Tải bản đầy đủ (.docx) (43 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Phần cứng

Tường lửa ASA của Cisco

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (842.39 KB, 43 trang )

MỤC LỤC
1
DANH MỤC HÌNH ẢNH
2
DANH MỤC BẢNG
3
LỜI MỞ ĐẦU
Ngày nay, mạng máy tính đã trở lên phổ biến ở khắp nơi trên thế giới. Nó
đem lại cho con người cách tiếp cận thông tin hoàn toàn mới. Trước đây, ta
muốn đọc sách thì phải mất cả ngày để ra hiệu sách tìm kiếm trong hàng nghìn
quyển sách khác nhau. Hay nếu các chị em muốn mua sắm thì phải chờ đến chủ
nhật mới có thể đi được. Nhưng giờ đây, mọi người có thể mua sắm, đọc báo,
tìm sách, trò truyện với bạn bè, … chỉ bằng một cái click chuột đơn giản không
tốn thời gian. Mạng internet đã đem lại nhiều lợi ích to lớn như vậy nhưng nó
cũng ẩn chứa những mối nguy hại cũng to lớn không kém. Đó là con đường lây
nhiễm chủ yếu của virus, sâu mạng, trojan, phần mềm nghe lén, … .Chính vì
vậy mà nhóm em đã quyết định tìm hiểu về firewall ASA của cisco. Nó chính là
công cụ hỗ trợ hiệu quả trong việc ngăn chặn các hiểm họa trên. Đề tài nhóm em
gồm có 3 chương như sau:
Chương 1. Tìm hiểu tổng quan về tưởng lửa
Chương 2. Tìm hiểu về cách thức lọc gói tin, khả năng chịu lỗi và quản lý
chất lượng dịch vụ.
Chương 3. Mô phỏng bằng GNS3
4
CHƯƠNG 1. TỔNG QUAN
1.1. Các sản phẩm tường lửa của Cisco
Cisco đã tích hợp các giải pháp bảo mật vào trong các sản phẩm của mình
để các tổ chức, cá nhân có thể bảo vệ được dữ liệu của mình an toàn. Cisco cung
cấp một loạt các sản phẩm bảo mật như:
• Tường lửa.
• Các thiết bị phát hiện và ngăn chặn xâm nhập.


• Thiết bị VPN.
Từ trước đến nay, Cisco đã cung cấp các vấn đề hỗ trợ an ninh mạng
mạnh mẽ thông qua việc sử dụng tường lửa. Việc này đã tạo ra một thay đổi
mạnh mẽ và nhanh chóng cho việc triển khai mạng. Hệ thống các sản phẩm
tường lửa của Cisco bao gồm các thiết bị với các giải pháp sau:
• Tường lửa Cisco PIX: luôn đóng một vai trò quan trọng trong chiến lược
an ninh của Cisco. Các dòng sản phẩm khác nhau của Cisco cung cấp các
giải pháp bảo mật khác nhau cho các doanh nghiệp nhỏ và lớn. Các dòng
sản phẩm tường lửa Cisco PIX hiện tại:
o Cisco PIX 501.
o Cisco PIX 506 và 506E.
o Cisco PIX 515 và 515E.
o Cisco PIX 525.
o Cisco PIX 535
Trong đó, Cisco PIX 501, 506 và 506E cung cấp các giải pháp tường lửa
cho doanh nghiệp, văn phòng nhỏ. Cisco PIX 515, 515E, 525 và 535 đã được
triển khai rộng rãi trong các doanh nghiệp vừa và lớn.
• Tường lửa FWSM (Firewall Services Module): là một dòng sản phẩm
tưởng lửa tốc độ cao cho các thiết bị chuyển mạch như: Cisco Catalyst
6500 Series Switches và Cisco 7600 Series Routers. Cisco FWSM được
thiết kế cho các doanh nghiệp lớn và các nhà cung cấp dịch vụ. Nó bao
gồm dịch vụ ảo hóa được thực hiện tại tầng 2 và 3, cũng như khả năng
quản lý tài nguyên. Khả năng ảo hóa cho phép chúng ta phân chia một
Cisco FWSM đơn thành nhiều bối cảnh logic an toàn (tường lửa ảo).
• Tường lửa Cisco IOS: cung cấp tính năng cho phép thiết lập sẵn một loạt
các phần mềm Cisco IOS dựa trên bộ định tuyến. Nhiều tổ chức triển khai
5
các bộ định tuyến Cisco thiết lập sẵn tính năng của tường lửa IOS cho vấn
đề an toàn và thực thi chính sách bảo vệ mạng nội bộ. Ngoài ra, nó còn
được triển khai rộng rãi để đảm bảo kết nối Internet từ các văn phòng ở xa

