đề tài nghiên cứu triển khai giải pháp bảo mật hệ thống mạng với FIREWALL ASA và hệ thống IDS

Đánh giá tổng quan về bảo mật mạng máy tính Bảo mật mạng máy tính hiện nay được đánh giá là một trong những vấn đề quan trọng bậc nhất của tất cả các quốc gia trong đó có Việt Nam, theo

i

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN

ii

MỤC LỤC

MỤC LỤC II LỜI NÓI ĐẦU V DANH MỤC VIẾT TẮT VI DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU VII

CHƯƠNG 1 TỔNG QUAN 9

1.1 Đánh giá tổng quan về bảo mật mạng máy tính 9

1.2 Các mối đe dọa 10

1.2.1 Mối đe dọa bên trong 11

1.2.2 Mối đe dọa từ bên ngoài 12

1.2.3 Mối đe dọa không có cấu trúc 12

1.2.4 Mối đe dọa có cấu trúc 13

1.3 Các lỗ hổng 13

1.3.1 Lỗ hổng bảo mật 13

1.3.2 Phân loại lỗ hổng bảo mật 13

1.3.2.1 Loại C – Ít nguy hiểm 14

1.3.2.2 Loại B – Nguy hiểm 15

1.3.2.3 Loại A – Rất nguy hiểm 16

1.4 Một số tấn công phổ biến 17

1.5 Các giải pháp phát hiện và phòng chống tấn công mạng 20

1.5.1 Các biện pháp phát hiện hệ thống bị tấn công 20

1.5.2 Giải pháp phát hiện và phòng chống xâm nhập 21

CHƯƠNG 2 TƯỜNG LỬA CISCO ASA 24

2.1 Giới thiệu 24

2.2 Các chức năng cơ bản của tường lửa Cisco ASA 25

iii

2.2.1 Các chế độ làm việc của tương lửa Cisco ASA 25

2.2.2 Quản lý file 26

2.2.3 Mức độ bảo mật 26

2.3 Network Access Translation(NAT) 29

2.3.1 Khái niệm 29

2.3.2 Một số kỹ thuật NAT 29

2.3.3 NAT trên Cisco ASA 31

2.4 Access Control List(ACL) 32

2.5 VPN 35

2.5.1 Giới thiệu về VPN 35

2.5.2 Site – to – site VPN 36

2.5.3 Remote access VPN 36

2.5.4 AnyConnect VPN 37

2.6 Một số loại Cisco ASA 38

2.6.1 Cisco ASA 5510 38

2.6.2 Cisco ASA 5520 39

2.6.3 Cisco ASA 5540 40

2.6.4 Đặc điểm phần cứng của thiết bị bảo mật Cisco ASA 5510, 5520, 5540 40

2.6.5 Cisco ASA Security Services Module 42

CHƯƠNG 3 HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS 44

3.1 Lịch sử phát triển IDS/IPS 44

3.2 Vai trò, chức năng IDS/IPS 45

3.3 Đặc điểm, kiến trúc hệ thống của IDS/IPS 46

iv

3.3.1 Cơ sở hạ tầng của hệ thống IDS/IPS 46

3.3.2 Kiến trúc hệ thống phát hiện xâm nhập 47

3.3.2.1 Cấu trúc 47

3.3.2.2 Kiến trúc của hệ thống IDS/IPS 48

3.4 Phân loại IDS/IPS 51

3.4.1 Host-based IDS/IPS 52

3.4.2 Network based IDS/IPS 54

3.4.3 Triển khai hệ thống IDS/IPS 55

3.4.4 Khả năng phát hiện và phòng chống của IDS/IPS 58

3.5 Hệ thống giám sát lưu lượng mang 59

3.6 Hệ thống báo động 60

3.7 SNMP và hệ thống giám sát mạng 61

CHƯƠNG 4 DEMO 63

KẾT LUẬN 67

TÀI LIỆU THAM KHẢO 68

v

LỜI NÓI ĐẦU

Xã hội phát triển kéo theo sự tiến bộ của khoa học kĩ thuật Những chiếc máy tính thông minh dần chiếm vai trò rất quan trọng trong cuộc sống ngày nay Bất kỳ lĩnh vực nào cũng cần đến máy tính, một thiết bị xử lý và hơn thế nữa là không thể thiếu Cùng với sự ra đời và phát triển của máy tính và mạng máy tính

là vấn đề bảo mật thông tin, ngăn chặn sự xâm nhập và đánh cắp thông tin qua mạng, thông tin cá nhân trực tiếp và gián tiếp Phát hiện và ngăn chặn sự tấn công của các Hacker nhằm đánh cắp dữ liệu và phá hoại tư liệu quan trọng là rất cần thiết

Thông qua đề án: “Nghiên cứu và triển khai giải pháp bảo mật hệ thống mạng với firewall ASA và hệ thống IDS” Chúng tôi giới thiệu tổng quan về xu hướng quản trị và bảo mật mạng hiện nay, cùng với nội dung tổng quan về Firewall ASA, IDS/IPS bằng các bước cấu hình và triển khai mô hình mạng

