Config mode: configure terminalĐặt tên cho firewall: hostname ten_moi Đặt pass cho ASA: enable password mat_khau Truy nhập vào cổng: interface ten_cong Đặt ip cho cổng khi đã truy nhập v
Trang 1MỤC LỤC
Trang 2DANH MỤC HÌNH ẢNH
Trang 3DANH MỤC BẢNG
Trang 4LỜI MỞ ĐẦU
Ngày nay, mạng máy tính đã trở lên phổ biến ở khắp nơi trên thế giới Nó đem lại cho con người cách tiếp cận thông tin hoàn toàn mới Trước đây, ta muốn đọc sách thì phải mất cả ngày để ra hiệu sách tìm kiếm trong hàng nghìn quyển sách khác nhau Hay nếu các chị em muốn mua sắm thì phải chờ đến chủ nhật mới có thể đi được Nhưng giờ đây, mọi người có thể mua sắm, đọc báo, tìm sách, trò truyện với bạn bè, … chỉ bằng một cái click chuột đơn giản không tốn thời gian Mạng internet đã đem lại nhiều lợi ích to lớn như vậy nhưng nó cũng ẩn chứa những mối nguy hại cũng to lớn không kém Đó là con đường lây nhiễm chủ yếu của virus, sâu mạng, trojan, phần mềm nghe lén, … Chính vì vậy mà nhóm em đã quyết định tìm hiểu về firewall ASA của cisco Nó chính là công cụ hỗ trợ hiệu quả trong việc ngăn chặn các hiểm họa trên Đề tài nhóm em gồm có 3 chương như sau:
Chương 1 Tìm hiểu tổng quan về tưởng lửa
Chương 2 Tìm hiểu về cách thức lọc gói tin, khả năng chịu lỗi và quản lý
chất lượng dịch vụ
Chương 3 Mô phỏng bằng GNS3
Trang 5CHƯƠNG 1 TỔNG QUAN1.1 Các sản phẩm tường lửa của Cisco
Cisco đã tích hợp các giải pháp bảo mật vào trong các sản phẩm của mình để các tổ chức, cá nhân có thể bảo vệ được dữ liệu của mình an toàn Cisco cung cấp một loạt các sản phẩm bảo mật như:
• Tường lửa Cisco PIX: luôn đóng một vai trò quan trọng trong chiến lược
an ninh của Cisco Các dòng sản phẩm khác nhau của Cisco cung cấp các giải pháp bảo mật khác nhau cho các doanh nghiệp nhỏ và lớn Các dòng sản phẩm tường lửa Cisco PIX hiện tại:
o Cisco PIX 501
o Cisco PIX 506 và 506E
o Cisco PIX 515 và 515E
o Cisco PIX 525
o Cisco PIX 535Trong đó, Cisco PIX 501, 506 và 506E cung cấp các giải pháp tường lửa cho doanh nghiệp, văn phòng nhỏ Cisco PIX 515, 515E, 525 và 535 đã được triển khai rộng rãi trong các doanh nghiệp vừa và lớn
• Tường lửa FWSM (Firewall Services Module): là một dòng sản phẩm tưởng lửa tốc độ cao cho các thiết bị chuyển mạch như: Cisco Catalyst
6500 Series Switches và Cisco 7600 Series Routers Cisco FWSM được thiết kế cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ Nó bao gồm dịch vụ ảo hóa được thực hiện tại tầng 2 và 3, cũng như khả năng quản lý tài nguyên Khả năng ảo hóa cho phép chúng ta phân chia một Cisco FWSM đơn thành nhiều bối cảnh logic an toàn (tường lửa ảo)
• Tường lửa Cisco IOS: cung cấp tính năng cho phép thiết lập sẵn một loạt các phần mềm Cisco IOS dựa trên bộ định tuyến Nhiều tổ chức triển khai
Trang 6các bộ định tuyến Cisco thiết lập sẵn tính năng của tường lửa IOS cho vấn đề an toàn và thực thi chính sách bảo vệ mạng nội bộ Ngoài ra, nó còn được triển khai rộng rãi để đảm bảo kết nối Internet từ các văn phòng ở xa tới chi nhánh.