tới chi nhánh.
Cisco còn cung cấp cho người dùng một hệ thống giám sát để phát hiện và
ngăn chặn các xâm nhập trái phép vào hệ thống, đó là IDS/IPS (Intrusion
Detection System/ Intrusion Prevention System). Có hai loại IDS/IPS sau:
• Host based IDS/IPS: là hệ thống giám sát được cài trên các máy chủ, máy
trạm quan trọng của hệ thống
• Network based IDS/IPS: là hệ giám sát được cài trên tất cả các máy trong
mạng.
Cisco cung cấp CSA (Cisco Security Agent) cho phần mềm ngăn chặn
xâm nhập dựa trên máy chủ (HIPS) và sản phẩm Cisco 4200 Series Sensor cho
phần mềm phát hiện và ngăn chặn xâm nhập dựa trên hệ thống mạng
(NIDS/IPS), cùng với các sản phẩm cho thiết bị chuyển mạch như Catalyst
Switch và IOS router. Dòng sản phẩm Cisco 4200 bao gồm các sản phẩm sau:
• Cisco IDS 4215 Sensor.
• Cisco IDS 4235 Sensor.
• Cisco IDS 4240 Sensor.
• Cisco IDS 4250 Sensor.
• Cisco IDS 4250 XL Sensor.
• Cisco IDS 4255 Sensor.
Cisco ASA bao gồm các tính năng từ các dòng sản phẩm khác nhau của
Cisco VPN. Các sản phẩm của Cisco như: PIX firewall, bộ định tuyến IOS và
VPN 3000 Series Concentrator đều cung cấp khả năng VPN cho các tổ chức từ
nhỏ đến lớn. Cisco ASA tích hợp và tăng cường một số tính năng IPSec và SSL
VPN từ Cisco VPN 3000 Series Concentrator và tường lửa PIX. VPN 3000
Series Concentrator có các sản phẩm sau:
• Cisco VPN 3005 Concentrator.
• Cisco VPN 3015 Concentrator.
• Cisco VPN 3020 Concentrator.
• Cisco VPN 3030 Concentrator.
• Cisco VPN 3060 Concentrator.

• Cisco VPN 3080 Concentrator.
6
Cisco cũng cung cấp dịch vụ IPSec VPN cho bộ chuyển mạch Cisco
Catalyst 6500 và bộ định tuyến mạng Cisco 7600. Chúng đều được thiết kế để
cung cấp các dịch vụ IPSec VPN cho các doanh nghiệp lớn và các nhà cung cấp
dịch vụ.
Cisco ASA (Adaptive Security Appliance) tích hợp chức năng của tường
lửa, hệ thống IDS/IPS, VPN. Cisco ASA cung cấp tất cả các giải pháp an ninh
mạng trong một sản phẩm duy nhất. Cisco ASA luôn cảnh giác với các cuộc tấn
công và thống báo cho người quản trị trong thời gian thực. Sự tích hợp chặt chẽ
với Cisco IPS phiên bản 5.x cho phép Cisco ASA tự động tránh xa các thiết bị
mà nó nhận diện được là mã độc. Ngoài ra, Cisco ASA hỗ trợ gói reassembly
cho phép tìm kiếm các cuộc tấn công được ẩn trên một loạt các gói dữ liệu bị
phân mảnh. Cisco ASA còn cung cấp giải pháp VPN site-to-site và VPN remote
access. Một trong những lợi thế lớn nhất của Cisco ASA là tiết kiệm chi phí và
tăng hiệu suất hoạt động của hệ thống.
1.2. Tổng quan về ASA
1.2.1. Một số sản phẩm Cisco ASA
ASA là một trong những sản phẩm bảo mật mới của Cisco, được giới
thiệu vào tháng 5 năm 2005 cùng với bản cập nhật phiên bản 7.0 của hệ điều
hành. Từ đó, 3 mẫu sản phẩm mới đã được thêm vào dòng sản phẩm là 5505,
5550 và 5580, và 4 phiên bản của phần mềm đã được giới thiệu 7.1, 7.2, 8.0, 8.1
Không giống như các thiết bị an ninh PIX, ban đầu được thiết kế dựa trên
một PC-server dựa trên kiến trúc Intel. ASA được thiết kế trên một kiến trúc
phần cứng độc quyền.
Bảng . Mô tả của một số sản phẩm Cisco ASA
Cisco ASA Cấu hình vật lý Phiên bản của
phần mềm
ASA 5505 Cisco ASA 5505 có 8 cổng
chuyển đổi 10/100 Fast

Ethernet, có những cổng có thể
tự động nhóm lại để tạo ra đến
3 mạng VLAN riêng biệt nhằm
cải thiện các phân đoạn mạng
và an ninh.
ASA phiên bản
8.3.2, bao gồm một
nhân Linux 2.6
ASA 5510 Cisco ASA 5510 (Adaptive ASA phiên bản
7
Security Appliance) cung cấp
dịch vụ tường lửa hiệu suất cao
và dịch vụ VPN và tích hợp 5
giao diện của 10/100 Fast
Ethernet, hỗ trợ đến 100 VLAN
8.3.2, bao gồm một
nhân Linux 2.6
ASA 5520 Cisco ASA 5520 (Adaptive
Security Appliance) cung cấp
dịch vụ tưởng lửa hiệu suất cao
và dịch vụ VPN và 4 giao diện
Gigabit Ethernet và hỗ trợ lên
đến 150 VLAN
ASA phiên bản
8.3.2, bao gồm một
nhân Linux 2.6
ASA 5540 Cisco ASA 5540 (Adaptive
Security Appliance) cung cấp
dịch vụ tưởng lửa hiệu suất cao
và dịch vụ VPN, 4 giao diện

Gigabit Ethernet và hỗ trợ lên
đến 200 VLAN
ASA phiên bản
8.3.2, bao gồm một
nhân Linux 2.6
ASA 5550 Cisco ASA 5540 (Adaptive
Security Appliance) cung cấp
dịch vụ tưởng lửa hiệu suất cao
và dịch vụ VPN thông qua 8
giao diện Gigabit Ethernet, 4
giao diện Small Form-Factor
Pluggable (SFP) và hỗ trợ lên
đến 250 VLAN
ASA phiên bản
8.3.2, bao gồm một
nhân Linux 2.6
ASA 5580-20
ASA 5580-40
Cisco ASA 5580 (Adaptive
Security Appliance) cung cấp 6
khe cắm mở rộng giao diện, hỗ
trợ lên đến 24 giao diện Gigabit
Ethernet hoặc lên đến 12 giao
diện 10Gigabit Ethernet hoặc
lên đến 24 cổng 10/100/1000
Ethernet, hỗ trợ lên đến 250
VLAN
ASA phiên bản
8.3.2, bao gồm một
nhân Linux 2.6

