Tìm hiểu về AAA và cấu hình AAA cho bức firewall PIX của cisco
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (951.56 KB, 54 trang )
Tìm
Tìm hiếu
hiêu về
vổAAA
AAAvà
vàcấu
cấuhình
hìnhAAA
AAAcho
chobức
bứcfirewall
íircvvallPIX
PIXcủa
củaCisco__________
Cisco
MỤC LỤC
LỜI NÓI ĐẦU.................................!..........!.......................................................i
LỜI NÓI ĐẦU
MỤC LỤC............................................................................................................ii
MỤCVới
LỤC
ẢNH.......................................................................................iv
sựHÌNH
phát triển
nhanh chóng của mạng internet và đặt biệt là các công
CHƯƠNG 1: TỐNG QUAN VỀ AN NINH MẠNG..........................................1
nghệ
1.1.............................................................................................................................................
Mang máy tính và các vấn đề phát sinh...........................................................1
mạng,
kèm Sự
theo
đóthiết
là vấn
đềcó
bảo
cácmạng
tài nguyên
thônghệtin
trên mạng............1
mạng, tránh sự
1.1.1.
cần
phải
anvệ
ninh
trong một
thống
mất 1.1.1.1. Các yếu tổ cần được bảo vệ trong hệ thống...........................mạng
1
mát, xâm
phạmCác
là việc
cầnđảm
thiếtbảo
vàan
cấptoàn
bách.
Bảotin...........................................1
mật mạng có thể hiểu là cách
1.1.1.2.
yếu tổ
thông
1.1.2. Xác định nguy cơ đối với hệ thống mạng...........................................2
bảo
vệ,
1.1.2.1. Xác định các lồ hồng hệ thống......................................................2
1.1.2.2.
Xáccho
định
mối phần
đe đoạ...............................................................3
đảm bảo
an toàn
cáccác
thành
mạng bao gồm dữ liệu, thiết bị, cơ sở hạ
1.1.2.3. Các biện pháp an toàn hệ thong....................................................3
tầng 1.1.3. Đo lường nức độ nguy cơ của một hệ thống mạng.............................3
1.2. và
Các
hình
thuật tấn
mạng
đảm
bảothức
mọivàtàikỹnguyên
trêncông..........................................................4
mạng tránh được việc đánh cắp thông tin,
1.2.1. Quá trình thăm dò tấn công................................................................4
đồng 1.2.1.1.............................................................................................................................. T
hăm dò (Reconnaissace)...........................................................................4
thời tăng
tính bảo
mật
cho mạng được cao hơn.
1.2.1.2.
Quét
hệthông
thốngtin
(Scanning)............................................................5
1.2.1.3. Chiếm quyền điều khiến.....................................(Gainning access)
5 mật luôn làm đau đầu các nhà sản xuất, các tổ chức và cá nhân
Vấn đề bảo
1.2.1.4. Duy trì điều khiển hệ thống (Maitaining access).........................5
người 1.2.1.5. Xoá dấu vết (Cleaming tracks).....................................................5
mật mạng...................................................................5
sử 1.3.
dụng.Các
Cácbiện
nhàpháp
quảnbảo
trị mạng
ngày nay phải điêu khiên việc truy cập cũng như
1.3.1. Mã hoá, nhận dạng, chứng thực người dùng và phần quyền sử dụng
giám
5
1.3.1.1.................... Mã hoa......................................7..................................
sát thông
tin mà người dùng đầu cuối đang thao tác. Những việc làm đó có thể
..........................77.......7.7........................5
đưa 1.3.1.2. Các giải thuật mã hoá...................................................................6
đến
1.3.1.3. Chứng thực người dùng...............................................................8
thành1.3.2.
công Bảo
hay thất bại của côngmật
ty. Và AAA là cáchmáy
thức tốt nhất đề giámtrạm
sát
11
những
1.3.3. Bảo
mật
truyền
thông
gì mà người11dùng đầu cuối có thể làm trên mạng một cách bảo mật và tiện lợi.
1.3.4. Các
công
nghệ
và
kỹ
thuật
bảo
mật
Ta
có
12
1.3.5.
