Thiết kế mạng an toàn sử dụng Pix firewall cho trường cao đẳng cơ khí luyện kim

Thiết kế mạng an toàn sử dụng Pix firewall cho trường cao đẳng cơ khí luyện kim.

LỜI NÓI ĐẦU

Công nghệ thông tin ngày nay được ứng dụng vào tất cả các lĩnh vực củacuộc sống Có thể thấy máy tính và mạng internet là thành phần không thể thiếucủa hầu hết các công ty, trở thành công cụ hỗ trợ đắc lực cho công việc hàngngày và các giao dịch.

Tuy nhiên, sự phát triển này cũng kèm theo vấn đề an ninh máy tính đangngày càng trở nên nóng bỏng Tội phạm máy tính là một trong những hành viphạm tội có tốc độ phát triển nhanh nhất trên toàn hành tinh Vì vậy, việc xâydựng một nền an ninh máy tính, thiết kế và quản trị mạng đảm bảo và có khảnăng kiểm soát rủi do liên quan đến việc sử dụng máy tính trở thành đòi hỏikhông thể thiếu ở nhiều lĩnh vực

Kịp thời nắm bắt xu hướng này, trong thời gian làm đồ án thực tập tốt

nghiệp em đã lựa chọn đề tài “Thiết kế mạng an toàn sử dụng PIX firewallcho trường Cao đẳng cơ khí luyện kim” Đồ án đề cập đến các nguy cơ cũng

như sự cần thiết của an ninh mạng, các đặc trưng và cấu hình cơ bản PIXfirewall Và cuối cùng là ứng dụng PIX firewall thiết kế mô hình mạng chotrường Cao đẳng cơ khí luyện kim.

LỜI CẢM ƠN

Sau thời gian 5 năm học tập và rèn luyện tại Khoa Công nghệ thông tin vàtruyền thông – Đại học Thái Nguyên, đến nay em đã hoàn thành đồ án tốt nghiệpvà kết thúc khóa học Em xin gửi lời cảm ơn chân thành đến lãnh đạo khoa, toànthể các thầy cô giáo đã tận tình giảng dạy trang bị cho chúng em những kiến thứcquý báu làm hành trang cho chúng em sau này.

Đặc biệt em xin gửi lời cảm ơn chân thành đến cô giáo Bùi Thị Mai Hoa– Bộ môn Kỹ thuật máy tính đã trực tiếp hướng dẫn, giúp đỡ em có thể hoàn

thành đồ án này Các ơn sự đóng góp ý kiến của các thầy cô, bạn bè để em có thểhoàn thành đồ án này.

Thái Nguyên, tháng 06 năm 2009.Sinh viên

Trần Giáo

LỜI CAM ĐOAN

Đồ án tốt nghiệp này đã hoàn thành đúng thời gian quy định và đáp ứngđược yêu cầu đề ra nhờ sự cố gắng nghiên cứu, học tập của bản thân và dưới sự

hướng dẫn trực tiếp của Th.s Bùi Thị Mai Hoa Em đã tham khảo một số tài liệu

nêu trong phần “ Tài liệu tham khảo ” và không hề sao chép nội dung từ bất kỳđồ án nào khác

Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, em xinchịu hoàn toàn trách nhiệm trước hội đồng

TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH 6

1 Sự cần thiết của an ninh mạng 6

2 Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng 7

3 Các mối đe dọa và tấn công mạng máy tính 8

3.1 Unstructured Threats (Các mối đe dọa không có cấu trúc) 8

3.2 Structured Threats (Các mối đe dọa có cấu trúc) 8

3.3 External Threats (Các mối đe dọa bên ngoài) 9

3.4 Internal Threats (Các mối đe dọa bên trong) 9

4 Các cách thức tấn công mạng máy tính 9

4.1 Sự thăm dò - Reconnaisance 9

4.2 Truy nhập - Access 10

4.3 Cấm các dịch vụ (DoS) - Denial of Service 10

4.4 Worms, Virus và Trojan Horses 11

5 Chính sách an ninh 12

5.1 The Security Wheel (bánh xe an ninh) 12

5.2 Bảo vệ và quản lý các điểm cuối 17

5.3 Bảo vệ và quản lý mạng 19

CHƯƠNG 2 23

TƯỜNG LỬA CISCO PIX FIREWALL 23

I Firewall và các kỹ thuật firewall 23

1 Firewall 23

2 Các kỹ thuật tường lửa 23

2.1 Kỹ thuật packet filtering 24

2.1 Kỹ thuật Proxy Server 25

2.3 Kỹ thuật stateful packet filtering 26

II Tổng quan về PIX Firewall 26

III Các dòng PIX Firewall và nguyên tắc hoạt động 27

1 Các dòng PIX Firewall 27

2 Nguyên tắc hoạt động của PIX Firewall 31

IV Các lệnh duy trì thông thường của PIX Firewall 33

CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX

3 Cấu hình Nat Control 49

4 Sử dụng Dynamic NAT và PAT 49

5 Sử dụng lệnh Static NAT 55

6 Sử dụng Static PAT 56

III ACCESS LIST 56

1 Tổng quan về access list 56

1.1 Thứ tự các ACE 57

1.2 Access Control Implicit Deny 57

1.3 Địa chỉ IP được sử dụng cho access list khi sử dụng NAT 57

2 Cấu hình access list 59

2.1 Câu lệnh access – list 59

2.2 Câu lệnh access – group 60

CHƯƠNG 4 61

THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG 61

CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL 61

I Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp 61

1 Hiện trạng hệ thống 61

2 Đánh giá hiệu năng và mức an toàn của hệ thống 62

3 Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường 63

II Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall 64

1 Sơ đồ thiết kế hệ thống mới 64

Trong một nghiên cứu gần đây của Computer Security Institute (CIS),70% các tổ chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ thủng và 60%trong số đó nguyên nhân là do chính trong nội bộ công ty của họ.

Cùng với sự phát triển của máy tính, mạng LAN và mạng Internet, hệ thốngmạng ngày nay càng được mở rộng Khi thương mại điện tử và nhiều ứng dụng trênInternet phát triển, việc tìm ra các phương thức an toàn thông tin là điều vô cùngquan trọng, kèm theo đó là khả năng tìm và nhận dạng những mối nguy hiểm gâyhại cho hệ thống thông tin Hơn nữa sự phát triển của thế giới mạng di động vàmạng không dây đã đánh dấu những bước tiến vượt bậc trong thế giới công nghệthông tin, loại bỏ những mô hình cũ đồng thời yêu cầu có những giải pháp bảo mậtlinh hoạt hơn, hiệu quả hơn.

Việc sử dụng máy tính đã trở nên phổ biến, số lượng máy tính ngày càngtăng, hệ thống mạng LAN theo đó cũng tăng theo, mạng toàn cầu Internet được sửdụng rộng rãi kéo theo đó là sự xuất hiện những nguy cơ mới về bảo mật, khó kiểmsoát hơn Để giải quyết những nguy cơ này, giải pháp được đưa ra là sử dụng thiếtbị tường lửa (firewall), công nghệ này giúp cho các doanh nghiệp khả thi hơn trongbảo mật thông tin của mình khi truy cập Internet.

