tìm hiểu firewall cisco asa5520

tìm hiểu firewall cisco asa5520

CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL 8

1.1 KHÁINIỆMVỀFIREWALL 8

1.4.3 Statefull Inspection Firewall (SIF) 18

1.5 KIẾNTRÚCCỦAFIREWALL 19

1.5.1 Screening Router 19

1.5.2 Kiến trúc Dual - Homed host 20

1.5.3 Kiến trúc Screend Host 21

1.5.4 Kiến trúc Screened Subnet 23

1.5.5 Sử dụng nhiều Bastion Host 24

CHƯƠNG 2: KỸ THUẬT VÀ CÔNG NGHỆ TƯỜNG LỬA CISCO 27

2.1 LỊCHSỬRAĐỜI 27

2.2 TỔNGQUANVỀTƯỜNGLỬACỦACISCO 28

2.3 NGUYÊNTẮCHOẠTĐỘNGCỦATƯỜNGLỬACISCO 29

2.3.1 Định tuyến lưu lượng qua tường lửa 31

2.3.2 Truy cập thông qua tường lửa 31

2.3.3 Truy cập ra ngoài thông qua tường lửa 32

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

2.4.1 Công nghệ Stateful Inspection 34

2.4.2 Công nghệ Cut-Through Proxy 35

2.4.3 Applicatin-Aware Inspection 36

2.4.4 Virtual Private Network 37

2.4.5 Security Context (Virtual Firewall) 38

2.4.6 Khả năng dự phòng - Failover Capabilities 39

2.4.7 Chế độ trong suốt (Transparent Mode) 41

2.4.8 Quản lý thiết bị qua giao diện web 43

2.5 CÁCDÒNGSẢNPHẨMTƯỜNGLỬACISCO 44

2.5.1 Dòng sản phẩm thế hệ trước PIX Firewall và nhược điểm 44

2.5.2 Dòng sản phẩm thế mới ASA Firewall 45

CHƯƠNG 3: KHAI THÁC SẢN PHẨM ASA 5520 47

3.1 GIỚITHIỆUDÒNGSẢNPHẨMCISCOASA 5520 47

3.3 CẤUHÌNHMỘTSỐDỊCHVỤTRÊNASA 55

3.3.1 Publich Website qua tường lửa Cisco 55

3.3.2 Cấu hình PAT cho phép vùng INSIDE ra ngoài INTERNET 59

3.3.3 Cấu hình dự phòng Failover Active/Stanby 61

3.4 NHẬNXÉTVÀĐÁNHGIÁSẢNPHẨM 64

3.4.1 Tưởng lửa Checkpoint 65

3.4.2 Tưởng lửa Netscreen 66

3.5 ĐỀXUẤTGIẢIPHÁPTHIẾTKẾHỆTHỐNGMẠNGVỚITÍNHDỰPHÒNGVÀTÍNHSẴNSÀNGCAOVỚIASA 5520 68

KẾT LUẬN 74

TÀI LIỆU THAM KHẢO 76

DANH SÁCH CÁC HÌNH VẼ

Hình 1 1: Firewall được đặt ở giữa mạng riêng và mạng công cộng 10

Hình 1 2: Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật 11

Hình 1 3: Công nghệ firewall Packet - Filtering 13

Hình 1 4: Công nghệ firewall cổng mức mạch 15

Hình 1.5: Mô hình cổng ứng dụng 16

Hình 1.7: Hoạt động của statefull inspection firewall 19

Hình 1.8: Mô hình Screening Router 19

Hình 1.9: Kiến trúc Dual - Homed host 21

Hình 1.10: Kiến trúc Screened host 23

Hình 1.11: Kiến trúc Screened Subnet 24

Hình 1.12: Sơ đồ kiến trúc sử dụng 2 Bastion Host 25

Hình 2.1: Công nghệ Stateful Inspection 34

Hình 2.2: Công nghệ Cut-Though Proxy 35

Hình 2.3: Công nghệ Application-Aware Inspection 36

Hình 2.3: Công nghệ mạng riêng ảo VPN 37

Hình 2.4: Công nghệ tường lửa ảo 38

Hình 2.5: Công nghệ failover 40

Hình 2.6: Công nghệ hoạt động ở chế đó Transparent 41

Hình 2.7: Giải pháp giao diện web 43

Hình 2.8: Các dòng sản phẩm PIX 44

Hình 2.9: Các dòng sản phẩm ASA 45

Hình 3.1: Sản phẩm Firewall Cisco ASA 5520 47

Hình 3.2: Mặt trước Firewall Cisco ASA 5510, 5520, 5540 48

Hình 3.3: Mặt sau Firewall Cisco ASA 5510, 5520, 5540 49

Hình 3.4: Port trên sản phẩm Firewall Cisco ASA 5520 49

Hình 3.5: Mô hình demo NAT và PAT 55

Hình 3.6: Truy nhập Web từ máy tính trong vùng INSIDE 57

Hình 3.7: Remote Desktop từ vùng INSIDE 57

Hình 3.8: Truy nhập Web từ máy tính ngoài Internet 58

Hình 3 9: Remote Desktop từ máy tính ngoài Internet 58

Hình 3 10: Kết quả Ping thành công 59

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Hình 3.12: Mô hình Failover Active/Standby 61

Hình 3.13: Tường lửa Check Point VPN-1 trong hệ thống mạng 66

Hình 3.14: Tường lửa NetScreen trong hệ thống mạng 67

Hình 3.15: Hệ thống mạng với ASA 5520 68

Hình 3.16: Mô hình triển khai Failover Active/Active 70

DANH SÁCH CÁC BẢNGBảng 1: Thông số kỹ thuật Cisco ASA 5520 48

Bảng 2: Bảng phân chia địa chỉ 71

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

LỜI MỞ ĐẦU

Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếuchứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụngcông nghệ thông tin Khởi động từ những năm đầu thập niên 90, với một số ítchuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụngtrong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉdừng lại ở mức công cụ, và đôi khi còn nhận thấy những công cụ “đắt tiền”này còn gây một số cản trở, không đem lại những hiệu quả thiết thực chonhững tổ chức sử dụng nó.

Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới thông quamột số dịch vụ Ngồi trước máy tính của mình bạn có thể biết được thông tintrên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bịxâm nhập vào bất kỳ lúc nào mà bạn không hề được biết trước Do vậy việcbảo vệ hệ thống là một vấn đề chúng ta đáng phải quan tâm Người ta đã đưara khái niệm FireWall để giải quyết vấn đề này.

Để làm rõ các vấn đề này thì đồ án “ Nghiên cứu tìm hiểu về firewallvà khai thác sản phẩm firewall Cisco ASA 5520 ứng dụng bảo vệ website họcviện kỹ thuật Mật Mã ” sẽ cho chúng ta cái nhìn sâu hơn về khái niệm, cũngnhư chức năng của Firewall.

Nội dung đồ án được chia làm 3 chương như sau:

 Chương 1 : Tổng quan về firewall, chương này sẽ cung cấp cáckhái niệm cơ bản nhất về firewall cũng như kiến trúc và công nghệthiết kế firewall.

 Chương 2 : Kỹ thuật và công nghệ tường lửa Cisco, nội dungchương này sẽ đề cập tới các tính năng, các công nghệ được ứngdụng trong thiết bị firewall Cisco.