Bảo
mật
ứng
dụng
thể xác thực (authentication) người dùng, cấp quyền (authorization) cho người
14
1.3.6. Thống
kê
tài
nguyên
16
CHƯƠNG 2: TONG QUAN VỀ FIREWALL VÀ GIÓI THIỆU CISCO PIX
FIREWALL.. 17
2.1............................................................................................................................................. T
ổng
quan
về
firewall
.........................................................................................................................
17
2.2.............................................................................................................................................
Khái
niệm
và
tầm
quan
trọng
của
firewall
.........................................................................................................................
17
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang iii
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
CHƯƠNG 3: TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN CISCO PĨX
FIREWALL ...... ....................................................................... .......................30
3.1. Tổng quan AAA......................................................................................30
3.1.1. Xác thực (Authentication)................................................................31
3.1.2. Uỷ quyền (Authorization).................................................................31
3.1.3. Kiểm toán (Accounting)...................................................................32
3.1.4. Giao thức sử dụng trong dịch vụ AAA.............................................33
3.1.4.1. Giới thiệu....................................................................................33
3.1.4.2. Tổng quan về TACACS..............................................................33
3.1.4.3. Tổng quan về RADIUS...............................................................36
3.2. Dịch vụ AAA trên CISCO PIX FIREWALL..........................................38
3.2.1. Đặc điểm của AAA trên PIX FIREWALL........................................38
3.2.2. Cut-through proxy............................................................................39
3.2.3. Cấu hình xác thực.............................................................................40
3.2.3.1. Xác thực khi User truy cập vào PIX:..........................................41
3.2.3.2. Xác thực cho traffie đi qua pix...................................................42
3.2.3.3. Xác thực cho các dịch vụ khác...................................................43
3.2.4. Cấu hình ủy quyền............................................................................46
3.2.5. Cấu hình kiêm toán...........................................................................46
3.3. Mô phỏng................................................................................................46
3.3.1. Mục tiêu mô phỏng...........................................................................46
3.3.2. Mô hình mô phỏng............................................................................47
3.3.3. Các công cụ thực hiện mô phỏng......................................................47
3.3.4. Các bước mô phỏng..........................................................................48
3.3.5. Kết quả đạt được...............................................................................59
KẾT LUẬN...................................................................................................... 60
TÀI LIỆU THAM KHẢO..................................................................................61
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang iii
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
MỤC LỤC HÌNH ẢNH
Hình 1 -1 Quá trình đánh giả nguy cơ của hệ thong..........................................2
Hình 1 -2 Quá trình thăm dò vào một hệ thống mạng........................................4
Hình 1 -3 Quét trộm đổi với cống ko hoạt động..................................................5
Hình 1 -4 Đối với công hoạt động.......................................................................5
Hình 1 -5 Quả trình mã hóa................................................................................6
Hình 1 -6 Mô hình giải thuật băm.......................................................................7
Hình 1 -7 Giải thuật mã hóa đồng bộ/đối xứng..................................................7
Hình 1 -8 Giải thuật mã hóa không đồng bộ/không đối xứng.............................8
Hình 1 -9 Chủng thực bằng User và passvvord..................................................9
Hình 1-10 Hoạt động của CHAP........................................................................9
Hình 1-11 Mã hóa Kerberos..............................................................................10
Hình 1-12 Bảo mật FTP....................................................................................11
Hình 1-13 Mô hình tống quát fìrewaỉl...............................................................13
Hình 1-14 Bảo mật bằng VPN...........................................................................14
Hình 1-15 Hệ thống chống xâm nhập IDS........................................................14
Hình 1-16 Thư điện tử.......................................................................................15
Hình 1-17 Thông kê tài nguyên bang Monỉtoring.............................................16
Hình 2-1 Công nghệ Packet Piltering...............................................................21
Hình 2-2 Sử dụng PROXY Server......................................................................21
Hình 2-3 Công nghệ State/ul Packet Filter.......................................................22
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang iv
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
CHƯƠNG 1: TỎNG QUAN VÈ AN NINH MẠNG
1.1. Mang máy tính và các vấn đề phát sinh
/. /. /. Sự cần thiết phải có an ninh mạng trong một hệ thong mạng
An ninh mạng bảo vệ mạng của bạn trước việc đánh cắp và sử dụng sai
mục
đích
thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ vi rút và sâu
máy
tính trên mạng Internet. Neu an ninh mạng không được triên khai công ty của
bạn
sẽ
gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián
đoạn
dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp.
Từ đây ta thấy được an ninh trong hệ thống mạng luôn là vấn đề nóng hôi,
cần
được quan tâm và mang tính quan trọng hơn hết.
1.1.1.1. Các yếu tổ cần được hảo vệ trong hệ thống mạng
Yeu tố đầu tiên phải nói đến là dừ liệu, những thông tin lưu trữ trên hệ
thống
máy
tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp
thời.
Thông thường yêu cầu về bảo mật được coi là yêu cầu quan trọng đối với thông
tin
lun
trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin không được giữ bí mật,
thì
yêu
cầu về tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ chức nào
lãng
phí tài nguyên vật chất và thời gian để lun trữ những thông tin mà không biết về
tính
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 1
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ
an
toàn
thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy
các
yêu
cầu cần đê đảm bảo an toàn thông tin như sau:
V Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng
đối
tượng.
V Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu
trúc,
không mâu thuẫn.
V Tính sẵn sàng: Thông tin phải luôn sẵn sàng đổ tiếp cận, đổ phục vụ
theo
đúng mục đích và đúng cách.
V Tính chính xác: Thông tin phải chính xác, tin cậy.
V Tính không khước tù’ (chống chối bó): Thông tin có thê kiêm chứng
Xác định
các mối đe
được
nguồn gốc hoặc người đưa tin.
HT
Các biện pháp an toàn hệ
thống hiện có
Hình 1 -1 Quá trình đánh giá nguy cơ của hệ thong
1.1.2.1. Xác định các ỉ ỏ hông hệ thong
Việc xác định các lồ hổng hệ thống được bắt đầu từ các điểm truy cập vào
hệ
thống như:
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 2
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
X Các điểm truy cập người
dùng
X Các điểm truy cập không
dây
ơ mỗi điếm truy cập, ta phải xác định được các thông tin có thê truy cập và
mức
độ truy cập vào hệ thống.
1.1.2.2. Xác định các mối đe ãoạ
Đây là một công việc khó khăn vì các mối đe dọa thường không xuất hiện
rõ
ràng
(ẩn), thời điểm và quy mô tấn công không biết trước. Các hình thức và kỹ thuật
tấn
công đa dạng như:
❖ DoS/DDoS, BackDoor, Tràn bộ đệm,...
❖ Virus, Trojan Horse, Worm
♦♦♦ Social Engineering
1.1.2.3. Các biện pháp an toàn hệ thong
Các biện pháp an toàn hệ thống gồm các biện pháp như: fưewall, phần
mềm
diệt
virut, điều khiên truy cập, hệ thống chứng thực (mật khấu, sinh trắc học, thẻ
nhận
dạng), mã hoá dữ liệu, hệ thống xâm nhập IDS, các kỹ thuật khác, ý thức người
dùng,
hệ thống chính sách bảo mật và tự động vá lỗ hệ thống
1.1.3.
Đo lường mức độ nguy cơ của một hệ thống mạng
Những nguy cơ bảo mật đe doạ mất mát dữ liệu nhạy cảm luôn là mối lo
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 3
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
- Thiếu cảnh giác với mạng công cộng: một thủ đoạn chung tin tặc hay sử
dụng
để dẫn dụ những nạn nhân là đặt một thiết bị trung chuyến wireless access-point
không
cài đặt mật khẩu.
- Các doanh nghiệp không coi trọng việc đặt website của mình tại máy chủ
nào,
mức độ bảo mật ra sao. Do đó, website kinh doanh của doanh nghiệp sê là mục
tiêu
của các đợt tấn công SQL Injection.
Hơn 90% các cuộc tấn công vào hệ thống mạng đều cố gắng khai thác các
lỗi
bảo
mật đã đuợc biết đến. Mặc dù các bản vá lồi vẫn thuờng xuyên đuợc những hãng
Hình 1 -2 Quá trình thăm dò vào một hệ thống mạng
1.2.1.1. Thăm dò (Reconnaissace)
Thăm dò mục tiêu là một trong những bước qua trọng để biết nhừng thông
tin
trên hệ thống mục tiêu. Hacker sử dụng kỹ thuật này để khám phá hệ thống mục
tiêu
đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 4
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
1.2.1.2. Quét hệ thống (Scanning)
Quét thăm dò hệ thống là phương pháp quan trọng mà Attacker thường
dùng
đề
tìm hiếu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành
ĨYN
+
Port 80-SYN
/
ACK—
Source
Destination
192.168.0.8
192.168.0.10
Hình 1-3 Quét trộm đổi với công không hoạt động
Source
192.1
68.0 8
Destinati
on
192.16
1.2. ỉ.3. Chiếm quyền điều khiên (Gainning
access)
o Mức hệ điều hành/mức ứng dụng
o
Mức
mạng
o Từ chối dịch
vụ
1.2. ỉ.4. Duy trì điểu khiên hệ thông (Maitaining access)
Ưpload/download biến đổi thông tin
1.2.1.5. Xo ả dấu vết (Clearning tracks)
Sau khi bị tấn công thì hệ thống sẽ lưu lại những vết do attacker đê lại.
Attacker
cần xoá chúng đi nhằm tránh bị phát hiện.
1.3. Các biện pháp bảo mật mạng
1.3.1. Mã hoá, nhận dạng, chứng thực người dùng và phần quyền sử
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 5
Các loại mã hóa
Đặc tính
Data Encryption Standard (DES)
dụng
một
khối
bit hoặc
Tìm
Tìm hiếu
hiếu vổ
vổ AAA
AAA và
và -cấu
cấuSử
hình
hình
AAA
AAA
cho
cho
bức
bức64
íircvvall
íircvvall
PIX
PIX của
của Cisco
Cisco
một
pháp nếu cả hai cùng sử dụng một key giống nhau. Do đó mã hoá chính nó sẽ
khóa 56 bit.
không
Triple DES
(3DES)
- Áp dụng DES 3 lần.
-
Sử dụng một khóa 168bit.
- Bị thay thế bởi AES.
HASH
Advanced
Encryption
Standard
(AES)
-
VALLE
Sử dụng Rhine doll có khả
năng
đề
Một số giải thuật băm
kháng với tất cả tấn công đã
biết.
o MD5 (Message Digest 5): giá trị băm 128 bit.
o SHA-1 (Secure Hash Algorithm): giá trị băm 160
bit.
Hình 1-5 Quá trình mã hu á
•G Giải thuật mã hoá đồng bộ/đối xứng (Symmetric)
Mã
đảmchia sẻ
bảo
các
yêuencryption)
cầu làsau:
Mã hoá hoá
đối xứngnhàm
hay mã hoá
khoá (shared-key
mô
hình o Tính bí mật (conTidentiality); dừ liệu không bị xem bởi “bên thứ 3”.
Tính
toàncóvẹn
(Integrity):
dữ mã
liệuhoá
không
bị thay
đồi dùng
trongchung
quá trình
mã hoáohai
chiều
nghĩa
là tiến trình
và giải
mã đều
một
khoá. truyền.
Khoá này phải được chuyến giao bí mật giũa hai đối tượng tham gia giao tiếp. Có
Tính không từ chối (Non-repudiation): là cơ chế người thực hiện hành
thề
động
bẻ khoá bằng tấn công vét cạn (Brute Force).
không thê chối bỏ những gì mình đã làm, có thê kiêm chứng được nguồn gốc
hoặc
người đưa tin.
IITS1-----------------------------* ||\
1.3.1.2. Các <3^
giải .*---------------<3^*
thuật mã hoá
khôngthuật
chia sẻbăm
với các(Hashing
liên lạc khác.
