Tác giả: Nguyễn Thị Băng Tâm Chương 1 : GIỚI THIỆU VỀ PIX FIREWALL PIX ( Private Internet Exchange) firewall là thành phần chính trong giải pháp bảo mật end-to-end của Cisco . PIX firewall là giải pháp bảo mật về phần cứng và phần mềm , đáp ứng bảo mật mạng mức độ cao mà không ảnh hưởng đến hoạt động của mạng . Pix là một thiết bị hybrid vì nó kết hợp các đặc điểm của công nghệ packet filtering và proxy server . 1. PIX hardware : Pix có nhiều model khác nhau , thích hợp với nhiều môi trường mạng khác nhau , ví dụ như mạng SOHO thì khác với mạng của service provider . PIX có các loại models sau : 501 , 506 , 506E , 515 , 515E , 520 , 525E , và 535 . Theo hình sau : Error! Hình 1 : PIX firewall family Đặc điểm của từng loại thiết bị PIX : a. PIX 501 : 501 là model cơ bản của PIX và có cấu hình cố định . Nó có một switch 4 port cho kết nối bên trong và một interface 10Mbps cho kết nối đến thiết bị bên ngoài (như cable modem hay router DSL ) . Pix 501 dành 3Mbps cho kết nối 3DES Ipsec ( vượt quá cả yêu cầu của user trong mạng SOHO ) . Đặc điểm của PIX 501 là : - bộ xử lí 133MHz AMD SC520 - RAM 16MB , flash 8MB - 1 port console - 1 port half-duplex RJ45 10BaseT cho outside - 1 switch tích hợp , autosensing , auto-MDIX 4 port RJ45 10/100 cho inside b. Pix 506 Error! Pix 506 là thiết bị được thiết kế cho các công ty thuộc remote office/ branch office . Là thiết bị có : - Một port console - Hai port RJ45 10BaseT autonegotiate , một cho inside , một cho outside - Hardware : 200MHz Intel Pentium MMX , trong đó RAM là 32Mbps , flash là 8Mbps - Sử dụng TFTP cho download image và upgrade image . - Pix 506 cung cấp VPN , có thể kết nối đến 4 VPN peer đồng thời . PIX 506E là thiết bị được cải tiến từ PIX 506 , có CPU là 300MHz Intel Celeron . Clear-text throughput lên đến 20Mbps , 3DES throughput tăng lên 16Mbps . c. PIX 515 Error! PIX 515 thường được dùng trong các doanh nghiệp nhỏ , trung bình . Pix có một slot để có thể gắn thêm một single-port , hoặc là four- port Fast Ethernet interface , cho phép inside , outside và có thể cung cấp thêm 4 mạng dịch vụ khác . Pix 515 có RAM 32MB , Flash 8MB , licensing linh động do đó các doanh nghiệp có thể trả tiền những cái họ cần . Restricted license giới hạn 3 interface , nhưng unrestricted license cho phép tăng bộ nhớ RAM từ 32MB đến 64MB và tăng đến 6 interface cộng với failover . d. PIX 520 Error! PIX 520 được thiết kế dành cho các doanh nghiệp lớn và môi trường tốc độ cao , phức tạp . Mặc dù các sản phẩm mới hơn có Flash đến 16MB nhưng đối với PIX 520 đời cũ Flash chỉ có 2MB . Để chạy những software có version từ 5.2 trở lên thì Flash cần phải được nâng cấp lên 16MB . PIX 520 có kiểu thiết kế khung , là rack-mountable , sử dụng đĩa mềm 3.5inch để load và nâng cấp image . e. PIX 525 Error! PIX 525 được thiết kế dành cho các Enterprise và Service Provider sử dụng , đáp ứng môi trường bảo mật lí tưởng . PIX 525 cung cấp một dãy nhiều network interface card . Standard card bao gồm single-port hay four-port 10/100 Fast Ethernet , Gigabit Ethernet (với UR license) , 4/16 Token Ring và dual-attached multimode FDDI card . Với restricted license , Pix 525 cung cấp 6 interface . Với unrestricted license (UR) Pix 525 cung cấp đến 8 interface . f. PIX 535 Error! PIX 535 được thiết kế cho các Enterprise và Service Provider sử dụng . Nó có công suất 1.0Gpbs với khả năng thực hiện cùng một lúc 500,000 kết nối . Đáp ứng cả site-to-site và remote access VPN với 56-bit DES và 168-bit 3DES , chức năng tích hợp của PIX firewall 535 có thể thực hiện với VPN Accelerator card để phân phối 10Mbps throughput và 2000 IPSEC tunnel . PIX firewall 535 cung cấp Fast Ethernet , Gigabit Ethernet và VPN Accelerator interface . Flash là 16MB và sử dụng software có version từ 5.3 trở về sau . 2. Console port : Cơ chế chính để giao tiếp với PIX là thông qua console port . Một vài thiết bị sử dụng DB9 connector , một vài thiết bị mới hơn sử dụng Cisco standard RJ45 connector . Nếu ta đang sử dụng Windows , thì dùng chương trình Hyperterm để giao tiếp với PIX . Giao diện phải tuân theo hình vẽ sau : Error! Và các tham số phải được thiết lập như sau : Error! Lúc này kết nối đến PIX đã thành công . Nếu cấp nguồn thì lúc này PIX sẽ diễn ra quá trình boot . Đây là một đoạn ví dụ của quá trình boot : Reading 1921536 bytes of image from flash.######################## ##################################################### #### ######################### 32MB RAM mcwa i82559 Ethernet at irq 11 MAC: 000f.23ac.53f7 mcwa i82559 Ethernet at irq 10 MAC: 000f.23ac.53f6 System Flash=E28F640J3 @ 0xfff00000 BIOS Flash=am29f400b @ 0xd8000 || || || || |||| |||| :||||||: :||||||: c i s c o S y s t e m s Private Internet eXchange Cisco PIX Firewall Cisco PIX Firewall Version 6.3(1) Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has a Restricted (R) license. …… Cryptochecksum(changed): d41d8cd9 8f00b204 e9800998 ecf8427e Cannot select private key Pre-configure PIX Firewall now through interactive prompts [yes]? n => sử dụng n để vào tiến vào CLI . 3. Software Licensing : Để có được một sản phẩm linh động , PIX sử dụng software licensing để enable hay disable các đặc điểm trong PIX OS . Mặc dù hardware có thể giống nhau về platform giữa các thiết bị , nhưng sử dụng software nào cho PIX còn phụ thuộc vào RAM và Flash của PIX đó . Ví dụ như OS yêu cầu cho PIX model 506 là từ 5.1x trở lên , cho PIX model 525 là từ 5.2x trở lên … Các đặc điểm của software khác nhau còn phụ thuộc vào activation key . Activation key là license key của PIX OS , cho phép ta upgrade các đặc điểm mới của OS mà không cần phải có software mới , mặc dù quá trình thực hiện là tương tự nhau . Activation key là do cisco đưa ra và . của PIX 501 là : - bộ xử lí 133MHz AMD SC520 - RAM 16MB , flash 8MB - 1 port console - 1 port half-duplex RJ45 10BaseT cho outside - 1 switch tích hợp , autosensing , auto-MDIX 4 port RJ45. thực hiện cùng một lúc 500,000 kết nối . Đáp ứng cả site-to-site và remote access VPN với 56-bit DES và 168-bit 3DES , chức năng tích hợp của PIX firewall 535 có thể thực hiện với VPN Accelerator. Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE