Đề tài nghiên cứu về tường lửa

Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lạc, lấy cắp các tệp lưu giữ tin, sao chép các thông tin mật, giả mạo người được phép sử dụng thông tin trong các

CHƯƠNG 1 KHÁI QUÁT VỀ TƯỜNG LỬA

Khái niệm về tường lửa

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn Còn trong công nghệ mạng máy tính, đây là một thuật ngữ chuyên ngành quen thuộc.

Firewall là công cụ phần cứng hoặc phần mềm, hay có thể là cả 2 được tích hợp vào hệ thống để ngăn chặn các truy cập trái phép, ngăn chặn virus xâm nhập… đảm bảo các nguồn thông tin nội bộ luôn được bảo vệ an toàn.

Trong mọi trường hợp, Firewall phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet Các firewall đầu tiên là các router đơn giản.

Sự ra đời của Firewall đóng vai trò thiết yếu đối với bất kì máy tính nào có hệ thống kết nối với mạng internet, vì nó sẽ giúp quản lý những gì được phép vào mạng và những gì ra khỏi mạng Việc sở hữu một “người kiểm duyệt” như vậy để giám sát quá trình mọi việc xảy ra là vô cùng quan trọng.

Chức năng của tường lửa

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng nội bộ (Intranet) và mạng Internet Cụ thể là:

 Cho phép hoặc vô hiệu hóa những dịch vụ truy nhập từ bên trong ra bên ngoài (từ Intranet ra Internet).

 Cho phép hoặc cấm những dịch vụ phép truy nhập từ bên ngoài vào bên trong trong (từ Internet vào Intranet).

 Tường lửa có thể phát hiện và ngăn chặn ngay tức khắc các cuộc tấn công, xâm nhập từ bên ngoài.

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng.

 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.

Phân loại Firewall

Hardware Firewall hay còn gọi là Tường lửa phần cứng là thiết bị bảo mật đại diện cho một phần cứng riêng biệt được đặt giữa mạng bên trong(Intranet) và bên ngoài (Internet)

Hardware Firewall sẽ kiểm tra tất cả các dữ liệu đến từ Internet, đi qua các gói dữ liệu an toàn trong khi chặn các gói dữ liệu nguy hiểm tiềm ẩn.

Hardware Firewall có tài nguyên của nó và không tiêu thụ bất kỳ CPU hoặc

RAM nào từ các thiết bị chủ Nó là một thiết bị vật lý đóng vai trò như một cổng cho lưu lượng truy cập đến và đi từ một mạng nội bộ.

Hardware Firewall được sử dụng bởi các tổ chức hoặc doanh nghiệp vừa và lớn và có nhiều máy tính hoạt động trong cùng một mạng Sử dụng tường lửa phần cứng trong những trường hợp như vậy thực tế hơn là cài đặt phần mềm riêng lẻ trên từng thiết bị Việc định cấu hình và quản lý tường lửa phần cứng đòi hỏi kiến thức và kỹ năng, vì vậy hãy đảm bảo có một đội ngũ lành nghề đảm nhận trách nhiệm này

 Đặc điểm của Firewall cứng:

Tốc độ : Hardware Firewall được thiết kế cho thời gian phản hồi nhanh hơn, do đó, nó có thể xử lý nhiều lưu lượng truy cập hơn.

Bảo mật : Hardware Firewall có hệ điều hành riêng ít bị tấn công hơn Điều này lần lượt làm giảm nguy cơ bảo mật và ngoài ra, tường lửa phần cứng có các điều khiển bảo mật nâng cao.

Không có nhiễu : Vì Hardware Firewall là một thành phần mạng bị cô lập, nó có thể được quản lý tốt hơn và không tải hoặc làm chậm các ứng dụng khác Tường lửa có thể được di chuyển, tắt máy hoặc cấu hình lại với sự can thiệp tối thiểu vào mạng.

Không được linh hoạt như Firewall mềm: Không thể thêm chức năng, thêm quy tắc như firewall mềm.

Firewall cứng hoạt động ở tầng Network và tầng Transport.

Firewall cứng không thể kiểm tra được nột dung của gói tin: Tường lửa phần cứng được tích hợp vào bộ định tuyến nằm giữa máy tính và Internet Họ thường sử dụng lọc gói, có nghĩa là họ quét tiêu đề gói để xác định nguồn gốc, nguồn gốc, địa chỉ đích và kiểm tra với quy tắc người dùng hiện có được xác định để đưa ra quyết định cho phép / từ chối.

Một số Hardware Firewall: Cisco ASA, Fortigate, Juniper, Checkpoint, Palo

Software Firewall hay còn gọi là Tường lửa phần mềm, được cài đặt trên các máy tính cá nhân trên mạng hay còn gọi là Server

Không giống như Hardware Firewall , Software Firewall có thể dễ dàng phân biệt giữa các chương trình trên máy tính Điều này cho phép họ cho phép dữ liệu vào một chương trình trong khi chặn một chương trình khác

Nếu có nhiều thiết bị, bạn cần cài đặt phần mềm trên mỗi thiết bị Vì nó cần phải tương thích với máy chủ, nó yêu cầu cấu hình riêng cho từng máy Do đó, bất lợi chính là thời gian và kiến thức cần thiết để quản trị và quản lý tường lửa cho mỗi thiết bị.

 Đặc điểm của Software Firewal:

Tính linh hoạt cao như là có thể thêm, bớt các quy tắc, các chức năng

Software Firewal hoạt động ở tầng cao hơn Hardware Firewall (tầng ứng dụng) Software Firewal có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).

Ví dụ về Software Firewal: Zone Alarm, Symantec: Norton Personal

Firewall, Network Associates: McAfee Personal Firewall,…

3.3 So sánh 2 loại tường lửa

 Cao về đầu tư ban đầu

 Bảo trì thấp trong những năm đầu

 Trả thêm phí cho mỗi đối tượng địa lý, một số có thể độc quyền cho người khác.

Chi phí cấu hình / tùy chỉnh ban đầu cao

Đầu tư ban đầu thấp

 HW chuyên dụng cho công việc, có thể cho hiệu suất tốt hơn.

 Phần mềm và phần cứng được kiểm tra tốt để làm việc với nhau.

 ASIC (Mạch tích hợp ứng dụng cụ thể) có thể tăng tốc các chức năng cụ thể của Firewall / IDS (Hệ thống phát hiện xâm nhập) / IPS (Hệ thống ngăn chặn xâm nhập) Điều này có thể rất thuận lợi cho một thiết bị mạng nội tuyến vì nó không giới thiệu độ trễ tăng lên.

Khả năng tùy chỉnh theo yêu cầu, hoặc bạn có thể có trên máy ảo.

Nếu bạn chọn phần mềm phù hợp, bạn có thể nhận được một danh sách các tính năng tuyệt vời.

Một số tường lửa “tích hợp” sử dụng phần mềm mã nguồn mở có thể cung cấp các tính năng đáng kinh ngạc có thể không được cung cấp bởi tường lửa thương mại (chúng không có bảo đảm ).

Bảng 1 So sánh 2 loại tường lửa

Cấu tạo và cơ chế hoạt động của Firewall

Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc có chức năng router Các phần mềm quản lí an ninh chạy trên hệ thống máy chủ Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền

(Authorization) và kế toán (Accounting).

Một FireWall bao gồm một hay nhiều thành phần sau :

 Bộ lọc packet (packet- filtering router).

 Cổng ứng dụng (Application-level gateway hay proxy server).

 Cổng mạch (Circuite level gateway).

4.1.1.Bộ lọc gói (Packet Fillering)

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng

3 Cấu tạo của Firewall trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng Đó là:

 Địa chỉ IP nơi xuất phát (Source)

 Địa chỉ IP nơi nhận ( Destination)

 Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

 Cổng TCP/UDP nơi xuất phát

 Cổng TCP/UDP nơi nhận

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ.

Chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router

Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

Việc định nghĩa các chế độ lọc package là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển

Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

4.1.2.Cổng ứng dụng (Application-Level Gateway) Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối

Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là:

Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp firewall

Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host

Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card

Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống

Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại

Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để

Những mô hình Firewall phổ biến hiện nay

4 Sơ đồ mô hình Edge Firewall

Edge Firewall template là một network template cơ bản giúp kết nối mạng bên trong với Internet, và được bảo vệ bởi Forefront TMG Để sử dụng Edge Firewall template yêu cầu tối thiểu phải có hai network Adapter trên Forefront TMG Server Đây là tùy chọn mặc định và một trong những tùy chọn được sử dụng phổ biến nhất Điều này sẽ tạo ra một mạng nội bộ phân cách với mạng bên ngoài thông qua TMG.

3-Leg Perimeter Firewall là một Forefront TMG Server với ba hoặc nhiều network adapter Một network adapter kết nối mạng bên trong, một network adapter kết nối với mạng bên ngoài và một network adapter kết nối với DMZ (DemilitarizedZone), cũng được gọi là Perimeter Network.

Perimeter Network gồm có các dịch vụ, nên cần có thể truy cập từ Internet nhưng cũng được bảo vệ bởi Forefront TMG Các dịch vụ điển hình trong một DMZ là Web Server, DNS Server hoặc Mail Server Một 3-Leg Perimeter Firewall cũng thường được gọi là “Poor Man’s Firewall”, nó không phải là một DMZ “đích thực” Một DMZ đích thực chính là vùng giữa hai Firewall khác nhau.

Tùy chọn này được sử dụng khi bạn có một bức tường lửa, chẳng hạn như một bức tường lửa TMG, tường lửa firewall ISA hoặc bên thứ 3, trước các bức tường lửa TMG, một chu vi TMG Firewall Network sẽ được tự động tao ra cũng như một mặc định mạng nội bộ.