Ngày nay những yêu cầu đặt ra cho hệ thống bảo mật bao gồm :  Người sử dụng chỉ có thể thực thi những quyền lợi được cấp phép. Người sử dụng chỉ có được những thông tin, dữ liệu được cho phép.

 Người sử dụng không thể phá hủy dữ liệu, thông tin hay những ứng dụng màhệ thống sử dụng.

2 Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng

Việc phân tích các rủi ro có thể xác định được các mối nguy cơ đối vớimạng, tài nguyên mạng và dữ liệu mạng Mục đích của việc làm này là xác định cácthành phần của mạng, đánh giá tầm quan trọng của mỗi thành phần và sau đó ápdụng mức độ bảo mật phù hợp.

+ Asset Identification (nhận diện tài sản trong mạng)

Trước khi ta tiến hành bảo mật cho mạng, cần phải xác định các thành phầncó trong mạng Mỗi cơ quan hay tổ chức nên tiến hành kiểm kê tài sản tồn tại trongmạng của mình.Các tài sản đó bao gồm cả các thiết bị mạng và các điểm cuối( endpoint) như host, server.

+ Vulnerability Assenssment ( đánh giá các lỗ hổng hệ thống )

Các thành phần của mạng máy tính luôn luôn đứng trước nguy cơ bị tấn côngtừ những kẻ xấu Nguyên nhân có thể do sự yếu kém về công nghệ, về các cấu hìnhhoặc do chính sách an ninh chưa thỏa đáng Tuy nhiên, có thể hạn chế hay khốngchế các cuộc tấn công này bằng nhiều phương thức khác nhau như: sử dụng phầnmềm, cấu hình lại thiết bị mạng, hoặc là triển khai các biện pháp đối phó (Firewall,phần mềm Anti-virus ).

+ Threat Identification ( nhận diện các mối đe dọa )

Một lời đe dọa là một sự kiện mang lại lợi thế cho các cuộc tấn công mạngmáy tính và là nguyên nhân của các tác động không tốt trên mạng Vì vậy, việc xácđịnh các mối đe dọa tiềm ẩn trong mạng là rất quan trọng, các cuộc tấn công liênquan cần được lưu ý để hạn chế, giảm bớt mức độ nguy hiểm.

3 Các mối đe dọa và tấn công mạng máy tính

Có 4 mối đe dọa chính đối với an ninh mạng

Hình 1 Các mối đe dọa đối với an ninh mạng

3.1 Unstructured Threats (Các mối đe dọa không có cấu trúc)

Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh

nghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet Một số người thuộcdạng này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài tríóc và rất tầm thường Phần lớn họ không phải là những người tài giỏi hoặc là nhữngattacker có kinh nghiệm, nhưng họ có những động cơ thúc đẩy, mà những động cơđó đều quan trọng.

3.2 Structured Threats (Các mối đe dọa có cấu trúc)

Mối đe dọa có cấu trúc bao gồm các attacker, những người có động cơ cao

hơn và có kỹ thuật thành thạo hơn Thông thường họ hiểu biết về thiết kế hệ thốngmạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn mãđể thâm nhập vào những hệ thống mạng này

3.3 External Threats (Các mối đe dọa bên ngoài)

Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên

ngoài công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máytính của công ty Họ làm việc theo cách thức của họ để vào trong mạng chính từmạng Internet hoặc mạng quay số truy cập vào servers

3.4 Internal Threats (Các mối đe dọa bên trong)

Mối đe dọa từ bên trong xảy ra khi một số người có quyền truy cập đến hệ

thống mạng thông qua một tài khoản trên một server hoặc truy cập trực tiếp thôngqua môi trường vật lý Thông thường những người này đang có bất bình với nhữngthành viên hiện tại hoặc trước đó hoặc bất bình với giám đốc công ty hoặc các chínhsách của công ty.

thu thập thông tin Trong hầu hết các trường hợp nó xảy ra trước so với các hànhđộng truy xuất hợp pháp khác hoặc là tấn công theo kiểu DoS Kẻ thâm nhập đầutiên sẽ quét mạng đích để xác định các địa chỉ IP còn hoạt động Sau khi hoàn thànhviệc này, tin tặc sẽ quyết định các dịch vụ hoặc các cổng được kích hoạt trên các địachỉ IP này Từ những thông tin này, tin tặc tính toán để quyết định ứng kiểu của ứngdụng và phiên bản cũng như là kiểu và phiên bản của hệ điều hành đang chạy trênhost đích.

4.2 Truy nhập - Access

Truy cập là một hình thức vượt qua giới hạn để xử lý dữ liệu trái phép, truycập hệ thống hoặc tiến vào chế độ đặc quyền Truy tìm dữ liệu trái phép thôngthường là việc đọc, ghi, sao chép hoặc gỡ bỏ các files mà nó không thể được sửdụng bởi những kẻ thâm nhập Truy cập hệ thống là khả năng của kẻ thâm nhậpdành quyền truy cập vào một máy mà nó không được phép truy cập (ví dụ như kẻthâm nhập không có tài khoản hoặc mật khẩu) Nhập hoặc truy cập vào hệ thống mà

nó không có quyên truy cập thông thường bao gồm việc chạy các hack, các đoạn

kịch bản hoặc các công cụ để khai thác các lỗ hổng của hệ thống hoặc các ứngdụng.

Một dạng khác của tấn công theo kiểu truy cập là tiến tới chế độ đặc quyền.Việc này được thực hiện bởi những người sử dụng hợp pháp với quyền truy cậpthấp hoặc đối với những kẻ thâm nhập có quyền truy cập thấp Mục đích là để thuthập thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cậphiện tại

Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập màkhông muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mòhoặc là do không biết gì.

4.3 Cấm các dịch vụ (DoS) - Denial of Service

Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ(Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nóđược thiết kế Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện

cập thông tin trên mạng Một thí dụ về trường hợp có thể xảy ra là một người trênmạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó Khinhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau chođến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máykhác đến trạm không được phục vụ

Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyêngiới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp Do vậyloại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetricattack) Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với mộtmodem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh haynhững mạng có cấu hình phức tạp.

4.4 Worms, Virus và Trojan Horses

Worm (sâu máy tính) là một loại virus máy tính chuyên tìm kiếm mọi dữ liệutrong bộ nhớ hoặc trong đĩa, làm thay đổi bất kỳ dữ liệu nào mà nó gặp Hành độngthay đổi này có thể là chuyển các ký tự thành các con số hoặc là trao đổi các byteđược lưu trữ trong bộ nhớ Những dữ liệu bị hỏng thường không khôi phục được.

Virus hay chương trình virus là một chương trình máy tính được thiết kế màcó thể tự lây lan bằng cách gắn vào các chương trình khác và tiến hành các thao tácvô ích, vô nghĩa, đôi khi là phá hoại Khi virus phát tác chúng gây nhiều hậu quảnghiêm trọng: từ những thông báo sai lệch đến những tác động làm lệch lạc khảnăng thực hiện của phần mềm hệ thống hoặc xóa sạch mọi thông tin trên đĩa cứng.

Trojan Horse (con ngựa thành Troa) là một chương trình xuất hiện để thựchiện chức năng có ích, đồng thời có chứa các mã hoặc các lệnh ẩn gây hỏng đối vớihệ máy đang chạy nó.