Cisco còn cung cấp cho người dùng một hệ thống giám sát để phát hiện và ngăn chặn các xâm nhập trái phép vào hệ thống, đó là IDS/IPS (Intrusion Detection System/ Intrusion Prevention System) Có hai loại IDS/IPS sau:
• Host based IDS/IPS: là hệ thống giám sát được cài trên các máy chủ, máy trạm quan trọng của hệ thống
• Network based IDS/IPS: là hệ giám sát được cài trên tất cả các máy trong mạng
Cisco cung cấp CSA (Cisco Security Agent) cho phần mềm ngăn chặn xâm nhập dựa trên máy chủ (HIPS) và sản phẩm Cisco 4200 Series Sensor cho phần mềm phát hiện và ngăn chặn xâm nhập dựa trên hệ thống mạng (NIDS/IPS), cùng với các sản phẩm cho thiết bị chuyển mạch như Catalyst Switch và IOS router Dòng sản phẩm Cisco 4200 bao gồm các sản phẩm sau:
• Cisco IDS 4215 Sensor
• Cisco IDS 4235 Sensor
• Cisco IDS 4240 Sensor
• Cisco IDS 4250 Sensor
• Cisco IDS 4250 XL Sensor
• Cisco IDS 4255 Sensor
Cisco ASA bao gồm các tính năng từ các dòng sản phẩm khác nhau của Cisco VPN Các sản phẩm của Cisco như: PIX firewall, bộ định tuyến IOS và VPN 3000 Series Concentrator đều cung cấp khả năng VPN cho các tổ chức từ nhỏ đến lớn Cisco ASA tích hợp và tăng cường một số tính năng IPSec và SSL VPN từ Cisco VPN 3000 Series Concentrator và tường lửa PIX VPN 3000 Series Concentrator có các sản phẩm sau:
Trang 7Cisco cũng cung cấp dịch vụ IPSec VPN cho bộ chuyển mạch Cisco Catalyst 6500 và bộ định tuyến mạng Cisco 7600 Chúng đều được thiết kế để cung cấp các dịch vụ IPSec VPN cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ.
Cisco ASA (Adaptive Security Appliance) tích hợp chức năng của tường lửa, hệ thống IDS/IPS, VPN Cisco ASA cung cấp tất cả các giải pháp an ninh mạng trong một sản phẩm duy nhất Cisco ASA luôn cảnh giác với các cuộc tấn công và thống báo cho người quản trị trong thời gian thực Sự tích hợp chặt chẽ với Cisco IPS phiên bản 5.x cho phép Cisco ASA tự động tránh xa các thiết bị mà nó nhận diện được là mã độc Ngoài ra, Cisco ASA hỗ trợ gói reassembly cho phép tìm kiếm các cuộc tấn công được ẩn trên một loạt các gói dữ liệu bị phân mảnh Cisco ASA còn cung cấp giải pháp VPN site-to-site và VPN remote access Một trong những lợi thế lớn nhất của Cisco ASA là tiết kiệm chi phí và tăng hiệu suất hoạt động của hệ thống
1.2 Tổng quan về ASA
1.2.1 Một số sản phẩm Cisco ASA
ASA là một trong những sản phẩm bảo mật mới của Cisco, được giới thiệu vào tháng 5 năm 2005 cùng với bản cập nhật phiên bản 7.0 của hệ điều hành Từ đó, 3 mẫu sản phẩm mới đã được thêm vào dòng sản phẩm là 5505,
5550 và 5580, và 4 phiên bản của phần mềm đã được giới thiệu 7.1, 7.2, 8.0, 8.1
Không giống như các thiết bị an ninh PIX, ban đầu được thiết kế dựa trên một PC-server dựa trên kiến trúc Intel ASA được thiết kế trên một kiến trúc phần cứng độc quyền
Bảng Mô tả của một số sản phẩm Cisco ASA
phần mềm
ASA 5505 Cisco ASA 5505 có 8 cổng
