Upload
lam-chuyen
View
329
Download
2
Embed Size (px)
DESCRIPTION
Pix Firewall
Citation preview
TRƯỜNG ………………….KHOA……………………….
----------
Báo cáo tốt nghiệp
Đề tài:
Thiết kế mạng an toàn sử dụng PIX firewall cho trường
Cao đẳng cơ khí luyện kim
1
MỤC LỤC
LỜI NÓI ĐẦU...................................................................................................................1LỜI CẢM ƠN....................................................................................................................2LỜI CAM ĐOAN..............................................................................................................3MỤC LỤC.........................................................................................................................4CHƯƠNG 1.......................................................................................................................6TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH..................................6
1. Sự cần thiết của an ninh mạng...................................................................................62. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng.................................................73. Các mối đe dọa và tấn công mạng máy tính..............................................................8
3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc)................................83.2. Structured Threats (Các mối đe dọa có cấu trúc)...............................................83.3. External Threats (Các mối đe dọa bên ngoài)....................................................93.4. Internal Threats (Các mối đe dọa bên trong)......................................................9
4. Các cách thức tấn công mạng máy tính.....................................................................94.1 Sự thăm dò - Reconnaisance...............................................................................94.2 Truy nhập - Access............................................................................................104.3. Cấm các dịch vụ (DoS) - Denial of Service.....................................................104.4. Worms, Virus và Trojan Horses.......................................................................11
5. Chính sách an ninh..................................................................................................125.1 The Security Wheel (bánh xe an ninh)..............................................................125.2 Bảo vệ và quản lý các điểm cuối.......................................................................175.3. Bảo vệ và quản lý mạng...................................................................................19
CHƯƠNG 2.....................................................................................................................23TƯỜNG LỬA CISCO PIX FIREWALL........................................................................23
I. Firewall và các kỹ thuật firewall..............................................................................231. Firewall....................................................................................................................232. Các kỹ thuật tường lửa............................................................................................23
2.1. Kỹ thuật packet filtering...................................................................................242.1. Kỹ thuật Proxy Server......................................................................................252.3. Kỹ thuật stateful packet filtering......................................................................26
II. Tổng quan về PIX Firewall.....................................................................................26III. Các dòng PIX Firewall và nguyên tắc hoạt động..................................................271. Các dòng PIX Firewall............................................................................................272. Nguyên tắc hoạt động của PIX Firewall..................................................................31IV. Các lệnh duy trì thông thường của PIX Firewall..................................................331. Các chế độ truy cập.................................................................................................332. Các lệnh duy trì thông thường của PIX Firewall.....................................................34
2.1. Lệnh enable......................................................................................................342.2. Lệnh enable password......................................................................................342.3. Lệnh write.........................................................................................................352.4. Lệnh telnet........................................................................................................352.5. Lệnh hostname và ping.....................................................................................372.6. Lệnh show........................................................................................................382.7. Lệnh name........................................................................................................38
CHƯƠNG 3.....................................................................................................................40CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX FIREWALL.....................................................................................................................40
2
I. Các lệnh cấu hình cơ bản PIX Firewall....................................................................401. Lệnh nameif.........................................................................................................402. Lệnh interface......................................................................................................413. Lệnh ip addresss..................................................................................................424. Lệnh nat...............................................................................................................425. Lệnh global..........................................................................................................436. Lệnh route............................................................................................................44
II. Dịch chuyển địa chỉ trong PIX Firewall.................................................................451. Tổng quan về NAT..................................................................................................45
1.1. Mô tả NAT.......................................................................................................451.2. Nat control........................................................................................................46
2. Các kiểu NAT..........................................................................................................472.1 Dynamic NAT...................................................................................................472.2. PAT...................................................................................................................482.3. Static NAT........................................................................................................482.3. Static PAT........................................................................................................48
3. Cấu hình Nat Control...............................................................................................494. Sử dụng Dynamic NAT và PAT.............................................................................495. Sử dụng lệnh Static NAT........................................................................................556. Sử dụng Static PAT.................................................................................................56III. ACCESS LIST.......................................................................................................561. Tổng quan về access list..........................................................................................56
1.1. Thứ tự các ACE................................................................................................571.2. Access Control Implicit Deny..........................................................................571.3. Địa chỉ IP được sử dụng cho access list khi sử dụng NAT..............................57
2. Cấu hình access list.................................................................................................592.1. Câu lệnh access – list........................................................................................592.2. Câu lệnh access – group...................................................................................60
CHƯƠNG 4.....................................................................................................................61THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG............................................................61CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL...............................61
I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp................................611. Hiện trạng hệ thống.................................................................................................612. Đánh giá hiệu năng và mức an toàn của hệ thống...................................................623. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường......................................63II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall............................................641. Sơ đồ thiết kế hệ thống mới.....................................................................................642. Cấp phát địa chỉ.......................................................................................................663. Cấu hình mô phỏng hệ thống...................................................................................683.1. Các phần mềm được sử dụng cho cấu hình mô phỏng.........................................683.2. Các câu lệnh cấu hình...........................................................................................704. Kiểm tra cấu hình....................................................................................................77
KẾT LUẬN.....................................................................................................................79TÀI LIỆU THAM KHẢO...............................................................................................80
3
LỜI NÓI ĐẦU
Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực của
cuộc sống. Có thể thấy máy tính và mạng internet là thành phần không thể thiếu
của hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàng
ngày và các giao dịch.
Tuy nhiên, sự phát triển này cũng kèm theo vấn đề an ninh máy tính đang
ngày càng trở nên nóng bỏng. Tội phạm máy tính là một trong những hành vi
phạm tội có tốc độ phát triển nhanh nhất trên toàn hành tinh. Vì vậy, việc xây
dựng một nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khả
năng kiểm soát rủi do liên quan đến việc sử dụng máy tính trở thành đòi hỏi
không thể thiếu ở nhiều lĩnh vực.
Kịp thời nắm bắt xu hướng này, trong thời gian làm đồ án thực tập tốt
nghiệp em đã lựa chọn đề tài “Thiết kế mạng an toàn sử dụng PIX firewall
cho trường Cao đẳng cơ khí luyện kim”. Đồ án đề cập đến các nguy cơ cũng
như sự cần thiết của an ninh mạng, các đặc trưng và cấu hình cơ bản PIX
firewall. Và cuối cùng là ứng dụng PIX firewall thiết kế mô hình mạng cho
trường Cao đẳng cơ khí luyện kim.
4
LỜI CẢM ƠN
Sau thời gian 5 năm học tập và rèn luyện tại Khoa Công nghệ thông tin và
truyền thông – Đại học Thái Nguyên, đến nay em đã hoàn thành đồ án tốt nghiệp
và kết thúc khóa học. Em xin gửi lời cảm ơn chân thành đến lãnh đạo khoa, toàn
thể các thầy cô giáo đã tận tình giảng dạy trang bị cho chúng em những kiến thức
quý báu làm hành trang cho chúng em sau này.
Đặc biệt em xin gửi lời cảm ơn chân thành đến cô giáo Bùi Thị Mai Hoa
– Bộ môn Kỹ thuật máy tính đã trực tiếp hướng dẫn, giúp đỡ em có thể hoàn
thành đồ án này. Các ơn sự đóng góp ý kiến của các thầy cô, bạn bè để em có thể
hoàn thành đồ án này.
Thái Nguyên, tháng 06 năm 2009.
Sinh viên
Trần Giáo
5
LỜI CAM ĐOAN
Đồ án tốt nghiệp này đã hoàn thành đúng thời gian quy định và đáp ứng
được yêu cầu đề ra nhờ sự cố gắng nghiên cứu, học tập của bản thân và dưới sự
hướng dẫn trực tiếp của Th.s Bùi Thị Mai Hoa. Em đã tham khảo một số tài liệu
nêu trong phần “ Tài liệu tham khảo ” và không hề sao chép nội dung từ bất kỳ
đồ án nào khác.
Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, em xin
chịu hoàn toàn trách nhiệm trước hội đồng
6
7
CHƯƠNG 1
TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH
1. Sự cần thiết của an ninh mạng
An ninh mạng là vấn đề cần thiết bởi vì Internet là một mạng của các
mạng có mối liên hệ với nhau không có ranh giới. Vì lý do này mà mạng của các tổ
chức có thể được sử dụng và cũng có thể bị tấn công từ bất kỳ một máy tính nào
trên thế giới. Khi một công ty sử dụng Internet trong kinh doanh, các nguy cơ mới
sẽ phát sinh từ những người mà không cần thiết phải truy cập đến tài nguyên máy
tính của công ty thông qua môi trường vật lý.
Trong một nghiên cứu gần đây của Computer Security Institute (CIS),
70% các tổ chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ thủng và 60%
trong số đó nguyên nhân là do chính trong nội bộ công ty của họ.
Cùng với sự phát triển của máy tính, mạng LAN và mạng Internet, hệ thống
mạng ngày nay càng được mở rộng. Khi thương mại điện tử và nhiều ứng dụng trên
Internet phát triển, việc tìm ra các phương thức an toàn thông tin là điều vô cùng
quan trọng, kèm theo đó là khả năng tìm và nhận dạng những mối nguy hiểm gây
hại cho hệ thống thông tin. Hơn nữa sự phát triển của thế giới mạng di động và
mạng không dây đã đánh dấu những bước tiến vượt bậc trong thế giới công nghệ
thông tin, loại bỏ những mô hình cũ đồng thời yêu cầu có những giải pháp bảo mật
linh hoạt hơn, hiệu quả hơn.
Việc sử dụng máy tính đã trở nên phổ biến, số lượng máy tính ngày càng
tăng, hệ thống mạng LAN theo đó cũng tăng theo, mạng toàn cầu Internet được sử
dụng rộng rãi kéo theo đó là sự xuất hiện những nguy cơ mới về bảo mật, khó kiểm
soát hơn. Để giải quyết những nguy cơ này, giải pháp được đưa ra là sử dụng thiết
bị tường lửa (firewall), công nghệ này giúp cho các doanh nghiệp khả thi hơn trong
bảo mật thông tin của mình khi truy cập Internet.
Ngày nay những yêu cầu đặt ra cho hệ thống bảo mật bao gồm :
Người sử dụng chỉ có thể thực thi những quyền lợi được cấp phép.
Người sử dụng chỉ có được những thông tin, dữ liệu được cho phép.
8
Người sử dụng không thể phá hủy dữ liệu, thông tin hay những ứng dụng mà
hệ thống sử dụng.
2. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng
Việc phân tích các rủi ro có thể xác định được các mối nguy cơ đối với
mạng, tài nguyên mạng và dữ liệu mạng. Mục đích của việc làm này là xác định các
thành phần của mạng, đánh giá tầm quan trọng của mỗi thành phần và sau đó áp
dụng mức độ bảo mật phù hợp.
+ Asset Identification (nhận diện tài sản trong mạng)
Trước khi ta tiến hành bảo mật cho mạng, cần phải xác định các thành phần
có trong mạng. Mỗi cơ quan hay tổ chức nên tiến hành kiểm kê tài sản tồn tại trong
mạng của mình.Các tài sản đó bao gồm cả các thiết bị mạng và các điểm cuối
( endpoint) như host, server.
+ Vulnerability Assenssment ( đánh giá các lỗ hổng hệ thống )
Các thành phần của mạng máy tính luôn luôn đứng trước nguy cơ bị tấn công
từ những kẻ xấu. Nguyên nhân có thể do sự yếu kém về công nghệ, về các cấu hình
hoặc do chính sách an ninh chưa thỏa đáng. Tuy nhiên, có thể hạn chế hay khống
chế các cuộc tấn công này bằng nhiều phương thức khác nhau như: sử dụng phần
mềm, cấu hình lại thiết bị mạng, hoặc là triển khai các biện pháp đối phó (Firewall,
phần mềm Anti-virus ).
+ Threat Identification ( nhận diện các mối đe dọa )
Một lời đe dọa là một sự kiện mang lại lợi thế cho các cuộc tấn công mạng
máy tính và là nguyên nhân của các tác động không tốt trên mạng. Vì vậy, việc xác
định các mối đe dọa tiềm ẩn trong mạng là rất quan trọng, các cuộc tấn công liên
quan cần được lưu ý để hạn chế, giảm bớt mức độ nguy hiểm.
9
3. Các mối đe dọa và tấn công mạng máy tính
Có 4 mối đe dọa chính đối với an ninh mạng
Hình 1. Các mối đe dọa đối với an ninh mạng
3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc)
Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh
nghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet. Một số người thuộc
dạng này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài trí
óc và rất tầm thường. Phần lớn họ không phải là những người tài giỏi hoặc là những
attacker có kinh nghiệm, nhưng họ có những động cơ thúc đẩy, mà những động cơ
đó đều quan trọng.
3.2. Structured Threats (Các mối đe dọa có cấu trúc)
Mối đe dọa có cấu trúc bao gồm các attacker, những người có động cơ cao
hơn và có kỹ thuật thành thạo hơn. Thông thường họ hiểu biết về thiết kế hệ thống
mạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn mã
để thâm nhập vào những hệ thống mạng này
10
3.3. External Threats (Các mối đe dọa bên ngoài)
Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên
ngoài công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máy
tính của công ty. Họ làm việc theo cách thức của họ để vào trong mạng chính từ
mạng Internet hoặc mạng quay số truy cập vào servers
3.4. Internal Threats (Các mối đe dọa bên trong)
Mối đe dọa từ bên trong xảy ra khi một số người có quyền truy cập đến hệ
thống mạng thông qua một tài khoản trên một server hoặc truy cập trực tiếp thông
qua môi trường vật lý. Thông thường những người này đang có bất bình với những
thành viên hiện tại hoặc trước đó hoặc bất bình với giám đốc công ty hoặc các chính
sách của công ty.