Các phần mềm nguy hiểm trên được cài đặt vào các máy tính nhằm phá hủy,hư hại hệ thống hoặc ngăn chặn các dịch vụ, các truy nhập tới mạng Bản chất vàmức độ nguy hiểm của những mối đe dọa này thay đổi theo thời gian Những virusđơn giản từ những năm 80 đã trở nên phức tạp hơn và là những virus phá hủy, làcông cụ tấn công hệ thống trong những năm gần đây Khả năng tự lan rộng của “sâumáy tính” đem lại những mối nguy hiểm mới Như trước đây chúng cần tới vài ngàyhay vài tuần để tự lan rộng thì ngày nay chúng có thể lan rộng trên toàn thế giới chỉ

trong vòng vài phút Một ví dụ là “sâu” Slammer bắt đầu từ tháng 01/2003, đã nhânrộng trên toàn thế giới chỉ dưới 10 phút Người ta cho rằng các thế hệ tiếp theo củavirus có thể tấn công chỉ trong vài giây Những loại “sâu máy tính” và virus này cóthể làm được nhiều nhiệm vụ khác nữa, không chỉ đơn thuần là phá hủy tài nguyênmạng, chúng còn được sử dụng để phá hủy những thông tin đang truyền trên mạnghoặc xóa ổ cứng Vì vậy trong tương lai sẽ có một mối đe dọa rất lớn ảnh hưởngtrực tiếp tới cơ sở hạ tầng của hệ thống mạng.

5 Chính sách an ninh

Những nguy cơ đe dọa hệ thống mạng không thể bị loại trừ hay ngăn chặnhoàn toàn Tuy nhiên, việc đánh giá và quản lý ảnh hưởng của những nguy cơ trênsẽ góp phần giảm thiểu số lượng cuộc tấn công và những thiệt hại kèm theo chúng.Mức độ rủi ro chấp nhận được phụ thuộc vào khả năng của từng doanh nghiệp.

Một chính sách an ninh là thành phần quan trọng trong việc quyết định nguycơ này được quản lý như thế nào Chính sách an ninh được hiểu là những phát biểuhình thức của những quy tắc mà theo đó những người có quyền truy nhập vào cáccông nghệ, tài sản, và thông tin của một tổ chức nào đó phải tuân theo.

5.1 The Security Wheel (bánh xe an ninh)

An ninh mạng cần phải là một tiến trình liên tục được xây dựng dựa trên các

vì nó xúc tiến quá trình tái áp dụng và tái kiểm tra các cập nhật bảo mật dựa trên cơsở liên tục Tiến trình an ninh liên tục này tiêu biểu cho Security Wheel.

Để bắt đầu tiến trình liên tục này cần phải tạo một chính sách an ninh mà nócho phép bảo mật các ứng dụng Một chính sách an ninh cần phải thực hiện nhữngnhiệm vụ sau:

 Nhận dạng mục đích bảo mật của tổ chức Tài liệu về tài nguyên cần bảo vệ.

 Nhận dạng cơ sở hạ tầng mạng với sơ đồ hiện tại và một bản tóm tắt.Để tạo hoặc thực thi một chính sách an ninh có hiệu quả, cần phải xác địnhcái mà ta muốn bảo vệ và bảo vệ nó như thế nào Cần phải có hiểu biết vể các điểmyếu hệ thống mạng và cách mà người ta có thể khai thác nó Cũng cần phải hiểu vềcác chức năng thông thường của hệ thống vì thế mà chúng ta phải biết là chúng tacần cái gì và nó cũng giống với cách mà các thiết bị thông thường được sử dụng.Cuối cùng là cân nhắc đến an ninh về mặt vật lý của hệ thống mạng và cách bảo vệnó Việc truy xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có thểmang lại cho người sử dụng khả năng tổng điều khiển trên toàn bộ thiết bị.

Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an ninh ở phía trên - bốn bước kế tiếp của Security Wheel cần dựa vào:

Bước 1: Bảo mật hệ thống: bước này bao gồm việc cung cấp các thiết bị bảo mật

như tường lửa, hệ thống chứng thực, mã hóa,…với mục đích là ngăn chặn sự truycập trái phép đến hệ thống mạng Đây chính là điểm mà các thiết bị tường lửa bảomật của Cisco có hiệu quả nhất.

Bước 2: Theo dõi hệ thống mạng về các vi phạm và sự tấn công chống lại chính

sách bảo mật của công ty Các vi phạm có thể xảy ra từ bên trong vành đai an ninhcủa mạng do sự phẫn nộ của những người lao động hoặc là từ bên ngoài do cácattacker Việc kiểm tra mạng với hệ thống phát hiện sự xâm nhập thời gian thực nhưlà Cisco Secure Intruction Detection System ( hệ thống phát hiện sự thâm nhập bảomật của Cisco) có thể đảm bảo các thiết bị bảo mật trong bước 1 được cấu hìnhđúng.

Bước 3: Kiểm tra hiệu quả của hệ thống bảo mật Sử dụng thiết bị quét bảo mật của

Cisco ( Cisco Secure Scanner) để nhận dạng tình trạng an toàn của mạng.

Bước 4: Hoàn thiện an ninh của công ty Sưu tầm và phân tích các thông tin từ các

pha kiểm tra, thử nghiệm để hoàn thiện hơn

Cả bốn bước – Bảo mật, theo dõi, kiểm tra và hoàn thiện – cần được lặp đi lặp lạiliên tục và cần phải kết hợp chặt chẽ với các phiên bản cập nhật chính sách an ninhcủa công ty

5.1.1 Bảo mật hệ thống

Bảo mật mạng bằng cách áp dụng các chính sách an ninh và thực thi các chính sáchan ninh dưới đây:

 Chứng thực: chỉ đem lại quyền truy cập của người sử dụng

 Mã hóa: Ẩn các luồng nội dung nhằm ngăn cản sự phát hiện không mongmuốn đối với các cá nhân có âm mưu phá hoại hoặc cá nhân trái phép

 Tường lửa: Lọc các lưu lượng mạng chỉ cho phép các lưu lượng và dịch vụhợp pháp truyền qua

 Vá lỗi: Áp dụng việc sửa chữa hoặc xử lý để dừng quá trình khai thác các lỗhổng được phát hiện Công việc này bao gồm việc tắt các dịch vụ không cầnthiết trên mỗi hệ thống, chỉ cho vài dịch vụ được phép chạy, gây khó khăncho việc truy cập của attacker.

Ngoài ra chúng ta cần phải thực thi các giải pháp an ninh mặt vật lý để ngăn cảnviệc truy cập trái phép mặt vật lý đến hệ thống mạng

5.1.2 Theo dõi sự an toàn

Viểm theo dõi hệ thống mạng đối với sự xâm nhập trái phép và các cuộc tấncông chống lại chính sách an ninh của công ty Các cuộc tấn công này có thể xảy ratrong vành đai an ninh của hệ thống mạng từ những người lao động có âm mưuhoặc từ bên ngoài hệ thống mạng Việc kiểm tra hệ thống mạng cũng cần thực hiệnvới các thiết bị phát hiện sự xâm nhập thời gian thực như là Cisco Secure IntrusionDetection System (CSIDS) Những thiết bị này trợ giúp bạn trong việc phát hiện racác phần trái phép và nó cũng có vai trò như là một hệ thống kiểm tra – cân bằng

(check – balance system) để đảm bảo rằng các thiết bị trong bước 1 của Security

Wheel được cấu hình và làm việc đúng đắn.

