh Page 61

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn nat 0 và quy định cụ thể địa chỉ hoặc địa chỉ của các thiết bị.Nếu bạn quy định số lượng địa chỉ mạng cho một địa chỉ local, cũng như ước lượng xấp xỉ số mặt nạ mạng con, thì ta điền số mạng và một mặt nạ mạng con bạn có thể thay đổi địa chỉ dịch[những địa chỉ inside của interface].Để làm điều đó ta dùng lệnh sau: ciscoasa[config]# nat [inside] 1 0.0.0.0 0.0.0.0 lệnh NAT-ID tương ứng với lệnh global. Chú ý rằng ta có thể rút gọn chuỗi 0.0.0.0 0.0.0.0 chỉ thành 0 0. Bạn có thể giới hạn tổng kết nối TCP bằng lện: [max_TCP_conns], và cũng có thể giảm một nửa kết nối TCP: embryonic_conn_limit Bắt đầu từ phiên bản 7.0 bạn có thể giới hạn số lượng tối đa cho một kết nối UDP. Tuy nhiên nếu bạn không cấu hình giới hạn số kết nối cho thiết bị mà đã dùng các chính sách để liên kết với nhau thì bảng conn table vẫn hỗ trợ cho các thiết bị được cho phép Để hiển thị những lệnh nat của bạn gõ lệnh: show run nat command. Cách tạo một dải địa chỉ global Chính sách dịch luôn cấu hình giữa một cặp interface, ví dụ như inside và outside, hoặc dmz và outside. Lệnh nat định nghĩa local hoặc interface gốc của một địa chỉ dịch Để định nghĩa đích đến hay interface đầu ra chứa địa chỉ global, ta sử dụng lệnh global như sau: ciscoasa[config]# global [logical_if_name] NAT_ID {first_global_IP_addr[-last_global_IP_addr] [netmask subnet_mask] | interface} Logical_if_name là tham số miêu tả tên logic của interface. Thông lượng sẽ được dịch và chuyển ra trên interface này. The NAT_ID là tham số cơ bản của lệnh. Đây là địa chỉ global có thể được sử dụng Việc dịch PAT có thể bị xóa khỏi bảng khi không có kết nối tương ứng trong bảng giới hạn thời gian kết nối. Trong khi việc dịch NAT thì không nể sử dụng lệnh để điều khiển thời gian [thời gian mặc định hết hạn là 3 giờ] Sử dụng với ACLs Một vấn đề với lệnh NAT là mặc định việc dịch chỉ có thể điều khiển được các gói tin gửi đi mà có địa chỉ là local, bạn không thể điều khiển được việc dịch trên các địa chỉ

Page 62

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn nguồn và đích được đưa ra . Ở đây chúng ta đang bàn đến khu vực xác định địa chỉ local dành cho việc dịch. Để giải quyết vấn đề trên, Cisco cho phép bạn liên kết chính sách dịch với một access control list [ACL] – điểu khiển truy cập. Nếu thông lượng tương ứng với một trường hợp cho phép xác định trong ACL thì chính sách tương đương này được sử dụng Đây là cú pháp sử dụng lệnh nat với ACL: ciscoasa[config]# nat [[logical_if_name]] NAT_ID access-list ACL_ID [tcp] max_TCP_conns [embryonic_conn_limit] [udp max_UDP_conns] [dns] [norandomseq] Dưới đây là 2 ví dụ sử dụng ACLs Ví dụ về dịch địa chỉ Giờ thì bạn đã hiểu về cú pháp của lệnh global và lệnh NAT. Hãy cùng hiểu rõ hơn chính sách dịch địa chỉ trên các thiết bị thông qua ví dụ đơn giản sau: Ở hình 3.11, thiết bị sẽ NAT cho bất kì internal nào có địa chỉ: 192.168.3.0/24 và 192.168.4.0/24 Chính sách cấu hình NAT cho ví dụ này là như sau: ciscoasa[config]# nat-control ciscoasa[config]# nat [inside] 1 0.0.0.0 0.0.0.0 ciscoasa[config]# global [outside] 1 200.200.200.10-200.200.200.254 netmask 255.255.255.0 Trong ví dụ này thì địa chỉ được yêu cầu NAT thông qua lệnh nat-control . Tất cả những thiết bị bên trong interface sẽ có địa chỉ nguồn được dịch là 200.200.200.0 khi tồn tại một interface đầu ra. Địa chỉ sẽ được thiết bị chọn để đăng kí một cách tự động.

Page 63

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.11 Ví dụ cấu hình NAT đơn giản Ví dụ đơn giản về cấu hình PAT

Hình 3.12 Ví dụ đơn giản về cấu hình PAT Chúng ta sẽ sử dụng mô hình mạng như hình vẽ trên để minh họa cho ví dụ này Lệnh cấu hình như sau: ciscoasa[config]# nat-control ciscoasa[config]# nat [inside] 1 0 0 ciscoasa[config]# global [outside] 1 interface Đây là một ví dụ về PAT, nơi mà thiết bị đang dùng địa chỉ interface bên ngoài cho PAT. Địa chỉ này có thể là địa chỉ tĩnh cũng có thể là địa chỉ được đăng kí một cách tự động bởi dịch vụ DHCP hoặc PPPoE. Trong ví dụ này các thiết bị kết nối trực tiếp tới ISP và nhận địa chỉ interface ra một cách tự động.

Page 64

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Ví dụ về cấu hình NAT và PAT Để minh họa cho việc sử dụng cả chính sách NAT và PAT trên một thiết bị, ta sử dụng lệnh sau: ciscoasa[config]# nat-control ciscoasa[config]# nat [inside] 1 192.168.3.0 255.255.255.0 ciscoasa[config]# global [outside] 1 200.200.200.1-200.200.200.125 netmask 255.255.255.128 ciscoasa[config]# nat [inside] 2 192.168.4.0 255.255.255.0 ciscoasa[config]# global [outside] 2 200.200.200.126 netmask 255.255.255.255 Trong ví dụ này, thiết bị bên trong sẽ nối NAT và PAT lại với nhau 1, 192.168.3.0/24 được dịch thành 200.200.200.1–125 [sử dụng NAT] 2, 192.168.4.0/24 được dịch thành 200.200.200.126 [sử dụng PAT]

Hình 3.13 ví dụ về cấu hình PAT và NAT Ví dụ về PAT với 2 địa chỉ global Minh họa cho ta thấy việc sử dụng hai địa chỉ global trên một thiết bị. ở đây ta sẽ dùng lấy mô hình mạng hình 3.11 để cấu hình như sau: ciscoasa[config]# nat-control ciscoasa[config]# nat [inside] 1 0.0.0.0 0.0.0.0 ciscoasa[config]# global [outside] 1 200.200.200.1 Page 65

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn netmask 255.255.255.255 ciscoasa[config]# global [outside] 1 200.200.200.2 netmask 255.255.255.255 Lệnh cấu hình này thực hiện PAT trên tất cả các kết nối bên trong bên ngoài bằng cách sử dụng hai địa chỉ trong lệnh global PAT và xác định NAT Ví dụ sử dụng PAT và xác định NAT Trên một thiết bị.Sử dụng mô hình mạng hình 3.13. Thực thi lệnh PAT cho địa chỉ 192.168.3.0/24 nhưng không thực hiện việc dịch địa chỉ từ địa chỉ 200.200.200.128/25, sau đó các thiết bị đã sẵn sàng public địa chỉ IP. Lệnh cấu hình như sau: ciscoasa[config]# nat-control ciscoasa[config]# nat [inside] 0 200.200.200.128 255.255.255.128 ciscoasa[config]# nat [inside] 1 192.168.3.0 255.255.255.0 50 25 ciscoasa[config]# global [outside] 1 200.200.200.1 netmask 255.255.255.255

Hình 3.14 Ví dụ cấu hình PAT, không NAT Ở ví dụ trên, sử dụng lệnh PAT khi địa chỉ đi từ bên trong 192.168.3.0/24 đi qua interface ra ngoài nó sẽ được dịch thành 200.200.200.128/25. Đó là ví dụ NAT 3interface, còn trong trường hợp với nhiều thiết bị hơn thì việc cấu hình cũng diễn ra tương tự Để thấy được sự phức tạp đó ta xem ví dụ minh họa sau:

Page 66

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.15 Ví dụ cấu hình NAT với 3 interface ciscoasa[config]# nat-control ciscoasa[config]# nat [inside] 1 0.0.0.0 0.0.0.0 ciscoasa[config]# nat [dmz] 1 192.168.5.0 255.255.255.0 ciscoasa[config]# global [outside] 1 200.200.200.10-200.200.200.254 netmask 255.255.255.0 ciscoasa[config]# global [dmz] 1 192.168.5.10-192.168.5.254 netmask 255.255.255.0 Trong ví dụ này, có ba interface tham gia với địa chỉ dịch lần lượt là: inside, ousite, và dmz. Một sự cố của chính sách dịch địa chỉ là: Inside tới dmz: chính sách này sử dụng lệnh NAT ở bên trong và lệnh global ở dmz [ cả hai đều có NAT_ID 1 ]. Bất kì thông lượng nào đi qua từ giao diện inside tới giao diện dmz sẽ được NAT sử dụng khoảng địa chỉ 192.168.5.10 tới 192.168.5.254. Dmz tới outside: chính sách này sử dụng lệnh NAT ở dmz và lệnh global trên interface bên ngoài [ cả hai đều có NAT_ID 1 ]. Bất kỳ lưu lượng nào đi qua interface từ bên trong ra ngoài đều được NAT dịch thành địa chỉ nằm trong khoảng 200.200.200.10– 200.200.200.254 Ví dụ cấu hình NAT sử dụng với ACLs

Page 67

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.15 Ví dụ về chính sách NAT

ciscoasa[config]# access-list Site_A permit tcp 10.0.1.0 255.255.255.0 host 172.16.10.1 ciscoasa[config]# nat [inside] 100 access-list Site_A ciscoasa[config]# global [outside] 100 172.16.1.100 netmask 255.255.255.255 ciscoasa[config]# access-list Site_B permit tcp 10.0.1.0 255.255.255.0 host 172.17.10.2 ciscoasa[config]# nat [inside] 101 access-list Site_B ciscoasa[config]# global [outside] 101 172.17.1.88 netmask 255.255.255.255 Trong ví dụ trước thì bất kì một gói dữ liệu nào từ địa chỉ 10.0.1.0/24 gửi đến 172.16.10.1 được dịch sử dụng PAT tới một địa chỉ IP 172.16.1.100, Nếu bất kì gói nào từ 10.0.1.0/24 đều được gửi tới 172.17.10.2. Tuy nhiên chúng được PAT tới một địa chỉ global khác172.17.1.88. Trong ví dụ này, một ACLs được sử dụng để điều khiển khi diễn ra việc dịch.Cả nguồn và đích đều tham gia vào kết nối này Chính sách xác định NAT Trong ví dụ này ta cấu hình các thiết bị cho một trang web của SOHO, lưu lượng đi qua internet được dịch sử dụng PAT Page 68

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Câu lệnh cấu hình thiết bị: SOHO[config]# access-list VPN-EXEMPT-NAT permit ip 10.100.10.0 255.255.255.0 10.10.0.0 255.255.0.0 SOHO[config]# nat-control SOHO[config]# nat [inside] 0 access-list VPN-EXEMPT-NAT SOHO[config]# nat [inside] 1 10.100.0.0 255.255.0.0 SOHO[config]# global [outside] 1 interface Khi lưu lượng đi qua kênh VPN theo kiểu site-to-site tới công ty, nó không nên được dịch: Lệnh access-list and nat [inside] 0 thực thi chính sách này. Khi lưu lượng đi từ SOHO tới Internet, nó sẽ dịch sử dụng PAT: Lệnh nat [inside] 1 and global [outside] 1 thực thi chính sách này.

Hình 3.16 Ví dụ chính sách xác định NAT

3.4.2 Cấu hình NAT tĩnh  Cú pháp cấu hình dịch NAT tĩnh NAT tĩnh thường được sử dụng cho kết nối dữ liệu vào: Bạn có một server trên interface mức cao mà muốn một giảm xuống thấp hơn đẻ xử lý, ví dụ như xử lý web dmz, email, và DNS server. Trong phần này ta sẽ đề cập đến vấn đề làm thế nào để tạo một NAT tĩnh

Page 69

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Đây là cú pháp để tạo một NAT tĩnh với câu lệnh sau: ciscoasa[config]# static [local_if_name,global_if_name] global_IP_addr local_IP_addr [netmask subnet_mask] [tcp [max_conns [embryonic_conn_limit]] [udp max_conns [dns] [norandomseq] Tất cả những lệnh làm việc với thiết bị Cisco, lệnh tĩnh là một trong những lệnh mà cấu hình gần tương tự nhau, vì những yêu cầu chung của tham số: local interface, địa chỉ global, và địa chỉ IP của local  Ví dụ về NAT tĩnh Để minh họa cho chính sách cấu hình NAT tĩnh. Ta sử dụng mô hình mạng trong hình 3.17 miêu tả chính sáchcấu hình cả NAT tĩnh và động ciscoasa[config]# nat-control ciscoasa[config]# static [dmz,outside] 200.200.200.1 192.168.5.2 netmask 255.255.255.255 ciscoasa[config]# static [dmz,outside] 200.200.200.2 192.168.5.3 netmask 255.255.255.255 ciscoasa[config]# static [inside,outside] 200.200.200.3 192.168.4.1 netmask 255.255.255.255 ciscoasa[config]# nat [inside] 1 0.0.0.0 0.0.0.0 ciscoasa[config]# global [outside] 1 200.200.200.10-200.200.200.254 netmask 255.255.255.0 ciscoasa[config]# global [dmz] 1 192.168.5.10-192.168.5.254 netmask 255.255.255.0