chuyển đổi 10/100 Fast Ethernet, có những cổng có thể
tự động nhóm lại để tạo ra đến
3 mạng VLAN riêng biệt nhằm cải thiện các phân đoạn mạng và an ninh
ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6
ASA 5510 Cisco ASA 5510 (Adaptive ASA phiên bản
Trang 8Security Appliance) cung cấp dịch vụ tường lửa hiệu suất cao và dịch vụ VPN và tích hợp 5 giao diện của 10/100 Fast Ethernet, hỗ trợ đến 100 VLAN
8.3.2, bao gồm một nhân Linux 2.6
ASA 5520 Cisco ASA 5520 (Adaptive
Security Appliance) cung cấp dịch vụ tưởng lửa hiệu suất cao và dịch vụ VPN và 4 giao diện Gigabit Ethernet và hỗ trợ lên đến 150 VLAN
ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6
ASA 5540 Cisco ASA 5540 (Adaptive
Security Appliance) cung cấp dịch vụ tưởng lửa hiệu suất cao và dịch vụ VPN, 4 giao diện Gigabit Ethernet và hỗ trợ lên đến 200 VLAN
ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6
ASA 5550 Cisco ASA 5540 (Adaptive
Security Appliance) cung cấp dịch vụ tưởng lửa hiệu suất cao và dịch vụ VPN thông qua 8 giao diện Gigabit Ethernet, 4 giao diện Small Form-Factor Pluggable (SFP) và hỗ trợ lên đến 250 VLAN
ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6
ASA 5580-20
ASA 5580-40
Cisco ASA 5580 (Adaptive Security Appliance) cung cấp 6 khe cắm mở rộng giao diện, hỗ
trợ lên đến 24 giao diện Gigabit Ethernet hoặc lên đến 12 giao diện 10Gigabit Ethernet hoặc lên đến 24 cổng 10/100/1000 Ethernet, hỗ trợ lên đến 250 VLAN
ASA phiên bản 8.3.2, bao gồm một nhân Linux 2.6
1.2.2 Licensing
Các thiết bị đảm bảo an ninh, cả PIX và ASA thường khác so với các sản phẩm khác của Cisco, họ sử dụng một chương trình cấp phép để khóa các tính năng mà có thể được sử dụng bởi sản phẩm này Nhiều hơn nữa, các sản phẩm
Trang 9của Cisco đang phát triển theo hướng này Giấy phép được cấp cho mỗi sản phẩm, một phần dựa vào số serial của mỗi thiết bị, và được sử dụng để khóa/mở khóa các tính năng của hệ điều hành Từ số serial của một thiết bị, chúng ta không thể lấy khóa từ một thiết bị này để sử dụng mở khóa cho một ứng dụng của thiết bị khác Giấy phép có thể được sử dụng để mở khóa các tính năng sau trên một số các ứng dụng của thiết bị như:
• Số lượng các kết nối được cho phép trong bảng trạng thái
• Số giao diện có thể được sử dụng
• Tổng số lượng RAM có thể được dùng
• Các thuật toán có thể được sử dụng như: DES, 3DES, AES
• Số phiên IPSec/L2TP VPN hỗ trợ
• Số phiên SSL VPN hỗ trợ
• Số lượng người sử dụng mà ứng dụng hỗ trợ
• Số VLAN có thể được sử dụng
• Các chuyển đổi dự phòng hỗ trợ
• Số các bối cảnh hỗ trợ
1.3 Các tính năng của ASA
1.3.1 Hệ điều hành
Ứng dụng tường lửa
Một sản phẩm tưởng lửa chạy trên một hệ điều hành, các giải pháp này thường được gọi là các ứng dụng tường lửa Một bất lợi là các ứng dụng tường lửa được so sánh với một hệ điều hành độc quyền Điều đó có nghĩa, các nhà cung cấp tường lửa phải giải quyết cả 2 phần mềm để tạo ra được một sản phẩm tường lửa: hệ điều hành và ứng dụng tường lửa Quá trình này có thể dẫn đến một hệ thống kém an toàn hơn Điều này đặc biệt đúng khi chúng ta xem xét tất cả các mối đe dọa bảo mật trên hệ điều hành phổ biến như: UNIX và Microsoft Một ví dụ về sản phẩm tường lửa sử dụng các ứng dụng tường lửa là Check Point Một nhà cung cấp tường lửa như Check Point sẽ phải làm nhiều việc hơn để đảm bảo rằng các ứng dụng tường lửa và hệ điều hành cung cấp một giải pháp an toàn Vấn đề chính với một giải pháp ứng dụng tường lửa là các nhà cung cấp không chỉ cung cấp một ứng dụng tường lửa an toàn mà cũng phải đảm bảo hệ điều hành mà tường lửa chạy trên đó Tuy nhiên, các ứng dụng tường lửa cung cấp cho người dùng 2 lợi thế:
• Dễ cài đặt và duy trì
•
Trang 10Hệ điều hành độc quyền
Hệ điều hành độc quyền cung cấp một lợi thế an ninh trên tường lửa ứng dụng Lợi thế lớn nhất của các hệ điều hành độc quyền là khả năng mở rộng Bởi một hệ điều hành độc quyền có thể được tùy chỉnh để một nền tảng phần cứng cụ thể, hệ thống tường lửa có thể cung cấp cực nhanh các gói có khả năng lọc và khả năng bảo mật
Sử dụng một hệ điều hành độc quyền trong giải pháp của tường lửa sẽ làm cho các kẻ tấn công khó khăn hơn khi thâm nhập vào hệ thống tường lửa Vì những kẻ tấn công này đã quen với các hệ điều hành phổ biến như UNIX, Microsoft và có thể dễ dàng khai thác sử dụng cho các tấn công vào tường lửa Nhưng với một hệ điều hành độc quyền cho mỗi tường lửa của hãng thì kẻ tấn công sẽ có ít hiểu biết hoặc không có gì về các chức năng hay cách xử lý của hệ điều hành đó, làm khó khăn hơn khi kẻ tấn công thực hiện xâm nhập và hệ thống tường lửa Nhưng việc sử dụng hệ điều hành độc quyền cũng gây ra không ít khó khăn trong việc đào tạo nguồn nhân lực để biết và sử dụng được nó
1.3.2 Thuật toán an toàn
Một chức năng chính của các ứng dụng an toàn là tường lửa trạng thái Một tường lửa trạng thái duy trì thông tin về các kết nối của người dùng trong bảng trạng thái Một số thông tin được lưu trong bảng trạng thái:
• Địa chỉ IP nguồn
• Địa chỉ IP đích
• Giao thức IP (TCP/UDP)
• Thông tin về giao thức IP (số cổng, cờ, chuỗi số TCP)
o Dự phòng trạng thái: thực hiện các chức năng tương tự như một dự phòng phần cứng Điểm khác biệt chính là cần thiết lập lại trạng thái khi chuyển đổi dự phòng
Trang 11Hình 1 Sự dự phòng
• Thực thi
o Hoạt động/chờ (Active/Standby): được đưa ra trong phiên bản 6 của hệ điều hành Khi một thiết bị trong trạng thái hoạt động (Active), nó sẽ chuyển tiếp lưu lượng giữa các giao diện Một thiết bị ở trạng thái chờ (Standby) sẽ chỉ theo dõi các hoạt động đơn vị, chờ đợi một chuyển đổi dự phòng sẽ diễn ra và sau đó cắt sang một vai trò hoạt động khác
Hình 1 Mô hình thực thi
Trang 12o Hoạt động/hoạt động (Active/Active): được đưa ra trong phiên bản 7 của hệ điều hành Cả hai thiết bị an ninh có thể cùng xử lý thông tin lưu thông trên mạng.