vi

DANH MỤC VIẾT TẮT

TCP/IP Internet Protocol Suite

IPSec Internet Protocol Security

NAT Network Address Translation

IDS Intrusion Detection System

IPS Intrusion Prevention Systems

NIDS Network Intrusion Detection System HIDS Host Intrusion Detection System

ARP Address Resolution Protocol

PAT Port Address Translation

vii

DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU

Hình 2.1 Mô tả các mức bảo mật trong hệ thống mạng 28

Hình 2.2 Mô tả NAT tĩnh của một mạng Lan ra ngoài Internet 30

Hình 2.3 Bảng NAT động của một mạng LAN 31

Hình 2.4 Mô tả cơ chế PAT (NAT overload) 32

Hình 2.5 Sơ đồ ACL điều khiển truy cập mạng 33

Hình 2.6 Sơ đồ mạng mô tả kết nối site to site IPSec VPN 36

Hình 2.7 Sơ đồ mạng mô tả kết nối Remote Access VPN 37

Hình 2.8 Sơ đồ mạng mô tả kết nối AnyConnect VPN 37

Hình 2.9 Các dòng sản phẩm Cisco ASA 5500 38

Hình 2.10 Mặt trước dòng sản phẩm Cisco ASA 5510, 5520, 5540 41

Hình 2.11 Mặt sau dòng sản phầm Cisco ASA 5510, 5520, 5540 41

Hình 2.12 Các cổng kết nối của dòng sản phầm Cisco ASA 5510, 5520, 5540 42

Hình 2.13 Cisco ASA Security Services Module 43

Hình 3.1 Hoạt động của hệ thống IDS/IPS 46

Hình 3.2 Cơ sở hạ tầng hệ thống IDS/IPS 47

Hình 3.3 Hệ thống mẫu phát hiện xâm nhập 48

Hình 3.4 Thành phần của kiến trúc IDS 49

Hình 3.5 Các tác nhân tự trị cho việc phát hiện xâm nhập 51

Hình 3.6 Phân loại IDS/IPS 52

Hình 3.7 Mô hình vị trí của HIDS/IPS trong hệ thống mạng 54

Hình 3.8 Mô hình vị trí NIDS/IPS trong một hệ thống mạng 55

Hình 3.9 Mô hình triển khai theo kiểu thẳng hàng 56

Hình 3.10 Mô hình triển khai kiểu thụ động 57

Hình 3.11 Thiết bị dùng trong hệ thống báo động 61

Hình 4.1 Tạo 3 Card Loopback 63

Hình 4.2 Cấu hình cho Card Loopback 1 63

Hình 4.3 Cài Fiddler Web 64

viii

Hình 4.4 Cài Named Pipe TCP Proxy và trỏ đường dẫn tới Serial Port của

ASA 64

Hình 4.5 Chạy Tftpd, chọn địa chỉ của cổng Loopback, trỏ Current Directory vào ổ C: 65

Hình 4.6 Sử dụng SecureCRT để cấu hình cho Firewall ASA 65

Hình 4.7 Truy nhập vào https://1.1.1.1/ để tiến hành cài đặt ASDM 66

Hình 4.8 Giao diện ASDM sau khi được cài đặt 66

9

CHƯƠNG 1 TỔNG QUAN 1.1 Đánh giá tổng quan về bảo mật mạng máy tính

Bảo mật mạng máy tính hiện nay được đánh giá là một trong những vấn đề quan trọng bậc nhất của tất cả các quốc gia trong đó có Việt Nam, theo những thống kê chưa đầy đủ của Tổng cục thống kê thì tính đến tháng 03/2012 số thuê bao sử dụng Internet vào khoảng 4,2 triệu thuê bao tăng 17,5% và tổng số người

sử dụng Internet cũng tăng 15,3% tức vào khoảng 32,1 triệu người so với cùng thời điểm năm 2011 Số liệu trên cho thấy tình hình phát triển công nghệ thông tin tại Việt Nam trong những năm trở lại đây có tốc độ rất lớn và dự kiến sẽ có chiều hướng tăng do sự phát triển của thiết bị thông minh và các thiết bị khác Một số doanh nghiệp Việt Nam chưa có kế hoạch hoặc có kế hoạch đầu tư nhỏ vào việc bảo mật cho hệ thống mạng trong khi các doanh nghiệp bắt đầu phát triển các ứng dụng công nghệ mạng để quảng cáo hoặc cung cấp thông tin của doanh nghiệp mình trong thế giới số

Theo báo cáo về an toàn thông tin được công bố trong ngày “An toàn thông tin năm 2011” về vấn đền an toàn thông tin trong các tổ chức doanh nghiệp Việt Nam năm 2011, có đến:

- 52% số tổ chức vẫn không hoặc chưa có quy trình thao tác chuẩn để ứng phó với những cuộc tấn công máy tính

- Tỷ lệ sử dụng những công nghệ chuyên sâu hoặc hẹp hơn như mã hoá, hệ thống phát hiện xâm nhập, chứng chỉ số, chữ ký số…chỉ chiếm 20%

- Đặc biệt tỷ lệ sử dụng những giải pháp cấp cao trong bảo mật an ninh mạng như quản lý định danh, hệ thống quản lý chống thất thoát dữ liệu, sinh trắc học chỉ chiếm 5% trong tất cả các giải pháp chống tấn công của tội phạm công nghệ cao.[1]

Nhận định về an toàn thông tin trong những năm qua, các chuyên gia bảo mật hàng đầu tại Việt Nam đều có chung một nhận định có nhiều biến động lớn

và mức độ tấn công là ngày càng rất nguy hiểm và gây nhiều thiệt hại cho các

10

doanh nghiệp trong nước[2] Để giải quyết vấn đề này các công ty bảo mật hàng đầu trên thế giới và của Việt Nam vẫn tiếp tục nghiên cứu phát triển những gói giải pháp bảo mật bao gồm thiết bị phần cứng và các chương trình phần mềm phục

vụ cho việc an toàn thông tin và bảo mật hệ thống mạng, các nhà cung cấp dịch

vụ giải pháp bảo mật như Juniper (với các sản phẩm phần cứng tường lửa như NetScreen), Cisco với các thiết bị tường lửa như ASA, PIX hoặc như các thiết bị tường lửa tiên tiến hơn như Checkpoint, IPS của nhà cung cấp IBM là những thiết

bị phần cứng liên quan đến bảo mật hệ thống mạng và an toàn thông tin liên tục được đưa ra trên thị trường, bên cạnh những thiết bị phần cứng còn phải kể đến những ứng dụng phần mềm được các nhà cung cấp giải pháp an toàn thông tin đưa

ra nhằm phục vụ cho việc bảo mật hệ thống thông tin Có thể kể đến một vài tên tuổi nổi tiếng như: Symantec (với giải pháp phần mềm Anti Virut, Spam, Malware), Microsoft, Kaspersky, TrenPC, McAfee, SolarWin với những gói phần mềm khá hoàn hảo (theo đánh giá của các nhà cung cấp) trong việc bảo mật và an toàn thông tin