5.1.3 Kiểm tra

Việc kiểm tra là cần thiết Bạn có thể có một hệ thống an ninh mạng tinh vinhất, nhưng nếu nó không làm việc thì hệ thống mạng của bạn có thể bị tấn công.Điều này giải thích tại sao bạn cần phải kiểm tra, chạy thử các thiết bị trong bước 1và bước 2 để đảm bảo chúng thực hiện đúng chức năng Cisco Secure Scanner (thiếtbị quét bảo mật của Cisco) được thiết kế để đánh giá độ bảo mật của hệ thống mạng

5.1.4 Hoàn thiện

Pha hoàn thiện của Security Wheel bao gồm việc phân tích dữ liệu được tổnghợp từ hai pha kiểm tra và chạy thử nghiệm Kỹ thuật phát triển và hoàn thiện nó phục vụ cho chính sách an ninh của chúng ta và nó bảo mật cho pha trong bước 1 Nếu muốn duy trì hệ thống mạng được bảo mật thì cần phải lặp lại chu trình của Security Wheel bởi vì lỗ hổng và nguy cơ bị xâm phạm của hệ thống mạng luôn được tạo ra hàng ngày.

5.2 Bảo vệ và quản lý các điểm cuối

5.2.1 Công nghệ và các thành phần an ninh cơ bản trên host và server

Các máy tính và server cần được bảo vệ khi chúng tham gia vào mạng Phầnmềm chống virus, firewall và dò tìm xâm nhập là những công cụ hữu ích được sửdụng để đảm bảo an toàn cho các máy, server.

Device hardening

Khi một hệ điều hành mới được cài đặt trên máy tính, các thiết đặt về bảomật là những giá trị mặc định Trong phần lớn trường hợp, những mức độ bảo mật

 Nên thay đổi ngay tên người dùng và mật khẩu.

 Hạn chế những truy nhập vào tài nguyên hệ thống, chỉ cho phép những cánhân có quyền hợp pháp truy nhập.

 Bất kỳ dịch vụ hay ứng dụng nào không cần thiết nên tắt đi và gỡ bỏ cài đặtkhi có thể.

Bức tường lửa cá nhân

Máy tính cá nhân kết nối Internet thông qua kết nối quay số, DSL, hoặc cápmodem cũng có thể bị nguy hiểm như những mạng lớn Bức tường lửa cá nhân cưtrú trên máy tính của người dùng và cố gắng ngăn chặn các cuộc tấn công Một sốphần mềm đóng vai trò bức tường lửa cá nhân là McAfee, Norton, Symatec, ZoneLabs…

Phần mềm kháng virus – Antivirus

Cài đặt phần mềm kháng virus để bảo vệ hệ thống tránh khỏi sự tấn công củavirus đã biết Các phần mềm này có thể phát hiện hầu hết virus và nhiều ứng dụngcủa chương trình Trojan horse, ngăn chặn chúng phát tán trên mạng.

Những “miếng vá” hệ điều hành

Một cách hiệu quả để giảm nhẹ ảnh hưởng của “sâu máy tính” và những biếnthể của nó là sửa chữa tất cả các hệ thống đã bị xâm phạm Đây là điều rất khó đốivới những hệ thống người dùng không kiểm soát được và càng khó khăn hơn nếunhững hệ thống này là kết nối từ xa tới mạng thông qua mạng riêng ảo (VPN) hayserver truy nhập từ xa (RAS) Việc điều hành nhiều hệ thống đòi hỏi tạo ra một ảnhphần mềm chuẩn mà được triển khai trên những hệ thống mới hay những hệ thốngđã được nâng cấp Những ảnh này có thể không lưu trữ sự sửa chữa mới nhất và quátrình liên tục làm lại ảnh sẽ làm tốn thời gian quản trị.

 Dò tìm: xác định các cuộc tấn công nguy hiểm trên mạng và tài nguyên trênmáy

 Ngăn chặn: dừng lại các cuộc tấn công bị phát hiện

 Phản ứng: phòng ngừa hệ thống trước các cuộc tấn công trong tương lai.

5.2.2 Quản lý máy tính cá nhân (PC)

Kiểm kê máy và bảo trì

Những người có trách nhiệm nên duy trì các cuộc kiểm kê chi tiết tất cả cácmáy tính trên mạng như các trạm làm việc, server, laptop…Có thể kiểm kê số serialcủa máy; kiểu phần cứng, phần mềm được cài đặt, tên các cá nhân được nhận phảnhồi từ máy Khi các thành phần phần cứng, phần mềm hoặc các thiết bị lưu trữ đượcthay thế thì quá trình kiểm kê cũng phải cập nhật những thay đổi Một việc làm cầnthiết nữa là đào tạo những người làm trong tổ chức để họ có thể giữ an toàn chomáy.

Cập nhật phần mềm kháng virus

Khi virus mới hoặc những ứng dụng mới dạng chương trình “những chúngựa thành Troa” được phát hiện, doanh nghiệp cần cập nhật phần mềm kháng virusmới nhất và phiên bản mới nhất của ứng dụng.

Để quá trình quét virus thành công, nên hoàn thành những việc sau: Quét những file thường dùng trong máy

 Cập nhật danh sách virus và các dấu hiệu

 Theo dõi thường xuyên những cảnh báo từ những máy scanner

5.3 Bảo vệ và quản lý mạng

5.3.1 Các thành phần và công nghệ cơ sở của an ninh mạng

Firewall trên nền trang thiết bị (Appliance-based Firewalls)

Firewall trên nền trang thiết bị được thiết kế với nền tảng không có ổ cứng.Điều này cho phép quá trình Boot nhanh hơn, kiểm tra giao thông ở tốc độ dữ liệubậc cao và giảm nhẹ thất bại Giải pháp của Cisco bao gồm một IOS Firewall được

cài đặt và cấu hình trên Router của Cisco PIX là một giải pháp bảo mật phần cứngvà phần mềm cung cấp công nghệ lọc gói và proxy server.

Một số nhà cung cấp Firewall trên nền trang thiết bị là Juniper, Nokia,Symatec, Watchguard và Nortel Networks Đối với những mạng trong phạm vi giađình thì thích hợp với Linksys, Dlink, Netgear, SonicWALL.

Firewall trên nền server

Giải pháp Firewall trên nền server chạy trên hệ điều hành mạng như UNIX,NT hay WIN2K, Novell Nó là giải pháp mà kết hợp một firewall, điều khiển truynhập và những đặc điểm của mạng riêng ảo trong một gói.Ví dụ về các giải pháptrên là Microsoft ISA Server, Linux, Novell, BorderManager, Checkpoint Firewall-1.

Mức độ bảo mật của Firewall trên nền server có thể nhỏ hơn của Firewalltrên nền trang thiết bị.

