1. Trang chủ
  2. » Công Nghệ Thông Tin

Tài liệu Chương I-Giới thiệu về PIX pptx

21 468 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 21
Dung lượng 574 KB

Nội dung

Bài Viết Về PIX FIREWALL Tác giả: Nguyễn Thị Băng Tâm Chương : GIỚI THIỆU VỀ PIX FIREWALL PIX ( Private Internet Exchange) firewall thành phần giải pháp bảo mật end-to-end Cisco PIX firewall giải pháp bảo mật phần cứng phần mềm , đáp ứng bảo mật mạng mức độ cao mà không ảnh hưởng đến hoạt động mạng Pix thiết bị hybrid kết hợp đặc điểm công nghệ packet filtering proxy server PIX hardware : Pix có nhiều model khác , thích hợp với nhiều mơi trường mạng khác , ví dụ mạng SOHO khác với mạng service provider PIX có loại models sau : 501 , 506 , 506E , 515 , 515E , 520 , 525E , 535 Theo hình sau : Hình : PIX firewall family Đặc điểm loại thiết bị PIX : a PIX 501 : 501 model PIX có cấu hình cố định Nó có switch port cho kết nối bên interface 10Mbps cho kết nối đến thiết bị bên (như cable modem hay router DSL ) Pix 501 dành 3Mbps cho kết nối 3DES Ipsec ( vượt yêu cầu user mạng SOHO ) Đặc điểm PIX 501 : - xử lí 133MHz AMD SC520 - RAM 16MB , flash 8MB - port console - port half-duplex RJ45 10BaseT cho outside - switch tích hợp , autosensing , auto-MDIX port RJ45 10/100 cho inside b Pix 506 Pix 506 thiết bị thiết kế cho công ty thuộc remote office/ branch office Là thiết bị có : - Một port console - Hai port RJ45 10BaseT autonegotiate , cho inside , cho outside Hardware : 200MHz Intel Pentium MMX , RAM 32Mbps , flash 8Mbps - Sử dụng TFTP cho download image upgrade image - Pix 506 cung cấp VPN , kết nối đến VPN peer đồng thời PIX 506E thiết bị cải tiến từ PIX 506 , có CPU 300MHz Intel Celeron Clear-text throughput lên đến 20Mbps , 3DES throughput tăng lên 16Mbps c PIX 515 PIX 515 thường dùng doanh nghiệp nhỏ , trung bình Pix có slot để gắn thêm single-port , four-port Fast Ethernet interface , cho phép inside , outside cung cấp thêm mạng dịch vụ khác Pix 515 có RAM 32MB , Flash 8MB , licensing linh động doanh nghiệp trả tiền họ cần Restricted license giới hạn interface , unrestricted license cho phép tăng nhớ RAM từ 32MB đến 64MB tăng đến interface cộng với failover d PIX 520 PIX 520 thiết kế dành cho doanh nghiệp lớn môi trường tốc độ cao , phức tạp Mặc dù sản phẩm có Flash đến 16MB PIX 520 đời cũ Flash có 2MB Để chạy software có version từ 5.2 trở lên Flash cần phải nâng cấp lên 16MB PIX 520 có kiểu thiết kế khung , rack-mountable , sử dụng đĩa mềm 3.5inch để load nâng cấp image e PIX 525 PIX 525 thiết kế dành cho Enterprise Service Provider sử dụng , đáp ứng mơi trường bảo mật lí tưởng PIX 525 cung cấp dãy nhiều network interface card Standard card bao gồm single-port hay fourport 10/100 Fast Ethernet , Gigabit Ethernet (với UR license) , 4/16 Token Ring dual-attached multimode FDDI card Với restricted license , Pix 525 cung cấp interface Với unrestricted license (UR) Pix 525 cung cấp đến interface f PIX 535 PIX 535 thiết kế cho Enterprise Service Provider sử dụng Nó có cơng suất 1.0Gpbs với khả thực lúc 500,000 kết nối Đáp ứng site-to-site remote access VPN với 56-bit DES 168-bit 3DES , chức tích hợp PIX firewall 535 thực với VPN Accelerator card để phân phối 10Mbps throughput 2000 IPSEC tunnel PIX firewall 535 cung cấp Fast Ethernet , Gigabit Ethernet VPN Accelerator interface Flash 16MB sử dụng software có version từ 5.3 trở sau Console port : Cơ chế để giao tiếp với PIX thông qua console port Một vài thiết bị sử dụng DB9 connector , vài thiết bị sử dụng Cisco standard RJ45 connector Nếu ta sử dụng Windows , dùng chương trình Hyperterm để giao tiếp với PIX Giao diện phải tuân theo hình vẽ sau : Và tham số phải thiết lập sau : Lúc kết nối đến PIX thành cơng Nếu cấp nguồn lúc PIX diễn trình boot Đây đoạn ví dụ q trình boot : Reading 1921536 bytes of image from flash.######################## ######################################################### ######################### 32MB RAM mcwa i82559 Ethernet at irq 11 MAC: 000f.23ac.53f7 mcwa i82559 Ethernet at irq 10 MAC: 000f.23ac.53f6 System Flash=E28F640J3 @ 0xfff00000 BIOS Flash=am29f400b @ 0xd8000 || || || || |||| |||| :||||||: :||||||: ciscoSystems Private Internet eXchange Cisco PIX Firewall Cisco PIX Firewall Version 6.3(1) Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Interfaces: Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has a Restricted (R) license …… Cryptochecksum(changed): d41d8cd9 8f00b204 e9800998 ecf8427e Cannot select private key Pre-configure PIX Firewall now through interactive prompts [yes]? n => sử dụng n để vào tiến vào CLI Software Licensing : Để có sản phẩm linh động , PIX sử dụng software licensing để enable hay disable đặc điểm PIX OS Mặc dù hardware giống platform thiết bị , sử dụng software cho PIX phụ thuộc vào RAM Flash PIX Ví dụ OS yêu cầu cho PIX model 506 từ 5.1x trở lên , cho PIX model 525 từ 5.2x trở lên … Các đặc điểm software khác phụ thuộc vào activation key Activation key license key PIX OS , cho phép ta upgrade đặc điểm OS mà không cần phải có software , q trình thực tương tự Activation key cisco đưa tính tốn , phụ thuộc vào số serial mà ta có phụ thuộc vào ta u cầu Số serial có dựa vào Flash Do ta sử dụng Flash khác , ta phải thay đổi activation key Khi ta muốn kích hoạt chức PIX , ta phải trả tiền để thực điều , để có key ta phải gửi serial number PIX đến Cisco , Cisco gửi lại cho ta key tạo từ serial number Có lí quan trọng để upgrade hay thay đổi activation key : - Cisco PIX firewall khơng kích hoạt failover Pix khơng kích hoạt VPN Khi ta cần nâng cấp từ connection-based license lên feature-based license Để có thơng tin activation key , serial number , sử dụng show version command Câu lệnh cung cấp thông tin code version , thông tin phần cứng … pixfirewall(config)# sh version Cisco PIX Firewall Version 6.3(1) Cisco PIX Device Manager Version 3.0(1) Compiled on Wed 19-Mar-03 11:49 by morlee pix up 27 mins 25 secs Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz Flash E28F640J3 @ 0x300, 8MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 000f.23ac.53f6, irq 10 1: ethernet1: address is 000f.23ac.53f7, irq 11 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Interfaces: Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has a Restricted (R) license Serial Number: 808036792 (0x3029a9b8) Running Activation Key: 0x9a5c6f78 0x67304d0a 0xed4c2329 0x89dd199b Configuration last modified by enable_15 at 23:52:55.403 UTC Sun Mar 2005 Licensing : Về tổng quan , licensing phân thành loại unrestricted , restricted , failover Việc dùng unrestricted hay restricted license phụ thuộc vào số interface mà ta cần sử dụng PIX Ví dụ PIX 515 với unrestricted license cung cấp đến interface Quan sát lại thông tin show version phía , ta thấy license restricted cho phép tối đa cho pix interface ( inside outside ) , PIX 515 restricted cho phép tối đa interface ( thêm interface dmz ) Do , muốn có unrestricted failover license , ta phải nâng cấp activation key Đối với PIX OS có version trước version 6.2 , activation key thay đổi mode monitor Từ version 6.2 trở sau cho phép ta nâng cấp hay thay đổi license cách thay đổi key CLI ( command line interface ) Thực điều câu lệnh sau : activation-key license# license# : key mà ta có với license ví dụ : activation-key 0x89dd199b 0x9a5c6f78 0x67304d0a 0xed4c2329 Sau thay đổi activation key , ta phải reboot PIX firewall để kích hoạt license Nếu PIX nâng cấp đến version thay đổi activation key , ta phải reboot PIX lần -1 lần sau cài đặt image , lần sau activation key cấu hình Lưu ý nâng cấp lên version , chức kích hoạt từ version cũ khơng cần key Nếu ta thay đổi image PIX với version cũ , phải đảm bảo activation key chạy hệ thống không tác động đến version cao trước cài đặt version thấp Nếu có ta cần phải thay đơỉ activation key cho thích hợp với version thấp trước cài đặt reboot Nếu khơng hệ thống khơng cho phép ta reload lại sau cài đặt software Password recovery : Để vào chế độ enable PIX , cần phải biết password Password lưu PIX sử dụng mã hóa MD5 , khơng phải dạng clear-text Trong trường hợp quên password console telnet vào PIX , giống hầu hết sản phẩm Cisco , PIX cung cấp thủ tục để khôi phục password Không giống Cisco router khôi phục password cách thay đổi ghi cấu hình , PIX sử dụng phương pháp khác Khơi phục password thực PIX firewall cách sử dụng file khôi phục password đặc biệt Thực khơi phục password a PIX khơng có xóa cấu hình , có xóa password Phụ thuộc vào | dòng sản phẩm PIX mà ta có phương pháp khơi phục password khác Thủ tục khôi phục pasword PIX đĩa mềm khác với khôi phục password thiết bị PIX khơng có đĩa Sự khác PIX boot với file mà ta sử dụng q trình Đối với PIX có đĩa mềm boot từ đĩa , cịn PIX khơng có đĩa (diskless) boot từ TFTP server Bên cạnh binary file cần cho khôi phục password , ta cần thành phần sau : - Laptop PC - Terminal-emulating software - TFTP software (cần cho pix boot từ tftp) - Công cụ rawrite.exe (cần cho pix có đĩa mềm để tạo đĩa boot) a Khôi phục password cho PIX 506 , 515 , 525 , 535 TFTP Khôi phục password cho model (các model khơng có đĩa mềm) cần phải có TFTP server Q trình khơi phục sau : Bước : download file npxx.bin với xx version OS chạy PIX Ví dụ PIX chạy version 5.3(1) (biết cách show version) file cần down np53.bin Note : file np53.bin làm việc với tất PIX OS 5.3(x) Bước : chép file vào máy có cài TFTP server Bước : reboot PIX firewall , sau khoảng 10giây trình reboot Nhấn nút Escape Ctrl – Break để ngắt trình reboot , đưa Pix vào chế độ monitor monitor> Bước : interface PIX firewall dùng cho TFTP Để sử dụng interface inside , dùng câu lệnh sau : monitor > interface Bước : địa interface PIX firewall monitor> address ip_address Bước : default gateway (điều cần thiết trường hợp có mơ hình pix-router-TFTP server ) monitor> gateway ip_address Bước : địa TFTP server monitor>server ip_address_server Bước : kiểm tra kết nối đển TFTP server cách ping đến TFTP server monitor> ping ip_address_server Bước : filename file dùng để khôi phuc password mà ta download trước monitor> file npxx.bin Bước 10 : khởi động chương trình TFTP monitor> tftp b khôi phục password cho pix 510 , 520 đĩa mềm : Bước : Download file npxx.bin (với xx version OS chạy PIX ) Bước : Chép file rawrite.exe vào đường dẫn với OS version password mà ta download trước Bước : Sau có file , mở MS-DOS Window : C :\> rawrite Bước : Reboot PIX firewall với đĩa mềm mà ta vừa tạo Khi có dấu nhắc xuất , sử dụng y để xóa password : Do you wish to erase the passwords? [yn] y Hệ thống tự động xóa password bắt đầu reboot Nâng cấp Cisco PIX OS : Có thủ tục để nâng cấp PIX OS , việc sử dụng thủ tục PIX OS chạy PIX PIX model định - Có thể sử dụng copy tftp flash command ( PIX sử dụng software version 5.1 trở sau thực command mode privileged ) - Nâng cấp OS monitor mode Thủ tục giống thủ tục khác mode mà ta sử dụng copy file từ tftp server Đối với thiết bị PIX đĩa mềm bên (501 ,506 , 515 , 525 , 535 ) thực nâng cấp image từ monitor mode Đối với PIX sử dụng version 5.0 trở trước cần có đĩa boothelper để tạo boothelper mode , tương tự ROM monitor mode - PIX firewall version 6.2 dùng HTTP client cho phép ta sử dụng câu lệnh copy để lấy thơng tin cấu hình , software image , Cisco PDM software từ HTTP server a Nâng cấp OS sử dụng copy tftp flash command Bước : Download file pixnnx.bin ( file binary software image , với nn version number , x release number