Page 70

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.17 Ví dụ cấu hình NAT tĩnh Trong ví dụ này, thiết bị có ba giao diện bên trong, bên ngoài, và dmz. Các lệnh tĩnh đầu tiên tạo ra một chính sách dịch NAT tĩnh cho DMZ email server: người sử dụng bên ngoài gửi lưu lượng truy cập đến 200.200.200.1, sẽ được dịch sang 192.168.5.2 và chuyển tiếp đến dmz. Lệnh thứ hai tạo ra một chính sách NAT tĩnh cho các máy chủ DMZ web: người sử dụng bên ngoài gửi lưu lượng truy cập đến 200.200.200.2 sẽ được dịch sang 192.168.5.3 và chuyển tiếp đến dmz. Lệnh thứ ba tạo ra một chính sách NAT tĩnh cho các máy FTP_server bên trong:người sử dụng bên ngoài gửi lưu lượng truy cập đến 200.200.200.3 sẽ được dịch sang 192.168.4.1 và chuyển tiếp đến giao diện bên trong . Có hai chính sách dịch bổ sung để truy cập ra bên ngoài , là khi chúng ta gửi lưu lượng truy cập từ bên trong ra ngoài, các địa chỉ sẽ được dịch bằng NAT khác nhau từ 200.200.200.10 đến 200.200.200.254. Ngoài ra, khi người sử dụng bên trong truy cập vào phân đoạn mạng DMZ, các địa chỉ sẽ được dịch thành các địa chỉ có dải từ 192.168.5.10 đến 192.168.5.254 3.4.2 Cấu hình PAT tĩnh  Cú pháp cấu hình PAT tĩnh Lệnh tĩnh được sử dụng để chuyển hướng các lưu lượng truy cập từ một địa chỉ đích và một port đích tới một máy nội bộ khác [ và có thể là số cổng đích khác nhau ]. Dưới đây là cú pháp của lệnh: ciscoasa[config]# static [local_if_name,global_if_name] {tcp | udp} {global_IP_addr | interface} global_dest_port_# local_IP_addr local_port_#

Page 71

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn [netmask subnet_mask] [tcp [max_TCP_conns [embryonic_conn_limit]] [udp max_UDP_conns [dns] [norandomseq] Đối với các cổng chuyển hướng, xác định các giao thức IP : UDP hay TCP. Địa chỉ global IP hay địa chỉ IP public mà các bên ngoài sẽ gửi lưu lượng truy cập tới. Thay vì sử dụng địa chỉ này bạn có thể chỉ định các tham số giao diện mà các thiết bị đã đăng kí tên. Số cổng toàn cầu là một số của ứng dụng mà các thiết bị bên ngoài lấy được ví dụ như FTP có số cổng là 21 Local_IP_address là địa chỉ thực tể được đăng kí với các thiết bị bên trong, và local_port_# là số cổng ứng dụng đang lắng nghe trên các thiết bị nội bộ. Các tham số khác đã được nới trước đó trong phần “ Xác định các địa chỉ dịch nội bộ ” Ví dụ về PAT tĩnh Để minh họa cấu hình PAT tĩnh hoặc các chính sách dịch PAR. Ta sử dụng mô hình mạng 3.18. Lệnh sau cấu hình cho PAR

Hình 3.18 Ví dụ PAT tĩnh ciscoasa[config]# static [inside,outside] tcp interface 80 192.168.1.20 80 netmask 255.255.255.255 Trong ví dụ này, lưu lượng web được gửi đến cổng 80 tới địa chỉ IP trên giao diện ngoài của thiết bị sẽ được chuyển tiếp đến địa chỉ 192.168.1.20 trên cổng 80 của giao diện bên trong 3.5 Access Control Ở phần trước, chúng ta đã bàn về một số các lệnh bảo vệ các thiết bị để thực hiện dịch địa chỉ, như global, NAT, và PAT tĩnh. Phần này sẽ mở rộng về chủ đề kiểm soát lưu lượng truy cập thông qua các thiết bị: Page 72

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn ▼ Sử dụng danh sách kiểm soát truy cập [ACL] để lọc lưu lượng truy cập thông qua thiết bị ■ Sử dụng các nhóm đối tượng để đơn giản hóa việc quản lý của ACL ■ Lọc các gói tin ICMP đến vào thiết bị ▲ Khắc phục sự cố kết nối bằng cách sử dụng đánh dấu gói dữ liệu và các tính năng chụp gói 3.5.2 So sánh giữa ACL Router và Firewall ASA Cisco đang thử sức để di chuyển đến một giao diện dòng lệnh thống nhất trên toàn sản phẩm mạng của nó, mà bạn có thể thấy rõ điều này với các lệnh ACL trên các thiết bị của nó . Phần này trình bày những điểm tương đồng và một vài sự khác biệt giữa các ACL trên thiết nói chung bị và ACL trên router IOS. Một nhóm các ACL được gán nhãn với 1 chỉ số nhận biết nhóm đó Cả Standard và Extended ACL đều được trang bị trong Firewall ASA Cú pháp của các rule là như nhau Mỗi rule được xử lý theo thứ tự từ trên xuống bắt đầu từ rule đầu tiên Có một rule cuối mỗi danh sách ACL mặc định luôn cấm các traffic Khi thêm một Rule vào thì rule đó mặc định được thêm vào cuối của danh sách Rule Khi chỉnh sửa ACL, bạn có thể xóa các rule và thêm các rule vào sanh sách Rule Bạn có thể chú thích vào nhiều ACL Mỗi ACL có thể được cho phép hoặc vô hiệu dựa trên ngày tháng [Timed ACL] 3.5.3 Tạo và áp dụng ACL Trong phần trước ta đã đi qua một vài ví dụ đơn giản của TCP lưu lượng chảy qua thiết bị trong phần " Ví dụ kết nối TCP ". Ta sẽ xây dựng về chủ đề này để cung cấp một sự hiểu biết tốt hơn về những gì mà các thiết bị đang làm cho các gói dữ liệu vào ra giao diện của nó. Dưới đây là các bước một gói dữ liệu sẽ đi qua khi bước vào mộtgiao diện:

Page 73

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Thiết bị so sánh thông tin gói tin đến các kết nối hiện có bảng nhà nước để xác định xem gói tin là một phần mới, hoặc là một hiện tại, kết nối. Nếu nó là một kết nối hiện tại, gói tin được cho phép thông qua, và phần còn lại của ACL kiểm tra được liệt kê ở đây được bỏ qua. Giả sử dịch địa chỉ được kích hoạt, bước này được thực hiện. Đối với trong nước kết nối, địa chỉ đích được so sánh với bản dịch chính sách để đảm bảo rằng nó có thể được dịch. Đối với các kết nối ra ngoài, địa chỉ đích được so sánh với các chính sách dịch để đảm bảo nó có thể được dịch. Nếu không có chính sách phù hợp với bản dịch, gói tin được giảm xuống. Lưu ý rằng bản dịch không thực sự xảy ra ở bước này. 3. Nếu đây là một gói tin gửi đến, các gói tin phải phù hợp với một giấy phép ACL tuyên bố áp dụng trong nước trên giao diện đến, nếu không thì gói tin bị rơi. Nếu đây là một gói tin gửi đi và không có ACL tồn tại, lưu lượng truy cập được cho phép để đi từ một cao hơn một mức độ bảo mật thấp hơn theo mặc định, nếu không, nếu một ACL tồn tại cục bộ trên giao diện, các gói tin phải phù hợp với một giấy phép ACL tuyên bố hoặc nó bị cấm Page 74

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn 4. Các thiết bị sau đó một tuyến đường tra cứu để xác định giao diện xuất cảnh thiết bị cần sử dụng. Điều này là cần thiết để xác định các ACL để xử lý và để thực hiện dịch địa chỉ, nếu được kích hoạt. 5. Giả sử rằng bản dịch địa chỉ đã được cấu hình, các điểm đến thông tin địa chỉ là không được phiên dịch với một lệnh tĩnh hoặc dịch với lệnh nat và toàn cầu. 6. Tại thời điểm này kết nối được thêm vào bảng conn và được theo dõi. 3.5.4 Áp dụng một ACL Standard ACL Giống như IOS Router, Firewall ASA hỗ trợ Standard ACL để lọc packet dựa trên địa chỉ IP. Tuy nhiên với Standard ACL, Firewall không thể sử dụng để lọc traffic vào ra Interface Cú pháp

Extended ACL Có thể lọc traffic vào ra trên một interface. Lọc địa chỉ nguồn và địch, giao thức, ứng dụng

ACL theo thời gian ACL theo thời gian có thể được thực thi hoặc vô hiệu phụ thuộc vào thời gian mà ta cấu hình Page 75

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Ví dụ bạn cần cho phép truy cập vào Server từ 8h00 am đến 6h00 pm Tạo time ranges

Kiểm tra cấu hình ACL Để liệt kê các câu lệnh trong ACL, bạn có hai lựa chọn. Đầu tiên Show run access-list và show run access-group để hiển thị cấu hình trong running-config ciscoasa[config]# show access-list [ACL_ID] Nếu không muốn xem ACL đơn, bạn có thể xem toàn bộ các ACL - ciscoasa[config]# show access-list 3.5.5 Một số ví dụ ASA có hai Interface: VD1 Cho phép tất các các Outbound traffic Hạn chế inbound trafic đối với Internal Server

Hình 3.19 ví dụ về NAT với 2 interface Ví dụ có 2 interface

Page 76

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Có hai nhóm thiết bị trong LAN, nhóm A[192.168.1.128-192.168.1.191] và nhóm B[192.168.1.192-192.168.1.254]. Các rule như sau Đối với nhóm A Chặn truy cập đối với mạng 131.108.0.0/16 Chặn truy cập đến webserver: 210.210.210.0/24 Cho phép truy cập internet Đối với nhóm B Cho phép truy cập đến tất cả các thiết bị trong mạng 140.140.0.0/16 Cho phép truy cập đến webserver: 210.210.210.5/32 và 211.211.211.3/32 Cấm truy cập đến các mạng Internet khác

Page 77

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

ASA có 3 interface Topo

Hình 3.20 Ví dụ NAT với mô hình 3 interfaces Cấu hình:

Page 78

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Cấu hình một vài chính sách lọc gói tin Đối với DMZ User không được cho phép truy cập bất cứ thứ gì trên mạng 192.168.1.0/24 Máy 192.168.5.5 và 192.168.5.6 được cho phép truy cập 192.168.2.0/24 Các thiết bị trong DMZ được truy cập Internet

Đối với Internal User User được truy cập vào email và webserver : 192.168.5.0/24 ngoại trừ các thiết bị khác trên mạng àny Page 79

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn User không được truy cập 192.168.1.0/24 Thiết bị trên 192.168.2.0/24 và 192.168.3.0/24 được cho phép truy cập đến Internet Thiết bị trên 192.168.4.0/24 được truy cập đến 131.108.0.0/16. 140.140.0.0/16 và 210.210.210.0/24 ở bên ngoài Internet

Đối với External User User được cho phép truy cập đến email server trong DMZ User được phép truy cập đến webserver trong DMZ Tất cả các loại truy cập khác đều bị cấm

3.6 Web content Ở phần trên ta đã tìm hiểu về các khả năng lọc của các thiết bị trong đó có cả ACLs. Nhưng một hạn chế của ACLs là nó chỉ có thể lọc địa chỉ lớp network và transport trong mô hình tham chiếu OSI. Mà chúng không thể đọc được nội dung thông Page 80

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn tin[ những thông tin được tải về]. Trong trường họp các Hacker muốn tấn công bằng cách tạo ra các applet Java độc hại hoặc ActiveX mà người dùng sẽ tải về để tạo hoặc chạy các ưng dụng đó. Một vấn để của ACLs là một ACL có thể chấp nhận hay từ chối cổng TCP 80, trong đó có bao gồm cả applet Java nói ở trên. Nó không thể lọc chỉ một ứng dụng apple Java được. Tương tự như vậy, ACL cũng có vấn đề khi giao dịch với bộ lọc nội dung các trang web. Hãy tưởng tượng bạn có một chính sách nghiêm cám người sử dụng web truy cập vào các trang web xấu, bởi vì thông tin các trang web đã thay đổi tất cả rồi thế nên bạn vẫn thêm các trang đó vào cấu hình ACLs của mình, vậy quá trình xử lý trên là không thể quản lý được.Một vấn đề hàng đầu của bảo mật là vấn đề tải nội dung trang web chiếm quá trình xử lý băng thông rất mạnh, đặc biệt là khi có nhiều người cung tải một nội dung của một trang web. Có ba giải pháp cho những vấn đề này. Các giải pháp đầu tiên là khả năng các thiết bị lọc trên Java và kịch bản ActiveX được nhúng vào trong các kết nối HTTP. Giải pháp thứ hai cho lọc nội dung cho phép các thiết bị để làm việc với phần mềm lọc nội dung của bên thứ ba để lọc HTTP và FTP. Giải pháp thứ ba là sự hỗ trợ cho Web Cache các giao thức truyền thông [WCCP], cho phép các thiết bị để chuyển hướng các yêu cầu web tới một máy chủ web bên ngoài bộ nhớ cache để tải về nội dung. Các chủ đề trong phần này bao gồm: ▼ Lọc Java và ActiveX ■ Web content ▲ Web caching 3.6.1 Giải pháp lọc Java và ActiveX Các thiết bị có thể lọc cả java và kịch bản activeX mà không cần bất kỳ phần mềm bổ sung hay các thành phần phần cứng nào. Về cơ bản các thiết bị cho nhúng HTML với lệnh và thay thế chúng với những phản hồi. Một trong số này lệnh bao gồm: , , và CLASSID> . Tính năng lọc này cho phép bạn ngăn chặn việc tải các applet độc hại và các kịch bản cho máy tínhcủa người dùng trong khi vẫn cho phép tải nội dung trang web. Một lợi thế của việc sử dụng các thiết bị là chúng cung cấp một điểm trung tâm cho chính sách lọc của bạn. Tuy nhiên, bộ lọc chỉ có thể được thực hiện dựa trên địa chỉ IP của một máy chủ web.Vì vậy, bạn không có một số khả năng lọc một trình duyệt hoặc lọc một nội dung có động cơ xấu, nhưng bạn có thể sử dụng các thiết bị kết hợp với các công cụ khác, như cài đặt trình duyệt an toàn và nội dung một công cụ lọc, để cung cấp bảo mật tối đa cho mạng của bạn. Hai phần sau đây thảo luận làm thế nào để lọc Java applet và kịch bản ActiveX trên các thiết bị của bạn.