Mạng riêng ảo VPN

Một mạng riêng ảo là bất kỳ mạng máy tính nào được xây dựng trên mộtmạng công cộng và được phân chia sử dụng cho các cá nhân riêng lẻ FrameRelay,X25 và ATM được xem là các VPN lớp 2 trong mô hình OSI Những dạng khác củaVPN là các IP VPN, được xem là các VPN lớp 3.

Về căn bản, có 3 dạng khác nhau của VPN mà doanh nghiệp sử dụng

 Site-to-site extranet and intranet VPNs

Hình 2.6 Remote-access VPNs

Hình 2.7 Site-to-site extranet and intranet VPNs

Sự tin cậy và định danh

Định danh được xem là sự nhận dạng đúng đắn, chính xác các user, các máytính, các ứng dụng, các dịch vụ và tài nguyên Các công nghệ chuẩn này cho phépnhận ra các giao thức chứng thực như Remote Access Dial-In User Service(RADIUS), Terminal Access Controller Access Control System Plus (TACACS+),Kerberos và công cụ OTP (one time password) Một số công nghệ mới như chứngthực số, thẻ thông minh…ngày càng đóng vai trò quan trọng trong giải pháp địnhdanh.

5.3.2 Quản lý an ninh mạng

Mục đích của quản lý an ninh mạng là điều khiển việc truy nhập tài nguyênmạng Nó ngăn chặn sự phá hoại mạng máy tính và những người dùng trái phéptruy nhập những thông tin nhạy cảm Ví dụ, một hệ thống quản lý an ninh có thểtheo dõi việc đăng ký vào tài nguyên mạng và từ chối những truy nhập có mã truynhập không thích hợp.

Hệ thống quản lý an ninh mạng làm việc bằng cách phân chia tài nguyênmạng thành những khu vực được phép và khu vực không được phép.

Hệ thống này thực thi một số chức năng như sau: Định nghĩa tài nguyên mạng “nhạy cảm”.

 Quyết định sơ đồ giữa các tài nguyên đó với các thiết đặt của người dùng.

 Theo dõi các điểm truy cập tới những tài nguyên đó và khóa những truy nhậpkhông hợp lệ.

Cấu trúc điển hình của một hệ thống quản lý an ninh gồm một trạm quản lýlàm nhiệm vụ theo dõi và quản lý các thiết bị như Router, Firewall, các thiết bịVPN, bộ cảm biến IDS Phần mềm “Giải pháp quản lý an ninh” (VMS) là một vídụ VMS bao gồm một tập các ứng dụng trên nền Web để cấu hình, theo dõi, gỡ rốicho VPNs, firewall…

Ngoài ra, Cisco còn cung cấp miễn phí thiết bị quản lý GUI để cấu hình, theodõi các Firewall đơn, bộ cảm biến IDS hoặc Router.

Sự kiểm soát

Sự kiểm soát an ninh là rất cần thiết để xác định và theo dõi những chínhsách an ninh đối với một cơ sở hạ tâng mạng có được thực hiện đúng hay không.Việc đăng ký và theo dõi các sự kiện sẽ giúp phát hiện ra bất kỳ hành vi nào bấtbình thường.

Để kiểm tra hiệu lực của cơ sở hạ tầng an ninh, sự kiểm soát an ninh phảiđược thực thi thường xuyên và tại nhiều vị trí khác nhau Nên kiểm soát việc cài đặtcác hệ thống mới, phương pháp phát hiện những hành động nguy hiểm, sự xuất hiệncủa những vấn đề đặc biệt, ví dụ như các cuộc tấn công DoS.

Việc hiểu được quá trình vận hành của hệ thống, biết được những hành vinào là đúng – không đúng và sử dụng thành thạo các thiết bị sẽ giúp các tổ chứcphát hiện ra các vấn đề về an ninh mạng Những sự kiện không bình thường lànhững dấu hiệu cảnh báo, góp phần ngăn chặn kẻ xấu trước khi chúng phá hủy hệthống Công cụ kiểm soát an ninh có thể giúp các doanh nghiệp, các tổ chức pháthiện, ghi chép và theo dõi những sự kiện bất thường đó.

Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, một tường lửa là một hệ thốnghoặc một nhóm hệ thống yêu cầu một chính sách điều khiển việc truy cập giữa haihoặc nhiều hơn hai mạng.

2 Các kỹ thuật tường lửa

Tường lửa hoạt động dựa trên một trong ba kỹ thuật sau:

 Packet filtering – Giới hạn thông tin truyền sang một mạng dựa trên thông tinheader của gói tin.

 Proxy Server – Yêu cầu sự kết nối chuyển tiếp giữa một client bên trong củatường lửa và mạng Internet

 Stateful packet filtering – Kết hợp tốt nhất hai kỹ thuật packet filtering vàproxy server

2.1 Kỹ thuật packet filtering

Một tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một

mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác.

Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một

tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các biếnkhác.

Phương pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạngkhông được bảo vệ khác Bất kỳ gói tin nào được gửi đến một mạng đã được bảo vệvà không đúng với các tiêu chuẩn được định nghĩa bởi ACLs đều bị hủy.

Những có một số vấn đề với packet filtering

 Các gói tin bất kỳ có thể được gửi đi mà nó phù hợp với các tiêu chuẩn củaACL thì sẽ đi qua được bộ lọc

 Các gói tin có thể đi qua được bộ lọc theo từng đoạn

 ACL phức tạp là rất khó thực thi và duy trì một cách đúng đắn Một số dịch vụ không thể lọc

2.2 Kỹ thuật Proxy Server

Một Proxy server là một thiết bị tường lửa mà nó quyết định một gói tin tạilớp cao hơn của mô hình OSI Thiết bị này có giá trị ẩn dữ liệu bằng cách yêu cầungười sử dụng giao tiếp với một hệ thống bảo mật có nghĩa là một proxy Người sửdụng dành quyền truy cập đến một mạng bằng cách đi qua một tiến trình, tiến trìnhđó sẽ thiết lập một trạng thái phiên, chứng thực người dùng và chính sách cấpquyền Điều này có nghĩa là người sử dụng kết nối đến các dịch vụ bên ngoài thôngqua chương trình ứng dụng (proxies) đang chạy trên cổng dùng để kết nối đến vùngkhông được bảo vệ phía ngoài

Tuy nhiên cũng có những vấn đề với Proxy server bởi bì nó:

 Tạo một cùng lỗi chung, nó có nghĩa là nếu cổng vào mạng bị sập thì sau đótoàn bộ mạng cũng bị sập theo

 Nó rất khó để thêm các dịch vụ mới vào tường lửa Thực thi các ứng suất chậm

2.3 Kỹ thuật stateful packet filtering

Stateful packet filtering là một phương pháp được sử dụng bởi thiết bị tường

lửa PIX của Cisco Kỹ thuật này duy trì trạng thái phiên đầy đủ Mỗi khi một kếtnối TCP/UDP được thiết lập cho các kết nối vào hoặc ra Thông tin này được tập

hợp trong bảng Stateful session flow.

