MỤC LỤC 1 DANH MỤC HÌNH ẢNH 2 DANH MỤC BẢNG 3 LỜI MỞ ĐẦU Ngày nay, mạng máy tính đã trở lên phổ biến ở khắp nơi trên thế giới. Nó đem lại cho con người cách tiếp cận thông tin hoàn toàn mới. Trước đây, ta muốn đọc sách thì phải mất cả ngày để ra hiệu sách tìm kiếm trong hàng nghìn quyển sách khác nhau. Hay nếu các chị em muốn mua sắm thì phải chờ đến chủ nhật mới có thể đi được. Nhưng giờ đây, mọi người có thể mua sắm, đọc báo, tìm sách, trò truyện với bạn bè, … chỉ bằng một cái click chuột đơn giản không tốn thời gian. Mạng internet đã đem lại nhiều lợi ích to lớn như vậy nhưng nó cũng ẩn chứa những mối nguy hại cũng to lớn không kém. Đó là con đường lây nhiễm chủ yếu của virus, sâu mạng, trojan, phần mềm nghe lén, … .Chính vì vậy mà nhóm em đã quyết định tìm hiểu về firewall ASA của cisco. Nó chính là công cụ hỗ trợ hiệu quả trong việc ngăn chặn các hiểm họa trên. Đề tài nhóm em gồm có 3 chương như sau: Chương 1. Tìm hiểu tổng quan về tưởng lửa Chương 2. Tìm hiểu về cách thức lọc gói tin, khả năng chịu lỗi và quản lý chất lượng dịch vụ. Chương 3. Mô phỏng bằng GNS3 4 CHƯƠNG 1. TỔNG QUAN 1.1. Các sản phẩm tường lửa của Cisco Cisco đã tích hợp các giải pháp bảo mật vào trong các sản phẩm của mình để các tổ chức, cá nhân có thể bảo vệ được dữ liệu của mình an toàn. Cisco cung cấp một loạt các sản phẩm bảo mật như: • Tường lửa. • Các thiết bị phát hiện và ngăn chặn xâm nhập. • Thiết bị VPN. Từ trước đến nay, Cisco đã cung cấp các vấn đề hỗ trợ an ninh mạng mạnh mẽ thông qua việc sử dụng tường lửa. Việc này đã tạo ra một thay đổi mạnh mẽ và nhanh chóng cho việc triển khai mạng. Hệ thống các sản phẩm tường lửa của Cisco bao gồm các thiết bị với các giải pháp sau: • Tường lửa Cisco PIX: luôn đóng một vai trò quan trọng trong chiến lược an ninh của Cisco. Các dòng sản phẩm khác nhau của Cisco cung cấp các giải pháp bảo mật khác nhau cho các doanh nghiệp nhỏ và lớn. Các dòng sản phẩm tường lửa Cisco PIX hiện tại: o Cisco PIX 501. o Cisco PIX 506 và 506E. o Cisco PIX 515 và 515E. o Cisco PIX 525. o Cisco PIX 535 Trong đó, Cisco PIX 501, 506 và 506E cung cấp các giải pháp tường lửa cho doanh nghiệp, văn phòng nhỏ. Cisco PIX 515, 515E, 525 và 535 đã được triển khai rộng rãi trong các doanh nghiệp vừa và lớn. • Tường lửa FWSM (Firewall Services Module): là một dòng sản phẩm tưởng lửa tốc độ cao cho các thiết bị chuyển mạch như: Cisco Catalyst 6500 Series Switches và Cisco 7600 Series Routers. Cisco FWSM được thiết kế cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ. Nó bao gồm dịch vụ ảo hóa được thực hiện tại tầng 2 và 3, cũng như khả năng quản lý tài nguyên. Khả năng ảo hóa cho phép chúng ta phân chia một Cisco FWSM đơn thành nhiều bối cảnh logic an toàn (tường lửa ảo). • Tường lửa Cisco IOS: cung cấp tính năng cho phép thiết lập sẵn một loạt các phần mềm Cisco IOS dựa trên bộ định tuyến. Nhiều tổ chức triển khai 5 các bộ định tuyến Cisco thiết lập sẵn tính năng của tường lửa IOS cho vấn đề an toàn và thực thi chính sách bảo vệ mạng nội bộ. Ngoài ra, nó còn được triển khai rộng rãi để đảm bảo kết nối Internet từ các văn phòng ở xa tới chi nhánh. Cisco còn cung cấp cho người dùng một hệ thống giám sát để phát hiện và ngăn chặn các xâm nhập trái phép vào hệ thống, đó là IDS/IPS (Intrusion Detection System/ Intrusion Prevention System). Có hai loại IDS/IPS sau: • Host based IDS/IPS: là hệ thống giám sát được cài trên các máy chủ, máy trạm quan trọng của hệ thống • Network based IDS/IPS: là hệ giám sát được cài trên tất cả các máy trong mạng. Cisco cung cấp CSA (Cisco Security Agent) cho phần mềm ngăn chặn xâm nhập dựa trên máy chủ (HIPS) và sản phẩm Cisco 4200 Series Sensor cho phần mềm phát hiện và ngăn chặn xâm nhập dựa trên hệ thống mạng (NIDS/IPS), cùng với các sản phẩm cho thiết bị chuyển mạch như Catalyst Switch và IOS router. Dòng sản phẩm Cisco 4200 bao gồm các sản phẩm sau: • Cisco IDS 4215 Sensor. • Cisco IDS 4235 Sensor. • Cisco IDS 4240 Sensor. • Cisco IDS 4250 Sensor. • Cisco IDS 4250 XL Sensor. • Cisco IDS 4255 Sensor. Cisco ASA bao gồm các tính năng từ các dòng sản phẩm khác nhau của Cisco VPN. Các sản phẩm của Cisco như: PIX firewall, bộ định tuyến IOS và VPN 3000 Series Concentrator đều cung cấp khả năng VPN cho các tổ chức từ nhỏ đến lớn. Cisco ASA tích hợp và tăng cường một số tính năng IPSec và SSL VPN từ Cisco VPN 3000 Series Concentrator và tường lửa PIX. VPN 3000 Series Concentrator có các sản phẩm sau: • Cisco VPN 3005 Concentrator. • Cisco VPN 3015 Concentrator. • Cisco VPN 3020 Concentrator. • Cisco VPN 3030 Concentrator. • Cisco VPN 3060 Concentrator. • Cisco VPN 3080 Concentrator. 6 Cisco cũng cung cấp dịch vụ IPSec VPN cho bộ chuyển mạch Cisco Catalyst 6500 và bộ định tuyến mạng Cisco 7600. Chúng đều được thiết kế để cung cấp các dịch vụ IPSec VPN cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ. Cisco ASA (Adaptive Security Appliance) tích hợp chức năng của tường lửa, hệ thống IDS/IPS, VPN. Cisco ASA cung cấp tất cả các giải pháp an ninh mạng trong một sản phẩm duy nhất. Cisco ASA luôn cảnh giác với các cuộc tấn công và thống báo cho người quản trị trong thời gian thực. Sự tích hợp chặt chẽ với Cisco IPS phiên bản 5.x cho phép Cisco ASA tự động tránh xa các thiết bị mà nó nhận diện được là mã độc. Ngoài ra, Cisco ASA hỗ trợ gói reassembly cho phép tìm kiếm các cuộc tấn công được ẩn trên một loạt các gói dữ liệu bị phân mảnh. Cisco ASA còn cung cấp giải pháp VPN site-to-site và VPN remote access. Một trong những lợi thế lớn nhất của Cisco ASA là tiết kiệm chi phí và tăng hiệu suất hoạt động của hệ thống. 1.2. Tổng quan về ASA 1.2.1. Một số sản phẩm Cisco ASA ASA là một trong những sản phẩm bảo mật mới của Cisco, được giới thiệu vào tháng 5 năm 2005 cùng với bản cập nhật phiên bản 7.0 của hệ điều hành. Từ đó, 3 mẫu sản phẩm mới đã được thêm vào dòng sản phẩm là 5505, 5550 và 5580, và 4 phiên bản của phần mềm đã được giới thiệu 7.1, 7.2, 8.0, 8.1 Không giống như các thiết bị an ninh PIX, ban đầu được thiết kế dựa trên một PC-server dựa trên kiến trúc Intel. ASA được thiết kế trên một kiến trúc phần cứng độc quyền. Bảng . Mô tả của một số sản phẩm Cisco ASA Cisco ASA Cấu hình vật lý Phiên bản của phần mềm ASA 5505 Cisco ASA 5505 có 8 cổng chuyển đổi 10/100 Fast Ethernet, có những cổng có thể tự động nhóm lại để tạo ra đến 3 mạng VLAN riêng biệt nhằm cải thiện các phân đoạn mạng và an ninh. ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6 ASA 5510 Cisco ASA 5510 (Adaptive ASA phiên bản 7 Security Appliance) cung cấp dịch vụ tường lửa hiệu suất cao và dịch vụ VPN và tích hợp 5 giao diện của 10/100 Fast Ethernet, hỗ trợ đến 100 VLAN 8.3.2, bao gồm một nhân Linux 2.6 ASA 5520 Cisco ASA 5520 (Adaptive Security Appliance) cung cấp dịch vụ tưởng lửa hiệu suất cao và dịch vụ VPN và 4 giao diện Gigabit Ethernet và hỗ trợ lên đến 150 VLAN ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6 ASA 5540 Cisco ASA 5540 (Adaptive Security Appliance) cung cấp dịch vụ tưởng lửa hiệu suất cao và dịch vụ VPN, 4 giao diện Gigabit Ethernet và hỗ trợ lên đến 200 VLAN ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6 ASA 5550 Cisco ASA 5540 (Adaptive Security Appliance) cung cấp dịch vụ tưởng lửa hiệu suất cao và dịch vụ VPN thông qua 8 giao diện Gigabit Ethernet, 4 giao diện Small Form-Factor Pluggable (SFP) và hỗ trợ lên đến 250 VLAN ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6 ASA 5580-20 ASA 5580-40 Cisco ASA 5580 (Adaptive Security Appliance) cung cấp 6 khe cắm mở rộng giao diện, hỗ trợ lên đến 24 giao diện Gigabit Ethernet hoặc lên đến 12 giao diện 10Gigabit Ethernet hoặc lên đến 24 cổng 10/100/1000 Ethernet, hỗ trợ lên đến 250 VLAN ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6 1.2.2. Licensing Các thiết bị đảm bảo an ninh, cả PIX và ASA thường khác so với các sản phẩm khác của Cisco, họ sử dụng một chương trình cấp phép để khóa các tính năng mà có thể được sử dụng bởi sản phẩm này. Nhiều hơn nữa, các sản phẩm 8 của Cisco đang phát triển theo hướng này. Giấy phép được cấp cho mỗi sản phẩm, một phần dựa vào số serial của mỗi thiết bị, và được sử dụng để khóa/mở khóa các tính năng của hệ điều hành. Từ số serial của một thiết bị, chúng ta không thể lấy khóa từ một thiết bị này để sử dụng mở khóa cho một ứng dụng của thiết bị khác. Giấy phép có thể được sử dụng để mở khóa các tính năng sau trên một số các ứng dụng của thiết bị như: • Số lượng các kết nối được cho phép trong bảng trạng thái. • Số giao diện có thể được sử dụng. • Tổng số lượng RAM có thể được dùng. • Các thuật toán có thể được sử dụng như: DES, 3DES, AES. • Số phiên IPSec/L2TP VPN hỗ trợ. • Số phiên SSL VPN hỗ trợ. • Số lượng người sử dụng mà ứng dụng hỗ trợ. • Số VLAN có thể được sử dụng. • Các chuyển đổi dự phòng hỗ trợ. • Số các bối cảnh hỗ trợ. 1.3. Các tính năng của ASA 1.3.1. Hệ điều hành Ứng dụng tường lửa Một sản phẩm tưởng lửa chạy trên một hệ điều hành, các giải pháp này thường được gọi là các ứng dụng tường lửa. Một bất lợi là các ứng dụng tường lửa được so sánh với một hệ điều hành độc quyền. Điều đó có nghĩa, các nhà cung cấp tường lửa phải giải quyết cả 2 phần mềm để tạo ra được một sản phẩm tường lửa: hệ điều hành và ứng dụng tường lửa. Quá trình này có thể dẫn đến một hệ thống kém an toàn hơn. Điều này đặc biệt đúng khi chúng ta xem xét tất cả các mối đe dọa bảo mật trên hệ điều hành phổ biến như: UNIX và Microsoft. Một ví dụ về sản phẩm tường lửa sử dụng các ứng dụng tường lửa là Check Point. Một nhà cung cấp tường lửa như Check Point sẽ phải làm nhiều việc hơn để đảm bảo rằng các ứng dụng tường lửa và hệ điều hành cung cấp một giải pháp an toàn. Vấn đề chính với một giải pháp ứng dụng tường lửa là các nhà cung cấp không chỉ cung cấp một ứng dụng tường lửa an toàn mà cũng phải đảm bảo hệ điều hành mà tường lửa chạy trên đó. Tuy nhiên, các ứng dụng tường lửa cung cấp cho người