Và chép file vào tftp server Bước : sử dụng copy tftp flash command Bước : nhập địa IP tftp server Bước : nhập source filename (file ta vừa download) Bước : nhập Yes để tiếp tục b Nâng cấp OS sử dụng monitor mode Nếu PIX nâng cấp từ version 5.0x trước lên version 5.1x trở sau , cần sử dụng phương pháp boothelper mode monitor mode Bởi version trước 5.1 , PIX firewall software khơng có hỗ trợ copy tftp flash command Các bước để nâng cấp PIX firewall sử dụng monitor mode : Bước : download binary software image file pixnnx.bin chép file vào tftp server Bước : reload lại PIX , nhấn Esc key (hoặc nhấn Break) để vào monitor mode Đối với PIX firewall chạy version 5.0 trở trước sử dụng boothelper mode Bước : sử dụng interface command để PIX interface mà TFTP server kết nối đến Mặc định interface (inside) monitor> interface num Bước : địa interface monitor> address ip_address Bước : default gateway (nếu cần) monitor> gateway ip_address Bước : địa tftp server monitor> server ip_address Bước : kiểm tra kết nối đến tftp server monitor>ping server_address Bước : image filename : monitor> file name_file Bước : bắt đầu trình tftp monitor> tftp Bước 10 : Khi xuất prompt , gõ y để cài đặt image đến Flash Bước 11 : PIX firewall reboot bắt đầu install image Note : Từ monitor hay boothelper mode , pix không sử dụng với Gigabit Ethernet LAB : Scenario : Bài : Upgrade image từ monitor mode Trong ta thực nâng cấp image từ monitor mode theo thứ tự bứơc đưa phần trước Trước nâng cấp image , sử dụng show version command để xem version mà pix chạy , xem serial number activation key Note : Để bảo đảm an toàn , ta sử dụng lại image mà PIX chạy để thực lab pixfirewall# sh version Cisco PIX Firewall Version 6.3(1) Cisco PIX Device Manager Version 3.0(1) Compiled on Wed 19-Mar-03 11:49 by morlee pix up 27 mins 25 secs Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz Flash E28F640J3 @ 0x300, 8MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 000f.23ac.53f6, irq 10 1: ethernet1: address is 000f.23ac.53f7, irq 11 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Interfaces: Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has a Restricted (R) license Serial Number: 808036792 (0x3029a9b8) Running Activation Key: 0x9a5c6f78 0x67304d0a 0xed4c2329 0x89dd199b Configuration last modified by enable_15 at 23:52:55.403 UTC Sun Mar 2005 Các bước thực sau : pixfirewall>reload Rebooting… Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-506E System Flash=E28F640J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot Use SPACE to begin flash boot immediately Flash boot in 10 seconds Flash boot interrupted  Nhấn Esc Break 0: i8255X @ PCI(bus:0 dev:14 irq:10) 1: i8255X @ PCI(bus:0 dev:13 irq:11) Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 000f.23ac.53f7 Use ? for help monitor> ? ? this help message address [addr] set IP address of the PIX interface on which the TFTP server resides file [name] set boot file name gateway [addr] set IP gateway help this help message interface [num] select TFTP interface ping send ICMP echo reload halt and reload system server [addr] set server IP address tftp TFTP download timeout TFTP timeout trace toggle packet tracing monitor> interface 0: i8255X @ PCI(bus:0 dev:14 irq:10) 1: i8255X @ PCI(bus:0 dev:13 irq:11) Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 000f.23ac.53f7 monitor> address 10.10.10.100 address 10.10.10.100 monitor> server 10.10.10.10 server 10.10.10.10 monitor> ping 10.10.10.10 Sending 5, 100-byte 0x13d ICMP Echoes to 10.10.10.10, timeout is seconds: !!!!! Success rate is 100 percent (5/5) monitor> file pix631.bin file pix631.bin monitor> tftp tftp pix631.bin@10.10.10.10 ………………………………… ………………………………………………………………… ………………………………………………………………… ………………………………………… Received 656235 bytes Cisco