1.2.2. Licensing
Các thiết bị đảm bảo an ninh, cả PIX và ASA thường khác so với các sản
phẩm khác của Cisco, họ sử dụng một chương trình cấp phép để khóa các tính
năng mà có thể được sử dụng bởi sản phẩm này. Nhiều hơn nữa, các sản phẩm
8
của Cisco đang phát triển theo hướng này. Giấy phép được cấp cho mỗi sản
phẩm, một phần dựa vào số serial của mỗi thiết bị, và được sử dụng để khóa/mở
khóa các tính năng của hệ điều hành. Từ số serial của một thiết bị, chúng ta
không thể lấy khóa từ một thiết bị này để sử dụng mở khóa cho một ứng dụng
của thiết bị khác. Giấy phép có thể được sử dụng để mở khóa các tính năng sau
trên một số các ứng dụng của thiết bị như:
• Số lượng các kết nối được cho phép trong bảng trạng thái.
• Số giao diện có thể được sử dụng.
• Tổng số lượng RAM có thể được dùng.
• Các thuật toán có thể được sử dụng như: DES, 3DES, AES.
• Số phiên IPSec/L2TP VPN hỗ trợ.
• Số phiên SSL VPN hỗ trợ.
• Số lượng người sử dụng mà ứng dụng hỗ trợ.
• Số VLAN có thể được sử dụng.
• Các chuyển đổi dự phòng hỗ trợ.
• Số các bối cảnh hỗ trợ.
1.3. Các tính năng của ASA
1.3.1. Hệ điều hành
Ứng dụng tường lửa
Một sản phẩm tưởng lửa chạy trên một hệ điều hành, các giải pháp này
thường được gọi là các ứng dụng tường lửa. Một bất lợi là các ứng dụng tường
lửa được so sánh với một hệ điều hành độc quyền. Điều đó có nghĩa, các nhà
cung cấp tường lửa phải giải quyết cả 2 phần mềm để tạo ra được một sản phẩm
tường lửa: hệ điều hành và ứng dụng tường lửa. Quá trình này có thể dẫn đến
một hệ thống kém an toàn hơn. Điều này đặc biệt đúng khi chúng ta xem xét tất

cả các mối đe dọa bảo mật trên hệ điều hành phổ biến như: UNIX và Microsoft.
Một ví dụ về sản phẩm tường lửa sử dụng các ứng dụng tường lửa là Check
Point. Một nhà cung cấp tường lửa như Check Point sẽ phải làm nhiều việc hơn
để đảm bảo rằng các ứng dụng tường lửa và hệ điều hành cung cấp một giải
pháp an toàn. Vấn đề chính với một giải pháp ứng dụng tường lửa là các nhà
cung cấp không chỉ cung cấp một ứng dụng tường lửa an toàn mà cũng phải đảm
bảo hệ điều hành mà tường lửa chạy trên đó. Tuy nhiên, các ứng dụng tường lửa
cung cấp cho người dùng 2 lợi thế:
• Dễ cài đặt và duy trì.
• Có thể chạy trên một loạt các nền tảng máy tính/máy chủ.
9
Hệ điều hành độc quyền
Hệ điều hành độc quyền cung cấp một lợi thế an ninh trên tường lửa ứng
dụng. Lợi thế lớn nhất của các hệ điều hành độc quyền là khả năng mở rộng. Bởi
một hệ điều hành độc quyền có thể được tùy chỉnh để một nền tảng phần cứng
cụ thể, hệ thống tường lửa có thể cung cấp cực nhanh các gói có khả năng lọc và
khả năng bảo mật.
Sử dụng một hệ điều hành độc quyền trong giải pháp của tường lửa sẽ làm
cho các kẻ tấn công khó khăn hơn khi thâm nhập vào hệ thống tường lửa. Vì
những kẻ tấn công này đã quen với các hệ điều hành phổ biến như UNIX,
Microsoft và có thể dễ dàng khai thác sử dụng cho các tấn công vào tường lửa.
Nhưng với một hệ điều hành độc quyền cho mỗi tường lửa của hãng thì kẻ tấn
công sẽ có ít hiểu biết hoặc không có gì về các chức năng hay cách xử lý của hệ
điều hành đó, làm khó khăn hơn khi kẻ tấn công thực hiện xâm nhập và hệ thống
tường lửa. Nhưng việc sử dụng hệ điều hành độc quyền cũng gây ra không ít
khó khăn trong việc đào tạo nguồn nhân lực để biết và sử dụng được nó.
1.3.2. Thuật toán an toàn
Một chức năng chính của các ứng dụng an toàn là tường lửa trạng thái.
Một tường lửa trạng thái duy trì thông tin về các kết nối của người dùng trong
bảng trạng thái. Một số thông tin được lưu trong bảng trạng thái:

• Địa chỉ IP nguồn.
• Địa chỉ IP đích.
• Giao thức IP (TCP/UDP).
• Thông tin về giao thức IP (số cổng, cờ, chuỗi số TCP).
1.3.3. Sự dự phòng (redundancy)
Cisco hỗ trợ hai hình thức dự phòng cho các thiết bị an ninh sau:
• Loại
o Dự phòng phần cứng: chỉ cung cấp khung dự phòng. Nếu thiết bị an
ninh chính trong cấu hình dự phòng bị lỗi, các thiết bị dự phòng khác sẽ
tham gia xử lý vấn đề đó. Các chỉ mục tái tạo giữa hai thiết bị sẽ được
cấu hình để sử dụng lại. Đây là loại dự phòng đột phá trong thông tin
liên lạc.
o Dự phòng trạng thái: thực hiện các chức năng tương tự như một dự
phòng phần cứng. Điểm khác biệt chính là cần thiết lập lại trạng thái
khi chuyển đổi dự phòng.
10
Hình 1. Sự dự phòng
• Thực thi
o Hoạt động/chờ (Active/Standby): được đưa ra trong phiên bản 6 của
hệ điều hành. Khi một thiết bị trong trạng thái hoạt động (Active), nó
sẽ chuyển tiếp lưu lượng giữa các giao diện. Một thiết bị ở trạng thái
chờ (Standby) sẽ chỉ theo dõi các hoạt động đơn vị, chờ đợi một
chuyển đổi dự phòng sẽ diễn ra và sau đó cắt sang một vai trò hoạt
động khác.
Hình 1. Mô hình thực thi
11
o Hoạt động/hoạt động (Active/Active): được đưa ra trong phiên bản 7
của hệ điều hành. Cả hai thiết bị an ninh có thể cùng xử lý thông tin
lưu thông trên mạng.
Hình 1. Mô hình hoạt động

1.3.4. Tính năng nâng cao của OS
Dịch địa chỉ
Ưu điểm chính của thiết bị an ninh là khả năng dịch địa chỉ. Nó có thể
thực hiện các loại dịch địa chỉ sau:
• Dịch địa chỉ động (NAT), dịch địa chỉ cổng (PAT).
• Dịch địa chỉ tĩnh NAT và PAT.
• Định danh địa chỉ dịch: thường gọi là NAT 0.
• Chính sách dịch địa chỉ: kiểm soát việc dịch địa khi việc dịch địa
chỉ diễn ra trên các địa chỉ nguồn và địa chỉ đích tham gia.
Lọc gói
Cisco hỗ trợ việc lọc nội dung các gói tin HTTP, FTP, bao gồm cả các
kịch bản. Cuối cùng sẽ được hỗ trợ khi sử dụng kết hợp với một máy chủ web
proxy. Với một proxy truyền thống, người dùng thiết lập một kết nối đến proxy,
và proxy kết nối với các điểm thực tế, việc này đòi hỏi proxy phải duy trì kết nối
với cả hai để truyền tải dữ liệu. Với giải pháp của Cisco, các thiết bị an ninh
vượt qua các URL đến máy chủ proxy, proxy quyết định việc nó có được phép
truy cập hay không và kết quả sẽ được trả lại. Cách tiếp cận này là tăng đáng kể
thông lượng và hỗ trợ kết nối nhiều hơn.
Định tuyến và quảng bá
12
Bắt đầu từ phiên bản 6 của hệ điều hành, kỹ thuật định tuyến RIP và
OSPF đã được thêm vào các sản phẩm của Cisco. Sau đó các bộ định tuyến
được hỗ trợ về RIP và OSPF đầy đủ hơn. Bắt đầu từ phiên bản 6.2, Cisco thêm
một khả năng quảng bá (multicast) cho các thiết bị của mình.
IPv6
Bắt đầu từ phiên bản 7 của hệ điều hành có hỗ trợ thêm IPv6. Chúng ta có
thể xử lý cả IPv4 và IPv6 trên giao diện. IPv6 được hỗ trợ bao gồm các tính
năng sau:
• Ngăn xếp kép của IPv4 và IPv6 trên một giao diện.
• Mặc định và IPv6 định tuyến tĩnh.

• Lọc gói IPv6.
• Phát hiện các IPv6 khác xung quanh (cả tĩnh và động).
Tường lửa ảo
Một tính năng mới được giới thiệu trong phiên bản 7 của hệ điều hành.
Nó không giống như VMware, nơi nhiều hệ điều hành và các ứng dụng có thể
chạy trên một thiết bị. Tường lửa ảo cho phép bạn có nhiều chính sách cho các
nhóm người dùng khác nhau. Khi sử dụng tường lửa ảo, tất cả các tường lửa ảo
sẽ sử dụng hệ điều hành giống nhau và chia sẻ tài nguyên của thiết bị. Tuy
nhiên, mỗi tường lửa ảo có một chính sách bảo mật riêng của mình và tài
nguyên chuyên dụng hoặc chia sẻ riêng.
1.3.5. IDS/IPS
Cisco ASA tích hợp khả năng phòng chống xâm nhập, cung cấp một giải
pháp kiểm tra gói tin sâu. Hệ thống ngăn chặn xâm nhập của Cisco CIPS (Cisco
Intrusion Prevention) làm giảm nhẹ một loạt các cuộc tấn công mạng mà không
làm ảnh hưởng đến hiệu suất của hệ thống. Các ASA hỗ trợ toàn diện IDS/IPS
với tiện ích kiểm tra và phòng chống nâng cao AIP (Advanced Inspection and
Prevention) và SSM (Security Service Module). Các thẻ này hỗ trợ đầy đủ chức
năng phát hiện và phòng chống sau đây:
• Các cuộc tấn công vào ứng dụng và hệ điều hành, bao gồm cả web,
e-mail, và các tấn công DNS.
• Các tấn công từ tin tặc bên ngoài.
• Các cuộc tấn công nội bộ.
• Khai thác Zero-day.
• Sâu mạng.
13
AIP-SSM là một modun xây dựng dựa trên Flash. Phần mềm CIPS chạy
trong Flash sẽ linh động và tin cậy hơn. Có 2 loại sản phẩm AIP-SSM:
• AIP-SSM-10
• AIP-SSM-20
Cisco ASA 5510 chỉ hỗ trợ AIP-SSM-10. Cisco ASA 5520 hỗ trợ cả AIP-

