CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS CHƯƠNG CISCO PIX FIREWALL TRANSLATION Tổng quan: Chương bao gồm topic sau:  Mục đích  Các giao thức vận chuyển  Việc dịch PIX Firewall  Truy cập qua PIX Firewall  Các cách khác qua PIX Firewall  Tổng hợp  Lab exercise Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Mục đích Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Các giao thức vận chuyển Để thu hiểu biết sâu sắc tiến trình truyền ra/vào PIX Firewall, xem lại cách sơ lược hai giao thức vận chuyển Việc hiểu giao thức lớp vận chuyển TCP UDP quan trọng để hiểu cách thức hoạt động PIX Firewall Phần giúp bạn hiểu giao thức TCP UDP Một phiên thực giao thức lớp vận chuyển:  TCP – dễ kiểm tra  UDP – Khó khăn để kiểm tra cách đắn Note: Trong ngữ cảnh thuật ngữa outbound có nghĩa kết nối từ side tin cậy nhiều PIX Firewall đến side có tính tin cậy PIX Firewall Thuật ngữ inbound có nghĩa kết nối từ side có tính tin cậy đến side có tính tin cậy nhiều PIX Firewall Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS TCP giao thức kết nối có hướng Khi phiên từ host thuộc side an ninh PIX Firewall bắt đầu, PIX Firewall tạo log (bản ghi) session state filter (bộ lọc trạng thái phiên) PIX Firewall cho phép trích phiên từ lưu lượng mạng kích hoạt kiểm tra tính hợp thức chúng thời gian thực Stateful filter trì tham số (hoặc trạng thái) cho kết nối mạng kiểm tra đơn vị giao thức Khi TCP khởi tạo phiên với PIX Firewall, PIX Firewall ghi lại lưu lượng mạng xem phản hồi từ thiết bị mà cố gắng truyền thơng PIX Firewall sau cho phép lưu lượng qua kết nối dựa trình bắt tay bước Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Khi phiên TCP thiết lập PIX Firewall xảy điều đây: Gói tin IP từ host inside nguyên nhân phát sinh khe dịch (translation slot) Thông tin TCP nhúng sau sử dụng để tạo khe kết nối PIX Firewall Khe kết nối đánh dấu embryonic (chưa thiết lâp) PIX Firewall ngẫu nhiên khởi tạo số thứ tự kết nối, lưu trữ giá trị delta đẩy gói tin đến giao diện Bây PIX Firewall trơng đợi gói tin SYN/ACK từ host đích Sau PIX Firewall kết hợp với gói tin nhận dựa khe kết nối Tính tốn thơng tin thứ tự xếp đẩy gói tin ngược trở lại đến host inside Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS host inside hoàn thành cài đặt kết nối (bắt tay ba bước) với ACK Khe kết nối PIX Firewall đánh dấu kết nối (active-established) liệu truyền Bộ đếm embryonic sau reste lại cho kết nối Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS UDP giao thức kết nối khơng có hướng PIX Firewall cần giữ phương pháp để đảm bảo tính an ninh Các ứng dụng sử dụng UDP khó để đảm bảo tính an ninh khơng có q trình bắt tay xắp xếp thứ tự Nó khó để xác định trạng thái giao dịch UDP (đang mở, thiết lập, đóng) Nó khó khăn để trì trạng thái phiên khơng clear beginning (xóa từ đầu), trạng thái luông… Tuy nhiên PIX Firewall tạo khe kết nối UDP gói tin UDP gửi từ giao diện có mức an ninh cao đến giao diện có mức an ninh thấp Tất gói tin UDP kết hợp với khe kết nối đẩy mạng inside Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Khi khe kết nối UDP trạng thái nhàn rỗi mà lâu thời gian nhàn rỗi cho phép cấu hình bị xóa từ bảng kết nối Dưới số đặc trưng UDP:  UDP giao thức vận chuyển không tin cậy hiệu  Sự giả mạo gói tin UDP dễ (khơng có q trình bắt tay bước khơng có thứ tự) Khi mà khơng có trạng thái máy phần khởi tạo giao dịch trạng thái thường xác định  UDP không phân phối đảm bảo  UDP không quản lý tắc nghẽn tránh tắc nghẽn Các dịch vụ sử dụng UDP chia thành loại:  Các dịch vụ Request – reply (ping – pong) (DNS)  Flow services (video, VoIP, NFS) Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS PIX Firewall Translations Phần mơ tả tiến trình dịch PIX Firewall Có kiểu dịch Tĩnh động Sử dụng dịch tĩnh bạn muốn host inside luôn xuất với địa cố định mạng global PIX Firewall Dịch tĩnh sử dụng để ánh xạ địa host inside đến outside, địa global: Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS  Sử dụng lệnh static cho kết nối bên để đảm bảo gói tin khỏi host inside ln ln ánh xạ đến địa IP global cụ thể ( ví dụ: host inside DNS, SMTP)  Sử dụng riêng lệnh static cho kết nối bên mà cần ánh xạ đến địa IP global Những thơng tin giúp bạn xác định sử dụng dịch tĩnh PIX Firewall:  Không tạo statics với IP tĩnh chồng chéo Mỗi địa IP cần  Statics cần đảm bảo thứ tự cặp lệnh nat global  Nếu địa IP global swer dụng cho cho dịch địa cổng (PAT), không sử dụng địa IP global cho dịch tĩnh 10 Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên ... K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS TCP giao thức kết nối có hướng Khi phiên từ host thuộc side an ninh PIX Firewall bắt đầu, PIX Firewall tạo log (bản ghi) session... Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS PIX Firewall Translations Phần mô tả tiến trình dịch PIX Firewall Có kiểu dịch Tĩnh động Sử dụng dịch tĩnh bạn... Giáo_Lớp K3D_Khoa CNTT_ĐH Thái Nguyên CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Truy cập thông qua PIX Firewall Chỉ có cách cho phép truy cập thông qua PIX Firewall :  Valid user request – tất phiên