Page 81

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Cấu hình lọc Java và ActiveX Về cơ bản bạn chỉ có một phương pháp lọc Java applet trực tiếp trên thiết bị của bạn. Cú pháp của lệnh này: ciscoasa[config]# filter java port_name_or_#[-port_name_or_#] internal_IP_address subnet_mask external_IP_address subnet_mask: Một điều mà bạn sẽ nhận thấy là bạn không cần phải kích hoạt bộ lọc trên một giao diện như trong trường hợp của ACL. Các lệnh bộ lọc java tự động áp dụng cho lưu lượng truy cập vào bất kỳ giao diện nào trên các thiết bị. Tham số đầu tiên bạn nhập vào là tênc ổng hoặc số lưu lượng mà trang web truy cập. Rõ ràng là một cổng mà bạn sẽ có là 80. Bạn có thể nhập một loạt các cổng, hoặc nếu chúng không liền kề nhau, bạn có thể nhập chúng vào với lệnh lọc java riêng biệt. Hai thông tin cần có của cổng là hai địa chỉ IP và mặt nạ mạng con. Chú ý rằng đây không phải là cú pháp một sử dụng ACL, mà nó chỉ rõ một nguồn và địa chỉ đích. Đầu tiên bạn có thể cấu hình các định dạng của địa chỉ trong lệnh lọc java có cấu hình iterface ở cấp độ bảo mật cao hơn sau đó cấu hình thông tin địa chỉ IP của giao diện có mức độ thấp hơn. Ví dụ, nếu bạn muốn lọc tất cả các applet Java cho các kết nối HTTP, bạn sẽ sử dụng cú pháp sau đây: ciscoasa [config] # lọc java 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 -orciscoasa [ config] # lọc java http 0 0 0 0 Nếu bạn muốn lọc Java applet cho 192.1.1.0/24 mạng bên ngoài cho tất cả các người dùng nội bộ, cấu hình sẽ như sau: ciscoasa [config] # lọc java 80 0 0 192.1.1.0 255.255.255.0 Cấu hình lọc ActiveX Dưới đây là cú pháp của lệnh lọc activex : ciscoasa [config] # lọc activex port_name_or_ # [-port_name_or_ #] internal_IP_address subnet_mask external_IP_address subnet_mask Cú pháp của lệnh activex lọc là cơ bản giống như các lệnh lọc java và cư xử theo cách tương tự. Nếu bạn muốn lọc tất cả các kịch bản ActiveX, sử dụng ví dụ này: ciscoasa [config] # lọc activex 80 0 0 0 0 -orciscoasa [ config] # lọc activex http 0 0 0 0 Page 82

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Như bạn có thể thấy, lọc kịch bản ActiveX không khác so với lọc Java applet, cả hai dễ dàng để thiết lập. 3.6.2 Web content

Một trong những mối quan tâm của nhiều công ty khi kết nối với Internet là các loại thông tin mà nhân viên của họ đang tải về máy tính để bàn của họ.Tuy nhiên có một vài nghiên cứu đã được thực hiện, và trung bình 30-40% lưu lượng truy cập Internet của công ty là mục đích không phục vụ cho việc kinh doanh của họ. Trong một số trường hợp, thông tin mà nhân viên tải về có thể gây khó chịu cho các nhân viên khác. Thông tin này có thể là từ nội dung khiêu dâm tới nội dung chính trị hay tôn giáo. Rất nhiều các nội dung được tải về như báo giá cổ phiếu và truyền âm thanh và video là vô hại, nhưng có thể sử dụng băng thông đắt tiền. Các thiết bị có khả năng hạn chế và ngắt kết nối khi lọc nội dung web. Một giải pháp khả năng mở rộng nhiều hơn nữa là phải có các thiết bị làm việc với các sản phẩm của bên thứ ba để cung cấp tính năng lọc web toàn diện. Các phần dưới đây bao gồm các thiết bị và sản phẩm lọc web tương tác như thế nào, các sản phẩm lọc của bên thứ ba mà các thiết bị hỗ trợ, và cấu hình các thiết bị lọc web. Tiến trình lọc web Để thực hiện lọc nội dung web, đôi khi được gọi là lọc web, hai thành phần có liên quan đến: ▼ Chính sách phải được xác định là xác định những gì được hoặc là không được phép của người sử dụng. ▲ Các chính sách phải được thi hành. Hai phương pháp thực hiện các quá trình này thường được triển khai trong các mạng: ▼ Ứng dụng proxy ▲ Thay đổi Proxy Hai phần sau đây sẽ thảo luận về những cách tiếp cận này. ▼ Ứng dụng proxy Với một proxy ứng dụng, cả hai thành phần định nghĩa và thực thi chính sách được thực hiện trên một máy chủ. Trình duyệt web hoặc là người sử dụng được cấu hình để trỏ đến các proxy, hoặc lưu lượng truy cập của họ chuyển hướng đến proxy. Với một proxy ứng dụng, các bước sau đây xảy ra khi người dùng muốn tải về nội dung trang web: 1. Người sử dụng sẽ mở ra một trang web. 2. Tất cả các kết nối được chuyển hướng đến các máy chủ proxy ứng dụng, mà có thể yêu cầu người dùng xác thực trước khi truy cập bên ngoài được cho phép. 3. Proxy ứng dụng kiểm tra một [nhiều] kết nối và so sánh nó với danh sách của các chính sách cấu hình. 4. Nếu kết nối là không được phép, người sử dụng thường được hiển thị một trang web

Page 83

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn về vi phạm chính sách. 5. Nếu kết nối được cho phép, proxy mở các kết nối cần thiết đểtải về nội dung. Nội dung sau đó được truyền lại qua ban đầu của người dùng kết nối và được hiển thị trong trình duyệt web của người dùng. ▲ Thay đổi Proxy Một proxy đổi chia tách ra hai thành phần chính sách: một máy chủ bên ngoài có danh sách các chính sách, và một thiết bị mạng thực hiện các chính sách lưu lượng truy cập web thông qua nó. Các thiết bị hỗ trợ phương pháp tiếp cận proxy sửa đổi: bộ lọc nội dung web, các thiết bị phải tương thích với một máy chủ nội dung web bên ngoài. Hình dưới đây cho thấy sự tương tác giữa người sử dụng thực tế, thiết bị, chính sách máy chủ, và các máy chủ web bên ngoài. Trong ví dụ này, người dùng sẽ gửi một yêu cầu HTML đến một bên ngoài máy chủ web [bước 1]. bước 2 các thiết bị làm hai công việc sau: ▼Chuyển các yêu cầu HTML [thông tin URL] đến nội dung web chính sách máy chủ ▲ Chuyển tiếp HTML yêu cầu đến máy chủ web thực tế.

Hình 3.21 Thay đổi proxy Bước 3: Các nội dung chính sách của máy chủ web so sánh các yêu cầu URL với chính sách nội bộ của mình và gửi lại hành động vào thiết bị. Thiết bị sau đó thực thi các hành động truy cập lưu lượng trở lại [bước 4]. Nếu nội dung chính sách của máy chủ web nói để từ chối giao thông, thiết bị giảm lưu lượng truy cập web trở về. Tuy nhiên, nếu nội dung chính sách trang web máy chủ cho phép lưu lượng truy cập, thiết bị chuyển tiếp lưu lượng truy cập cho người dùng nội bộ[bước 5]. Như bạn có thể nhìn thấy từ lời giải thích này, các thiết bị không thực sự lọc bỏ đi Page 84

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn kết nối. Quá trình này về cơ bản cho phép đủ thời gian để nội dung chính sách trang web máy chủ gửi lại một hành động vào thiết bị trước khi các máy chủ web bên ngoài trả lời người sử dụng, qua đó cho thấy có rất ít sự chậm trễ trong dòng lưu lượng truy cập của người dùng. Không giống như một proxy ứng dụng, các thiết bị không có proxy kết nối: cho phép họ đi ra và thực thi các chính sách về lưu lượng truy cập trở lại. Hơn thế nữa đây sẽ là CPU và bộ nhớ thân thiện bằng cách sử dụng một proxy ứng dụng thực sự. Tuy nhiên, nếu các nội dung chính sách trang web máy chủ xử lý hàng ngàn yêu cầu, nếu là người dùng kinh nghiệm bạn có thể trì hoãn trong dòng lưu lượng của họ. Cisco hỗ trợ một hình thức hạn chế của cân bằng tải để phân chia chính sách tra cứu trên nhiều nội dung chính sách máy chủ web. 3.6.3 Web caching

Bộ nhớ đệm Web được sử dụng để giảm độ trễ và số tiền của lưu lượng khi tải nội dung trang web. Giả sử một bộ nhớ cache web máy chủ được triển khai, khi người dùng truy cập một trang web,nội dung được tải về lưu trữ trên máy chủ cache. Sau đó truy cập cùng một nội dung sau đó được cung cấp từ máy chủ bộ nhớ cache địa phương so với tải về các nội dungtừ máy chủ gốc. Truyền thông Web Cache Protocol [WCCP] cho phép các thiết bị an ninh tương tác với bộ nhớ cache web bên ngoài và / hoặc các máy chủ lọc. Tiến trình WCCP Để hiểu được những lợi ích mà WCCP cung cấp, ta sẽ đi qua quá trình thiết bị đi qua khi sử dụng WCCP: 1. Người sử dụng sẽ mở ra một trang web, nơi kết nối [hoặc những kết nối] tạo ra các cách để đi đến các thiết bị. 2. Các thiết bị chặn các kết nối yêu cầu web này lại, đóng gói nó trong một Generic Routing Encapsulation [GRE] gói tin để ngăn chặn thay đổi bởi thiết bị trung gian và chuyển tiếp đến bộ nhớ cache web của máy chủ . 3. Nếu nội dung được lưu trữ trong máy chủ, trùng với yêu cầu đó thì nó trả lại trực tiếp nội dung cho người sử dụng. 4. Nếu nội dung không được lưu trữ trong máy chủ, yêu cầu được gửi đến các thiết bị, và thiết bị cho phép kết nối giữa người dùng tới máy chủ web gốc. Đối với bước 3 trong suốt quá trình chuyển hướng, thiết bị không thêm kết nối bảng liên kết và do đó không thực hiện bất kỳ theo dõi trạng thái của TCP, không ngẫu nhiên số thứ tự TCP trong tiêu đề TCP, không thực hiện Cut-through Proxy Một số lợi ích của WCCP ▼ Người sử dụng không phải thay đổi cài đặt trình duyệt web của họ. ■ Bộ nhớ đệm web máy chủ có thể thực hiện lọc nội dung tùy chọn. ■ Băng thông được tối ưu hóa nội dung người dùng đang yêu cầu trước đó đã được Page 85

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn lưu trữ trên bộ nhớ cache web của máy chủ. ▲ Các bộ nhớ cache web máy chủ có thể đăng nhập và báo cáo các yêu cầu web của người sử dụng cho bạn. Cisco đã tạo ra các giao thức, và nó có hai phiên bản: 1 và 2. Một số cải tiến của WCCPv2 bao gồm hỗ trợ cho các giao thức khác ngoài HTTP, multicasting các yêu cầu bộ nhớ cache web của máy chủ, nhiều bộ nhớ cache máy chủ, tải phân phối trong nhiều máy chủ bộ nhớ cache, MD5 xác thực của thông tin giữa các redirector và bộ nhớ cache của máy chủ web, và nhiều người khác. Trong hai phiên bản, các thiết bị chỉ hỗ trợ WCCPv2, tuy nhiên, một số tính năng không được hỗ trợ bởi các thiết bị, như multicast WCCP. Cấu hình WCCP WCCP hỗ trợ mới trong phiên bản 7.2 của hệ điều hành của các thiết bị. Việc kích hoạt WCCP chuyển hướng các yêu cầu web của người sử dụng là một quá trình gồm hai bước: ▼ Định nghĩa một nhóm máy chủ WCCP ▲ Kích hoạt WCCP trên một giao diện Hai phần sau đây sẽ thảo luận về cấu hình của hai bước trên: ▼Định nghĩa một nhóm máy chủ WCCP Để xác định các nhóm máy chủ WCCP [máy chủ web cache], sử dụng lệnh sau đây: ciscoasa[config]# wccp {web-cache | service_number} [redirect-list ACL_ID] [group-list ACL_ID] [password password] Tham số web-cache làm cho thiết bị để đánh chặn kết nối TCP cổng 80 và để chuyển hướng lưu lượng truy cập đến các bộ nhớ cache web máy chủ. Bạn có thể chuyển hướng các giao thức khác, như FTP, bằng cách chỉ định một số dịch vụ, khoảng 0-254. Ví dụ, 60 thể hiện cho dịch vụ FTP. Các tham số chuyển hướng, danh sách kiểm soát giao thông được chuyển hướng đến Tham số-cache web làm cho thiết bị để đánh chặn cổng TCP 80 kết nối và để chuyển hướng lưu lượng truy cập đến các máy chủ bộ nhớ cache web. Bạn có thể chuyển hướng các giao thức khác, như FTP, bằng cách chỉ định một số dịch vụ, khoảng 0-254. Ví dụ, dịch vụ 60 đại diện cho FTP. Chuyển hướng danh sách tham số điều khiển những gì lưu lượng được chuyển hướng đến các nhóm dịch vụ [được định nghĩa trong một ACL], và redirect-list quy định cụ thể địa chỉ IP của các máy chủ bộ nhớ cache web [được định nghĩa trong một ACL tiêu chuẩn]. Tham số password xác định mật khẩu để Page 86

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn xác định phím MD5 được sử dụng để tạo ra và xác nhận chữ ký xác thực MD5 được sử dụng bởi các bộ nhớ cache web máy chủ. Kích hoạt WCCP trực tiếp trên một giao diện Bước thứ hai là để cho phép chuyển hướng WCCP trên giao diện kết nối với người sử dụng và bộ nhớ cache web của máy chủ: ciscoasa [config] # WCCP giao diện logical_if_name {web-cache | service_number} redirect in Lệnh này cần phải được thực hiện cho mỗi số dịch vụ. Xác minh WCCP Để xác minh hoạt động của WCCP, sử dụng lệnh sau đây: ciscoasa# show wccp {web-cache | service_number} [detail] [view] Các thông số chi tiết hiển thị thông tin về tất cả các router / máy chủ web lưu trữ;xem các thông số hiển thị các thành viên khác của một nhóm máy chủ cụ thể có thể bị phát hiện hoặc không. ciscoasa# show wccp Global WCCP information: Router information: Router Identifier: -not yet determinedProtocol Version: 2.0 Service Identifier: web-cache Number of Cache Engines: 0 Number of routers: 0 Total Packets Redirected: 0 Redirect access-list: web-traffic-list Total Connections Denied Redirect: 0 Total Packets Unassigned: 0 Group access-list: server-list Total Messages Denied to Group: 0 Total Authentication failures: 0 Total Bypassed Packets Received: 0 Page 87

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Ví dụ về cấu hình WCCP Để xem một minh họa về cấu hình và sử dụng của WCCP, kiểm tra mạng trong Hình bên dưới Chú ý rằng người sử dụng và bộ nhớ cache web máy chủ được đặt cùng một giao diện trên thiết bị. Dưới đây là cấu hình thiết bị cho WCCP ciscoasa[config]# wccp web-cache password myMD5password ciscoasa[config]# wccp interface inside web-cache redirect in Như chúng ta thấy thì việc cấu hình cũng rất đơn giản

Hình 3.22 Ví dụ về cấu hình WCCP 3. 7 Khời tạo các chính sách bảo mật trên ASA Chính sách về các giao thức Modular Policy Framework Phần này sẽ giới thiệu về Cisco Modular Policy Framework [MPF] trên thiết bị bảo mật Cisco. MPF đã thực sự chuyển từ Cisco IOS switch và router và thêm vào phiên bản 7,0. Rõ ràng là nhiều tương đồng tồn tại trong hoạt động và sử dụng của MPF trên cả hai nền tảng, tuy nhiên, có sự khác biệt: MPF là chủ yếu được sử dụng để thực hiện chức năng bảo mật trên thiết bị. Các các chủ đề bao gồm trong chương này là ▼Giới thiệu MPF trên các thiết bị ■ Làm thế nào bản đồ lớp được sử dụng để phân loại lưu lượng truy cập ■ Làm thế nào bản đồ chính sách được sử dụng để liên kết chính sách bản đồ lớp ▲ Làm thế nào chính sách dịch vụ được sử dụng để kích hoạt bản đồ chính sách Chương này tập trung vào một tổng quan về MPF và nói chung làm thế nào MPF được thực hiện. Các chương tiếp theo sẽ tập trung vào các cách MPF được thực hiện cho các giao thức

Page 88

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn khác nhau và các ứng dụng và một số khả năng bảo mật nâng cao MPF đó cung cấp cho bạn cái nhìn tổng quan về chính sách về các giao thức tổng quan về MPF

MPF là một tính năng chuyển từ IOS để làm cho nó dễ dàng hơn để thực hiện nhất quán và linh hoạt chính sách trên các thiết bị bảo mật. Một hoặc nhiều chính sách có thể được áp dụng để cho lưu lượng đi qua các thiết bị. Dưới đây sẽ thảo luận về các chính sách thiết bị hỗ trợ và các thành phần được sử dụng để thực hiện MPF. Chính sách MPF MPF cho phép bạn chỉ định một hoặc nhiều chính sách để một lớp học của lưu lượng truy cập. Các chính sách mà bạn có thể áp dụng cho giao thông bao gồm: ▼ Kiểm tra các kết nối Bạn có thể kiểm soát những gì giao thông được thêm vào cho nhà nước bảng để cho phép trở về giao thông trở lại nguồn, cũng như kiểm tra trọng tải các ứng dụng kiểm tra dịch, kết nối, và các vấn đề an ninh. ■ Hạn chế kết nối Bạn có thể giới hạn số lượng hoàn thành và một nửa mở [phôi] kết nối trên mỗi nhóm, mỗi người sử dụng, hoặc cho mỗi máy chủ cơ sở, kiểm soát nhàn rỗi thờ gian tạm ngưng cho các kết nối trong bảng nhà nước, và các thông số khác kiểm soát kết nối. ■ giao thông ưu tiên Bạn có thể thực hiện độ trễ thấp xếp hàng [LLQ] ưu tiên giao thông chậm trễ nhạy cảm và ưu tiên cao, như giọng nói, về giao thông dữ liệu bình thường. ■ giao thông chính sách Bạn có thể giới hạn tốc độ giao thông ở cả trong và ngoài nước hướng dẫn trên một giao diện để đảm bảo rằng băng thông quá nhiều nhu cầu của một loại giao thông, ứng dụng không ảnh hưởng đến giao thông khác chảy qua thiết bị. ■ hệ thống chống xâm nhập [IPS] Nếu bạn có thẻ AIP-SSM cài đặt trong một ASA, bạn có thể xác định chính sách để sao chép các gói dữ liệu hoặc để chuyển hướng các gói dữ liệu vào thẻ AIP-SSM để tìm kiếm và ngăn chặn các cuộc tấn công. ▲ Anti-X Nếu bạn có thẻ CSC-SSM được cài đặt trong một ASA, bạn có thể xác định chính sách đã chuyển hướng lưu lượng truy cập thông qua các thẻ để tìm kiếm virus, phần mềm độc hại,phần mềm gián điệp, lừa đảo, và các loại khác của các vấn đề với các trang web, FTP, và e-mail các ứng dụng.

Sự cần thiết của MPF Bạn đã nhìn thấy nhiều lý do trong phần cuối cùng lý do tại sao bạn có thể muốn sử dụng MPF. Tuy nhiên, tôi cần phải mở rộng thêm trong những mục này, kiểm tra ứng dụng, để xem một số ẩn các lợi thế mà MPF cung cấp. Ba phần sau đây sẽ thảo luận vấn đề là các Page 89

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn ứng dụng nhất định và / hoặc các giao thức có thể có và những gì MPF có thể làm với ứng dụng kiểm tra để giải quyết những vấn đề này. Phần còn lại của Phần III đi sâu vào nhiều các ứng dụng và các giao thức mà Cisco có thể thực hiện kiểm tra trên; các phần tiếp theo sẽ chỉ tập trung vào một số ví dụ đơn giản Điểm yếu của bảo mật trong ứng dụng Nhiều ứng dụng đã trở nên nổi tiếng với chính điểm yếu bảo mật của nó. E-mail và các ứng dụng web cũng được biết đến, cũng như Microsoft Exchange và IIS, Máy chủ web Apache, và Sendmail. Sendmail và Exchange sử dụng giao thức SMTP thực hiện các giải pháp e-mail TCP / IP. Một trong số nhiều các điểm yếu bảo mật có liên quan đến e-mail phải thực hiện với các lệnh được hỗ trợ sử dụng SMTP để tương tác giữa các thiết bị. Bạn sẽ muốn một trong hai cấu hình dựa trên gói e-mail SMTP của bạn để loại bỏ lệnh không cần thiết, hoặc sử dụng một giải pháp thay thế tập trung hơn, giống như các thiết bị an ninh, để lọc ra lệnh không cần thiết và không mong muốn. Một số lệnh e-mail không được ưa chuộng là gỡ lỗi và Wiz. Tương tự như vậy, thậm chí hợp pháp lệnh có thể gây ra vấn đề cho e-mail, ví dụ, bạn sẽ không muốn một ai đó sử dụng hợp pháp email lệnh để thu hoạch thư mục e-mail của bạn và sau đó sử dụng các học địa chỉ cho một cuộc tấn công thư rác. Thành Phần của MPF Bây giờ bạn hiểu một số chính sách mà MPF có thể thực hiện vàlý do tại sao MPF là cần thiết, hãy thảo luận về các thành phần bao gồm MPF. Thực hiện MPF có bathành phần: ▼ Các bản đồ lớp Phân loại và / hoặc xác định lưu lượng truycập mà bạn muốn kết hợp một hoặc hơn chính sách ■ Bản đồ chính sách liên kết một hoặc nhiều chính sách để một lớp học của lưu lượng truy cập trong các bản đồ lớp học của bạn ▲ Dịch vụ chính sách kích hoạt các chính sách trong các bản đồ chính sách của bạn hoặc trên một cụ thể giao diện hoặc trên tất cả các giao diện của thiết bị Để giúp hiểu các thành phần MPF và cách chúng tương tác với nhau, Trong ví dụ này, chính sách đã được thực hiện. Đầu tiên, tất cả các lưu lượng truy cập Internet vào giao diện bên ngoài của thiết bị sẽ có quá trình thẻ IPS, giả sử thẻ IPS không thả nó, giao thông trở lại của thẻ, và thiết bị thực hiện kiểm tra lớp ứng dụng nó cho các kết nối hợp lệ này sẽ được thêm vào bảng bên trong. Thứ hai, các IPSec truy cập từ xa [RA]người dùng sẽ có tỷ lệ, hạn chế [chính sách] áp dụng cho giao thông của họ trên giao diện bên ngoài. Thứ ba,lưu lượng thoại sẽ được ưu tiên và chuyển ra giao diện bên trong trước khi các loại khác của lưu lượng truy cập. Thứ tư, bình thường dữ liệu lưu lượng truy cập sẽ được kiểm tra trên tất cả các giao diện và bổ sung vào bảng internal khi cần thiết. Class Maps Page 90

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Class maps xác định lưu lượng truy cập mà bạn muôn chỉ định hoặc nhiều chính sách hỗ trợ. Các loại Class maps: ▲Lớp3/4 : Phân loại lưu lượng truy cập dựa trên thông tin thiết bị nhìn thấy trong lớp 3 và/hoặc lớp 4 tiêu để gói tin, như lưu lượng truy cập web[TCP port 80] gửi đến một DMZ web máy chủ với một địa chỉ IP192.168.1.1 ▲Kiểm duyệt lớp 7: Bạn phân loại giống như một người nào truy cập dựa trên thông tin trong ứng dụng tải trọng của một gói tin, giống như trong một người nào đó thực hiện lệnh đặt trên một kiểm soát kết nối, hoặc URL vượt quá kích thước nhất định trên một kết nối web:các loại phân loại yêu cầu thiết bị kiểm tra tải trọng thông tin trong chiều sâu. ▲ Thường xuyên biểu thức phân loại lưu lượng truy cập dựa trêncác chuỗi biểu thức chính quy tìm thấy trong các trọng tải 7 lớp ứng dụng của các gói tin. Ví dụ, bạn có thể muốn tìm một URL bắt đầu bằng "//" và chứa "cisco.com /.". ▲ Quản lý Trường hợp các loại lớp bản đồ khác được sử dụngđể xác định người sử dụng lưu lượng chảy qua thiết bị, bản đồ quản lý lớp học được sử dụng để phân loại quản lý lưu lượng truy cập đến hoặc từ thiết bị. Khi sử dụng bản đồ lớp học, bạn được yêu cầu phải sử dụng một lớp 3 / 4 lớp bản đồ để xác định thiết bị và dịch vụ, như một máy chủ FTP cụ thể. Tùy chọn, bạn có thể hội đủ điều kiện của bạn lưu lượng truy cập bằng cách sử dụng bản đồ lớp khác, giống như một bản đồ lớp kiểm tra tải trọng một chuỗi biểu thức cụ thể nào đó thường xuyên của một tên tập tin hoặc cho một lệnh FTPđược thực thi Lớp 3/4 class map Dưới đây là cú pháp để tạo ra một lớp 3/4 class map:

ciscoasa[config]# class-map class_map_name ciscoasa[config-cmap]# description class_map_description ciscoasa[config-cmap]# match any ciscoasa[config-cmap]# match access-list ACL_ID ciscoasa[config-cmap]# match port {tcp | udp} {eq port_# | range port_# port_#} ciscoasa[config-cmap]# match default-inspection-traffic ciscoasa[config-cmap]# match dscp value1 [value2] [...] [value8]

Page 91

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn ciscoasa[config-cmap]# match precedence value1 [value2] [...] [value8] ciscoasa[config-cmap]# match rtp start_port_# end_port_# ciscoasa[config-cmap]# match tunnel-group tunnel_group_name ciscoasa[config-cmap]# match flow ip destination-address ciscoasa# show run class-map [class_map_name]

Sử dụng lệnh class-map để đăng kí yêu cầu tên đến class .Lệnh match Mô tả lưu lượng truy cập đến bao gồm trong class map, Bảng sau sẽ giải thích tham số cho lệnh này :

Bảng 3.1: Tham số lệnh Match Class map mặc định

Page 92

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Khi bạn khởi động một thiết bị với cấu hình không có, bạn sẽ thấy mặc định nhất định cấu hình trên đó. Một cấu hình mặc định là MPF, là một class map mặc định đã được cấu hình : ciscoasa# show run class-map class-map inspection_default match default-inspection-traffic

Bảng 3.2: Lệnh match cho kiểm soát lưu lượng mặc định 3.8 Các chức năng nâng cao của ASA Cấu hình Firewall Failover LAN Failover Link Như được chỉ ra ở ví dụ hệ thống mạng trên, một kết nối vật lý LAN giũa hai firewall. Điều này là yêu cầu bắt buộc đối với chức năng failover. Một interface Ethernet phải được dự trữ cho LAN Failover Link. Link này có thể là một cable chéo Ethernet kết nối trực tiếp giữa hai Firewall Page 93

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Cấu hình Active/Standby Stateful Failover

Hình 3.23 mô hình Active/Standby Stateful Failover

Bước 1: Chuẩn bị Active Firewall Chọn một trong những firewalll làm chức năng Active. Kết nối cable mạng cho mỗi Interface mà bạn sẽ sử dụng làm Active Firewall và kết nối nó đến một Switch. Standby Firewall phải ngắt kết nối ngay. Thiết lập interface của Active Firewall ở tốc độ cố định. Ví dụ bạn sử dụng câu lệnh Speed 100 và dulplex full ở chế độ cấu hình Interface. Tương tự cũng cho phép chức năng PortFast trên port Switch kết nối đến Interface của Firewall Dự trữ hai địa chỉ IP cho mỗi Interface của Firewall và quyết định xem cái nào được chỉ định làm Active, cái nào làm Standby. Hai địa chỉ IP cho mỗi Interface phải cùng subnet. Ví dụ trong mô hình mạng trên, giả sử Inside Interface chúng ta sẽ sử dụng 192.168.1.1/24 cho Active Firewall, và 192.168.1.2 cho Standby Firewall. Tương tự Outside Interface sẽ là 100.100.100.1 cho Active và 100.100.100.2 cho Standby. Tương tự chọn địa chỉ mạng con cho việc sử dụng LAN Failover Link [Interface G0/2 trong ví dụ trên]. Gỉa sử sẽ dùng 192.169.99.0/24 Bước 2: Cấu hình LAN Failover Link trên Active Firewall Trong topo trên, chúng ta sẽ sử dụng cổng Gigabit Ethernet G0/2 như là LAN Failover Link. Cú pháp như sau:

Page 94

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Ví dụ cấu hình:

Bước 3: Cấu hình địa chỉ IP cho Interface của Active Firewall

Bước 4: Cấu hình theo dõi trên Interface của Active Firewall Một trong những sự kiện tạo ra cơ chế Failover là sự cố xảy ra trên Interface của firewall. CHúng ta cần chỉ định ra Interface cần phải theo doi để mà chuyển qua chế độ Standby khi interface đó lỗi. Trong ví dụ chúng ta cần theo dõi trên cả inside và outside

Bước 5: Cấu hình LAN Failover Link trên Standby Firewall Sau khi Active Firewall được cấu hình, chúng ta cần phải cấu hình Standby firewall. Cấu hình duy nhất được yêu cầu cho Standby Firewall là LAN Failover Link. Ta khởi động Standby Firewall lên và kết nối Interface nào đó đến Switch tương ứng. Không kết nối

Page 95

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn LAN Failover Link giữa hai Firewall. Chỉ kết nối bằng console cable và cấu hình như sau:

Chú ý rằng sự khác nhau duy nhất giữa hai firewall là “Secondary”. Mặc dầu chúng ta đang cấu hình Standby Firewall, việc cấu hình địa chỉ IP phải giống như IP trên Active Firewall

Bước 6: Khởi động lại Standby Firewall Sử dụng câu lệnh write memory để lưu cấu hình Standby Firewall. Kết nối LAN Failover Link giữa hai firewall và khởi động lại Standby Firewall Sau khi Standby Firewall khởi động, cấu hình của Active Firewall sẽ được nhân bản tới Standby Firewall. Những thông báo sau sẽ xuất hiện trên Active Firewall

Chúng ta cần sử dụng Write Memory trên active Firewall để lưu tất cả các cấu hình trên cả Active và Standy Firewall Từ bây giờ, bất cứ cấu hình thêm nào được làm chỉ trên Active Firewall nó sẽ tự động nhân bản tới Standby Firewall. Write memory trên Active Firewall sẽ lưu cấu hình cả hai firewall Cuối cùng sử dụng Show failover để kiểm tra xem cơ chế failover có thực sự làm việc như mong đợi 3.9 Authentication Authorization Accounting [AAA] AAA là cơ chế điều khiển phù hợp được sử dụng bởi các thiết bị mạng để điều khiển việc truy cập mạng. Chứng thức [Authentication] là cơ chế phổ biến nhất được sử dụng để xác định User là ai. Việc cấp quyền [Authorization] được sử dụng cấp phép quyền cho User có thể được làm những gì trong mạng. Accouting Page 96

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn được sử dụng để thống kê User đã làm gì trong hệ thống, theo dõi những gì User đang thực hiện. Trong phần này chúng ta sẽ tập trung hầu hết vào chứng thực [Authentication] sử dụng AAA Server như Cisco Access Control Server

Cisco ASA có ba kiểu chứng thực  Chứng thực User truy cập vào chính Firewall ASA  Chứng thực User truy cập HTTP,HTTPS,Telnet và FTP thông qua ASA. Phương thức chứng thực này được gọi là Cut-through-proxy  Chứng thực User truy cập từ xa thông qua IPSec hay SSL VPN Tunnel [Tunnel Access Authentication] ASA Firewall sử dụng External AAA Server. Như đã nói ở trên, AAA Server là Cisco Secure ACS Server [Access Control Server]. Server này cung cấp hai giao thức chứng thức là RADIUS và TACACS. Một AAA Server cung cấp giải pháp tập trung bằng việc đưa ra dịch vụ chứng thực đến tất cả các thiết bị trong mạng [Firewall, Router, Switch …]. Lợi ích lớn nhất của AAA Server là bạn có thể lưu trữ CSDL tập trung Username/Password vì thế bạn không cần phải cấu hình Local Username/Password trên mỗi thiết bị mạng, vì vậy giúp giảm thiểu tối đa chi phí quản trị và gia tăng chính sách bảo mật, chứng thực trên toàn hệ thống

Hình 3.24 Mô hình chứng thực của ASA Theo mô hình trên, máy trạm của người quản trị có thể truy cập firewall bằng cable console hay thông qua việc sử dụng SSH, TELNET, HTTP. Trước khi cho Page 97

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn phép truy cập, ASA sẽ yêu cầu user admin chứng thực quyền hạn của mình. Username/Password được Admin cung cấp và ASA gửi thông tin này đến AAA Server cho việc chứng thực. Nếu việc chứng thực là hợp lệ, AAA Server sẽ trả lời “Access Accept” để ASA cho phép Admin User truy cập -

Chú ý: Trước khi ASA Firewall có thể chứng thực TELNET, SSH hay HTTP, đầu tiên bạn cần phải cấu hình ASA cho phép các giao thức quản lý sử dụng telnet,ssh,http Ví dụ cấu hình:

Sử dụng truy cập SSH có thể được sử dụng trên tất cả các interface cảu firewall ASA [inside, outside, dmz]. Truy cập sử dụng Telnet chỉ được cho phép trên Inside Interface -

Cấu hình chứng thực sủ dụng External AAA Server • Đầu tiên xác định nhóm AAA Server

• Sau đó chỉ định Server chứng thưc. Bạn cần phải định nghĩa địa chỉ IP của AAA Server và pre-shared key, key này cũng phải được cấu hình trên AAA Server

• Cấu hình ASA Firewall yêu cầu chứng thực từ AAA Server

Page 98

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn •

Ví dụ :

• Chú ý: Cisco khuyến cáo nên sử dụng thêm chức năng chứng thực cục bộ [Local Authentication] trên ASA. Điều này có nghĩa rằng khi AAA Server bị lỗi vì nhiều lý do thì ASA Firewall sẽ sử dụng Local Username/Password như là phương thức chứng thực phụ -

Chứng thực bằng Cut-through-Proxy cho kết nối Telnet,FTP,HTTP[S] Chức năng Cut-through-Proxy của ASA cho phép ASA nhận biết User khi truy cập các dịch vụ Telnet, Ftp, Http. Firewall ASA đầu tiên kiểm tra phiên làm việc Telnet,Ftp,Http và chứng thực người dùng bằng AAA Server. Nếu việc chứng thực thành công, phiên làm việc của User sẽ được chuyển tiếp đến Server đích.

Hình 3.25 Chứng thực bằng Cut-through-Proxy cho kết nối Telnet,FTP,HTTP[S]

Từ mô hình trên, Webserver [10.0.0.1] trong DMZ được NAT tĩnh thành 50.1.1.1 trên Outside. Tương tự như vậy FTP Server [10.0.0.2] được NAT thành 50.1.1.2 Page 99

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn trên Outside. Khi một user bên ngoài Internet cố gắng truy cập vào Webserver hay FTP Server, ASA sẽ tạo ra một màn hình chứng thực cho User. Sau khi User nhập thông tin chứng thực của mình, ASA sẽ truy vấn AAA Server cho việc chứng thực. Nếu chứng thực thành công, phiên làm việc của User sẽ được ASA chuyển tiếp đến Server đích Khi sử dụng Cut-through-Proxy bạn hãy chắc chắn rặng Inbound ACL đầu tiên phải cho phép kết nối. Nếu Inbound ACL cấm các kết nối từ ngoài vào, thì Cutthrough-Proxy sẽ không thực hiện -

Cấu hình Cut-Through-Proxy chứng thực sử dụng External AAA Server • Đầu tiên chỉ định nhóm AAA Server

• Sau đó chỉ định Server chứng thưc. Bạn cần phải định nghĩa địa chỉ IP của AAA Server và pre-shared key, key này cũng phải được cấu hình trên AAA Server

• Cho phép chứng thực Cut-through-Proxy bằng cách chỉ định traffic nào được chứng thực

• Ví dụ:

Page 100

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

3.10 Giao thức định tuyến trên asa Đầu tiên bạn cần biết rặng ASA Firewall không có đầy đủ chức năng như một Router. Tuy nhiên nó vẫn có bảng định tuyến. Nó sử dụng bảng này để quyết định đường đi tốt nhất để đến mạng đích. Sau đó nếu gói tin đáp ứng được các rule trong firewall, nó sẽ được định tuyến bởi firewall và tới đích Cisco ASA Firewall cung cấp cả định tuyến tĩnh và động. Ba giao thức định tuyến tĩnh là RIP,EGRP,OSPF. Cisco khuyến cáo sử dụng định tuyến tĩnh trên Firewall ASA thay vì sử dụng định tuyến động. Bởi vì việc sử dụng định tuyến động tạo cơ hội cho hacker khám phá được hạ tầng hệ thống mạng cục bộ của ta. Nếu bạn không cấu định tuyến động tốt thì có khả năng thông tin quảng bá mạng con cục bộ ra bên ngoài- mạng không tin tưởng Tuy nhiên có một vài trường hợp mà định tuyến tĩnh cần thiết. Như là trong một hệ thống mạng lớn, nơi mà ASA Firewall đứng giữa mạng cục bộ và data center. Trong trường hợp như vậy ta sẽ có lợi ích từ việc sử dụng định tuyến động bởi vì ta không phải cấu hình hàng tá định tuyến tính và bạn cũng không phải lo lắng mối nguy hiểm để lộ các mạng con đối với mạng không tin tưởng [Vì ASA nằm sau bên trong mạng Campus] Chú ý:  Đối với hệ thống mạng nhỏ, chỉ cần sử dụng định tuyễn tính. Sử dụng default static route để đẩy tất cả lưu lượng ra ngoài internet và cũng sử dụng static route khi có nhiều hơn 1 mạng không kết nối trực tiếp  Bất cứ mạng nào kết nối trực tiếp đến ASA thì sẽ không cần phải cấu hình bất cứ định tuyến tĩnh nào cả bởi vì Firewall ASA đã nhận biết được mạng này  Nếu ASA được kết nối đến một Router biên [giữa mạng tin tưởng và không tin tưởng] thì ta cấu hình đẩy tất cả các lưu lượng ra ngoài Outside Interface [mạng không tin tưởng] và sau đó cấu hình static Route hướng đến các mạng trong Internal  Nếu ASA nằm sâu trong mạng campus với nhiều mạng Internal thì nên cấu hình định tuyến động -

Định tuyến tĩnh

Page 101

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Có ba loại định tuyến tĩnh 

Kết nối trực tiếp



Định tuyến thông thường



Định tuyến mặc định

Đối với kết nối trực tiếp Kết nối trực tiếp thường tự động được tạo ra trong bảng định tuyến của ASA khi bạn cấu hình địa chỉ Ip trên các interface của ASA. Ví dụ, nếu bạn cấu hình địa chỉ IP 192.168.1.10/24 trên Inside Interface của ASA thì có route 192.168.1.0 255.255.255.0 sẽ tự động được tao ra trong bảng định tuyến Đối với định tuyến thông thường và định tuyến mặc định

Hình 3.26 Định tuyến tĩnh Cấu hình định tuyến tĩnh trên ASA giống nhưu là nói cho Firewall biết cách gửi gói tin đến đích theo một con đường nào đó cho trước Sử dụng câu lệnh route để tạo định tuyến tĩnh hay định tuyến mặc định. Định dạng câu lệnh như sau:

[interface-name]: Đây là interface mà gói tin sẽ ra ngoài [destination-network] [netmask]: Đây là mạng đích và subnetmask chúng ta muốn gói tin đến

Page 102

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn [gateway]: Thiết bị mạng tiếp theo mà ASA sẽ gửi gói tin đến Ví dụ:

Đối với định tuyến mặc định [default route] thường được sử dụng đẩy lưu lượng ra internet, bạn nên thiết lập network/netmask là 0.0.0.0 0.0.0.0. Tất cả lưu lượng mà ASA không hiểu thì sẽ đẩy ra 100.1.1.1 Show routeđể kiểm tra bảng định tuyến

Kiểm soát định tuyến tĩnh [Static Route Tracking]

Khi bạn cấu hình định tuyến tĩnh trên ASA, tuyến đường vẫn trong suốt trong bảng định tuyến. Cách duy nhất cho định tuyến tĩnh xóa khỏi bảng định tuyến là khi một Interface vật lý bị lỗi. Trong tất cả các trường hợp khác, như là remote default gateway bị down, ASA sẽ vấn tiếp tục gửi gói tin đến gateway đó mà không biết rằng nó đã down rồi Bắt đầu từ ASA phiên bản 7.2 và về sau, chức năng Static Route Tracking được đưa vào. ASA kiểm soát độ sẵn sàng của các static route bằng cách gửi các gói tin ICMP Echo qua đường định tuyến tĩnh và đợi trả lời. Nếu tuyến đường chính bị lỗi thì tuyến đường thứ hai sẽ được sử dụng. Chức năng này hữu ích khi bạn muốn khởi tạo dự phòng đường truyền ISP

Page 103

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.26 Định tuyến tĩnh Trong hệ thống mạng trên Eth0/0 [outside] được kết nối đén Primary ISP và Eth0/1 [backup] được kết nối đến Secondary ISP. Hai định tuyến mặc định [default route] sẽ được cấu hình [mỗi cái cho một ISP] và đồng thời sử dụng tính năng “Tracking”. Tuyến đường cho Primary ISP sẽ được kiểm tra bằng việc sử dụng gói ICMP Echo Request. Nếu gói tin echo reply không được nhận trong một khoảng thời gian định sẵn thì tuyến đường tĩnh thứ 2 sẽ được sử dụng đó là Secondary ISP. Tuy nhiên chú ý rằng mô hình mạng trên chỉ phù hợp cho giao tiếp outbound [Từ mạng cục bộ LAN ra Internet]

Cấu hình Static Route Tracking Sử dụng câu lệnh “sla monitor” để chỉ định giao thức giám sát [ví dụ như ICMP], địa chỉ cần kiểm soát [ví dụ như Gateway Router của nhà cung cấp dịch vụ] và thời gian tối đa cho việc kiểm soát tracking •

