1. Trang chủ
  2. » Công Nghệ Thông Tin

Cisco Network part 67 pdf

5 123 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 133,84 KB

Nội dung

logging host [<interface>] <ip_address> [tcp | udp / <port_number>] Có thể cấu hình UDP hay là TCP cho syslog , tham số port _number là giá trị nằm trong khoảng 1025 đến 65535 . TCP không phải là phương pháp chuẩn cho việc cấu hình syslog vì hầu hết các syslog server không hỗ trợ . Nếu sử dụng kết nối TCP cho syslog server , cần lưu ý là nếu syslog server bị down thì tất cả lưu lượng trong mạng qua pix sẽ bị khóa . Một lưu ý khác là khi cấu hình TCP syslog thì kết nối syslog sẽ chậm hơn UDP vì TCP phụ thuộc vào quá trình bắt tay 3 bước . Điều này sẽ dẫn đến thêm overhead của kết nối và làm chậm việc gửi syslog messages đến server . - Đối với những pix có hỗ trợ tính năng failover , lệnh logging standby cho phép failover PIX gửi syslog messages cho các log files được đồng bộ trong trường hợp stateful failover xảy ra . c. logging level Mặc dù lệnh logging có 8 level khác nhau được sử dụng trong pix (theo bảng ) , logging level 0 không được sử dụng . Khi cấu hình logging , ta phải chỉ ra mức level có thể bằng số hay bằng từ khóa . Khi đó , PIX firewall ghi lại tất cả các sự kiện như nhau cho mức level được chỉ ra cũng như các level thấp hơn nó . Ví dụ , level mặc định cho pix là level 3 (error) , thì pix cũng sẽ log các sự kiện ở level 2 , level 1 , và level 0 . Error! Ví dụ về các level được ghi lại : Error! Error! Error! d. Logging facility Mỗi syslog message có một số tiện ích (facility number) . Có 24 facility khác nhau được xếp từ 0 đên 23 . 8 facility được sử dụng phổ biến cho syslog là local0 đến local7 . Facility có vai trò giống như những ống dẫn dẫn dắt tiến trình syslog . Tiến trình syslog sẽ đặt các messages vào đúng log file dựa trên facility . Cấu hinh tính năng này như sau : logging facility <facility_code> Các facility_code được sắp xếp theo bảng sau : Error! 3. Content Filtering a. Filtering URL với Websense Có thể sử dụng access-list để cho phép hoặc từ chối truy cập web , nhưng nếu list các site ngày càng dài hơn , thì giải pháp này sẽ ảnh hưởng đến hoạt động của firewall . Ngoài ra , access-list không đưa ra được sự tiện lợi trong việc điều khiển truy cập trong trường hợp này . Ví dụ như nó không thể cho phép hoặc từ chối truy cập đến các trang cụ thể trong website , mà là toàn bộ website được chỉ ra trong câu lệnh của nó . Access-list cũng không có tác dụng đối với những website là những host ảo . Ví dụ như có nhiều website thuộc về cùng một server và tất của các website đó phải có địa chỉ IP , do đó chỉ có thể cho phép hoặc từ chối truy cập đến tất cả các website đó trong cùng một lúc . Pix đã đưa ra một giải pháp điều khiển truy cập web tốt hơn và hiệu quả hơn đó là sử filtering URL thông qua một filtering server . Cụ thể như trong hình sau : Error! - khi một client thiết lập kết nối TCP đến Web server - Client gửi HTTP request cho một trang trong server này - Pix chặn request này và chuyển nó đến filtering server - Filtering server sẽ quyết định xem client có được phép truy cập đến trang đã yêu cầu hay không ? - Nếu được , PIX sẽ chuyển request đến server và client nhận được nội dung đã request - Nếu không , request của client bị đánh rớt . Websense là một phần mềm cung cấp chức năng filtering cho PIX firewall , giúp cho nhà quản trị mạng giám sát và điều khiển lưu lượng mạng . Websense được sử dụng để khóa các URL mà PIX không thể khóa . Websense quyết định là khóa hay cho phép một URL nào đó dựa trên thông tin cấu hình của nó và Master Database . Cấu hình Websense là đưa ra các quy tắc filtering mà ta đã thiết lập trong Websense. Master Database là database của URL bị khóa . Database này được duy trì và cập nhập hằng ngày bởi Websense corporate office . Câu lệnh chỉ ra filtering server cho Websense là : url-server <if_name> host <local_ip> [timeout <seconds>] [protocol <tcp> | <udp>] [version 1 | 4] Cấu hình Pix để làm việc với Websense : Filter url http [local_ip local_mask foreign_ip foreign_mask ] [allow] b. Active Code Filtering Active content trong các trang web có thể được xem là vấn đề không mong muốn trong việc bảo mật . PIX firewall có thể lọc các active code , các active code này có thể được sử dụng trong các ứng dụng như Java hay ActiveX . PIX firewall hỗ trợ Java applet filer có thể dừng các ứng dụng Java nguy hiểm dựa trên user hay địa chỉ IP . Câu lệnh để filter java là : Filter java port [- port] local_ip mask foreign_ip mask ActiveX controls có thể gây ra các vấn đề bảo mật bởi vì chúng có thể đưa một cách nào đó cho hacker tấn công server . PIX firewall có hỗ trợ tính năng khóa tất cả các activeX controls . filter activex port local_ip mask foreign_ip mask 4. Intruction Detection PIX Firewall software version 5.2 trở về sau có khả năng phát hiện xâm nhập (IDS). Phát hiện xâm nhập là khả năng phát hiện sự tấn công mạng. Có 3 loại tấn công vào mạng : - Reconnaissance attack - Kẻ xâm nhập cố gắng phát hiện và sắp xếp hệ thống, dịch vụ hoặc các cho yếu điểm - Access attack - Kẻ xâm nhập tấn công mạng hoặc hệ thống để lấy dữ liệu, tăng tốc độ truy cập và nâng cao đặc quyền truy cập - DoS attack -Kẻ xâm nhâ tấn công vào hệ thống mạng bằng cách ga6 nguy hiểm hoặc làm hỏng các hệ thống máy tính hoặc từ chối iệc truy cấp vào mạng, các dịch vụ hoặc các hệ thống PIX Firewall phát hiện xâm nhập bằng cách sử dụng signature phát hiện xâm nhập. Một signature là một tập các nguyên tắc gắn liền với các hoạt động xâ nhập. Với việc cho phép phát hiện xâm nhập, PIX Firewall có thể phát hiện signature và truyền đáp ứng khi một tập các nguyên tắc được so sánh với hoạt động của mạng. Nó có thể giám sát các gói của 53 signature phat hiện xâm nhập và được cấu hình để gởi cảnh báo đến một Syslog server, drop packet hoặc reset lại kết nối. 53 signature làmột tập con của các signature được hỗ trợ bởi Cisco Intrusion Detection System (CIDS) PIX Firewall có thể phát hiện hai loại signature khác nhau: informational signature và attack signature. Information class signature là các signature mà được gây ra bởi hoạt động thông thường của mạng mà bản thân nó xem như vô hại nhưng có thể được dùng để xác định tính hiệu lực của việc tấn công. Attack class signature là những signature mà được gây ra bởi một hoạt độg được biết, hoặc có thể dẫn đến, lấy lại dữ liệu không có thẩm quyển a. Phát hiện xâm nhập trong PIX Firewall Phát hiện xâm nhập được cho phép bởi lệnh ip audit. Sử dụng lệnh ip audit kiểm tra các policy có thể được tạo để xác định traffic mà được kiểm tra hoặc phân công các hoạt động khi một signature bị phát hiện. Sau khi một policy được tạo ra, nó có thể được đưa vào bất cứ interface nào Mỗi interface có hai policy: một cho informational signature và một cho attack signature. Mỗi lần một policy của một class signature được tạo ra và đưa vào interface, tất cả các signature được hỗ trợ của class đó được giám sát trừ khi disable chúng với lệnh ip audit signature disbale PIX Firewall hỗ trợ cả inbound và outbound auditing. Auditing thự hiện bằng cách nhìn vào các gói IP đến tại một input interface. Ví dụ, nếu một attack policy được đưa vào một outside interface, attack signature được gây ra khi attack traffic đến tại outside interface ở hướng vào, kể cả inbound traffic hoặc return traffic từmột kết nối . drop packet hoặc reset lại kết nối. 53 signature làmột tập con của các signature được hỗ trợ bởi Cisco Intrusion Detection System (CIDS) PIX Firewall có thể phát hiện hai loại signature khác nhau:

Ngày đăng: 03/07/2014, 02:20

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN