D EFAULT ROUT E: EFAULT ROUTE LÀ TUYẾN ĐƯỜNG MẶC ĐỊNH ĐƯỢC
G. DỰ PHÒNG ĐƯỜNG TRUYỀN SLA
Khi bạn cấu hình một tuyến đường tĩnh trên các thiết bị an ninh, tuyến đường tồn tại vĩnh viễn trong các bảng định tuyến. Cách duy nhất cho các tuyến đường tĩnh bị loại bỏ khỏi bảng định tuyến là khi các interface trên ASA bị tắt. Trong tất cả các trường hợp khác, chẳng hạn như khi cổng mặc định từ xa bị down làm đường truyền bị gián đoạn, các ASA sẽ tiếp tục gửi các gói tin đến router cổng của nó mà không biết rằng nó thực sự là down.
Từ ASA phiên bản 7.2 trở lên, tính năng theo dõi các tuyến đường tĩnh đã được giới thiệu. ASAtheo dõi các tuyến đường tĩnh bằng cách gửi các gói tin ICMP echo request thông qua tuyến đường định tuyến tĩnh chính và chờ đợi trả lời. Nếu con đường chính bị down, một con đường thứ cấp được sử dụng. Tính năng này rất hữu ích khi bạn muốn thực hiện Dual-ISP dự phòng, như trong sơ đồ dưới đây
Hình 13. Mô tả đường dự phòng SLA
Trong kịch bản mạng ở trên, interface eth0/0 (bên ngoài) được kết nối với ISP chính và interface eth0/1 (dự phòng) được kết nối với các ISP dự phòng. Hai tuyến đường tĩnh mặc định sẽ được cấu hình (một cho mỗi ISP) sẽ sử dụng tính năng "theo dõi". Tuyến đường ISP chính sẽ được theo dõi bằng cách sử dụng các yêu cầu ICMP cho. Nếu echoreply không nhận được trong một khoảng thời gian được xác định trước, con đường thứ cấp tĩnh sẽ được sử dụng. Tuy nhiên lưu ý rằng cách này chỉ phù hợp cho traffic bên ngoài (có nghĩa là, từ mạng bên trong đối với Internet)
h. Chuyển đổi sự phòng (Failover) a. Giới thiệu
Failover là đặc điểm duy nhất độc quyền của Cisco trong các thiết bị bảo mật. Failover cung cấp khả năng dự phòng giữa các thiết bị bảo mật ASA: một thiết bị sẽ dự phòng cho 1 thiết bị khác. Cơ chế dự phòng này cung cấp tính đàn hồi trong
hệ thống mạng của bạn. Và phụ thuộc vào các loại failover bạn sử dụng và làm thế nào bạn thực thi failover, tiến trình failover có thể, trong hầu hết các trường hợp, nó trong suốt với các người dùng và các hosts.
Trong phần này, các bạn sẽ tìm hiểu đặc điểm failover. Tôi sẽ thảo luận về 2 loại failover là hardware và stateful, yêu cầu bạn phải cài đặt một failover, hạn chế mà bạn sẽ gặp khi thực thi failover, và làm thế nào để xử lý nâng cấp phần mềm cho cặp thiết bị ASA trong quá trình cấu hình failover.
ii. Phân loại Failover
Có hai loại failover: hardware failover (trong vài trường hợp được gọi là stateless failover) và stateful failover. Khi failover phiên bản đầu tiên được sử dụng, chỉ có hardware failover đã sẵn có. Bắt đầu từ phiên bản 6, stateful failover mới được thực thi.