4. Các cách thức tấn công mạng máy tính
Có 4 cách thức tấn công mạng máy tính
Hình 2. Các kiểu tấn công vào mạng máy tính
4.1 Sự thăm dò - Reconnaisance
Thăm dò là một hình thức tính toán, khám phá bất hợp pháp hệ thống,
các dịch vụ hoặc những điểm dễ bị tấn công nhất. Nó còn được biết đến như là việc
11
thu thập thông tin. Trong hầu hết các trường hợp nó xảy ra trước so với các hành
động truy xuất hợp pháp khác hoặc là tấn công theo kiểu DoS. Kẻ thâm nhập đầu
tiên sẽ quét mạng đích để xác định các địa chỉ IP còn hoạt động. Sau khi hoàn thành
việc này, tin tặc sẽ quyết định các dịch vụ hoặc các cổng được kích hoạt trên các địa
chỉ IP này. Từ những thông tin này, tin tặc tính toán để quyết định ứng kiểu của ứng
dụng và phiên bản cũng như là kiểu và phiên bản của hệ điều hành đang chạy trên
host đích.
4.2 Truy nhập - Access
Truy cập là một hình thức vượt qua giới hạn để xử lý dữ liệu trái phép, truy
cập hệ thống hoặc tiến vào chế độ đặc quyền. Truy tìm dữ liệu trái phép thông
thường là việc đọc, ghi, sao chép hoặc gỡ bỏ các files mà nó không thể được sử
dụng bởi những kẻ thâm nhập. Truy cập hệ thống là khả năng của kẻ thâm nhập
dành quyền truy cập vào một máy mà nó không được phép truy cập (ví dụ như kẻ
thâm nhập không có tài khoản hoặc mật khẩu). Nhập hoặc truy cập vào hệ thống mà
nó không có quyên truy cập thông thường bao gồm việc chạy các hack, các đoạn
kịch bản hoặc các công cụ để khai thác các lỗ hổng của hệ thống hoặc các ứng
dụng.
Một dạng khác của tấn công theo kiểu truy cập là tiến tới chế độ đặc quyền.
Việc này được thực hiện bởi những người sử dụng hợp pháp với quyền truy cập
thấp hoặc đối với những kẻ thâm nhập có quyền truy cập thấp. Mục đích là để thu
thập thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cập
hiện tại.
Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập mà
không muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mò
hoặc là do không biết gì.
4.3. Cấm các dịch vụ (DoS) - Denial of Service
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ
(Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó
được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện
dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy
12
cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên
mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi
nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho
đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy
khác đến trạm không được phục vụ.
Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên
giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp. Do vậy
loại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric
attack). Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một
modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay
những mạng có cấu hình phức tạp.
4.4. Worms, Virus và Trojan Horses
Worm (sâu máy tính) là một loại virus máy tính chuyên tìm kiếm mọi dữ liệu
trong bộ nhớ hoặc trong đĩa, làm thay đổi bất kỳ dữ liệu nào mà nó gặp. Hành động
thay đổi này có thể là chuyển các ký tự thành các con số hoặc là trao đổi các byte
được lưu trữ trong bộ nhớ. Những dữ liệu bị hỏng thường không khôi phục được.
Virus hay chương trình virus là một chương trình máy tính được thiết kế mà
có thể tự lây lan bằng cách gắn vào các chương trình khác và tiến hành các thao tác
vô ích, vô nghĩa, đôi khi là phá hoại. Khi virus phát tác chúng gây nhiều hậu quả
nghiêm trọng: từ những thông báo sai lệch đến những tác động làm lệch lạc khả
năng thực hiện của phần mềm hệ thống hoặc xóa sạch mọi thông tin trên đĩa cứng.
Trojan Horse (con ngựa thành Troa) là một chương trình xuất hiện để thực
hiện chức năng có ích, đồng thời có chứa các mã hoặc các lệnh ẩn gây hỏng đối với
hệ máy đang chạy nó.
Các phần mềm nguy hiểm trên được cài đặt vào các máy tính nhằm phá hủy,
hư hại hệ thống hoặc ngăn chặn các dịch vụ, các truy nhập tới mạng. Bản chất và
mức độ nguy hiểm của những mối đe dọa này thay đổi theo thời gian. Những virus
đơn giản từ những năm 80 đã trở nên phức tạp hơn và là những virus phá hủy, là
công cụ tấn công hệ thống trong những năm gần đây. Khả năng tự lan rộng của “sâu
máy tính” đem lại những mối nguy hiểm mới. Như trước đây chúng cần tới vài ngày
hay vài tuần để tự lan rộng thì ngày nay chúng có thể lan rộng trên toàn thế giới chỉ
13
trong vòng vài phút. Một ví dụ là “sâu” Slammer bắt đầu từ tháng 01/2003, đã nhân
rộng trên toàn thế giới chỉ dưới 10 phút. Người ta cho rằng các thế hệ tiếp theo của
virus có thể tấn công chỉ trong vài giây. Những loại “sâu máy tính” và virus này có
thể làm được nhiều nhiệm vụ khác nữa, không chỉ đơn thuần là phá hủy tài nguyên
mạng, chúng còn được sử dụng để phá hủy những thông tin đang truyền trên mạng
hoặc xóa ổ cứng. Vì vậy trong tương lai sẽ có một mối đe dọa rất lớn ảnh hưởng
trực tiếp tới cơ sở hạ tầng của hệ thống mạng.
5. Chính sách an ninh
Những nguy cơ đe dọa hệ thống mạng không thể bị loại trừ hay ngăn chặn
hoàn toàn. Tuy nhiên, việc đánh giá và quản lý ảnh hưởng của những nguy cơ trên
sẽ góp phần giảm thiểu số lượng cuộc tấn công và những thiệt hại kèm theo chúng.
Mức độ rủi ro chấp nhận được phụ thuộc vào khả năng của từng doanh nghiệp.
Một chính sách an ninh là thành phần quan trọng trong việc quyết định nguy
cơ này được quản lý như thế nào. Chính sách an ninh được hiểu là những phát biểu
hình thức của những quy tắc mà theo đó những người có quyền truy nhập vào các
công nghệ, tài sản, và thông tin của một tổ chức nào đó phải tuân theo.
5.1 The Security Wheel (bánh xe an ninh)
An ninh mạng cần phải là một tiến trình liên tục được xây dựng dựa trên các
chính sách an ninh. Một chính sách an ninh liên tục mang lại hiệu quả lớn nhất bởi
14
vì nó xúc tiến quá trình tái áp dụng và tái kiểm tra các cập nhật bảo mật dựa trên cơ
sở liên tục. Tiến trình an ninh liên tục này tiêu biểu cho Security Wheel.
Để bắt đầu tiến trình liên tục này cần phải tạo một chính sách an ninh mà nó
cho phép bảo mật các ứng dụng. Một chính sách an ninh cần phải thực hiện những
nhiệm vụ sau:
Nhận dạng mục đích bảo mật của tổ chức
Tài liệu về tài nguyên cần bảo vệ.
Nhận dạng cơ sở hạ tầng mạng với sơ đồ hiện tại và một bản tóm tắt.
Để tạo hoặc thực thi một chính sách an ninh có hiệu quả, cần phải xác định
cái mà ta muốn bảo vệ và bảo vệ nó như thế nào. Cần phải có hiểu biết vể các điểm
yếu hệ thống mạng và cách mà người ta có thể khai thác nó. Cũng cần phải hiểu về
các chức năng thông thường của hệ thống vì thế mà chúng ta phải biết là chúng ta
cần cái gì và nó cũng giống với cách mà các thiết bị thông thường được sử dụng.
Cuối cùng là cân nhắc đến an ninh về mặt vật lý của hệ thống mạng và cách bảo vệ
nó. Việc truy xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có thể
mang lại cho người sử dụng khả năng tổng điều khiển trên toàn bộ thiết bị.
Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an
ninh ở phía trên - bốn bước kế tiếp của Security Wheel cần dựa vào:
Bước 1: Bảo mật hệ thống: bước này bao gồm việc cung cấp các thiết bị bảo mật
như tường lửa, hệ thống chứng thực, mã hóa,…với mục đích là ngăn chặn sự truy
cập trái phép đến hệ thống mạng. Đây chính là điểm mà các thiết bị tường lửa bảo
mật của Cisco có hiệu quả nhất.
Bước 2: Theo dõi hệ thống mạng về các vi phạm và sự tấn công chống lại chính
sách bảo mật của công ty. Các vi phạm có thể xảy ra từ bên trong vành đai an ninh
của mạng do sự phẫn nộ của những người lao động hoặc là từ bên ngoài do các
attacker. Việc kiểm tra mạng với hệ thống phát hiện sự xâm nhập thời gian thực như
là Cisco Secure Intruction Detection System ( hệ thống phát hiện sự thâm nhập bảo
mật của Cisco) có thể đảm bảo các thiết bị bảo mật trong bước 1 được cấu hình
đúng.
Bước 3: Kiểm tra hiệu quả của hệ thống bảo mật. Sử dụng thiết bị quét bảo mật của
Cisco ( Cisco Secure Scanner) để nhận dạng tình trạng an toàn của mạng.
15
Bước 4: Hoàn thiện an ninh của công ty. Sưu tầm và phân tích các thông tin từ các
pha kiểm tra, thử nghiệm để hoàn thiện hơn
Cả bốn bước – Bảo mật, theo dõi, kiểm tra và hoàn thiện – cần được lặp đi lặp lại
liên tục và cần phải kết hợp chặt chẽ với các phiên bản cập nhật chính sách an ninh
của công ty
5.1.1. Bảo mật hệ thống
Bảo mật mạng bằng cách áp dụng các chính sách an ninh và thực thi các chính sách
an ninh dưới đây:
Chứng thực: chỉ đem lại quyền truy cập của người sử dụng
Mã hóa: Ẩn các luồng nội dung nhằm ngăn cản sự phát hiện không mong
muốn đối với các cá nhân có âm mưu phá hoại hoặc cá nhân trái phép
Tường lửa: Lọc các lưu lượng mạng chỉ cho phép các lưu lượng và dịch vụ
hợp pháp truyền qua
Vá lỗi: Áp dụng việc sửa chữa hoặc xử lý để dừng quá trình khai thác các lỗ
hổng được phát hiện. Công việc này bao gồm việc tắt các dịch vụ không cần
thiết trên mỗi hệ thống, chỉ cho vài dịch vụ được phép chạy, gây khó khăn
cho việc truy cập của attacker.
Ngoài ra chúng ta cần phải thực thi các giải pháp an ninh mặt vật lý để ngăn cản
việc truy cập trái phép mặt vật lý đến hệ thống mạng
16
5.1.2. Theo dõi sự an toàn
Viểm theo dõi hệ thống mạng đối với sự xâm nhập trái phép và các cuộc tấn
công chống lại chính sách an ninh của công ty. Các cuộc tấn công này có thể xảy ra
trong vành đai an ninh của hệ thống mạng từ những người lao động có âm mưu
hoặc từ bên ngoài hệ thống mạng. Việc kiểm tra hệ thống mạng cũng cần thực hiện
với các thiết bị phát hiện sự xâm nhập thời gian thực như là Cisco Secure Intrusion
Detection System (CSIDS). Những thiết bị này trợ giúp bạn trong việc phát hiện ra
các phần trái phép và nó cũng có vai trò như là một hệ thống kiểm tra – cân bằng
(check – balance system) để đảm bảo rằng các thiết bị trong bước 1 của Security
Wheel được cấu hình và làm việc đúng đắn.
5.1.3. Kiểm tra
17
Việc kiểm tra là cần thiết. Bạn có thể có một hệ thống an ninh mạng tinh vi
nhất, nhưng nếu nó không làm việc thì hệ thống mạng của bạn có thể bị tấn công.
Điều này giải thích tại sao bạn cần phải kiểm tra, chạy thử các thiết bị trong bước 1
và bước 2 để đảm bảo chúng thực hiện đúng chức năng. Cisco Secure Scanner (thiết
bị quét bảo mật của Cisco) được thiết kế để đánh giá độ bảo mật của hệ thống mạng
5.1.4. Hoàn thiện
Pha hoàn thiện của Security Wheel bao gồm việc phân tích dữ liệu được tổng
hợp từ hai pha kiểm tra và chạy thử nghiệm. Kỹ thuật phát triển và hoàn thiện nó
phục vụ cho chính sách an ninh của chúng ta và nó bảo mật cho pha trong bước 1.
Nếu muốn duy trì hệ thống mạng được bảo mật thì cần phải lặp lại chu trình của
Security Wheel bởi vì lỗ hổng và nguy cơ bị xâm phạm của hệ thống mạng luôn
được tạo ra hàng ngày.
5.2 Bảo vệ và quản lý các điểm cuối
5.2.1 Công nghệ và các thành phần an ninh cơ bản trên host và server
Các máy tính và server cần được bảo vệ khi chúng tham gia vào mạng. Phần
mềm chống virus, firewall và dò tìm xâm nhập là những công cụ hữu ích được sử
dụng để đảm bảo an toàn cho các máy, server.
Device hardening
Khi một hệ điều hành mới được cài đặt trên máy tính, các thiết đặt về bảo
mật là những giá trị mặc định. Trong phần lớn trường hợp, những mức độ bảo mật
này là chưa đủ. Các hệ điều hành nên áp dụng một số bước đơn giản sau:
18
Nên thay đổi ngay tên người dùng và mật khẩu.
Hạn chế những truy nhập vào tài nguyên hệ thống, chỉ cho phép những cá
nhân có quyền hợp pháp truy nhập.
Bất kỳ dịch vụ hay ứng dụng nào không cần thiết nên tắt đi và gỡ bỏ cài đặt
khi có thể.