SSM-10 và AIP-SSM-20. Cisco ASA 5540 hỗ trợ AIP-SSM-20. Cisco ASA hỗ
trợ cả chế độ IPS nội tuyến và chế độ kết hợp. Khi cấu hình IPS nội tuyến, các
modun AIP-SSM có thể loại bỏ các gói tin độc hại, tạo ra thông báo động, hoặc
thiết lập lại các kết nối, cho phép ASA đáp trả lại ngay các mối đe dọa an ninh
và bảo vệ an toàn mạng. Cấu hình nội tuyến IPS buộc tất cả các gói tin lưu
thông trên mạng phải đi qua AIP-SSM. Ta có mô hình hoạt động của Cisco ASA
khi cấu hình chế độ IPS nội tuyến.
Hình 1. Mô hình hoạt động với IPS nội tuyến
• Bước 1: Cisco ASA nhận một gói tin IP từ Internet.
• Bước 2: Cisco ASA chuyển gói tin đến AIP-SSM để phân tích.
• Bước 3: AIP-SSM phân tích các gói dữ liệu. Nếu gói tin không
chứa phần mềm độc hại thì nó sẽ được chuyển tiếp trở lại ASA.
14
• Bước 4: Cisco ASA chuyển gói tin đến đích cuối cùng (máy chủ
cần bảo vệ).
Khi ASA được thiết lập để sử dụng AIP-SSM ở chế độ kết hợp, ASA sẽ
gửi một bản sao các gói tin lưu thông trên mạng tới AIP-SSM. Chế độ này ít tác
động đến thông lượng tổng thể của mạng. Nhưng chế độ kết hợp này được coi là
kém an toàn hơn chế độ nội tuyến, bởi ở chế độ này các modun IPS chỉ có thể
chặn lưu lượng truy cập bằng cách buộc ASA tránh xa các lưu lượng có truy cập
độc hại hay gửi một thông báo chấm dứt kết nối TCP. Có mô hình hoạt động của
Cisco ASA khi cấu hình IPS ở chế độ kết hợp.
Hình 1. Mô hình hoạt động với IPS kết hợp
• Bước 1: Cisco ASA nhận một gói tin IP từ Internet.
• Bước 2: AIP-SSM tự động xem các gói tin nhận được.
• Bước 3: ASA chuyển tiếp gói tin đến đích cuối cùng (máy chủ được
bảo vệ) nếu gói tin phù hợp với các chính sách bảo mật.
1.3.6. VPN
Cisco hỗ trợ việc kết nối từ xa với Easy VPN IPSec kể từ phiên bản 6 trở
đi. “Easy VPN” sẽ mô tả việc triển khai IPSec để điều khiển truy cập từ xa VPN.

15
IPSec (IP Security) là một giao thức thích hợp cho việc cung cấp các tính
năng đảm bảo sự bí mật, toàn vẹn và xác thực của các gói tin trên mạng. VPN là
một đường hầm an toàn được xây dựng sử dụng IPSec. IPSec làm việc tại tầng
mạng, có nhiệm vụ mã hóa và xác thực các gói tin IP giữa tường lửa, các ứng
dụng an toàn, hay các thiết bị khác của Cisco như router, các phần mềm VPN
Client… Ta có một số thuật ngữ sau:
• ESP (Encapsulation Security Payload): là một trong hai giao thức chính
làm nên chuẩn IPSec. Nó cung cấp các dịch vụ đảm bảo dữ liệu toàn vẹn,
xác thực và bí mật. ESP được sử dụng để mã hóa dữ liệu truyền đi của các
gói tin IP.
• AH (Authentication Header): đây là giao thức thứ 2 trong hai giao thức
chính của IPSec. Nó cung cấp dịch vụ đảm bảo toàn vẹn, xác thực, phát
hiện và phát lại dữ liệu. Nó không cung cấp dịch vụ mã hóa dữ liệu, thay
vào đó nó như một chữ ký số để đảm bảo rằng dữ liệu không bị giả mạo.
• IKE (Internet Key Exchange): là một cơ chế được sử dụng để trao đổi
khóa mã an toàn. Trên tường lửa ASA thì nó là ISAKMP.
• DES, 3DES, AES: các thuật toán mã hóa được sử dụng bởi sản phẩm
tường lửa Cisco ASA.
• DH (Diffie-Hellman Group): là giao thức mã hóa khóa công khai được sử
dụng bởi IKE để thiết lập và trao đổi khóa phiên.
• MD5, SHA-1: hàm băm được sử dụng để xác thực các gói tin.
• SA (Security Association): là một kết nối an toàn giữa hai IPSec ngang
hàng.
 Quá trình hoạt động của IPSec:
• Interesting Traffic: xác định các lưu lượng mạng truy nhập cần được bảo
vệ.
• Phase 1 (ISAKMP): thiết lập một chính sách an toàn IKE và một kênh
truyền thông an toàn.
• Phase 2 (IPSec): thiết lập một chính sách IPSec an toàn để bảo vệ dữ liệu.