Sử dụng câu lệnh “sla monitor schedule” để liệt kê qua trình giám sát [thường quá trình giám sát này được thiết lập là mãi mãi [forever] nhưng quãng thời gian và thời điểm bắt đầu có thể tùy chỉnh được] •

Định nghĩa tuyến đường tĩnh chính [primary static route] để kiểm soát bằng cách sử dụng câu lệnh “route” theo sau với tùy chọn “track” •

•

Định nghĩa backup static route và thiết lập metric cao hơn primary static route

Ví dụ cấu hình:

Page 104

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Định tuyến động sử dụng RIP

RIP là một trong những giao thức định tuyến động cổ nhất. Mặc dầu nó không được sử dụng trong nhiều hệ thống mạng hiện đại nhưng vẫn thấy trong một vài trường hợp. ASA phiên bản 7.x chỉ có thể chạy Rip và quảng bá default route. Tuy nhiên nó không thể nhận gói tin quáng bá RIP từ Router láng giếng và sau đó quáng bá những route này tới các Router khác. Tuy nhiên từ phiên bản ASA 8.x, ASA hỗ trợ đầy đủ tính năng RIP cả V1 và V2. Tuy nhiên việc sử dụng RIPv1 không được khuyến khích bởi vì nó không hỗ trợ việc chứng thực Routing Update

Cấu hình RIP Việc cấu hình RIP trên ASA tương tự như Cisco Router. Rip được cấu hình bằng cách sử dụng câu lệnh “router rip”

Page 105

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Câu lệnh “no auto-summarize” chỉ chạy với RIPv2. Nó tự động vô hiệu hóa chức năng tự tổng hợp địa chỉ IP. Ví dụ nếu bạn có một Route 10.1.3.0/24, bạn muốn quảng bá Route này bằng định tuyến RIP, mặc định nó sẽ tổng hợp địa chỉ thành 10.0.0.0/8 bởi ASA. Bạn sử dụng “no auto-summarize” để quảng bá Route này 10.1.3.0/24. Cấu hình chứng thực RIP trên Interface như sau:

Mô hình bên dưới là một ví dụ sử dụng RIP với một mạng nhiều Router

Hình 3.28 Mô hình sử dụng RIP với một mạng nhiều Router Gỉa sử ASA ở giữa mạng Campus và mạng Data Center. Tất cả các Router láng giếng ở trong mạng Inside chạy RIP

Page 106

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Định tuyến OSPF

OSPF là giao thức định tuyến động dựa trên trạng thái đường liên kết hơn là véc tơ khoảng cách cho việc tối ưu chọn đường. Điều này tốt hơn và có khả năng mở rộng hơn định tuyến RIP. Đây là lý do tại sao OSPF được sử dụng rỗng rãi trong mạng doanh nghiệp. OSPF có thể rất phức tạp. Trong phần này chúng ta tiếp tục thảo luận những thành phần được áp dụng chủ yếu vào thực tế và sẽ thảo luận những chức năng và những trường hợp sử dụng nhiều nhất trong hệ thống mạng thực tế [Chú ý Ipv6 hiện tại không được hỗ trợ bởi ASA khi chạy OSPF] Cấu hình OSPF OSPF cấu hình dựa trên các vùng [Area]. Để cấu hình OSPF chúng ta cần tạo process chạy định tuyến OSPF [có thể cấu hình 2 process CHO asa], chỉ định địa chỉ IP hòa hợp với process định tuyến và sau đó chỉ định ID Area với mỗi địa chỉ mạng. Tương tự RIPv2, chúng ta cũng cần cấu hình chứng thực MD5 cho những cập nhật định tuyến OSPF

Để cấu hình chứng thực MD5 OSPF, bạn cần phải cho phép chứng thực trên mỗi Area [trong process định tuyến] và cũng cấu hình chứng thực MD5 dưới cấu hình Interface

Chúng ta sẽ nhìn các ví dụ của OSPF thường được sử dụng trong thực tế. Ví dụ đầu tiên mô tả Cisco ASA trong mô hình mạng doanh nghiệp làm việc như một Router biên ABR và ví dụ thứ 2 chỉ ra Firewall ASA quảng bá default route vào trong mạng Internal thông qua OSPF Ví dụ 1: ASA giữa chức năng làm OSPF ABR

Page 107

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 3.29 Mô hình ASA giữa chức năng làm OSPF ABR Trong ví dụ trên, Firewall ASA ở giữa Datacenter và Campus. Tất cả các router trong Data Center chạy OSPF vùng 0. Trái lại tất cả các Router trong mạng Campus chạy OSPF vùng 1. ASA làm việc như là Router biên. Chúng ta giả sử rằng không có NAT trên ASA [“no nat-control”]. Chính sách Firewall có thể được gia tăng nhờ việc sử dụng ACL trên cả Inside và Outside Interface

Ví dụ: Quảng cáo Default route vào trong mạng

Page 108

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Trong ví dụ trên, ASA có default route ra ngoài mạng Campus và quảng bá default route này vào trong mạng nội bộ [Data Center]. Điều này có nghĩa rặng tất cả các Router trong mạng nội bộ [chạy OSPF vùng 0] sẽ yêu cầu default route để đẩy lưu lượng ra ngoài Internet qua Router gần nó nhất đến ASA

Định tuyến động EIGRP EIGRP là phiên bản nâng cao của IGRP. EIGRP là giao thức độc quyền của Cisco vì nó chỉ hoạt động trên các thiết bị của Cisco. ASA hỗ trợ EIGRP từ phiên bản 8.0 và về sau. Mặc dầu EIGRP rất dễ dàng để sử dụng và tính linh động. Những nhà quản trị mạng và những người thiết kế mạng thường do dự khi sử dụng EIGRP vì sự phụ thuộc vào thiết bị. Cấu hình EIGRP Việc cấu hình EIGRP trên ASA là rất giống với trên Cisco Router. Đơn giản bạn chỉ cần phải bật quá trình EIGRP lên bằng cách chỉ định hệ số tự quản AS và sau đó cấu hình dải địa chỉ mạng mà ASA sẽ quảng bá bằng giao thức định tuyến đến các Router chạy EIGRP hàng xóm

Chứng thực MD5 cho việc Update các Route cũng được hỗ trợ dưới cấu hình Interface

Chú ý rằng: Tất cả các Router phải thuộc về cũng một hệ tự quản và có cùng key MD5. [key ID] là từ 0-255 Ví dụ cấu hình:

Page 109

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

CHƯƠNG 4. VPNs Chương này sẽ nói về mạng riêng ảo VPN sử dụng giao thức Ípsec. Giao thức này được đưa vào ASA và được sử dụng để kết nối an toàn giữa các LAN xa về mặt địa lý qua một kết nối Internet [Site to Site VPN] hay cho phép các user ở xa kết nối với mạng trung tâm [Remote Access VPN]. Trong chương này sẽ tập trung chính về hai loại VPN Trước khi đi vào chi tiết cấu hình IPSec VPN, ta sẽ đi vào miêu tả ngăn gọn nguyên lý của giao thức IPSec để có cái hiểu đúng đắn về VPN 4.1 IPSec là gì? IP Security [IPSec] là một chuẩn mở IETF, chuẩn này cho phép mã hóa dữ liệu khi giao tiếp. Nó là một giao thức phù hợp cho việc cung cấp tính bảo mật, nguyên vẹn, xác thực dữ liệu. Một mạng VPN là một kết nối bảo mật nhờ đường hầm riêng qua một đường truyền không bảo mật như Internet. Vì lẽ đó IPSec là một giao thức lý tưởng để xây dựng các mạng riêng ảo VPN qua internet. IPSec làm việc ở tầng mạng, đóng gói và chứng thực các packet giữa ASA và các thiết bị khác tham gia vào mạng VPN như là Router Cisco, Firewall Cisco hay VPN Client -

Những chuẩn và giao thức ÍPSec sau được sử dụng

ESP [Encapsulation Security Payload]: Đây là giao thức đầu tiên trong hai giao thức quan tạo nên chuẩn IPSec. Nó cung cấp tính nguyên vẹn, xác thực, bảo mật dữ liệu. ESP được sử dụng để mã hóa payload của gói tin IP o

AH [Authentication Header]: Đây là giao thức thứ 2 trong hai giao thức quan trọng của IPSec. Nó cung cấp tính nguyên vẹn, xác thức, và dò trễ. Giao thức này không cung caaos mã hóa, nhưng nó hoạt động như một chữ ký số điện để chắc chắn gói tin không bị xâm phạm o

Page 110

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Internet Key Exchange [IKE]: Đây là cơ chế được sử dụng bởi ASA cho việc giao đổi khóa mã hóa một cách bí mật, xác thực các IPSec peer và thương lượng các tham số IPSec. o

DES,3DES,AES: Tất cả những cái này là cơ chế mã hóa được cung cấp bởi ASA Firewall. DES là thuật toán mã hóa yếu nhất [sử dụng key 56 bit] và AES là thuật toán mã hóa mạnh nhất [sử dụng 128,192,256 bit mã hóa]. 3DES là sự lựa chọn mã hóa tầm trung sử dụng 168 bit mã hóa. o

DH [Diffie-Hellman Group]: Đây là giao thức tạo public key và được sử dụng bởi IKE để thiết lập key phiên kết nối o

MD5,SHA-1: Đây là cả hai thuật toán Hash được sử dụng để chứng thực gói tin. SHA mạnh hơn MD5 o

SA [Security Association]: Một SA là một kết nối giữa 2 IPSec peer. Mỗi IPSec peer duy trì một CSDL SA trong bộ nhớ của nó, nơi chứa các tham số SA. SA được xác định duy nhất nhờ vào địa chỉ IP của peer đấy, giao thức bảo mật, và chỉ số bảo mật [SPI] o

4.2 Cách làm việc của IPSec Có 5 bước chính sau : o

Interesting Traffic : Thiết bị IPSec nhận biết luồng dữ liệu cần bảo vệ

o Phase 1[ISAKMP] : Thiết bị IPSec thương lượng các chính sách bảo mật IKE và thiết lập một kênh bảo mật cho liên lạc giữa các IPSec Peer o Phase 2[IPSec] : Các thiết bị IPSec thương lượng chính sách bảo mật IPSec để bảo vệ dữ liệu o Data Tranfer : Data được truyền bảo mật giữ các IPSec peer dựa vào các tham số IPSec và các key đã được thương lượng trong các Phase trước o

IPSec Tunnel Terminated : IPSec Sas ngắt kết nối khi timeout

4.3 Các loại kết nối: 4.3.1 Site-To-Site IPSEc VPN

Page 111

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 4.1: mô hình site-to-site Site-to-Site IPSec VPN đôi khi được gọi là LAN-to-LAN. Cái tên đã nói lên điều đó, loại VPN này kết nối hai LAN cách xa về mặt vật lý lại với nhau thông qua mạng Internet. Thường thường thì LAN sử dụng địa chỉ dành riêng như được chỉ ra ở trong hình trên. Nếu không có kết nối VPN thì 2 LAN trên sẽ không thể giao tiếp được với nhau. Bằng việc cấu hình Site-to-Site IPSec VPN giữa hai thiết bị ASA firewall, chúng ta có thể thiết lập một đường hầm bảo mật qua kết nối Internet, và đẩy các traffic của LAN vào trong đường hầm này. Kết quả là host trong mạng 192.168.1.0/24 có thể truy cập trực tiếp đến các host trong mạng 192.168.2.0/24 và ngược lại. Đường hầm IPSec được thiết lập kết nối giữa hai địa chỉ IP Public của 2 Firewall ASA là 100.100.100.1 và 200.200.200.1 4.3.2 Remote Access VPN

Hình 4.2 : Mô hình Access VPN Loại IPSec VPN thức 2 mà chúng nói là Remote Access VPN. Remote User truy cập vào mạng của LAN sẽ phải sử dụng Cisco VPN Client. Loại VPN này cho phép remote User thiết lập kết nối bảo mật IPSec VPN qua Internet đến LAN của công ty. Remote User phải có phần mềm Cisco VPN Client cài đặt trên máy tính cá nhân của user. Phần mềm Page 112

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn này cho phép bạn thiết lập kết nối đến LAN của công ty. Sau khi VPN được thiết lập giữa remote user và ASA firewall, user sẽ được chỉ định địa chỉ private IP từ một pool được định nghĩa trước, và sau đó cho phép remote user truy cập vào LAN Topo mạng trên ASA firewall bảo vệ mạng Corporate LAN và remote User với VPN client thiết lập kết nối bảo mật đến ASA. IP với dải 192.168.20.0/24 sẽ được cấp phát cho VPN Client để liên lạc với Internal Corporate Network 192.168.1.0/24. Một khi Remote Access VPN được thiết lập, remote user mặc định sẽ không có khả năng truy cập bất cứ cái gì ngoài internet ngoài trừ mạng Corporate LAN. Xử lý điều này bằng cách cấu hình chức năng ”Split tunneling” trên ASA 4.4 Hướng dẫn cấu hình 4.4.1 Site-to-Site IPSec VPN

[Hình 4.1] •

Bước 1: Cấu hình Interesting traffic

Đầu tiền chúng ta cần định nghĩa traffic mà chúng ta quan tâm và traffic này sẽ được mã hóa. Bằng cách sử dụng ACL chứng ta có thể xác định được traffic nào cần được quản lý bởi ASA. Trong hình trên, chúng ta muốn tất cả các traffic giữa mạng 192.168.1.0/24 và 192.168.2.0/24 được mã hóa

Một vấn đề quan trọng phải xem xét là trong trường hợp sử dụng NAT trên firewall cho các truy cập Internet thông thường. Bởi vì IPSec không làm việc với NAT, chúng ta cần phải loại trừ traffic IPSec khỏi NAT. Sử dụng NAT 0 để giải quyết vấn đề này.

Page 113

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

•

Bước 2: Cấu hình Phase 1 [ISAKMP]

Cách thức hoạt động của Phase 1 được sử dụng để thiết lập kênh giao tiếp bảo mật cho việc truyền dữ liệu. Ở phase 1, các VPN peer trao đổi key bí mật, xác thực nhau, thương lượng các chính sách bảo mật IKE… Trong phase này chúng ta cấu hình isakmp policy, phải trùng với policy đã được cấu hình ở peer bên kia. Isakmp policy này nói cho các peer khác tham số bảo mật nào phải được sử dụng trong VPN [như là giao thức mã hóa, thuật toán hash, phương thức chứng thực, DH, lifetime] như sau

Một vài ISAKMP POLICY có thể được cấu hình để đáo ứng một vài yêu cầu khác nhau từ các peer khác nhau. Chỉ số ưu tiên xác định duy nhất mỗi Policy. Những tham số sau có thể được sử dụng để tạo một ISAKMP Policy mạnh 

Mã hóa: AES



Hash: sha



Chứng thực: Pre-share



Nhóm: 2 hoặc 5



Lifetime: 3600 [SA sẽ hết hạn và được thương lượng lại trong 1 giờ]

Điều tiếp theo ta cần xác định là pre-shared key và loại VPN [SITE-to-Site, Remote Access hay WebVPN]. Được cấu hình bởi câu lẹnh tunnel-group

Page 114

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Cấu hình:

•

Bước 3: Cấu hình Phase 2[IPSec]

Sau khi đường hầm bảo mật được thiết lập trong phase 1, bước tiếp theo là thiết lập VPN thương lượng các tham số bảo mật IPSec, cái mã sẽ được sử dụng để bảo vệ dữ liệu trong đường hầm. Điều này được thực hiện trong Phase 2 của IPSec. Trong Phase này các chức năng sau sẽ được thực hiện: 

Thương lượng các tham số bảo mật IPSec và tập các biến đổi ÍPSec



Thiết lập các IPSec SA



Thương lượng lại các IPSec SA theo giai đoạn để đảm bảo tính bảo mật

Mục tiêu của IKE Phase 2 là thiết lập phiên kết nối IPSec một cách bảo mật giữa các peer. Trước khi điều đó xảy ra, mỗi bên thương lượng mức độ bảo mật [mã hóa và thuật toán xác thực cho phiên]. Các giao thức được nhóm thành các sets và được gọi là transform sets. Tập IPSec transform được trao đổi giữa các peer và chúng phải giống nhau giữa các peer để phiên có thể được thiết lập Định dạng câu lệnh cấu hình một transform set:

Page 115

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Những transform sau [giao thức/thuật toán] có thể được sử dụng trong transform1 và transform2

Transform

Mô tả

Esp-des

ESP transform sử dụng DES 56 bits

Esp-3des

ESP transform sử dụng 3DES 168 bits

Esp-aes

Esp transform sử dụng AES-128

Esp-aes-192

Esp transform sử dụng AES-192 Esp transform sử dụng AES-256

Esp-md5-hmac

Esp transform sử dụng HMACMD5 cho chứng thực

Esp-sha-hmac

Esp transform sử dụng HMACSHA cho chứng thực

Esp-none

ESP không chứng thực

Esp-null

Esp không mã hóa Bảng 4.1 : Các Trasform

Một số chú hữu ích khi bạn chọn Transform protocols  Để cung cấp tính bảo mật [mã hóa] thì sử dụng transform cho việc mã hóa ESP như là 5 ESP đầu tiền trong bảng 

Để chứng thực thì sử dụng MD5-HMAC hay SHA-HMAC



SHA là mạnh hơn MD5 nhưng chậm hơn

Sau khi cấu hình transform set trên cả 2 IPSEc peer, chúng ta cần phải cấu hình crypto map, cái mà chứa tất cả các tham số Phase 2 IPSec. Sau đó Crypto map được áp dụng vào interface firewall [thường là Outside] nơi mà IPSec sẽ được thiết lập

Page 116

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Tham số seq-num trong crypto map được sử dụng để chỉ ra nhiều entries map cùng tên cho mỗi trường hợp khi mà chúng ta có nhiều hơn 1 IPSec peer trên firewall [ví dụ ASA trong mô hình hub-and-spoke] Hoàn thành cấu hình cho cả 2 firewall đối với việc thiết lập Phase 2

Bước 4 : Kiểm tra dữ liệu đã được mã hóa -

Kiểm tra đường hầm đã được thiết lập ?

Câu lệnh show crypto isakmp sa kiểm tra SA được thiết lập hay chưa ? Trạng thái của đường hầm up hay down hay đang chạy.

Kiểm tra dữ liệu có được mã hóa?

Câu lệnh show crypto ipsec sa xác nhận việc dữ liệu có được mã hóa và giải mã thành công hay không?

Page 117

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Bảng 4.2: Thông tin dữ liệu được mã hóa

4.4.2 Cấu hình Remote Access VPN

Page 118

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

[Hình 4.2] Nhiều câu lệnh cấu hình tương tự như cấu hình Site-to-Site VPN, đặc biệt là IKE Phase 1 và Phase 2. Tương tự địa chỉ IP Pool phải được cấu hình trên firewall cho việc cấp phát động địa chỉ cho remote user -

Bước 1: Cấu hình IP Pool

Định dạng câu lệnh như sau:

Trong ví dụ này chúng ta muốn chỉ định địa chỉ cho remote user từ dải 192.168.20.0/24

Bước 2: Mã hóa traffic và không NAT:

Tương tự như Site-to-Site VPN, chúng ta cần xác định ACL từ Internal đến remote user [192.168.20.0/24] để loại bỏ khỏi NAT

Bước 3: Cấu hình Group Policy

Group policy cho phép bạn phân tách các remote user theo cách khác nhau thành các nhóm với các thuộc tính khác nhau. Ví dụ người quản trị hệ thống được chỉ định trong nhóm có truy cập fulltime 24h, trong khi remote user bình thường được chỉ định vào một nhóm khác có quyền truy cập từ 9h sáng đến 5h chiều. Group policy cũng cung cấp địa chỉ DNS hoặc WINS server, lọc kết nối, thời gian timeout Page 119

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Cú pháp như sau:

Ví dụ cấu hình:

Gỉa sử rằng tất cả các remote user sẽ cùng một group policy có tên gọi là “company-cpn-policy” như được cấu hình như trên. Policy này chỉ định địa chỉ DNS và WINS server để phân giải tên miền trong internal domain và hostname. Nó được thiết lập thời gian timeout là 30 phút. -

Bước 4: Cấu hình username cho việc chứng thực Remote Access

Khi một remote user kết nối bằng VPN Client, thì sẽ được yêu cầu nhập thông tin username và password trên màn hình đăng nhập để chứng thực với firewall. Vì lẽ đó chúng ta cần tạo ra usernames và password cho việc chứng thực này Cú pháp:

Ví dụ cấu hình:

Bước 5: Cấu hình Phase 1 [ISAKMP Policy]

Tương tự nhue Site-to-Site VPN

Bước 6: Cấu hình Phase 2 [IPSec Parameters]

Bước này cũng tương tự như Site-to-Site VPN

Page 120

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Bước 7: Cấu hình Tunnel Group cho Remote Access

Việc cấu hình Tunnel Group là trái tim của Remote Access VPN. Nó kết hợp với nhau Group Policy được cấu hình trước đó, IP pool, pre-shared key Cú pháp:

Group name là rất quan trọng bởi vì chúng ta sẽ phải chỉ định chính xác cùng tên khi cấu hình VPN client Software

Ví dụ cấu hình:

Bước 8: Cấu hình VPN Client software

Hình 4.3: Bước 8 cấu hình client sortware Page 121

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Sau khi cài đặt VPN Client, bật ứng dụng và chọn “New” để tạo một đối tượng kết nối mới

Hình 4.4 cài đặt VPN client

Tên của kết nối là vpn và miêu tả. Trong textbox Host đánh ip public mặt ngoài của ASA . Nhập các thông tin username/password của Group phải giống như tunnel-group namevà pre-shared-key từ bước 7. Trong ví dụ cấu hình này, Group Authentication Name là “vpnclient” và password [pre-shared-key] là “groupkey123”. Sau đó save để lưu cấu hình

Hình 4.5: Lưu cấu hình cài đặt VPN client Sau khi lưu cấu hình cài đặt, trở lại Connection Entries Tab và chọn Connect để khởi tạo kết nối Remote Access VPN

Page 122

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 4.6: khởi tạo kết nối Remote Access VPN Sau khi khởi tạo kết nối VPN, remote user sẽ được yêu cầu nhập thông tin username/password trên màn hình đăng nhập để chứng thực với firewall

Hình 4.7 Đăng nhập để chứng thực Sau khi chứng thực thành công với firewall. Một đường hầm bảo mật Remote Access được thiết lập. Nếu bạn vào CMD rồi ipconfig /all trên máy tính của remote user, bạn sẽ thấy địa chỉ ip thuộc dải 192.168.20.0/25 được chỉ định tới interface VPN ảo. Điều này cho phép remote user có toàn quyền truy cập đến mạng Corporate LAN 4.4.3 Cấu hình khả năng Firewall Cisco ASA Firewall là thành phần quan trọng trong ất cứ hệ thống mạng nào và thường một vài dịch vụ quan trọng trong doanh nghiệp phụ thuộc vào khả năng sẵn sàng của Firewall. Vì lẽ đó tính dự phòng của Firewall phải được tích hợp Trong chương này chúng ta sẽ miêu tả năng chịu lỗi của firewall với chế độ Active/Standby. Đây là cách thức cấu hình phổ biến nhất trong hầu hết hệ thống mạng. ASA cũng cung cấp chế độ chịu lỗi kiểu Active/Active -

Mô hình Active/Standby

Trong mô hình Active/Standby, một trong hai firewall được chỉ định đóng vai trò làm Active để giải quyết tất cả các traffic và các chức năng bảo mật. Firewall còn lại duy trì chế độ chờ và tự động đảm nhiệm giải quyết tất cả các traffic nếu Firewall Active bị lỗi

Page 123

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Chức năng chịu lỗi của stateful firewall đẩy các thông tin về trạng thái kết nối từ firewall Active đến firewall Standby. Say đó chức năng chịu lỗi sẽ hoạt động, thông tin của kết như nhau có sẵn tại firewall standby, cái tự động trở thành active mà không ngắt kết nối của bất cứ user nào. Thông tin về tình trạng kết nối được đồng bộ giữa active và standby bao gồm dải địa chỉ global pool, tình trạng kết nối và thông tin bảng NAT và tình trạng các kết nối TCP/UDP và rất nhiều chi tiết khác

Hình 4.8 Mô hình Active/Standby Mô hình mạng ở trên chỉ ra cặp firewall giữ chức năng failover theo chế độ Active/Standby. Cổng Interface “inside” được kết vào cùng một Internal Switch và “Outside” kết nối vào cùng một External Switch. Một cable chéo kết nối giữa hai thiết bị Firewall như là LAN Failover Link. Trong suốt quá trình hoạt động bình thường, tất cả các traffic được đẩy thông qua Firewall Active, nơi mà xử lý tất cả các giao tiếp inbound và outbound. Nếu sự kiện Active Firewall bị lỗi [ví dụ như interface bị down hay firewall bị lỗi] thì Standby Firewall sẽ đảm nhiệm bằng cách nhận địa chỉ Ip của Active Firewall để mà tất cả các traffic sẽ tiếp tục được đi qua mà không có sự giám đoạn. Tất các các thông tin về tình trạng kết nối được đồng bộ thông qua một kết nối Lan gọi là LAN Failover Link để cho Standby Firewall biết được tình trạng của Active Firewall Yêu cầu Một vài yêu cầu về phần cứng và phần mềm cho cả hai firewall để có thể chạy chức năng failover 

Phải cùng nền tảng hệ điều hành



Phải cùng cấu hình phần cứng



Phải cùng chế độ hoạt đồng [routed hay transparent, single hay multiple context]



Phải cùng dung lượng Flash và Ram

 Phải cùng chức năng bản quyền [loại mã hóa, số lượng context , số lượng VPN peers] Page 124

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn



Phải có bản quyền phần mềm để chạy chức năng failover

4.4.4 Cấu hình anyconnect webvpn Trong phần này chúng ta sẽ mô tả chức năng mới VPN được hỗ trợ bởi ASA đó là Anyconnect WebVPN, chức năng này sử dụng SSL và chương trình Java client để tạo một đường hầm cho việc truy cập từ xa cho người dùng. Trước khi đi vào chi tiết của Anyconnect WebVPN hãy ôn tập lại kiến thức về công nghệ VPN được hỗ trợ bởi ASA Firewall 4.4.4.1 Tổng quan về công nghệ VPN của ASA Cisco cung cấp một vài phương thức khởi tạo VPN trên ASA nhưng chúng thường được phân loại là “IPSec Based VPN” hoặc “SSL Based VPN”. Phân loại đầu tiên sử dụng giao thức IPSec cho việc giao tiếp bảo mật trong khi phân loại thứ hai sử dụng SSL. SSL Based VPN cũng được gọi là WebVPN. Hai loại VPN chung được hỗ trợ bởi ASA được phân chia thành các công nghệ VPN sau IPSec Based VPNs: Lan-to-Lan IPSec VPN: Được sử dụng để kết nối những mạng LAN ở xa thông qua một kênh truyền không bảo mật [như Internet]. Công nghệ này chạy giữa ASA-to-ASA hay ASA-to-Cisco Router Remote Access với IPSec VPN Client: Phần mềm VPN Client được cài đặt trên máy tính cá nhân của người dùng để cung cấp truy cập đến mạng trung tâm. Nó sử dụng giao thức IPSec và cung cấp đầy đủ các kết nối vào hệ thống mạng cho người dụng. SSL Based VPNs [WebVPN]: Clientless Mode WebVPN: Đây là phương thức khởi tạo đầu tiên của SSL WebVPN được hỗ trợ bởi ASA phiên bản 7.0 và sau này. Nó giúp người dùng thiết lập kết nối VPN một cách bảo mật sử dụng đường hầm bằng cách sử dụng trình duyệt web. Lợi ích của điều này là không cần ohaanf mềm hay phần cứng. Tuy nhiên chỉ có một vài ứng dụng hạn chế mới có thể truy cập được AnyConnect WebVPN: Client chạy bằng Java được cài đặt trên máy tính cá nhân người dùng cung cấp đường hầm bảo mật SSL đến mạng trung tâm. Cung cấp đầy đủ kết nối [tương tự như IPSec Remote Access]. Tất cả các ứng dụng ở mạng trung tâm đểu được truy cập từ xa. So sánh giữa các công nghệ WebVPN Trong phần này chúng ta sẽ chỉ tập trung cáo AnyConnect WebVPN. Chúng ta sẽ không mất thời gian vào Clientless WebVPN bởi vì chúng ta tin tưởng rằng lợi ích của việc sử dụng AnyConnect thay vì Clientless là nhiều hơn. Để chứng minh điều đang nói, chúng Page 125

