Xây dựng mô phỏng chứng thực người dùng bằng giao thức chứng thực tacacs+ và cơ chế failover trên tường lửa pix của cisco

Bởi vậy, mạng có thể được sử dụng và bị tấn công bởi một máy tính bất kì trên thế giới.Tường lửa là thiết bị phần cứng hoặc phần mềm hoạt động trên môi trường mạng máy tính dùng để ngăn

LỜI CẢM ƠN

Trong thời gian tìm hiểu và xây dựng đồ án em đã nhận được sự góp ý, giúp đỡ của rất nhiều người Trước tiên em xin tỏ lòng biết ơn sâu sắc đến

thầy Vũ Huy Lượng bộ môn Mạng và Truyền Thông- Khoa Công Nghệ

Thông Tin - Đại Học Công Nghệ Thông Tin và Truyền Thông Thầy là người trực tiếp hướng dẫn em thực hiện đồ án này, cũng là người tận tình chỉ bảo, động viên em khi làm đồ án tốt nghiệp.

Em xin gửi lời cảm ơn sâu sắc tới các thầy cô giáo trong Khoa Công nghệ thông tin – Trường Đại học Công nghệ thông tin và Truyền thông đã

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Chuyên ngành Mạng và Truyền Thông

Đề tài:

Xây dựng mô phỏng chứng thực người dùng bằng giao thức chứng thực Tacacs+ và cơ chế Failover trên

tường lửa Pix của Cisco

Sinh viên thực hiện: ĐINH MẠNH CƯỜNG

Lớp K6D, hệ chính qui Giáo viên hướng dẫn: ThS VŨ HUY LƯỢNG

Thái nguyên, tháng 6 năm 2012

giúp đỡ và dạy dỗ em trong suốt thời gian 5 năm em học tại trường và làm

Sinh viên

Đinh Mạnh Cường

LỜI CAM ĐOAN

Em xin cam đoan về nội dung đồ án tốt nghiệp với tên đồ án " Xây

dựng mô phỏng chứng thực người dùng bằng giao thức chứng thực Tacacs và

cơ chế Failover trên tường lửa Pix của Cisco" là không sao chép nội dung cơ bản từ các đồ án khác, hay các sản phẩm tương tự không phải do em làm ra Sản phẩm của đồ án là chính bản thân em nghiên cứu và tìm tòi xây dựng.

Nếu có gì sai em xin chịu mọi hình thức kỉ luật của Khoa Công nghệ thông tin – Trường Đại học Công nghệ thông tin và Truyền thông.

Thái Nguyên, Tháng 6 Năm 2012

Sinh Viên

Đinh Mạnh Cường

Mục Lục

LỜI NÓI ĐẦU 7

CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL VÀ PIX FIREWALL 8

1.1 Tổng quan về Firewall 8

1.1.1 Khái niệm 8

1.1.2.Chức năng của Firewall 8

1.1.4.Công nghệ Firewall 10

1.1.5 Ưu và hạn chế của Firewall 12

1.2 Tổng quan về Pix Firewall 14

1.2.1 Giới thiệu về Pix Firewall 14

1.2.2 Cấp độ bảo mật và chính sách bảo mật mặc định của Pix Firewall 18

1.2.3 Các kiểu truy cập của Pix Firewall 22

1.2.4 Các lệnh duy trì thông thường của PIX Firewall 23

1.2.5 Các lệnh cấu hình cơ bản PIX Firewall 27

CHƯƠNG 2: CƠ CHẾ FAILOVER VÀ DỊCH VỤ AAA TRÊN PIX FIREWALL.32 3.1 Cơ chế Failover trên Pix Firewall 32

3.1.1 Giới thiệu về Failover 32

3.1.2 Các loại Failover 35

3.1.3.Cấu hình Failover Active/Standby 42

3.2 Dịch vụ AAA trên Pix Firewall 46

3.2.1 Giới thiệu về dịch vụ AAA 46

3.2.2 Dịch vụ AAA trên Cisco Pix firewall 52

CHƯƠNG 3: XÂY DỰNG MÔ PHỎNG THỬ NGHIỆM TRÊN GNS3 62

3.1 Văn bản kiểm thử 62

3.2 Công cụ mô phỏng 63

3.3 Các bước mô phỏng 63

3.3.1 Cài đặt GNS3, IOS PIX 803 và IOS Router 7200 63

3.3.2 Cấu hình cho pix firewall và router 64

3.3.3.Cấu hình thông tin xác thực trên AAA server sử dụng phần mềm Cisco secure ACS 70

3.4 Kết quả đạt được 79

KẾT LUẬN 80

TÀI LIỆU THAM KHẢO: 81

Danh Mục Hình Ảnh Hình 1.1: Công nghệ Packet Filtering 11

Hình 1.2: Sử dụng PROXY Server 12

Hình 1.3: Công nghệ Stateful Packet Filter 12

Hình 1.4: Thế hệ PIX Firewall 15

Hình 1.5: PIX Firewall 506 16

Hình 1.6: PIX Firewall 515 16

Hình 1.7: PIX Firewall 520 17

Hình 1.8: PIX Firewall 525 17

Hình 1.9: PIX Firewall 535 18

Hình 2.1: Active/Standby Failover 36

Hình 2.2: Failover và Addressing 36

Hình 2.3: Active/Active Failover 37

Hình 2.4: Cáp cho PIX 40

Hình 2.5: Mô hình AAA chung 46

Hình 2.6: Các giao thức cho dịch vụ AAA 49

Hình 2.7: Định dạng gói tin 51

Hình 2.8: Hoạt động của Cut-through proxy 54

Hình 2.9: Mô tả tiến trình sử dụng Virtual http 59

Hình 3.1 Mô hình mô phỏng 62

Hình 3.2: Cài đặt IOS Router 7200 63

Hình 3.3: Cài đặt Pix firewall trong GNS3 64

Hình 3.4: Failover đã được thiết lập trên pix primary 65

Hình 3.5: Failover đã được thiết lập trên Pix second 66

Hình 3.6: Pix Second tự động active khi Pix Primary bị down 67

Hình 3.7: Kiểm tra kết nối từ Pix đến các thiết bị khác 68

Hình 3.8: Kết quả ping từ mạng bên trong ra mạng bên ngoài 69

Hình 3.9: Thêm user 70

Hình 3.10: User Setup 70

Hình 3.11: Cấu hình TACACS+ Settings trong User setup 71

Hình 3.12: Thêm mới Network Device Group 71

Hình 3.13: Thêm AAA Client là PIX Firewall 71

Hình 3.14: Chỉnh AAA Server có địa chỉ là 10.0.64.2 72

Hình 3.15: Kiểm tra xác thực truy cập PIX với server chứng thực là AAA Server .72

Hình 3.16: Kiểm tra quá trình chứng thực bằng Wireshack 73

Hình 3.17: Access denied khi chưa cấp quyền TACACS+ nâng cao cho user 73

Hình 3.18: Tuỳ chọn TACACS + (Cisco IOS) 74

Hình 3.19: Kích hoạt tính năng TACACS+ nâng cao 74

Hình 3.20: Cấu hình cấp độ Privilege và mật khẩu truy cập 75

Hình 3.21: Kết quả chứng thực sau khi cấu hình TACACS+ nâng cao 75

Hình 3.22: Kết quả chứng thực traffic đi qua PIX 76

Hình 3.23: Từ AAA server, telnet vào router R1 không thành công 77

Hình 3.24: Từ AAA server ping R1 cũng không thành công 77

Hình 3.25: Sửa quyền group cho user 77

Hình 3.26: Cấp quyền cho user có quyền telnet 78

Hình 3.27: Cấp quyền cho group có quyền ping 78

Hình 3.28: Kết quả ping thành công 79

LỜI NÓI ĐẦU

Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các công nghệ mạng, kèm theo đó là vấn đề bảo vệ các tài nguyên thông tin trên mạng, tránh sự mất mát, xâm phạm là việc cần thiết và cấp bách Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho các thành phần mạng bao gồm dữ liệu, thiết bị,

cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên trên mạng tránh được việc đánh cắp thông tin, đồng thời tăng tính bảo mật thông tin cho mạng được cao hơn

An ninh mạng là vấn đề cần thiết bởi Internet là một mạng kết nối các mạng có mối liện hệ với nhau nhưng không có ranh giới Bởi vậy, mạng có thể được sử dụng và bị tấn công bởi một máy tính bất kì trên thế giới.Tường lửa là thiết bị phần cứng hoặc phần mềm hoạt động trên môi trường mạng máy tính dùng

để ngăn chặn người dùng mạng Internet truy cập những thông tin không mong

muốn hoặc chặn các kết nối bị cấm từ ngoài mạng theo chính sách của cá nhân/tổchức.