 Chương 3 : Khai thác sản phẩm Firewall Cisco ASA 5520, phầnnày chúng ta sẽ đi vào việc khai thác sử dụng một số tính năng củadòng sản phẩm Firewall ASA 5520 và ứng dụng trong thực tế.

Cuối cùng em xin chân thành cảm ơn Ths Nguyễn Xuân Hà và cácthầy cô trong khoa CNTT đã giúp đỡ, hướng dẫn tận tình giúp em hoàn thànhtốt đồ án của mình.

Hà Nội, ngày 07 tháng 6 năm 2011

Sinh viên thực hiện

Đinh Hoàng Thái

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL

Nội dung của chương một chủ yếu nhắc tới các khái niệm cơ bản cũngnhư các công nghệ , kiến trúc của hệ thống firewall Qua đây giúp chúng tacó được những hiểu biết cơ bản về firewall làm tiền đề cho việc đi xâu vànghiên cứu một sản phẩm firewall nào đó.

1.1 Khái niệm về Firewall

Bức tường lửa (Firewall) hiểu một cách chung nhất, là cơ cấu để bảo vệmột mạng máy tính chống lại sự truy nhập bất hợp pháp từ các (mạng) máytính khác Firewall bao gồm các cơ cấu nhằm:

Nhìn chung bức tường lửa có những thuộc tính sau :- Thông tin giao lưu được theo hai chiều.

- Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được điqua.

- Bản thân bức tường lửa không đòi hỏi quá trình thâm nhập.

1.2 Mục đích của Firewall

Với Firewall, người sử dụng có thể yên tâm đang được thực thi quyềngiám sát các dữ liệu truyền thông giữa máy tính của họ với các máy tính hayhệ thống khác Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra"giấy thông hành" của bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi

máy tính của người sử dụng, chỉ cho phép những gói dữ liệu hợp lệ đi qua vàloại bỏ tất cả các gói dữ liệu không hợp lệ.

Các giải pháp Firewall là thực sự cần thiết, xuất phát từ chính cách thứccác dữ liệu di chuyển trên internet Giả sử gửi cho người thân của mình mộtbức thư thì để bức thư đó được chuyển qua mạng internet, trước hết phải đượcphân chia thành từng gói nhỏ Các gói dữ liệu này sẽ tìm các con đường tối ưunhất để tới địa chỉ người nhận thư và sau đó lắp ráp lại (theo thứ tự đã đượcđánh số trước đó) và khôi phục nguyên dạng như ban đầu Việc phân chiathành gói làm đơn giản hoá việc chuyển dữ liệu trên internet nhưng có thể dẫntới một số vấn đề Nếu một người nào đó với dụng ý không tốt gửi tới một sốgói dữ liệu, nhưng lại cài bẫy làm cho máy tính của không biết cần phải xử lýcác gói dữ liệu này như thế nào hoặc làm cho các gói dữ liệu lắp ghép theothứ tự sai, thì có thể nắm quyền kiểm soát từ xa đối với máy tính của và gâynên những vấn đề nghiêm trọng Kẻ nắm quyền kiểm soát trái phép sau đó cóthể sử dụng kết nối internet của để phát động các cuộc tấn công khác màkhông bị lộ tung tích của mình.

Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa nhữngngười sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn.Chức năng kiểm soát các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽngăn ngừa những kẻ xâm nhập trái phép "cấy" những virus có hại vào máytính của để phát động các cuộc tấn công cửa sau tới những máy tính khác trênmạng internet

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Hình 1 1: Firewall được đặt ở giữa mạng riêng và mạng công cộng

Một Firewall gồm có ít nhất hai giao diện mạng: Chung và riêng, giaodiện chung kết nối với internet, là phía mà mọi người có thể truy cập, giaodiện riêng là phía mà chứa các dữ liệu được bảo vệ Trên một Firewall có thểcó nhiều giao diện riêng tuỳ thuộc vào số đoạn mạng cần được tách rời Ứngvới mỗi giao diện có một bộ quy tắc bảo vệ riêng để xác định kiểu lưu thôngcó thể qua từ những mạng chung và mạng riêng

Firewall cũng có thể làm được nhiều việc hơn và cũng có nhiều thuận lợivà khó khăn Thông thường nhà quản trị mạng sử dụng Firewall như một thiếtbị đầu nối VPN, máy chủ xác thực hoặc máy chủ DNS Tuy nhiên như bất kìmột thiết bị mạng khác, nhiều dịch vụ hoạt động trên cùng một máy chủ thìcác rủi ro càng nhiều Do đó, một Firewall không nên chạy nhiều dịch vụ.

Firewall là lớp bảo vệ thứ hai trong hệ thống mạng, lớp thứ nhất là bộđịnh tuyến ở mức định tuyến sẽ cho phép hoặc bị từ chối các địa chỉ IP nào đóvà phát hiện những gói tin bất bình thường Firewall xem những cổng nào làđược phép hay từ chối

Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên mộttập hợp các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưavào Đây cũng có thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấuhoặc không đầy đủ có thể mở lối cho kẻ tấn công, và mạng có thể không đượcan toàn.

Nhiều nhà quản trị mạng không nghĩ rằng Firewall hoạt động như mộtthiết bị mạng phức tạp Người ta quan tâm nhiều đến việc giữ lại những lưulượng không mong muốn đến mạng riêng, ít quan tâm đến việc giữ lại nhữnglưu lượng không mong muốn đến mạng công cộng Nên quan tâm đến cả haikiểu của tập các quy luật bảo vệ Nếu một kẻ tấn công muốn tìm cách xâmnhập vào một máy chủ, chúng không thể sử dụng máy chủ đó để tấn công vàocác thiết bị mạng ở xa.

Để bảo vệ và giúp cho các lưu lượng bên trong đoạn mạng các nhà quảnlý thường chạy hai bộ Firewall, bộ thứ nhất để bảo vệ toàn bộ mạng, và bộcòn lại để bảo vể các đoạn mạng khác.

Nhiều lớp Firewall cũng cho phép các nhà quản trị an toàn mạng kiểmsoát tốt hơn những dòng thông tin, đặc biệt là các cơ sở bên trong và bênngoài công ty phải xử lý các thông tin nhảy cảm Các hoạt động trao đổithông tin có thể cho phép trên phần nào đó của mạng thì có thể bị giới hạntrên những vùng nhạy cảm hơn.

Hình 1 2: Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật

1.3 Phân loại Firewall

Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn:Firewall phần cứng và Firewall phần mềm.

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

1.3.1 Firewall phần cứng

Về tổng thể, Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so vớiFirewall phần mềm và dễ bảo trì hơn Firewall phần cứng cũng có một ưuđiểm khác là không chiếm dụng tài nguyên hệ thống trên máy tính nhưFirewall phần mềm.

Firewall phần cứng là một lựa chọn rất tốt đối với các doanh nghiệp nhỏ,đặc biệt cho những công ty có chia sẻ kết nối Internet Có thể kết hợp Firewallvà một bộ định tuyến trên cùng một hệ thống phần cứng và sử dụng hệ thốngnày để bảo vệ cho toàn bộ mạng Firewall phần cứng có thể là một lựa chọnđỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máytính cá nhân trong mạng.

