Bài Viết Về PIX FIREWALL Tác giả: Nguyễn Thị Băng Tâm Chương 1 : GIỚI THIỆU VỀ PIX FIREWALL PIX ( Private Internet Exchange) firewall là thành phần chính trong giải pháp bảo mật end-to-end của Cisco . PIX firewall là giải pháp bảo mật về phần cứng và phần mềm , đáp ứng bảo mật mạng mức độ cao mà không ảnh hưởng đến hoạt động của mạng . Pix là một thiết bị hybrid vì nó kết hợp các đặc điểm của công nghệ packet filtering và proxy server . 1. PIX hardware : Pix có nhiều model khác nhau , thích hợp với nhiều môi trường mạng khác nhau , ví dụ như mạng SOHO thì khác với mạng của service provider . PIX có các loại models sau : 501 , 506 , 506E , 515 , 515E , 520 , 525E , và 535 . Theo hình sau : Hình 1 : PIX firewall family Đặc điểm của từng loại thiết bị PIX : a. PIX 501 : 501 là model cơ bản của PIX và có cấu hình cố định . Nó có một switch 4 port cho kết nối bên trong và một interface 10Mbps cho kết nối đến thiết bị bên ngoài (như cable modem hay router DSL ) . Pix 501 dành 3Mbps cho kết nối 3DES Ipsec ( vượt quá cả yêu cầu của user trong mạng SOHO ) . Đặc điểm của PIX 501 là : - bộ xử lí 133MHz AMD SC520 - RAM 16MB , flash 8MB - 1 port console - 1 port half-duplex RJ45 10BaseT cho outside - 1 switch tích hợp , autosensing , auto-MDIX 4 port RJ45 10/100 cho inside b. Pix 506 Pix 506 là thiết bị được thiết kế cho các công ty thuộc remote office/ branch office . Là thiết bị có : - Một port console - Hai port RJ45 10BaseT autonegotiate , một cho inside , một cho outside - Hardware : 200MHz Intel Pentium MMX , trong đó RAM là 32Mbps , flash là 8Mbps - Sử dụng TFTP cho download image và upgrade image . - Pix 506 cung cấp VPN , có thể kết nối đến 4 VPN peer đồng thời . PIX 506E là thiết bị được cải tiến từ PIX 506 , có CPU là 300MHz Intel Celeron . Clear-text throughput lên đến 20Mbps , 3DES throughput tăng lên 16Mbps . c. PIX 515 PIX 515 thường được dùng trong các doanh nghiệp nhỏ , trung bình . Pix có một slot để có thể gắn thêm một single-port , hoặc là four-port Fast Ethernet interface , cho phép inside , outside và có thể cung cấp thêm 4 mạng dịch vụ khác . Pix 515 có RAM 32MB , Flash 8MB , licensing linh động do đó các doanh nghiệp có thể trả tiền những cái họ cần . Restricted license giới hạn 3 interface , nhưng unrestricted license cho phép tăng bộ nhớ RAM từ 32MB đến 64MB và tăng đến 6 interface cộng với failover . d. PIX 520 PIX 520 được thiết kế dành cho các doanh nghiệp lớn và môi trường tốc độ cao , phức tạp . Mặc dù các sản phẩm mới hơn có Flash đến 16MB nhưng đối với PIX 520 đời cũ Flash chỉ có 2MB . Để chạy những software có version từ 5.2 trở lên thì Flash cần phải được nâng cấp lên 16MB . PIX 520 có kiểu thiết kế khung , là rack-mountable , sử dụng đĩa mềm 3.5inch để load và nâng cấp image . e. PIX 525 PIX 525 được thiết kế dành cho các Enterprise và Service Provider sử dụng , đáp ứng môi trường bảo mật lí tưởng . PIX 525 cung cấp một dãy nhiều network interface card . Standard card bao gồm single-port hay four- port 10/100 Fast Ethernet , Gigabit Ethernet (với UR license) , 4/16 Token Ring và dual-attached multimode FDDI card . Với restricted license , Pix 525 cung cấp 6 interface . Với unrestricted license (UR) Pix 525 cung cấp đến 8 interface . f. PIX 535 PIX 535 được thiết kế cho các Enterprise và Service Provider sử dụng . Nó có công suất 1.0Gpbs với khả năng thực hiện cùng một lúc 500,000 kết nối . Đáp ứng cả site-to-site và remote access VPN với 56-bit DES và 168-bit 3DES , chức năng tích hợp của PIX firewall 535 có thể thực hiện với VPN Accelerator card để phân phối 10Mbps throughput và 2000 IPSEC tunnel . PIX firewall 535 cung cấp Fast Ethernet , Gigabit Ethernet và VPN Accelerator interface . Flash là 16MB và sử dụng software có version từ 5.3 trở về sau . 2. Console port : Cơ chế chính để giao tiếp với PIX là thông qua console port . Một vài thiết bị sử dụng DB9 connector , một vài thiết bị mới hơn sử dụng Cisco standard RJ45 connector . Nếu ta đang sử dụng Windows , thì dùng chương trình Hyperterm để giao tiếp với PIX . Giao diện phải tuân theo hình vẽ sau : Và các tham số phải được thiết lập như sau : Lúc này kết nối đến PIX đã thành công . Nếu cấp nguồn thì lúc này PIX sẽ diễn ra quá trình boot . Đây là một đoạn ví dụ của quá trình boot : Reading 1921536 bytes of image from flash.######################## ######################################################## # ######################### 32MB RAM mcwa i82559 Ethernet at irq 11 MAC: 000f.23ac.53f7 mcwa i82559 Ethernet at irq 10 MAC: 000f.23ac.53f6 System Flash=E28F640J3 @ 0xfff00000 BIOS Flash=am29f400b @ 0xd8000 || || || || |||| |||| :||||||: :||||||: c i s c o S y s t e m s Private Internet eXchange Cisco PIX Firewall Cisco PIX Firewall Version 6.3(1) Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has a Restricted (R) license. …… Cryptochecksum(changed): d41d8cd9 8f00b204 e9800998 ecf8427e Cannot select private key Pre-configure PIX Firewall now through interactive prompts [yes]? n => sử dụng n để vào tiến vào CLI . 3. Software Licensing : Để có được một sản phẩm linh động , PIX sử dụng software licensing để enable hay disable các đặc điểm trong PIX OS . Mặc dù hardware có thể giống nhau về platform giữa các thiết bị , nhưng sử dụng software nào cho PIX còn phụ thuộc vào RAM và Flash của PIX đó . Ví dụ như OS yêu cầu cho PIX model 506 là từ 5.1x trở lên , cho PIX model 525 là từ 5.2x trở lên … Các đặc điểm của software khác nhau còn phụ thuộc vào activation key . Activation key là license key của PIX OS , cho phép ta upgrade các đặc điểm mới của OS mà không cần phải có software mới , mặc dù quá trình thực hiện là tương tự nhau . Activation key là do cisco đưa ra và tính toán , phụ thuộc vào số serial mà ta có và phụ thuộc vào ta yêu cầu những gì . Số serial đó có được là dựa vào Flash . Do đó nếu ta sử dụng Flash khác , ta phải thay đổi activation key . Khi ta muốn kích hoạt một chức năng nào đó trong PIX , ta phải trả tiền để thực hiện điều này , để có key ta phải gửi serial number của PIX đến Cisco , Cisco sẽ gửi lại cho ta key được tạo ra từ serial number đó . Có 3 lí do quan trọng để upgrade hay thay đổi activation key là : - Cisco PIX firewall không kích hoạt failover - Pix không kích hoạt VPN - Khi ta cần nâng cấp từ connection-based license lên feature-based license . Để có được thông tin về activation key , serial number , sử dụng show version command . Câu lệnh này cung cấp thông tin về code version , thông tin về phần cứng … pixfirewall(config)# sh version Cisco PIX Firewall Version 6.3(1) Cisco PIX Device Manager Version 3.0(1) Compiled on Wed 19-Mar-03 11:49 by morlee pix up 27 mins 25 secs Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz Flash E28F640J3 @ 0x300, 8MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 000f.23ac.53f6, irq 10 1: ethernet1: address is 000f.23ac.53f7, irq 11 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has a Restricted (R) license. Serial Number: 808036792 (0x3029a9b8) Running Activation Key: 0x9a5c6f78 0x67304d0a 0xed4c2329 0x89dd199b Configuration last modified by enable_15 at 23:52:55.403 UTC Sun Mar 6 2005 Licensing : Về tổng quan , licensing được phân thành 3 loại đó là unrestricted , restricted , và failover . Việc dùng unrestricted hay restricted license là phụ thuộc vào số interface mà ta cần sử dụng ở PIX . Ví dụ đối với PIX 515 với unrestricted license cung cấp đến 6 interface . Quan sát lại những thông tin khi show version ở phía trên , ta thấy license là restricted cho phép tối đa cho pix là 2 interface ( inside và outside ) , đối với PIX 515 thì restricted cho phép tối đa là 3 interface ( thêm một interface dmz nữa ) . Do đó , muốn có unrestricted và failover license , ta phải nâng cấp activation key mới . Đối với các PIX OS có version trước version 6.2 , activation key được thay đổi trong mode monitor . Từ version 6.2 trở về sau cho phép ta nâng cấp hay thay đổi license bằng cách thay đổi key ở CLI ( command line interface ) . Thực hiện điều này bằng câu lệnh sau : activation-key license# license# : là key mà ta có được với license mới . ví dụ : activation-key 0x9a5c6f78 0x67304d0a 0xed4c2329 0x89dd199b Sau khi thay đổi activation key , ta phải reboot PIX firewall để kích hoạt license mới. Nếu PIX được nâng cấp đến một version mới hơn và thay đổi activation key , ta phải reboot PIX 2 lần -1 lần sau khi cài đặt image mới , một lần sau khi activation key mới được cấu hình . Lưu ý là khi nâng cấp lên version mới hơn , những chức năng đã được kích hoạt từ version cũ thì không [...]... interface 1 0: i8255X @ PCI(bus:0 dev :14 irq :10 ) 1: i8255X @ PCI(bus:0 dev :13 irq :11 ) Using 1: i82557 @ PCI(bus:0 dev :13 irq :11 ), MAC: 000f.23ac.53f7 monitor> address 10 .10 .10 .10 0 address 10 .10 .10 .10 0 monitor> server 10 .10 .10 .10 server 10 .10 .10 .10 monitor> ping 10 .10 .10 .10 Sending 5, 10 0-byte 0x13d ICMP Echoes to 10 .10 .10 .10 , timeout is 4 seconds: !!!!! Success rate is 10 0 percent (5/5) monitor> file pix6 31. bin... monitor> interface ethernet1 0: i8255X @ PCI(bus:0 dev :14 irq :10 ) 1: i8255X @ PCI(bus:0 dev :13 irq :11 ) Using 1: i82557 @ PCI(bus:0 dev :13 irq :11 ), MAC: 000f.23ac.53f7 monitor> address 10 .10 .10 .10 0 address 10 .10 .10 .10 0 monitor> server 10 .10 .10 .10 server 10 .10 .10 .10 monitor> ping 10 .10 .10 .10 Sending 5, 10 0-byte 0x9fd7 ICMP Echoes to 10 .10 .10 .10 , timeout is 4 seconds: !!!!! Success rate is 10 0 percent (5/5) monitor>... các bước khôi phục password đã nêu ở trên pixfirewall>en password: pixfirewall#enable password cisco =>đặt password ở mode enable là cisco pixfirewall# write memory Building configuration Cryptochecksum: 93bc4b 61 43237b6a 67fe6565 ad 915 68d [OK] pixfirewall#reload rebooting… Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 20 01 Platform PIX- 506E System Flash=E28F640J3 @ 0xfff00000... 0x89dd199b Do you want to enter a new activation key ? n Pix sẽ reboot và install image mới Bài 2 : Password recovery Sau đây là bài password recovery được thực hiện trên PIX 506 Trước khi tiến hành khôi phục password , show version để kiểm tra pix đang chạy OS nào : pixfirewall> sh version Cisco PIX Firewall Version 6.3 (1) Cisco PIX Device Manager Version 3.0 (1) Compiled on Wed 19 -Mar-03 11 :49 by... dụng show version command để xem version mà pix đang chạy , xem serial number và activation key Note : Để bảo đảm an toàn , ta sẽ sử dụng lại image mà PIX đang chạy để thực hiện bài lab này pixfirewall# sh version Cisco PIX Firewall Version 6.3 (1) Cisco PIX Device Manager Version 3.0 (1) Compiled on Wed 19 -Mar-03 11 :49 by morlee pix up 27 mins 25 secs Hardware: PIX- 506E, 32 MB RAM, CPU Pentium II 300... (5/5) monitor> file pix6 31. bin file pix6 31. bin monitor> tftp tftp pix6 31. bin @10 .10 .10 .10 ………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………… Received 656235 bytes Cisco Secure PIX Firewall admin loader (3.0) #0: Thu Jul 17 08: 01: 09 PDT 2003 Flash =E28F640J3 @ 0xfff00000 BIOS Flash =AM29F400B @ 0xd8000 Flash version 6.3 .1, Install version 6.3 .1 Installing to flash Serial Number:... boot Use SPACE to begin flash boot immediately Flash boot in 10 seconds Flash boot interrupted  Nhấn Esc hoặc Break 0: i8255X @ PCI(bus:0 dev :14 irq :10 ) 1: i8255X @ PCI(bus:0 dev :13 irq :11 ) Using 1: i82557 @ PCI(bus:0 dev :13 irq :11 ), MAC: 000f.23ac.53f7 Use ? for help monitor> ? ? this help message address [addr] set IP address of the PIX interface on which the TFTP server resides file [name] set... immediately Flash boot in 10 seconds Flash boot interrupted  Nhấn Esc hoặc Break 0: i8255X @ PCI(bus:0 dev :14 irq :10 ) 1: i8255X @ PCI(bus:0 dev :13 irq :11 ) Using 1: i82557 @ PCI(bus:0 dev :13 irq :11 ), MAC: 000f.23ac.53f7 Use ? for help monitor> ? ? this help message address [addr] set IP address of the PIX interface on which the TFTP server resides file [name] set boot file name gateway [addr] set IP gateway... by morlee pix up 27 mins 25 secs Hardware: PIX- 506E, 32 MB RAM, CPU Pentium II 300 MHz Flash E28F640J3 @ 0x300, 8MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 000f.23ac.53f6, irq 10 1: ethernet1: address is 000f.23ac.53f7, irq 11 < omitted > Quan sát thông tin từ show version ở trên , ta thấy pix hiện tại đang chạy OS version 6.3 (1) Do đó , để khôi phục password cho pix , ta... 0x67304d0a 0xed4c2329 0x89dd199b Configuration last modified by enable _15 at 23:52:55.403 UTC Sun Mar 6 2005 Các bước thực hiện như sau : pixfirewall>reload Rebooting… Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 20 01 Platform PIX- 506E System Flash=E28F640J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot Use SPACE to begin flash boot immediately Flash boot in 10 seconds Flash boot . 10 .10 .10 .10 0 monitor> server 10 .10 .10 .10 server 10 .10 .10 .10 monitor> ping 10 .10 .10 .10 Sending 5, 10 0-byte 0x13d ICMP Echoes to 10 .10 .10 .10 , timeout is 4 seconds: !!!!! Success rate is 10 0. 10 .10 .10 .10 0 monitor> server 10 .10 .10 .10 server 10 .10 .10 .10 monitor> ping 10 .10 .10 .10 Sending 5, 10 0-byte 0x9fd7 ICMP Echoes to 10 .10 .10 .10 , timeout is 4 seconds: !!!!! Success rate is 10 0. ethernet1 0: i8255X @ PCI(bus:0 dev :14 irq :10 ) 1: i8255X @ PCI(bus:0 dev :13 irq :11 ) Using 1: i82557 @ PCI(bus:0 dev :13 irq :11 ), MAC: 000f.23ac.53f7 monitor> address 10 .10 .10 .10 0 address 10 .10 .10 .10 0