Vì vậy, em đã lựa chọn đề tài “Xây dựng mô phỏng chứng thực người

dùng bằng giao thức chứng thực Tacacs+ và cơ chế Failover trên tường lửa

Pix của Cisco”

Mục tiêu khi hoàn thành đồ án là có thể hiểu được PIX Firewall là gì, nhậnbiết được các đặc tính của PIX Firewall, các kiểu, các thành phần và lợi ích của

nó Trên cơ sở đó có thể mô phỏng cài đặt cơ chế Failover và chứng thực ngườidùng trên Pixfirewall

Trong quá trình làm đồ án chắc chắn không tránh khỏi thiếu sót Mong cácthầy cô và các bạn đóng góp ý kiến để đồ án được hoàn thiện hơn

Em xin chân thành cảm ơn!

Thái Nguyên, tháng 03 năm 2012

SV: ĐINH MẠNH CƯỜNG

CHƯƠNG 1 TỔNG QUAN VỀ FIREWALL VÀ PIX FIREWALL

1.1 Tổng quan về Firewall

Để bảo vệ mạng nội bộ, firewall là một trong những giải pháp bảo vệ mạnghữu hiệu và phổ biến hiện nay Nó giúp cho các mạng nội bộ tránh khỏi nhữngtruy nhập trái phép từ bên ngoài bằng cách điều khiển thông tin ra vào giữa cácmạng nội bộ

1.1.1 Khái niệm

Firewall là thiết bị điều khiển truy cập của hệ thống mạng, hỗ trợ việc bảo vệmạng bên trong của tổ chức tránh được những cuộc tấn công từ bên ngoài Vị trínằm trên biên giới giữa mạng ngoài và mạng trong là một thiết bị bảo mật mạngcần thiết Hệ thống firewall thường bao gồm cả phần cứng và phần mềm, thườngđược dùng theo phương thức ngăn chặn hay tạo các luật đối với các địa chỉ khácnhau

1.1.2.Chức năng của Firewall

Chức năng chính của firewall là kiểm soát luồng thông tin giữa mạng trong

và ngoài thông qua các chính sách truy nhập đã được thiết lập

Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và ngược lại

Kiểm soát địa chỉ truy nhập và dịch vụ sử dụng

Kiểm soát khả năng truy cập người sử dụng giữa hai mạng

Kiểm soát nội dung thông tin truyền tải giữa hai mạng

Ngăn ngừa khả năng tấn công từ các mạng ngoài

Xây dựng firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ vàkiểm soát hầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các biệnpháp bảo vệ mạng Thông thường, một hệ thống firewall là một cổng (gateway)giữa mạng nội bộ giao tiếp với mạng bên ngoài và ngược lại

1.1.3.Phân loại Firewall

Firewall có nhiều loại tuy nhiên mỗi loại có ưu và nhược điểm riêng Nhưngthông thường firewall được chia làm 2 loại chính là: firewall cứng và firewallmềm

a Firewall cứng

Là một thiết bị phần cứng được tích hợp bộ định tuyến, các quy tắc cho việclọc gói tin được thiết lập ngay trên bộ định tuyến đó Tuỳ vào từng loại firewallcứng của các hãng khác nhau mà cho phép người quản trị có khả năng cập nhậtnhững quy tắc lọc gói tin khác nhau

Khi hoạt động, firewall sẽ dựa trên các quy tắc được thiết lập trong bộ địnhtuyến mà kiểm tra thông tin header của gói tin như địa chỉ nguồn (source IPaddress), địa chỉ đích (destination IP address), cổng (Port) Nếu mọi thông tintrong header của gói tin là hợp lệ nó sẽ được cho qua và nếu không hợp lệ nó sẽ bị

bỏ qua Chính việc không mất thời gian xử lý những gói tin có địa chỉ không hợp

lệ làm cho tốc độ xử lý của firewall cứng rất nhanh và đây chính là ưu điểm lớnnhất của hệ thống firewall cứng

Một điểm đáng chú ý là tất cả các loại firewall cứng trên thế giới hiện nayđều chưa thể lọc được nội dung của gói tin mà chỉ có thể lọc được phần nội dungtrong header của gói tin

b Firewall mềm

Loại firewall này là một chương trình ứng dụng nguyên tắc hoạt động dựatrên ứng dụng proxy - là một phần mềm cho phép chuyển các gói tin mà máy chủnhận được đến những địa điểm nhất định theo yêu cầu Và các quy tắc lọc gói tinđược người sử dụng tự thiết lập Người ta thường sử dụng firewall loại này khimột mạng máy tính có máy chủ và mọi thông tin đều thông qua máy chủ này rồimới chuyển đến máy con trong mạng hoặc dùng cho máy tính cá nhân khi thamgia mạng firewall mềm này rất tiện lợi ở chỗ phần mềm có thể dễ dàng thay đổicập nhật các phiên bản mới

Cách thức hoạt động của firewall dạng này cũng rất đơn giản Phần mềmfirewall được chạy thường trú trên máy chủ hay máy tính cá nhân Máy tính này

có thể đảm đương nhiều nhiệm vụ ngoài công việc là firewall Mỗi khi có các góitin được chuyển đến hay chuyển đi nó đều được kiểm tra phần header của gói tinbao gồm các thông tin về địa chỉ nguồn, địa chỉ đích, giao thức, cổng dịch vụ firewall mềm mới hiện nay còn có thể kiểm tra được nội dung của gói tin Cácthông tin mà firewall kiểm tra được người dùng quy định trước trong tập luật Nếugói tin được cho qua thì tiếp theo nó sẽ được đưa đến các máy con trong mạnghoặc là các ứng dụng chạy trực tiếp trên máy đó

Một số phần mềm firewall sử dụng nhiều và được đánh giá cao về khả nănglọc gói tin như ZoneAlarm Pro, SmoothWall, McAfee Personal Firewall Plus,ZoneAlarm Pro, Sygate Personal Firewall

1.1.4.Công nghệ Firewall

Firewall là một giải pháp an ninh mạng quan trọng Thuật ngữ “firewall” chỉmột hệ thống hay một nhóm hệ thống hoạt động trong mạng có mục đích quản lýtruy cập giữa hai hay nhiều mạng Chức năng cơ bản của firewall là cho phép hayngăn cản lưu lượng đi qua nó dựa vào các quy tắc được đặt trước hay chính sáchbảo mật (Security Policy) Tất cả firewall đều thực hiện chức năng kiểm tra và tácđộng vào lưu lượng qua lại dựa trên các quy tắc, tuy nhiên chúng sử dụng theonhiều phương pháp khác nhau, có 3 công nghệ firewall chính

a Packet Filter

Đây là loại firewall lâu đời và công nghệ thông dụng nhất, một Packet Filterđơn giản chỉ kiểm tra lưu lượng truy cập đến các phần tử tại lớp mạng và lớp vậnchuyển của mô hình OSI Packet Filter phân tích gói IP và so sánh chúng với cácluật đã thiết lập được gọi là ACL thông qua các yếu tố như địa chỉ IP nguồn, địachỉ IP đích, port nguồn, port đích, giao thức Ngoài các thành phần này thì packetfilter còn kiểm tra thông tin Header của gói tin để quyết định xem gói tin đến từmột kết nối mới hay đã tồn tại