Bức tường lửa cá nhân
Máy tính cá nhân kết nối Internet thông qua kết nối quay số, DSL, hoặc cáp
modem cũng có thể bị nguy hiểm như những mạng lớn. Bức tường lửa cá nhân cư
trú trên máy tính của người dùng và cố gắng ngăn chặn các cuộc tấn công. Một số
phần mềm đóng vai trò bức tường lửa cá nhân là McAfee, Norton, Symatec, Zone
Labs…
Phần mềm kháng virus – Antivirus
Cài đặt phần mềm kháng virus để bảo vệ hệ thống tránh khỏi sự tấn công của
virus đã biết. Các phần mềm này có thể phát hiện hầu hết virus và nhiều ứng dụng
của chương trình Trojan horse, ngăn chặn chúng phát tán trên mạng.
Những “miếng vá” hệ điều hành
Một cách hiệu quả để giảm nhẹ ảnh hưởng của “sâu máy tính” và những biến
thể của nó là sửa chữa tất cả các hệ thống đã bị xâm phạm. Đây là điều rất khó đối
với những hệ thống người dùng không kiểm soát được và càng khó khăn hơn nếu
những hệ thống này là kết nối từ xa tới mạng thông qua mạng riêng ảo (VPN) hay
server truy nhập từ xa (RAS). Việc điều hành nhiều hệ thống đòi hỏi tạo ra một ảnh
phần mềm chuẩn mà được triển khai trên những hệ thống mới hay những hệ thống
đã được nâng cấp. Những ảnh này có thể không lưu trữ sự sửa chữa mới nhất và quá
trình liên tục làm lại ảnh sẽ làm tốn thời gian quản trị.
Dò tìm và ngăn chặn xâm nhập
Dò tìm xâm nhập là khả năng phát hiện ra các cuộc tấn công vào một mạng,
gửi những ghi chép tới nơi quản lý và cung cấp cơ chế phòng ngừa sau:
Ngăn chặn xâm nhập là khả năng ngăn cản các cuộc tấn công vào một mạng
và cung cấp những cơ chế phòng ngừa sau:
19
Dò tìm: xác định các cuộc tấn công nguy hiểm trên mạng và tài nguyên trên
máy
Ngăn chặn: dừng lại các cuộc tấn công bị phát hiện
Phản ứng: phòng ngừa hệ thống trước các cuộc tấn công trong tương lai.
5.2.2 Quản lý máy tính cá nhân (PC)
Kiểm kê máy và bảo trì
Những người có trách nhiệm nên duy trì các cuộc kiểm kê chi tiết tất cả các
máy tính trên mạng như các trạm làm việc, server, laptop…Có thể kiểm kê số serial
của máy; kiểu phần cứng, phần mềm được cài đặt, tên các cá nhân được nhận phản
hồi từ máy. Khi các thành phần phần cứng, phần mềm hoặc các thiết bị lưu trữ được
thay thế thì quá trình kiểm kê cũng phải cập nhật những thay đổi. Một việc làm cần
thiết nữa là đào tạo những người làm trong tổ chức để họ có thể giữ an toàn cho
máy.
Cập nhật phần mềm kháng virus
Khi virus mới hoặc những ứng dụng mới dạng chương trình “những chú
ngựa thành Troa” được phát hiện, doanh nghiệp cần cập nhật phần mềm kháng virus
mới nhất và phiên bản mới nhất của ứng dụng.
Để quá trình quét virus thành công, nên hoàn thành những việc sau:
Quét những file thường dùng trong máy
Cập nhật danh sách virus và các dấu hiệu
Theo dõi thường xuyên những cảnh báo từ những máy scanner
5.3. Bảo vệ và quản lý mạng
5.3.1 Các thành phần và công nghệ cơ sở của an ninh mạng
Firewall trên nền trang thiết bị (Appliance-based Firewalls)
Firewall trên nền trang thiết bị được thiết kế với nền tảng không có ổ cứng.
Điều này cho phép quá trình Boot nhanh hơn, kiểm tra giao thông ở tốc độ dữ liệu
bậc cao và giảm nhẹ thất bại. Giải pháp của Cisco bao gồm một IOS Firewall được
tích hợp và một thiết bị PIX chuyên dụng. Đặc tính của IOS Firewall có thể được
20
cài đặt và cấu hình trên Router của Cisco. PIX là một giải pháp bảo mật phần cứng
và phần mềm cung cấp công nghệ lọc gói và proxy server.
Một số nhà cung cấp Firewall trên nền trang thiết bị là Juniper, Nokia,
Symatec, Watchguard và Nortel Networks. Đối với những mạng trong phạm vi gia
đình thì thích hợp với Linksys, Dlink, Netgear, SonicWALL.
Firewall trên nền server
Giải pháp Firewall trên nền server chạy trên hệ điều hành mạng như UNIX,
NT hay WIN2K, Novell. Nó là giải pháp mà kết hợp một firewall, điều khiển truy
nhập và những đặc điểm của mạng riêng ảo trong một gói.Ví dụ về các giải pháp
trên là Microsoft ISA Server, Linux, Novell, BorderManager, Checkpoint Firewall-
1.
Mức độ bảo mật của Firewall trên nền server có thể nhỏ hơn của Firewall
trên nền trang thiết bị.
Mạng riêng ảo VPN
Một mạng riêng ảo là bất kỳ mạng máy tính nào được xây dựng trên một
mạng công cộng và được phân chia sử dụng cho các cá nhân riêng lẻ. FrameRelay,
X25 và ATM được xem là các VPN lớp 2 trong mô hình OSI. Những dạng khác của
VPN là các IP VPN, được xem là các VPN lớp 3.
Về căn bản, có 3 dạng khác nhau của VPN mà doanh nghiệp sử dụng
Remote-access VPNs
Site-to-site extranet and intranet VPNs
Campus VPNs
Hình 2.6. Remote-access VPNs
21
Hình 2.7. Site-to-site extranet and intranet VPNs
Sự tin cậy và định danh
Định danh được xem là sự nhận dạng đúng đắn, chính xác các user, các máy
tính, các ứng dụng, các dịch vụ và tài nguyên. Các công nghệ chuẩn này cho phép
nhận ra các giao thức chứng thực như Remote Access Dial-In User Service
(RADIUS), Terminal Access Controller Access Control System Plus (TACACS+),
Kerberos và công cụ OTP (one time password). Một số công nghệ mới như chứng
thực số, thẻ thông minh…ngày càng đóng vai trò quan trọng trong giải pháp định
danh.
5.3.2. Quản lý an ninh mạng
Mục đích của quản lý an ninh mạng là điều khiển việc truy nhập tài nguyên
mạng. Nó ngăn chặn sự phá hoại mạng máy tính và những người dùng trái phép
truy nhập những thông tin nhạy cảm. Ví dụ, một hệ thống quản lý an ninh có thể
theo dõi việc đăng ký vào tài nguyên mạng và từ chối những truy nhập có mã truy
nhập không thích hợp.
Hệ thống quản lý an ninh mạng làm việc bằng cách phân chia tài nguyên
mạng thành những khu vực được phép và khu vực không được phép.
Hệ thống này thực thi một số chức năng như sau:
Định nghĩa tài nguyên mạng “nhạy cảm”.
Quyết định sơ đồ giữa các tài nguyên đó với các thiết đặt của người dùng.
22
Theo dõi các điểm truy cập tới những tài nguyên đó và khóa những truy nhập
không hợp lệ.
Cấu trúc điển hình của một hệ thống quản lý an ninh gồm một trạm quản lý
làm nhiệm vụ theo dõi và quản lý các thiết bị như Router, Firewall, các thiết bị
VPN, bộ cảm biến IDS. Phần mềm “Giải pháp quản lý an ninh” (VMS) là một ví
dụ. VMS bao gồm một tập các ứng dụng trên nền Web để cấu hình, theo dõi, gỡ rối
cho VPNs, firewall…
Ngoài ra, Cisco còn cung cấp miễn phí thiết bị quản lý GUI để cấu hình, theo
dõi các Firewall đơn, bộ cảm biến IDS hoặc Router.
Sự kiểm soát
Sự kiểm soát an ninh là rất cần thiết để xác định và theo dõi những chính
sách an ninh đối với một cơ sở hạ tâng mạng có được thực hiện đúng hay không.
Việc đăng ký và theo dõi các sự kiện sẽ giúp phát hiện ra bất kỳ hành vi nào bất
bình thường.
Để kiểm tra hiệu lực của cơ sở hạ tầng an ninh, sự kiểm soát an ninh phải
được thực thi thường xuyên và tại nhiều vị trí khác nhau. Nên kiểm soát việc cài đặt
các hệ thống mới, phương pháp phát hiện những hành động nguy hiểm, sự xuất hiện
của những vấn đề đặc biệt, ví dụ như các cuộc tấn công DoS.
Việc hiểu được quá trình vận hành của hệ thống, biết được những hành vi
nào là đúng – không đúng và sử dụng thành thạo các thiết bị sẽ giúp các tổ chức
phát hiện ra các vấn đề về an ninh mạng. Những sự kiện không bình thường là
những dấu hiệu cảnh báo, góp phần ngăn chặn kẻ xấu trước khi chúng phá hủy hệ
thống. Công cụ kiểm soát an ninh có thể giúp các doanh nghiệp, các tổ chức phát
hiện, ghi chép và theo dõi những sự kiện bất thường đó.
23
CHƯƠNG 2
TƯỜNG LỬA CISCO PIX FIREWALL
I. Firewall và các kỹ thuật firewall
1. Firewall
Theo cách định nghĩa thông thường thì tường lửa là một phần tạo nên vật
liệu chống cháy, được thiết kế để ngăn cản sự lan rộng của lửa từ một phần đến
phần khác. Nó cũng có thể được sử dụng để cách ly một phần với phần khác.
Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, một tường lửa là một hệ thống
hoặc một nhóm hệ thống yêu cầu một chính sách điều khiển việc truy cập giữa hai
hoặc nhiều hơn hai mạng.
2. Các kỹ thuật tường lửa
24
Tường lửa hoạt động dựa trên một trong ba kỹ thuật sau:
Packet filtering – Giới hạn thông tin truyền sang một mạng dựa trên thông tin
header của gói tin.
Proxy Server – Yêu cầu sự kết nối chuyển tiếp giữa một client bên trong của
tường lửa và mạng Internet
Stateful packet filtering – Kết hợp tốt nhất hai kỹ thuật packet filtering và
proxy server
2.1. Kỹ thuật packet filtering
Một tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một
mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác.
Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một
tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các biến
khác.
Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạng
không được bảo vệ khác. Bất kỳ gói tin nào được gửi đến một mạng đã được bảo vệ
và không đúng với các tiêu chuẩn được định nghĩa bởi ACLs đều bị hủy.Những có một số vấn đề với packet filtering
Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn của
ACL thì sẽ đi qua được bộ lọc
Các gói tin có thể đi qua được bộ lọc theo từng đoạn
ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn
Một số dịch vụ không thể lọc
25
2.2. Kỹ thuật Proxy Server
Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tại
lớp cao hơn của mô hình OSI. Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầu
người sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một proxy. Người sử
dụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến trình
đó sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách cấp
quyền. Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thông
qua chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nối đến vùng
không được bảo vệ phía ngoài
Tuy nhiên cũng có những vấn đề với Proxy server bởi bì nó:
Tạo một cùng lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau đó
toàn bộ mạng cũng bị sập theo
Nó rất khó để thêm các dịch vụ mới vào tường lửa
Thực thi các ứng suất chậm
26
2.3. Kỹ thuật stateful packet filtering
Stateful packet filtering là một phương pháp được sử dụng bởi thiết bị tường
lửa PIX của Cisco. Kỹ thuật này duy trì trạng thái phiên đầy đủ. Mỗi khi một kết
nối TCP/UDP được thiết lập cho các kết nối vào hoặc ra. Thông tin này được tập
hợp trong bảng Stateful session flow.
Bảng stateful session flow chứa địa chỉ nguồn và đích, số cổng, thông tin số thứ tự
TCP và thêm thông tin các cờ cho mỗi kết nối TCP/UDP kết hợp với các phiên đó.
Thông tin này tạo nên các đối tượng kết nối và do đó các gói tin vào và ra được so
sánh với lưu lượng phiên trong bảng stateful session flow. Dữ liệu được phép qua
tường lửa chỉ khi nếu một kết nối thích hợp tồn tại đánh giá tính hợp pháp đi qua
của dữ liệu đó
Phương pháp này có hiệu quả bởi vì:
Nó làm việc trên các gói tin và các kết nối
Nó hoạt động ở mức cao hơn so với packet filtering hoặc sử dụng proxy
Nó ghi dữ liệu trong một bảng cho mỗi kết nối. Bảng này như là một điểm
tham chiếu để xác định gói tin có thuộc về một kết nối đang tồn tại hay
không hoặc là từ một nguồn trái phép
II. Tổng quan về PIX Firewall
PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end
của Cisco. PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên
dụng và mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thi của hệ thống
27
mạng. Nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ thuật packet
filtering và proxy server
PIX Firewall cung cấp các đặc tính và các chứ năng sau:
Apdaptive Security Algorithm (ASA) – thực hiện việc điều khiển các kết nối
stateful thông qua PIX Firewall
Cut – through proxy – Một người sử dụng phải dựa trên phương pháp chứng
thực của các kết nối vào và ra cung cấp một hiệu suất cải thiện khi so sánh nó
với proxy server
Stateful failover – PIX Firewall cho phép bạn cấu hình hai đơn vị PIX
Firewall trong một topo mà có đủ sự dư thừa
Stateful packet filtering – Một phương pháp bảo mật phân tích các gói dữ
liệu mà thông tin nằm trải rộng sang một bảng. Để một phiên được thiết lập
thông tin về các kết nối phải kết hợp được với thông tin trong bảng
PIX Firewall có thể vận hành và mở rộng cấp độ được với các ISPes, các ISPec bao
gồm một lưới an ninh và các giao thức chứng thực như là Internet Key Exchange
(IKE) và Public Key Infrastructure (PKI). Các máy clients ở xa có thể truy cập một
cách an toàn đến mạng của công ty thông qua các ISPs của họ
III. Các dòng PIX Firewall và nguyên tắc hoạt động.
1. Các dòng PIX Firewall
28
PIX 501
Hình 3.1. PIX 501
Kích cỡ 1.0 x 6.25 x 5.5 inches và 0.75 pounds
Được thiết kế cho các văn phòng nhỏ, tốc độ an toàn cao, trên những môi
trường trải rộng.