Back Firewall template có thể được sử dụng bởi Forefront TMG Administrator, khi Forefront TMG được đặt phía sau Front Firewall Back firewall sẽ bảo vệ mạng bên trong đối với việc truy cập từ DMZ và mạng bên ngoài, nó có thể điều khiển lưu lượng được phép từ các máy tính trong DMZ và từ Front Firewall.

7 Mô hình Single-Network Adapter

Tùy chọn này được sử dụng khi bạn có một NIC đã được cài đặt trên các bức tường lửa TMG Điều này chỉ được sử dụng khi các bức tường lửa là nó được sử dụng như một máy chủ proxy web Cấu hình này không hỗ trợ bất kỳ giao thức khác hơn so với HTTP, HTTPS và FTP Nó hỗ trợ truy cập từ xa VPN

Single Network Adapter template có một số hạn chế vì một Forefront TMG server với chỉ một giao diện mạng không thể được sử dụng như một Firewall thực sự, vì vậy nhiều dịch vụ theo đó mà không có Nó chỉ có các tính năng dưới đây:

 Chuyển tiếp các request của Web Proxy có sử dụng HTTP, Secure HTTP (HTTPS), hoặc File Transfer Protocol (FTP) cho các download.

 Lưu trữ nội dung web phục vụ cho các máy khách trên mạng công ty.

 Web publishing để bảo vệ các máy chủ FTP và published Web

 Microsoft Outlook Web Access, ActiveSync và RPC trên HTTP (cũng được gọi là Outlook Anywhere trong Exchange Server 2007).

 Không giống như ISA Server 2006 hướng dẫn Network Template, TMGNetwork Setup Wizard còn cho phép bạn xác định các thiết lập IP cho NIC Một cải tiến khác trên ISA Server 2006 Network Template Wizard, là khi bạn chọn 3-Leg hoặc Back Firewall Trong những trường hợp này, Network Setup Wizard cung cấp cho bạn khả năng lựa chọn các mối quan hệ mạng NAT hoặc Route Đây là một cải tiến lớn, trên ISA Server 2006 Mẫu Wizard trong không có giả định về mối quan hệ này.

CHƯƠNG 2 TỔNG QUÁT FIREWALL CISCO ASA

Giới thiệu về Firewall Cisco ASA

Cisco Systems, Inc là một tập đoàn công nghệ đa quốc gia của Mỹ có trụ sở chính tại San Jose, California được thành lập vào tháng 12 năm 1984 bởi Leonard

Bosack và Sandy Lerner, hai nhà khoa học máy tính của Đại học Stanford.

Cisco Systems là hãng chuyên sản xuất và đưa ra các giải pháp mạng LAN & WAN lớn nhất thế giới hiện nay bởi sự tiện dụng và thông minh khi sản xuất ra các sản phẩm đáp ứng nhu cầu của các doanh nghiệp từ vừa và nhỏ đến lớn.

Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance ASA là một giải pháp bảo mật đầu cuối chính của Cisco Hiện tại ASA là sản phẩm bảo mật dẫn đầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp doanh nghiệp.

Các thuộc tính của Firewall Cisco ASA

Firewall ASA của Cisco có những thuộc tính sau:

 Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco

 Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco

 Sử dụng SNR để bảo mật kết nối TCP

 Sử dụng Cut through proxy để chứng thực telnet, http, ftp

 Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn

 VPN: IPSec, SSL và L2TP

 Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS

 NAT động, NAT tĩnh, NAT port

 Ảo hóa các chính sách sử dụng Context.

Cơ chế hoạt động

Cisco ASA hoạt động theo cơ chế giám sát gói tin theo trạng thái (Stateful Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật (ghi nhận trạng thái của từng gói tin thuộc kết nối xác định theo loại giao thức hay ứng dụng) Cho phép kết nối một chiều (outbound-đi ra) với rất ít việc cấu hình Một kết nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết bị trên mạng có mức bảo mật thấp hơn.

Trạng thái được ghi nhận sẽ dùng để giám sát và kiểm tra gói trở về Thay đổi ngẫu nhiên giá trị tuần tự (sequence number) trong gói TCP để giảm rủi ro của sự tấn công.

Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy (trusted) hay mức bảo mật cao và cổng không tin cậy (untrusted) hay mức bảo mật thấp Quy tắc chính cho mức bảo mật đó là thiết bị từ vùng tin cậy có thể truy cập được thiết bị trong vùng không tin cậy Ngược lại thiết bị từ vùng không tin cậy không thể truy cập tới thiết bị vùng tin cậy trừ khi được cho phép bởi ACL.