Ưu điểm khi sử dụng Packet filtering là chúng ta có xu hướng rất nhanh bởi

vì nó không ảnh hưởng đến dữ liệu lớp trên, bên cạnh đó cũng có những nhượcđiểm như:

Ưu điểm của proxy là đơn giản và chi phí lắp đặt thấp, tuy nhiên nhượcđiểm của nó là làm giảm hiệu năng hoạt động của mạng, hơn nữa chúng là ứngdụng chạy trên hệ điều hành, do đó độ tin cậy của nó còn phụ thuộc vào độ an

toàn của hệ điều hành, nếu các hacker khai thác lỗ hổng hệ điều hành thì có thể dễdàng truy cập qua firewall và truy nhập vào hệ thống.

Hình 1.2: Sử dụng PROXY Server

c Stateful inspector

Stateful Inspector hay còn gọi là Stateful Packet Filter là sự kết hợp hiệunăng và mức độ an ninh Đây là công nghệ an toàn và đa năng nhất bởi các kết nốikhông chỉ được kiểm tra bởi ACL mà còn được ghi trong bảng trạng thái (StateTable) Sau khi kết nối được thiết lập, tất cả các phiên kết nối (session) đi quađược so sánh với bảng trạng thái Nếu thông tin không khớp thì kết nối sẽ bị huỷ,đây là công nghệ mới nhất nó có ưu điểm và độ an toàn cao, thiết bị điển hình làPix Firewall của Cisco

Hình 1.3: Công nghệ Stateful Packet Filter

1.1.5 Ưu và hạn chế của Firewall

a Ưu điểm

Mỗi loại firewall có những ưu điểm, nhược điểm và được sử dụng trongnhững trường hợp khác nhau Firewall phần cứng thường được sử dụng để đảmbảo an ninh cho các mạng lớn vì nếu không sử dụng firewall cứng thì sẽ cần hệthống firewall mềm tức là sẽ có một máy chủ Máy chủ này sẽ nhận mọi gói tin và

kiểm duyệt rồi chuyển tiếp cho các máy trong mạng Mà tốc độ của firewall mềmhoạt động chậm hơn so với firewall cứng nên ảnh hưởng lớn đến tốc độ của toàn

hệ thống mạng

Mặt khác hệ thống firewall mềm thường được sử dụng để đảm bảo an ninhcho các máy tính cá nhân hoặc một mạng nhỏ Việc sử dụng hệ thống firewallmềm sẽ giúp giảm chi phí vì giá cả thiết bị firewall cứng đắt gấp nhiều lần so với

hệ thống firewall mềm Hơn nữa, khi ta sử dụng firewall mềm trong việc đảm bảo

an ninh cho máy tính cá nhân hay mạng với quy mô nhỏ thì việc ảnh hưởng đếntốc độ chuyển các gói tin trong mạng là không đáng kể

- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượtqua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

(data Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quétvirus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liêntục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khảnăng kiểm soát của Firewall

1.2 Tổng quan về Pix Firewall

1.2.1 Giới thiệu về Pix Firewall

a Khái niệm Pix firewall

PIX (Private Internet Exchange) Firewall là thành phần chính trong toàn bộ

giải pháp an ninh end-to-end của hãng Cisco PIX Firewall là giải pháp an ninhphần cứng và phần mềm chuyên dụng với mức độ bảo mật cao hơn mà không ảnhhưởng đến sự thực thi của hệ thống mạng Nó là hệ thống lai ghép (HybridSystem) bởi vì nó sử dụng cả hai kỹ thuật Packet Filtering và Proxy Server.Khôngnhư những CPU chuyên sâu, các Proxy server toàn thời gian thực thi một cách sâurộng trên mỗi gói dữ liệu của tầng ứng dụng PIX Firewall sử dụng hệ điều hànhthích hợp, bảo đảm sự bảo mật, thời gian thực và là một hệ thống nhúng

b Đặc tính và Chức năng

Không như những CPU thông thường, các proxy server thực thi sâurộng trên mỗi gói dữ liệu, PIX Firewall là một hệ thống an ninh theo thời gianthực dạng hệ thống nhúng nên nó tăng cường an ninh cho mạng

Apdaptive Security Algorithm (ASA) – thực hiện việc điều khiển các kết nốistateful thông qua PIX Firewall

Cut-through proxy- một người dùng được chứng thực dựa vào các kết nốivào ra sẽ có một hiệu quả cao hơn so với Proxy server

Stateful failover- PIX Firewall cho phép cấu hình 2 đơn vị PIX Firewalltrong cùng một topology một cách thoải mái

Stateful Packeet Filtering- Một phương pháp phân tích gói tin dữ liệu trong

đó thông tin về gói dữ liệu được trải rộng trong một bảng khi phiên muốn thiếtlập, thông tin về các kết nối của phiên đó phải được kết hợp với các thông tintrong bảng.PIX Firewall có thể tương thích và khả năng mở rộng với các IPSec.IPSec bao gồm một hệ thống an ninh và các giao thức chứng thực giống nhưInternet Key Exchange(IKE) và Public Key Infracstructure (PKI) PIX Firewall

dựa trên nền tảng tương tự như Virtual Private Network (VPN) trong đó các máyClient ở xa có thể truy cập đến mạng công ty thông qua các IPS của họ

PIX 501 là model cơ bản của PIX và có cấu hình cố định Nó có một switch

4 port cho kết nối bên trong và một interface 10Mbps cho kết nối đến thiết bị bênngoài (như cable modem hay router DSL) PIX 501 dành 3Mbps cho kết nối3DES Ipsec (vượt quá cả yêu cầu của user trong mạng SOHO)

Đặc điểm của PIX 501 là:

- bộ xử lí 133MHz AMD SC520

- RAM 16MB , flash 8MB

- 1 port console

- 1 port half-duplex RJ45 10BaseT cho outside

- 1 switch tích hợp , autosensing , auto-MDIX 4 port RJ45 10/100 cho inside

- Hai port RJ45 10BaseT autonegotiate , một cho inside , một cho outside

- Hardware: 200MHz Intel Pentium MMX , trong đó RAM là 32Mbps, flash

là 8Mbps

- Sử dụng TFTP cho download image và upgrade image

- PIX 506 cung cấp VPN, có thể kết nối đến 4 VPN peer đồng thời

PIX 506E là thiết bị được cải tiến từ PIX 506, có CPU là 300MHzIntel Celeron Clear-text throughput lên đến 20Mbps, 3DES throughput tăng lên16Mbps

PIX 515

Hình 1.6: PIX Firewall 515.

PIX 515 thường được dùng trong các doanh nghiệp nhỏ, trung bình PIX cómột slot để có thể gắn thêm một single-port , hoặc là four-port Fast Ethernetinterface , cho phép inside, outside và có thể cung cấp thêm 4 mạng dịch vụ khác.PIX 515 có RAM 32MB, Flash 8MB , licensing linh động do đó các doanh nghiệp

có thể trả tiền những cái họ cần Restricted license giới hạn 3 interface, nhưngunrestricted license cho phép tăng bộ nhớ RAM từ 32MB đến 64MB và tăng đến

6 interface cộng với failover

PIX 520

Hình 1.7: PIX Firewall 520

PIX 520 được thiết kế dành cho các doanh nghiệp lớn và môi trường tốc độcao, phức tạp Mặc dù các sản phẩm mới hơn có Flash đến 16MB nhưng đối vớiPIX 520 đời cũ Flash chỉ có 2MB Để chạy những software có version từ 5.2 trở

lên thì Flash cần phải được nâng cấp lên 16MB PIX 520 có kiểu thiết kế khung, là

rack mountable, sử dụng đĩa mềm 3.5inch để load và nâng cấp Image

PIX 525

Hình 1.8: PIX Firewall 525.

PIX 525 được thiết kế dành cho các Enterprise và Service Provider sử dụng,

đáp ứng môi trường bảo mật lí tưởng PIX 525 cung cấp một dãy nhiều network

interface card Standard card bao gồm single-port hay four-port 10/100 FastEthernet, Gigabit Ethernet (với UR license), 4/16 Token Ring và dual-attachedmultimode FDDI card Với restricted license, PIX 525 cung cấp 6 interface Vớiunrestricted license (UR) PIX 525 cung cấp đến 8 interface

PIX Firewall 535 cung cấp Fast Ethernet, Gigabit Ethernet và VPNAccelerator interface Flash là 16MB và sử dụng software có version từ 5.3 trở vềsau

1.2.2 Cấp độ bảo mật và chính sách bảo mật mặc định của Pix Firewall

Cisco Pix Firewall đặt các cấp độ bảo mật cho các interface của nó để quyđịnh mức độ an ninh cho đoạn mạng (seqment) nối đến nó Đoạn mạng nào cầnđảm bảo an toàn cao thì cấp độ bảo mật càng cao, cấp độ bảo mật có từ 0 đến 100.Mặc định cấp độ 0 được đặt cho interface ethernet 0 (tên mặc định là outside), cấp

độ 100 được đặt cho interface ethernet 1(còn gọi là inside), các interface khác(DMZ, Partnernet…) có cấp độ bảo mật nằm trong khoảng từ 1-99 Mặc định thì

ASA cho phép lưu lượng từ cấp độ bảo mật cao đến cấp độ thấp hơn (OutboundTraffic) mà không cần thông qua chính sách bảo mật, bất kỳ lưu lượng nào đi theochiều ngược lại (Inbound traffic) phải thông qua chính sách bảo mật (Access listhay conduit), nếu hai interface có cùng mức độ bảo mật thì lưu lượng không thể điqua (không sử dụng).

Trong pix firewall có 3 interface là Eth 0, Eth 1 và Eth 2 Trong đó cổng Eth

0 có mức độ bảo mật là 0, Eth 1 kết nối với cùng Inside có độ bảo mật là 100, cònlại Eth 2 kết nối với DMZ có mức độ bảo mật là 50 Theo chính sách bảo mật mặcđịnh thì lưu lượng có thể đi từ vùng Inside đến DMZ hay Outside và từ vùngDMZ đến Outside còn các lưu lượng theo các chiều khác thì không cho phép

a Định tuyến trong PIX FIREWALL

Mặc định thì pix firewall đóng vai trò như một thiết bị lớp 3 trong hệ thốngmạng, nghĩa là nó phải định tuyến các lưu lượng đi qua nó, khi gói tin đến pixfirewall nó cần xác định xem cần đẩy gói tin ra interface nào (nếu được phép).Tương tự như router, pix firewall định tuyến các lưu lượng dựa vào địa chỉ đích.Pix tách phần địa chỉ IP đích trong IP Header của gói tin và tra trong bảng địnhtuyến (Routing table) của nó để ra quyết định Nếu nó biết được địa chỉ đích tươngứng với interface nào thì sẽ đẩy gói tin ra interface đó, nếu không tìm thấy thôngtin thích hợp trong bảng định tuyến sẽ huỷ bỏ gói tin đó Vì vậy để Pix Firewall cóthể định tuyến cho các lưu lượng qua nó người quản trị cần phải cấu hình địnhtuyến cho các mạng ở các vùng mà Pix Firewall cần biết

Khi cấu hình định tuyến cho Pix Firewall có thể sử dụng định tuyến tĩnh(Static) hoặc định tuyến động (RIP, IGRP, EIGRP, OSPF…)

b Truy cập thông qua Pix Firewall

Pix Firewall có thể được cấu hình với nhiều interface, mỗi interface có mộtcấp độ bảo mật riêng, một interface được coi là bên trong (Inside)-tin cậy hay bênngoài (outside)- không tin cậy còn phụ thuộc vào nó với interface nào Nghĩa làtrong mối quan hệ với interface này có thể là inside nhưng đối với interface khác

nó có thể là Outside Interface được coi là Inside đối với interface khác nếu như

nó có cấp độ bảo mật cao hơn và ngược lại nếu cấp độ bảo mật của nó thấp hơn thì

nó được coi là Outside

Chính sách bảo mật mặc định của Pix Firewall cho phép lưu lượng từinterface có độ bảo mật cao (Inside) truy cập vào interface có cấp độ bảo mật thấphơn (Outside), kết nối từ Inside đến Outside được gọi là kết nối ra ngoài(Outbound Connection) Các kết nối này là mặc định và luôn được phép trừ khingười quản trị đưa ra chính sách bảo mật ngăn kết nối

Kết nối từ interface có cấp độ bảo mật thấp đến interface có cấp độ bảo mậtcao hơn (từ Outside vào Inside) được gọi là kết nối vào trong (InboundConnection) kết nối này mặc định là không được phép trừ khi người quản trị thiếtlập cặp gồm chuyển đổi địa chỉ tĩnh (Static Translation) và Access list

Truy cập ngoài thông qua Pix Firewall

Các kết nối ra ngoài (Outbound Connection) luôn được cho phép bởi chínhsách bảo mật mặc định Tuy nhiên ta cần phải thiết lập chuyển đổi địa chỉ cho PixFirewall đối với kết nối kiểu này Vì mục đích an toàn, để tránh mạng ngoài(Outside) biết được cấu trúc mạng bên trong (Inside) công nghệ chuyển đổi địa chỉđược sử dụng cho Pix Firewall giúp nó che dấu mạng được cấu trúc mạng bêntrong mà vẫn đảm bảo kết nối hoạt động tốt

Có hai loại chuyển đổi địa chỉ:

- Chuyển đổi địa chỉ động (Dynamic Address Translation): chuyển đổi nhiềuđịa chỉ cục bộ (Local Address) ra một hoặc nhiều địa chỉ toàn cục (GlobalAddress), chuyển đổi địa chỉ động được chia thành hai loại:

o Chuyển đổi địa chỉ mạng (Network Address Translation-NAT): chuyểnđổi nhiều địa chỉ cục bộ ra một dải (pool) địa chỉ toàn cục

o Chuyển đổi địa chỉ cổng (Port Address Translation-PAT): chuyển đổinhiều địa chỉ cục bộ ra một hay một số địa chỉ toàn cục Sau khi chuyểnđổi các địa chỉ toàn cục có thể giống nhau nhưng khác về số hiệu cổng(Port), nói cách khác đây không phải là chuyển đổi một địa chỉ mà làchuyển đổi một cặp địa chỉ IP/số hiệu cổng (IP Address/Port)

- Chuyển đổi địa chỉ tĩnh (Static Address Translation): ánh xạ một-một giữađịa chỉ cục bộ và địa chỉ toàn cục.