1.3.2 Firewall phần mềm

Nếu không muốn tốn tiền mua Firewall phần cứng thì bạn có thể sử dụngFirewall phần mềm Về giá cả, Firewall phần mềm thường không đắt bằngfirewall phần cứng, thậm chí một số còn miễn phí (phần mềm ComodoFirewall Pro 3.0, PC Tools Firewall Plus 3.0, ZoneAlarm Firewall 7.1 …) vàbạn có thể tải về từ mạng Internet.

So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn,nhất là khi cần đặt lại các thiết lập cho phù hợp hơn với nhu cầu riêng củatừng công ty Chúng có thể hoạt động tốt trên nhiều hệ thống khác nhau, khácvới Firewall phần cứng tích hợp với bộ định tuyến chỉ làm việc tốt trongmạng có qui mô nhỏ Firewall phần mềm cũng là một lựa chọn phù hợp đốivới máy tính xách tay vì máy tính sẽ vẫn được bảo vệ cho dù mang máy tínhđi bất kỳ nơi nào.

Các Firewall phần mềm làm việc tốt với Windows 98, Windows ME vàWindows 2000 Chúng là một lựa chọn tốt cho các máy tính đơn lẻ Các côngty phần mềm khác làm các tường lửa này Chúng không cần thiết choWindows XP bởi vì XP đã có một tường lửa cài sẵn.

1.4 Kỹ thuật và công nghệ Firewall

Hiện nay có nhiều loại Firewall, để tiện cho quá trình nghiên cứu và pháttriển, người ta chia Firewall ra làm hai loại chính bao gồm:

Packet Filtering Firewall: là hệ thống tường lửa giữa các thành phần bêntrong mạng và bên ngoài mạng có kiểm soát.

Application-proxy Firewall: là hệ thống cho phép kết nối trực tiếp giữacác máy khách và các host.

1.4.1 Packet Filtering

Packet-Filtering là công nghệ phổ biến và lâu đời nhất Tường lửaPacket-Filter kiểm tra luồng dữ liệu đến tại tầng vận chuyển (TransportLayer) của mô hình OSI (Open System Interconnection) Nó phân tích các góitin IP (IP Packet) và so sánh chúng với những quy tắc được đặt trước trongdanh sách điều khiển truy cập (Access Control List - ACL) Nó kiểm tranhững thành phần sau của gói tin:

• Địa chỉ IP nguồn (Source IP Address)• Cổng nguồn (Source Port)

• Địa chỉ IP đích (Destination IP Address)• Cổng đích (Destination Port)

• Giao thức (Protocol)

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Chú ý: Ngoài những thành phần trên, một số Packet-Filter còn kiểm trathông tin Header của gói tin để quyết định xem gói tin đến từ một kết nối mớihay kết nối đang tồn tại.Những yếu tố trên được so sánh với ACL để quyếtđịnh xem gói tin có được phép hay không.

Không hỗ trợ tính năng xác thực người dùng: Người dùng có thể giả mạođịa chỉ IP được phép trong ACL để đánh lừa Packet-Filter.

Mức an ninh thấp, thiết lập luật phức tạp.

1.4.2 Proxy

Tường lửa Proxy hay còn gọi là Proxy Server đóng vai trò là đại diệncho các host trên những đoạn mạng (Segment) cần bảo vệ Các host nàykhông tạo kết nối trực tiếp ra bên ngoài, chúng gửi yêu cầu (Request) đếnProxy Server nơi chúng được xác thực (Authenticated) và phân quyền(Authorized) Tại đây, Proxy Server gửi những yêu cầu này đến các host bênngoài và gửi trả hồi âm (Reply) của host bên ngoài vào trong Proxy hoạtđộng tại các tầng trên (Upper Layers) của mô hình OSI Các mạng lớn thườngdùng nhiều Proxy Server để tránh những vấn đề về băng thông Số lượng ứngdụng các host có thể truy cập qua Proxy có giới hạn Theo thiết kế thì cáctường lửa Proxy chỉ hỗ trợ một số giao thức và ứng dụng cụ thể Proxy lạiđược phân loại thành: Cổng mức mạch và cổng mức ứng dụng.

1.4.2.1 Cổng mức mạch

Cổng mức mạch thì hoạt động ở tầng giao vận (transport) Nó thực hiệnviệc giám sát bắt tay TCP giữa gói tin vào/ra để xác định phiên làm việc cóhợp lệ hay không thông qua việc thiết lập 2 kết nối TCP một giữa cổng vàmáy bên trong, một giữa cổng và máy bên ngoài tức là nó không cho phépthực hiện kết nối end - to - end Khi hai kết nối được thiết lập, cổng mứcmạch sẽ thực hiện sao chép, chuyển tiếp đoạn dữ liệu TCP từ kết nối bêntrong sang kết nối bên ngoài (và ngược lại) mà không cần kiểm tra nội dungdữ liệu Cổng mức mạch xác định một phiên làm việc hợp lệ nếu cờ SYN,ACK và sequence number trong quá trình bắt tay giữa các kết nối là hợp lệ

Outside connection

Inside connection

Hình 1 4: Công nghệ firewall cổng mức mạch

 Ưu điểm

− Mức an toàn cao hơn so với lọc gói tin

− Có thể triển khai với lượng lớn giao thức tầng trên mà không cầnhiểu về thông tin tại giao thức đó

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

− Một khi kết nối được thiết lập, nó có thể cho phép gửi các mã độc hạitrong gói tin

1.4.2.2 Cổng ứng dụng

Như tên gọi đã nêu, cổng ứng dụng hoạt động ở tầng ứng dụng Chúngđược thiết kế nhằm tăng cường chức năng kiểm soát các loại dịch vụ, giaothức được cho phép truy cập vào hệ thống mạng.

Telnet FTP

SMTP HTTP

Application-levelGateway

Quy trình kết nối sử dụng dịch vụ thông qua cổng ứng dụng diễn ra theo5 bước sau đây:

− Bước 1: Máy trạm gửi yêu cầu tới máy chủ ở xa đến cổng ứng dụng− Bước 2: Cổng ứng dụng xác thực người dùng Nếu xác thực thành

công chuyển sang bước 3, ngược lại quá trình kết thúc

− Bước 3: Cổng ứng dụng chuyển yêu cầu máy trạm đến máy chủ ởxa

− Bước 4: Máy chủ ở xa trả lời chuyển đến cổng ứng dụng

− Bước 5: Cổng ứng dụng chuyển trả lời của máy chủ ở xa đến máytrạm

Hình 1.6: Minh họa hoạt động cổng ứng dụng

Ví dụ: Máy khách (client) muốn sử dụng dịch vụ TELNET để kết nốivào hệ thống mạng qua cổng ứng dụng (Telnet proxy) Quá trình diễn ra nhưsau:

Client thực hiện dịch vụ telnet đến Telnet proxy

Telnet proxy kiểm tra password Nếu hợp lệ thì client được phép vàogiao diện của Telnet proxy Telnet proxy sẽ cung cấp tập nhỏ lệnh của Telnetvà quyết định những máy nội bộ nào được phép truy cập

Client chỉ ra máy nội bộ bên trong cần kết nối và Telnet proxy tạo mộtkết nối của riêng nó tới máy nội bộ bên trong sau đó nó thực hiện chuyển cáclệnh tới máy nội bộ bên trong dưới sự ủy quyền của client, còn client thì tinrằng Telnet proxy chính là máy nội bộ thật ở bên trong, trong khi máy nội bộbên trong thì tin rằng Telnet proxy chính là client thật.

Dịch vụ ủy quyền bao gồm hai thành phần:

− Chương trình chủ được ủy quyền (proxy server)− Chương trình khách được ủy quyền (client proxy)− Thực hiện sàng lọc hoặc chặn truy cập

− Chặn URL

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

− Lọc, chặn các nội dung nhúng (embedded content): Java, ActiveXcontrols, và các đối tượng được nhúng trong trả lời (response) củamột yêu cầu Web (request)

− Khả năng trong suốt đối với người dùng cuối hạn chế

1.4.3 Statefull Inspection Firewall (SIF)

Statefull Inspection Firewall là sự kết hợp giữa hiệu năng và mức độ anninh Nó tổng hợp tính năng của 3 loại tường lửa trên Giống tường lửa lọcgói tin, hoạt động ở tầng mạng, lọc gói tin đi/đến dựa trên tham số: địa chỉnguồn, địa chỉ đích, cổng nguồn, cổng đích

Giống cổng mức mạch, xác định chính xác gói tin trong phiên làm việc.SIF xác nhận cờ ACK, SYN và sequence number có hợp lệ không?

SIF bắt chước cổng mức ứng dụng, SIF đưa gói tin lên tầng ứng dụng vàkiểm tra xem nội dung dữ liệu phù hợp với các luật trong chính sách an ninhcủa hệ thống Giống như cổng ứng dụng, SIF có thể được cấu hình để loại bỏgói tin chứa những câu lệnh xác định (ví dụ như FTP PUT, FTP GET, )

Khác với cổng mức ứng dụng (yêu cầu hai kết nối, do vậy tốc độ chậm)SIF cho phép client kết nối trực tiếp với server

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Hình 1.7: Hoạt động của statefull inspection firewall

Đây là công nghệ an toàn và đa năng nhất bởi các kết nối không chỉđược kiểm tra bởi ACL mà còn được ghi trong bảng trạng thái (State Table).Sau khi một kết nối được thiết lập, tất cả các thông tin của phiên kết nối(Session) đi qua được so sánh với bảng trạng thái Nếu thông tin không khớp,kết nối sẽ bị hủy Đây là công nghệ mới nhất, nó có ưu điểm là độ an toàn vàbảo mật rất cao Một thiết bị điển hình sử dụng công nghệ này là ASA/PIXFirewall của tập đoàn Cisco Trong khuôn khổ đề tài, em sẽ trình bày trọngtâm về Cisco Secure ASA/PIX Firewall - một trong những thiết bị an ninhmạng hàng đầu thế giới hiện nay và chúng ta sẽ tìm hiểu kỹ hơn ở phần sau.

1.5 Kiến trúc của Firewall1.5.1 Screening Router

Hình 1.8: Mô hình Screening Router

Kiến trúc này sử dụng công nghệ tường lửa lọc gói tin tích hợp vào trongbộ định tuyến (Router) Thực hiện việc định tuyến hay chặn gói tin dựa vàochính sách an ninh.

 Ưu điểm

o Tốc độ xử lý nhanho Dễ dàng triển khai Nhược điểm

o Mức độ an ninh thấp

o Đưa ra các chính sách cấu hình phức tạp nên dễ mắc lỗi

1.5.2 Kiến trúc Dual - Homed host

Firewall kiến trúc kiểu Dual-homed host được xây dựng dựa trên máytính Dual-homed host Một máy tính được gọi là Dual-homed host nếu có ítnhất hai Network interfaces, có nghĩa là máy đó có gắn hai card mạng giaotiếp với hai mạng khác nhau và như thế máy tính này đóng vai trò là routerphần mềm Kiến trúc Dual-homed host rất đơn giản Dual-homed host ở giữa,một bên được kết nối với Internet và bên còn lại nối với mạng nội bộ (LAN).

Dual-homed host chỉ có thể cung cấp các dịch vụ bằng cách ủy quyền(proxy) chúng hoặc cho phép users đăng nhập trực tiếp vào Dual-homes host.Mọi giao tiếp từ một host trong mạng nội bộ và host bên ngoài đều bị cấm,Dual-homed host là nơi giao tiếp duy nhất

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Hình 1.9: Kiến trúc Dual - Homed host

1.5.3 Kiến trúc Screend Host

Screened host có cấu trúc ngược lại với cấu trúc Dual-homed host, kiếntrúc này cung cấp các dịch vụ từ một host bên trong mạng nội bộ, dùng mộtrouter tách rời với mạng bên ngoài Trong kiểu kiến trúc này, bảo mật chínhlà phương pháp Packet Filtering.

Bastion host được đặt bên trong mạng nội bộ, Packet Filtering được càitrên router Theo cách này, Bastion host là hệ thống duy nhất trong mạng nộibộ mà những host trên internet có thể kết nối tới Mặc dù vậy, chỉ những kiểukết nối phù hợp (được thiết lập trong Bastion host) mới được phép kết nối.Bất kỳ một hệ thống bên ngoài nào cố gắng truy cập vào hệ thống hoặc cácdịch vụ bên trong đều phải kết nối tới host này Vì thế, Bastion host là host

cần phải được duy trì ở chế độ bảo mật cao Packet Filtering cũng cho phépBastion host có thể mở kết nối ra bên ngoài.

Cấu hình của packet filtering trên screening router như sau :

− Cho phép tất cả các host bên trong mở kết nốt tới host bên ngoàithông qua một số dịch vụ cố định.

− Không cho phép tất cả các kết nối từ host bên trong (cấm nhữnghost này sử dụng dịch vụ proxy thông qua Bastion host).

− Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau − Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.− Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.Bởi vì kiến trúc này cho phép các packet đi từ bên ngoài vào mạng bêntrong, nó dường như nguy hiểm hơn kiến trúc Dual-homed host, vì thế nóđược thiết kế để không một packet nào có thể tới được mạng bên trong Tuynhiên trên thực tế thì kiến trúc Dual-homes host đôi khi cũng có lỗi mà chophép một packet thật sự đi từ bên ngoài vào bên trong (bởi vì những lỗi nàyhoàn toàn không biết trước, nó hầu như không được bảo vệ để chống lạinhững kiểu tấn công này) Hơn nữa, kiến trúc Dual-homes host thì dễ dàngbảo vệ router (là máy cung cấp rất ít các dịch vụ) hơn là bảo vệ các host bêntrong mạng.

Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơnvà an toàn hơn kiến trúc Dual-homed host.

So sánh với mộ số kiến trúc khác, chẳn hạn như kiến trúc Screenedsubnet thì kiến trúc Screened host có một số bất lợi Bất lợi chính là nếu kẻtấn công tìm cách xâm nhập Bastion host thì không có cách nào để ngăn táchgiữa Bastion host và các host còn lại bên trong mạng nội bộ Router cũng cómột số điểm yếu là nếu router bị tổn thương, toàn bộ mạng sẽ bị tấn công.

Vì lý do này mà Screened subnet trở thành kiến trúc phổ biến nhất.

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Hình 1.10: Kiến trúc Screened host

1.5.4 Kiến trúc Screened Subnet

Nhằm tăng cường khả năng bảo vệ mạng nội bộ, thực hiện chiến lượcphòng thủ theo chiều sâu, tăng cường sự an toàn cho bastion host, táchbastion host khỏi các host khác, phần nào tránh lây lan một khi bastion host bịtổn thương, người ta đưa ra kiến trúc Firewall có tên là Screened subnet.

Kiến trúc Screened subnet dẫn xuất từ kiến trúc Screened host bằng cáchthêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạngnội bộ ra khỏi mạng bên ngoài, tách bastion host ra khỏi các host thôngthường khác Kiểu Screen subnet đơn giản bao gồm hai screened router:

− Router ngoài (External router còn gọi là access router): nằm giữamạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi(bastion host, interior router) Nó cho phép ngững gì outbound từ mạng ngoạivi Một số quy tắc packet filtering đặc biệt được cài ở mức cần thiết đủ để bảovệ bastion host và interior router vì bastion host còn là host được cài đặt an

toàn ở mức cao Ngoài các quy tắc đó, các quy tắc khác cần giống nhau giữahai router.

− Router trong (Interior router còn gọi là choke router): nằm giữa mạngngoại vi và mạng nội bộ, nhằm bảo vệ mạng nôi bộ trước khi ra ngoài vàmạng ngoại vi Nó không thực hiện hết các quy tắc packet filtering của toànbộ firewall Các dịch vụ mà interior router cho phép giữa bastion host vàmạng nội bộ, giữa bên ngoài và mạng nội bộ không nhất thiết phải giốngnhau Giới hạn dịch vụ giữa bastion host và mạng nội bộ nhằm giảm số lượngmáy (số lượng dịch vụ trên các máy này) có thể bị tấn công khi bastion host bịtổn thương và thỏa hiệp với bên ngoài Chẳng hạn nên giới hạn các dịch vụđược phép giữa bastion host và mạng nội bộ như SMTP khi có Email từ bênngoài vào, có lẽ chỉ giới hạn kết nối SMTP giữa bastion host và email serverbên trong.

Hình 1.11: Kiến trúc Screened Subnet

1.5.5 Sử dụng nhiều Bastion Host

Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa(redundancy), cũng như tách biệt các Servers khác nhau

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bêntrong (internal user), như dịch vụ SNMP Server, Proxy Servers …

Sử dụng 1 Bastion Host khác cung cấp dịch vụ cho Internet hoặc nhữngngười sử dụng bên ngoài (external user) sẽ sử dụng Như là Anonymous FTPServer mà Server này những người sử dụng bên trong (local users) không truyxuất đến

Hình 1.12: Sơ đồ kiến trúc sử dụng 2 Bastion Host

Với cách này thì tốc độ đáp ứng cho những người sử dụng bên trong(local user) một phần nào đó không bị ảnh hưởng (bị làm chậm đi) bởi hoạtđộng của những người sử dụng bên ngoài (external users).

Cũng có thể sử dụng nhiều Bastion Host mà cung cấp cho 1 dịch vụ nàođó để tăng tốc độ đáp ứng (performance), nhưng việc này cũng khó cân bằngtải giữa các Server trừ khi đoán trước được mức độ sử dụng.

Việc sử dụng kỹ thuật dư thừa để đảm bảo tính sẵn sàng cao của hệthống, để khi mà một Bastion Host hỏng thì có cái khác thay thế Nhưng chỉcó một số loại dịch vụ trợ giúp dạng này: DNS Server, SMTP Server, cóthể dùng nhiều Bastion Host làm DNS Server , SMTP Server Khi một

Bastion Host hỏng hoặc quá tải, những yêu cầu về DNS Server và SNMP sẽđược dùng qua Bastion Host khác như là một fallback system.

Sử dụng nhiều Bastion Host trong trường hợp muốn cung cấp dịch vụcho nhiều mạng khác nhau, và loại dữ liệu cung cấp cho mỗi mạng cũng khácnhau

Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà mộtServer nào đó bị đột nhập vào hay bị hỏng thì Server khác vẫn hoạt động tốt

Đến đây chúng ta đã nắm được những khái niệm cơ bản , các kỹ thuậtcũng như công nghệ thiết kế hệ thống tường lửa Hiện nay trên thị trường córất nhiều các hãng sản xuất thiết bị tường lửa khác nhau, tuy nhiên về nguyênlý và cách thức hoạt động đều dựa trên các nguyên tắc chung đã nêu ở trên.Chương sau chúng ta sẽ đi tìm hiểu về kỹ thuật và công nghệ thiết kế tưởnglửa của hãng Cisco, cùng nhau xem xét ưu và nhược của các sản phẩm củahãng

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

CHƯƠNG 2: KỸ THUẬT VÀ CÔNG NGHỆ TƯỜNGLỬA CISCO

Cisco là hãng cung cấp hàng đầu về các thiết bị mạng như router,switch… Bên cạnh đó hãng cũng tập trung phát triển các thiết bị phần cứngchuyên dụng cho lĩnh vực bảo mật, an toàn hệ thống Trong chương nàychúng sẽ tìm hiểu về các công nghệ cũng như các tính năng ưu việt của cácdòng sản phẩm Firewall Cisco đó là ASA – Adaptive Security Appliances.

2.1 Lịch sử ra đời

Thiết bị phần cứng đảm nhận vai trò bảo vệ hạ tầng mạng bên trong,trước đây thương hiệu PIX Firewall của hãng Cisco Systems đã giành đượcmột trong những vị trí hàng đầu của lĩnh vực này Tuy nhiên,theo đà pháttriển của công nghệ và xu hướng tích hợp đa chức năng trên các kiến trúcphần cứng hiện nay (gọi là Appliance) hãng Cisco Systems cũng đã nhanhchóng tung ra dòng sản phẩm bảo mật đa năng Cisco ASA (Adaptive SecurityAppliance) Dòng thiết bị này ngoài việc thừa hưởng các ính năng ưu điểmcủa công nghệ dùng trên Cisco PIX Firewall,Cisco IPS 4200 và Cisco VPN3000 Concentrator, còn được tích hợp đồng thời 3 nhóm chức năng chính chomột hạ tầng bảo vệ là Firewall, IPS và VPN.Thông qua việc tích hợp nhữngtính năng như trên,Cisco ASA sẽ chuyển giao một giải pháp hiệu quả trongviệc bảo mật hoá các giao tiếp kết nối mạng,nhằm có thể chủ động đối phótrên diện rộng đối với các hình thức tấn công qua mạng hoặc các hiểm họa màtổ chức,doanh nghiệp thường phải đương đầu.

Đặc tính nổi bật của thiết bị ASA là:

− Đầy đủ các đặc điểm của Firewall,IPS,anti-X và công nghệ VPNIPSec/SSL

− Có khẳ năng mở rộng thích nghi nhận dạng và kiến trúc MitigationServices.

− Giảm thiểu chi phí vận hành và phát triển.

2.2 Tổng quan về tường lửa của Cisco:

Cisco ASA Firewalls đã luôn luôn đóng vai trò quan trọng trong chiếnlược bảo mật của Cisco.Các mô hình tường lửa khác nhau của Cisco cung cấpcác giải pháp bảo mật cho các doanh nghiệp vừa và nhỏ.

Các sản phẩm tường lửa trước đây của Cisco bao gồm:− Cisco PIX Firewalls.

− Cisco FWSM(Firewall Service Module)− Cisco IOS Firewall.

ASA/PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh

end-to-end của Cisco ASA/PIX Firewall là một giải pháp an ninh phần cứng

và phần mềm chuyên dụng và mức độ bảo mật cao hơn mà không ảnh hưởngđến sự thực thi của hệ thống mạng Nó là một hệ thống được lai ghép bởi vìnó sử dụng cả hai kỹ thuật packet filtering và proxy server

ASA/PIX Firewall cung cấp các đặc tính và các chứ năng sau:

 Apdaptive Security Algorithm (ASA) – thực hiện việc điều khiển cáckết nối stateful thông qua ASA/PIX Firewall

 Cut – through proxy – Một người sử dụng phải dựa trên phươngpháp chứng thực của các kết nối vào và ra cung cấp một hiệu suất cảithiện khi so sánh nó với proxy server

 Stateful failover – ASA/PIX Firewall cho phép bạn cấu hình hai thiếtbị ASA/PIX Firewall trong một topo mạng nhằm đảm bảo tính dựphòng.

 Stateful packet filtering – Một phương pháp bảo mật phân tích cácgói dữ liệu mà thông tin nằm trải rộng sang một bảng Để một phiênđược thiết lập thông tin về các kết nối phải kết hợp được với thôngtin trong bảng

ASA/PIX Firewall có thể vận hành và mở rộng cấp độ được với cácISPes, các ISPec bao gồm một lưới an ninh và các giao thức chứng thực như

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

clients ở xa có thể truy cập một cách an toàn đến mạng của công ty thông quacác ISPs của họ.

2.3 Nguyên tắc hoạt động của tường lửa Cisco

Nguyên tắc chung của firewall (kể cả firewall dạng phần mềm như proxyhay dạng thiết bị cứng như là ASA/PIX) là bắt gói dữ liệu đi ngang qua nó vàso sánh với các luật đã thiết lập Nếu thấy không vi phạm luật nào thì cho điqua, ngược lại thì hủy gói dữ liệu ASA/PIX firewall hoạt động dựa trên giảithuật bảo mật thích hợp ASA (Adaptive Security Algorithm) sử dụng Securitylevel (cấp độ bảo mật) Giữa hai cổng thì một sẽ có Security level cao hơn,một có Security level thấp hơn

Vấn đề cốt lõi của các thiết bị an ninh là thuật toán bảo mật thích hợp(Adaptive Security Algorithm - ASA) Giải thuật ASA duy trì vành đai antoàn giữa các mạng điều khiển bởi thiết bị an ninh ASA tuân theo các quyluật sau:

 Không gói tin nào đi qua ASA/PIX mà không có một kết nối và trạngthái

 Cho phép các kết nối ra bên ngoài, trừ những kết nối bị cấm bởi danhsách điều khiển truy nhập ACLs Một kết nối ra bên ngoài có thể làmột nguồn hoặc một client ở cổng có mức bảo mật cao hơn nơi nhậnhoặc server Cổng có mức bảo mật cao nhất là inside với giá trị là100, cổng có mức bảo mật thấp nhất là outside với giá trị là 0 Bất kỳcổng nào khác cũng có thể có mức bảo mật nhận giá trị từ 1 đến 99. Cấm các kết nối vào bên trong, ngoại trừ những kết nối được phép.

Một kết nối vào bên trong là một nguồn hoặc client ở cổng hay mạngcó mức bảo mật thấp hơn nơi nhận hoặc server.

 Tất cả các gói ICMP đều bị cấm, trừ những gói được phép Mọi sự thử nghiệm nhằm phá vỡ các quy tắc trên đều bị hủy bỏ

Trên mỗi cổng của ASA/PIX có các cấp độ bảo mật (Security-level),xác định một giao tiếp (interface) là tin cậy, được bảo vệ hay không tin cậy,được bảo vệ ít và tương quan với các giao tiếp khác như thế nào Một giao

tiếp được xem là tin cậy trong mối quan hệ với các giao tiếp khác nếu nó cómức độ bảo mật cao hơn.

Quy tắc cơ bản về mức độ bảo mật là: Dữ liệu có thể đi vào ASA/PIXthông qua một interface với Security level cao hơn, đi qua ASA/PIX và đi rangoài thông qua interface có Security level thấp hơn Ngược lại, dữ liệu đivào interface có Security level thấp hơn không thể đi qua ASA/PIX và đi rangoài thông qua interface có Security level cao hơn nếu trên ASA/PIX khôngcó cấu hình conduit hoặc access-list để cho phép nó thực hiện điều này Cácmức bảo mật đánh số từ 0 đến 100.

 Mức 0: Là mức thấp nhất, thiết lập mặc định cho outside interface(cổng ra ) của ASA/PIX, thường dành cho cổng kết nối ra internet.Vì 0 là mức bảo mật ít an toàn nhất nên các untrusted networkthường ở sau interface này Các thiết bị ở outside chỉ được phép truynhập vào ASA/PIX khi nó được cấu hình để làm điều đó.

 Mức 100: Là mức cao nhất cho một interface Nó được sử dụng choinside interface ( cổng vào ) của ASA/PIX, là cấu hình mặc định choASA/PIX và không thể thay đổi Vì vậy mạng của tổ chức thường ởsau interface này, không ai có thể truy nhập vào mạng này trừ khiđược phép thực hiện điều đó Việc cho phép đó phải được cấu hìnhtrên ASA/PIX; các thiết bị trong mạng này có thể truy nhập ra mạngoutside.

 Mức từ 1 đến 99: Được dành cho những mạng xung quanh kết nối tớiASA/PIX, đăng ký dựa trên kiểu của truy nhập của mỗi thiết bị,thông thường là kết nối đến một mạng hoạt động như làDemilitarized zone (DMZ).

Khi có nhiều kết nối giữa ASA/PIX và các thiết bị xung quanh thì:

 Dữ liệu đi từ interface có Security level cao hơn đến interface cóSecurity level thấp hơn: Cần phải có một translation ( static haydynamic ) để cho phép giao thông từ interface có Security level caohơn đến interface có Security level thấp hơn Khi đã có translationnày, giao thông bắt đầu từ inside interface đến outside interface sẽ

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

được phép, trừ khi nó bị chặn bởi access-list, authentication hayauthorization.

 Dữ liệu đi từ interface có Security level thấp hơn đến interface cóSecurity level cao hơn: 2 điều quan trọng cần phải được cấu hình đểcho giao thông từ interface có Security level thấp hơn đến interfacecó Security level cao hơn là static translation và conduit hoặc access-list.

 Dữ liệu đi qua hai interface có Security level như nhau: Không cógiao thông đi giữa hai interface có Security level như nhau.

2.3.1 Định tuyến lưu lượng qua tường lửa

Mặc định thì ASA/PIX Firewall đóng vai trò như một thiết bị lớp 3 tronghệ thống mạng Nghĩa là nó phải định tuyến cho các lưu lượng đi qua nó Khigói tin đến ASA/PIX Firewall, nó cần xác định xem phải đẩy gói tin rainterface nào (nếu được phép) Tương tự như Router, ASA/PIX Firewall địnhtuyến cho các lưu lượng dựa vào địa chỉ IP đích ASA/PIX tách phần địa chỉIP đích trong IP Header của gói tin và tra trong bảng định tuyến (routingTable) của nó để ra quyết định Nếu nó biết được địa chỉ đích tương ứng vớiinterface nào thì sẽ đẩy gói tin ra interface đó; nếu không tìm thấy thông tinthích hợp trong bảng định tuyến, nó sẽ hủy gói tin Vì vậy, để Firewall có thểđịnh tuyến cho các lưu lượng qua nó, người quan trị cần phải cấu hình địnhtuyến cho các mạng ở các vùng mà Firewall cần biết.

Khi cấu hình định tuyến cho Firewall, ta có thể sử dụng định tuyến tĩnh(Static) hoặc định tuyến động (RIP, IGRP, EIGRP, OSPF ).

2.3.2 Truy cập thông qua tường lửa

ASA/PIX Firewall có thể được cấu hình với nhiều interface Mỗiinterface có một cấp độ bảo mật riêng Một interface được coi là bên trong(Inside) - tin cậy, hay bên ngoài (Outside) - không tin cậy, còn phụ thuộc vàomối quan hệ của nó với interface nào Nghĩa là trong mối quan hệ vớiinterface này nó có thể là Inside nhưng trong mối quan hệ khác nó lại làOutside Interface được coi là Inside đối với interface khác nếu như nó có cấp

độ bảo mật cao hơn, và ngược lại nếu cấp độ bảo mật của nó thấp hơn thì nóđược coi là Outside.

Chính sách bảo mật mặc định của ASA/PIX Firewall cho phép lưu lượngtừ interface có cấp độ bảo mật cao (Inside) truy cập vào interface có cấp độbảo mật thấp hơn (Outside) Kết nối từ Inside đến Outside gọi là kết nối rangoài (Outbound Connection) Các kết nối này mặc định là luôn được phéptrừ khi người quản trị (Admin) đưa ra chính sách bảo mật ngăn cản kết nối

Kết nối từ interface có cấp độ bảo mật thấp đến interface có cấp độ bảomật cao hơn (từ Outside vào Inside) được gọi là kết nối vào trong (InboundConnection) Kết nối này mặc định là không được phép trừ khi người quản trịthiết lập một cặp gồm: chuyển đổi địa chỉ tĩnh (Static Translation) và AccessList.

2.3.3 Truy cập ra ngoài thông qua tường lửa

Các kết nối ra ngoài (Outbound Connection) luôn được cho phép bởichính sách bảo mật mặc định Tuy nhiên, ta vẫn cần phải thiết lập chuyển đổiđịa chỉ cho ASA/PIX Firewall đối với các kết nối kiểu này Vì mục đích antoàn, để tránh mạng ngoài (Outside) biết được cấu trúc mạng bên trong(Inside), công nghệ chuyển đổi địa chỉ được sử dụng với ASA/PIX Firewall,giúp nó che dấu được cấu trúc mạng bên trong mà vẫn đảm bảo kết nối hoạtđộng tốt.Có hai kiểu chuyển đổi địa chỉ:

 Chuyển đổi địa chỉ động (Dynamic Address Translation): chuyển đổinhiều địa chỉ cục bộ (Local Address) ra một hoặc nhiều địa chỉ toàn cục(Global Address) Chuyển đổi địa chỉ động được chia làm hai loại:− Chuyển đổi địa chỉ mạng (Network Address Translation - NAT):

chuyển đổi nhiều địa chỉ cục bộ ra một dải (Pool) địa chỉ toàn cục.− Chuyển đổi địa chỉ cổng (Port Address Translation - PAT): chuyển

đổi nhiều địa chỉ cục bộ ra một hay một số địa chỉ toàn cục Sau khichuyển đổi, các địa chỉ toàn cục có thể giống nhau nhưng khác về sốhiệu cổng Nói cách khác, đây không đơn thuần là chuyển đổi mộtđịa chỉ mà là chuyển đổi một cặp địa chỉ IP/số hiệu cổng (IPAddress/Port).

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Với NAT và PAT, mỗi khi có một chuyển đổi, ASA/PIX Firewall sẽ ghinó vào bảng chuyển đổi (Xlate Table) Khi hết thời gian dành cho chuyển đổi(timeout) mà không có lưu lượng nào của chuyển đổi này đi qua thì ASA/PIXFirewall sẽ xóa nó khỏi bảng chuyển đổi Cơ chế này ngoài việc giúp che giấucấu trúc mạng bên trong còn tránh mạng ngoài có thể dò và tấn công ngượclại địa chỉ đã chuyển đổi bởi các chuyển đổi chỉ là tạm thời.

Để cho phép các host bên trong (Inside) truy cập ra ngoài, ta thiết lậpchuyển đổi địa chỉ động với hai câu lệnh nat cho interface bên trong vàGlobal cho interface ngoài

2.3.4 Truy cập vào trong thông qua tường lửa

Chính sách bảo mật mặc định của ASA/PIX Firewall không cho phépcác truy cập từ mạng ngoài (Outside) và trong (Inside) Để cho phép kết nốinày, ta phải thiết lập hai thành phần sau:

 Danh sách điều khiển truy cập (Access Control List - ACL) Chuyển đổi địa chỉ tĩnh (Static Address Translation)

Tuy nhiên, cần lưu ý là chỉ thiết lập chuyển đổi tĩnh không cho phép kếtnối được khởi tạo từ mạng ngoài mà phải kết hợp với Access List Danh sáchđiều khiển truy cập là thành phần quan trọng được sử dụng trong các thiết bịcủa Cisco Đối với ASA/PIX Firewall, ACL được dùng để hạn chế lưu lượngra ngoài (Outbound Traffic), và cho phép lưu lượng đi theo chiều ngược lại.Một ACL là một danh sách tuần tự các câu điều kiện “Permit” và “Deny” đểchỉ ra cho Firewall biết lưu lượng nào được chấp nhận (Permit) hoặc loại bỏ(Deny).

Cơ chế kiểm tra Access-List tuân theo nguyên tắc tuần tự từ trên xuống.Vì vậy thứ tự các câu lệnh trong Access-List Trong quá trình kiểm tra, nếukhớp (match) với câu lệnh nào thì gói tin sẽ được xử lý (Permit hay Deny)ngay và không phải kiểm tra các câu lệnh tiếp theo nữa Lưu ý là trong mỗiAccess-List đều luôn có câu lệnh từ chối ẩn (Implicit Deny) ở cuối cùng (chodù nó có được thiết lập hay không) với mục đích từ chối tất cả các gói tin.

Sau khi thiết lập ACL cho phép truy cập vào trong, ta cần một chuyểnđổi tĩnh Chuyển đổi tĩnh cho phép host ở mạng ngoài truy cập vào host bêntrong qua địa chỉ toàn cục Khi gói tin bên ngoài đến ASA/PIX Firewall và

thông qua chính sách bảo mật, Firewall sẽ kiểm tra xem có chuyển đổi tĩnhphù hợp không Nếu có, nó chuyển đổi địa chỉ toàn cục ra địa chỉ cục bộ vàđẩy gói tin đến đích.

2.4 Công nghệ tích hợp trên tường lửa Cisco

Công nghệ tưởng lửa Cisco dựa trên công nghệ Statefaul Inspection đượctổng hợp từ các công nghệ Packet filtering(lọc gói), Proxy Server và Statefulpacket filtering.