Bảng stateful session flow chứa địa chỉ nguồn và đích, số cổng, thông tin số thứ tự

TCP và thêm thông tin các cờ cho mỗi kết nối TCP/UDP kết hợp với các phiên đó.Thông tin này tạo nên các đối tượng kết nối và do đó các gói tin vào và ra được so

sánh với lưu lượng phiên trong bảng stateful session flow Dữ liệu được phép qua

tường lửa chỉ khi nếu một kết nối thích hợp tồn tại đánh giá tính hợp pháp đi quacủa dữ liệu đó

Phương pháp này có hiệu quả bởi vì:

 Nó làm việc trên các gói tin và các kết nối

 Nó hoạt động ở mức cao hơn so với packet filtering hoặc sử dụng proxy

 Nó ghi dữ liệu trong một bảng cho mỗi kết nối Bảng này như là một điểmtham chiếu để xác định gói tin có thuộc về một kết nối đang tồn tại haykhông hoặc là từ một nguồn trái phép

II Tổng quan về PIX Firewall

PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end

của Cisco PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyêndụng và mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thi của hệ thống

mạng Nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ thuật packetfiltering và proxy server

PIX Firewall cung cấp các đặc tính và các chứ năng sau:

 Apdaptive Security Algorithm (ASA) – thực hiện việc điều khiển các kết nối

stateful thông qua PIX Firewall

 Cut – through proxy – Một người sử dụng phải dựa trên phương pháp chứngthực của các kết nối vào và ra cung cấp một hiệu suất cải thiện khi so sánh nóvới proxy server

 Stateful failover – PIX Firewall cho phép bạn cấu hình hai đơn vị PIXFirewall trong một topo mà có đủ sự dư thừa

 Stateful packet filtering – Một phương pháp bảo mật phân tích các gói dữliệu mà thông tin nằm trải rộng sang một bảng Để một phiên được thiết lậpthông tin về các kết nối phải kết hợp được với thông tin trong bảng

PIX Firewall có thể vận hành và mở rộng cấp độ được với các ISPes, các ISPec baogồm một lưới an ninh và các giao thức chứng thực như là Internet Key Exchange(IKE) và Public Key Infrastructure (PKI) Các máy clients ở xa có thể truy cập mộtcách an toàn đến mạng của công ty thông qua các ISPs của họ

III Các dòng PIX Firewall và nguyên tắc hoạt động.1 Các dòng PIX Firewall

 Thông lượng là 60 Mbps đối với dữ liệu text

 Hỗ trợ 1 cổng 10/100BASE-T Ethernet và 1 switch 4 cổng

 Thông lượng là 100 Mbps đối với dữ liệu text

 Thông lượng VPN

 Không thể kết nối nhiều hơn 25 mạng VPN ngang hàng đồng thời

Với phiên bản 6.3, có hai tùy chọn mã hóa VPN: DES với 56 bit mã hóahoặc 3DES với 168 bit mã hóa 3DES và 256 bit mã hóa AES.

PIX 525

2 Nguyên tắc hoạt động của PIX Firewall

Nguyên tắc chung của firewall (kể cả firewall dạng phần mềm như proxy haydạng thiết bị cứng như là PIX) là bắt gói dữ liệu đi ngang qua nó và so sánh với cácluật đã thiết lập Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì hủygói dữ liệu PIX firewall hoạt động dựa trên cơ chế ASA (Adaptive SecurityAlgorithm) sử dụng Security level (mức độ bảo mật) Giữa hai cổng thì một sẽ cóSecurity level cao hơn, một có Security level thấp hơn

Vấn đề cốt lõi của các thiết bị an ninh là thuật toán An ninh tổng hợp(Adaptive Security Algorithm - ASA) Giải thuật ASA duy trì vành đai an toàn giữacác mạng điều khiển bởi thiết bị an ninh ASA tuân theo các quy luật sau:

 Không gói tin nào đi qua PIX mà không có một kết nối và trạng thái

 Cho phép các kết nối ra bên ngoài, trừ những kết nối bị cấm bởi danh sáchđiều khiển truy nhập ACLs Một kết nối ra bên ngoài có thể là một nguồnhoặc một client ở cổng có mức bảo mật cao hơn nơi nhận hoặc server Cổngcó mức bảo mật cao nhất là inside với giá trị là 100, cổng có mức bảo mậtthấp nhất là outside với giá trị là 0 Bất kỳ cổng nào khác cũng có thể có mứcbảo mật nhận giá trị từ 1 đến 99.

 Cấm các kết nối vào bên trong, ngoại trừ những kết nối được phép Một kếtnối vào bên trong là một nguồn hoặc client ở cổng hay mạng có mức bảo mậtthấp hơn nơi nhận hoặc server.

 Tất cả các gói ICMP đều bị cấm, trừ những gói được phép Mọi sự thử nghiệm nhằm phá vỡ các quy tắc trên đều bị hủy bỏ

Trên mỗi cổng của PIX có các mức độ bảo mật (Security-level), xác địnhmột giao tiếp (interface) là tin cậy, được bảo vệ hay không tin cậy, được bảo vệ ít vàtương quan với các giao tiếp khác như thế nào Một giao tiếp được xem là tin cậytrong mối quan hệ với các giao tiếp khác nếu nó có mức độ bảo mật cao hơn.

Quy tắc cơ bản về mức độ bảo mật là: Dữ liệu có thể đi vào PIX thông quamột interface với Security level cao hơn , đi qua PIX và đi ra ngoài thông qua

level thấp hơn không thể đi qua PIX và đi ra ngoài thông qua interface có Security

level cao hơn nếu trên PIX không có cấu hình conduit hoặc access-list để cho phép

nó thực hiện điều này Các mức bảo mật đánh số từ 0 đến 100.

 Mức 0: Là mức thấp nhất, thiết lập mặc định cho outside interface (cổng ra )của PIX, thường dành cho cổng kết nối ra Internet Vì 0 là mức bảo mật ít antoàn nhất nên các untrusted network thường ở sau interface này Các thiết bịở outside chỉ được phép truy nhập vào PIX khi nó được cấu hình để làm điềuđó.

 Mức 100: Là mức cao nhất cho một interface Nó được sử dụng cho insideinterface ( cổng vào ) của PIX, là cấu hình mặc định cho PIX và không thểthay đổi Vì vậy mạng của tổ chức thường ở sau interface này, không ai cóthể truy nhập vào mạng này trừ khi được phép thực hiện điều đó Việc chophép đó phải được cấu hình trên PIX; các thiết bị trong mạng này có thể truynhập ra mạng outside.

 Mức từ 1 đến 99: Được dành cho những mạng xung quanh kết nối tới PIX,đăng ký dựa trên kiểu của truy nhập của mỗi thiết bị, thông thường là kết nốiđến một mạng hoạt động như là Demilitarized zone ( DMZ ).

Khi có nhiều kết nối giữa PIX và các thiết bị xung quanh thì:

 Dữ liệu đi từ interface có Security level cao hơn đến interface có Securitylevel thấp hơn: Cần phải có một translation ( static hay dynamic ) để chophép giao thông từ interface có Security level cao hơn đến interface cóSecurity level thấp hơn Khi đã có translation này, giao thông bắt đầu từinside interface đến outside interface sẽ được phép, trừ khi nó bị chặn bởiaccess-list, authentication hay authorization.

 Dữ liệu đi từ interface có Security level thấp hơn đến interface có Securitylevel cao hơn: 2 điều quan trọng cần phải được cấu hình để cho giao thông từinterface có Security level thấp hơn đến interface có Security level cao hơn làstatic translation và conduit hoặc access-list.

