Bài Viết Về PIX FIREWALL


Tác giả: Nguyễn Thị Băng Tâm
Chương 2: CẤU HÌNH CƠ BẢN CỦA PIX
1. ASA Security levels
Khi cấu hình PIX firewall , một điều quan trọng cần lưu ý
là cấu hình pix có 2 interface cũng giống như cấu hình
cho pix có 6 interface . Đó là vì PIX firewall hoạt động
dựa trên cơ chế ASA (Adaptive Security Algorithm) sử
dụng Security levels . Giữa 2 interface thì một sẽ có
Security level cao hơn , một có Security level thấp hơn .
ASA Security levels :
Security level thiết kế cho interface là inside (trusted)
hoặc interface outside (untrusted) quan hệ với các
interface khác . Một interface được xem là inside trong
mối quan hệ với các interface khác nếu nó có Security
level cao hơn các interface khác , một interface được xem
là outside nếu nó có Security level thấp hơn Security level
của các interface khác .
Quy tắc cơ bản cho Security level là :
Khi PIX firewall được cấu hình với 6 command cơ bản ,
dữ liệu có thể đi vào pix thông qua một interface với
Security level cao hơn , đi qua pix và đi ra ngoài thông
qua interface có Security level thấp hơn . Ngược lại , dữ
liệu đi vào interface có Security level thấp hơn không thể
đi qua pix và đi ra ngoài thông qua interface có Security
level cao hơn nếu trên pix không có cấu hình conduit
hoặc access-list để cho phép nó thực hiện điều này .
Security level xắp xếp từ 0 đến 100 , cụ thể :
- Security level 100 : đây là Security level cao nhất

cho một interface . Nó được sử dụng cho inside
interface của PIX firewall , là cấu hình mặc định cho
Pix và không thể thay đổi . Vì 100 là Security level
trusted nhất cho interface , mạng của tổ chức thường ở
sau interface này , không ai có thể truy nhập vào mạng
này trừ khi được phép thực hiện điều đó . Việc cho
phép đó phải được cấu hình trên pix , các thiết bị bên
trong mạng này có thể truy cập ra mạng outside .
- Security level 0 : đây là Security level thấp nhất .
Security level này được sử dụng cho outside interface .
Đây là cấu hình mặc định cho Pix và không thể thay
đổi . Vì 0 là Security level ít trusted nhất cho một
interface , các untrusted network thường ở sau
interface này . Các thiết bị ở outside chỉ được phép
truy cập vào pix khi nó được cấu hình để làm điều đó .
Interface này thường được dùng cho việc kết nối
internet .
- Security level 1-99 : Các Security level này có thể
được đăng kí cho perimeter interface kết nối đến PIX ,
mà thông thường là những kết nối đến một mạng hoạt
động như là demilitarized zone (DMZ) . DMZ là một
thiết bị hay là một mạng thường được sử dụng cho
phép user từ untrusted network truy cập vào . DMZ là
vùng được cách ly với môi trường internal , trusted .
Ví dụ về ASA với pix có 3 interface , Security level trong
ví dụ này cụ thể như sau :
Error!

· Outside security 0 đến DMZ security 50 thì DMZ này
được coi là inside . Do đó cần phải có static

translation với conduit cấu hình cho phép các session
được khởi tạo từ outside đến DMZ .
· Inside security 100 đến DMZ security 50 thì DMZ
này được coi là outside . Do đó global và nat thường
được cấu hình để cho phép các session khởi tạo từ
inside interface đến DMZ interface .
?Note : Một PIX firewall có thể có đến 4 perimeter
network do đó nó có tối đa tổng cộng là 6 interfaces .
Khi có nhiều kết nối giữa PIX firewall và các perimeter
device thì :
· Dữ liệu đi từ interface có Security level cao hơn đến
interface có Security level thấp hơn : Cần phải có một
translation (static hay dynamic) để cho phép traffic từ
interface có Security level cao hơn đi đến interface có
Security level thấp hơn . Khi đã có translation này ,
traffic bắt đầu từ inside interface đến outside interface
sẽ được phép , trừ khi nó bị chặn bởi access-list ,
authentication hoặc là authorization .
· Dữ liệu đi từ interface có Security level thấp hơn đến
interface có Security level cao hơn : 2 điều quan trọng
cần thiết phải được cấu hình để cho traffic từ interface
có security thấp hơn đến interface security cao hơn là
static translation và conduit hoặc access-list . Nếu
conduit được cấu hình , user cũng có thể chặn traffic
nếu cấu hình thêm authentication hoặc là authorization
.
· Dữ liệu đi qua 2 interface có Security level như nhau :
Không có traffic đi giữa 2 interface có level như nhau .
2. Cấu hình cơ bản của PIX firewall
Phần này sẽ mô tả cấu hình cơ bản cần thiết để sử dụng