Thông lượng là 60 Mbps đối với dữ liệu text
Hỗ trợ 1 cổng 10/100BASE-T Ethernet và 1 switch 4 cổng
Thông lượng VPN
3 Mbps 3DES
4.5 Mbps 128-bit AES
Kết nối 10 mạng VPN ngang hàng đồng thời
PIX 506E
Hình 3.2. PIX 506E
Là giải pháp bảo mật cho các văn phòng ở xa, các chi nhánh công ty và các
mạng doanh nghiệp nhỏ, trung bình.
Một số đặc điểm của PIX 506E như sau:
Kích cỡ 8 x 12 x 17 inches
Bộ nhớ Flash 8 Mb
Hỗ trợ 2 cổng 10/100 BASE-T, 2 VLANs
Hỗ trợ chuẩn Ipsec
Thông lượng là 100 Mbps đối với dữ liệu text
29
Thông lượng VPN
17Mbps 3DES
30Mbps 128 bit AES
Không thể kết nối nhiều hơn 25 mạng VPN ngang hàng đồng thời
Với phiên bản 6.3, có hai tùy chọn mã hóa VPN: DES với 56 bit mã hóa
hoặc 3DES với 168 bit mã hóa 3DES và 256 bit mã hóa AES.
PIX 515
Hình 3.3 PIX 515
Dùng cho trong các doanh nghiệp nhỏ và trung bình
Thông lượng 118Mbps đối với dữ liệu text
Thông lượng VPN
140 Mbps 3DES ( VAC)
140 Mbps 256-bit AES (VAC)
Hỗ trợ các cổng
6 cổng 10/100 ethernet
25 VLANs
5 ngữ cảnh bảo mật
Bộ nhớ Flash 16 MB
PIX 525
30
Hình 3.4. PIX 525
Dùng cho các mạng trung bình và lớn
Thông lượng là 330 Mbps đối với dữ liệu text
Các cổng hỗ trợ
10 cổng 10/100 Fast Ethernet
100 VLANs
50 ngữ cảnh bảo mật
Thông lượng VPN
155 Mbps 3DES (VAC)
170 Mbps 256-bit AES (VAC)
PIX 535
Hình 3.5. PIX 535
Thiết kế cho các mạng lớn và mạng của nhà cung cấp dịch vụ
Thông lượng là 1.7 Gbps đối với dữ liệu text
Các cổng hỗ trợ
14 cổng Fast Ethernet và Gigabit Ethernet
200 VLANs
100 ngữ cảnh bảo mật
Thông lượng VPN
440 Mbps 3DES (VAC)
440 Mbps 256-bit AES (VAC)
Bộ nhớ Flash là 16 MB
31
2. Nguyên tắc hoạt động của PIX Firewall
Nguyên tắc chung của firewall (kể cả firewall dạng phần mềm như proxy hay
dạng thiết bị cứng như là PIX) là bắt gói dữ liệu đi ngang qua nó và so sánh với các
luật đã thiết lập. Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì hủy
gói dữ liệu. PIX firewall hoạt động dựa trên cơ chế ASA (Adaptive Security
Algorithm) sử dụng Security level (mức độ bảo mật). Giữa hai cổng thì một sẽ có
Security level cao hơn, một có Security level thấp hơn.
Vấn đề cốt lõi của các thiết bị an ninh là thuật toán An ninh tổng hợp
(Adaptive Security Algorithm - ASA). Giải thuật ASA duy trì vành đai an toàn giữa
các mạng điều khiển bởi thiết bị an ninh. ASA tuân theo các quy luật sau:
Không gói tin nào đi qua PIX mà không có một kết nối và trạng thái
Cho phép các kết nối ra bên ngoài, trừ những kết nối bị cấm bởi danh sách
điều khiển truy nhập ACLs. Một kết nối ra bên ngoài có thể là một nguồn
hoặc một client ở cổng có mức bảo mật cao hơn nơi nhận hoặc server. Cổng
có mức bảo mật cao nhất là inside với giá trị là 100, cổng có mức bảo mật
thấp nhất là outside với giá trị là 0. Bất kỳ cổng nào khác cũng có thể có mức
bảo mật nhận giá trị từ 1 đến 99.
Cấm các kết nối vào bên trong, ngoại trừ những kết nối được phép. Một kết
nối vào bên trong là một nguồn hoặc client ở cổng hay mạng có mức bảo mật
thấp hơn nơi nhận hoặc server.
Tất cả các gói ICMP đều bị cấm, trừ những gói được phép
Mọi sự thử nghiệm nhằm phá vỡ các quy tắc trên đều bị hủy bỏ
Trên mỗi cổng của PIX có các mức độ bảo mật (Security-level), xác định
một giao tiếp (interface) là tin cậy, được bảo vệ hay không tin cậy, được bảo vệ ít và
tương quan với các giao tiếp khác như thế nào. Một giao tiếp được xem là tin cậy
trong mối quan hệ với các giao tiếp khác nếu nó có mức độ bảo mật cao hơn.
Quy tắc cơ bản về mức độ bảo mật là: Dữ liệu có thể đi vào PIX thông qua
một interface với Security level cao hơn , đi qua PIX và đi ra ngoài thông qua
interface có Security level thấp hơn. Ngược lại, dữ liệu đi vào interface có Security
32
level thấp hơn không thể đi qua PIX và đi ra ngoài thông qua interface có Security
level cao hơn nếu trên PIX không có cấu hình conduit hoặc access-list để cho phép
nó thực hiện điều này. Các mức bảo mật đánh số từ 0 đến 100.
Mức 0: Là mức thấp nhất, thiết lập mặc định cho outside interface (cổng ra )
của PIX, thường dành cho cổng kết nối ra Internet. Vì 0 là mức bảo mật ít an
toàn nhất nên các untrusted network thường ở sau interface này. Các thiết bị
ở outside chỉ được phép truy nhập vào PIX khi nó được cấu hình để làm điều
đó.
Mức 100: Là mức cao nhất cho một interface. Nó được sử dụng cho inside
interface ( cổng vào ) của PIX, là cấu hình mặc định cho PIX và không thể
thay đổi. Vì vậy mạng của tổ chức thường ở sau interface này, không ai có
thể truy nhập vào mạng này trừ khi được phép thực hiện điều đó. Việc cho
phép đó phải được cấu hình trên PIX; các thiết bị trong mạng này có thể truy
nhập ra mạng outside.
Mức từ 1 đến 99: Được dành cho những mạng xung quanh kết nối tới PIX,
đăng ký dựa trên kiểu của truy nhập của mỗi thiết bị, thông thường là kết nối
đến một mạng hoạt động như là Demilitarized zone ( DMZ ).
Khi có nhiều kết nối giữa PIX và các thiết bị xung quanh thì:
Dữ liệu đi từ interface có Security level cao hơn đến interface có Security
level thấp hơn: Cần phải có một translation ( static hay dynamic ) để cho
phép giao thông từ interface có Security level cao hơn đến interface có
Security level thấp hơn. Khi đã có translation này, giao thông bắt đầu từ
inside interface đến outside interface sẽ được phép, trừ khi nó bị chặn bởi
access-list, authentication hay authorization.
Dữ liệu đi từ interface có Security level thấp hơn đến interface có Security
level cao hơn: 2 điều quan trọng cần phải được cấu hình để cho giao thông từ
interface có Security level thấp hơn đến interface có Security level cao hơn là
static translation và conduit hoặc access-list.
Dữ liệu đi qua hai interface có Security level như nhau: Không có giao thông
đi giữa hai interface có Security level như nhau.
33
IV. Các lệnh duy trì thông thường của PIX Firewall
1. Các chế độ truy cập
PIX Firewall chứa tập các lệnh dựa trên hệ điều hành Cisco IOS và cung cấp 4 chế
độ truy cập:
Unprivileged mode (chế độ truy cập không đặc quyền) – Chế độ này sẽ sẵn
có khi bạn lần đầu tiên truy cập vào PIX Firewall. Từ dấu nhắc > được hiển
thị, chế độ này cho phép bạn xem các thiết lập một cách hạn chế.
Privileged mode (chế độ đặc quyền) – Chế độ này hiển thị dấu nhắc # và cho
phép bạn thay đổi cài đặt hiện tại. Bất kỳ lệnh trong chế độ không đặc quyền
nào đều có thể làm việc trong chế độ đặc quyền.
Configuration mode (chế độ cấu hình) – Chế độ này hiển thị dấu nhắc
(config)# và cho phép bạn thay đổi cấu hình hệ thống. Tất cả các lệnh đặc
quyền, không đặc quyền và lệnh cấu hình đều làm việc ở chế độ này.
Monitor mode (chế độ theo dõi kiểm tra) – Đây là một chế độ đặc biệt nó cho
phép bạn cập nhật image trên mạng. Trong chế độ này bạn có thể nhập các
lệnh chỉ định vị trí của TFTP server và image nhị phân để download.
Trong mỗi một kiểu truy cập, ta có thể rút gọn một cách tối đa câu lệnh
xuống chỉ còn một vài ký tự riêng biệt của câu lệnh đó. Ví dụ ta có thể nhập write t
để xem cấu hình thay vì phải nhập câu lệnh đầy đủ write terminal. Có thể nhập en
thay cho enable để bắt đầu chế độ đặc quyền, co t thay cho configuration terminal
để bắt đầu chế độ cấu hình.
Thông tin trợ giúp luôn sẵn có trong dòng lệnh của PIX Firewall bằng cách
nhập help hoặc ? để liệt kê tất cả các lệnh. Nếu bạn nhập help hoặc ? sau một lệnh
(ví dụ router), thì cú pháp lệnh router sẽ được liệt kê ra. Số các lệnh được liệt kê ra
khi ta dùng dấu hỏi hoặc từ khóa help là khác nhau ở các chế độ truy cập vì vậy mà
chế độ không đặc quyền sẽ đưa ra các lệnh ít nhất và chế độ cấu hình sẽ đưa ra số
lệnh nhiều nhất. Hơn nữa ta có thể nhập bất cứ một lệnh nào (chính nó) ở trên dòng
lệnh và sau đó ấn phím Enter để xem cú pháp lệnh
2. Các lệnh duy trì thông thường của PIX Firewall
34
Có một số lệnh duy trì thông thường của PIX Firewall:
Lệnh Enable, enable password và passwd – Được sử dụng để truy cập vào
phần mềm PIX Firewall để thay đổi mật khẩu.
Write erase, wirte memory và write team – Được sử dụng để hiển thị cấu
hình hệ thống và lưu trữ cấu hình dữ liệu mới
Show interface, show ip address, show memory, show version và show
xlate – Được sử dụng để kiểm tra cấu hình hệ thống và thông tin thích hợp
khác
Exit và reload – Được sử dụng để thoát một chế độ truy cập, tải lại một cấu
hình và khởi động lại hệ thống
Hostname, ping và telnet – Được sử dụng để xác định nếu một địa chỉ IP
khác tồn tại, thay đổi hostname, chỉ định host cục bộ cho PIX Firewall và
giành quyền truy cập console
2.1. Lệnh enable
Lệnh enable cho phép ta vào chế độ truy cập đặc quyền, sau khi nhập
enable, PIX Firewall sẽ nhắc mật khẩu để truy cập vào chế độ đặc quyền. Mặc định
thì mật khẩu này không yêu cầu vì thế mà chỉ cần ấn phím Enter, sau khi bạn vào
chế độ đặc quyền hãy để ý dấu nhắc sẽ thay đổi sang ký hiệu #. Khi gõ configure
terminal nó sẽ vào chế độ cấu hình và dấu nhắc thay đổi sang (config)#. Để thoát
và quay trở về chế độ trước đó, sử dụng lệnh disable, exit hoặc quit
2.2. Lệnh enable password
Lệnh enable password thiết lập mật khẩu truy cập vào chế độ đặc quyền.
Bạn sẽ được nhắc mật khẩu này sau khi nhập lệnh enable (Khi PIX Firewall
khởi động và bạn nhập vào chế độ đặc quyền thì sẽ xuất hiện dấu nhắc để nhập mật
khẩu)
Không có mật khẩu mặc định do đó bạn có thể ấn phím enter tại dấu nhắc
mật khẩu hoặc bạn có thể tạo ra mật khẩu do bạn chọn. Mật khẩu phân biệt chữ hoa
và chữ thường, hỗ trợ độ dài lên đến 16 ký tự chữ số. Bất kỳ ký tự nào cũng có thể
được sử dụng lọai trừ dấu chấm hỏi, dấu cách và dấu hai chấm.
35
Nếu bạn thay đổi mật khẩu, bạn nên ghi lại va lưu trữ nó ở một nơi thích hợp. Sau
khi bạn thay đổi mật khẩu thì bạn không thể xem lại nó bởi vì nó đã được mã hóa.
Lệnh show enable password chỉ đưa ra dạng mật khẩu đã được mã hóa. Sau khi
mật khẩu đã bị mã hóa chúng không thể đảo ngược lại dạng văn bản thông thường
Lệnh passwd cho phép bạn thiết lập mật khẩu Telnet truy cập vào PIX Firewall.
Mặc định giá trị này là Cisco.