Hình 1 Mô hình hoạt động
1.3.4 Tính năng nâng cao của OS
Dịch địa chỉ
Ưu điểm chính của thiết bị an ninh là khả năng dịch địa chỉ Nó có thể thực hiện các loại dịch địa chỉ sau:
• Dịch địa chỉ động (NAT), dịch địa chỉ cổng (PAT)
• Dịch địa chỉ tĩnh NAT và PAT
• Định danh địa chỉ dịch: thường gọi là NAT 0
• Chính sách dịch địa chỉ: kiểm soát việc dịch địa khi việc dịch địa chỉ diễn ra trên các địa chỉ nguồn và địa chỉ đích tham gia
Lọc gói
Cisco hỗ trợ việc lọc nội dung các gói tin HTTP, FTP, bao gồm cả các kịch bản Cuối cùng sẽ được hỗ trợ khi sử dụng kết hợp với một máy chủ web proxy Với một proxy truyền thống, người dùng thiết lập một kết nối đến proxy, và proxy kết nối với các điểm thực tế, việc này đòi hỏi proxy phải duy trì kết nối với cả hai để truyền tải dữ liệu Với giải pháp của Cisco, các thiết bị an ninh vượt qua các URL đến máy chủ proxy, proxy quyết định việc nó có được phép truy cập hay không và kết quả sẽ được trả lại Cách tiếp cận này là tăng đáng kể thông lượng và hỗ trợ kết nối nhiều hơn
Định tuyến và quảng bá
Trang 13Bắt đầu từ phiên bản 6 của hệ điều hành, kỹ thuật định tuyến RIP và OSPF đã được thêm vào các sản phẩm của Cisco Sau đó các bộ định tuyến được hỗ trợ về RIP và OSPF đầy đủ hơn Bắt đầu từ phiên bản 6.2, Cisco thêm một khả năng quảng bá (multicast) cho các thiết bị của mình.
IPv6
Bắt đầu từ phiên bản 7 của hệ điều hành có hỗ trợ thêm IPv6 Chúng ta có thể xử lý cả IPv4 và IPv6 trên giao diện IPv6 được hỗ trợ bao gồm các tính năng sau:
• Ngăn xếp kép của IPv4 và IPv6 trên một giao diện
• Mặc định và IPv6 định tuyến tĩnh
• Lọc gói IPv6
• Phát hiện các IPv6 khác xung quanh (cả tĩnh và động)
Tường lửa ảo
Một tính năng mới được giới thiệu trong phiên bản 7 của hệ điều hành Nó không giống như VMware, nơi nhiều hệ điều hành và các ứng dụng có thể chạy trên một thiết bị Tường lửa ảo cho phép bạn có nhiều chính sách cho các nhóm người dùng khác nhau Khi sử dụng tường lửa ảo, tất cả các tường lửa ảo sẽ sử dụng hệ điều hành giống nhau và chia sẻ tài nguyên của thiết bị Tuy nhiên, mỗi tường lửa ảo có một chính sách bảo mật riêng của mình và tài nguyên chuyên dụng hoặc chia sẻ riêng
1.3.5 IDS/IPS
Cisco ASA tích hợp khả năng phòng chống xâm nhập, cung cấp một giải pháp kiểm tra gói tin sâu Hệ thống ngăn chặn xâm nhập của Cisco CIPS (Cisco Intrusion Prevention) làm giảm nhẹ một loạt các cuộc tấn công mạng mà không làm ảnh hưởng đến hiệu suất của hệ thống Các ASA hỗ trợ toàn diện IDS/IPS với tiện ích kiểm tra và phòng chống nâng cao AIP (Advanced Inspection and Prevention) và SSM (Security Service Module) Các thẻ này hỗ trợ đầy đủ chức năng phát hiện và phòng chống sau đây:
• Các cuộc tấn công vào ứng dụng và hệ điều hành, bao gồm cả web, e-mail, và các tấn công DNS
• Các tấn công từ tin tặc bên ngoài
• Các cuộc tấn công nội bộ
