- Chế độ giám sát (Monitor Mode): Hiển thị dấu nhắc “monitor>”. Đây là chế độ đặc biệt cho phép cập nhật các hình ảnh qua mạng hoặc khôi phục mật khẩu. Ở chế độ giám sát, có thể nhập lệnh để xác định vị trí của một máy chủ TFTP và vị trí của phần mềm hoặc file khôi phục mật khẩu để tải về. Truy cập vào chế độ này bằng cách nhấn "Break" hoặc "ESC"ngay lập tức sau khi bật nguồn thiết bị.
- Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc“>”. Chế độ này cung cấp tầm nhìn hạn chế của các thiết bị an ninh. Để cấu hình, sử dụng lệnh Enable. Các mật khẩu ban đầu là trống, do đó nhấn Enter một lần nữa để chuyển sang chế độ truy cập tiếp theo (Privileged Mode).
- Chế độ đặc quyền (Privileged Mode): Hiển thị dấu nhắc “#”. Cho phép thay đổi các thiết lập hiện hành. Bất kỳ lệnh trong chế độ không đặc quyền cũng làm việc trong chế độ này. Từ chế độ này, có thể xem cấu hình hiện tại bằng cách sử dụng “show running config”.Tuy nhiên, không thể cấu hình ngay ở chế độ này mà phải vào chế độ cấu hình (Configuration Mode). Truy cập vào chế độ cấu hình bằng cách sử dụng lệnh “configure terminal” từ chế độ đặc quyền.
- Chế độ cấu hình (Configuration Mode): chế độ này hiển thị dấu nhắc“(config)#”. Cho phép thay đổi tất cả thiết lập cấu hình hệ thống. Sử dụng “Exit” từ mỗi chế độ để trở về chế độ trước đó.
26 2.2.2. Quản lý file
Có hai loại file cấu hình trong các thiết bị an ninh Cisco : running- configuration và startup-configuration.
- Loại file đầu tiên “Running-configuration” là một trong những file hiện đang chạy trên thiết bị, và được lưu trữ trong bộ nhớ RAM của Firewall. Xem cấu hình này bằng cách gõ “show running-config” từ các chế độ Privileged. Bất kỳ lệnh nhập vào Firewall được lưu trực tiếp trong running-config và có hiệu lực thi hành ngay lập tức. Kể từ khi cấu hình chạy được lưu trong bộ nhớ RAM, nếu thiết bị bị mất nguồn, nó sẽ mất bất kỳ thay đổi cấu hình mà không được lưu trước đó. Để lưu lại cấu hình đang chạy, sử dụng “copy run start” hoặc “write memory”. Hai lệnh này sẽ copy running-config vào startup- config được lưu trữ trong bộ nhớ flash.
- Loại thứ hai “Startup-configuration” là cấu hình sao lưu của Running-configuration. Nó được lưu trữ trong bộ nhớ Flash, vì vậy nó không bị mất khi các thiết bị khởi động lại. Ngoài ra, startup- configuration được tải khi thiết bị khởi động. Để xem startup- configuration được lưu trữ, gõ lệnh “show startup-config”.
2.2.3. Mức độ bảo mật
Security Level được gán cho Interface, có giá trị từ 0-100 chỉ định độ tin cậy của Interface liên quan đến một Interface khác trên thiết bị. Mức độ bảo mật cao hơn thì Interface càng đáng tin cậy hơn nên các mạng kết nối phía sau nó được coi là tin cậy.
Mỗi Interface Firewall đại diện cho một mạng cụ thể (hoặc khu vực an ninh), bằng cách sử dụng mức độ bảo mật có thể chỉ định mức độ tin tưởng của từng vùng mạng.
Các quy tắc chính cho mức độ bảo mật là một Interface (hoặc zone) với một mức độ bảo mật cao hơn có thể truy cập vào một Interface với một mức độ bảo mật thấp hơn. Mặt khác, một Interface với một mức độ bảo mật thấp hơn
27
không thể truy cập vào một Interface với một mức độ bảo mật cao hơn, mà không có sự cho phép rõ ràng của một quy tắc bảo mật (AccessControl List - ACL).
Một số mức độ bảo mật điển hình : - Security Level 0 :
Đây là mức độ bảo mật thấp nhất và nó được gán mặc định cho Interface bên ngoài của Firewall.
Mức độ bảo mật này thường được gán cho Interface kết nối với Internet. Tất cả các thiết bị kết nối Internet không thể có quyền truy cập vào bất kỳ mạng phía sau Firewall, trừ khi được cho phép theo một quy tắc trong ACL.
- Security Level 1 đến 99 :
Những mức độ bảo mật có thể được áp dụng cho khu vực bảo mật vòng ngoài như khu vực DMZ.