Với NAT và PAT mỗi khi có một chuyển đổi, pix firewall sẽ ghi nó vàobảng chuyển đổi (Xlate table), khi hết thời gian chuyển đổi (timeout) mà không cólưu lượng nào của chuyển đổi này đi qua thì Pix sẽ xoá nó khỏi bảng chuyển đổi,

cơ chế này ngoài việc che dấu cấu trúc mạng bên trong còn tránh mạng ngoài cóthể thăm dò và tấn công ngược lại địa chỉ đã chuyển đổi bởi các chuyển đổi chỉtạm thời Để cho phép các host bên trong (Inside) truy cập ra ngoài ta thiết lậpchuyển đổi địa chỉ động với hai câu lệnh nat cho interface bên trong và global chointerface bên ngoài

Truy cập trong thông qua Pix Firewall

Chính sách bảo mật mặc định của Pix Firewall không cho phép các truy cập

từ mạng ngoài (outside) vào trong (inside) Để cho phép kết nối ta phải thiết lậphai thành phần sau:

o Danh sách điều khiển truy cập (Access Control List-ACL)

o Chuyển đổi địa chỉ tĩnh (Static Address Translation)

Tuy nhiên cần lưu ý là chỉ thiết lập chuyển đổi tĩnh không cho phép kết nốiđược khởi tạo từ mạng ngoài mà phải kết hợp với access list ACL là thành phầnquan trọng được sử dụng trong các thiết bị của Cisco, đối với Pix Firewall ACLđược dùng để hạn chế lưu lượng ra ngoài (outbound Traffic) và cho phép lưulượng đi theo chiều ngược lại Một ACL là một danh sách tuần tự các câu điềukiện “permit” và “deny” để chỉ ra cho Pix Firewall biết lưu lượng nào được chấpnhận (permit) hoặc loại bỏ (dney)

Cơ chế kiểm tra của Access List tuân theo nguyên tắc tuần tự từ trênxuống, vì vậy thứ tự câu lệnh trong Access List trong quá trình kiểm tra nếu khớp(match) với câu lệnh nào thì gói tin sẽ được xử lý ngay mà không cần kiểm tra cáccâu lệnh tiếp theo Lưu ý là trong mỗi Access List luôn có câu lệnh từ chối ẩn(Implicit Deny) ở cuối cùng (cho dù nó có được thiết lập hay không) với mục đích

từ chối các gói tin

Sau khi thiết lập ACL cho phép truy cập vào trong ta chỉ cần chuyển đổitĩnh, cho phép host ở mạng ngoài truy cập vào host bên trong qua địa chỉ toàn cục.Khi gói tin bên ngoài đến Pix Firewall đã thông qua chính sách bảo mật, PixFirewall sẽ kiểm tra xem có chuyển đổi tĩnh phù hợp không nếu có nó chuyển đổiđịa chỉ toàn cục ra địa chỉ cục bộ và đây gói tin đến đích.

1.2.3 Các kiểu truy cập của Pix Firewall

Pix Firewall chứa các tập lệnh dựa trên hệ điều hành Cisco IOS và cung cấpđến người dùng 4 chế độ truy cập như sau:

a Unprivileged mode ( Chế độ không đặc quyền)

Chế độ này là mặc định khi truy cập lần đầu vào Pix Firewall, từ dấu nhắclệnh “ <” cho phép người dung xem các thiết lập một cách hạn chế

b Privileged Mode ( Chế độ đặc quyền)

Dấu hiệu của chế độ này là dấu nhắc lệnh “ #” cho phép người dùng thay đổicác cấu hình hiện tại Bất kể lệnh nào của chế độ không đặc quyền đều có thể thựcthi trong chế độ đặc quyền

c Configuration Mode ( Chế độ cấu hình)

Chế độ này hiển thị dấu nhắc lệnh “(Config)#” cho phép người dùng thay đổicấu hình hệ thống, tất cả lệnh của chế độ đặc quyền và không đặc quyền đều cóthể thực thi ở chế độ này

d Monitor Mode ( Chế độ theo dõi kiểm tra)

Đây là cế độ đặc biệt, nó cho phép người dung cập nhật file image trênmạng Trong chế độ này, người dung có thể nhập lệnh định vị trí của TFTP vàimage dạng nhị phân để download image

Để tiết kiệm thời gian nhập lệnh, người dùng hoàn toàn có thể ghi tắt các ký

tự lệnh ( Giới hạn ký tự xác định trước bởi nhà cung cấp) Ví dụ người dùng cóthể nhập lệnh “write t” để xem các lệnh đã cấu hình thay vì phải gõ đầy đủ “writeterminal” cũng tương tự với lệnh “en” thay vì phải nhập “enable”,…

Trong quá trình cấu hình, người dung có thể sử dụng lệnh “help” hoặc ký tự

“?” để xem các gợi ý về lệnh Số gợi ý này phụ thuộc vào chế độ cấu hình màngười dung đang làm việc, theo đó chế độ cấu hình sẽ liệt kê toàn bộ các lệnh vàchế độ không đặc quyền sẽ đưa ra số gợi ý ít nhất Ngoài ra, người dung hoàn toàn

có thể copy và paste các lệnh cấu hình từ một trình soạn thảo văn bản khác miễn làđảm bảo các lệnh được cấu hình đúng

1.2.4 Các lệnh duy trì thông thường của PIX Firewall

Một số lệnh duy trì thông thường của PIX Firewall:

 Lệnh enable, enable password và password: sử dụng để truy cập các phần

mềm Pix Firewall hoặc thay đổi mật khẩu

- Enable: cho phép truy cập chế độ đặc quyền.

- Enable password: thiết lập mật khẩu cho chế độ truy cập đặc quyền Mật

khẩu được quy định tối đa là 16 kí tự, tối thiểu là không kí tự (rỗng), phân biệt chữhoa, thường, ký tự số, bao gồm tất cả các kí tự trừ 3 kí tự là dấu chấm hỏi, dấucách và dấu hai chấm Mật khẩu sau khi được thiết lập sẽ được mã hóa và ngườidùng không thể xem lại mật khẩu một khi đã quên

- Password: cho phép thiết lập mật khẩu dành cho telnet PIX Firewall, mặc

định mật khẩu này là “cisco” (không dấu)

 Lệnh write: sử dụng để xem cấu hình hệ thống và lưu trữ lệnh cấu hình mới.

- Write net: lưu các lệnh cấu hình hệ thống thành một tập tin riêng được lưu

trên TFTP server hoặc trên mạng

- Write arase: xóa cấu hình bộ nhớ flash

- Write floppy: lưu cấu hình hiện tại vào ổ đĩa mềm 3.5 inch (từ phiên bản

520 trở về trước đều có sẵn ổ đĩa mềm)

- Write memory: ghi cấu hình hiện tại vào bộ nhớ flash

- Write stanby: ghi lệnh cấu hình đã được lưu trong RAM trên Active

Failover vào RAM trên stanby của PIX Firewall Khi PIX firewall hoạt động, cáclệnh cấu hình sẽ được tự động ghi vào stanby PIX firewall

- Write terminal: hiển thị cấu hình hiện tại

 Lệnh show: được dùng để kiểm tra cấu hình hệ thống và những thông tin thích

hợp khác

- Show history: hiển thị các dòng lệnh trước đó.

- Show memory: hiển thị bộ nhớ tối đa và bộ nhớ hiện tại của PIX firewall

- Show version: hiển thị phiên bản của phần mềm trong PIX firewall, thời

gian hoạt động gần nhất, loại vi xử lí, loại bộ nhớ flash,

- Show xlate: hiển thị thông tin về khe dịch

- Show cpu usage: hiển thị CPU được sử dụng, dùng trong chế độ cấu hình

hoặc đặc quyền

 Lệnh exit và reload:

- Exit: được sử dụng để thoát khỏi một chế độ truy cập nào đó.

- Reload: là lệnh tải lại các cấu hình đã được lưu và khởi động lại hệ thống.