• Khai thác Zero-day
• Sâu mạng
Trang 14AIP-SSM là một modun xây dựng dựa trên Flash Phần mềm CIPS chạy trong Flash sẽ linh động và tin cậy hơn Có 2 loại sản phẩm AIP-SSM:
• AIP-SSM-10
• AIP-SSM-20
Cisco ASA 5510 chỉ hỗ trợ SSM-10 Cisco ASA 5520 hỗ trợ cả SSM-10 và AIP-SSM-20 Cisco ASA 5540 hỗ trợ AIP-SSM-20 Cisco ASA hỗ trợ cả chế độ IPS nội tuyến và chế độ kết hợp Khi cấu hình IPS nội tuyến, các modun AIP-SSM có thể loại bỏ các gói tin độc hại, tạo ra thông báo động, hoặc thiết lập lại các kết nối, cho phép ASA đáp trả lại ngay các mối đe dọa an ninh và bảo vệ an toàn mạng Cấu hình nội tuyến IPS buộc tất cả các gói tin lưu thông trên mạng phải đi qua AIP-SSM Ta có mô hình hoạt động của Cisco ASA khi cấu hình chế độ IPS nội tuyến
AIP-Hình 1 Mô hình hoạt động với IPS nội tuyến
• Bước 1: Cisco ASA nhận một gói tin IP từ Internet
• Bước 2: Cisco ASA chuyển gói tin đến AIP-SSM để phân tích
• Bước 3: AIP-SSM phân tích các gói dữ liệu Nếu gói tin không chứa phần mềm độc hại thì nó sẽ được chuyển tiếp trở lại ASA
Trang 15• Bước 4: Cisco ASA chuyển gói tin đến đích cuối cùng (máy chủ cần bảo vệ).
Khi ASA được thiết lập để sử dụng AIP-SSM ở chế độ kết hợp, ASA sẽ gửi một bản sao các gói tin lưu thông trên mạng tới AIP-SSM Chế độ này ít tác động đến thông lượng tổng thể của mạng Nhưng chế độ kết hợp này được coi là kém an toàn hơn chế độ nội tuyến, bởi ở chế độ này các modun IPS chỉ có thể chặn lưu lượng truy cập bằng cách buộc ASA tránh xa các lưu lượng có truy cập độc hại hay gửi một thông báo chấm dứt kết nối TCP Có mô hình hoạt động của Cisco ASA khi cấu hình IPS ở chế độ kết hợp
Hình 1 Mô hình hoạt động với IPS kết hợp
• Bước 1: Cisco ASA nhận một gói tin IP từ Internet
• Bước 2: AIP-SSM tự động xem các gói tin nhận được
• Bước 3: ASA chuyển tiếp gói tin đến đích cuối cùng (máy chủ được bảo vệ) nếu gói tin phù hợp với các chính sách bảo mật
1.3.6 VPN
Cisco hỗ trợ việc kết nối từ xa với Easy VPN IPSec kể từ phiên bản 6 trở
đi “Easy VPN” sẽ mô tả việc triển khai IPSec để điều khiển truy cập từ xa VPN
Trang 16IPSec (IP Security) là một giao thức thích hợp cho việc cung cấp các tính năng đảm bảo sự bí mật, toàn vẹn và xác thực của các gói tin trên mạng VPN là một đường hầm an toàn được xây dựng sử dụng IPSec IPSec làm việc tại tầng mạng, có nhiệm vụ mã hóa và xác thực các gói tin IP giữa tường lửa, các ứng dụng an toàn, hay các thiết bị khác của Cisco như router, các phần mềm VPN Client… Ta có một số thuật ngữ sau:
• ESP (Encapsulation Security Payload): là một trong hai giao thức chính làm nên chuẩn IPSec Nó cung cấp các dịch vụ đảm bảo dữ liệu toàn vẹn, xác thực và bí mật ESP được sử dụng để mã hóa dữ liệu truyền đi của các gói tin IP