 Dữ liệu đi qua hai interface có Security level như nhau: Không có giao thôngđi giữa hai interface có Security level như nhau.

IV Các lệnh duy trì thông thường của PIX Firewall1 Các chế độ truy cập

PIX Firewall chứa tập các lệnh dựa trên hệ điều hành Cisco IOS và cung cấp 4 chếđộ truy cập:

 Unprivileged mode (chế độ truy cập không đặc quyền) – Chế độ này sẽ sẵn

có khi bạn lần đầu tiên truy cập vào PIX Firewall Từ dấu nhắc > được hiển

thị, chế độ này cho phép bạn xem các thiết lập một cách hạn chế.

 Privileged mode (chế độ đặc quyền) – Chế độ này hiển thị dấu nhắc # và cho

phép bạn thay đổi cài đặt hiện tại Bất kỳ lệnh trong chế độ không đặc quyềnnào đều có thể làm việc trong chế độ đặc quyền.

 Configuration mode (chế độ cấu hình) – Chế độ này hiển thị dấu nhắc

(config)# và cho phép bạn thay đổi cấu hình hệ thống Tất cả các lệnh đặc

quyền, không đặc quyền và lệnh cấu hình đều làm việc ở chế độ này.

 Monitor mode (chế độ theo dõi kiểm tra) – Đây là một chế độ đặc biệt nó cho

phép bạn cập nhật image trên mạng Trong chế độ này bạn có thể nhập cáclệnh chỉ định vị trí của TFTP server và image nhị phân để download.

Trong mỗi một kiểu truy cập, ta có thể rút gọn một cách tối đa câu lệnh

xuống chỉ còn một vài ký tự riêng biệt của câu lệnh đó Ví dụ ta có thể nhập write tđể xem cấu hình thay vì phải nhập câu lệnh đầy đủ write terminal Có thể nhập enthay cho enable để bắt đầu chế độ đặc quyền, co t thay cho configuration terminal

để bắt đầu chế độ cấu hình.

Thông tin trợ giúp luôn sẵn có trong dòng lệnh của PIX Firewall bằng cách

nhập help hoặc ? để liệt kê tất cả các lệnh Nếu bạn nhập help hoặc ? sau một lệnh(ví dụ router), thì cú pháp lệnh router sẽ được liệt kê ra Số các lệnh được liệt kê ra

khi ta dùng dấu hỏi hoặc từ khóa help là khác nhau ở các chế độ truy cập vì vậy màchế độ không đặc quyền sẽ đưa ra các lệnh ít nhất và chế độ cấu hình sẽ đưa ra sốlệnh nhiều nhất Hơn nữa ta có thể nhập bất cứ một lệnh nào (chính nó) ở trên dònglệnh và sau đó ấn phím Enter để xem cú pháp lệnh

Có một số lệnh duy trì thông thường của PIX Firewall:

 Lệnh Enable, enable password và passwd – Được sử dụng để truy cập vào

phần mềm PIX Firewall để thay đổi mật khẩu.

 Write erase, wirte memory và write team – Được sử dụng để hiển thị cấu

hình hệ thống và lưu trữ cấu hình dữ liệu mới

 Show interface, show ip address, show memory, show version và showxlate – Được sử dụng để kiểm tra cấu hình hệ thống và thông tin thích hợp

 Exit và reload – Được sử dụng để thoát một chế độ truy cập, tải lại một cấu

hình và khởi động lại hệ thống

 Hostname, ping và telnet – Được sử dụng để xác định nếu một địa chỉ IP

khác tồn tại, thay đổi hostname, chỉ định host cục bộ cho PIX Firewall vàgiành quyền truy cập console

2.1 Lệnh enable

Lệnh enable cho phép ta vào chế độ truy cập đặc quyền, sau khi nhập

enable, PIX Firewall sẽ nhắc mật khẩu để truy cập vào chế độ đặc quyền Mặc định

thì mật khẩu này không yêu cầu vì thế mà chỉ cần ấn phím Enter, sau khi bạn vào

chế độ đặc quyền hãy để ý dấu nhắc sẽ thay đổi sang ký hiệu # Khi gõ configure terminal nó sẽ vào chế độ cấu hình và dấu nhắc thay đổi sang (config)# Để thoát và quay trở về chế độ trước đó, sử dụng lệnh disable, exit hoặc quit

Không có mật khẩu mặc định do đó bạn có thể ấn phím enter tại dấu nhắc

mật khẩu hoặc bạn có thể tạo ra mật khẩu do bạn chọn Mật khẩu phân biệt chữ hoavà chữ thường, hỗ trợ độ dài lên đến 16 ký tự chữ số Bất kỳ ký tự nào cũng có thểđược sử dụng lọai trừ dấu chấm hỏi, dấu cách và dấu hai chấm.

Nếu bạn thay đổi mật khẩu, bạn nên ghi lại va lưu trữ nó ở một nơi thích hợp Saukhi bạn thay đổi mật khẩu thì bạn không thể xem lại nó bởi vì nó đã được mã hóa.

Lệnh show enable password chỉ đưa ra dạng mật khẩu đã được mã hóa Sau khi

mật khẩu đã bị mã hóa chúng không thể đảo ngược lại dạng văn bản thông thường

Lệnh passwd cho phép bạn thiết lập mật khẩu Telnet truy cập vào PIX Firewall.Mặc định giá trị này là Cisco.

 write earse – Xóa cấu hình bộ nhớ flash

 write floppy – Lữ trữ cấu hình hiện tại vào đĩa mềm (PIX Firewall 520 và

các model trước đó có ổ đĩa mềm 3.5-inch)

 write memory – Ghi cấu hình đang chạy (hiện tại) vào bộ nhớ Flash

 write standby – Ghi cấu hình được lưu trong Ram trên active failover PIX

Firewall, vào RAM trên standby PIX Firewall Khi PIX Firewall hoạt động(active PIX Firewall) khởi động ghi cấu hình vào PIX dự phòng Sử dụnglệnh này để ghi cấu hình của active PIX Firewall sang standby PIX Firewall. Write teminal – Hiển thị cấu hình hiện tại trên thiết bị đầu cuối

2.4 Lệnh telnet

 telnet ip_address [netmask] [if_name]

Cho phép chỉ ra host nào có thể truy cập cổng console của PIX thông qua

telnet Với các version 5.0 trở về trước, chỉ có các internal host mới có thể truy cập

vào PIX firewall thông qua telnet, nhưng các version sau này, user có thể telnet vàoPIX firewall qua tất cả các interface Tuy nhiên, PIX firewall khuyến cáo rằng, tấtcả telnet traffic đến outside interface phải được bảo vệ bởi IPSEC Do đó, để khởi

động một telnet session đến PIX, user cần cấu hình PIX để thiết lập IPSEC tunnelhọăc là với một PIX khác, hoặc là router, hay là VPN Client.

 clear telnet [ip_address [netmask] [if_name]]

Di chuyển đến phiên telnet truy cập từ một địa chỉ IP trước đó telnet timeout minutes

Thiết lập thời gian cực đại một phiên telnet có thể không được sử dụng trướckhi nó bị kết thúc bởi PIX Firewall

 kill telnet_id

Kết thúc một phiên telnet Khi bạn kết thúc một phiên telnet, PIX Firewall sẽngăn chặn mọi lệnh kích hoạt và sau đó hủy kết nối mà không cảnh báo người sửdụng.