 Lệnh hostname, ping và telnet: được sử dụng để xác định IP có tồn tại hay

không, thay đổi hostname cũng như xác định host cục bộ cho PIX firewall và dànhquyền truy cập vào console

- Hostname: thay đổi nhãn trước dấu nhắc lệnh, hỗ trợ tối đa 16 kí tự chữ

hoa, thường, kí tự số Mặc định là PIX firewall

- Ping: được sử dụng nếu PIX firewall đã được kết nối hoặc đã được tồn tại

một host (được nhận diện bởi PIX firewall) trên mạng Nếu host đó tồn tại thì lệnhping nhận được còn nếu ngược lại thì sẽ trả lời là “No response received” Mặcđịnh lệnh ping sẽ ping đến host dích 3 lần

- telnet: cho phép người dùng chỉ định host trên một mạng bên trong bất kì

nhưng không thể chỉ định host trên mạng phía ngoài Hỗ trợ tối đa 16 host hoặcmạng cho phép truy cập đồng thời đến PIX firewall thông qua Telnet

 Lệnh Show telnet: hiển thị danh sách hiện thời các địa chỉ IP đã được chứng

thực có thể truy xuất đến PIX firewall thông qua telnet

 Lệnh Clear telnet và no telnet: loại bỏ một địa chỉ IP có thể truy xuất đến PIX

firewall thông qua telnet

 Lệnh Telnet timeout: xác lập mốc thời gian tối đa mà một kết nối đến PIX

firewall thông qua telnet có thể ở trạng thái idle trước khi bị ngắt kết nối bởi PIXfirewall

- Kill: lệnh này dùng để kết thúc một phiên telnet Khi dùng lệnh này, PIX

firewall sẽ tự động chặn tất cả các lệnh kích hoạt sau đó ngắt kết nối mà khôngthông báo đến người dùng

- Who: xem địa chỉ IP nào đang thực hiện việc truy xuất đến PIX firewall

thông qua telnet

*Cú pháp:

telnet ip_address [netmask] [if_name]

clear telnet [ip_ address [netmask] [if_name]]

no telnet [ip_ address [netmask] [if_name]]

telnet timeout [minutes]

Minutes Thời gian xác định trạng thái idle của kết nối trước khi bịPIX firewall ngắt kết nối Mặc định là 6 phút, khoảng

thời gian cho phép là từ 1 đến 60 phút

Telnet_id Id xác định phiên làm việc của telnet

Local_ip Một địa chỉ IP internal tùy chọn để giới hạn danh sách

đến một IP hoặc một mạng

 Lệnh http:các lệnh trong nhóm này cho phép người dùng kích hoạt tính năng

HTTP server trong PIX firewall và xác định những client nào được phép truy cậpvào HTTP server phải được kích hoạt và điều khiển bởi PIX device manager(PDM)

- http server enable: kích hoạt HTTP server của PIX firewall

- http <ip_add>: lệnh này nhằm xác định client được phép truy cập HTTP

server

* Cú pháp:

http ip_address [netmask] [if_name]

http server enable

Ip_address Chỉ định một host hoặc mạng có quyền khởi tạo một kếtnối đến PIX firewall

Netmask Chỉ định Netmask cho ip_address Mặc định là255.255.255.255

If_name Tên giao diện của PIX firewall trên host hoặc mạngkhởi tạo vùng kết nối HTTP Mặc định là inside

 Lệnh show interface: hiển thị thông tin giao diện mạng

* Những thông tin nhận được khi nhập lệnh show interface

- Ethernet:

- Line protocol up:

- Line protocol down:

- Network interface type:

* Những thông báo vấn đề gặp phải với interface khi dùng show interface

- No buffer

- Runts

- CRC (cyclic redundancy check)

- Network interface type:

 Lệnh show ip address: hiển thị IP đang được dùng để gán cho interface Địa

chỉ IP được gán giống như địa chỉ IP hệ thống trên failover active (PIX active).Khi active unit bị lỗi, địa chỉ IP hiện tại trở thành đơn vị chuẩn

 Lệnh name cho phép người dùng cấu hình một danh sách các địa chỉ IP được

ánh xạ (mapping) đến PIX Firewall

* Cú pháp:

Name ip_address name

Ip_address Chỉ định IP của host được đặt tên

Name Tên được gán cho địa chỉ IP

1.2.5 Các lệnh cấu hình cơ bản PIX Firewall

Có 6 lệnh cấu hình cơ bản cho PIX Firewall:

 Nameif

Dùng để đăng kí 1 tên cho mỗi interface của PIX Firewall và chỉ ra cấp độ anninh của interface đó (Ngoại trừ outside và inside interface, chúng đều có tên mặcđịnh)

Với cấu hình mặc định, e0 có tên là outside với mức security là 0, el có tên làinside với mức security là 100

If_name Tên của interface được kết nối, tên này do nười dùng

đặt và sẽ được sử dụng trong suốt cấu hình về sau

Security_level Mức an ninh do người dùng quy định nằm trong phạm

Hardware_id Chỉ ra Interface và địa chỉ vật lí của nó trên PIXFirewall

Hardware_speed

Xác định tốc độ kết nối, đối với ethernet:

- 10baset: Giao tiếp Ethernet bán song công10Mbps

- 10full: Giao tiếp Ethernet song công 10Mbps

- 100basetx: Giao tiếp Ethernet bán song công100Mbps

- 100full: Giao tiếp Ethernet song công 100Mbps

- 1000sxfull: Giao tiếp Gigabit Ethernet songcông tốc độ 1000Mbps

- 1000basex: Giao tiếp Gigabit Ethernet songcông tốc độ 1000Mbps tự điều chỉnh song công hoặcbán song công Không sử dụng tính năng này khi muốnduy trì khả năng tương thích giữa swich với các thiết bịmạng

*Nếu dùng interface là FDDI hoặc Token-ring thì phải định nghĩa trước vì từphiên bản PIX Firewall 6.0 các loại interface này không còn được PIX Firewall hỗtrợ

Ip_name Tên của interface, do người dùng đặt, được sử dụng trong

suốt quá trình về sauIp_address Địa chỉ IP của interface

Netmask Subnet mask tương ứng

 Global

Khi dữ liệu được gửi đi từ một mạng tin cậy đến một mạng không tin cậy,địa chỉ IP nguồn thường được chuyển đổi PIX Firewall thực hiện điều này bằng 2câu lệnh, câu lệnh thứ nhất là nat- định nghĩa tầm địa chỉ mà source address sẽchuyển đổi thành

*Cú pháp:

Global [(if_name)]nat_id global_ip [-global_ip] [netmask global_mask] / interface

Ip_name Tên của interface

Nat_id Tên của global pool và lệnh Nat tương ứng

Global_ip Một địa chỉ IP đơn hoặc một dãy các IP public

Netmask

global_mask Netmask cho global_ip

Global_ip Một dãy các ip public

Interface Chỉ định PAT sử dụng IP tại interface đó

 NAT

Network Address Translation (NAT) cho phép người dung giấu những địachỉ bên trong trước khi đi ra ngoài mạng

*Cú pháp:

Nat [(if_name)] nat_id local_ip [netmask]

Ip_name Tên của interface bên trong do người dung đặt

Nat_id Xác định global pool và các lệnh nat tương ứngLocal_ip Địa chỉ Ip được gán cho interface inside

Netmask Subnet mask tương ứng

Khi khởi tạo cấu hình PIX Firewall, để các host inside có thể truy cập ramạng ngoài tương ứng với địa chỉ trong lệnh global, người dùng cần cấu hình lệnhnat 1 0.0.0.0 0.0.0.0 Có thể được sử dụng 0 để thay thế 0.0.0.0

 Route

Định nghĩa là một static route cho một interface

*Cú pháp:

Route if_name ip_address netmask gateway_ip [metric]

If_name Tên của interface

Ip_address IP của interface

Netmask Subnet mask tương ứng 0.0.0.0 là mặc định và có thể

thay thế bằng 0Gateway_ip Chỉ định Gateway cho router

Metric Chỉ định số lượng hop đến gateway Nếu không chắc

chắn thì nhập là 1 hoặc dùng lệnh traceroute để có sốlượng hop chính xác

3.1 Cơ chế Failover trên Pix Firewall.

3.1.1 Giới thiệu về Failover.

Failover là đặc điểm duy nhất độc quyền của Cisco trong các thiết bị bảomật Failover cung cấp khả năng dự phòng giữa các thiết bị bảo mật PIX Firewall:một thiết bị sẽ dự phòng cho 1 thiết bị khác Cơ chế dự phòng này cung cấp tínhđàn hồi trong hệ thống mạng của bạn Và phụ thuộc vào các loại failover bạn sửdụng và làm thế nào bạn thực thi failover, tiến trình failover có thể, trong hầu hếtcác trường hợp, nó trong suốt với các người dùng và các hosts

a Các loại Failover.

Có hai loại failover:

- Hardware failover (trong vài trường hợp được gọi là stateless failover)

bị PIX Firewall khác có thể chiếm quyền chuyển tiếp giao thông của thiết bị đãfailed Nhưng từ khi kết nối gốc không tái tạo lại với thiết bị thứ hai, kết nối sẽfailed: điều đó đồng nghĩa với việc, tất cả các kết nối còn hoạt động sẽ mất và phảithực hiện kết nối lại qua thiết bị thứ hai Đối với hardware failover, một failover

link sẽ được yêu cầu giữa 2 thiết bị PIX Firewall, vấn đề này được thảo luận trongphần “Cáp Failover ”.

Stateful failover cung cấp cả phần cứng và dự phòng trạng thái Bên cạnhcấu hình các thiết bị bảo mật PIX Firewall đồng bộ, các thông tin khác cũng đượcđồng bộ theo Việc đồng bộ này bao gồm thông tin về các bảng routing, ngày giờhiện tại, bảng địa chỉ MAC layer 2 (nếu thiết bị PIX Firewall trong trạng tháitransparent), kết nối VPN Khi thực thi stateful failover, bạn sẽ cần hai links giữacác PIX Firewall, một link failover và một link stateful

b Yêu cầu để thực thi Failover

Để thực thi failover, bạn phải có chính xác các thiết bị PIX Firewall vàlicense thích hợp, và tương ứng phần cứng với phần mềm

Hỗ trợ models

Không phải tất cả các thiết bị bảo mật đều hỗ trợ failover Tất cả các PIXFIREWALL đều hỗ trợ failover, tuy nhiên có một số không hỗ trợ active/activefailover Trên PIXs, chỉ có 515s và các phiên bản cao hơn mới hỗ trợ failover

Phần cứng, phần mềm, và yêu cầu về cấu hình

Đối với phần cứng giữa hai thiết bị, chỉ duy kích thước bộ nhớ flash là có thểkhông giống nhau, còn lại tất cả các thiết bị khác phải giống nhau Ví dụ, bạn cóthể sử dụng hai PIX Firewall 515e nhưng không thể là PIX Firewall 515e và PIXFirewall 722e Cơ bản là, loại trừ flash, còn lại tất cả các thiết bị phần cứng khácphải giống nhau giữa 2 thiết bị được cấu hình Failover: giống models, giốnginterfaces, giống số lượng RAM, modules…

Nếu bạn có các PIX đang chạy version 6 và sớm hơn, hai PIX được cài đặtfailover phải chạy cùng version OS và version Pix Device Manager (PDM) Ví dụ,nếu một PIX chạy version 6.3(4) và còn lại chạy 6.3(5), failover sẽ không hoạtđộng – chúng phải chạy giống chính xác version đối với version 6 hoặc sớm hơn.Bắt đầu từ version 7, Cisco có phần dễ dàng hơn trong việc yêu cầu phiên bảnsoftware, chỉ yêu cầu chính xác version, nhưng không yêu cầu chính xác sub-

verion Ví dụ, nếu một thiết bị chạy version 7.1(1) và còn lại chạy 7.1(2), hai thiết

bị sẽ vẫn hoạt động failover bình thường, nhưng nếu một thiết bị chạy 7.0(4) vàcòn lại chạy 7.1(2) thì failover sẽ không hoạt động

Các yêu cầu khác về phần mềm cũng phải giống nhau, phải được enable trên

cả hai thiết bị Nếu một thiết bị chỉ có DES license và thiết bị khác có DES/3DES/AES license, failover sẽ không làm việc Tương tự, nếu một thiết bị có 5-contextlicense và một thiết bị khác có 50-context license, failover cũng sẽ không làmviệc

Cấu hình trên thiết bị phải giống nhau, loại trừ địa chỉ IP và địa chỉ MAC vàvai trò mà thiết bị tham giam gia vào failover Vai trò primary và secondary,những thông số này sẽ không thay đổi khi failover xảy ra Bạn sẽ không phải đồng

bộ bằng tay file cấu hình giữa hai thiết bị Bạn có thể thay đổi quyền active chomột thiết bị, và cấu hình tự động được tái tạo một bản sao tới thiết bị khác

Yêu cầu về bản quyền

Nếu bạn có một PIX Firewall 525 hoặc 722, bạn cần một license SecurityPlus để thực thi failover Các PIX từ 515s trở lên có hỗ trợ failover sẽ gồm có 3loại licenses : Restricted (R), unrestrict (UR) và failover (FO)

Một PIX có license R sẽ giới hạn về RAM và số interfaces mà PIX có thể sửdụng, failover Một license UR sẽ hỗ trợ tối đa số lượng RAM và các interface màPIX có thể, cho phép sử dụng failover Tương ứng, giá của các thiết bị sẽ khácnhau Trong khi Cisco bán PIX 515E với license R với giá 3000$ thì cùng dòngPIX đó với license UR sẽ được bán với giá hơn 6000$ Từ version 6 trở về trước,chỉ thực thi được một loại duy nhất của failover là active/standby Chúng ta sẽ tìmhiểu ở phần sau, khi thực thi failover active/standby, active sẽ xử lý giao thông vàstandby sẽ đợi cho đến khi active unit bị fails, sau đó standy sẽ xử lý giao thông

Để thuận tiện cho khác hàng, Cisco tạo ra loại license thứ ba, được gọi làFailover license (FO) FO license được sử dụng cho standby unit, một FO license

có tất cả các đặc điểm giống như UR license Liên quan tới Cisco về license FO,

họ không muốn khách hàng của mình mua một PIX với một license FO và chạy

nó như một stand-alone hoặc chạy cặp với một PIX khác cũng có license FO.Cisco muốn khách hàng của họ mua license thích hợp cho những gì họ cần Bởivậy, PIX sẽ không cùng hai license FO làm việc với failover Cũng vậy, nếu một

FO license PIX khởi động mà không nhìn thấy PIX khác có UR license, ít nhấtmỗi 24h một lần, PIX sẽ tự khởi động Tuy nhiên, nếu FO unit khởi động và nhìnthấy một PIX khác, và sau đó primary fails, FO unit sẽ không thực hiện xử lý khởiđộng lại ngẫu nhiên Điều này đảm bảo rằng khách hàng sẽ không cố gắng thửchạy FO license trong cấu hình stand-alone