•C này
Giải
Bảng
dưới đây cho thấy chi tiết các phương pháp mã hóa đổi xứng thông
Encryption)
Là cách thức mã hoá một chiều tiến hành biến đổi văn bản nhận dạng
(cleartext)
trở thành hình thái mã hoá mà không bao giờ có thể giải mã. Ket quả của tiến
trình
Tân
Tân Việt
Việt -- Hữu
Hữu Nghị
Nghị -- Nguyên
Nguyên Hoàng
Hoàng -- MM02A
MM02A -- CĐ
CĐ CNTT
CNTT Hữu
Hữu Nghị
Nghị Việt
Việt Hàn
Hàn Trang
Trang 67
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
c ưsername/password: Là loại chứng thực phổ biến nhất và yếu nhất của
chứng
DATABASE
V Giải thuật mã hóa không đồng bộ/không đối xứng (Asymmetric)
1-9 Chứng
thựchóa
bằng
User
và passxvord
Mã hóa bấtHình
đối xứng,
hay mã
khóa
công
khai(public-key encryption),
là
mô
- Tuy nhiên phương pháp này xuất hiện những vấn đề như dễ bị đánh cắp
hình
trongmã hóa 2 chiều sử dụng một cặp khóa là khóa riêng (private key) và khóa
công
quá trình đến server.
(public keys). Thông thường, một thông điệp được mã hóa với private key, và
chắc - Giải pháp
chắn ràng
là của
người
gửilàthông
(message
sender).
Nóbiểu
sẽ được
giải
o Đặtkey
mậtnày
khẩu
dài tối
thiểu
tám kíđiệp
tự, bao
gồm chữ
cái, số,
tượng.
mã
o Thay
đổibất
password:
01nhận
tháng/lần.
với public
key,
cứ người
nào cũng có thể truy cập nếu họ có key này.
■ Không nên đặt cùng password ớ nhiều nơi.
■ Xem xét việc cung cấp password cho ai.
PRIVATE KEY
PKIVAIE KEY
Client
Hình 1-8 Giải thuật mã hóa không đồng hộ/không đối
Compare
xứng
Encrypted
Authorize / Fail ?
Các giải thuật
R^í^lts
o RSA (Ron Rivest, Adi Shamir, and Leonard
Hình 1-10 Hoạt động của CHAP
Adleman).
o Kerberos
DSA
(Digital
Signature
Standard),
■S
o Diffíe-Hellman (W.Diffie and Dr.M.E.Hellman).
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy
tính
hoạt động trên nhũng đường truyền không an toàn. Giao thức Kerberos có khả
Tân Việt
Việt -- Hữu
Hữu Nghị
Nghị -- Nguyên
Nguyên Hoàng
Hoàng -- MM02A
MM02A -- CĐ
CĐ CNTT
CNTT Hữu
Hữu Nghị
Nghị Việt
Việt Hàn
Hàn Trang
Trang 98
Tân
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
Kerberos hoạt động sử dụng một bên thứ ba tham gia vào quá trình nhận
thực
gọi
là key distribution center - KDC (KDC bao gồm hai chức năng: "máy chủ xác
thực"
('authentication server - AS) và "máy chủ cung cấp vé" (ticket grcmting server TGS).
"Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhận dạng
của
Hình 1-11 Mã hóa Kerberos
V Chứng chỉ (Certiílcates)
Một Server (Certiíicates Authority - CA) tạo ra các certiĩicates.
❖
Có thể là vật lý: smartcard
❖
Có thể là logic: chừ ký điện tử
Sử dụng public/private key (bất cứ dừ liệu nào được mã hóa bàng public
key
chỉ
có thể giải mã bàng private key). Sử dụng “công ty thứ 3” để chứng thực. Được
sử
dụng phô biên trong chứng thực web, smart cards, chữ ký điện tử cho email và
mã
hóa
email.
- Nhược điểm
♦♦♦ Triến khai PKI (Public Key Inữastructure) kéo dài và tốn kém.
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 10
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
Sử dụng nhiều hơn một phương pháp chứng thực như: mật khẩu/ PIN,
smart
card, sinh trắc học, phương pháp này nhàm tạo sự bảo vệ theo chiều sâu với
nhiều
tầng
bảo vệ khác nhau.
❖ Ưu diêm: làm giảm sự phụ thuộc vào password, hệ thống chứng
thực
mạnh hơn và cung cấp khả năng cho Public Key Infrastructure
(PKI).
o Nhược diêm: tăng chi phí triên khai, tăng chi phí duy trì, chi phí
nâng
cấp
1.3.2. Bảo mật máy trạm
Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ
thuộc
chủ
yếu vào sự quản lý. Mọi máy chủ ở trong một công ty nên được kiểm tra tù'
Internet
đế
phát hiện lỗ hông bảo mật. Thêm nữa, việc kiếm tra từ bên trong và quá trình
thâm
định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ thống, như
khi
firewall bị lồi hay một máy chủ, hệ thống nào đó bị trục trặc.
Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo
mật
tối
thiểu và có rất nhiều lồ hổng bảo mật. Trước khi một máy chủ khi đưa vào sản
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 11
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
FTP là giao thức lớp ứng dụng trong bộ giao thức TCP/IP cho phép truyền
dừ
liệu chủ yếu qua port 20 và nhận dừ liệu tại port 21, dừ liệu được truyền dưới
dạng
clear-text, tuy nhiên nguy cơ bị nghe lén trong quá trình truyền fĩle hay lấy mật
khấu
trong quá trình chứng thực là rất cao, thêm vào đó User mặc định Anonymous
không
an toàn tạo điều kiện cho việc tấn công tràn bộ đệm.
Biện pháp đặt ra là sử dụng giao thức S/FTP (S/FTP = FTP + SSL/TSL) có
tính
bảo mật vì những lí do sau:
o Sử dụng chứng thực RSA/DSA .
o Sử dụng cổng TCP 990 cho điều khiển, cổng TCP 989 cho dữ
liệu,
o
Tắt
chức
năng Anonymous
nếu
không
sử
dụng,
o Sử dụng IDS đê phát hiện tấn công tràn bộ đệm.
o Sử dụng IPSec để mã hóa dừ liệu.
V Bảo mật truyền thông SSFI
SSH là dạng mã hóa an toàn thay thế cho telnet, rlogin..hoạt động theo mô
hình
client/server và sử dụng kỳ thuật mã hóa public key để cung cấp phiên mã hóa,
nó
chỉ
cung cấp khả năng chuyển tiếp port bất kỳ qua một kết nối đã được mã hóa. Với
telnet
hay rlogin quá trình truyền username và password dưới dạng cleartext nên rất dễ
bị
nghe lén, bàng cách bắt đầu một phiên mã hóa.
Khi máy Client muốn kết nối phiên an toàn với một host, Client phải
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 12
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
Firewall có thể là phần cứng, phần mềm hoặc cả hai. Tất cả đều có chung
một
thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn có các
Hình 1-13 Mô hình tồng quát fìrewaỉì
Do đó việc lựa chọn fírewall thích hợp cho một hệ thống không phải là dễ
dàng.
Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ
thể.
Khi
xem xét lựa chọn một fírewall cần tập trung tìm hiểu tập các chức năng của
fírewall
như tính năng lọc địa chỉ, gói tin..
V Bảo mật bằng VPN (Virtual Private Network)
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 13
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
Hình 1-14 Bảo mật bằng
VPN
v' Bảo mật bằng IDS (Phát hiện tấn công)
IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, hệ thống
bảo
mật bố sung cho fírewall với công nghệ cao tương đương với hệ thống chuông
báo
động được cấu hình để giám sát các điểm truy cập có thể theo dõi, phát hiện sự
Hình 1-15 Hệ thông chông xâm nhập IDS
1.3.5. Bảo
mật ứng
dụng
s Hệ thống thư điện tử
Thư điện tử hay email là một hệ thống chuyến nhận thư từ qua các mạng
máy
tính, là một phương tiện thông tin rất nhanh. Một mẫu thông tin (thư từ) có thể
được
gửi đi ở dạng mã hoá hay dạng thông thường và được chuyền qua các mạng máy
tính
đặc biệt là mạng Internet. Nó có the chuyên mẫu thông tin từ một máy nguồn tới
một
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 14
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
- Nhận: giao thức POP3/IMAP (TCP 110/143)
SMTP/
Internet
Hình 1-16 Thư điện tử
Lợi ích của thư điện tử như tốc độ di chuyển cao, chi phí rẻ và tiện lợi. Tuy
nhiên
có những vấn đề về bảo mật, spam mail, sự lây lan của virus, trojan..