dùng 2 lợi thế: • Dễ cài đặt và duy trì. • Có thể chạy trên một loạt các nền tảng máy tính/máy chủ. 9 Hệ điều hành độc quyền Hệ điều hành độc quyền cung cấp một lợi thế an ninh trên tường lửa ứng dụng. Lợi thế lớn nhất của các hệ điều hành độc quyền là khả năng mở rộng. Bởi một hệ điều hành độc quyền có thể được tùy chỉnh để một nền tảng phần cứng cụ thể, hệ thống tường lửa có thể cung cấp cực nhanh các gói có khả năng lọc và khả năng bảo mật. Sử dụng một hệ điều hành độc quyền trong giải pháp của tường lửa sẽ làm cho các kẻ tấn công khó khăn hơn khi thâm nhập vào hệ thống tường lửa. Vì những kẻ tấn công này đã quen với các hệ điều hành phổ biến như UNIX, Microsoft và có thể dễ dàng khai thác sử dụng cho các tấn công vào tường lửa. Nhưng với một hệ điều hành độc quyền cho mỗi tường lửa của hãng thì kẻ tấn công sẽ có ít hiểu biết hoặc không có gì về các chức năng hay cách xử lý của hệ điều hành đó, làm khó khăn hơn khi kẻ tấn công thực hiện xâm nhập và hệ thống tường lửa. Nhưng việc sử dụng hệ điều hành độc quyền cũng gây ra không ít khó khăn trong việc đào tạo nguồn nhân lực để biết và sử dụng được nó. 1.3.2. Thuật toán an toàn Một chức năng chính của các ứng dụng an toàn là tường lửa trạng thái. Một tường lửa trạng thái duy trì thông tin về các kết nối của người dùng trong bảng trạng thái. Một số thông tin được lưu trong bảng trạng thái: • Địa chỉ IP nguồn. • Địa chỉ IP đích. • Giao thức IP (TCP/UDP). • Thông tin về giao thức IP (số cổng, cờ, chuỗi số TCP). 1.3.3. Sự dự phòng (redundancy) Cisco hỗ trợ hai hình thức dự phòng cho các thiết bị an ninh sau: • Loại o Dự phòng phần cứng: chỉ cung cấp khung dự phòng. Nếu thiết bị an ninh chính trong cấu hình dự phòng bị lỗi, các thiết bị dự phòng khác sẽ tham gia xử lý vấn đề đó. Các chỉ mục tái tạo giữa hai thiết bị sẽ được cấu hình để sử dụng lại. Đây là loại dự phòng đột phá trong thông tin liên lạc. o Dự phòng trạng thái: thực hiện các chức năng tương tự như một dự phòng phần cứng. Điểm khác biệt chính là cần thiết lập lại trạng thái khi chuyển đổi dự phòng. 10 [...]... AIP-SSM-10 • AIP-SSM-20 Cisco ASA 5510 chỉ hỗ trợ AIP-SSM-10 Cisco ASA 5520 hỗ trợ cả AIPSSM-10 và AIP-SSM-20 Cisco ASA 5540 hỗ trợ AIP-SSM-20 Cisco ASA hỗ trợ cả chế độ IPS nội tuyến và chế độ kết hợp Khi cấu hình IPS nội tuyến, các modun AIP-SSM có thể loại bỏ các gói tin độc hại, tạo ra thông báo động, hoặc thiết lập lại các kết nối, cho phép ASA đáp trả lại... động của Cisco ASA khi cấu hình chế độ IPS nội tuyến Hình 1 Mô hình hoạt động với IPS nội tuyến • Bước 1: Cisco ASA nhận một gói tin IP từ Internet • Bước 2: Cisco ASA chuyển gói tin đến AIP-SSM để phân tích • Bước 3: AIP-SSM phân tích các gói dữ liệu Nếu gói tin không chứa phần mềm độc hại thì nó sẽ được chuyển tiếp trở lại ASA 14 • Bước 4: Cisco ASA chuyển... RADIUS 29 server Cisco ASA hoạt động như một NAS và xác thực người dùng dựa trên response của server RADIUS Cisco ASA hỗ trợ một vài máy chủ RADIUS sau: • • • • • • CiscoSecure ACS Cisco Access Registrar Livingston Merit Funk Steel Belted Microsoft Internet Authentication Server Quá trình xác thức RADIUS cơ bản: Hình 2 Xác thực RADIUS cơ bản 1 2 3 4 5 Một người dùng cố gắng kết nối với ASA ASA nhắc nhở... đến thiết bị bảo mật ASA Cisco ASA bắt đầu xác thực Người dùng gửi