2.3. Lệnh write
Lệnh write cho phép bạn ghi (lữ trữ) cấu hình hệ thống vào bộ nhớ, hiển thị cấu
hình hệ thống và xóa các cấu hình hiện tại. Dưới đây là các lệnh write:
write net – Lưu trữ cấu hình hệ thống thành một file trên TFTP server hoặc
trong mạng.
write earse – Xóa cấu hình bộ nhớ flash
write floppy – Lữ trữ cấu hình hiện tại vào đĩa mềm (PIX Firewall 520 và
các model trước đó có ổ đĩa mềm 3.5-inch)
write memory – Ghi cấu hình đang chạy (hiện tại) vào bộ nhớ Flash
write standby – Ghi cấu hình được lưu trong Ram trên active failover PIX
Firewall, vào RAM trên standby PIX Firewall. Khi PIX Firewall hoạt động
(active PIX Firewall) khởi động ghi cấu hình vào PIX dự phòng.. Sử dụng
lệnh này để ghi cấu hình của active PIX Firewall sang standby PIX Firewall.
Write teminal – Hiển thị cấu hình hiện tại trên thiết bị đầu cuối
2.4. Lệnh telnet
telnet ip_address [netmask] [if_name]
Cho phép chỉ ra host nào có thể truy cập cổng console của PIX thông qua
telnet. Với các version 5.0 trở về trước, chỉ có các internal host mới có thể truy cập
vào PIX firewall thông qua telnet, nhưng các version sau này, user có thể telnet vào
PIX firewall qua tất cả các interface. Tuy nhiên, PIX firewall khuyến cáo rằng, tất
cả telnet traffic đến outside interface phải được bảo vệ bởi IPSEC. Do đó, để khởi
36
động một telnet session đến PIX, user cần cấu hình PIX để thiết lập IPSEC tunnel
họăc là với một PIX khác, hoặc là router, hay là VPN Client.
clear telnet [ip_address [netmask] [if_name]]
Di chuyển đến phiên telnet truy cập từ một địa chỉ IP trước đó
telnet timeout minutes
Thiết lập thời gian cực đại một phiên telnet có thể không được sử dụng trước
khi nó bị kết thúc bởi PIX Firewall
kill telnet_id
Kết thúc một phiên telnet. Khi bạn kết thúc một phiên telnet, PIX Firewall sẽ
ngăn chặn mọi lệnh kích hoạt và sau đó hủy kết nối mà không cảnh báo người sử
dụng.
who local_ip
Cho phép bạn hiển thị địa chỉ IP hiện tại đang truy cập vào PIX Firewall thông
qua telnet
Ip_address Một địa chỉ IP của một host hoặc mạng mà có thể Telnet đến
PIX Firewall . Nếu không đưa ra tên giao diện (if_name) thì
mặc định sẽ là giao diện phía trong (mạng bên trong). PIX
Firewall tự động kiểm tra địa chỉ IP dựa trên địa chỉ IP được
nhập bởi lệnh ip address để đảm bảo rằng địa chỉ bạn đưa ra
thuộc về mạng bên trong (đối với các IOS version dưới 5.0)
Netmask Mặt nạ mạng của địa chỉ IP. Để giới hạn truy cập đến một địa
chỉ IP đơn thì sử dụng 255 cho mỗi octet (ví dụ,
255.255.255.255). Nếu bạn không đưa ra netmask thì mặc định
là 255.255.255.255 đối với lớp local_ip (ip cục bộ). Không sử
dụng mặt nạ mạng con của mạng bên trong. Mặt nạ mạng chỉ là
một bit mask cho địa chỉ IP trong ip address
If_name Nếu Ipsec đang hoạt động, PIX Firewall cho phép bạn đưa ra
37
một tên giao diện không đảm bảo. Thông thường là mạng phía
ngoài. Tối thiểu thì lệnh cryto map cần được cấu hình để đưa
ra tên một giao diện với lệnh Telnet
Minutes Số phút mà phiên telnet có thể không sử dụng đến trước khi bị
đóng bởi PIX Firewall. Mặc định là 5 phút. Hỗ trợ từ 1-60 phút
telnet_id Định danh phiên telnet
local_ip Một tùy chọn địa chỉ ip bên trong để giới hạn danh sách đến
một địa chỉ ip hoặc một địa chỉ mạng
2.5. Lệnh hostname và ping
Lệnh hostname thay đổi nhãn trên dấu nhắc. hostname có thể hỗ trợ lên tới
16 ký tự alpha và chữ hoa, chữ thường. mặc định thì hostname là pixfirewall.
Lệnh ping được sử dụng nếu PIX Firewall đã được kết nối hoặc nếu tồn tại
một host (được nhận diện bởi PIX Firewall ) trên mạng. Nếu host tồn tại trên mạng
thì lệnh ping nhận được còn nếu không thì sẽ có thông báo “NO response received”.
(lúc này bạn sử dụng lệnh show interface để đảm bảo rằng PIX Firewall đã được
được kết nối đến mạng và đã thông lưu lượng). Mặc định lênh ping sẽ cố gắng ping
đến host đích 3 lần.
Sau khi PIX Firewall được cấu hình và hoạt động, chúng ta sẽ không thể
ping đến giao diện bên trong (mạng bên trong) của PIX Firewall từ mạng bên ngoài
hoặc từ giao diện bên ngoài (outside interface) của PIX Firewall. Nếu có thể ping
những mạng bên trong từ giao diện bên trong và nếu bạn có thể ping những mạng
bên ngoài từ giao diện bên ngoài thì PIX Firewall đã thực hiện được đúng chức
năng thông thường của nó.
2.6. Lệnh show
Lệnh show cho phép hiển thị các thông tin lệnh. Lệnh này thường kết hợp
với các lệnh khác để hiển thị thông tin hệ thống của lệnh đó. Ta có thể nhập show
38
cùng với ? để xem tên của các lệnh hiển thị và mô tả về chúng. Dưới đây là ví dụ
của các lệnh show khác nhau
Show interface - cho phép hiển thị thông tin giao diện mạng. đây là lệnh
đầu tiên mà sẽ sử dụng khi thử thiết lập một kết nối.
Show history – hiển thị các dòng lệnh trước đó
Show memory – hiển thị tổng quan bộ nhớ vật lý tối đa và bộ nhớ hiện tại
còn trống của PIX Firewall
Show vesion – cho phép hiển thị phiên bản phần mềm của PIX Firewall, thời
gian hoạt động tính từ lần khởi động lại gần đây nhất, kiểu bộ vi xử lý, kiểu
bộ nhớ flash, giao diện bảng mạch và số serial (BISO ID)
Show xlate – hiển thị thông tin khe dịch
Show cpu usage – hiển thị CPU được sử dụng. Lệnh này sử dụng ở chế độ
cấu hình hoặc chế độ đặc quyền
Show ip address - cho phép xem địa chỉ IP được gán đến giao diện mạng.
Địa chỉ IP hiện tại giống như là địa chỉ IP hệ thống trên failover active (PIX
active). Khi active unit bị lỗi, địa chỉ IP hiện tại trở thành đơn vị chuẩn (địa
chỉ IP hệ thống)
2.7. Lệnh name
Sử dụng lệnh name cho phép cấu hình một danh sách các ánh xạ tên đến địa chỉ IP
trên PIX Firewall. Điều này cho phép sử dụng tên trong cấu hình thay cho địa chỉ
IP. Bạn có thể chỉ định tên sử dụng cú pháp dưới đây:
name ip_address name
Ip_address Địa chỉ IP của host được đặt tên
Name Tên được gán cho địa chỉ IP. Cho phép
đặt tên với các ký tự từ a-z, A-Z, 0-9,
dấu gạch và dấu gạch dưới. Tên không
thể bắt đầu bằng số. Nếu một tên trên
16 ký tự thì lệnh sẽ lỗi
Cho phép đặt tên với các ký tự từ a-z, A-Z, 0-9, dấu gạch và dấu gạch dưới. Tên
không thể bắt đầu bằng số. Nếu một tên trên 16 ký tự thì lệnh sẽ lỗi. Sau khi tên
39
được định nghĩa nó có thể được sử dụng trong bất kỳ lệnh PIX Firewall nào tham
chiếu đến một địa chỉ IP. Lệnh names cho phép sử dụng lệnh name. Lệnh clear
names và no names là giống nhau. Lệnh show name liệt kê các trạng thái lệnh
name trong cấu hình
40
CHƯƠNG 3
CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP
TRONG PIX FIREWALL
I. Các lệnh cấu hình cơ bản PIX Firewall
Có 6 lệnh cấu hình cơ bản cho PIX Firewall:
Nameif – Gán tên đến mỗi giao diện mạng vành đai và chỉ định mức an ninh
cho nó
Interface – Cấu hình kiểu và khả năng của mỗi giao diện vành đai
Ip address – gán một địa chỉ ip cho mỗi cổng
Nat – che dấu địa chỉ trên mạng inside từ mạng outside
Global – Che dấu địa chỉ IP trên mạng inside từ mạng outside sử dụng một
pool (một dải địa chỉ public) của địa chỉ IP
Route – định nghĩa một tuyến đường tĩnh hoặc tuyến đường mặc định cho
một interface
1. Lệnh nameif
Lệnh nameif gán một tên đến mỗi giao diện vành đai trên PIX Firewall và
chỉ định mức an ninh cho nó (ngoại trừ giao diện inside và outside vì nó được mặc
định). Cú pháp của lệnh nameif như dưới đây:
nameif hardware_id if_name security_level
Harware_id Chỉ định một giao diện vành đai và vị trí khe của nó
ở trên PIX Firewall.
Có 3 giao diện mà bạn có thể nhập ở đây: Ethernet,
FDDI hoặc Token Ring. Mỗi giao diện được mô tả
bởi một định danh vừa có chữ vừa có số dựa trên
giao diện của nó là gì và định danh là số mà bạn chọn
cho nó. Ví dụ, một giao diện Ethernet được mô tả
như là e1, e2, e3….; một FDDI được mô tả như là
fddi1, fddi2, fddi3….; một giao diện Token Ring
được mô tả như là token-ring1, token-ring2, token-
ring3….
41
If_name Mô tả giao diện vành đai. Tên này được bạn gán và
cần sử dụng trong tất cả cấu hình tương lai tham
chiếu đến giao diện vành đai
Security_lever Chỉ ra mức an ninh cho giao diện vành đai, nhập mức
an ninh từ 1-99
2. Lệnh interface
Lệnh interface nhận dạng phần cứng, thiết lập tốc độ phần cứng và kích hoạt giao
diện. Khi một card Ethernet được thêm vào nó sẽ được cài đặt trên PIX Firewall,
PIX Firewall tự động nhận dạng và thêm card
Cú pháp cho lệnh interface như dưới đây:
interface hardware_id hardware_speed [shutdown]
Hardware_idChỉ định một giao diện và vị trí khe trên PIX Firewall. Cái
này giống như biến số được sử dụng trong lệnh nameif
Hardware_speed Xác định tốc độ kết nối. Giá trị Ethernet có thể như sau
10baset – thiết lập giao tiếp bán song công 10Mbps
10full – Thiết lập giao tiếp Ethernet song công
hoàn toàn tốc độ 10Mbps
100basetx – Thiết lập giao tiếp Ethernet bán song
công tốc độ 100 Mbps
100full - Thiết lập giao tiếp Ethernet song công
hoàn toàn tốc độ 100 Mbps
1000sxfull - Thiết lập giao tiếpGigabit Ethernet
song công hoàn toàn tốc độ 1000 Mbps
1000basesx – thiết lập giao tiếp gigabit Ethernet
bán song công tốc độ 1000 Mbps
1000auto – Thiết lập giao tiếp gigabit Ethernet tốc
độ 100 Mbps, tự động điều chỉnh bán song công
hoặc song công hoàn toàn. Khuyến cáo là bạn
không nên sử dụng tùy chọn này để suy trig tính
tương thích với switchs và các thiết bị khác trong
42
mạng
Aui – thiết lập giao tiếp Ethernet bán song công tốc
độ 10 Mbps với một giao diện cáp AUI
Auto – thiết lập tốc độ Ethernet tự động. Từ khóa
tự động chỉ có thể sử dụng với card mạng Intel tốc
độ 10/100
Bnc - thiết lập giao tiếp Ethernet bán song công tốc
độ 10 Mbps với một giao diện cáp BNC
4mbps – thiết lập tốc độ truyền dữ liệu là 4Mbps
16mbps –(mặc định) thiết lập tốc độ truyền dữ liệu
là 16 Mbps
Shutdown Người quản trị tắt cổng
3. Lệnh ip addresss
Mỗi một giao diện trên PIX Firewall cần được cấu hình với một địa chỉ IP, cú pháp
cho lệnh ip address như dưới đây:
ip address if_name ip_address [netmask]
Ip_nameMô tả giao diện. Tên này do bạn gán và bạn cần sử
dụng trong tất cả các cấu hình trong tương lai
Ip_address Địa chỉ Ip của giao diện
NetmaskNếu không đưa ra một mặt nạ mạng, sẽ sử dụng mặt nạ
mạng mặc định
Sau khi cấu hình địa chỉ IP và mặt nạ mạng, sử dụng lệnh show ip để hiển thị địa
chỉ được gán cho giao diện mạng.
4. Lệnh nat
Dịch địa chỉ mạng (NAT) cho phép bạn giữ địa chỉ IP bên trong – những địa
chỉ phía sau của PIX Firewall – không được biết đối với những mạng phía ngoài.
NAT thực hiện điều này bằng cách dịch địa chỉ IP bên trong, địa chỉ mà không phải
là duy nhất sang địa chỉ IP duy nhất trước khia gói tin được đẩy ra mạng bên ngoài
nat [(if_name)] nat_id local_ip [netmask]
If_name Mô tả tên giao diện mạng bên trong, nơi mà bạn sẽ sử dụng địa
43
chỉ public
Nat_id Định danh global pool và kết hợp nó với lệnh nat tương ứng
Local_ip Địa chỉ IP được gán cho giao diện trên mạng inside
netmask
Mặt nạ mạng cho địa chỉ IP cục bộ. Bạn có thể sử dụng 0.0.0.0 để
cho phép tất cả các kết nối ra bên ngoài dịch với địa chỉ IP từ
global pool
Khi chúng ta khởi tạo cấu hình PIX Firewall, ta có thể cho phép tất cả host inside
truy cập ra kết nối bên ngoài với lệnh nat 1.0.0.0 0.0.0.0. Lệnh nat 1.0.0.0 0.0.0.0
kích hoạt NAT và cho phép tất cả các host inside truy cập ra kết nối bên ngoài.