V Bảo vệ hệ thống email
■ Sử dụng S/MIME nếu có thể
■ Cấu hình Mail Server tốt, không bị open relay
■ Ngăn chặn Spam trên Mail Server
■ Cảnh
giác
với
lạ
V Bảo mật ứng dụng
Web
o Web traffic: Sử dụng giao thức bảo mật SSL/TSL để mã hóa thông tin
giữa
Client và Server, hoạt động tầng Transport, sử dụng mã hóa không đối
xứng
và MD5, sử dụng Public Key đế chứng thực và mã hóa giao dịch giữa
Client
và Server và TSL bảo mật tốt hơn.
Vấn đề đặt ra là trong quá trình chứng thực cả Client và Server đều phải cần
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 15
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
1.3.6. Thống kê tài nguyên
Hình 1-17 Thông kê tài nguyên hăng
Monỉtorỉng
Là khả năng kiêm soát (kiêm kê) hệ thống mạng, bao gồm:
V Logging: Ghi lại các hoạt động phục vụ cho việc thống kê các sự kiện
trên
mạng. Ví dụ muốn kiếm soát xem những ai đã truy cập file server,
trong
thời điểm nào, làm gì (Event Viewer).
V Scanning: Quét hệ thông đê kiêm soát những dịch vụ gì đang chạy trên
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 16
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
CHƯƠNG 2: TỔNG QUAN VÈ FIREWALL VÀ GIỚI THIỆU
CISCO PIX FIREWALL
Để bảo vệ mạng nội bộ, firewall là một trong nhừng giải pháp bảo vệ mạng
hữu
hiệu và phổ biến hiện nay. Nó giúp cho các mạng nội bộ tránh khỏi những truy
nhập
trái phép từ bcn ngoài bàng cách điều khiển thông tin ra vào giữa các mạng nội
bộ.
Nội dung chính của chương này giới thiệu tông quan fírewall, khái niệm,
các
chức năng, phân loại fírewall, ưu nhược điểm của từng loại firewall, các chiến
lược
để
xây dựng fưewall và giới thiệu về cơ chế lọc gói tin.
2.1. Tổng quan về firewall
2.2. Khái niệm và tầm quan trọng của íĩrewall
2.2.1.1. Khải niệm
Firewall là thiết bị điều khiển truy cập của hệ thống mạng, hồ trợ việc bảo
vệ
mạng bên trong của tổ chức tránh được những cuộc tấn công từ bên ngoài. Vị trí
nằm
trên biên giới giữa mạng ngoài và mạng trong là một thiết bị bảo mật mạng cần
thiết.
Hệ thống fírewall thường bao gồm cả phần cứng và phần mềm, thường được
dùng
theo phương thức ngăn chặn hay tạo các luật đối với các địa chỉ khác nhau.
2.2.1.2. Tầm quan trọng của firewaỉỉ
Tầm quan trọng chính của firewall là kiểm soát luồng thông tin giữa mạng
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 17
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
2.2.2. Phân loại firewall
Firewall có nhiều loại tuy nhiên mỗi loại có ưu và nhược điểm riêng.
Nhưng
thông thường fưewall được chia làm 2 loại chính là: fírewall cứng và fĩrewall
mềm
2.2.2.1. Firewall cứng
Là một thiết bị phần cứng được tích hợp bộ định tuyến, các quy tắc cho
việc
lọc
gói tin được thiết lập ngay trên bộ định tuyến đó. Tuỳ vào từng loại firewall
cứng
của
các hãng khác nhau mà cho phép người quản trị có khả năng cập nhật những quy
tắc
lọc gói tin khác nhau.
Khi hoạt động, fưewall sê dựa trên các quy tắc được thiết lập trong bộ định
tuyến
mà kiêm tra thông tin header của gói tin như địa chỉ nguôn (source IP address),
địa
chỉ
đích (destination IP address), cổng (Port)... Ncu mọi thông tin trong header của
gói
tin
là họp lệ nó sẽ được cho qua và nếu không hợp lệ nó sẽ bị bỏ qua. Chính việc
không
mất thời gian xử lý những gói tin có địa chỉ không hợp lệ làm cho tốc độ xử lý
của
firewall cứng rất nhanh và đây chính là ưu điểm lớn nhất của hệ thống fírewall
cứng.