username và password ASA chuyển tiếp yêu cầu lên SID Nếu mã pin mới được chấp nhận thì máy chủ SID xác thực người dùng và yêu cầu một mã pin mới để sử dụng cho phiên xác thực tiếp theo 6 ASA yêu cầu người dùng cấp một mã pin mới 7 Người dùng gửi mã pin mới 8 ASA gửi mã pin đến máy chủ SID 31 2.2.4 Window NT Cisco ASA hỗ trợ windows NT... ra nó người ta không nghĩ tới, một trong những lợi điểm của NAT ngày nay được ứng dụng nhiều nhất là NAT cho phép: • Chia sẻ kết nối Internet với nhiều máy trong mạng LAN với một địa chỉ IP của WAN • Tường lửa giúp giấu tất cả IP bên trong LAN với thế giới bên ngoài, tránh sự nhòm ngó của hacker • Tính linh hoạt và sự dễ dàng trong quản lý Cisco ASA hỗ trợ hai loại dịch địa chỉ : • Dynamic network address... các dịch vụ ủy quyền 2.3 Khả năng chịu lỗi và dự phòng 2.3.1 Kiến trúc chịu lỗi Khi hai ASA được thiết lập trong chế độ failover, một ASA được gọi là active Cisco ASA, có trách nhiệm tạo ra trạng thái và chuyển đổi địa chỉ, chuyển giao các gói dữ liệu, và giám sát các hoạt động khác ASA còn lại gọi là standby Cisco ASA, có trách nhiệm theo dõi tình trạng chế độ active Chế độ active và standby trao đổi... động của hệ thống bằng cách ping broadcast thử nghiệm nếu sau 5 giây không nhận được tín hiệu trả lời xem như cổng đó bị lỗi 33 2.3.3 Trạng thái chịu lỗi Khi kết nối được thiết lập thông qua Cisco ASA, cisco ASA sẽ cập nhật bảng kết nối Bảng kết nối bao gồm địa chỉ nguồn, địa chỉ đích, giao thức, trạng thái kết nối, gắn với interface nào và số byte truyền Tùy thuộc vào cấu hình failover, cisco ASA. .. bằng cách sử dụng các tính năng mạnh mẽ mà Cisco ASA cung cấp Bạn có thể đảm bảo rằng tất cả các lưu lượng truy cập từ các mạng được bảo vệ đến các mạng không được bảo vệ (và ngược lại) đi qua tường lửa đều dựa trên các chính sách bảo mật của tổ chức Chương này sẽ tập trung vào các tính năng sẵn có cho lọc gói tin và triển khai chúng 2.1.1 Packet filtering ASA có thể bảo vệ mạng bên trong, DMZs và mạng... hình hoạt động của Cisco ASA khi cấu hình IPS ở chế độ kết hợp Hình 1 Mô hình hoạt động với IPS kết hợp • Bước 1: Cisco ASA nhận một gói tin IP từ Internet • Bước 2: AIP-SSM tự động xem các gói tin nhận được • Bước 3: ASA chuyển tiếp gói tin đến đích cuối cùng (máy chủ được bảo vệ) nếu gói tin phù hợp với các chính sách bảo mật 1.3.6 VPN Cisco hỗ trợ việc... gian của các dữ liệu được truyền qua mạng Để ưu tiên cho các gói dữ liệu quan trọng hay đáp ứng được thời gian thực của cuộc gọi thoại và video ta áp dụng chính sách quản lý chất lượng dịch vụ cho từng loại gói Có nhiều cơ chế quản lý dịch vụ khác nhau mà có sẵn trong các thiết bị của Cisco như: • • • • • Traffic policing Traffic prioritization Traffic shaping Traffic marking Truy nhiên, Cisco ASA chỉ . thế lớn nhất của Cisco ASA là tiết kiệm chi phí và tăng hiệu suất hoạt động của hệ thống. 1.2. Tổng quan về ASA 1.2.1. Một số sản phẩm Cisco ASA ASA là một trong những. Intel. ASA được thiết kế trên một kiến trúc phần cứng độc quyền. Bảng . Mô tả của một số sản phẩm Cisco ASA Cisco ASA Cấu hình vật lý Phiên bản của phần mềm ASA 5505. nhằm cải thiện các phân đoạn mạng và an ninh. ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6 ASA 5510 Cisco ASA 5510 (Adaptive ASA phiên bản 7 Security Appliance) cung cấp dịch