Những sản phẩm thương mại của các nhà cung cấp giải pháp an toàn thông tin được tung ra trên thị trường trong những năm gần đây được đánh giá cao về mức độ bảo mật và hiệu năng hoạt động của nó, tuy nhiên vấn đề đầu tư các giải pháp bảo mật an toàn thông tin cho doanh nghiệp mang tính đầy đủ đem đến cho các doanh nghiệp vừa và nhỏ một chi phí đầu tư đáng kể so với hoạt động kinh doanh của doanh nghiệp

Theo các nghiên cứu hiện nay có tại Việt Nam cũng như trên thế giới về xây dựng một hệ thống IDS phát hiện và phòng chống xâm nhập mạng trái phép dựa trên mã nguồn mở cũng phát triển mạnh, tuy nhiên tại Việt Nam các nghiên cứu này có mức độ triển khai vào thực tế là chưa cao và còn là những bài toán lớn cho giải pháp bảo mật thông tin dựa trên phần mềm mã nguồn mở

1.2 Các mối đe dọa

Như đã nêu trên, việc bảo mật đối với các doanh nghiệp là một vấn đề lớn hiện nay, việc một tội phạm tin học xâm nhập đã tạo ra rất nhiều cách khác nhau

để có thể thành công trong việc làm hư hỏng hoàn toàn một hệ thống mạng hoặc

11

một dịch vụ ứng dụng Web của một doanh nghiệp Có nhiều phương pháp đã được triển khai nhằm giảm thiểu khả năng tấn công như phát triển hạ tầng mạng và truyền thông trên internet, dùng tường lửa, mã hóa, mạng riêng ảo… Sự phát hiện xâm nhập cũng là một kỹ thuật gần giống với việc sử dụng tường lửa hay đại loại như thế Mục đích của một hệ thống phát hiện xâm nhập là thông báo cho nhà quản trị khi có một hành vi xâm nhập hoặc một sự tấn công được phát hiện Có thể có nhiều cách khác nhau để tấn công và hệ thống phát hiện xâm nhập cũng có nhiều cách để phát hiện Để làm rõ vấn đề phát hiện xâm nhập trước tiên cần hiểu

rõ một số các mối đe dọa trong bảo mật một hệ thống mạng hoạt động ra sao Thông thường có 4 mối đe dọa cho việc bảo mật hệ thống được mô tả như sau:

1.2.1 Mối đe dọa bên trong

Thuật ngữ mối đe dọa bên trong được sử dụng để mô ta một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có quyền truy cập vào hệ thống mạng Các cách tấn công từ bên trong được thực hiện từ một khu vực được coi là vùng tin cậy trong hệ thống mạng Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên hoặc những tổ chức có quyền hạn trong hệ thống mạng sẽ truy cập vào mạng và dữ liệu bí mật của doanh nghiệp Phần lớn các doanh nghiệp hiện nay đều có tường lửa ở các đường biên mạng và họ tin tưởng hoàn toàn vào các ACL (Access Control List) và quyền truy cập vào server để qui định cho sự bảo mật bên trong Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên, tổ chức bất bình, muốn “quay mặt” lại với doanh nghiệp Nhiều phương pháp bảo mật liên quan đến vành đai của hệ thống mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là truy cập Internet Khi vành đai của hệ thống mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của hệ thống mạng, mọi chuyện còn lại thường là rất đơn giản Các mạng không dây giới thiệu một lĩnh vực mới về quản trị bảo mật Không giống như mạng có dây, các mạng không dây tạo ra một khu vực bao phủ có thể bị can thiệp và sử dụng bởi bất kì ai có phần mềm đúng và một adapter của mạng không

12

dây Không chỉ tất cả các dữ liệu mạng có thể bị xem và ghi lại mà các sự tấn công vào mạng có thể được thực hiện từ bên trong, nơi mà cơ sở hạ tầng dễ bị nguy hiểm hơn nhiều Vì vậy, các phương pháp mã hóa mạnh luôn được sử dụng trong mạng không dây

1.2.2 Mối đe dọa từ bên ngoài

Mối đe dọa ở bên ngoài là từ các tổ chức, chính phủ, hoặc cá nhân cố gắng truy cập từ bên ngoài mạng của doanh nghiệp và bao gồm tất cả những người không có quyền truy cập vào mạng bên trong Thông thường, các kẻ tấn công từ bên ngoài cố gắng từ các server quay số hoặc các kết nối Internet Mối đe dọa ở bên ngoài là những gì mà các doanh nghiệp thường phải bỏ nhiều hầu hết thời gian

và tiền bạc để ngăn ngừa

1.2.3 Mối đe dọa không có cấu trúc

Mối đe dọa không có cấu trúc là mối đe dọa phổ biến nhất đối với hệ thống của một doanh nghiệp Các hacker mới vào nghề, thường được gọi là script kiddies, sử dụng các phần mềm để thu thập thông tin, truy cập hoặc thực hiện một kiểu tấn công DoS vào một hệ thống của một doanh nghiệp Script kiddies tin tưởng vào các phần mềm và kinh nghiệm của các hacker đi trước Khi script kiddies không có nhiều kiến thức và kinh nghiệm, họ có thể tiến hành phá hoại lên các doanh nghiệp không được chuẩn bị Trong khi đây chỉ là trò chơi đối với các kiddie, các doanh nghiệp thường mất hàng triệu đô la cũng như là sự tin tưởng của cộng đồng Nếu một web server của một doanh nghiệp bị tấn công, cộng đồng cho rằng hacker đã phá vỡ được sự bảo mật của doanh nghiệp đó, trong khi thật ra các hacker chỉ tấn công được một chỗ yếu của server Các server Web, FTP, SMTP

và một vài server khác chứa các dịch vụ có rất nhiều lổ hổng để có thể bị tấn công, trong khi các server quan trọng được đặt sau rất nhiều lớp bảo mật Cộng đồng thường không hiểu rằng phá vỡ một trang web của một doanh nghiệp thì dễ hơn rất nhiều so với việc phá vỡ cơ sở dữ liệu thẻ tín dụng của doanh nghiệp đó Cộng đồng phải tin tưởng rằng một doanh nghiệp rất giỏi trong việc bảo mật các thông tin riêng tư của nó