Các chức năng cơ bản của firewall ASA

Có hai loại file cấu hình trong các thiết bị an ninh Cisco: running- configuration và startup-configuration

 Loại file đầu tiên running-configuration là một trong những file hiện đang chạy trên thiết bị, và được lưu trữ trong bộ nhớ RAM của firewall Bạn có thể xem cấu hình này bằng cách gõ show running-config từ các chế độ Privileged Bất kỳ lệnh mà bạn nhập vào firewall được lưu trực tiếp bằng trong running-config và có hiệu lực thi hành ngay lập tức Kể từ khi cấu hình chạy được lưu trong bộ nhớ RAM, nếu thiết bị bị mất nguồn, nó sẽ mất bất kỳ thay đổi cấu hình mà không được lưu trước đó Để lưu lại cấu hình đang chạy, sử dụng copy run start hoặc write memory Hai lệnh này sẽ copy running-config vào startup-config cái mà được lưu trữ trong bộ nhớ flash.

 Loại thứ hai startup-configuration là cấu hình sao lưu của running- configuration Nó được lưu trữ trong bộ nhớ flash, vì vậy nó không bị mất khi các thiết bị khởi động lại Ngoài ra, startup-configuration được tải khi thiết bị khởi động Để xem startup-configuration được lưu trữ, gõ lệnh show startup-config.

Security Level được gán cho interface (hoặc vật lý hay logical sub-interfaces) và cơ bản nó là một số từ 0-100 được chỉ định với interface liên quan đến một interface khác trên thiết bị Mức độ bảo mật cao hơn thì interface càng đáng tin cậy hơn Vì mỗi interface firewall đại diện cho một mạng cụ thể (hoặc khu vực an ninh) bằng cách sử dụng mức độ bảo mật Các quy tắc chính cho mức độ bảo mật là một interface với một mức độ bảo mật cao hơn có thể truy cập vào một interface với một mức độ bảo mật thấp hơn Mặt khác, một interface với một mức độ bảo mật thấp hơn không thể truy cập vào một interface với một mức độ bảo mật cao hơn, mà không có sự cho phép rõ ràng của một quy tắc bảo mật (Access Control List - ACL).

Một số mức độ bảo mật điển hình:

 Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gán mặc định interface bên ngoài của firewall Đó là mức độ bảo mật ít tin cậy nhất và phải được chỉ định phù hợp với mạng (interface) mà chúng ta không muốn nó có bất kỳ truy cập vào mạng nội bộ của chúng ta Mức độ bảo mật này thường được gán cho interface kết nối với Internet Điều này có nghĩa rằng tất cả các thiết bị kết nối Internet không thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừ khi một quy tắc ACL rõ ràng cho phép.

 Security Level 1 đến 99: Những mức độ bảo mật có thể được khu vực bảo mật vòng ngoài (ví dụ như khu vực DMZ, khu vực quản lý, ).

 Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gán mặc định interface bên trong của tường lửa Đây là mức độ bảo mật đáng tin cậy nhất và phải được gán cho mạng (interface) mà chúng ta muốn áp dụng bảo vệ nhiều nhất từ các thiết bị an ninh.Mức độ bảo mật này thường được gán cho interface kết nối mạng nội bộ công ty đằng sau nó.

Việc truy cập giữa Security Level tuân theo các quy định sau:

 Truy cập từ Security Level cao hơn tới Security Level thấp hơn: Cho phép tất cả lưu lượng truy cập có nguồn gốc từ Security Level cao hơn trừ khi quy định cụ thể bị hạn chế bởi một Access Control List (ACL) Nếu NAT-Control được kích hoạt trên thiết bị, sau đó phải có một cặp chuyển đổi nat/global giữa các interface có Security Level từ cao tới thấp.

 Truy cập từ Security Level thấp hơn Security Level cao hơn: Chặn tất cả lưu lượng truy cập trừ khi được cho phép bởi một ACL Nếu NAT-Control được kích hoạt trên thiết bị này, sau đó phải là một NAT tĩnh giữa các interface có Security Level từ cao tới thấp.

 Truy cập giữa các interface có cùng một Security Level: theo mặc định là không được phép, trừ khi bạn cấu hình lệnh same-security-traffic permit

4.3 Điều khiển truy cập mạng

Cisco Adaptive Security Appliances (ASA) có thể giúp bảo vệ một hoặc nhiều mạng từ những kẻ xâm nhập và tấn công Kết nối giữa các mạng này có thể được kiểm soát và theo dõi bằng cách sử dụng các tính năng mạnh mẽ mà Cisco ASA cung cấp Có thể đảm bảo rằng tất cả lưu lượng truy cập từ các mạng tin cậy cho đến mạng không tin cậy (và ngược lại) đi qua các tường lửa dựa trên chính sách đảm bảo an toàn của hệ thống tường lửa ASA.

Cisco ASA có thể bảo vệ mạng bên trong (inside), các khu phi quân sự (DMZ) và mạng bên ngoài (outside) bằng cách kiểm tra tất cả lưu lượng đi qua nó Có thể xác định chính sách và quy tắc cho những lưu lượng được cho phép hoặc không cho phép đi qua interface Các thiết bị bảo mật sử dụng access control list (ACL) để giảm lưu lượng truy cập không mong muốn hoặc không biết khi nó cố gắng để vào mạng đáng tin cậy Một ACL là danh sách các quy tắc an ninh, chính sách nhóm lại với nhau cho phép hoặc từ chối các gói tin sau khi nhìn vào các tiêu đề gói (packet header) và các thuộc tính khác Mỗi phát biểu cho phép hoặc từ chối trong ACL được gọi là một access control entry (ACE) Các ACE có thể phân loại các gói dữ liệu bằng cách kiểm tra ở layer 2, layer 3 và layer 4 trong mô hình OSI bao gồm:

 Kiểm tra thông tin giao thức layer 2: ethertypes.

