được kết nối được khởi tạo từ đâu đến đâu . local_ip : địa chỉ IP của host hoặc mạng được xác thực . Địa chỉ này có thể được set đến 0 , có nghĩa là tất cả các host được xác thực . Local_ip luôn luôn nằm ở interface có mức bảo mật cao nhất . local_mask : network mask của local_ip . Sử dụng 0 nếu địa chỉ IP là 0 . Sử dụng 255.255.255.255 nếu IP là dành cho một host . foreign_ip : là địa chỉ IP của các host mà local_ip có khả năng truy cập đến . Sử dụng 0 cho tất cả các host . foreign_mask : giống local_mask group_tag : là tag group trong lệnh aaa-server PIX firewall chỉ cho phép chỉ một giao thức authentication cho một mạng . Ví dụ , nếu một mạng kết nối inbound thông qua PIX firewall sử dụng TACACS + , thì cùng mạng đó không thể kết nối inbound thông qua PIX sử dụng RADIUS . Tuy nhiên , nếu một mạng kết nối inbound thông qua pix sử dụng TACACS+ , một mạng khác có thể kết nối inbound qua PIX sử dụng RADIUS . c. Xác thực cho các dịch vụ khác PIX firewall xác thực user thông qua Telnet , FTP , HTTP . Nhưng nó cũng có thể xác thực các loại dịch vụ khác . Ví dụ , PIX có thể được cấu hình để xác thực user khi user cần sử dụng dịch vụ Microsoft file server ở port 139 . Khi user được yêu cầu xác thử để access vào các dịch vụ khác ngoài Telnet , FTP , HTTP , họ cần thực hiện một trong các bước sau : · Option 1 : xác thực đầu tiên bằng việc truy cập vào Telnet , FTP , hay HTTP server trước khi truy cập các dịch vụ khác . · Option 2 : xác thực đến PIX virtual telnet trước khi truy cập vào các dịch vụ khác. Khi không có các telnet , FTP , hay HTTP server để xác thức , hay chỉ làm đơn giản xác thực người dùng , PIX firewall cho phép sử dụng một virtual telnet hay http . Điều này cho phép user xác thực trực tiếp với pix qua địa chỉ IP của virtual telnet hay http . Error! Virtual telnet : Virtual telnet cho phép các user cần có các kết nối thông qua pix sử dụng các dịch vụ hoặc các giao thức không hỗ trợ xác thực . User chỉ đơn giản telnet đến điạ chỉ IP virtual , sử dụng AAA username , password của user . AAA server sẽ xác thực điều này . khi user đã đựơc xác thực , pix đóng kết nối telnet đó lại , cất giữ thông tin xác thực trong suốt khoảng thời gian uauth . Câu lệnh tạo ra virtual telnet server : Virtual telnet <ip_address> Ip_address phải là địa chỉ được định tuyến đến PIX . Sử dụng virtual telnet không chỉ cho việc log in mà còn dành cho việc log out . Sau khi xác thực thành công thông qua virtual telnet , user sẽ không phải xác thực trở lại cho đến khi hết thời gian uauth . Nếu ta không muốn sử dụng dịch vụ nữa , và muốn chặn không cho các traffic qua firewall sử dụng thông tin xác thực của mình , ta có thể telnet đến virtual telnet lại một lần nữa . Điều này sẽ kết thúc phiên làm việc và log out . Error! Virtual http : Nếu xác thực được yêu cầu trong các site ngoài cũng như trong bản thân PIX , vì các browser có lưu username và password nên có thể việc xác thực sẽ không xảy ra đối với các browser mà pix không hiểu . Để tránh điều này , ta có thể sử dụng virtual http . PIX firewall giả sử rằng AAA server và web server chia sẽ cùng database , và pix tự động cung cấp cho 2 server này thông tin giống nhau . Virtual http sử dụng trong PIX dùng để xác thực user , tách thông tin AAA server từ request URL của web client , chuyển web client đến web server. Virtual http lại chuyển tiếp kết nối khởi tạo của web browser đến một địa chỉ IP thuộc về PIX firewall , xác thực user , sau đó chuyển browser về lại URL mà user đã yêu cầu . Virtual http đặc biệt