PIX firewall và cách thiết lập kết nối cơ bản từ internal
network đến public Internet .
a. Các mode truy nhập :
Cũng giống như các thiết bị của Cisco , pix cũng có các
mode sau :
- Unprivileged mode : là mode được sử dụng khi ta
truy nhập vào pix lần đầu tiên thông qua cổng console
hoặc telnet . Mode này cho phép ta xem tập hợp các
lệnh có trong pix . User không thể thay đổi cấu hình tại
mode này .
- Privileged mode : tại mode này user có thể thay đổi
một vài cấu hình hiện tại và xem cấu hình trong pix .
Các câu lệnh ở mode unprivileged đều hoạt động tốt ở
mode này . Khi ta đã vào được mode privileged , thì ta
có thể vào được configuration mode .
- Configuration mode : Tại mode này ta có thể thay
đổi cấu hình của hệ thống . Tất cả các lệnh
unprivileged , privileged , configuration đều làm việc ở
mode này .
- Monitor mode : Tại mode này cho phép ta thao tác
một số cấu hình đặc biệt như là update image hay
password recovery .
Dấu hiệu để nhận biết đang ở trong mode nào :

Mode dấu hiệu
Unprivileged
mode
Pixfirewall>
Privileged
mode

Pixfirewall#
Configuration
mode
Pixfirewall(config)#
Monitor
mode
Monitor>

b. Các lệnh dùng để duy trì và kiểm tra PIX firewall
- Enable command : lệnh enable cho phép ta tiến vào
mode privileged . Để thoát ra và trở về mode trước đó ,
sử dụng disable command .
- Enable password : tham số cấu hình này thiết lập
password cho việc truy nhập vào mode enable . Không
có password mặc định . Khi truy cập vào mode này lần
đầu tiên (trước khi enable command được tạo ra) , pix
đưa ra dấu nhắc cần nhập password . Bởi vì password
chưa được cấu hình nên chỉ đơn giản là nhấn Enter .
Password là case-sensitive và có thể dài đến 16 chữ cái
. Ta có thể sử dụng bất kì kí tự nào ngoài khoảng trắng
, dấu hỏi , và dấu hai chấm . Password ở dạng mã hóa .
- Passwd : password này được thiết lập cho inbound
traffic telnet đến pix . Password mặc định là cisco .
- Hostname : câu lệnh hostname cho phép ta thay đổi
tên của Pix , mặc định pix có tên là pixfirewall .
- Ping : lệnh ping quyết định PIX firewall có kết nối
đến một đích cụ thể nào đó hay không . Khi ping
command được sử dụng , pix sẽ gửi ra ngoài echo-
request. Đích sẽ đáp lại bằng một echo-reply. nếu
echo-reply được nhận thì host có tồn tại . Nếu không

được nhận , ngõ ra sẽ xuất hiện “no response received”
. Ping command truyền đi 3 echo-request để tìm địa
chỉ . Nếu ta muốn internal host có thể ping được
external host , ta phải tạo một ICMP conduit hoặc là
access-list để cho phép echo-reply .
?Note: Sau khi pix được cấu hình và hoạt động , user sẽ
không thể từ outside interface ping được inside interface
và ngược lại . Nếu từ inside interface ping thấy được
inside network , và outside interface ping thấy outside
network thì pix họat động đúng và bìng thường .
- Telnet : lệnh telnet cho phép ta chỉ ra host nào có
thể truy cập cổng console PIX firewall thông qua telnet
. Với các version 5.0 trở về trứơc , chỉ có các internal
host mới có thể truy cập vào PIX firewall thông qua
telnet , nhưng các version sau này , user có thể telnet
vào PIX firewall qua tất cả các interface . Tuy nhiên ,
PIX firewall khuyến cáo rằng , tất cả telnet traffic đến
outside interface phải được bảo vệ bởi IPSEC . Do đó ,
để khởi động một telnet session đến PIX , user cần cấu
hình pix để thiết lập IPSEC tunnel họăc là với một pix
khác , hoặc là router , hay là VPN Client . Tunnel đó
phải được mã hóa cho các traffic đặc biệt trong đó có
telnet đến một host nào đó được định nghĩa trong câu
lệnh telnet . Có đến 16 host hoặc mạng được phép
telnet đến Pix , nhưng trong một lúc chỉ có 5 mà thôi .
telnet ip_address [netmask] [if_name]
clear telnet [ip_address] [netmask] [if_name]
no telnet ip_address [netmask] [if_name]
telnet timeout minutes
show telnet

show telnet timeout
- write terminal : cho xem cấu hình đang chạy trên
pix , câu lệnh này có ý nghĩa như câu lệnh show
running-config . Cấu hình này được lưu trong RAM
- write net : dùng để lưu running configuration vào
TFTP server .
- write erase : xóa tập tin cấu hình trong Flash
memory
- write memory : lưu tập tin running configuration
vào Flash .
- write floppy : lưu cấu hình hiện tại vào đĩa mềm .
- write standby : ghi lại cấu hình được lưu trong
RAM của active failover PIX , đến RAM của standby
PIX firewall . Khi active PIX firewall boot , nó tự động
ghi cấu hình này đến standby PIX firewall .
c. Sáu câu lệnh cơ bản cho cấu hình PIX firewall :
· Nameif command :
nameif hardware_id if_name security_level
câu lệnh nameif dùng để đăng kí 1 tên cho mỗi
interface của Pix và chỉ ra mức security của nó (ngoại trừ
outside và inside interface , chúng có tên mặc định )
Với cấu hình mặc định , e0 có tên là outside với mức
security là 0 , e1 có tên là inside với mức security là 100