 Kiểm tra thông tin giao thức layer 3: ICMP, TCP or UDP, kiểm tra địa chỉ IP nguồn và đích

 Kiểm tra thông tin giao thức layer 4: port TCP/UDP nguồn và đích

Khi một ACL đã được cấu hình đúng, có thể áp dụng vào interface để lọc lưu lượng Các thiết bị an ninh có thể lọc các gói tin theo hướng đi vào (inbound) và đi ra (outbound) từ interface Khi một ACL được áp dụng đi vào interface, các thiết bị an ninh kiểm tra các gói chống lại các ACE sau khi nhận được hoặc trước khi truyền đi Nếu một gói được cho phép đi vào, các thiết bị an ninh tiếp tục quá trình này bằng cách gửi nó qua các cấu hình khác Nếu một gói tin bị từ chối bởi các ACL, các thiết bị an ninh loại bỏ các gói dữ liệu và tạo ra một thông điệp syslog chỉ ra một sự kiện đã xảy ra

Nếu một ACL được áp dụng trên một interface, các thiết bị an ninh xử lý các gói dữ liệu bằng cách gửi các packet thông qua các quá trình khác nhau (NAT, QoS, và VPN) và sau đó áp dụng các cấu hình ACE trước khi truyền các gói dữ liệu này Các thiết bị an ninh truyền các gói dữ liệu chỉ khi chúng được phép đi ra ngoài.Các loại Access Control List:

Có năm loại ACL khác nhau đã cung cấp một cách linh hoạt và khả năng mở rộng để lọc các gói trái phép bao gồm:

Standard ACL: Chuẩn Standard ACL được sử dụng để xác định các gói dữ liệu dựa trên địa chỉ IP đích.Các ACL ở đây có thể được sử dụng để phân chia các luồng lưu thông trong truy cập từ xa VPN và phân phối lại các luồng này bằng sơ đồ định tuyến.Chuẩn Standard ACL chỉ có thể được sử dụng để lọc các gói khi và chỉ khi các thiết bị bảo mạng hoạt động ở chế độ định tuyến,ngăn truy cập từ mạng con này đến mạng con khác.

Extended ACL: Chuẩn Extended là một chuẩn phổ biết nhất, có thể phân loại các gói dữ liệu dựa trên các đặc tính sau:

 Địa chỉ nguồn và địa chỉ đích.

 Địa chỉ nguồn hoặc địa chỉ của cổng TCP và UDP.

 Điểm đến ICMP dành cho các gói ICMP.

 Một chuẩn ACL mở rộng có thể được sử dụng cho quá trình lọc gói, phân loại các gói QoS, nhận dạng các gói cho cơ chế NAT và mã hóa VPN.

 IPV6 ACL: Một IPV6 ACL có chức năng tương tự như chuẩn Extended ACL Tuy nhiên chỉ nhận biết các lưu lượng là địa chỉ IPV6 lưu thông qua thiết bị bảo mật ở chế độ định tuyến.

Ethertype ACL: Chuẩn Ethertype có thể được sử dụng để lọc IP hoặc lọc gói tin bằng cách kiểm tra đoạn mã trong trường Ethernet ở phần đầu lớp 2 Một Ethertype ACL chỉ có thể được cấu hình chỉ khi các thiết bị bảo mật đang chạy ở chế độ trong suốt (transparent) Lưu ý rằng ở chuẩn này các thiết bị bảo mật không cho phép dạng IPV6 lưu thông qua, ngay cả khi được phép đi qua IPV6 Ethertype ACL.

Một số mẫu Firewall Cisco ASA phổ biến trên thị trường hiện nay

ASA 5505 là model nhỏ nhất trong các dòng sản phẩm của ASA, cả về kích thước vật lý cũng như hiệu suất Nó được thiết kế dành cho các văn phòng nhỏ và văn phòng gia đình Đối với các doanh nghiệp lớn hơn, ASA 5505 thường được sử dụng để hỗ trợ cho các nhân viên làm việc từ xa.