• Data Transfer: dữ liệu được truyền một cách an toàn giữa các IPSec ngang
hàng dựa trên các chính sách IPSec và khóa đã thiết lập trước đó.
• IPSec Tunnel Terminates: kết thúc kết nối khi thời gian tồn tại của gói tin
đã hết hay khi gói tin đã được nhận đúng.
1.4. Cấu hình ASA cơ bản
Vào user mode: enable
16
Config mode: configure terminal
Đặt tên cho firewall: hostname ten_moi
Đặt pass cho ASA: enable password mat_khau
Truy nhập vào cổng: interface ten_cong
Đặt ip cho cổng (khi đã truy nhập vào cổng):
ip address dia_chi_ip subnetmask
Đặt mức độ bảo mật cho cổng: security-level (0-100)
Đặt tên cho cổng: nameif ten_moi
Sau khi cấu hình xong, ta có thể kiểm tra IP của các cổng và trạng thái của
nó với từ khóa sau: show interface ip brief
Định tuyến:
route “interface-name” “ip address” “netmask” “gateway”
Cấu hình NAT:
nat(internal_interface_name) “nat-id” “internal network IP
subnet”
global(external_interface_name) “nat-id” “external IP pool
range”
17
CHƯƠNG 2. GIẢI PHÁP TƯỜNG LỬA (FIREWALL
SOLUTION)
2.1. Điều khiển truy nhập mạng (network access control)
ASA có thể giúp bảo vệ một hoặc nhiều mạng khỏi kẻ xâm nhập và kẻ tấn
công. Các kết nối giữa các mạng có thể được kiểm soát và theo dõi bằng cách sử

dụng các tính năng mạnh mẽ mà Cisco ASA cung cấp. Bạn có thể đảm bảo rằng
tất cả các lưu lượng truy cập từ các mạng được bảo vệ đến các mạng không
được bảo vệ (và ngược lại) đi qua tường lửa đều dựa trên các chính sách bảo mật
của tổ chức. Chương này sẽ tập trung vào các tính năng sẵn có cho lọc gói tin và
triển khai chúng.
2.1.1. Packet filtering
ASA có thể bảo vệ mạng bên trong, DMZs và mạng bên ngoài bằng cách
kiểm tra tất cả các lưu lượng truy cập đi qua nó. Bạn có thể chỉ rõ các chính sách
và luật để xác định lưu lượng truy nhập gì được phép vào hoặc ra khỏi một giao
diện mạng. Thiết bị an toàn này sử dụng danh sách kiểm soát truy nhập (ACLs)
để hủy bỏ những gói tin không mong muốn khi nó cố gắng đi vào mạng tin cậy.
ACL là một danh sách các quy tắc hay chính sách an toàn được nhóm lại với
nhau để cho phép hoặc từ chối các gói tin sau khi kiểm tra tiêu đề hoặc các
thuộc tính khác của gói tin. Mỗi lệnh cho phép hay cấm trong ACL được gọi là
thực thể kiểm soát truy nhập (ACE). Các ACE có thể phân loại gói tin bằng cách
kiểm tra header lên đến tầng 4 với một số thông số sau:
• Giao thức sử dụng
• Địa chỉ nguồn/đích
• Cổng nguồn/đích
• Giao diện của gói tin đến và gói tin đi
Thiết bị an toàn này có thể lọc gói tin theo cả hướng ra và hướng vào trên
một giao diện.
18
Hình 2. ACL cho hướng ra và hướng về
Trong hình trên:
• Với lưu lượng truy nhập hướng ra (mức an toàn cao đến mức an
toàn thấp): tham số địa chỉ nguồn của một ACL là địa chỉ thực của
mạng hay máy trạm.
• Với lưu lượng truy nhập hướng vào (mức an toàn thấp đến mức an
toàn cao): tham số địa chỉ đích là địa chỉ IP đã được dịch.

• ASA luôn kiểm tra các ACL trước khi dịch.
• ACL, ngoài việc hạn chế lưu lượng truy nhập qua tường lửa, chúng
có thể được dùng như một chơ chế lựa chọn lưu lượng truy nhập
bằng cách thực hiện các hành động khác đến lưu lượng được chọn
như mã hóa, dịch, các chính sách, chất lượng dịch vụ,…
Nếu gói tin đi ra hay đi vào bị từ chối thì nó sẽ thực hiện ghi lại ra file
nhật ký.
Thiết bị an toàn này hỗ trợ 5 loại ACL khác nhau để cung cấp các giải
pháp linh hoạt và khả năng mở rộng để lọc các gói tin trái phép vào mạng.
• Standard ACLs
• Extended ACLs
• IPv6 ACLs
• EtherType ACLs
• webVPN ACLs
Ta có bảng so sánh tính năng và hỗ trợ của các loại ACLs
19
Bảng Tính năng và hỗ trợ của các loại ACL
[1] chỉ dùng cho webVPN mã hóa lưu lượng truy cập
2.1.2. Tính năng ACL nâng cao
ASA cung cấp nhiều tính năng lọc gói tin nâng cao để phù hợp với bất kì
môi trường mạng nào. Các tính năng bao gồm:
• Object grouping
• Standard ACLs
• Time-based ACLs
• Downloadable ACLs
• ICMP filtering
2.1.2.1. Object grouping
Object grouping là một cách để nhóm các phần tử tương tự nhau để giảm
số lượng ACE. Nếu không có object grouping, cấu hình trên thiết bị an toàn có
thể lên đến hàng nghìn ACE, như vậy sẽ khó khăn trong quản lý.