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn ta hãy nhìn vào sự khác biệt giữa hai chế độ WebVPN và chắc chắn rằng bạn sẽ hiểu tại sao chúng ta lại tập trung vào AnyConnect Clientless WebVPN không yêu cầu bất cứ VPN Client nào cài đặt trên máy tính cá nhân của người dùng. Nó chỉ sử dụng một trình duyệt web thông thường. Bằng cách truy cập trên trình duyệt đến địa chỉ //[ địa chỉ outside của ASA] và chứng thực với firewall và có truy cập đến Web Portal. Mặc dù Web Portal này, user có thể truy cập hạn chế một số ứng dụng mạng nội bộ. Một cách đặc biệt chỉ có các ứng dụng Web nội bộ [HTTP,HTTPs], email Server [POP3,SMTP,IMAP], Windows File chia sẻ, và một số lượng các chính sách nhỏ TCP [Telnet] có thể được truy cập. Như vậy sẽ không có đầy đủ truy cập vào mạng nội bộ bằng việc sử dụng Clientless VPN. AnyConnect WebVPN, mặt khác cung caaos đầy đủ kết nối mạng cho remote user. ASA Firewall làm việc như AnyConnect VPN Server, chỉ định địa chỉ IP đến remote user và cho phép người dùng truy cập hệ thống mạng. Như vậy tất cả các giao thức IP và chức năng ứng dụng thông qua đường hầm VPN mà không có vấn đề gì. Ví dụ, một remote user sau khi chúng thực thành công với AnyConnect VPN có thể sử dụng Remote Desktop và truy cập Windows Terminal Server bên trong mạng nội bộ. Mặc dầu chương trình khách chạy trên Java được yêu cầu cài đặt trên máy tính cá nhân của người dùng, chương trình khách này có thể được cung cấp động cho user từ ASA. Người dùng có thể sử dụng trình duyệt Web để kết nối đến Firewall ASA và download chương trình khách Java về. Chương trình này có dung lượng nhỏ tầm 3MB và được lưu trũ trên bộ nhớ Flash của ASA 4.4.4.2Tổng quan về AnyConnect WebVPN AnyConnect WebVPN bảo về dữ liệu ở tầng mạng và các tầng trên [tunnel-mode]. Nó cung cấp cùng chức năng truy cập từ xa như Cisco IPSec VPN. Có hai phiên bản của tunnel-mode WebVPN client được chỉ ra như sau:

Ở ASA phiên bản 7.0 đến 7.2, WebVPN Client được gọi là SVC [SSL VPN Client]. Từ phiên bản 8.0 về sau, Client được gọi là AnyConnect WebVPN client. Mặc dầu chúng ta sẽ chỉ tập trung vào AnyConnect client, nhưng việc cấu hình cho cả 2 phiên bản client [SVC và AnyConnect ] là như nhau trên ASA. Tổng quan về hoạt động của AnyConnect VPN Mô hình dưới chỉ ra topo hệ thống mạng với ASA và người dùng từ xa truy cập với AnyConnect VPN Page 126

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 4.9 Hoạt động của AnyConnect VPN Từ mô hình trên, ASA Firewall được cấu hình làm AnyConnect WebVPN Server. Người dùng truy cập từ xa thông qua Internet và địa chỉ IP của máy người dùng là 10.1.1.1. Người dụng đứng sau Router có chạy NAT/PAT và có địa chỉ IP private được NAT thành IP Public bởi NAT Router. Khi người dùng từ xa truy cập và chứng thực thành công tới ASA bằng AnyConnect Client, ASA sẽ chỉ định địa chỉ IP từ dải IP đã được định nghĩa trước [như ví dụ trên là dải 192.168.5.1-192.168.5.20]. Từ mô hình trên, ASA chỉ định địa chỉ IP 192.168.5.1 cho người dùng từ xa. Điều này có nghĩa rằng người dùng được kết nối ảo vào mạng nội bộ LAN đằng sau Firewall ASA Tổng quan hoạt động được miêu tả ở trên giả sử rằng AnyConnect được cài đặt trên máy tính cá nhân của người dùng. Chúng ta hãy nhìn những tùy chọn bên dưới để có thể cài đặt AnyConnect Client Có hai cách thức cài đặt AnyConnect cho Client Sử dụng Clientless WebVPN portal Cài đặt bằng tay bởi người dùng Việc sử dụng Clientless Web Portal, đầu tiên người dùng phải kết nối và chứng thực tới ASA bằng chương trình duyệt Web bảo mật và chương trình Java AnyConnect Client tự động được tải về và cài đặt trên máy tính [Người dùng có thể click vào tab “AnyConnect” trên WebVPN Portal để download phần mềm client]. Để làm được điều này thì chương trình java [.pkg extension] đã được lưu trữ trên bộ nhớ Flash bởi Administrator Với phương thức cài đặt bằng tay, người quản trị mạng phải tải chương trình Java Client phù hợp [Microsoft MSI package installer hay một trong những phiên bản OS khác] từ Website của Cisco và cung cấp file tới người dùng cho việc cài đặt bằng tay. Với phương thức này người dùng không cần phải đăng nhập vào chế độ Clientless để khởi tạo SSL VPN tunnel. Page 127

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Từng bước cấu hình AnyConnect Chúng ta sẽ tập trung vào tùy chọn cài đặt tự động AnyConnect. Ví dụ chương trình AnyConnect Client được lưu trữ trên bộ nhớ flash ASA và được tải về bởi người dùng. Mô hình dưới sẽ được sử dụng để mô tả từng bước cấu hình

Hình 4.10 Cấu hình AnyConnect

Bước 1: Lưu trữ file PKG vào bộ nhớ flash trên ASA. Đầu tiên bạn cần phải tải về một trong những file .pkg từ Cisco Website. Ví dụ như file client Windows có định dạng như sau: “anyconnect-win-x.x.xxxx-k9.pkg”. Để copy file PKG vào bộ nhớ flash:

Gỉa sử rằng chúng ta đã tải về AnyConnect Client trên máy tính có IP: 192.168.1.1. Chúng ta sẽ sử dụng TFTP Server trên máy tính để lưu copy file tới ASA

Bước 2: Đồng nhất file PKG trên flash bằng cách nói cho ASA nơi mà file được lưu trữ, cho phép dịch vụ WebVPN AnyConnect trên Outside ASA Interface

Page 128

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Chú ý: Số 1 ở cuối file là thứ tự của file trong bộ nhớ flash. Nó được sử dụng khi bạn có nhiều hơn một file lưu trữ trên bộ nhớ flash [ví dụ AnyConnect client cho Windows và MAC] Bước 3: Loại bỏ traffic của SSL WebVPN khỏi ACL trên Outside Interface. Mặc định WebVPN không được loại bỏ khỏi việc kiểm tra của ACL. Một khi traffic được đóng gói, nó sẽ được kiểm tra bởi Inbound ACL áp dụng trên Outside Interface. Bạn phải cho phép permit dữ liệu được đóng gói trong ACL hay sử dụng “sysopt connection permit-vpn”.

Bước 4: Bước này là tùy chọn nhưng thực sự hữu ích. Tất cả các kết nối SSL VPN giữa remote user và ASA chạy HTTPs [cổng 443]. Điều này có nghĩa rặng người dùng phải sử dụng “//[địa chỉ IP public của ASA” trên trình duyệt. Bởi vì hầu hết người dùng quên https bạn có thể cấu hình chuyển cổng. Điều này có ý nghĩa rằng nếu người dùng kết nối tới cổng 80 ASA sẽ tự động chuyển sang cổng 443

Bước 5: Tạo một dải địa chỉ mạng để ASA chỉ định địa chỉ để người dùng bên ngoài. Từ mô hình trên chúng ta thấy rằng sau khi người dùng bên ngoài được chứng thực, ASA chỉ định địa chỉ IP đến người dùng bên ngoài từ dải địa chỉ đã định nghĩa trước đó : 192.168.5.1 -192.168.5.20

Bước 6: Khởi tạo NAT loại bỏ, không cho NAT các lưu lượng VPN . Chúng ta làm điều này bởi vì các lưu lượng được đóng gói sẽ không được đi qua NAT

Page 129

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Bước 7: Tạo Group Policy cho người dùng dùng AnyConnect WebVPN. Group Policy này cho phép bạn tạo riêng rẽ người dùng vào các nhóm khác nhau với các thuộc tình khác nhau. Các thuộc tính này có thể được cấu hình như DNS server, split-tunnel, cách chương trình Client Anyconnect WebVPN được tải về [tự động hay sau khi chứng thực]

Làm rõ một vài thông số Svc keep-installer {installed | none} : “installed” nghĩa là chương trình Client vẫn được cài đặt trong suốt trên máy tính người dùng thậm chí ngắt kết nối. Mặc định chương trình Client sẽ bị xóa sau khi người dùng ngắt kết nối khỏi AnyConnect Svc ask {none | enable [default {webvpn |svc} timeout value]} : Câu lệnh này nói cho ASA cách mà chương trình khách AnyConnect sẽ được tải về máy người dùng như thế nào Svc ask none default webvpn: ASA hiển thị ngay lập tức WebPortal. Đây là cấu hình mặc định Svc ask none default svc: Tải chương trình khách AnyConnect một cách tự động Svc asl enable default svc timeout 20: Người dùng sẽ có một yêu cầu cài đặt chương trình khách AnyConnect Client. Nếu không làm gì trong khoảng 20 giây thì chương trình khách AnyConnect được tải về và cài đặt tự động

Page 130

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Bước 8: Tạo Tunnel Group. Tunnel Group phải tương tác với Group Policy được cấu hình ở trên. Nó kết hợp Group Policy với dải địa chỉ IP mà chúng ta đã cấu hình sẵn cho người dùng từ xa Định dạng như sau:

Ví dụ:

Page 131

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn Bước 9: Tạo tài khoản cục bộ trên ASA sẽ được sử dụng cho việc chứng thực AnyConnect

Cấu hình hoàn chỉnh:

Page 132

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

4.4.5 Thiết lập kết nối AnyConnect WebVPN Truy cập vào ASA bằng địa chỉ Public //[ outside interface]

Hình 4.11 [a]Truy cập ASA Enter username/password [ssluser1]. Chọn nhóm người dùng

Page 133

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 4.11 [b]Truy cập ASA Thiết lập kết nối SSL VPN

Hình 4.12 [a]Thiết lập kết nối SSL VPN Phần mềm ActiveX phải được cài đặt trên máy tính của bạn trước khi tải về AnyConnect Client. Bạn sẽ thấy cửa sổ Window ở dưới khi kết nối được thiết lập

Page 134

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

Hình 4.12[b] Thiết lập kết nối SSL VPN Như vậy là kết nối đã được thiết lập thành công.

CHƯƠNG 5. DEMO ỨNG DỤNG KẾT LUẬN I. ĐÁNH GIÁ I.1. Kết quả nghiên cứu được Sau quá trình tìm hiểu và nghiên cứu, đề tài đã đạt được một số kết quả như sau: -

Đã hiểu rõ được thế nào là Firewall trong lĩnh vực tin học, bản chất của

Firewall là như thế nào. -

Chức năng của Firewall trong việc bảo mật cho mạng máy tính.

Những thành phần chính hình thành nên một Firewall.

Tìm hiểu được an toàn và bảo mật mạng

Các yêu cầu về Firewall của doanh nghiệp nói chung cũng như đối với

doanh nghiệp nhỏ nói riêng. -

Tìm hiểu được các chính sách bảo mật Firewall của Cisco Page 135

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn -

Lập mô hình giả lập cho một ứng dụng các chính sách bảo mật đó

I.2. Vấn đề chưa làm được -

Chưa tìm hiểu hết được các kĩ thuật lập trình Firewall.

Chưa tiếp cận được thực tế một giải pháp Firewall nào để đề ra cách triển

khai hệ thống chính xác. -

Việc triển khai và tìm hiểu chưa có nhiều điều kiện thực tế, nhiều vấn đề

chỉ mới qua các tài liệu. II. HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Trên cơ sở những việc đã làm được và chưa làm được ở trên khi thực hiện đề tài, Nhóm tôi xin đưa ra hướng phát triển nhằm từng bước hoàn thiện đề tài. -

Tìm hiểu thêm các kỹ thuật lập trình Firewall sâu hơn nữa, cũng như đề

xuất phương án và giải pháp tốt. -

Xây dựng một chương trình Firewall có tính thực tiễn cao, có thể triển khai

được. III. LỜI KẾT Trong quá trình tìm hiểu và làm đồ án nhóm tôi đã nhận được rất nhiều ý kiến đóng góp về nội dung cũng như cách trình bày. Tôi xin chân thành cảm ơn giảng viên hướng dẫn: Vi Hoài Nam và các thầy cô trong khoa CNTT đã tận tụy hướng dẫn và chỉ bảo. Mặc dù đồ án đã thể hiện được phần nào sự hiểu biết về vấn đề nhưng vẫn có những mặc làm được và chưa làm được như đã nêu trên. Chúng tôi rất mong sự đóng góp ý kiến và bổ sung của các thầy cô, bạn đọc để nhóm có thêm kinh nghiệm hoàn thành tốt hơn trong những đồ án tiếp theo.

Page 136

Tìm hiểu Firewall trên công nghệ Cisco và demo một số ứng dụng thực tiễn

TÀI LIỆU THAM KHẢO Tài liệu tiếng Anh [1] Richard Deal, “Cisco Asa Configuration”, Network professional’s library [2] Harris Andrea “Cisco-ASA-5505-Configuration” Cisco Asa 5505 Bonus tutorial [CCNA,CCNP,CCSP] [3] Harris Andrea “Cisco-ASA-Firewall-Fundamentals-2nd-Edition” step by step configuration tutorial [CCNA,CCNP,CCSP] Tài liệu Tiếng Việt [4]. Nguyễn Thị Băng Tâm ,”Bài viết về Pix Firewall” Tài liệu trên Internet [5]. //www.quantrimang.com [6]. //www.Cisco.com [7]. //www.networkstraining.com/

nat-control

Bài Viết Liên Quan

Toplist mới

Bài mới nhất

Chủ Đề