Có 8 cổng FastEthernet trên ASA 5505, tất cả kết nối đến một switch nội bộ 2 trong số các cổng có khả năng cung cấp Power over Ethernet (PoE) với các thiết bị kèm theo (ASA chính nó không thể hỗ trợ bởi PoE)

Theo mặc định, tất cả 8 cổng được kết nối đến các VLAN giống nhau trong switch, cho phép kết nối các thiết bị để giao tiếp ở lớp 2 Các cổng của switch có thể chia thành nhiều VLAN để hỗ trợ các khu vực hoặc chức năng khác nhau trong một văn phòng nhỏ ASA kết nối với mỗi VLAN qua các interface các nhân luận lý Bất kỳ luồng dữ liệu nào qua giữa các VLAN đều qua ASA và các chính sách bảo mật của nó

ASA 5505 có một khe Security Services Card (SSC) có thể chấp nhận một tùy chọn AIPSSC-5 IPS module Với module được cài đặt, ASA có thể tăng cường các đặc tính bảo mật của nó với các chức năng mạng IPS

12 Hình ảnh thiết bị ASA 5505

Các model ASA 5510, 5520 và 5540 sử dụng một khuôn chung như hình 13 và có các chỉ số ở mặt trước và các phần cứng kết nối giống nhau

Các model khác nhau trong xếp hạng hiệu suất an ninh của chúng Tuy nhiên,

ASA 5510 được thiết kết cho các doanh nghiệp nhỏ và vừa (SMB) và các văn phòng từ xa của doanh nghiệp lớn ASA 5520 thích hợp cho các doanh nghiệp vừa trong khi ASA 5540 dành cho các doanh nghiệp vừa và lớn và các nhà cung cấp dịch vụ mạng.

ASA 5520 và 5540 có 4 cổng 10/100/100 có thể sử dụng để kết nối vào cơ sở hạ tầng mạng 4 cổng là các interface firewall chuyên dụng và không kết nối với nhau

ASA 5510 có thể sử dụng 4 cổng 10/100 là mặc định Nếu thêm một giấy phép bảo mật được mua và kích hoạt 2 port làm việc ở 10/100/1000 và 2 port FastEthernet Một interface thứ 5 dùng để quản lý cũng có sẵn.

Các ASA 5510, 5520 và 5540 có một khe cắm SSM có thể gắn card vào :

 Four-port Gigabit Ethernet SSM: module này thêm vào 4 interface firewall vật lý, hoặc 10/100/100 RJ45 hoặc small form-factor pluggable (SFP) - cổng cơ bản

 Advanced Inspection and Prevention (AIP) SSM: module này thêm các khả năng của mạng nội tuyến IPS để phù hợp với bảo mật của ASA

 Content Security and Control (CSC) SSM: module này các dịch vụ kiểm soát nội dung và chống virus toàn diện cho phù hợp với bảo mật của ASA.

ASA 5550 được thiết kế để hỗ trợ doanh nghiệp lớn và các nhà cung cấp dịch vụ mạng Hình trên cho thấy mặt trước và sau

Chú ý rằng ASA 5550 trong giống ASA 5510, 5520 và 5540 Sự khác biệt đáng chú ý nhất là ASA 5550 có 4 cổng Gigabit Ethernet (4GE-SSM) cố định trong khe cắm SSM, không thể tháo bỏ và thay đổi. Đặc điểm kiến trúc ASA 5550 có 2 nhóm của các interface vật lý kết nối đến 2 bus nội được chia ra Các nhóm interface được gọi là khe cắm 0 và 1 tương ứng với bus 0 và 1 Khe cắm 0 gồm 4 cổng Gigabit Ethernet bằng đồng khe cắm 1 gồm 4 cổng SFP Gigablit Ethernet bằng đồng, mặc dù chỉ có 4 trong 8 cổng có thể được sử dụng bất cứ lúc nào ASA 5550 cung cấp hiệu suất cao cho các môi trường được đòi hỏi Để tối đa hóa thông lượng firewall, phần lớn lưu lượng nên đi từ các switch port trên bus 0 đến switch port trên bus 1 ASA có thể chuyển tiếp lưu lượng hiệu quả hơn rất nhiều từ bus này đến bus kia nếu lưu lượng nằm trong một bus đơn.

ASA 5580 là một model có hiệu suất cao trong họ và được thiết kế cho các doanh nghiệp lớn, trung tâm dữ liệu, các nhà cung cấp dịch vụ lớn Nó có thể hỗ trợ lên đến 24 Gigabit Ethernet interfaces hoặc 12 10Gigabit Ethernet interfaces Đây là một trong hai model khung lớn hơn một đơn vị rack tiêu chuẩn (RU) ASA 5580 thể hiện trong hình 2.9, có 2 model: ASA 5580-20 (5Gbps) và ASA 5580-40 (10Gbps)

Bộ khung bao gồm 2 port 10/100/1000 được sử dụng cho quản lý lưu lượng out- ofband Hệ thống cũng sử dụng nguồn cung cấp điện dự phòng kép.

ASA 5580 khung tổng cộng có 9 khe cắm PCI Express mở rộng khe cắm 1 được dành riêng cho module mã hóa gia tốc để hỗ trợ cho các phiên làm việc VPN hiệu suất cao Khe 2-9 dành cho việc sử dụng trong tương lai, để lại 6 khe cắm có sẵn cho các card interface mạng sau đây:

 4-port 10/100/1000BASE-T copper Gigabit Ethernet interfaces

 4-port 1000BASE-SX fiber-optic Gigabit Ethernet interfaces

 2-port 10GBASE-SR 10Gigabit Ethernet fiber-optic interfaces

CHƯƠNG 3 HƯỚNG DẪN CAI DẶT VA CHẠY MÔ PHỎNG

Hướng dẫn cài đặt Cisco Packet Tracer

1.1.Tải file về máy tính sao đó click đúp vào file để khởi chạy chương trình cài đặt.

1.2.Truy cập https://www.netacad.com/courses/packet-tracer, bấm vào login để tạo tài khoản để truy cập vào cisco packet tracer.

Giới thiệu về bài toán

2.1.1.Nhu cầu bảo mật Đối với hệ thống mạng hiện tại, nguy cơ bị mất mát dữ liệu là rất lớn Nguy cơ này có thể đến từ hai hướng: bên ngoài Internet và ngay nội bộ hệ thống mạng.

 Nguy cơ mất mát thông tin từ ngoài Internet: hệ thống mạng hiện tại đều kết nối đến Internet, nhưng không có một thiết bị và chương trình bảo mật nào bảo vệ hệ thống khỏi các nguy cơ xâm nhập từ bên ngoài vào Những hacker có thể sử dụng virus dưới dạng trojan để truy cập vào hệ thống ăn cắp hoặc phá hoại thông tin.

 Nguy cơ mất mát thông tin từ bên trong hệ thống: Với các switch hiện tại, những người trong hệ thống mạng có thể dễ dàng dùng các chương trình nghe lén (sniffer) để lấy cắp các thông tin được truyền đi trong mạng và nguy cơ mất mát thông tin từ trong hệ thống là nguy cơ ngày càng cao trong các hệ thống mạng hiện nay

 Nguy cơ hệ thống có kết nối Internet bị tấn công bởi các tin tặc:

Hậu quả tất yếu của các vụ tấn công như trên là server sẽ bị tê liệt, không còn khả năng xử lý các yêu cầu khác nữa Do hệ thống mạng nội bộ có vùng quảng bá rộng nên nguy cơ tấn công cũng có thể xảy ra từ bên trong mạng, nếu một máy tính trong mạng bị nhiễm virus có khả năng tấn công mạng hoặc chạy các chương trình tấn công mạng thì có thể làm cho hệ thống mạng hoàn toàn tê liệt, không thể truy cập được Internet.

 Virus tin học ngày càng nhiều và cũng nguy hiểm hơn : Đã xuất hiện một số virus mà khi được kích hoạt sẽ xóa trắng các tập tin, mất quyền truy cập hệ thống, hư hại các phần mềm trong máy tính.

Vì vậy cần một giải pháp cho hệ thống mạng hiện nay Để giải quyết được các vấn đề trên, hệ thống cần bổ sung các thiết bị phần cứng hoặc phần mềm nhằm ngăn chặn được các nguy cơ tấn công. Đối với các tấn công từ ngoài Internet, hệ thống mạng nội bộ và các server cần:

 Che giấu các thông tin của hệ thống mạng nội bộ.

 Ngăn chặn các truy cập bất hợp pháp đến hệ thống mạng nội bộ và các server.

 Đối với hệ thống mạng nội bộ cần chia thành nhiều miền quảng bá để quản lý và có thể khoanh vùng khi có virut.

Tuy nhiên, để tăng tính bảo mật và ổn định của hệ thống thì giải pháp sử dụng các thiết bị phần cứng là lựa chọn thích hợp Ngoài các trang thiết bị đã có cần trang bị thêm thiết bị firewall ASA của Cisco.

Sơ đồ hệ thống mạng firewall ASA

Vùng Enterprise Edge : bao gồm tường lửa Cisco ASA, Router

Chức năng: cung cấp các phương pháp bảo mật

Vùng LAN: là nơi đặt các thiết bị mạng, máy trạm thuộc mạng nội bộ của đơn vị.

Chức năng: cung cấp quyền truy cập cho các user/workgroup

Các chức năng chính của mô hình là cho phép truy cập an toàn, an toàn cho người dùng ở tất cả các địa điểm và cung cấp các dịch vụ mà không ảnh hưởng đến tính bí mật, tính toàn vẹn, tính sẵn sàng của tài nguyên và dữ liệu Mô hình kết hợp các chức năng bảo mật sau:

 Enterprise router: là cổng Internet có trách nhiệm định tuyến lưu lượng truy cập giữa mạng nội bộ và Internet Bộ định tuyến có thể được quản lý bởi nhân viên của công ty hoặc có thể được quản lý bởi nhà cung cấp dịch vụ Internet (ISP) Bộ định tuyến cung cấp mức độ bảo vệ đầu tiên chống lại các mối đe dọa bên ngoài.