20
Ví dụ: có 3 host bên ngoài cần truy nhập 2 server đang chạy dịch vụ
HTTP và SMTP, thiết bị an toàn sẽ cần 12 ACE dựa trên máy chủ, được tính như
sau:
Số ACE=(2 server)*(3 host bên ngoài)*(2 dịch vụ)=12
Bằng cách sử dụng object grouping, số ACE có thể được giảm đến chỉ còn
thực thể đơn. Object grouping có thể nhóm các đối tượng mạng như các server
nội bộ vào một nhóm và các máy trạm bên ngoài vào một nhóm khác. Thiết bị
an toàn hỗ trợ lồng một nhóm đối tượng vào một nhóm khác. Nhóm phân tầng
như vậy có thể làm giảm hơn nữa số ACE được cấu hình trong ASA.
2.1.2.2. Standard ACLs
Standard ACLs được sử dụng khi mạng nguồn là không quan trọng. Các
ACL được dùng bởi các tiến trình, như OSPF route-maps và VPN tunnel, để xác
định lưu lượng truy nhập dựa vào địa chỉ IP đích.
Standard ACL được định nghĩa bằng cách sử dụng lệnh access-list và từ
khóa standard sau tên ACL. Cú pháp định nghĩa một ACE chuẩn như sau:
access-list id standard {deny | permit} {any | host ip_address |
ip_address
subnet_mask}
Ví dụ: thiết bị an toàn xác định lưu lượng truy nhập dành cho máy chủ
192.168.10.100 và mạng 192.168.20.0/24 và bỏ qua tất cả các lưu lượng truy
nhập khác.
Vietnam(config)# access-list dest_net standard permit host
192.168.10.100
Vietnam(config)# access-list dest_net standard permit
192.168.20.0 255.255.255.0
Vietnam(config)#access-list dest_net standard deny any
2.1.2.3. Time-based ACLs
Thiết bị an toàn có thể áp dụng ACL dựa trên khoảng thời gian để cho
phép hoặc từ chối truy cập mạng. Những luật này thường được gọi là Time-

based ACL, có thể chặn người dùng truy cập các dịch vụ mạng khi gói tin đến
nằm ngoài khoảng thời gian định sẵn. ASA dựa vào thời gian hệ thống khi Time-
based ACL được đánh giá. Do đó điều quan trọng nhất là đảm bảo thời gian hệ
thống là chính xác. Vì vậy, chúng ta nên dùng Network time protocol.
21
Time-based ACL được cài đặt bằng lệnh time-range theo sau là tên khoảng thời
gian.
Ví dụ: cài đặt khoảng thời gian tên là busines_hours
Vietnam(config)# time-range busines_hours
Vietnam(config-time-range)#
Trong chế độ cấu hình time-range, bạn có thể xác định hai loại thời gian
ràng buộc:
• Absolute: hàm này hữu ích khi công ty thuê một chuyên gia bảo mật về
làm việc trong một thời gian và muốn hạn chế truy cập khi họ rời đi.
Trong trường hợp này, bạn có thể xác định một khoảng thời gian bắt đầu
và kết thúc. Khi hết thời gian, chuyên gia này không thể vượt qua được
thiết bị an toàn. Nếu không có thời gian bắt đầu nó sẽ hiểu là làm việc
ngay lập tức. Nếu không có thời gian kết thức thì nó hiểu là làm việc vô
thời hạn. Cú pháp:
absolute [start time date] [end time date]
Ví dụ: tạo một time-range cho một chuyên gia bảo mật bắt đầu từ 8h ngày
1/6/2014 đến 17h ngày 30/12/2014
Vietnam(config)# time-range busines_hours
Vietnam(config-time-range)# absolute start 08:00 01 June 2014
end 17:00 30 December 2014
• Periodic: sử dụng hàm này bạn có thể xác định giá trị dựa trên sự kiện
định kỳ. Time-based ACL sử dụng tùy chọn này rất hữu ích khi công ty
muốn cho phép người dùng truy nhập trong giờ làm việc bình thường các
ngày trong tuần và muốn từ chối truy nhập vào cuối tuần. ASA cho phép
cấu hình nhiều trường hợp với tham số periodic. Nếu cả hai tham số

absolute và periodic được cấu hình trong một khoảng thời gian, thì các
thông số absolute được ưu tiên đánh giá trước. Cú pháp để cấu hình tùy
chọn periodic:
periodic <days-of-the-week><hh:mm> to <days-of-the-
week><hh:mm>
2.1.2.4. Downloadable ACLs
Thiết bị an toàn có thể tự động download ACL từ server xác thực bên
ngoài như Cisco Secure ACS sử dụng RADIUS. Khi người dùng cần truy nhập
một dịch vụ ở bên ngoài, chuỗi sự kiện sau đây xảy ra:
22
Hình 2. Downloadable ACL
1. Người dùng mở trình duyệt và thử đi đến 1 web server có địa chỉ
209.165.201.1. Gói tin sẽ gửi đến Cisco ASA để định tuyến.
2. ASA được thiết lập để xác thực người dùng. Do đó, nó yêu cầu các
thông tin xác thực.
3. Người dùng cung cấp tên và mật khẩu.
4. ASA chuyển tên và mật khẩu đến một server xác thực.
5. Nếu xác thực thành công, server trả về ACL cho ASA.
6. ASA áp dụng ACL tải về cho người dung.
2.1.2.5. ICMP filtering
Thiết bị an toàn không ngăn chặn lưu lượng ICMP dành cho giao diện của
mình khi ACL được triển khai. Tùy thuộc vào chính sách bảo mật của các tổ
chức, một chính sách ICMP có thể được định nghĩa trên thiết bị an toàn để ngăn
chặn lưu lượng ICMP, để nó kết thúc tại giao diện của thiết bị an toàn.
Ví dụ: chính sách ICMP được kích hoạt trên giao diện bên ngoài chặn gói tin
ICMP echo
Vietnam(config)#icmp deny any echo outside
23
2.1.3. Nội dung và lọc URL (content and URL filtering)
Theo truyền thống, tường lửa ngăn chặn gói dữ liệu bằng cách kiểm tra