• AH (Authentication Header): đây là giao thức thứ 2 trong hai giao thức chính của IPSec Nó cung cấp dịch vụ đảm bảo toàn vẹn, xác thực, phát hiện và phát lại dữ liệu Nó không cung cấp dịch vụ mã hóa dữ liệu, thay vào đó nó như một chữ ký số để đảm bảo rằng dữ liệu không bị giả mạo
• IKE (Internet Key Exchange): là một cơ chế được sử dụng để trao đổi khóa mã an toàn Trên tường lửa ASA thì nó là ISAKMP
• DES, 3DES, AES: các thuật toán mã hóa được sử dụng bởi sản phẩm tường lửa Cisco ASA
• DH (Diffie-Hellman Group): là giao thức mã hóa khóa công khai được sử dụng bởi IKE để thiết lập và trao đổi khóa phiên
• MD5, SHA-1: hàm băm được sử dụng để xác thực các gói tin
• SA (Security Association): là một kết nối an toàn giữa hai IPSec ngang hàng
Quá trình hoạt động của IPSec:
• Interesting Traffic: xác định các lưu lượng mạng truy nhập cần được bảo vệ
• Phase 1 (ISAKMP): thiết lập một chính sách an toàn IKE và một kênh truyền thông an toàn
• Phase 2 (IPSec): thiết lập một chính sách IPSec an toàn để bảo vệ dữ liệu
• Data Transfer: dữ liệu được truyền một cách an toàn giữa các IPSec ngang hàng dựa trên các chính sách IPSec và khóa đã thiết lập trước đó
• IPSec Tunnel Terminates: kết thúc kết nối khi thời gian tồn tại của gói tin đã hết hay khi gói tin đã được nhận đúng
1.4 Cấu hình ASA cơ bản
Vào user mode: enable
Trang 17Config mode: configure terminal
Đặt tên cho firewall: hostname ten_moi
Đặt pass cho ASA: enable password mat_khau
Truy nhập vào cổng: interface ten_cong
Đặt ip cho cổng (khi đã truy nhập vào cổng):
ip address dia_chi_ip subnetmask
Đặt mức độ bảo mật cho cổng: security-level (0-100)
Đặt tên cho cổng: nameif ten_moi
Sau khi cấu hình xong, ta có thể kiểm tra IP của các cổng và trạng thái của
nó với từ khóa sau: show interface ip brief
Trang 18CHƯƠNG 2 GIẢI PHÁP TƯỜNG LỬA (FIREWALL
SOLUTION)2.1 Điều khiển truy nhập mạng (network access control)
ASA có thể giúp bảo vệ một hoặc nhiều mạng khỏi kẻ xâm nhập và kẻ tấn công Các kết nối giữa các mạng có thể được kiểm soát và theo dõi bằng cách sử dụng các tính năng mạnh mẽ mà Cisco ASA cung cấp Bạn có thể đảm bảo rằng tất cả các lưu lượng truy cập từ các mạng được bảo vệ đến các mạng không được bảo vệ (và ngược lại) đi qua tường lửa đều dựa trên các chính sách bảo mật của tổ chức Chương này sẽ tập trung vào các tính năng sẵn có cho lọc gói tin và triển khai chúng
• Giao thức sử dụng
• Địa chỉ nguồn/đích
• Cổng nguồn/đích
• Giao diện của gói tin đến và gói tin đi
Thiết bị an toàn này có thể lọc gói tin theo cả hướng ra và hướng vào trên một giao diện
Trang 19Hình 2 ACL cho hướng ra và hướng về
Trong hình trên:
• Với lưu lượng truy nhập hướng ra (mức an toàn cao đến mức an toàn thấp): tham số địa chỉ nguồn của một ACL là địa chỉ thực của mạng hay máy trạm
• Với lưu lượng truy nhập hướng vào (mức an toàn thấp đến mức an toàn cao): tham số địa chỉ đích là địa chỉ IP đã được dịch