 Cisco ASA cung cấp kiểm soát truy cập trạng thái và kiểm tra gói tin để bảo vệ tài nguyên và dữ liệu khỏi việc truy cập, tiết lộ trái phép Thiết bị bảo mật được định cấu hình để ngăn chặn truy cập vào từ Internet, để bảo vệ các dịch vụ công cộng Internet của doanh nghiệp và để kiểm soát lưu lượng truy cập của người dùng

16 Sơ đồ hệ thống mạng ASA bị ràng buộc với Internet Ngoài ra, các tính năng Cisco ASA có thể được kích hoạt để bảo vệ doanh nghiệp khỏi các mối đe dọa của botnet Khi được kích hoạt, tính năng bộ lọc lưu lượng Botnet theo dõi lưu lượng mạng trên tất cả các cổng và các giao thức cho hoạt động, để ngăn các điểm cuối nội bộ bị lây nhiễm gửi lệnh và kiểm soát lưu lượng truy cập đến các máy chủ bên ngoài trên Internet.

 Phòng chống xâm nhập - Một module kiểm tra và phòng ngừa dịch vụ trên Cisco ASA có thể được thực hiện để tăng cường phát hiện mối đe dọa và giảm nhẹ chúng Các mô-đun có trách nhiệm xác định và ngăn chặn các truy cập bất thường và các gói tin độc hại được công nhận là đang tấn công hệ thống.

Mô hình bài toán

Danh sách dải địa chỉ IP

Thiết bị Cổng Địa chỉ ip Subnet Mask Default

Nội dung cần thực hiện

Cấu hình địa chỉ ip cho các cổng se3/0, se2/0, fa0/0

Cấu hình địa chỉ DHCP

Cấu hình địa chỉ ip cho các cổng se0/2, se0/0, fa0/0

Cấu hình địa chỉ ip cho các cổng se0/0, se0/2, fa0/0

Tạo Vlan INSIDE và OUTSIDE

Cấu hình giao thức NAT

Thực hiện bài toán mô phỏng

 Cấu hình địa chỉ ip cho các cổng se3/0,se2/0, fa0/0.

Router(config-if)#ip add 192.168.1.1 255.255.255.0 Router(config-if)#clock rate 64000

Router(config-if)#no shut

Router(config-if)#ip add 192.168.2.1 255.255.255.0 Router(config-if)#clock rate 64000

Router(config-if)#no shut

Router(config-if)#ip add 192.168.4.1 255.255.255.0 Router(config-if)#no shut

 Cấu hình DHCP trên Router 1

ISP(config-if)#ip add 2.2.2.2 255.255.255.255

ISP(config)#ip dhcp pool abc

ISP(dhcp-config)#network 192.168.4.0 255.255.255.0 ISP(dhcp-config)#default-router 192.168.4.1

Router(config-if)#ip add 192.168.1.2 255.255.255.0 Router(config-if)#no shut

Router(config-if)#ip add 192.168.3.1 255.255.255.0 Router(config-if)#clock rate 64000

Router(config-if)#no shut

Router(config-if)#ip add 192.168.5.1 255.255.255.0Router(config-if)#no shut

Router(config-if)#ip add 192.168.3.2 255.255.255.0 Router(config-if)#no shut

Router(config-if)#ip add 192.168.2.2 255.255.255.0 Router(config-if)#clock rate 64000

Router(config-if)#no shut

Router(config-if)#ip add 192.168.6.1 255.255.255.0 Router(config-if)#no shut

 Tạo VLAN INSIDE VÀ OUTSIDE ciscoasa (config)#interface vlan 1 ciscoasa (config-if)#nameif inside ciscoasa (config-if)#ip address 192.168.7.1 255.255.255.0 ciscoasa (config-if)#security-level 100 ciscoasa (config-if)#ex ciscoasa (config)#interface vlan 1 ciscoasa (config-if)#nameif inside ciscoasa (config-if)#ip address 192.168.4.1 255.255.255.0 ciscoasa (config-if)#security-level 0 ciscoasa (config-if)#ex

 Cấu hình địa chỉ đinh tuyến tĩnh ciscoasa>enable ciscoasa# config terminal ciscoasa(config)#route outside 0.0.0.0 0.0.0.0 192.168.4.1

 Cấu hình giao thức NAT ciscoasa(config)#object network NAT ciscoasa(config-network-object)#subnet 192.168.4.0 255.255.255.0 ciscoasa(config-network-object)#nat ? dynamic ciscoasa(config-network-object)#nat (inside,outtside) dynamic interface ciscoasa(config-network-object)#ex

 Tạo class map ciscoasa(config)#class-map abc ciscoasa(config-cmap)#match default-inspection-traffic ciscoasa(config-cmap)#!

 Tạo Policy map ciscoasa(config-cmap)#policy-map xyz ciscoasa(config-pmap)#class abc ciscoasa(config-pmap-c)#inspect icmp ciscoasa(config-pmap-c)#ex

 Tạo service Policy ciscoasa(config)#service-poilicy xyz ?ciscoasa(config)# service-poilicy xyz global

Ping từ PC1 ra ngoài

Ping từ bên ngoài vào vùng inside