Trong phần này chúng ta sẽ mô tả chức năng mới VPN được hỗ trợ bởi ASA đó là Anyconnect WebVPN, chức năng này sử dụng SSL và chương trình Java client để tạo một đường hầm cho việc truy cập từ xa cho người dùng. Trước khi đi vào chi tiết của Anyconnect WebVPN hãy ôn tập lại kiến thức về công nghệ VPN được hỗ trợ bởi ASA Firewall
4.4.4.1 Tổng quan về công nghệ VPN của ASA
Cisco cung cấp một vài phương thức khởi tạo VPN trên ASA nhưng chúng thường được phân loại là “IPSec Based VPN” hoặc “SSL Based VPN”. Phân loại đầu tiên sử dụng giao thức IPSec cho việc giao tiếp bảo mật trong khi phân loại thứ hai sử dụng SSL. SSL Based VPN cũng được gọi là WebVPN. Hai loại VPN chung được hỗ trợ bởi ASA được phân chia thành các công nghệ VPN sau
IPSec Based VPNs:
Lan-to-Lan IPSec VPN: Được sử dụng để kết nối những mạng LAN ở xa thông qua một kênh truyền không bảo mật (như Internet). Công nghệ này chạy giữa ASA-to-ASA hay ASA-to-Cisco Router
Remote Access với IPSec VPN Client: Phần mềm VPN Client được cài đặt trên máy tính cá nhân của người dùng để cung cấp truy cập đến mạng trung tâm. Nó sử dụng giao thức IPSec và cung cấp đầy đủ các kết nối vào hệ thống mạng cho người dụng.
SSL Based VPNs (WebVPN):
Clientless Mode WebVPN: Đây là phương thức khởi tạo đầu tiên của SSL WebVPN được hỗ trợ bởi ASA phiên bản 7.0 và sau này. Nó giúp người dùng thiết lập kết nối VPN một cách bảo mật sử dụng đường hầm bằng cách sử dụng trình duyệt web. Lợi ích của điều này là không cần ohaanf mềm hay phần cứng. Tuy nhiên chỉ có một vài ứng dụng hạn chế mới có thể truy cập được
AnyConnect WebVPN: Client chạy bằng Java được cài đặt trên máy tính cá nhân người dùng cung cấp đường hầm bảo mật SSL đến mạng trung tâm. Cung cấp đầy đủ kết nối (tương tự như IPSec Remote Access). Tất cả các ứng dụng ở mạng trung tâm đểu được truy cập từ xa.
Trong phần này chúng ta sẽ chỉ tập trung cáo AnyConnect WebVPN. Chúng ta sẽ không mất thời gian vào Clientless WebVPN bởi vì chúng ta tin tưởng rằng lợi ích của việc sử dụng AnyConnect thay vì Clientless là nhiều hơn. Để chứng minh điều đang nói, chúng ta hãy nhìn vào sự khác biệt giữa hai chế độ WebVPN và chắc chắn rằng bạn sẽ hiểu tại sao chúng ta lại tập trung vào AnyConnect
Clientless WebVPN không yêu cầu bất cứ VPN Client nào cài đặt trên máy tính cá nhân của người dùng. Nó chỉ sử dụng một trình duyệt web thông thường. Bằng cách truy cập trên trình duyệt đến địa chỉ http://[ địa chỉ outside của ASA] và chứng thực với firewall và có truy cập đến Web Portal. Mặc dù Web Portal này, user có thể truy cập hạn chế một số ứng dụng mạng nội bộ. Một cách đặc biệt chỉ có các ứng dụng Web nội bộ
(HTTP,HTTPs), email Server (POP3,SMTP,IMAP), Windows File chia sẻ, và một số lượng các chính sách nhỏ TCP (Telnet) có thể được truy cập. Như vậy sẽ không có đầy đủ truy cập vào mạng nội bộ bằng việc sử dụng Clientless VPN.
AnyConnect WebVPN, mặt khác cung caaos đầy đủ kết nối mạng cho remote user. ASA Firewall làm việc như AnyConnect VPN Server, chỉ định địa chỉ IP đến remote user và cho phép người dùng truy cập hệ thống mạng. Như vậy tất cả các giao thức IP và chức năng ứng dụng thông qua đường hầm VPN mà không có vấn đề gì. Ví dụ, một remote user sau khi chúng thực thành công với AnyConnect VPN có thể sử dụng Remote
Desktop và truy cập Windows Terminal Server bên trong mạng nội bộ. Mặc dầu chương trình khách chạy trên Java được yêu cầu cài đặt trên máy tính cá nhân của người dùng, chương trình khách này có thể được cung cấp động cho user từ ASA. Người dùng có thể sử dụng trình duyệt Web để kết nối đến Firewall ASA và download chương trình khách Java về. Chương trình này có dung lượng nhỏ tầm 3MB và được lưu trũ trên bộ nhớ Flash của ASA
4.4.4.2Tổng quan về AnyConnect WebVPN
AnyConnect WebVPN bảo về dữ liệu ở tầng mạng và các tầng trên (tunnel-mode). Nó cung cấp cùng chức năng truy cập từ xa như Cisco IPSec VPN. Có hai phiên bản của tunnel-mode WebVPN client được chỉ ra như sau:
Ở ASA phiên bản 7.0 đến 7.2, WebVPN Client được gọi là SVC (SSL VPN Client). Từ phiên bản 8.0 về sau, Client được gọi là AnyConnect WebVPN client. Mặc dầu chúng ta sẽ chỉ tập trung vào AnyConnect client, nhưng việc cấu hình cho cả 2 phiên bản client (SVC và AnyConnect ) là như nhau trên ASA.
Mô hình dưới chỉ ra topo hệ thống mạng với ASA và người dùng từ xa truy cập với AnyConnect VPN
Hình 4.9 Hoạt động của AnyConnect VPN
Từ mô hình trên, ASA Firewall được cấu hình làm AnyConnect WebVPN Server. Người dùng truy cập từ xa thông qua Internet và địa chỉ IP của máy người dùng là 10.1.1.1. Người dụng đứng sau Router có chạy NAT/PAT và có địa chỉ IP private được NAT thành IP Public bởi NAT Router. Khi người dùng từ xa truy cập và chứng thực thành công tới ASA bằng AnyConnect Client, ASA sẽ chỉ định địa chỉ IP từ dải IP đã được định nghĩa trước (như ví dụ trên là dải 192.168.5.1-192.168.5.20). Từ mô hình trên, ASA chỉ định địa chỉ IP 192.168.5.1 cho người dùng từ xa. Điều này có nghĩa rằng người dùng được kết nối ảo vào mạng nội bộ LAN đằng sau Firewall ASA
Tổng quan hoạt động được miêu tả ở trên giả sử rằng AnyConnect được cài đặt trên máy tính cá nhân của người dùng. Chúng ta hãy nhìn những tùy chọn bên dưới để có thể cài đặt AnyConnect Client
Có hai cách thức cài đặt AnyConnect cho Client Sử dụng Clientless WebVPN portal
Cài đặt bằng tay bởi người dùng
Việc sử dụng Clientless Web Portal, đầu tiên người dùng phải kết nối và chứng thực tới ASA bằng chương trình duyệt Web bảo mật và chương trình Java AnyConnect Client tự động được tải về và cài đặt trên máy tính (Người dùng có thể click vào tab
“AnyConnect” trên WebVPN Portal để download phần mềm client). Để làm được điều này thì chương trình java (.pkg extension) đã được lưu trữ trên bộ nhớ Flash bởi
Administrator
Với phương thức cài đặt bằng tay, người quản trị mạng phải tải chương trình Java Client phù hợp (Microsoft MSI package installer hay một trong những phiên bản OS khác) từ
Website của Cisco và cung cấp file tới người dùng cho việc cài đặt bằng tay. Với phương thức này người dùng không cần phải đăng nhập vào chế độ Clientless để khởi tạo SSL VPN tunnel.
Từng bước cấu hình AnyConnect
Chúng ta sẽ tập trung vào tùy chọn cài đặt tự động AnyConnect. Ví dụ chương trình AnyConnect Client được lưu trữ trên bộ nhớ flash ASA và được tải về bởi người dùng. Mô hình dưới sẽ được sử dụng để mô tả từng bước cấu hình
Hình 4.10 Cấu hình AnyConnect
Bước 1:
Lưu trữ file PKG vào bộ nhớ flash trên ASA. Đầu tiên bạn cần phải tải về một trong những file .pkg từ Cisco Website. Ví dụ như file client Windows có định dạng như sau: “anyconnect-win-x.x.xxxx-k9.pkg”.
Để copy file PKG vào bộ nhớ flash:
Gỉa sử rằng chúng ta đã tải về AnyConnect Client trên máy tính có IP: 192.168.1.1. Chúng ta sẽ sử dụng TFTP Server trên máy tính để lưu copy file tới ASA
Đồng nhất file PKG trên flash bằng cách nói cho ASA nơi mà file được lưu trữ, cho phép dịch vụ WebVPN AnyConnect trên Outside ASA Interface
Chú ý: Số 1 ở cuối file là thứ tự của file trong bộ nhớ flash. Nó được sử dụng khi bạn có nhiều hơn một file lưu trữ trên bộ nhớ flash (ví dụ AnyConnect client cho Windows và MAC)
Bước 3:
Loại bỏ traffic của SSL WebVPN khỏi ACL trên Outside Interface. Mặc định WebVPN không được loại bỏ khỏi việc kiểm tra của ACL. Một khi traffic được đóng gói, nó sẽ được kiểm tra bởi Inbound ACL áp dụng trên Outside Interface. Bạn phải cho phép
permit dữ liệu được đóng gói trong ACL hay sử dụng “sysopt connection permit-vpn”.
Bước 4:
Bước này là tùy chọn nhưng thực sự hữu ích. Tất cả các kết nối SSL VPN giữa remote user và ASA chạy HTTPs (cổng 443). Điều này có nghĩa rặng người dùng phải sử dụng “https://[địa chỉ IP public của ASA” trên trình duyệt. Bởi vì hầu hết người dùng quên
https bạn có thể cấu hình chuyển cổng. Điều này có ý nghĩa rằng nếu người dùng kết nối tới cổng 80 ASA sẽ tự động chuyển sang cổng 443
Bước 5:
Tạo một dải địa chỉ mạng để ASA chỉ định địa chỉ để người dùng bên ngoài. Từ mô hình trên chúng ta thấy rằng sau khi người dùng bên ngoài được chứng thực, ASA chỉ định địa chỉ IP đến người dùng bên ngoài từ dải địa chỉ đã định nghĩa trước đó : 192.168.5.1 -192.168.5.20
Bước 6:
Khởi tạo NAT loại bỏ, không cho NAT các lưu lượng VPN . Chúng ta làm điều này bởi vì các lưu lượng được đóng gói sẽ không được đi qua NAT
Bước 7:
Tạo Group Policy cho người dùng dùng AnyConnect WebVPN. Group Policy này cho phép bạn tạo riêng rẽ người dùng vào các nhóm khác nhau với các thuộc tình khác nhau. Các thuộc tính này có thể được cấu hình như DNS server, split-tunnel, cách chương trình Client Anyconnect WebVPN được tải về (tự động hay sau khi chứng thực)
Làm rõ một vài thông số
Svc keep-installer {installed | none} : “installed” nghĩa là chương trình Client vẫn được cài đặt trong suốt trên máy tính người dùng thậm chí ngắt kết nối. Mặc định chương trình Client sẽ bị xóa sau khi người dùng ngắt kết nối khỏi AnyConnect
Svc ask {none | enable [default {webvpn |svc} timeout value]} : Câu lệnh này nói cho ASA cách mà chương trình khách AnyConnect sẽ được tải về máy người dùng như thế nào
Svc ask none default webvpn: ASA hiển thị ngay lập tức WebPortal. Đây là cấu hình mặc định
Svc ask none default svc: Tải chương trình khách AnyConnect một cách tự động Svc asl enable default svc timeout 20: Người dùng sẽ có một yêu cầu cài đặt chương trình khách AnyConnect Client. Nếu không làm gì trong khoảng 20 giây thì chương trình khách AnyConnect được tải về và cài đặt tự động
Bước 8:
Tạo Tunnel Group. Tunnel Group phải tương tác với Group Policy được cấu hình ở trên. Nó kết hợp Group Policy với dải địa chỉ IP mà chúng ta đã cấu hình sẵn cho người dùng từ xa
Định dạng như sau:
Bước 9: Tạo tài khoản cục bộ trên ASA sẽ được sử dụng cho việc chứng thực
AnyConnect
4.4.5 Thiết lập kết nối AnyConnect WebVPN
Truy cập vào ASA bằng địa chỉ Public https://[ outside interface]
Hình 4.11 (a)Truy cập ASA
Hình 4.11 (b)Truy cập ASA
Thiết lập kết nối SSL VPN
Hình 4.12 (a)Thiết lập kết nối SSL VPN
Phần mềm ActiveX phải được cài đặt trên máy tính của bạn trước khi tải về AnyConnect Client. Bạn sẽ thấy cửa sổ Window ở dưới khi kết nối được thiết lập
Hình 4.12(b) Thiết lập kết nối SSL VPN
Như vậy là kết nối đã được thiết lập thành công.
CHƯƠNG 5. DEMO ỨNG DỤNG
KẾT LUẬN I. ĐÁNH GIÁ
I.1. Kết quả nghiên cứu được
Sau quá trình tìm hiểu và nghiên cứu, đề tài đã đạt được một số kết quả như sau: - Đã hiểu rõ được thế nào là Firewall trong lĩnh vực tin học, bản chất của
Firewall là như thế nào.
- Chức năng của Firewall trong việc bảo mật cho mạng máy tính. - Những thành phần chính hình thành nên một Firewall.
- Tìm hiểu được an toàn và bảo mật mạng
- Các yêu cầu về Firewall của doanh nghiệp nói chung cũng như đối với doanh nghiệp nhỏ nói riêng.
- Lập mô hình giả lập cho một ứng dụng các chính sách bảo mật đó
I.2. Vấn đề chưa làm được
- Chưa tìm hiểu hết được các kĩ thuật lập trình Firewall.
- Chưa tiếp cận được thực tế một giải pháp Firewall nào để đề ra cách triển khai hệ thống chính xác.
- Việc triển khai và tìm hiểu chưa có nhiều điều kiện thực tế, nhiều vấn đề chỉ mới qua các tài liệu.
II. HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI
Trên cơ sở những việc đã làm được và chưa làm được ở trên khi thực hiện đề tài, Nhóm tôi xin đưa ra hướng phát triển nhằm từng bước hoàn thiện đề tài.
- Tìm hiểu thêm các kỹ thuật lập trình Firewall sâu hơn nữa, cũng như đề xuất phương án và giải pháp tốt.
- Xây dựng một chương trình Firewall có tính thực tiễn cao, có thể triển khai được.
III. LỜI KẾT
Trong quá trình tìm hiểu và làm đồ án nhóm tôi đã nhận được rất nhiều ý kiến đóng góp về nội dung cũng như cách trình bày. Tôi xin chân thành cảm ơn giảng viên hướng dẫn: Vi Hoài Nam và các thầy cô trong khoa CNTT đã tận tụy hướng dẫn và chỉ bảo.
Mặc dù đồ án đã thể hiện được phần nào sự hiểu biết về vấn đề nhưng vẫn có những mặc làm được và chưa làm được như đã nêu trên. Chúng tôi rất mong sự đóng góp ý kiến và bổ sung của các thầy cô, bạn đọc để nhóm có thêm kinh nghiệm hoàn thành tốt hơn trong những đồ án tiếp theo.
TÀI LIỆU THAM KHẢO Tài liệu tiếng Anh
[1] Richard Deal, “Cisco Asa Configuration”, Network professional’s library
[2] Harris Andrea“Cisco-ASA-5505-Configuration” Cisco Asa 5505 Bonus tutorial
(CCNA,CCNP,CCSP)
[3] Harris Andrea “Cisco-ASA-Firewall-Fundamentals-2nd-Edition” step by step configuration tutorial (CCNA,CCNP,CCSP)
Tài liệu Tiếng Việt
[4]. Nguyễn Thị Băng Tâm,”Bài viết về Pix Firewall”
Tài liệu trên Internet
[5]. http://www.quantrimang.com
[6]. http://www.Cisco.com