• ASA luôn kiểm tra các ACL trước khi dịch
• ACL, ngoài việc hạn chế lưu lượng truy nhập qua tường lửa, chúng
có thể được dùng như một chơ chế lựa chọn lưu lượng truy nhập bằng cách thực hiện các hành động khác đến lưu lượng được chọn như mã hóa, dịch, các chính sách, chất lượng dịch vụ,…
Nếu gói tin đi ra hay đi vào bị từ chối thì nó sẽ thực hiện ghi lại ra file nhật ký
Thiết bị an toàn này hỗ trợ 5 loại ACL khác nhau để cung cấp các giải pháp linh hoạt và khả năng mở rộng để lọc các gói tin trái phép vào mạng
Trang 20Bảng Tính năng và hỗ trợ của các loại ACL
[1] chỉ dùng cho webVPN mã hóa lưu lượng truy cập
2.1.2 Tính năng ACL nâng cao
ASA cung cấp nhiều tính năng lọc gói tin nâng cao để phù hợp với bất kì môi trường mạng nào Các tính năng bao gồm:
Object grouping là một cách để nhóm các phần tử tương tự nhau để giảm
số lượng ACE Nếu không có object grouping, cấu hình trên thiết bị an toàn có thể lên đến hàng nghìn ACE, như vậy sẽ khó khăn trong quản lý
Trang 21Ví dụ: có 3 host bên ngoài cần truy nhập 2 server đang chạy dịch vụ HTTP và SMTP, thiết bị an toàn sẽ cần 12 ACE dựa trên máy chủ, được tính như sau:
Số ACE=(2 server)*(3 host bên ngoài)*(2 dịch vụ)=12
Bằng cách sử dụng object grouping, số ACE có thể được giảm đến chỉ còn thực thể đơn Object grouping có thể nhóm các đối tượng mạng như các server nội bộ vào một nhóm và các máy trạm bên ngoài vào một nhóm khác Thiết bị
an toàn hỗ trợ lồng một nhóm đối tượng vào một nhóm khác Nhóm phân tầng như vậy có thể làm giảm hơn nữa số ACE được cấu hình trong ASA
2.1.2.2 Standard ACLs
Standard ACLs được sử dụng khi mạng nguồn là không quan trọng Các ACL được dùng bởi các tiến trình, như OSPF route-maps và VPN tunnel, để xác định lưu lượng truy nhập dựa vào địa chỉ IP đích
Standard ACL được định nghĩa bằng cách sử dụng lệnh access-list và từ khóa standard sau tên ACL Cú pháp định nghĩa một ACE chuẩn như sau:
access-list id standard {deny | permit} {any | host ip_address | ip_address
subnet_mask}
Ví dụ: thiết bị an toàn xác định lưu lượng truy nhập dành cho máy chủ 192.168.10.100 và mạng 192.168.20.0/24 và bỏ qua tất cả các lưu lượng truy nhập khác
Vietnam(config)# access-list dest_net standard permit host 192.168.10.100
Vietnam(config)# access-list dest_net standard permit 192.168.20.0 255.255.255.0
Vietnam(config)#access-list dest_net standard deny any
2.1.2.3 Time-based ACLs
Thiết bị an toàn có thể áp dụng ACL dựa trên khoảng thời gian để cho phép hoặc từ chối truy cập mạng Những luật này thường được gọi là Time-based ACL, có thể chặn người dùng truy cập các dịch vụ mạng khi gói tin đến nằm ngoài khoảng thời gian định sẵn ASA dựa vào thời gian hệ thống khi Time-based ACL được đánh giá Do đó điều quan trọng nhất là đảm bảo thời gian hệ thống là chính xác Vì vậy, chúng ta nên dùng Network time protocol