2.4.1 Công nghệ Stateful Inspection

Hình 2.1 Công nghệ Stateful Inspection

Công nghệ Stateful Inspection là sự tổng hợp tính năng của 3 loại côngnghệ trên Nó được xem là chuẩn công nghệ cho các giải pháp bảo mật mạngdành cho các doanh nghiệp Công nghệ Stateful Inspection đáp ứng được tấtcả các yêu cầu về bảo mật trong khi các công nghệ tường lửa truyền thống,như lọc gói hoặc các gateway lớp ứng dụng thường không đáp ứng được đầy

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Có nhiều hãng tường lửa sử dụng công nghệ Stateful Inspection như:CheckPoint, Cisco, Netscreen, 3COM Secure Gateway…

Đối với công nghệ Stateful Inspection, các gói tin được ngăn chặn từtầng mạng (tương tự như trong công nghệ lọc gói), tuy nhiên dữ liệu bắtnguồn từ tất cả các tầng đều được xem xét và phân tích phục vụ cho mục đíchđảm bảo an ninh (đối với các gateway lớp ứng dụng thì đối tượng xem xét từtầng 4 đến tầng 7) Công nghệ Stateful Inspection giới thiệu giải pháp có độbảo mật cao hơn nhờ việc kết hợp chặt chẽ các thông tin kết nối, trạng tháiapplication-derived và nội dung thông tin được lưu trữ và cập nhật tự động.Nó dựa vào các thông tin trước để lượng giá các kết nối sau đấy

Nó cũng cung cấp khả năng tạo ra các thông tin phiên làm việc ảo choviệc theo dõi các giao thức không kết nối (ví dụ các ứng dụng dựa trên cácgiao thức RPC và UDP), đấy là những điều mà các công nghệ tường lửa kháckhông làm được.

Không như công nghệ lọc gói chỉ kiểm tra thông thông tin header củagói tin, công nghệ Stateful Inspection theo kiểm soát, theo dõi các kết nối trêntất cả các cổng của tường lửa và đảm bảo các kết nối đó là hợp pháp Tườnglửa sử dụng công nghệ Stateful Inspection không chỉ kiểm tra thông tinheader của gói tin mà còn kiểm tra nội dung của gói tin ở tầng ứng dụng.Tường lửa Stateful Inspection có khả năng theo dõi trạng thái của kết nối vàđưa các thông tin trạng thái vào bảng trạng thái Vì thế, tường lửa sử dụngcông nghệ Stateful Inspection kiểm soát không chỉ dựa trên tập luật (chínhsách) mà còn dựa theo ngữ cảnh đã được thiết lập ưu tiên của các gói tin trướcđó đã đi qua tường lửa

Hơn thế nữa, các cổng của tường lửa luôn ở trong trạng thái đóng (closeoff) nó chỉ được mở khi có yêu cầu kết nối Điều này ngăn chặn tấn công quétcông trên tường lửa, giúp đảm bảo an toàn cho tường lửa và hệ thống.

2.4.2 Công nghệ Cut-Through Proxy

Hình 2.2: Công nghệ Cut-Though Proxy

Tính năng Cut-Through Proxy giúp tưởng lửa Cisco hoạt động hiệu quảhơn tường lửa Proxy, vì nó thực hiện quá trình xác minh người tại tầng ứngdụng, kiểm tra phân quyền tới chính sách bảo mật, rồi sau đó mới mở kết nốinhư là được phân quyền bởi chính sách bảo mật Các lưu lượng đến sau củakết nối này không bị quản lý tại tầng ứng dụng nữa nhưng vẫn được kiểm tratrạng thái Việc này giúp PIX Firewall hoạt động nhanh hơn, và không bị quátải so với tường lửa Proxy.

Mô tả quá trinh hoạt động của Cut-Through.

1 Người dùng có nhu cầu sẽ tạo một yêu cầu gửi tới ISP.2 Tường lửa Cisco sẽ tạm chặn yêu cầu lại.

3 Tại lớp ứng dụng sẽ bắt buộc người dùng nhập username và mậtkhẩu Mật khẩu có thể sẽ được xác thực tại Local hay một server xácthực Radius, TACACS+

4 Xác thực thành công sẽ được chuyển tiếp tới ISP.

5 ISP hồi đạp lại yêu cầu của người dùng thông qua tường lửa.

2.4.3 Applicatin-Aware Inspection

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

Hình 2.3 Công nghệ Application-Aware Inspection

Với tính năng này, các dịch vụ như FTP ,HTTP sẽ được tự động gánđịa chỉ Port nguồn và Port đích thông qua firewall Tường lửa sẽ làm nhiệmvụ thanh tra các gói tìn từ lớp 3 – lớp network

Tường lửa sẽ chịu trách nhiệm mở và đóng port cho các ứng dụng kếtnối thông qua nó.

2.4.4 Virtual Private Network

Hình 2.3 Công nghệ mạng riêng ảo VPN

Dòng sản phẩm Cisco ASA 5500 Series hỗ trợ tính năng VPN, cho phép thiết lập kết nối từ xa giữa các chi nhành hoặc từ người dùng đầu xa

 Site – to – Site : Cung cấp kết nối từ xa giữa các chi nhanh

 IPsec VPN : dựa trên nền tảng ipsec, người dùng đầu xa sẽ sửdụng phần mềm Cisco VPN client để kết nối về hệ thống.

 SSL VPN: Đây là tính cho phép người dùng đầu xa kết nối tới hệthống thông qua trình duyệt web

Các tài khoản sử dụng VPN sẽ được xác thực ngay tại tường lửa hoặc sẽ đượcxác thực tại máy chủ chuyên dụng Radius, AAA, TACACS+

Đồ án tốt nghiệp Tìm hiểu Firewall Cisco ASA5520

2.4.5 Security Context (Virtual Firewall)

Hình 2.4 Công nghệ tường lửa ảo

Việc xuất hiện ngày một nhiều các Hacker mới am hiểu kỹ thuật hơn,các cuộc tấn công ngày một nguy hiểm hơn, đã khiến cho các quản trị viêngặp rất nhiều khó khăn trong việc điều khiển và quản lý các hoạt động củangười dùng trên mạng Trước đây, khi một tổ chức đặt ra yêu cầu phải có cácchính sách bảo mật riêng biệt cho từng phòng ban thì đi kèm với nó cũng làviệc phải có thêm nhiều tường lửa riêng biệt, mỗi thiết bị cho một phòng Dođó, sẽ làm tăng độ phức tạp, gây khó khăn trong quản lý hệ thống mạng củacông ty, và làm tăng chi phí đầu tư thiết bị Để giải quyết vấn đề này, tập đoànCisco đã đưa ra giải pháp tạo tường lửa ảo (Virtual Firewall) trong phiên bảnhệ điều hành 7.0.

Với tính năng Virtual Firewall hay còn được gọi là Security Context(ngữ cảnh bảo mật), người quản trị có thể tạo ra nhiều Security Context trongmột thiết bị tường lửa Mỗi Context có một file cấu hình riêng cho chính sáchbảo mật, áp đặt các Interface, và các lựa chọn quản lý Security Context Tínhnăng này làm giảm số lượng thiết bị, chi phí đầu tư, và khối lượng công việccủa quản trị viên.

Mặc định thì ASA/PIX Firewall hoạt động ở chế đơn độ ngữ cảnh(Single Context) Để sử dụng tính năng Virtual Firewall ta cần chuyển sangchế độ đa ngữ cảnh (Multiple Context) Khi đó, mỗi Context sẽ là một tườnglửa độc lập với chính sách bảo mật và các interface của nó