thông tin của các gói tin tại tầng 3 hoặc tầng 4. Cisco ASA có thể nâng cao chức
năng này bằng cách kiểm tra nội dung thông tin lên đến tầng 7 với các giao thức
như HTTP, HTTPS, và FTP. Dựa vào các chính sách an toàn của một tổ chức,
thiết bị an toàn có thể chấp nhận hay hủy bỏ các gói tin nếu chúng có chứa nội
dung không được phép trên mạng. Cisco ASA hỗ trợ hai loại ứng dụng lọc tầng:
• Lọc nội dung
• Lọc URL
2.1.3.1. Lọc nội dung (content filtering)
Cho phép java và ActiveX trong môi trường có thể là nguyên nhân làm
cho người dùng không biết và tải các mã thực thi độc hại, có thể làm mất dữ liệu
và làm sai hỏng môi trường làm việc của người dùng. Một chuyên gia an ninh
mạng có thể vô hiệu hóa java và ActiveX đang xử lý trong trình duyệt nhưng
điều này không phải là một giải pháp có khả năng mở rộng. Sử dụng tính năng
lọc nội dung cục bộ, thiết bị an toàn có thể kiểm tra tiêu đề HTTP và lọc
ActiveX và Java applet khi gói tin cố gắng đi qua từ máy chủ không tin cậy.
Cisco ASA có thể phân biệt applet thân thiện và applet không tin cậy. Nếu
một trang web tin cậy gửi java và ActiveX applet, các thiết bị an ninh chuyển
tiếp đến máy chủ yêu cầu kết nối. Nếu applet được gửi từ các máy chủ không tin
cậy, các thiết bị an ninh có thể sửa đổi nội dung và loại bỏ các applet trong các
gói tin.
Lọc activeX:
Như đã đề cập ở trên, ActiveX có thể ẩn chứa những vấn đề tiềm năng
trên các thiết bị mạng nếu mã ActiveX độc hại được tải về máy. Mã ActiveX
được đưa vào trang web bằng cách sử dụng các thẻ HTML <OBIECT ID> và
</OBJECT>. Các thiết bị an ninh tìm kiếm các thẻ đó trên các cổng đã được cấu
hình trước đó. Nếu nó tìm thấy những thẻ này, thì nó thay thế chúng bằng các
thẻ chú thích <!_ _ và _ _>. Khi mà trình duyệt nhận được gói tin HTTP với <!_
_ và _ _> thì nó sẽ bỏ qua và coi đó là lời chú thích của tác giả.
Chú ý: Thiết bị an toàn không thể comment lên thẻ HTML nếu chúng
được chia trên nhiều gói dữ liệu.

Lọc Java:
24
Mã Java ẩn chứa trong thẻ <applet và </applet> trong gói dữ liệu HTML.
Và các thiết bị an ninh cũng tìm kiếm chúng và thay thế bằng các thẻ comment
như trong lọc ActiveX.
Cấu hình lọc nội dung:
Lọc nội dung trên thiết bị an toàn được thiết lập bằng cách sử dụng lệnh
filter theo sau là tên nội dung được loại bỏ. Cú pháp:
filter activex | javaport[-port] local_ip local_mask foreign_ip
foreign_mask
Bảng sau đây miêu tả các tham số có trong cú pháp trên:
Bảng . Miêu tả các tham số trong cú pháp lọc
Cú pháp Miêu tả
Filter Từ khóa để kịch hoạt lọc nội dung
Activex Từ khóa để kích hoạt lọc active
Java Từ khóa để kích hoạt lọc java
Port[-port] Số cổng TCP để thiết bị an toàn dùng để kiểm tra gói tin
HTTP. Nó có thể là một cổng hoặc một khoảng cổng. Thông
thường là cổng 80.
Local_ip Địa chỉ IP máy trạm hoặc địa chỉ subnet của máy trạm bên
trong nơi bắt đầu kết nối.
Local_mask Subnet mask của IP máy trạm cục bộ hay địa chỉ subnet.
Foreign_ip Địa chỉ IP máy trạm hay địa chỉ subnet của server bên ngoài.
Foreign_mask Subnet mask của máy trạm bên ngoài.
Ví dụ: người quản trị an ninh ở Vietnam đã thiết lập chính sách lọc nội
dung để loại bỏ ActiveX trong gói tin HTTP (TCP cổng 80). Chính sách sẽ được
thực thi nếu gói tin bắt nguồn từ mạng con bên trong 209.165.202.128/27 đến
mạng con bên ngoài 209.165.201.0/27. Nếu lưu lượng truy cập từ/tới máy trạm
khác thì thiết bị an ninh sẽ không lọc ActiveX.
vietnam(config)# filter activex 80 209.165.202.128

255.255.255.224 209.165.201.0 255.255.255.224
2.1.3.2. Lọc URL
Theo truyền thống, các công ty theo dõi và kiểm soát người dùng truy cập
internet bằng cách lọc nội dung. Điều này ngăn chặn người dùng truy cập các
trang web được coi là không phù hợp với chính sách bảo mật của tổ chức. Ngoài
ra, người dùng cũng không lãng phí thời gian truy cập đến các trang web bị
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×