- Security Level 100 :
Đây là mức độ bảo mật cao nhất và được gán mặc định cho Interface bên trong của Firewall.
Đây là mức độ bảo mật đáng tin cậy nhất và phải được gán cho mạng (interface ) mà muốn áp dụng bảo vệ nhiều nhất từ các thiết bị an ninh. Mức độ bảo mật này thường được gán cho Interface kết nối mạng nội bộ.
28
Hình 2.1. Mô tả các mức bảo mật trong hệ thống mạng.
Việc truy cập giữa Security Level tuân theo các quy định sau :
- Truy cập từ Security Level cao hơn tới Security Level thấp hơn: Cho phép tất cả lưu lượng truy cập có nguồn gốc từ Security
Level cao hơn trừ khi quy định cụ thể bị hạn chế bởi một Access Control List (ACL).
- Truy cập từ Security Level thấp hơn Security Level cao hơn :
Chặn tất cả lưu lượng truy cập trừ khi được cho phép bởi một ACL.
Nếu NATControl được kích hoạt trên thiết bị này, sau đó có phải là một NAT tĩnh giữa các interface có Security Level từ cao tới thấp.
- Truy cập giữa các Interface có cùng một Security Level : theo mặc định là không được phép (trừ khi cấu hình lệnh “same-security-traffic permit”).
29
2.3. Network Access Translation(NAT)
2.3.1. Khái niệm
Sự suy giảm của không gian địa chỉ công cộng IPv4 đã buộc các cộng đồng Internet tìm cách thay thế của địa chỉ máy chủ nối mạng. NAT do đó được tạo ra để giải quyết các vấn đề xảy ra với việc mở rộng của Internet.
Một số trong những lợi thế của việc sử dụng NAT trong các mạng IP như sau:
- NAT giúp giảm thiểu về sự cạn kiệt địa chỉ IP công cộng.
- NAT tăng cường an ninh bằng cách ẩn Networks Topology và Addressing.
- NAT giống như một router, nó chuyển tiếp các gói tin giữa những lớp mạng khác nhau trên một mạng lớn.
- NAT cũng có thể coi như một Firewall cơ bản. 2.3.2. Một số kỹ thuật NAT
Kỹ thuật NAT tĩnh (STATIC NAT) :
- Với NAT tĩnh, địa chỉ IP thường được ánh xạ tĩnh với nhau thông qua các lệnh cấu hình.
- Cơ chế NAT tĩnh cho phép một máy chủ bên trong hiện diện ra ngoài Internet, bởi vì máy chủ sẽ luôn dùng cùng một địa chỉ IP thực.
30
Hình 2.2. Mô tả NAT tĩnh của một mạng Lan ra ngoài Internet.
Kỹ thuật NAT động (Dynamic NAT) :
- Với NAT, khi số IP nguồn không bằng số IP đích. Số host chia sẻ nói chung bị giới hạn bởi số IP đích có sẵn. Khi đó kỹ thuật NAT động (Dynamic NAT) được sử dụng để giải quyết vấn đề trên với việc ánh xạ một địa chỉ có thể tương ứng với nhiều địa chỉ.
31
Hình 2.3. Bảng NAT động của một mạng LAN.
Kỹ thuật NAT overloading ( hay PAT) :
- Dùng để ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ công cộng vì mỗi địa chỉ riêng được phân biệt bằng số port.
- Có tới 65. 356 địa chỉ nội bộ có thể chuyển đổi sang 1 địa chỉ công cộng.
- Một số thiết bị cung cấp NAT, như broadband routers, thực tế cung cấp PAT. Nhìn chung người ta sử dụng NAT để bao gồm những thiết bị PAT.
2.3.3. NAT trên Cisco ASA
Cisco ASA Firewall hỗ trợ hai loại chuyển đổi địa chỉ chính : - Dynamic NAT translation:
Chuyển đổi Source Address trên Interface bảo mật cao hơn vào một phạm vi (hay pool) của địa chỉ IP trên một Interface kém an toàn hơn, cho kết nối ra ngoài.
Lệnh “nat” xác định máy chủ nội bộ sẽ được dịch, và lệnh global xác định các dải địa chỉ trên outgoing interface .
32
ciscoasa(config)# nat (internal_interface_name) “nat-id” “internal network IPsubnet”
ciscoasa(config)# global (external_interface_name) “nat-id” “external IP poolrange”
- Static NAT translation :
Chuyển đổi theo cơ chế một-một giữa một IP trên một Interface an toàn hơn và một IP trên một Interface kém an toàn.
Static NAT cho phép các host trên một Interface kém an toàn (ví dụ như Internet ) để truy cập máy chủ trên một Interface bảo mật cao hơn.
Cấu hình Static NAT translation:
ciscoasa(config)# static
(real_interface_name,mapped_interface_name) “mapped_IP” “real_IP” netmask”subnet_mask”
Sử dụng PAT cũng cho nhiều kết nối từ các máy chủ khác nhau nội bộ có thể được ghép trên một địa chỉ IP public nhưng sử dụng số cổng nguồn khác nhau
Hình 2.4. Mô tả cơ chế PAT (NAT overload).
2.4. Access Control List(ACL)
Một trong những yếu tố quan trọng cần thiết để quản lý giao tiếp lưu lượng mạng là cơ chế điều khiển truy cập, còn được gọi là Access Control List.
33
Hình 2.5. Sơ đồ ACL điều khiển truy cập mạng.
Access Control List(danh sách điều khiển truy cập) là một danh sách các cho phép hoặc từ chối lưu lượng truy cập từ một nguồn đến một đích đến.
Sau khi một ACL được cấu hình, nó được áp dụng cho một giao diện với một lệnh access-group. Nếu không có ACL được áp dụng cho một Interface, lưu lượng truy cập ra bên ngoài (from inside to outside ) được phép theo mặc định, và lưu lượng truy cập trong nội bộ (from outside to inside) bị từ chối theo mặc định. ACL có thể được áp dụng (bằng cách sử dụng lệnh access-group) để theo 2 hướng "in" và"out" của traffic đối với các Interface . Chiều "in" của ACL kiểm soát lưu lượng truy cập vào một interface, và theo hướng "out"của ACL kiểm soát traffic ra khỏi một interface.
Cách thực hiện các ACL :
- Đối với Outbound Traffic (từ vùng có Security-level cao hơn đến thấp hơn), tham số địa chỉ nguồn một mục ACL là địa chỉ thực sự thực tế của máy chủ hoặc mạng.
- Đối với Inbound Traffic (từ vùng có Security-level thấp hơn đến cao hơn), tham số địa chỉ đích ACL là địa chỉ IP chuyển dịch.
- ACL là luôn luôn kiểm tra trước khi chuyển dịch địa chỉ được thực hiện trên thiết bị bảo mật.
- ACL ngoài việc hạn chế lưu lượng thông qua tường lửa, nó có thể được sử dụng cũng như là một đường truyền lựa chọn cơ chế áp dụng
34
một vài hành động khác để lưu lượng truy cập được lựa chọn như mã hóa, dịch thuật, lập chính sách, chất lượng dịch vụ…
Lệnh cấu hình default ACL :
ciscoasa(config)# access-list “access_list_name” [line line_number] [extended]{deny | permit} protocol “source_address” “mask” [operator source_port]“dest_address” “mask” [operator dest_port]
Lệnh cho phép truy cập của một nhóm sử dụng áp dụng cho ACL:
ciscoasa(config)# access-group “access_list_name” [in|out] interface “interface_name ”
Các tham số trong lệnh:
- access_list_name : một tên mô tả của ACL cụ thể. Cùng tên được sử dụng trong lệnh access-group.
- lineline_number: mỗi mục ACL có số dòng riêng của mình.
- extended: sử dụng khi xác định cả hai nguồn và địa chỉ đích trong ACL.
- deny|permit : xác định truy cập cụ thể được phép hoặc bị từ chối. - protocol: chỉ định giao thức giao thông (IP, TCP, UDP,…).
- source_address mask: chỉ định địa chỉ IP nguồn và subnet mask. Nếu là một địa chỉ IP duy nhất, có thể sử dụng từ khoá "host" mà không cần subnet mask, có thể sử dụng từ khóa "any" để chỉ định bất kỳ địa chỉ.
- [operator source_port] : chỉ định số cổng nguồn.
- dest_address mask : đây là địa chỉ IP đích và subnet mask. Có thể sử dụng những từ khóa “host” hoặc “any”.
- [operator dest_port]: Chỉ định số cổng đích mà các nguồn lưu lượng yêu cầu truy cập vào.
35
2.5. VPN
2.5.1. Giới thiệu về VPN
VPN (Virtual Private Network) về cơ bản đây là kết nối từ 1 vị trí này tới vị trí khác để hình thành mô hình mạng LAN với những dịch vụ hỗ trợ như email, intranet... chỉ được truy cập khi người dùng khai báo đúng các thông tin đã được thiết lập sẵn.
Các thiết bị Cisco ASA, ngoài chức năng tường lửa, có thể được sử dụng kết nối bảo mật mạng LAN từ xa (VPN Site-to-Site) hoặc cho phép Remote user/teleworkers an toàn giao tiếp với mạng công ty (VPN Remote Access).
Cisco hỗ trợ một số dạng VPN trên ASA nhưng nói chung là phân ra 2 loại hoặc là "IPSec VPNs " hoặc "SSL VPNs":
- IPSec Based VPNs :
Lan-to-Lan IPSec VPN: được sử dụng để kết nối các mạng LAN từ xa thông qua phương tiện truyền thông không an toàn. Nó chạy giữa ASA-to-ASA hoặc Router ASA-to-Cisco.
Remote Access with IPSec VPN Client: Một phần mềm VPN Client được cài đặt trên máy tính của người dùng để cung cấp truy cập từ xa vào mạng trung tâm.
- SSL Based VPNs (WebVPN):
Clientless Mode WebVPN: đây là triển khai đầu tiên WebVPN SSL hỗ trợ từ ASA phiên bản 7.0 và sau đó. Nó cho phép người dùng thiết lập bảo mật từ xa truy cập VPN đường hầm bằng cách sử dụng chỉ là một trình duyệt Web. Khôngcần cho một phần mềm hoặc phần cứng nào. Tuy nhiên, chỉ các ứng dụng giới hạn có thể được truy cập từ xa.
AnyConnect WebVPN: cung cấp kết nối mạng đầy đủ (tương tự như với IPSec cho phép truy cập từ xa). Tất cả các ứng dụng tại trang Web trung tâm có thể được truy cập từ xa.
36 2.5.2. Site – to – site VPN
Hình 2.6. Sơ đồ mạng mô tả kết nối site to site IPSec VPN.
Site-to-Site IPSec VPN được gọi là LAN-to-LAN VPN. Đây làloại VPN kết nối hai mạng LAN xa qua Internet.
Bằng cách cấu hình Site-to-Site IPSec VPN giữa hai bức tường lửa ASA, có thể thiết lập một đường hầm an toàn qua Internet.
2.5.3. Remote access VPN
Remote Access VPN là loại VPN cho phép remote users/teleworkers với truy cập Internet để thiết lập một đường hầm IPSec VPN an toàn giữa mạng của công ty, tổ chức.
Người sử dụng phải có một phần mềm CiscoVPN client được cài đặt trên máy tính của họ sẽ cho phép một giao tiếp an toàn với ASAFirewall trong văn phòng trung tâm.
Sau khi VPN được thiết lập giữa người dùng từ xa và các bức tường lửa ASA, người dùng được gán một địa chỉ IP riêng được xác định trước, và sau đó được xác lập trên mạng LAN doanh nghiệp.
37
Hình 2.7. Sơ đồ mạng mô tả kết nối Remote Access VPN.
2.5.4. AnyConnect VPN
AnyConnect VPN cung cấp đầy đủ kết nối mạng tới người dùng ở xa. Firewall Cisco ASA làm việc như một máy chủ WebVPN, gán một địa chỉ IP cho người dùng ở xa và người sử dụng mạng. Vì vậy, tất cả các giao thức IP và những ứng dụng thông qua đường hầm VPN mà không có bất kỳ vấn đề gì.
38 Có hai lựa chọn cài đặt ban đầu :
- Sử dụng clientless WebVPN portal. - Cài đặt bằng tay bởi người sử dụng.
2.6. Một số loại Cisco ASA
Hiện nay, tường lửa Cisco ASA có một số dòng sản phẩm ASA seri 5500, phân chia theo chứa năng và mức độ đối với từng đối tượng có mô hình từ bé đến lớn, và theo mức giá của các sản phẩm.
Hình 2.9. Các dòng sản phẩm Cisco ASA 5500.
2.6.1. Cisco ASA 5510
Dòng sản phầm ASA 5510 nâng cao an ninh và cung cấp dịch vụ mạng, bao gồm cả các dịch vụ VPN, cho các doanh nghiệp nhỏ.
- Cung cấp lên tới 130,000 kết nối đồng thời. - Thông lượng có thể đáp ứng tới 300-Mbps. - Các interface được hỗ trợ:
Lên tới 5 cổng 10/100 Fast Ethernet. Lên tới 25 VLANs.
39 Lên tới 5 ngữ cảnh (contexts). - Hỗ trợ failover:
Active/standby. - Hỗ trợ VPNs :
Site to site (250 peers). Remote access.
WebVPN.
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port).
2.6.2. Cisco ASA 5520
- Cung cấp các dịch vụ bảo mật , kể cả vpn cho các doanh nghiệp cỡ vừa.
- Cung cấp lên tới 280,000 kết nối đồng thời. - Thông lượng có thể đáp ứng 450-Mbps. - Các interface được hỗ trợ :
4 10/100/1000 Gigabit Ethernet interfaces. 1 10/100 Fast Ethernet interface.
Lên tới 100 VLANs. Lên tới 20 contexts. - Hỗ trợ failover :
Active/standby. Active/active. - Hỗ trợ VPNs
Site to site (750 peers). Remote access.
WebVPN.
- Hỗ trợ thêm các module SSMs (Cisco ASA AIP SSM, Cisco ASA CSC SSM, và Gigabit Ethernet SSM loại 4 port).