Lệnh nat có thể chỉ định một host đơn hoặc một dải các host để tạo nhiều hơn sự
lựa chọn truy cập.
Khi một gói tin IP truyền ra mà được gửi từ một thiết bị trên mạng inside đến
PIX Firewall, địa chỉ nguồn được trích ra để so sánh với bảng dịch đang tồn tại. Nếu
địa chỉ của thiết bị không tồn tại trong bảng thì sau đó nó sẽ được dịch và mục mới
được tạo cho thiết bị đó, nó được gán địa chỉ IP public từ dải địa chỉ IP public. Sau
khi việc dịch này xảy ra thì bảng được cập nhật và dịch IP của gói tin đẩy ra ngoài..
Sau khi người sử dụng cấu hình timeout period (hoặc giá trị mặc định là 2 phút), sau
khoảng thời gian đó mà không có việc dịch gói tin cho địa chỉ IP cụ thể thì địa chỉ
public đó sẽ được giải phóng để sử dụng cho một thiết bị inside khác
5. Lệnh global
Cú pháp của lệnh global như dưới đây:
global [(if_name)] nat_id global_ip [-global_ip] [netmask global_mask] |
interface
If_nameMô tả tên giao diện mạng bên ngoài mà bạn sẽ sử dụng
địa chỉ global
Nat_idĐịnh danh global pool và kết hợp nó với lệnh nat
tương ứng với nó
Global_ip Một địa chỉ IP đơn hoặc một dãy các địa chỉ IP public
-global_ip Một dãy các địa chỉ Ip public
44
Netmask global_mask
Mặt nạ mạng cho địa chỉ global_ip. Nếu có mạng con
thì sử dụng mặt nạ mạng con (ví dụ, 255.255.255.128).
Nếu bạn chỉ định một dãy địa chỉ mà chồng chéo lên
mạng con với lệnh netmask, lệnh này sẽ không sử
dụng địa chỉ mạng hoặc địa chỉ broadcast trong dải địa
chỉ public. Ví dụ, nếu bạn sử dụng dải địa chỉ
192.150.50.20 – 192.150.50.140, địa chỉ mạng
192.150.50.128 và địa chỉ broadcast 192.150.50.127 sẽ
không bao gồm trong dải địa chỉ public
interface Chỉ định PAT sử dụng địa chỉ IP tại giao diện
Nếu lệnh nat được sử dụng, thì lệnh đi cùng với nó là lệnh global cần được
cấu hình để định nghĩa một dải địa chỉ IP được dịch.
Để xóa mục global, sử dụng lệnh no global. Ví dụ, no global (outside) 1
192.168.1.20-12.168.1.254 netmask 255.255.255.0
PIX Firewall sẽ gán địa chỉ từ dải địa chỉ bắt đầu từ địa chỉ thấp nhất tới địa
chỉ cao nhất trong dải địa chỉ được chỉ định bởi lệnh global
PIX Firewall sử dụng địa chỉ public để gán một địa chỉ ảo đến địa chỉ NAT bên
trong. Sau khi thêm, thay đổi hoặc gỡ bỏ một trạng thái global, sử dụng lệnh clear
xlate để tạo các địa chỉ IP có sẵn trong bảng dịch (translation table)
6. Lệnh route
Lệnh route định nghĩa một tuyến đường tĩnh hoặc tuyến đường mặc định cho một
interface
Cú pháp của lệnh route như dưới đây
route if_name ip_address netmask gateway_ip [metric]
If_name Mô tả tên giao diện mạng (vùng mạng) bên trong hoặc bên
ngoài
Ip_address Mô tả địa chỉ IP mạng bên trong hoặc bên ngoài. Sử dụng
0.0.0.0 để chỉ định tuyến đường mặc định. Địa chỉ 0.0.0.0 có
thể viết tắt là 0
Netmask Chỉ định mặt nạ mạng để áp dụng cho địa chỉ ip_address. Sử
45
dụng 0.0.0.0 để chỉ định tuyến đường mặc định. Mặt nạ mạng
0.0.0.0 có thể viết tắt là 0
Gateway_ip Chỉ định địa chỉ ip của router gateway (địa chỉ next hop cho
tuyến đường này)
metric Chỉ định số lượng hop đến gateway_ip. Nếu bạn không chắc
chắn thì nhập 1. Người quản trị WAN của bạn có thể hỗ trợ
thông tin này hoặc bạn có thể sử dụng lệnh traceroute để có
được số lượng hop. Mặc định là 1 nếu một metric không được
đưa ra
II. Dịch chuyển địa chỉ trong PIX Firewall
1. Tổng quan về NAT
1.1. Mô tả NAT
Dịch địa chỉ là thay thế địa chỉ thực trong một packet thành địa chỉ được ánh
xạ có khả năng định tuyến trên mạng đích. Nat gồm có 2 bước: một tiến trình dịch
địa chỉ thực thành địa chỉ ánh xạ và một tiến trình dịch ngược trở lại. PIX Firewall
sẽ dịch địa chỉ khi một luật Nat kết hợp với packet. Nếu không có sự kết hợp với
luật Nat thì tiến trình xử lý packet được tiếp tục. Ngoại lệ là khi kích hoạt Nat
control. Nat control yêu cầu các packets từ một interface có mức an ninh cao hơn
46
(inside) đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật
Nat hoặc các packets phải dừng lại.
Nat có một số lợi ích như sau:
Bạn có thể sự dụng các địa chỉ riêng trên mạng inside. Các địa chỉ này không
được định tuyến trên Internet
Nat ẩn địa chỉ thực của một host thuộc mạng inside trước các mạng khác vì
vậy các attacker không thể học được địa chỉ thực của một host inside
Có thể giải quyết vấn đề chồng chéo địa chỉ IP.
1.2. Nat control
Nat control yêu cầu các packets từ một interface có mức an ninh cao hơn (inside)
đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật Nat. Bất
cứ host nào trên mạng inside truy cập đến một host trên mạng outside đều phải được
cấu hình dịch địa chỉ.
Các interface có cùng mức an ninh thì không yêu cầu sử dụng Nat để truyền thông
với nhau. Tuy nhiên nếu bạn cấu hình dynamic Nat hoặc Pat trên các interface có
cùng mức an ninh thì tất cả các lưu lượng từ interface đến một interface có cùng
mức an ninh hoặc outside interface cần phải kết hợp với một luật Nat
47
Tương tự nếu kích hoạt outside dynamic Nat hoặc Pat thì tất cả các lưu lượng
outside cần phải kết hợp với một luật Nat khi truy cập vào mạng inside
2. Các kiểu NAT
2.1 Dynamic NAT
Dynamic Nat dịch một nhóm các địa chỉ thực thành một dải các địa chỉ được
ánh xạ và có khả năng định tuyến trên mạng đích. Các địa chỉ được ánh xạ có thể ít
hơn các địa chỉ thực. Khi một host muốn dịch địa chỉ khi truy cập vào mạng đích thì
PIX sẽ gán cho nó một địa chỉ trong dải địa chỉ được ánh xạ. Translation chỉ được
thêm vào khi host thực khởi tạo kết nối. Translation được duy trì trong suốt quá
trình kết nối. Người sử dụng không thể giữ được địa chỉ IP khi Translation time out
(hết thời gian). Người sử dụng trên mạng đích không thể khởi tạo kết nối đến host
mà sử dụng dynamic Nat thậm chí kết nối này được phép bởi access list. (chỉ có thể
khởi tạo kết nối trong suốt translation).
48
Với Dynamic Nat mà dải địa chỉ được ánh xạ có số địa chỉ ít hơn số địa chỉ thực của
mạng inside thì xảy ra tình trạng thiếu địa chỉ nếu số lưu lượng vượt qua mức mong
muốn.
2.2. PAT
PAT dịch một nhóm các địa chỉ thực thành một địa chỉ được ánh xạ. Đặc biệt, PIX
dịch địa chỉ thực và port nguồn (real socket) thành địa chỉ được ánh xạ và một port
duy nhất (mapped port) lớn hơn 1024. Mỗi một kết nối yêu cầu một translation
riêng biệt bởi vì port nguồn là khác nhau cho mỗi kết nối.
2.3. Static NAT
Static NAT tạo một translation cố định của một (hoặc nhiều) địa chỉ thực đến một
(hoặc nhiều) địa chỉ được ánh xạ. Đối với Dynamic NAT hoặc PAT thì mỗi host sẽ
sử dụng địa chỉ hoặc cổng khác nhau cho mỗi translation. Bởi vì địa chỉ được ánh
xạ là như nhau cho các kết nối liên tục và tồn tại một translation cố định do đó với
static Nat, người sử dụng ở mạng đích có thể khởi tạo một kết nối đến host được
dịch (nếu accsess list) cho phép.
2.4. Static PAT
Static PAT cũng tương tự như Static NAT, ngoại trừ chúng ta cần phải chỉ ra giao
thức (TCP hoặc UDP) và cổng cho địa chỉ thực và địa chỉ được ánh xạ.
49
3. Cấu hình Nat Control
Nat Control yêu cầu các packets truyền từ một inside interface đến outsite interface
kết hợp với một luật Nat. Để kích hoạt Nat control sử dụng lệnh sau đây:
hostname(config)# nat-control . Để disable Nat control sử dụng dạng no của lệnh
này.
4. Sử dụng Dynamic NAT và PAT
4.1. Thực hiện Dynamic NAT và PAT+ Đối với Dynamic NAT và PAT, trước hết cần cấu hình lệnh Nat để nhận diện các
địa chỉ thực của các interface cần dịch. Sau đó cấu hình lệnh Global riêng biệt chỉ
định các địa chỉ được ánh xạ. Mỗi lệnh Nat cần kết hợp với lệnh Global bởi một số
được gọi là Nat ID – được chỉ ra trong mỗi lệnh Nat và global.
50
+ Chúng ta có thể nhập lệnh Nat cho mỗi interface có cùng Nat ID. Tất cả đều sử
dụng cùng một lệnh Global có cùng Nat ID.
hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
+ Chúng ta cũng có thể nhập lệnh global cho mỗi interface sử dụng cùng một Nat
ID
hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
51
hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
hostname(config)# global (dmz) 1 10.1.1.23
+ Nếu chúng ta sử dụng các Nat ID khác nhau, chúng ta có thể thiết lập các địa chỉ
thực khác nhau có các địa chỉ được ánh xạ khác nhau
hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# nat (inside) 2 192.168.1.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10
hostname(config)# global (outside) 2 209.165.201.11
+ Chúng ta có thể nhập nhiều lệnh global cho một interface sử dụng cùng một Nat
ID. PIX Firewall sẽ sử dụng lệnh Global Dynamic Nat đầu tiên theo thứ tự chúng
được cấu hình. Sau đó mới sử dụng đến lệnh global Dynamic PAT. Chúng ta có thể
sử dụng cả hai lệnh Dynamic Nat global và Dynamic PAT global, nếu cần sử dụng
Dynamic Nat cho một ứng dụng riêng biệt nào đó và tạo ra một trạng thái dự phòng
bởi lệnh Dynamic PAT global khi lệnh Dynamic NAT global bị cạn kiệt địa chỉ.
52
hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4
hostname(config)# global (outside) 1 209.165.201.5
+ Đối với Nat outside ta sử dụng từ khóa outside trong lệnh Nat.
hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 outside
hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0
hostname(config)# static (inside,dmz) 10.1.1.5 10.1.2.27 netmask 255.255.255.255
hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4
hostname(config)# global (inside) 1 10.1.2.30-1-10.1.2.40
53
4.2. Cấu hình Dynamic NAT và PAT
Cấu hình Dynamic Nat và Pat cũng tương tự nhau. Đối với Nat thì sử dụng dải địa
chỉ được ánh xạ còn Dynamic Pat thì chỉ sử dụng một địa chỉ đơn.
+ Chỉ các host được dịch mới có thể tạo một Nat session. Các địa chỉ được ánh xạ
được gán động từ dải địa chỉ được định nghĩa bởi lệnh Global
+ Chỉ các host được dịch mới có thể tạo một Nat session. Các địa chỉ được ánh xạ
được định nghĩa bởi lệnh global là như nhau cho mỗi translation còn các port thì
được gán động.
54
hostname(config)# nat (real_interface) nat_id real_ip [mask [dns] [outside] [norandomseq] [[tcp]
tcp_max_conns [emb_limit]] [udp udp_max_conns]]
hostname(config)# global (mapped_interface) nat_id {mapped_ip[-mapped_ip] | interface}
5. Sử dụng lệnh Static NAT
Với Static Nat translation luôn luôn kích hoạt bởi vì các địa chỉ được ánh xạ được
gán tĩnh từ lệnh Static
+ Không được sử dụng cùng địa chỉ thực hoặc địa chỉ được ánh xạ trong nhiều lệnh
static giữa 2 interface cùng nhau. Không được sử dụng một địa chỉ được ánh xạ
trong lệnh static mà nó đã được định nghĩa trong lệnh global đối với cùng interface
được ánh xạ
+ Nếu gỡ lệnh static thì các kết nối đang tồn tại sử dụng translation này sẽ không bị
ảnh hưởng nếu sử dụng lệnh clear xlate. Hãy sử dụng lệnh Clear local – host.