Secure PIX Firewall admin loader (3.0) #0: Thu Jul 17 08:01:09 PDT 2003 Flash =E28F640J3 @ 0xfff00000 BIOS Flash =AM29F400B @ 0xd8000 Flash version 6.3.1, Install version 6.3.1 Installing to flash Serial Number: 808036792 (0x3029a9b8) Activation Key: 0x9a5c6f78 0x67304d0a 0xed4c2329 0x89dd199b Do you want to enter a new activation key ? n Pix reboot install image Bài : Password recovery Sau password recovery thực PIX 506 Trước tiến hành khôi phục password , show version để kiểm tra pix chạy OS : pixfirewall> sh version Cisco PIX Firewall Version 6.3(1) Cisco PIX Device Manager Version 3.0(1) Compiled on Wed 19-Mar-03 11:49 by morlee pix up 27 mins 25 secs Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz Flash E28F640J3 @ 0x300, 8MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 000f.23ac.53f6, irq 10 1: ethernet1: address is 000f.23ac.53f7, irq 11 < omitted > Quan sát thông tin từ show version , ta thấy pix chạy OS version 6.3(1) Do , để khơi phục password cho pix , ta cần phải có file np63.bin tftp server Bài làm thực dựa bước khôi phục password nêu pixfirewall>en password: pixfirewall#enable password cisco =>đặt password mode enable cisco pixfirewall# write memory Building configuration Cryptochecksum: 93bc4b61 43237b6a 67fe6565 ad91568d [OK] pixfirewall#reload rebooting… Cisco Secure PIX Firewall BIOS (4.2) #0: Mon Dec 31 08:34:35 PST 2001 Platform PIX-506E System Flash=E28F640J3 @ 0xfff00000 Use BREAK or ESC to interrupt flash boot Use SPACE to begin flash boot immediately Flash boot in 10 seconds Flash boot interrupted  Nhấn Esc Break 0: i8255X @ PCI(bus:0 dev:14 irq:10) 1: i8255X @ PCI(bus:0 dev:13 irq:11) Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 000f.23ac.53f7 Use ? for help monitor> ? ? this help message address [addr] set IP address of the PIX interface on which the TFTP server resides file [name] set boot file name gateway [addr] set IP gateway help this help message interface [num] select TFTP interface ping send ICMP echo reload halt and reload system server [addr] set server IP address tftp TFTP download timeout TFTP timeout trace toggle packet tracing monitor> interface ethernet1 0: i8255X @ PCI(bus:0 dev:14 irq:10) 1: i8255X @ PCI(bus:0 dev:13 irq:11) Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 000f.23ac.53f7 monitor> address 10.10.10.100 address 10.10.10.100 monitor> server 10.10.10.10 server 10.10.10.10 monitor> ping 10.10.10.10 Sending 5, 100-byte 0x9fd7 ICMP Echoes to 10.10.10.10, timeout is seconds: !!!!! Success rate is 100 percent (5/5) monitor> file np63.bin file np63.bin monitor> tftp tftp np63.bin@10.10.10.10 Received 92160 bytes Cisco Secure PIX Firewall password tool (3.0) #0: Thu Jul 17 08:01:09 PDT 2003 System Flash=E28F640J3 @ 0xfff00000 BIOS Flash=am29f400b @ 0xd8000 Do you wish to erase the passwords? [yn] y The following lines will be removed from the configuration: enable password qktPUfU6etg/RRvG encrypted passwd 2KFQnbNIdI.2KYOU encrypted Do you want to remove the commands listed above from the configuration? [yn] y Passwords and aaa commands have been erased Rebooting => Hệ thống tự động xóa password bắt đầu reboot ... đầu reboot Nâng cấp Cisco PIX OS : Có thủ tục để nâng cấp PIX OS , việc sử dụng thủ tục PIX OS chạy PIX PIX model định - Có thể sử dụng copy tftp flash command ( PIX sử dụng software version... cứng … pixfirewall(config)# sh version Cisco PIX Firewall Version 6.3(1) Cisco PIX Device Manager Version 3.0(1) Compiled on Wed 19-Mar-03 11:49 by morlee pix up 27 mins 25 secs Hardware: PIX- 506E,... động , PIX sử dụng software licensing để enable hay disable đặc điểm PIX OS Mặc dù hardware giống platform thiết bị , sử dụng software cho PIX phụ thuộc vào RAM Flash PIX Ví dụ OS u cầu cho PIX

Ngày đăng: 22/12/2013, 16:15

TỪ KHÓA LIÊN QUAN

w