Hardware failover chỉ cung cấp cho dự phòng về phần cứng – trong thuật ngữ khác, người ta gọi nó là physical-failover của một thiết bị. Cấu hình giữa hai thiết bị ASA được đồng bộ, nhưng không có gì khác nữa. Vậy nên, ví dụ, nếu một kết nối giữa thiết bị được xử lý bởi một ASA và nó bị failed, thiết bị ASA khác có thể chiếm quyền chuyển tiếp giao thông của thiết bị đã fail. Nhưng từ khi kết nối gốc không tái tạo lại với thiết bị thứ hai, kết nối sẽ fail: điều đó đồng nghĩa với việc, tất cả các kết nối còn hoạt động sẽ mất và phải thực hiện kết nối lại qua thiết bị thứ hai. Đối với hardware failover, một failover link sẽ được yêu cầu giữa 2 thiết bị ASA, vấn đề này được thảo luận trong phần “ Failover Cabling ”.
Stateful failover cung cấp cả phần cứng và dự phòng trạng thái. Bên cạnh cấu hình các thiết bị bảo mật ASA đồng bộ, các thông tin khác cũng được đồng bộ theo. Việc đồng bộ này bao gồm thông tin về các bảng routing, xlate, ngày giờ hiện tại, bảng địa chỉ MAC layer 2(nếu thiết bị ASA trong trạng thái transparent), SIP, kết nối VPN. Khi thực thi stateful failover, bạn sẽ cần hai links giữa các ASA, một link failover và một link stateful.
iii. Triển khai Failover
Có hai sự thực thi mà Cisco hỗ trợ cho failover. Qua version 6 của OS, chỉ có active/standby được hỗ trợ, với active/active thì được hỗ trợ từ version 7. Phần này sẽ thảo luận về hai loại failover và làm thế nào đánh địa chỉ IP, MAC của thiết bị được thực thi trong cả hai loại đó.
• Active/Standby Failover
Thực thi active/standby failover có hai thiết bị: primary và secondary. Bởi mặc định thì primary sẽ có vai trò làm active và secondary đóng vai trò là standby. Chỉ có thiết bị đóng vai trò là active sẽ xử lý giao thông giữa các interfaces. Ngoại trừ một vài thông số, tất cả cấu hình thay đổi thực thi trên active sẽ được đồng bộ sang thiết bị standby. Thiết bị là standby sẽ như là một hot standby hoặc backup cho thiết bị active. Nó không chuyển giao thông qua các interfaces. Chức năng chính của nó là kiểm soát hoạt động của thiết bị active và tự đưa nó lên vai trò active nếu thiết bị active không còn hoạt động.
Hình 14. Mô hình Active/standby failover
• Addressing and Failover
Mỗi thiết bị (hoặc context) tham gia vào failover cần có địa chỉ duy nhất – IP và MAC – cho mỗi subnet mà nó kết nối đến. Nếu failover xảy ra, thiết bị hiện tại làm standby sẽ được thăng chức lên vai trò active và thay đổi IP, MAC của nó để giống với thiết bị primary. Thiết bị active mới sau đó gửi các frames ra ngoài mỗi interface để update bảng địa chỉ MAC kết nối trực tiếp. Chú ý rằng thiết bị ASA failed sẽ không trở thành một thiết bị standby trừ khi vấn đề là nguyên nhân của failover được giải quyết. Sau khi vấn đề được tháo gỡ, thiết bị trước đó có vai trò làm active sẽ hoạt động failover trở lại với vai trò standby và nhận lại địa chỉ IP, MAC như thiết bị standby bình thường. Trong active/standby failover, không có quá trình chiếm quyền, tuy nhiên, trong active/active failover, đó là một sự lựa chọn.
Hình 15. Mô hình Failover and addressing
• Active/Active Failover
Trong khi thực thi Active/Active failover, cả hai thiết bị ASA trong failover pair đều xử lý giao thông. Để hoàn thành điều này, hai context cần được tạo ra, CTX1 sẽ thực thi vai trò active và chuyển tiếp giao thông cho LAN bên trái và làm standby cho LAN bên phải và ngược lại đối với CTX2. Sau đó, các tuyến đường tĩnh trên các routers kết nối trực tiếp được sử dụng để load-balance giao thông giữa hai context, nếu chúng được chạy trong chế độ routed. Nếu các contexts đang chạy trong chế độ transparent, các routers kết nối trực tiếp có thể sử dụng các giao thức động để học về hai đường có cost bằng nhau qua các contexts tới các routers trên các side khác.
Hình 15. Mô hình Active/active failover
III. Triển khai các tính năng ASA trên GNS31. Mô hình triển khai 1. Mô hình triển khai
a. Mô hình thực tế
b. Cấu hình trên ASAa. Định tuyến a. Định tuyến
Trong mô hình triển khai, ASA firewall có nhiệm vụ định tuyến cho tất cả các mạng nội bộ đi ra ngoài Internet. Việc định tuyến có thể tùy thuộc vào như cầu mà ta có thể sử dụng định tuyến tĩnh (static route và default-route) hoặc định tuyến động (RIP, EIGRP, OSPF). Tuy nhiên, với các thiết bị định tuyến ở các công ty quy mô không lớn, đinh tuyến tĩnh được ưu tiên sử dụng. Trong mô hình này ta sử dụng định tuyến mặc định (default-route) để cho mạng nội bộ đi đến ISP bên ngoài.
ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 203.162.4.2
ii. Acess Control List
Mặc định, ASA chỉ cho phép các traffic đi từ nơi có security-level cao đến nơi có security-level thấp. Để tiện cho việc xử lý sự cố mạng được thuận lợi hơn, ta cho phép các traffic ICMP được đi từ vùng DMZ (security-level 50) vào vùng inside (security-level 100).
access-list DMZ_access_in extended permit icmp any any
Tương tự cũng có access list trên interface outside để cho phép các gói tin ICMP đươc đi qua
access-list 101 extended permit icmp any any
Trong sơ đồ trên, công ty sẽ xây dựng hệ thống web server và FTP server để hỗ trợ cho hoạt động của công ty. Ở đây, ta sẽ xây dựng Web server IIS và FTP server trong vùng DMZ có địa chỉ 10.0.0.2 và được NAT ra bên ngoài ra địa chỉ 203.162.4.100 cho phép tất cả các máy tính ngoài Internet truy cập được Web server của công ty. Để các máy bên ngoài truy cập được, ta sẽ tạo ra access control list để cho phép http và ftp vào địa chỉ 203.162.4.100.
access-list 101 extended permit tcp any host 203.162.4.100 eq www access-list 101 extended permit tcp any host 203.162.4.100 eq ftp access-list 101 extended permit tcp any host 203.162.4.100 eq ftp-data
iii. NAT
Như mô hình được áp dụng phổ biến hiện nay trong hệ thống mạng của các các công ty, tất cả các traffic đi từ mạng ở bên trong ra bên ngoài đều sử dụng cơ chế chuyển dịch địa chỉ (PAT). Tất cả các mạng trong mô hình gồm 192.168.10.0/24 và 10.0.0.0/24 đều được PAT ra địa chỉ interface outside 203.162.4.1. Đều này giúp tang tính bảo mật của hệ thống mạng.