hữu dụng cho pix khi thao tác với Microsoft IIS (Internet Information Server) . Khi dùng xác thực HTTP đến các site chạy Microsoft ÍIS có “Basic text authentication” hoặc là “NT Challenge” , user có thể bị Microsoft từ chối truy cập vì browser thêm vào trong các lệnh HTTP GET dòng chữ sau : “Authorization : Basic = Uuhjksdkfhk==” . Dòng chữ này bao gồm các yếu tố xác thực trong PIX mà không có trong Microsoft IIS . Nhờ vào đặc điểm của Virtual http , kết nối khởi tạo của Web browser được chuyển trực tiếp đến địa chỉ IP của virtual http trong PIX , xác thực user , và browser được chuyển đến URL mà user đã yêu cầu . Virtual http trong suốt với người dùng . Để định nghĩa Virtual http server , sử dụng command sau : Virtual http <ip_address> Tham số ip_address giống trong virtual telnet Ta có thể mô tả tiến trình khi sử dụng virtual http như sau : Error! 1. web browser gửi HTTP request đến web server 2. PIX firewall chặn connection này lại và reply bằng một message “ HTTP 401 Authorization Required ” 3. Web browser nhận response từ firewall và sử dụng username , password cho user chứng thực . 4. web browser gửi lại HTTP request này với username , password đã được mã hóa đến PIX . 5. PIX firewall nhận HTTP request , tách nó ra làm 2 phần : phần request AAA authentication bao gồm username , password và phần khởi tạo HTTP request không có username , password . 6. pix gửi AAA authentication request đến cho AAA server 7. AAA server xác thực user , sau đó gửi lại message là accept hay reject 8. Giả sử rằng user xác thực thành công , pix sẽ chuyển http request ban đầu (không có username , password) đến web server . Nếu web server yêu cầu xác thực , nó sẽ gửi challenge lại cho user . Với vitural http , khi user đã xác thực xong , user sẽ không bao giờ phải xác thực trở lại ngay khi browser đã active . Uauth timer sẽ không bao giờ hết vì mỗi subsequent web request đều có username và password được mã hóa . ?NOTE : Không nên set uauth timer về 0 khi đã bật vitural http vì điều này sẽ chặn các kết nối đến web server được yêu cầu . 4. Một số cấu hình thêm a. Thay đổi thời gian uauth Mặc dù không cần thiết phải cấu hình nhưng uauth timer là một đặc điểm quan trọng để đảm bảo rằng các chức năng xác thực proxy đang thực hiện đúng . uauth timer điều khiển bao lâu user cần xác thực lại một lần . Khi user được xác thực thông qua cut- through proxy , PIX firewall cất giữ phiên xác thực thành công trong khoảng thời gian được quyết định bởi bộ định thời này . Khi khoảng thời gian đó qua đi , user cần phải xác thực lại bằng cách cung cấp lại thông tin về username và password. PIX firewall không ra dấu nhắc cho việc xác thực ngay lập tức sau khi uauth timer qua đi , nó chỉ ra dấu nhắc cho user khi có một kết nối được thực hiện sau khoảng thời gian timeout của uauth timer . Uauth timer có hai đại lượng mà ta có thể cấu hình riêng biệt nhau để điều khiển reauthentication là : inactivity và absolute . Câu lệnh như sau : timeout uauth [hh:mm:ss] [absolute | inactivity] - inactivity : bắt đầu sau khi kết nối trở nên idle . Nếu user thiết lập một kết nối mới trước khoảng thời gian inactivity , user không cần phải xác thực trở lại . Nếu user thiết lập kết nối sau khi thời gian inactivity qua đi , user phải xác thực lại . - absolute : absolute timer chạy liên tục , nhưng chờ để ra dấu nhắc lại cho user khi user bắt đầu một kết nối mới , ví dụ như click vào một link sau khi absolute timer qua đi . Nếu timer qua đi và user click vào link mới , user sẽ phải xác thực lại . Absolute timer phải ngắn hơn xlate timer để mỗi khi phiên làm việc của họ kết thúc , họ phải xác thực trở lại . Một số lưu ý khi sử dụng hai timer này : - inactivity timer cho user truy cập internet tốt nhất bởi vì user không phải xác thực lại trong khoảng thời gian cách đều nhau . Absolute timer làm tăng độ bảo mật và quản lí kết nối PIX firewall tốt hơn . Bằng việc xác thực lại trong khoảng thời gian đều nhau , user có thể quản lí việc sử dụng tài nguyên hiệu quả hơn . - thiết lập cả hai timer về 0 , user phải xác thực lại trong mỗi kết nối mới . - Không nên thiết lập cả hai timer về 0 nếu passive FTP được sử dụng thông qua PIX firewall . - Không thiết lập cả hai timer về 0 nếu virtual command được sử dụng cho web authentication , vì điều này sẽ chặn các kết nối HTTP đến web server đích . - Cả hai timer có thể hoạt động cùng một thời điểm . Absolute timer nên được thiết lập dài hơn inactivity timer . Nếu absolute timer ngắn hơn , inactivity timer sẽ không bao giờ xảy ra . - để xác thực user sau khoảng thời gian inactivity , thiết lập inactivity timer đến một khoảng thời gian mong muốn và thiết lập absolute timer về 0 . ?NOTE : Hacker có thể tạo ra DoS attack trong Pix bằng cách khởi động nhiều lần login trong cơ chế xác thực AAA mà không cần cung cấp thông tin xác thực . Mỗi lần login tạo ra một kết nối , kết nối đó sẽ được duy trì cho đến khi thời gian timeout qua đi . Bằng cách tạo ra nhiều lần login như vậy , hacker có thể làm tiêu tốn nguồn tài nguyên AAA , vì vậy không có lần login nào được phục vụ . b. Thay đổi authentication prompt Cấu trúc : auth-prompt accept | reject | prompt string accept : Nếu xác thực user qua Telnet được chấp nhận , thì sẽ xuất hiện prompt string reject : Nếu xác thực user qua Telnet bị loại bỏ , thì sẽ xuất hiện prompt string prompt : Là chuỗi prompt thách thức AAA theo sau từ khóa prompt . 5. Cấu hình authorization Khi đã cấu hình xác thực cho traffic thông qua firewall sử dụng cut-through proxy , ta có thể cấu hình authorization cho traffic thông qua firewall . Authentication là một yêu cầu cho authorization , tức là authorization sẽ quyết định dịch vụ nào mà user sau khi được chứng thực có thể truy cập vào . Để thực hiện authorization , đầu tiên cần cấu hình cho TACACS server . Sau đó ta cần phải cấu hình AAA authorization cho PIX sử dụng câu lệnh sau : aaa authorization {include | exclude} <author_service> {inbound | outbound} <if_name> <local_ip> <local_mask> <foreign_ip> <foreign_mask> <group_tag> Cấu trúc của câu lệnh trên tương tự trong authentication . Tất cả các tham số đều giống ngoại trừ author_service . Các giá trị có thể cho author_service là any , ftp , telnet , http , hay là <protocol/port> (ví dụ như TCP là 6 , UDP là 17 , ICMP là 1) . Thiết lập giá trị port về 0 chỉ ra tất cả các port . ?NOTE : RADIUS và local database trong PIX firewall không được cung cấp authorization cho traffic . 6. Cấu hình accounting Sau khi cấu hình authentication và authorization , thông thường cũng cần phải cấu hình accounting . Thông tin accounting có thể được sử dụng để theo dõi user đã làm gì khi truy cập vào một dịch vụ nào đó . Các bản ghi accounting có thể chỉ ra số lượng thời gian user login vào , hoặc là chỉ ra số lượng thông tin được truyền và nhận . Thông tin này có thể dành cho mục đích thanh toán hóa đơn . Cấu trúc của câu lệnh aaa accounting như sau : aaa accounting {include | exclude} <acctg_service> {inbound | outbound} if_name<local_ip> <local_mask> <foreign_ip> <foreign_mask> <group_tag>