13

1.2.4 Mối đe dọa có cấu trúc

Mối đe dọa có cấu trúc là khó ngăn ngừa và phòng chống nhất vì nó xuất phát từ các tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực hiện tấn công Các hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra mối đe dọa này Các hacker này biết các gói tin được tạo thành như thế nào và có thể phát triển mã để khai thác các lỗ hổng trong cấu trúc của giao thức Họ cũng biết được các biện pháp được sử dụng để ngăn ngừa truy cập trái phép, cũng như các hệ thống IDS và cách chúng phát hiện ra các hành vi xâm nhập Họ biết các phương pháp để tránh những cách bảo vệ này Trong một vài trường hợp, một cách tấn công có cấu trúc được thực hiện với sự trợ giúp từ một vài người ở bên trong Đây gọi là mối đe dọa có cấu trúc ở bên trong Cấu trúc hoặc không cấu trúc có thể là mối đe dọa bên ngoài cũng như bên trong

1.3 Các lỗ hổng

1.3.1 Lỗ hổng bảo mật

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo nên sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép truy cập bất hợp pháp vào hệ thống Các lỗ hổng bảo mật có thể nằm ngay các dịch vụ cung cấp như Web, Email, FTP, … Ngoài ra các chương trình ứng dụng hay dùng cũng chứa các lỗ hổng bảo mật như Word, các hệ cơ sở dữ liệu như SQL…

1.3.2 Phân loại lỗ hổng bảo mật

Thực hiện phân loại và hiểu được những phương thức bảo mật thực sự quan trọng trong việc xây dựng một hệ thống lọc và phân loại gói tin của tường lửa với mục đích phát hiện được những lỗ hổng trong việc bảo mật Hiện nay việc phân loại lỗ hổng bảo mật cơ bản được phân thành 03 loại

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng cũng có thể nằm ngay các dịch

vụ cung cấp như sendmail, Web, Ftp … Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows 95, UNIX; hoặc trong

14

các ứng dụng mà người sử dụng thương xuyên sử dụng như Word processing, Các

hệ databases…[4]

1.3.2.1 Loại C – Ít nguy hiểm

Các lỗ hổng bảo mật thuộc loại này thường cho phép thực hiện việc tấn công DoS DoS là một hình thức tấn công sử dụng các giao thức tầng ứng dụng trong

bộ giao thức TCP/IP để làm hệ thống ngưng trệ, tràn đệm dẫn đến tình trạng từ chối tất cả các yêu cầu của người sử dụng hợp pháp truy cập hay sử dụng hệ thống Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới Các dịch vụ có chứa đựng lỗ hổng cho phép thực hiện các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ hổng loại này vì bản thân việc thiết kế giao thức

ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP đã chứa đựng những nguy

cơ tiềm tàng của các lỗ hổng này Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch

vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và người tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống

Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ yếu của hình thức tấn công này là sử dụng dịch vụ Web Với một hình thức tấn công đơn giản như cùng một lúc gửi nhiều yêu cầu truy cập, điều này có thể làm treo hệ thống Đây cùng là một hình thức tấn công kiểu DoS Người quản trị hệ thống Website trong trường hợp này chỉ có thể khởi động lại hệ thống.[4]

Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các hành động spam mail Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu

và chuyển tiếp; một số hệ thống mail không có các xác thực khi người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch vụ mail của hệ

15

thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm những địa chỉ không có thực dẫn đến tình trạng ngưng trệ dịch vụ Số lượng các messages có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet

1.3.2.2 Loại B – Nguy hiểm

Các lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định

Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình có mã nguồn viết bằng ngôn ngữ lập trình C Những chương trình viết bằng ngôn ngữ lập trình C thường sử dụng một vùng đệm – là một vùng trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý Những người lập trình thường sử dụng vùng đệm trong

bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu Ví dụ, người sử dụng viết chương trình nhập trường tên người sử dụng; qui định trường này dài 20 ký tự Do đó họ sẽ khai báo: char first_name [20];

Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào

35 ký tự; sẽ xảy ra hiện tượng tràn vùng đệm và kết quả 15 ký tự dư thừa sẽ nằm

ở một vị trí không kiểm soát được trong bộ nhớ Đối với những người tấn công,

có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt, để thực thi một số lệnh đặc biệt trên hệ thống Thông thường, lỗ hổng này thường được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B.[4]

16

1.3.2.3 Loại A – Rất nguy hiểm

Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính toàn vẹn và bảo mật của hệ thống Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng

Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server là Apache, Đối với Web Server này thường cấu hình thư mục mặc định để chạy các đoạn scripts là cgi-bin; trong đó tồn tại một đoạn scripts được viết sẵn để thử hoạt động của apache là test-cgi Đối với các phiên bản cũ của Apache (trước version 1.1),

có dòng sau trong file test-cgi: echo QUERY_STRING = $QUERY_STRING

Biến môi trường QUERY_STRING do không được đặt trong có

dấu ” (quote) nên khi phía client thưc hiện một yêu cầu trong đó chuỗi ký

tự gửi đến gồm một số ký tự đặc biệt; ví dụ ký tự “*”, web server sẽ trả về nội dung của toàn bộ thư mục hiện thời (là các thư mục chứa các scipts cgi) Người sử dụng có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ thống server Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên hệ điều hành Novell; Các web server này có một scripts là convert.bas, chạy scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có

trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này

Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger…[2]

Các loại bảo mật nêu trên có thể phân loại chung thành 03 mức độ cơ bản của điểm yếu bảo mật như sau:

17

- Điểm yếu về kỹ thuật: bao gồm những kỹ thuật gồm có điểm yếu trong các giao thức, hệ điều hành và các thiết bị phần cứng như Server, Router, Switch

- Điểm yếu về cấu hình hệ thống: bao gồm lỗi do nhà quản trị tạo ra, lỗi này do các thiếu sót trong việc cấu hình hệ thống như: không đảm bảo thông tin mật tài khoản khách hàng, hệ thống tài khoản với mật khẩu dễ dàng đoán biết,

sử dụng các cấu hình mặc định trên thiết bị

- Điểm yếu trong chính sách bảo mật: chính sách bảo mật mô tả việc làm thế nào và ở đâu chính sách bảo mật được thực hiện Đây là điều kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất

- Tấn công bị động (passive attack): Kẻ tấn công cố gắng thu thập thông tin từ hoạt động của hệ thống và hoạt động của mạng làm phá vỡ tính bí mật của dữ liệu

Dựa vào nguồn gốc của cuộc tấn công thì có thể phân loại tấn công thành 2 loại hình tấn công bao gồm: tấn công từ bên trong và tấn công từ bên ngoài, tấn công trực tiếp

- Tấn công bên trong bao gồm những hành vi mang tính chất xâm nhập

hệ thống nhằm mục đích phá hoại Kẻ tấn công bên trong thường là những người nằm trong một hệ thống mạng nội bộ, lấy thông tin nhiều hơn quyền cho phép

- Tấn công bên ngoài là những tấn công xuất phát từ bên ngoài hệ thống như Internet hay các kết nối truy cập từ xa Tấn công bên ngoài có thể là những dạng tất công trực tiếp, các dạng tấn công này thông thường là sử dụng trong giai

18

đoạn đầu để chiếm quyền truy cập Phổ biến nhất vẫn là cách dò tìm tên người sử dụng và mật khẩu Tội phạm mạng có thể sử dụng những thông tin liên quan đến chủ tài khoản như ngày tháng năm sinh, tên vợ (chồng) hoặc con cái hoặc số điện thoại để dò tìm thông tin tài khoản và mật khẩu với mục đích chiếm quyền điều khiển của một tài khoản, thông thường đối với những tài khoản có mật khẩu đơn giản thì tội phạm mạng chỉ dò tìm mật khẩu qua thông tin chủ tài khoản, một cách tiếp cận việc chiếm quyền truy nhập bằng cách tìm tài khoản và mật khẩu tài khoảng khác là dùng chương trình để dò tìm mật khẩu Phương pháp này trong một số khả năng hữu dụng thì có thể thành công đến 30% Một kiểu tấn công bên ngoài khác được đề cập đến nữa chính là hình thức nghe trộm, việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập hệ thống, thông qua các chương trình cho phép đưa card giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền trên mạng Những thông tin này cũng có thể dễ dàng lấy được trên Internet

- Một số các lỗi khác liên quan đến con người, hệ thống cũng là những kiểu tấn công trực tiếp từ bên ngoài nhưng có mức độ phức tạp và khó khăn hơn, nguy hiểm nhất là yếu tố con người bởi nó là một trong nhiều điểm yếu nhất trong bất kỳ hệ thống bảo mật nào[3] (trích website quantrimang.com)

- Khi một mạng máy tính bị tấn công, nó sẽ bị chiếm một lượng lớn tài nguyên trên máy chủ, mức độ chiếm lượng tài nguyên này tùy thuộc vào khả năng huy động tấn công của tội phạm mạng, đến một giới hạn nhất định khả năng cung cấp tài nguyên của máy chủ sẽ hết và như vậy việc từ chối các yêu cầu sử dụng dịch vụ của người dùng hợp pháp bị từ chối Việc phát động tấn công của tội phạm mạng còn tùy thuộc vào số lượng các máy tính ma mà tội phạm mạng đó đang kiểm soát, nếu khả năng kiểm soát lớn thì thời gian để tấn công và làm sập hoàn toàn một hệ thống mạng sẽ nhanh và cấp độ tấn công sẽ tăng nhanh hơn, tội phạm mạng có thể một lúc tấn công nhiều hệ thống mạng khác nhau tùy vào mức độ kiểm soát chi phối các máy tính ma như thế nào

hệ thống mạng đó

+ Khi đã có trong tay những điểm yếu của hệ thống mạng, tội phạm mạng

sẽ tiến hành xâm nhập hệ thống mạng bằng các công cụ như làm tràn bộ đệm hoặc tấn công từ chối dịch vụ

+ Ở một số cuộc tấn công, người xâm nhập sau khi đã xâm nhập thành công

và khai thác được hệ thống mạng rồi sẽ thực hiện việc duy trì xâm nhập với mục đích khai thác và xâm nhập trong tương lai gần Tội phạm mạng có thể sử dụng những thủ thuật như mở cửa sau (backdoor) hoặc cài đặt một trojan để nhằm mục đích duy trì sự xâm nhập của mình Việc duy trì và làm chủ một hệ thống mạng tạo cho tội phạm mạng có đủ những điều kiện để khai thác, phục vụ những nhu cầu về thông tin Ngoài ra, hệ thống mạng này khi bị chiếm quyền xâm nhập cũng

sẽ trở thành nạn nhân của một hệ thống botnet được sử dụng trong các cuộc tấn công khác mà cụ thể là tấn công từ chối dịch vụ đến một hệ thống mạng khác

+ Xóa dấu vết Khi một kẻ tấn công đã xâm nhập thành công sẽ cố gắng duy trì sự xâm nhập này Bước tiếp theo là chúng phải làm sao xóa hết dấu vết để không còn chứng cứ pháp lí xâm nhập Kẻ tấn công phải xóa các tập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập

Ở các giai đoạn thu thập thông tin và dò tìm lỗ hổng trong bảo mật, kẻ tấn công thường làm lưu lượng kết nối mạng thay đổi khác với lúc mạng bình thường rất nhiều, đồng thời tài nguyên của hệ thống máy chủ sẽ bị ảnh hưởng đáng kể Những dấu hiệu này rất có ích cho người quản trị mạng có thể phân tích và đánh giá tình hình hoạt động của hệ thống mạng Hầu hết các cuộc tấn công đều tiến

20

hành tuần tự như các bước đã nêu trên Làm sao để nhận biết hệ thống mạng đang

bị tấn công, xâm nhập ngay từ hai bước đầu tiên là hết sức quan trọng Ở giai đoạn xâm nhập, bước này không dễ dàng đối với kẻ tấn công Do vậy, khi không thể xâm nhập được vào hệ thống, để phá hoại có nhiều khả năng kẻ tấn công sẽ sử dụng tấn công từ chối dịch vụ để ngăn cản không cho người dùng hợp lệ truy xuất tài nguyên hệ thống

1.5 Các giải pháp phát hiện và phòng chống tấn công mạng

1.5.1 Các biện pháp phát hiện hệ thống bị tấn công

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối; bản thân mỗi dịch vụ đều có những lỗ hổng bảo mật tiềm tàng Đứng trên góc độ người quản trị

hệ thống, ngoài việc tìm hiểu phát hiện những lỗ hổng bảo mật còn luôn phải thực hiện các biện pháp kiểm tra hệ thống xem có dấu hiệu tấn công hay không Các biện pháp đó là:

- Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo hoặc bị crash bằng những thông báo lỗi không rõ ràng, khó xác định nguyên nhân

hệ thống bị treo do thiếu thông tin liên quan Trước tiên, xác định các nguyên nhân

về phần cứng hay không, nếu không phải phần cứng hãy nghĩ đến khả năng máy

- Kiểm tra thời gian thay đổi trên hệ thống, đặc biệt là các chương trình login, sh hoặc các scripts khởi động trong /etc/init.d, /etc/rc.d …

21

- Kiểm tra hiệu năng của hệ thống Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống như ps hoặc top …

- Kiểm tra hoạt động của các dịch vụ mà hệ thống cung cấp Chúng ta

đã biết rằng một trong các mục đích tấn công là làm cho tê liệt hệ thống (Hình thức tấn công DoS) Sử dụng các lệnh như ps, pstat, các tiện ích về mạng để phát hiện nguyên nhân trên hệ thống

- Kiểm tra truy nhập hệ thống bằng các account thông thường, đề phòng trường hợp các account này bị truy nhập trái phép và thay đổi quyền hạn

mà người sử dụng hợp pháp không kiểm sóat được

- Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ như /etc/inetd.conf; bỏ các dịch vụ không cần thiết; đối với những dịch vụ không cần thiết chạy dưới quyền root thì không chạy bằng các quyền yếu hơn

- Kiểm tra các phiên bản của sendmail, /bin/mail, ftp; tham gia các nhóm tin về bảo mật để có thông tin về lỗ hổng của dịch vụ sử dụng

Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với hệ thống

1.5.2 Giải pháp phát hiện và phòng chống xâm nhập

Phát hiện xâm nhập là một tập hợp các kỹ thuật và phương pháp dùng để dò tìm những hoạt động đáng nghi ngờ trên mạng Một hệ thống phát hiện xâm nhập được định nghĩa là một tập hợp các công cụ, phương thức, và tài nguyên giúp người quản trị xác định, đánh giá, và báo cáo hoạt động không được phép trên mạng

Phát hiện xâm nhập được xem là một tiến trình được quyết định khi một người không xác thực đang cố gắng để xâm nhập hệ thống mạng trái phép Hệ thống phát hiện xâm nhập sẽ kiểm tra tất cả các gói tin đi qua hệ thống và quyết định gói tin đó có vấn đề khả nghi hay không Hệ thống phát hiện xâm nhập đuợc trang bị hàng triệu tình huống để nhận dạng tấn công và đuợc cập nhật thường

Các nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm chung

là tính đa dạng và thay đổi Việc nghiên cứu và triển khai một hệ thống giám sát mạng, phát hiện và phòng chống xâm nhập với các yếu tố: chính xác, nhanh chóng, trực quan, linh động và tiện lợi là vấn đề cấp thiết trong thực tế

Phát triển hệ thống giám sát trực quan theo dõi các diễn biến trên mạng như lưu lượng ra vào một Server, Switch, … hay hoạt động của CPU, bộ nhớ, … giúp người quản trị mạng có những phân tích để đưa ra ứng phó kịp thời

23

Hệ thống phát hiện xâm nhập dựa vào những mẫu dấu hiệu tấn công triển khai để giúp phát hiện nhanh các cuộc tấn công mạng Hệ thống phát hiện này kết hợp với tường lửa sẽ chống lại các cuộc tấn công xâm nhập Tuy nhiên, các dấu hiệu của các kiểu tấn công ngày một tinh vi phức tạp thì hệ thống phát hiện phải được thường xuyên cập nhật những dấu hiệu mới Để có thể phát hiện nhanh chóng các bất thường trên mạng, người quản trị mạng còn có thể dựa vào những đồ thị trực quan về lưu lượng ra vào hệ thống để có những phản ứng kịp thời

Hệ thống báo động cũng cần triển khai để thông báo cho người quản trị trong một số trường hợp: Server ngưng hoạt động, một dịch vụ mạng ngưng hoạt động hay có tấn công mạng Hệ thống báo động có thể được triển khai qua nhiều hình thức để phát báo động như: bằng Web, E-mail hay qua tin nhắn SMS đến người quản trị mạng

Cisco ASA hoạt động theo cơ chế giám sát gói tin theo trạng thái (Stateful Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật (ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hay ứng dụng) Cho phép kết nối một chiều (outbuond-đi ra) với rất ít việc cấu hình Một kết nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiếtbị trên mạng có mức bảo mật thấp hơn

Trạng thái được ghi nhận sẽ dùng để giám sát và kiểm tra gói trở về Thay đổi ngẫu nhiên giá trị tuần tự (sequence number) trong gói TCP để giảm rủi ro của

sự tấn công

Cisco ASA hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy (trusted) hay mức bảo mật cao và cổng không tin cậy (untrusted) hay mức bảo mật thấp Quy tắc chính cho mức bảo mật đó là thiết bị từ vùng tin cậy

có thể truy cập được thiết bị truy cập vùng không tin cậy hay còn gọi là Outbound Ngược lại từ vùng bảo mật thấp không thể truy cập vùng bảo mật cao trừ khi được cho phép bởi ACL hay còn gọi là Inbound :

• Mức bảo mật (Security Level) 100 : đây là mức bảo mật cao nhất, thường được gán cho cổng thuộc mạng bên trong (inside)

• Mức bảo mật 0 : đây là mức bảo mật thấp nhất, thường được gán cho cổng kết nối ra Internet hay vùng không tin cậy còn gọi là vùng bên ngoài (outside)

• Mức bảo mật từ 1-99 : Cho phép sử dụng để gán cho những cổng còn lại nếu yêu cầu mở rộng vùng mạng

25

Do đó trong quá trình cấu hình thông tin cho cổng đảm bảo mỗi cổng được gán giá trị mức bảo mật dựa vào chính sách phân vùng bảo vệ thông qua câu lệnh Security-level

2.2 Các chức năng cơ bản của tường lửa Cisco ASA

2.2.1 Các chế độ làm việc của tương lửa Cisco ASA

Firewall Cisco ASA có 4 chế độ làm việc chính:

- Chế độ giám sát (Monitor Mode): Hiển thị dấu nhắc “monitor>” Đây là chế độ đặc biệt cho phép cập nhật các hình ảnh qua mạng hoặc khôi phục mật khẩu Ở chế độ giám sát, có thể nhập lệnh để xác định

vị trí của một máy chủ TFTP và vị trí của phần mềm hoặc file khôi phục mật khẩu để tải về Truy cập vào chế độ này bằng cách nhấn

"Break" hoặc "ESC"ngay lập tức sau khi bật nguồn thiết bị

- Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc“>” Chế độ này cung cấp tầm nhìn hạn chế của các thiết bị an ninh Để cấu hình, sử dụng lệnh Enable Các mật khẩu ban đầu là trống, do đó nhấn Enter một lần nữa để chuyển sang chế độ truy cập tiếp theo (Privileged Mode)

- Chế độ đặc quyền (Privileged Mode): Hiển thị dấu nhắc “#” Cho phép thay đổi các thiết lập hiện hành Bất kỳ lệnh trong chế độ không đặc quyền cũng làm việc trong chế độ này Từ chế độ này, có thể xem cấu hình hiện tại bằng cách sử dụng “show running config”.Tuy nhiên, không thể cấu hình ngay ở chế độ này mà phải vào chế độ cấu hình (Configuration Mode) Truy cập vào chế độ cấu hình bằng cách

sử dụng lệnh “configure terminal” từ chế độ đặc quyền

- Chế độ cấu hình (Configuration Mode): chế độ này hiển thị dấu nhắc“(config)#” Cho phép thay đổi tất cả thiết lập cấu hình hệ thống

Sử dụng “Exit” từ mỗi chế độ để trở về chế độ trước đó

đó Để lưu lại cấu hình đang chạy, sử dụng “copy run start” hoặc

“write memory” Hai lệnh này sẽ copy running-config vào config được lưu trữ trong bộ nhớ flash

startup Loại thứ hai “Startupstartup configuration” là cấu hình sao lưu của Running-configuration Nó được lưu trữ trong bộ nhớ Flash, vì vậy

nó không bị mất khi các thiết bị khởi động lại Ngoài ra, configuration được tải khi thiết bị khởi động Để xem startup-configuration được lưu trữ, gõ lệnh “show startup-config”

startup-2.2.3 Mức độ bảo mật

Security Level được gán cho Interface, có giá trị từ 0-100 chỉ định độ tin cậy của Interface liên quan đến một Interface khác trên thiết bị Mức độ bảo mật cao hơn thì Interface càng đáng tin cậy hơn nên các mạng kết nối phía sau nó được coi là tin cậy

Mỗi Interface Firewall đại diện cho một mạng cụ thể (hoặc khu vực an ninh), bằng cách sử dụng mức độ bảo mật có thể chỉ định mức độ tin tưởng của từng vùng mạng

Các quy tắc chính cho mức độ bảo mật là một Interface (hoặc zone) với một mức độ bảo mật cao hơn có thể truy cập vào một Interface với một mức độ bảo mật thấp hơn Mặt khác, một Interface với một mức độ bảo mật thấp hơn

27

không thể truy cập vào một Interface với một mức độ bảo mật cao hơn, mà không

có sự cho phép rõ ràng của một quy tắc bảo mật (AccessControl List - ACL)

28

Hình 2.1 Mô tả các mức bảo mật trong hệ thống mạng

Việc truy cập giữa Security Level tuân theo các quy định sau :

- Truy cập từ Security Level cao hơn tới Security Level thấp hơn:

 Cho phép tất cả lưu lượng truy cập có nguồn gốc từ Security Level cao hơn trừ khi quy định cụ thể bị hạn chế bởi một Access Control List (ACL)

- Truy cập từ Security Level thấp hơn Security Level cao hơn :

 Chặn tất cả lưu lượng truy cập trừ khi được cho phép bởi một ACL

 Nếu NATControl được kích hoạt trên thiết bị này, sau đó có phải là một NAT tĩnh giữa các interface có Security Level từ cao tới thấp

- Truy cập giữa các Interface có cùng một Security Level : theo mặc định là không được phép (trừ khi cấu hình lệnh “same-security-traffic permit”)

để giải quyết các vấn đề xảy ra với việc mở rộng của Internet

Một số trong những lợi thế của việc sử dụng NAT trong các mạng IP như sau:

- NAT giúp giảm thiểu về sự cạn kiệt địa chỉ IP công cộng

- NAT tăng cường an ninh bằng cách ẩn Networks Topology và Addressing

- NAT giống như một router, nó chuyển tiếp các gói tin giữa những lớp mạng khác nhau trên một mạng lớn

- NAT cũng có thể coi như một Firewall cơ bản

2.3.2 Một số kỹ thuật NAT

Kỹ thuật NAT tĩnh (STATIC NAT) :

- Với NAT tĩnh, địa chỉ IP thường được ánh xạ tĩnh với nhau thông qua các lệnh cấu hình

- Cơ chế NAT tĩnh cho phép một máy chủ bên trong hiện diện ra ngoài Internet, bởi vì máy chủ sẽ luôn dùng cùng một địa chỉ IP thực

30

Hình 2.2 Mô tả NAT tĩnh của một mạng Lan ra ngoài Internet

Kỹ thuật NAT động (Dynamic NAT) :

- Với NAT, khi số IP nguồn không bằng số IP đích Số host chia sẻ nói chung bị giới hạn bởi số IP đích có sẵn Khi đó kỹ thuật NAT động (Dynamic NAT) được sử dụng để giải quyết vấn đề trên với việc ánh

xạ một địa chỉ có thể tương ứng với nhiều địa chỉ

31

Hình 2.3 Bảng NAT động của một mạng LAN

Kỹ thuật NAT overloading ( hay PAT) :

- Dùng để ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ công cộng vì mỗi địa chỉ riêng được phân biệt bằng số port

- Có tới 65 356 địa chỉ nội bộ có thể chuyển đổi sang 1 địa chỉ công cộng

- Một số thiết bị cung cấp NAT, như broadband routers, thực tế cung cấp PAT Nhìn chung người ta sử dụng NAT để bao gồm những thiết

bị PAT

2.3.3 NAT trên Cisco ASA

Cisco ASA Firewall hỗ trợ hai loại chuyển đổi địa chỉ chính :

- Dynamic NAT translation:

 Chuyển đổi Source Address trên Interface bảo mật cao hơn vào một phạm vi (hay pool) của địa chỉ IP trên một Interface kém

an toàn hơn, cho kết nối ra ngoài

 Lệnh “nat” xác định máy chủ nội bộ sẽ được dịch, và lệnh global xác định các dải địa chỉ trên outgoing interface

 Cấu hình Dynamic NAT translation :

32

ciscoasa(config)# nat (internal_interface_name) “nat-id”

“internal network IPsubnet”

ciscoasa(config)# global (external_interface_name) “nat-id”

“external IP poolrange”

- Static NAT translation :

 Chuyển đổi theo cơ chế một-một giữa một IP trên một Interface

an toàn hơn và một IP trên một Interface kém an toàn

 Static NAT cho phép các host trên một Interface kém an toàn (ví dụ như Internet ) để truy cập máy chủ trên một Interface bảo mật cao hơn

 Cấu hình Static NAT translation:

(real_interface_name,mapped_interface_name)

“mapped_IP” “real_IP” netmask”subnet_mask”

Sử dụng PAT cũng cho nhiều kết nối từ các máy chủ khác nhau nội bộ có thể được ghép trên một địa chỉ IP public nhưng sử dụng số cổng nguồn khác nhau

Hình 2.4 Mô tả cơ chế PAT (NAT overload)

2.4 Access Control List(ACL)

Một trong những yếu tố quan trọng cần thiết để quản lý giao tiếp lưu lượng mạng là cơ chế điều khiển truy cập, còn được gọi là Access Control List

33

Hình 2.5 Sơ đồ ACL điều khiển truy cập mạng

Access Control List(danh sách điều khiển truy cập) là một danh sách các cho phép hoặc từ chối lưu lượng truy cập từ một nguồn đến một đích đến

Sau khi một ACL được cấu hình, nó được áp dụng cho một giao diện với một lệnh access-group Nếu không có ACL được áp dụng cho một Interface, lưu lượng truy cập ra bên ngoài (from inside to outside ) được phép theo mặc định, và lưu lượng truy cập trong nội bộ (from outside to inside) bị từ chối theo mặc định

ACL có thể được áp dụng (bằng cách sử dụng lệnh access-group) để theo 2 hướng "in" và"out" của traffic đối với các Interface Chiều "in" của ACL kiểm soát lưu lượng truy cập vào một interface, và theo hướng "out"của ACL kiểm soát traffic ra khỏi một interface

Cách thực hiện các ACL :

- Đối với Outbound Traffic (từ vùng có Security-level cao hơn đến thấp hơn), tham số địa chỉ nguồn một mục ACL là địa chỉ thực sự thực tế của máy chủ hoặc mạng

- Đối với Inbound Traffic (từ vùng có Security-level thấp hơn đến cao hơn), tham số địa chỉ đích ACL là địa chỉ IP chuyển dịch

- ACL là luôn luôn kiểm tra trước khi chuyển dịch địa chỉ được thực hiện trên thiết bị bảo mật

- ACL ngoài việc hạn chế lưu lượng thông qua tường lửa, nó có thể được sử dụng cũng như là một đường truyền lựa chọn cơ chế áp dụng

34

một vài hành động khác để lưu lượng truy cập được lựa chọn như

mã hóa, dịch thuật, lập chính sách, chất lượng dịch vụ…

Lệnh cấu hình default ACL :

ciscoasa(config)# access-list “access_list_name” [line line_number] [extended]{deny | permit} protocol “source_address” “mask” [operator source_port]“dest_address” “mask” [operator dest_port]

Lệnh cho phép truy cập của một nhóm sử dụng áp dụng cho ACL:

ciscoasa(config)# access-group “access_list_name” [in|out] interface

“interface_name ”

Các tham số trong lệnh:

- access_list_name : một tên mô tả của ACL cụ thể Cùng tên được sử dụng trong lệnh access-group

- lineline_number: mỗi mục ACL có số dòng riêng của mình

- extended: sử dụng khi xác định cả hai nguồn và địa chỉ đích trong ACL

- deny|permit : xác định truy cập cụ thể được phép hoặc bị từ chối

- protocol: chỉ định giao thức giao thông (IP, TCP, UDP,…)

- source_address mask: chỉ định địa chỉ IP nguồn và subnet mask Nếu

là một địa chỉ IP duy nhất, có thể sử dụng từ khoá "host" mà không cần subnet mask, có thể sử dụng từ khóa "any" để chỉ định bất kỳ địa chỉ

- [operator source_port] : chỉ định số cổng nguồn

- dest_address mask : đây là địa chỉ IP đích và subnet mask Có thể sử dụng những từ khóa “host” hoặc “any”

- [operator dest_port]: Chỉ định số cổng đích mà các nguồn lưu lượng yêu cầu truy cập vào