nat (inside) 1 192.168.10.0 255.255.255.0 nat (DMZ) 1 10.10.10.0 255.255.255.0 global (outside) 1 interface
global (backup) 1 interface
Ngoài ra, việc public các web server và ftp server nội bộ ra bên ngoài cũng cần NAT tĩnh. Ở đây, web server và ftp server có địa chỉ 10.0.0.2 được public ra bên ngoài với địa chỉ 203.162.4.100
static (DMZ,outside) tcp 203.162.4.100 ftp-data 10.10.10.2 ftp-data netmask 255. 255.255.255
static (DMZ,outside) tcp 203.162.4.100 ftp 10.10.10.2 ftp netmask 255.255.255.25 5
static (DMZ,outside) tcp 203.162.4.100 www 10.10.10.2 www netmask 255.255.255.255
iv. Giám sát đường truyền
Việc đứt kết nối trên đường truyền thường xuyên xảy ra. Đối với các sự cố phía trong mạng nội bộ, việc xử lí sự cố đối với các nhà quản trị được thực hiện chủ động. Tuy nhiên, các sự cố xảy ra mà nguyên nhân ở phía các ISP thì chúng ta không kiểm soát được. Vì vậy, để đảm bảo cho hệ thống thông tin được sẵn sang bất cứ lúc nào, người ta thường thuê thêm một đường truyền mạng dự phòng để chuyển sang sử dụng khi đường mạng chính xảy ra sự cố. ASA hỗ trợ cơ chế giám sát đường truyền mạng và chuyển sang đường dự phòng ngay lập tức. Điều này được thực hiện thông qua việc ASA lien tục ping đến địa chỉ ISP, nếu trong khoảng thời gian mặc định mà nó không nhận được câu trả lời từ ISP thì nó coi như đường truyền đến ISP đó gặp sự cố và ngay lập tức chuyển sang đường dự phòng. Trong thời gian chạy đường dự phòng, nó vẫn lien tục ping đến Primary ISP, nếu nó nhận được câu trả lời từ Primary bất cứ lúc nào, nó sẽ chuyển sang dùng đường truyền đến Primary ISP đó.
sla monitor 100
type echo protocol ipIcmpEcho 203.162.4.2 interface outside timeout 3000
frequency 5
sla monitor schedule 100 life forever start-time now track 10 rtr 100 reachability
route outside 0.0.0.0 0.0.0.0 203.162.4.2 1 track 10 route backup 0.0.0.0 0.0.0.0 123.0.0.2 254
v. DHCP
Ta xây dựng DHCP server ngay trên ASA để nó cấp IP cho mạng ở bên trong
dhcpd address 192.168.10.50-192.168.10.100 inside dhcpd dns 8.8.8.8 interface inside
PHỤ LỤC
Cấu hình của ASA
ciscoasa# show run : Saved
:
ASA Version 8.0(2) !
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif inside security-level 100 ip address 192.168.10.1 255.255.255.0 ! interface Ethernet0/1 nameif DMZ security-level 50 ip address 10.10.10.1 255.255.255.0 ! interface Ethernet0/2 nameif outside security-level 0 ip address 203.162.4.1 255.255.255.0 ! interface Ethernet0/3 nameif backup security-level 100 ip address 123.0.0.1 255.255.255.0 ! interface Ethernet0/4 shutdown
no nameif no security-level no ip address ! interface Ethernet0/5 shutdown no nameif no security-level no ip address !
passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive
access-list icmp-in extended permit icmp any any
access-list 101 extended permit tcp any host 203.162.4.100 eq www access-list 101 extended permit tcp any host 203.162.4.100 eq ftp access-list 101 extended permit icmp any any
access-list 101 extended permit tcp any host 203.162.4.100 eq ftp-data
access-list NO_NAT extended permit ip 192.168.10.0 255.255.255.0 10.10.10.0 255. 255.255.0
access-list DMZ_access_in extended permit icmp any any pager lines 24 mtu inside 1500 mtu DMZ 1500 mtu outside 1500 mtu backup 1500 no failover
icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-602.bin
no asdm history enable arp timeout 14400 nat-control
global (outside) 1 interface global (backup) 1 interface
nat (inside) 1 192.168.10.0 255.255.255.0 nat (DMZ) 1 10.10.10.0 255.255.255.0
static (DMZ,outside) tcp 203.162.4.100 ftp-data 10.10.10.2 ftp-data netmask 255. 255.255.255
static (DMZ,outside) tcp 203.162.4.100 ftp 10.10.10.2 ftp netmask 255.255.255.25 5
static (DMZ,outside) tcp 203.162.4.100 www 10.10.10.2 www netmask 255.255.255.25 5
access-group DMZ_access_in in interface DMZ access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 203.162.4.2 1 track 10 route backup 0.0.0.0 0.0.0.0 123.0.0.2 254