nhập bởi lệnh ip address để đảm bảo rằng địa chỉ bạn đưa ra

thuộc về mạng bên trong (đối với các IOS version dưới 5.0)

Netmask Mặt nạ mạng của địa chỉ IP Để giới hạn truy cập đến một địachỉ IP đơn thì sử dụng 255 cho mỗi octet (ví dụ,255.255.255.255) Nếu bạn không đưa ra netmask thì mặc địnhlà 255.255.255.255 đối với lớp local_ip (ip cục bộ) Không sửdụng mặt nạ mạng con của mạng bên trong Mặt nạ mạng chỉ là

một bit mask cho địa chỉ IP trong ip address

If_name Nếu Ipsec đang hoạt động, PIX Firewall cho phép bạn đưa ramột tên giao diện không đảm bảo Thông thường là mạng phía

ngoài Tối thiểu thì lệnh cryto map cần được cấu hình để đưara tên một giao diện với lệnh Telnet

Minutes Số phút mà phiên telnet có thể không sử dụng đến trước khi bịđóng bởi PIX Firewall Mặc định là 5 phút Hỗ trợ từ 1-60 phút

telnet_id Định danh phiên telnet

local_ip Một tùy chọn địa chỉ ip bên trong để giới hạn danh sách đếnmột địa chỉ ip hoặc một địa chỉ mạng

2.5 Lệnh hostname và ping

Lệnh hostname thay đổi nhãn trên dấu nhắc hostname có thể hỗ trợ lên tới

16 ký tự alpha và chữ hoa, chữ thường mặc định thì hostname là pixfirewall.

Lệnh ping được sử dụng nếu PIX Firewall đã được kết nối hoặc nếu tồn tại

một host (được nhận diện bởi PIX Firewall ) trên mạng Nếu host tồn tại trên mạngthì lệnh ping nhận được còn nếu không thì sẽ có thông báo “NO response received”.

(lúc này bạn sử dụng lệnh show interface để đảm bảo rằng PIX Firewall đã đượcđược kết nối đến mạng và đã thông lưu lượng) Mặc định lênh ping sẽ cố gắng ping

đến host đích 3 lần.

Sau khi PIX Firewall được cấu hình và hoạt động, chúng ta sẽ không thểping đến giao diện bên trong (mạng bên trong) của PIX Firewall từ mạng bên ngoàihoặc từ giao diện bên ngoài (outside interface) của PIX Firewall Nếu có thể pingnhững mạng bên trong từ giao diện bên trong và nếu bạn có thể ping những mạngbên ngoài từ giao diện bên ngoài thì PIX Firewall đã thực hiện được đúng chứcnăng thông thường của nó.

2.6 Lệnh show

Lệnh show cho phép hiển thị các thông tin lệnh Lệnh này thường kết hợpvới các lệnh khác để hiển thị thông tin hệ thống của lệnh đó Ta có thể nhập showcùng với ? để xem tên của các lệnh hiển thị và mô tả về chúng Dưới đây là ví dụ

 Show interface - cho phép hiển thị thông tin giao diện mạng đây là lệnh

đầu tiên mà sẽ sử dụng khi thử thiết lập một kết nối. Show history – hiển thị các dòng lệnh trước đó

 Show memory – hiển thị tổng quan bộ nhớ vật lý tối đa và bộ nhớ hiện tại

còn trống của PIX Firewall

 Show vesion – cho phép hiển thị phiên bản phần mềm của PIX Firewall, thời

gian hoạt động tính từ lần khởi động lại gần đây nhất, kiểu bộ vi xử lý, kiểubộ nhớ flash, giao diện bảng mạch và số serial (BISO ID)

 Show xlate – hiển thị thông tin khe dịch

 Show cpu usage – hiển thị CPU được sử dụng Lệnh này sử dụng ở chế độ

cấu hình hoặc chế độ đặc quyền

 Show ip address - cho phép xem địa chỉ IP được gán đến giao diện mạng.

Địa chỉ IP hiện tại giống như là địa chỉ IP hệ thống trên failover active (PIXactive) Khi active unit bị lỗi, địa chỉ IP hiện tại trở thành đơn vị chuẩn (địachỉ IP hệ thống)

2.7 Lệnh name

Sử dụng lệnh name cho phép cấu hình một danh sách các ánh xạ tên đến địa chỉ IP

trên PIX Firewall Điều này cho phép sử dụng tên trong cấu hình thay cho địa chỉIP Bạn có thể chỉ định tên sử dụng cú pháp dưới đây:

name ip_address name

đặt tên với các ký tự từ a-z, A-Z, 0-9,dấu gạch và dấu gạch dưới Tên khôngthể bắt đầu bằng số Nếu một tên trên16 ký tự thì lệnh sẽ lỗi

Cho phép đặt tên với các ký tự từ a-z, A-Z, 0-9, dấu gạch và dấu gạch dưới Tênkhông thể bắt đầu bằng số Nếu một tên trên 16 ký tự thì lệnh sẽ lỗi Sau khi tênđược định nghĩa nó có thể được sử dụng trong bất kỳ lệnh PIX Firewall nào tham

chiếu đến một địa chỉ IP Lệnh names cho phép sử dụng lệnh name Lệnh clear

names và no names là giống nhau Lệnh show name liệt kê các trạng thái lệnhname trong cấu hình

CHƯƠNG 3

CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬPTRONG PIX FIREWALL

I Các lệnh cấu hình cơ bản PIX Firewall

Có 6 lệnh cấu hình cơ bản cho PIX Firewall:

 Nameif – Gán tên đến mỗi giao diện mạng vành đai và chỉ định mức an ninh

cho nó

 Interface – Cấu hình kiểu và khả năng của mỗi giao diện vành đai

 Ip address – gán một địa chỉ ip cho mỗi cổng

 Nat – che dấu địa chỉ trên mạng inside từ mạng outside

 Global – Che dấu địa chỉ IP trên mạng inside từ mạng outside sử dụng một

pool (một dải địa chỉ public) của địa chỉ IP

 Route – định nghĩa một tuyến đường tĩnh hoặc tuyến đường mặc định cho

một interface

1 Lệnh nameif

Lệnh nameif gán một tên đến mỗi giao diện vành đai trên PIX Firewall và

chỉ định mức an ninh cho nó (ngoại trừ giao diện inside và outside vì nó được mặc

định) Cú pháp của lệnh nameif như dưới đây:

nameifhardware_id if_name security_level

Harware_id Chỉ định một giao diện vành đai và vị trí khe của nóở trên PIX Firewall.

Có 3 giao diện mà bạn có thể nhập ở đây: Ethernet,FDDI hoặc Token Ring Mỗi giao diện được mô tảbởi một định danh vừa có chữ vừa có số dựa trêngiao diện của nó là gì và định danh là số mà bạn chọncho nó Ví dụ, một giao diện Ethernet được mô tảnhư là e1, e2, e3….; một FDDI được mô tả như làfddi1, fddi2, fddi3….; một giao diện Token Ringđược mô tả như là token-ring1, token-ring2, token-ring3….