Để cấu hình Static NAT sử dụng một trong hai lệnh sau:
Đối với policy Static Nat, nhập lệnh sau;
hostname(config)# static (real_interface,mapped_interface) {mapped_ip | interface} access-
list acl_name [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp
udp_max_conns]
Tạo access list sử dụng lệnh access – list. Lệnh access – list này chỉ bao gồm
các ACEs permit. Subnet mask nguồn được sử dụng trong access list cũng được
sử dụng cho địa chỉ được ánh xạ. Chúng ta cũng có thể chỉ định port thực và
port nguồn trong access list sẻ dụng toán tử eq.
Đối với regular Static Nat, nhập lệnh sau:
hostname(config)# static (real_interface,mapped_interface) {mapped_ip | interface} real_ip
[netmask mask] [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp
udp_max_conns]
55
6. Sử dụng Static PAT
Static PAT sẽ dịch địa chỉ thực thành một địa chỉ IP được ánh xạ cũng như
port thực thành port được ánh xạ. Thông thường thì PAT dịch port thực thành một
port được ánh xạ nhưng chúng ta cũng có thể chọn dịch một port thực thành một
port như thế (cùng chỉ số port).
Để cấu hình Static NAT sử dụng một trong hai lệnh sau:
Đối với policy Static PAT, nhập lệnh sau;
hostname(config)# static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |
interface} mapped_port access-list acl_name [dns] [norandomseq] [[tcp] tcp_max_conns
[emb_limit]] [udp udp_max_conns]
Tạo access list sử dụng lệnh access – list. Lệnh access – list này chỉ bao gồm
các ACEs permit. Subnet mask nguồn được sử dụng trong access list cũng được
sử dụng cho địa chỉ được ánh xạ. Chúng ta cũng có thể chỉ định port thực và
port nguồn trong access list sẻ dụng toán tử eq.
Đối với regular Static PAT, nhập lệnh sau:
hostname(config)# static (real_interface,mapped_interface) {tcp | udp} {mapped_ip |
interface} mapped_port real_ip real_port [netmask mask] [dns] [norandomseq] [[tcp]
tcp_max_conns [emb_limit]] [udp udp_max_conns]
III. ACCESS LIST
1. Tổng quan về access list
+ Acess list được tạo nên từ một hoặc nhiều Access Control Entries (ACEs). Một
ACE là một mục trong một access list mà nó tạo nên một luật permit hoặc deny, áp
dụng cho một giao thức, một địa chỉ IP nguồn và đích hoặc một mạng và tùy chọn
các port nguồn, port đích.
56
+ Một số kiểu access list: Standard, Extended, Ethertype, Webtype.
1.1. Thứ tự các ACE
Một access list được tạo nên từ một hoặc nhiều Access Control Entries (ACEs). Tùy
thuộc vào kiểu access list chúng ta có thể chỉ định địa chỉ nguồn và đích, các giao
thức, các port (TCP hoặc UDP), kiểu ICMP (đối với ICMP) hoặc Ethertype.
Thứ tự các access list là rất quan trọng. Khi PIX firewall quyết định nơi sẽ đẩy hoặc
hủy gói tin. PIX sẽ kiểm tra các gói tin vi phạm luật trong mỗi ACE theo thứ tự
trong toàn bộ danh sách. Ví dụ, nếu chúng ta tạo một ACE cho phép tất cả các lưu
lượng đi qua tại điểm bắt đầu của access list thì sẽ không có một trạng thái nào được
kiểm tra sau đó. Có thể disable một ACE bằng cách chỉ định từ khóa inactive trong
lệnh access – list.
1.2. Access Control Implicit Deny
Access list có một implicit deny tại điểm cuối cùng của danh sách, vì vậy trừ khi
bạn permit nó nếu không lưu lượng không thể đi qua. Ví dụ nếu ta muốn tất cả các
lưu lượng của một mạng được đi qua PIX, ngoại trừ một địa chỉ đặc biệt thì cần phải
deny địa chỉ đặc biệt sau đó permit tất cả các địa chỉ khác.
1.3. Địa chỉ IP được sử dụng cho access list khi sử dụng NAT
Khi sử dụng Nat, địa chỉ IP bạn chỉ định cho một access list phụ thuộc vào
interface mà access list đó được gắn vào. Cần sử dụng địa chỉ thích hợp trên mạng
được kết nối đến interface. Nguyên tắc này áp dụng cho cả 2 access list inbound và
outbound: hướng không quyết định mà chỉ interface mới quyết định địa chỉ được sử
dụng.
57
+ Nat được sử dụng cho địa chỉ nguồn
hostname(config)# access-list INSIDE extended permit ip 10.1.1.0 255.255.255.0 host
209.165.200.225
hostname(config)# access-group INSIDE in interface inside
+ Nat được sử dụng cho địa chỉ đích
hostname(config)# access-list OUTSIDE extended permit ip host 209.165.200.225 host
209.165.201.5
hostname(config)# access-group OUTSIDE in interface outside
58
+ Nat được sử dụng cho địa chỉ IP nguồn và đích
hostname(config)# access-list INSIDE extended permit ip 10.1.1.0 255.255.255.0 host 10.1.1.56
hostname(config)# access-group INSIDE in interface inside
2. Cấu hình access list
2.1. Câu lệnh access – list.
Lệnh access –list cho phép kích hoạt một việc chỉ định một địa chỉ IP là permited
hoặc denied việc truy cập đến một giao thức hoặc port. Mặc định tất cả các truy cập
trong một access list là bị cấm. Chúng ta cần permited nó.
Lệnh show access – list liệt kê các trạng thái trong cấu hình access list
59
Lệnh clear access – list sẽ xóa access list trong cấu hình PIX Firewall, nếu ta đưa ra
acl_id thì chỉ xóa các ACL tương ứng.
+ acl_ID: tên của một ACL, có thể dùng tên hoặc số
+ deny: cấm truy cập
+ permit: cho phép truy cập
+ Protocol: tên hoặc số của một giao thức TCP, nó có thể là một từ khóa icmp, ip,
tcp hoặc udp, cũng có thể là một số nằm trong dải từ 1 đến 254
+ source_addr: địa chỉ nguồn
+ source_mask: subnet mask nguồn
+ operator: các toán tử như ep, neq, lt, gt…
+ port: chỉ ra chỉ số port
+ destination_addr: địa chỉ đích
+ destination_mask: subnet mask đích
2.2. Câu lệnh access – group
Lệnh access-group acl_ID in interface interface_name
Gán một ACL đến một interface
no access-group acl_ID in interface interface_name
Hủy gán một ACL đến một interface
show access-group acl_ID in interface interface_name
Hiển thị việc gán ACL hiện tại đến một interface
clear access-group
Xóa lệnh access – group
60
CHƯƠNG 4
THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG
CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL
I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp.
1. Hiện trạng hệ thống
Qua quá trình khảo sát hiện trạng hệ thống mạng của Trường Cao đẳng cơ
khí luyện kim, cho thấy đây là một hệ thống còn hết sức đơn giản, có thể được mô
hình hóa như sau:
* Đường truyền của hệ thống
+ Đường truyền Internet: hệ thống hiện tại chỉ có duy nhất một đường truyền
Internet ADSL tốc độ 2Mbps của VNPT
+ Mạng nội bộ: Hệ thống mạng LAN nối các tòa nhà, các phòng ban với nhau sử
dụng cáp UTP 4 pair
61
* Các dịch vụ cung cấp:
Hiện tại hệ thống mạng của trường chỉ dùng để trao đổi thông tin giữa các máy
trong LAN và truy cập khai thác Internet, chưa cung cấp bất kỳ dịch vụ nào khác.
* Các thiết bị chính
Switch Catalyst 2950
Switch planet FNSW – 1601
Modem ADSL
Các máy trạm tại các văn phòng
2. Đánh giá hiệu năng và mức an toàn của hệ thống
* Hiệu năng của hệ thống
Hiện tại hệ thống chỉ sử dụng các Hub để phân chia lưu lượng mạng, các
thiết bị này có nhược điểm là không phân chia các miền đụng độ. Do đó khi một
máy gửi tín hiệu đi thì tất cả các máy khác trong cùng miền đụng độ sẽ nhận được
lưu lượng đó. Vì vậy một lượng lớn lưu lượng chạy trong hệ thống mạng là lưu
lượng vô ích. Nó làm giảm đáng kể hiệu năng của hệ thống mạng. Trong tương lai
nếu mở rộng hệ thống mạng hơn nữa thì nguy cơ hệ thống bị tê liệt có thể xảy ra.
Ngoài ra hệ thống mới chỉ dùng một modem ADSL cho việc truy cập mạng.
Điều này chưa thực sự làm cho hệ thống mạng ổn định - không bị rớt mạng.
* Độ an toàn của hệ thống
Nguy cơ bị mất mát dữ liệu
Hiện nay, đối với hệ thống mạng hiện tại, nguy cơ bị mất mát dữ liệu là rất lớn.
Nguy cơ này có thể đến từ hai hướng: bên ngoài Internet và ngay nội bộ hệ thống
mạng của trường.
Nguy cơ mất mát thông tin từ ngoài Internet: Mạng của trường đã kết
nối đến Internet, nhưng không có một thiết bị và chương trình bảo mật
nào bảo vệ hệ thống khỏi các nguy cơ xâm nhập từ bên ngoài vào.
Những attacker có thể sử dụng virus dưới dạng trojan để truy cập vào
hệ thống ăn cắp hoặc phá hoại thông tin.
Nguy cơ mất mát thông tin từ bên trong hệ thống: Với các switch hiện
tại, những người trong hệ thống mạng có thể dễ dàng dùng các
62
chương trình nghe lén (sniffer như Cain & Able) để lấy cắp các thông
tin được truyền đi trong mạng (user name và password).
Bị tấn công
Các hệ thống có kết nối Internet thường hay bị tấn công bởi các tin tặc. Nguy cơ
tấn công cũng có thể xảy ra từ chính bên trong mạng, nếu một máy tính trong mạng
bị nhiễm virus có khả năng tấn công mạng hoặc chạy các chương trình tấn công
mạng thì có thể làm cho hệ thống mạng hoàn toàn tê liệt, không thể truy cập được
Internet. Hoặc việc tấn công do chính một thành viên nội bộ hệ thống.
3. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường
Qua phân tích cho thấy hệ thống mạng hiện tại của Trường Cao đẳng cơ khí
luyện kim có hiệu năng thấp và có rất nhiều nguy cơ về an ninh mạng. Ngoài ra nhà
trường muốn xây dựng thêm các server để cung cấp dịch vụ mail server và web
server cho toàn bộ nhân viên của trường. Lãnh đạo nhà trường đã quyết định nâng
cấp toàn bộ hệ thống mạng nhằm khắc phục các vấn đề về hiệu năng hệ thống, độ
an toàn của hệ thống và đảm bảo cung cấp các dịch vụ đã được đề ra.
63
II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall.
1. Sơ đồ thiết kế hệ thống mới.
Xây dựng các web server, mail server, sử dụng thêm 1 đường ADSL cho
việc truy cập Internet, 1 đường lease line dành riêng cho các server, thay thế các
hub bằng các Switch 2960 để nâng cao hiệu năng của hệ thống. Đặc biệt là sử dụng
thiết bị PIX firewall để nâng cao mức độ an toàn cho hệ thống mạng. Mô hình mạng
của trường sẽ được thiết kế như sau:
Hệ thống mạng theo mô hình trên có các đặc điểm như sau:
* Xây dựng các Server triển khai các dịch vụ web server và mail server đáp ứng yêu
cầu đề ra ban đầu.
* Sử dụng thêm một đường ADSL 2Mbps cho việc truy cập Internet của người
dùng. Như vậy hệ thống bây giờ có 2 đường ADSL chạy qua một thiết bị cân bằng
tải Draytek V2930. Điều này sẽ cải thiện lớn tốc độ truy cập Internet của người
dùng, đặc biệt tăng tính ổn định của mạng Internet, không xảy ra tình trạng bị rớt
mạng.
64
* Sử dụng một đường lease line 384Kbps dành riêng cho các Server đảm bảo đường
truyền cho các Server được ổn định.
* Sử dụng switch Cisco để chia mạng LAN ảo - VLAN: Các Hub nối các phòng ban
sẽ được thay thế bằng switch với khả năng chia VLAN, các phòng ban sẽ được chia
vào các VLAN. Mục đích là hạn chế sự broadcast thông tin lên toàn mạng làm tắc
nghẽn đường truyền, nâng cao hiệu suất mạng, mặt khác giúp dễ dàng quản lý, áp
dụng được các chính sách khác nhau đối với từng phòng ban cũng như nhanh chóng
khắc phục các sự cố khi xảy ra.
* Sử dụng Firewall cứng (Cisco PIX Firewall) để bảo vệ hệ thống server và mạng
nội bộ của Trường, Firewall sẽ chia hệ thống mạng ra làm 3 vùng có mức độ ưu tiên
bảo mật khác nhau
Outside: đây là vùng Internet, có mức độ ưu tiên bảo mật thấp nhất
DMZ: vùng đặt các máy chủ, các máy chủ có khả năng truy cập ra vùng
Outside
Inside: mạng nội bộ của khoa, đây là vùng có mức độ ưu tiên bảo vệ cao
nhất, các máy trong vùng inside có khả năng truy cập ra outside và DMZ.
Ước tính giá thành cho việc nâng cấp toàn bộ hệ thống:
Hệ thống mạng sau khi xây dựng vẫn giữ lại các máy trạm, 1 switch 2960, hệ thống
cáp UTP và một modem ADSL
Hệ thống mới cần mua thêm các thiết bị mới với giá cả và chi phí cấu hình ước tính
như sau:(giá cả chỉ mang tính chất tham khảo tại thời điểm khảo sát)
+ 2 CISCO1841 Modular Router w/2xFE, 2 WAN slots, 32 FL/128 DR giá 950 x 2
= 1900 USD
+ Thiết bị cân bằng tải Vigor 2910 giá 95 USD
+ Modem ADSL giá 20 USD
+ PIX 515 giá 980 USD
+ Modem lease line SGHDSL DATACRAFT 560 NTU giá 180 USD
+ 4 Switch 2960 giá 600 x 4 = 2400 USD
+ 3 máy IBM SERVER x3200 - M2 giá 850 USD x 3 = 2550 USD
+ Chi phí thiết kế website, cấu hình server giá 800 USD
+ Chi phí cấu hình các thiết bị cisco: pix, switch, router giá 750 USD
65
Như vậy tổng chi phí ước tính nâng cấp toàn bộ hệ thống vào khoảng 9.675 USD
Ngoài ra trường còn phải chi trả tiền thuê đường ADSL và lease line hàng tháng.