3.1.2 Triển Khai Failover

Trong phần này, chúng ta sẽ thảo luận về active/standby và active/activefailover Có hai sự thực thi mà Cisco hỗ trợ cho failover Qua version 6 của OS,chỉ có active/standby được hỗ trợ, với active/active thì được hỗ trợ từ version 7.Phần này sẽ thảo luận về hai loại failover và làm thế nào đánh địa chỉ IP, MACcủa thiết bị được thực thi trong cả hai loại đó

a Active/Standby Failover

Thực thi active/standby failover có hai thiết bị: primary và secondary Bởimặc định thì primary sẽ có vai trò làm active và secondary đóng vai trò là standby.Chỉ có thiết bị đóng vai trò là active sẽ xử lý giao thông giữa các interfaces Ngoạitrừ một vài thông số, tất cả cấu hình thay đổi thực thi trên active sẽ được đồng bộsang thiết bị standby Thiết bị là standby sẽ như là một hot standby hoặc backupcho thiết bị active Nó không chuyển giao thông qua các interfaces Chức năngchính của nó là kiểm soát hoạt động của thiết bị active và tự đưa nó lên vai tròactive nếu thiết bị active không còn hoạt động

b Addressing and Failover

Mỗi thiết bị (hoặc context) tham gia vào failover cần có địa chỉ duy nhất – IP

và MAC – cho mỗi subnet mà nó kết nối đến Nếu failover xảy ra, thiết bị hiện tạilàm standby sẽ được thăng chức lên vai trò active và thay đổi IP, MAC của nó đểgiống với thiết bị primary Thiết bị active mới sau đó gửi các frames ra ngoài mỗiinterface để update bảng địa chỉ MAC kết nối trực tiếp Chú ý rằng thiết bị PIX

Firewall failed sẽ không trở thành một thiết bị standby trừ khi nguyên nhân củafailover được giải quyết Sau khi vấn đề được tháo gỡ, thiết bị trước đó có vai tròlàm active sẽ hoạt động failover trở lại với vai trò standby và nhận lại địa chỉ IP,MAC như thiết bị standby bình thường Trong active/standby failover, không cóquá trình chiếm quyền, tuy nhiên, trong active/active failover, đó là một sự lựachọn.

Hình 2.1: Active/Standby Failover.

Hình 2.2: Failover và Addressing

c Active/Active Failover

Trong khi thực thi Active/Active failover, cả hai thiết bị PIX Firewall trongfailover phải đều xử lý giao thông Để hoàn thành điều này, hai context cần đượctạo ra, CTX1 sẽ thực thi vai trò active và chuyển tiếp giao thông cho LAN bên trái

và làm standby cho LAN bên phải và ngược lại đối với CTX2 Sau đó, các tuyếnđường tĩnh trên các routers kết nối trực tiếp được sử dụng để load-balance giaothông giữa hai context, nếu chúng được chạy trong chế độ routed Nếu cáccontexts đang chạy trong chế độ transparent, các routers kết nối trực tiếp có thể sửdụng các giao thức động để học về hai đường có cost bằng nhau qua các contextstới các routers trên các side khác

Hình 2.3: Active/Active Failover.

d Cáp Failover.

Hai loại kết nối có thể sử dụng cho failover :

+ Failover cable hoặc link

+ Stateful cable hoặc link

* Failover Link

Failover link được sử dụng để tái tạo bản sao lệnh cấu hình và chia sẻ thôngtin về trạng thái failover giữa các failover pair Liên kết này phải chỉ ra kết nốigiữa hai thiết bị, nơi mà không có giao thông người dùng tồn tại Có hai loại liênkết failover links:

+ Serial

Chiều dài tối đa của cable là 2-3 mét, nên đặc điểm bất lợi chính của việc sửdụng cable này là 2 thiết bị phải được nối gần nhau (về mặt vật lý).

* LAN-based Failover Cable

LBF được giới thiệu trong phiên bản 6.2 LBF sử dụng một Ethernetinterfaces trên thiết bị để giao tiếp với nhau trong failover Cisco sử dụng một giaothức IP độc quyền để giao tiếp, nơi mà cả hai thiết bị sẽ cần địa chỉ IP trên cácinterface LBF để giao tiếp với nhau Interface này phải chỉ ra failover – nó khôngthể sử dụng cho chức năng truyền dữ liệu; tuy nhiên, bạn có thể dễ dàng cài đặtmột kết nối trunk trên một interface, nơi mà một VLAN sẽ chỉ ra failover vàVLAN khác dành cho giao tiếp dữ liệu

Bản chất của việc Cisco thiết kế LBF cho các công ty, doanh nghiệp làkhông muốn các thiết bị nhất định phải gần nhau về mặt vật lý Ví dụ, nếu bạn cómột mạng campus và một tòa nhà có thiết bị firewall bị mất điện, failover serial sẽkhông phải là sự lựa chọn tốt cho bạn Tuy nhiên, nếu bạn có một thiết bị kháctrong một tòa nhà khác, khi một tòa nhà mất điện, bạn sẽ vẫn có một thiết bị trongtòa nhà thứ hai xử lý giao thông Và nếu bạn sử dụng cable quang để kết nối giữahai tòa nhà (việc này sẽ yêu cầu một thiết bị chuyển đổi copper-to-fiber cho cácinterfaces RJ-45), hai thiết bị có thể đặt cách nhau vài kilomet

Đưa ra lợi ích, nhưng LBF cũng có 2 giới hạn: đầu tiên, không giống serialcable, LBF không thể trực tiếp dò ra một thiết bị còn lại mất nguồn – nó phải sửdụng keepalives để giải quyết vấn đề này Bởi vậy, failover sẽ mất một khoảngthời gian để thực hiện Thứ hai, chắc chắn lỗi sẽ không thể được dò ra nếu cable

sử dụng để nối hai thiết bị là cable chéo Ví dụ, khi bạn đang sử dụng cable chéo

để kết nối giữa hai thiết bị với nhau, nếu một interface bị lỗi trên failover link, haithiết bị sẽ không thể xác định được interface nào trong số hai interface là nguyênnhân của vấn đề Thực tế, ở version 6, bạn không thể sử dụng cable chéo Ciscokhuyến cáo rằng bạn kết nối tới từ thiết bị này tới thiết bị khác qua failover thì nên

sử dụng một switch thường ở giữa, hoặc sự dụng một hub

* PIX Cabling

Bây giờ bạn cần hiểu được hai loại liên kết – failover và state Chúng ta sẽbắt đầu với PIX trước, theo hình bên dưới, có khá nhiều sự lựa chọn Bỏ qua mộtliên kết stateful sẽ chỉ có dự phòng hardware được cung cấp Hai PIXs phải nốigần nhau, trong trường hợp này ta sử dụng serail cable cho failover link Đối vớithiết bị mà xa nhau hơn 3 meters, và bạn cũng cần sử dụng stateful failover,khuyến cáo bạn sử dụng cả hai failover và stateful links trên cùng một interface

Hình 2.4: Cáp cho PIX.

e Failover Triggers

Nhiều thứ có thể được trigger failover trên thiết bị : mất nguồn, một haynhiều interface fail, module fail, phần mềm gặp vấn đề với bộ nhớ, vài trường hợpkhác… được giải quyết với câu lệnh failover active trên thiết bị standby

Tình trạng failover Thời gian

mặc định

Thời gian nhỏ nhất

Thời gian lớn nhất

PIX chính bị tắt hoặc

stop một cách bình

thường

15 giây 800 mili giây 45 giây

Giao diện PIX chính up,

nhưng kết nối có vấn đề 25 iây 4 giây 75 iây

f Failover Link Monitoring

Hai loại cơ bản của interface được giám sát bởi cặp failover : failover link vàdata interfaces

Failover hello messages được sinh ra trên failover link cứ mỗi 15 giây bởimặc định Nếu không nhận được gói hello từ thiết bị bên kia, một ARP được sinh

ra trên tất cả các interface Nếu không có gói trả lời nào được nhận về từ thiết bịđối diện ở tất cả các interfaces, failover sẽ xảy ra, chuyển standby lên làm active.Nếu không có trả lời từ ARP được nhìn thấy trên failover link, nhưng vẫn thấy ởtrên các interface khác (sateful link hoặc data interfaces), failover sẽ không xảy ra.Trong trường hợp này, failover link được đánh dấu là bị fail