2. Cấp phát địa chỉ
Sau khi chia mỗi văn phòng là một VLAN, có sơ đồ VLAN như sau:
Gán VLAN
VLAN_ID Tên VLAN Mô tả1 VLAN 1 Không dùng2 VLAN 2 VLAN Tài chính - Kế toán3 VLAN 3 VLAN Công đoàn4 VLAN 4 VLAN Quản lý sinh viên5 VLAN 5 VLAN Quan hệ QT6 VLAN 6 VLAN Văn phòng khoa7 VLAN 7 VLAN Đào tạo99 VLAN 99 VLAN quản lý
.3
.4 .5
118.71.120.11
Fa0/0
.1
.2118.71.120.10
192.168.128.0 /24
66
Gán địa chỉ IP
* PIX firewall
Interface Name Security Level
IP Address Subnet
Ethernet 0 Inside 100 192.168.128.1 255.255.255.248
Ethernet 1 DMZ 50 192.168.128.2 255.255.255.252
Ethernet 2 Outside 0 118.71.120.10 255.255.255.0
* Router Cisco 1841
Interface IP Address Subnet Mô tả
Fa0/0 118.71.120.11 255.255.255.0Nối với PIX
Firewall
Fa0/1Địa chỉ này do
ISP cấpNối với lease
line
* Các server
STT Dịch vụ Inside Local IP
1Email, DNS
192.168.128.3
2 Web 192.168.128.4
3ISA
Server192.168.128.5 và
192.168.128.6* Các host inside
VLAN ID
Tên VLAN
Dải địa chỉ IPSubnet mask
2 VLAN2 192.168.2.1 – 192.168.2.254 /24
3 VLAN3 192.168.3.1 – 192.168.3.254 /24
4 VLAN4 192.168.4.1 – 192.168.4.254 /24
5 VLAN5 192.168.5.1 – 192.168.5.254 /24
6 VLAN6 192.168.6.1 – 192.168.6.254 /24
7 VLAN7 192.168.7.1 – 192.168.7.254 /24
67
* Cấu hình địa chỉ IP các máy trạm
Địa chỉ IP: 192.168.x.y
Subnet mask: /24
Gateway: 192.168.x.1
DNS: 192.168.128.3
Với x là số VLAN tương ứng, y là số thứ tự máy trong VLAN đó (y chạy từ 1-254)
3. Cấu hình mô phỏng hệ thống
3.1. Các phần mềm được sử dụng cho cấu hình mô phỏng
3.1.1. GNS3
Phần mềm GNS3 – một phần mềm giả lập mạng có giao diện dạng đồ họa.
GNS3 là một phần mềm giả lập mạng dạng đồ họa, nó cho phép mô phỏng với các
mạng phức tạp, nó sử dụng hệ điều hành mạng Cisco. GNS3 cho phép chúng ta
chạy một Cisco IOS trong một môi trường ảo trên máy tính cá nhân.
GNS3 chạy các IOS thật của các thiết bị như PIX, router…trong đồ án này sử dụng
các IOS pix722_2.bin và C2691-IS.BIN. Vì các phần mềm này hỗ trợ IOS thật nên
rất tốn CPU của máy tính. Do đó sử dụng thêm phần mềm BES 1.2.2 để hạn chế
CPU.
3.1.2. VMWare Workstation
GNS3 không đưa ra thiết bị PC mà đưa ra một thành phần gọi là cloud dùng
để kết nối đến PC của một hãng thứ 3 như vpcs, VMWare…Trong đồ án này sử
68
dụng phần mềm VMWare để mô phỏng cho các máy tính cá nhân của mạng nội bộ,
user bên ngoài Internet và Server thuộc vùng DMZ.
* Chức năng các thành phần trong mô hình
+ Web server: Là một máy VMWare cài hệ điều hành Windows Server 2003. Trên
máy vmware này được cấu hình dịch vụ web server để triển khai public website
http://www.cdluyenkim.com. Các user thuộc mạng nội bộ của trường (inside zone)
và các user bên ngoài Internet đều có thể truy cập được website này. Ngoài ra server
này còn triển khai DNS để ánh xạ tên website sang địa chỉ IP của web server.
+ Host inside: Là một máy VMWare cài đặt hệ điều hành Windows XP được cấu
hình địa chỉ gateway là địa chỉ e0 của PIX firewall, DNS trỏ đến địa chỉ IP của web
server
+ Host outside: Là một máy VMWare cài đặt hệ điều hành Windows server 2003,
dùng để kiểm tra kết nối đến web sever.
+ PIX Firewall: Được chạy IOS thật pix722_2.bin
3.1.3. Packet tracer 5.0
Các host thuộc vùng inside sử dụng phần mềm packet tracer để chia thành các
VLAN khác nhau và cấu hình định tuyến giữa các VLAN đó.
69
3.2. Thiết lập cấu hình cho hệ thống mạng
* Cấu hình chia VLAN
Final Configurations* routerCurrent configuration : 1085 bytes!version 12.4no service password-encryption!hostname Router!!!!!ip ssh version 1!!interface FastEthernet0/0 no ip address duplex auto speed auto!interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 192.168.1.1 255.255.255.0!interface FastEthernet0/0.2 encapsulation dot1Q 2 ip address 192.168.2.1 255.255.255.0!interface FastEthernet0/0.3 encapsulation dot1Q 3 ip address 192.168.3.1 255.255.255.0!interface FastEthernet0/0.4 encapsulation dot1Q 4 ip address 192.168.4.1 255.255.255.0!interface FastEthernet0/0.5 encapsulation dot1Q 5 ip address 192.168.5.1 255.255.255.0!interface FastEthernet0/0.6 encapsulation dot1Q 6 ip address 192.168.6.1 255.255.255.0!interface FastEthernet0/0.7 encapsulation dot1Q 7
70
ip address 192.168.7.1 255.255.255.0!interface FastEthernet0/0.99 encapsulation dot1Q 99 ip address 192.168.99.1 255.255.255.0!interface FastEthernet0/1 no ip address duplex auto speed auto shutdown!interface Vlan1 no ip address shutdown!ip classless!!!!!line con 0line vty 0 4 login!!End
* Switch S1Current configuration : 1346 bytes!version 12.2no service password-encryption!hostname S1!!!interface FastEthernet0/1 switchport access vlan 2 switchport mode access!interface FastEthernet0/2 switchport access vlan 7 switchport mode access!interface FastEthernet0/3 switchport trunk native vlan 99 switchport mode trunk
71
interface range FastEthernet0/4 - 24 shutdown!interface GigabitEthernet1/1!interface GigabitEthernet1/2!interface Vlan1 no ip address shutdown!interface Vlan99 ip address 192.168.99.11 255.255.255.0!line con 0!line vty 0 4 loginline vty 5 15 login!!End
* Switch S2Current configuration : 1346 bytes!version 12.2no service password-encryption!hostname S2!!!interface FastEthernet0/1 switchport access vlan 3 switchport mode access!interface FastEthernet0/2 switchport access vlan 6 switchport mode access!interface FastEthernet0/3 switchport trunk native vlan 99 switchport mode trunk!interface range FastEthernet0/4 - 24!interface GigabitEthernet1/1!
72
interface GigabitEthernet1/2!interface Vlan1 no ip address shutdown!interface Vlan99 ip address 192.168.99.12 255.255.255.0!line con 0!line vty 0 4 loginline vty 5 15 login!!End
* Switch S3Building configuration...
Current configuration : 1379 bytes!version 12.2no service password-encryption!hostname S3!!!interface FastEthernet0/1 switchport access vlan 3 switchport mode access!interface FastEthernet0/2 switchport access vlan 4 switchport mode access!interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan 4 switchport mode trunk!interface range FastEthernet0/4 – 24shutdown!interface GigabitEthernet1/1!interface GigabitEthernet1/2
73
!interface Vlan1 no ip address shutdown!interface Vlan99 ip address 192.168.99.13 255.255.255.0!line con 0!line vty 0 4 loginline vty 5 15 login!!End
* Switch S4Current configuration : 1538 bytes!version 12.2no service password-encryption!hostname S4!no ip domain-lookup!!interface FastEthernet0/1 switchport access vlan 5 switchport mode access!interface FastEthernet0/2 switchport access vlan 6 switchport mode access!interface FastEthernet0/3 switchport trunk native vlan 99 switchport mode trunk!interface FastEthernet0/4 switchport trunk native vlan 99 switchport mode trunk!interface FastEthernet0/5 switchport trunk native vlan 99 switchport mode trunk!interface FastEthernet0/6
74
switchport trunk native vlan 99 switchport mode trunk!interface range FastEthernet0/7 - 24 shutdown!interface GigabitEthernet1/1!interface GigabitEthernet1/2!interface Vlan1 no ip address shutdown!interface Vlan99 ip address 192.168.99.14 255.255.255.0!ip default-gateway 192.168.99.1!line con 0!line vty 0 4 loginline vty 5 15 login!!End
* Cấu hình trên PIX firewall
PIX Version 7.2(2)!hostname pixfirewallenable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0 nameif inside security-level 100 ip address 192.168.1.2 255.255.255.0!interface Ethernet1 nameif dmz security-level 50 ip address 192.168.128.2 255.255.255.0!interface Ethernet2 nameif outside security-level 0
75
ip address 118.71.120.1 255.255.255.0!interface Ethernet3 shutdown no nameif no security-level no ip address!interface Ethernet4 shutdown no nameif no security-level no ip address!passwd 2KFQnbNIdI.2KYOU encryptedftp mode passiveaccess-list aclout extended permit tcp any host 118.71.120.12 eq 80access-list aclout extended permit icmp any anypager lines 24mtu outside 1500mtu inside 1500mtu dmz 1500icmp unreachable rate-limit 1 burst-size 1no asdm history enablearp timeout 14400nat-controlglobal (dmz) 1 118.71.120.14 netmask 255.255.255.0global (outside) 1 118.71.120.13 netmask 255.255.255.0global (outside) 2 118.71.120.15 netmask 255.255.255.0nat (inside) 1 0 0 0 0 0 0 0 0nat (dmz) 2 192.168.128.0 255.255.255.0static (dmz,outside) 118.71.120.12 192.168.128.2 netmask 0 0access-group aclout in interface dmzaccess-group aclout in interface outsidetimeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout uauth 0:05:00 absoluteno snmp-server locationno snmp-server contactsnmp-server enable traps snmp authentication linkup linkdown coldstarttelnet timeout 5ssh timeout 5console timeout 0prompt hostname contextCryptochecksum:225c6b16b78cabaa953f1b210a6844a5: end
76
4. Kiểm tra cấu hình
Các host inside được chia thành các VLAN và có thể truyền thông được với nhau
Một user bên ngoài Internet hoặc user bên trong mạng nội bộ của trường đều có thể
truy cập được website đặt trên máy chủ thuộc vùng DMZ.
Một user thuộc vùng inside hoặc vùng dmz có thể đi ra bên ngoài Internet
77
Một user thuộc vùng inside có thể truy cập vào vùng DMZ
Một user bên ngoài Internet không thể truy cập vào được bên trong vùng inside
hoặc DMZ
Như vậy sau khi sử dụng PIX, các user bên trong mạng nội bộ có thể truy cập vào
vùng DMZ và truy cập ra ngoài Internet. Ngược lại bên ngoài Internet không thể
truy cập vào mạng nội bộ hoặc khu vực chứa server của trường.
78
KẾT LUẬN
Các giao dịch của Việt Nam và trên thế giới hiện tại và tương lai đa số diễn
ra trên mạng. Do đó mà việc bảo mật thông tin là vô cùng quan trọng. Tìm hiểu về
an ninh mạng và các phương thức đảm bảo an toàn cho hệ thống mạng là một đề tài
có tính chất thực tế và khá mới mẻ đối với sinh viên.
Đồ án “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao
đẳng cơ khí luyện kim” nhằm nghiên cứu tìm hiểu các vấn đề cơ bản cũng như
hiểu biết về tầm quan trọng của an ninh mạng. Đề tài tập trung tìm hiểu các đặc
trưng của PIX Firewall – một giải pháp an ninh phần cứng của Cisco và áp dụng
vào mô hình mạng của trường Cao đẳng cơ khí luyện kim.
Sức mạnh bảo mật của Cisco PIX Firewall mang lại cho hệ thống mạng là rất
lớn. Tuy nhiên do lượng thời gian có hạn nên việc tiếp cận một công nghệ firewall
còn khá mới mẻ sẽ khó tránh khỏi những hạn chế. Em xin tiếp nhận các ý kiến đóng
góp của thầy cô, bạn bè để hoàn thiện kiến thức cho bản thân.
Em xin chân thành cảm ơn cô giáo Bùi Thị Mai Hoa đã tận tình hướng dẫn
em hoàn thành đồ án này.
Thái Nguyên, tháng 06 năm 2009
79
TÀI LIỆU THAM KHẢO
[1] Cisco Secure PIX Firewall Advanced - CSPFA Student Guide V3.2 - Cisco
system, Inc. 170 Web Tasman Drive, San Jose, CA 951347-106 USA.
[2] Cisco Security Appliance Command Line Configuration Guide For the Cisco
ASA 5500 Series and Cisco PIX 500 Series Software - Version 7.2 Customer
[3] http://www.cisco.com
[4] http://www.gns3.net
[5] http://www.vmware.com
80