Một diêm đáng chú là tất cả các loại fírewall cứng trên thế giới hiện nay
đều
chưa thổ lọc được nội dung của gói tin mà chỉ có thể lọc được phần nội dung
trong
header của gói tin.
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 18
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
còn có thề kiểm tra được nội dung của gói tin. Các thông tin mà firewall kiểm tra
được
người dùng quy định trước trong tập luật. Neu gói tin được cho qua thì tiếp theo
nó
sẽ
được đưa đến các máy con trong mạng hoặc là các ứng dụng chạy trực tiếp trên
máy
đó.
Một số phần mềm firewall sử dụng nhiều và được đánh giá cao về khả
năng
lọc
gói tin như ZoneAlarm Pro, SmoothWall, McAfee Personal Firewall Plus,
ZoneAlarm
Pro, Sygate Personal Firewall
2.2.3. ưu và nhược điếm của jĩrewaỉỉ
Mồi loại fĩrewall có những un điểm, nhược điếm và được sử dụng trong
những
trường hợp khác nhau. Firewall phần cứng thường được sử dụng để đảm bảo an
ninh
cho các mạng lớn vì nếu không sử dụng firewall cứng thì sẽ cần hệ thống
firewall
mềm tức là sẽ có một máy chủ. Máy chủ này sẽ nhận mọi gói tin và kiểm duyệt
rồi
chuyển tiếp cho các máy trong mạng. Mà tốc độ của fírewall mềm hoạt động
chậm
hơn so với fírewall cứng nên ảnh hưởng lớn đến tốc độ của toàn hệ thống mạng.
Mặt khác hệ thống fírewall mềm thường được sử dụng đế đảm bảo an ninh
cho
các máy tính cá nhân hoặc một mạng nhỏ. Việc sử dụng hệ thống firewall mềm
sẽ
giúp
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 19
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
2.2.4. Công nghệ firewall
Firewall là một giải pháp an ninh mạng quan trọng. Thuật ngừ “firewair chỉ
một
hệ thống hay một nhóm hệ thống hoạt động trong mạng có mục đích quản lý
truy
cập
giữa hai hay nhiều mạng. Chức năng cơ bản của firewall là cho phcp hay ngăn
cản
lun
lượng đi qua nó dựa vào các quy tắc được đặt trước hay chính sách bảo mật
(Security
Policy). Tất cả fírewall đều thực hiện chức năng kiểm tra và tác động vào lưu
lượng
qua lại dựa trên các quy tắc, tuy nhiên chúng sử dụng theo nhiều phương pháp
khác
nhau, có 3 công nghệ firewall chính.
2.2.4.1. Packet Filter
Đây là loại fìrewall lâu đời và công nghệ thông dụng nhất, một Packet
Filter
đơn
giản chỉ kiểm tra lưu lượng truy cập đến các phần tử tại lớp mạng và lóp vận
chuyển
của mô hình OSI. Packet Filter phân tích gói IP và so sánh chúng với các luật đã
thiết
lập được gọi là ACL thông qua các yếu tố như địa chỉ IP nguồn, địa chi IP địch,
port
nguồn, port đích, giao thức. Ngoài các thành phần này thì packet tìlter còn kiểm
tra
thông tin ITeader của gói tin để quyết định xem gói tin đến từ một kết nổi mới
hay
đã
tồn tại.
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 20
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
DMZ
SLRV
ERu
AC-NO
Hình 2-1 Công nghệ Packet Filtering
2.2.4.2. Proxy
Firewall proxy hay còn gọi là Proxy server đóng vai trò là đại diện cho các
host
trên những đoạn mạng (segment) cần bảo vệ, các host không tạo kết nối trục tiếp
ra
bên ngoài chúng gửi yêu cầu (request) đến các proxy server nơi chúng đuợc xác
thực
(authenticated) và phân quyền (authorized). Tại đây proxy server gửi những yêu
cầu
này đến các host bên ngoài và gửi trả hồi âm (relay) của host bên ngoài vào
trong.
Các
mạng lớn thuửng sử dụng proxy đế tránh các vấn đề về băng
thông, số lượng các
PROXY
SEKVEK
Hình 2-2 Sử dụng PROXY Server
Hình 1.19 Công nghệ Proxy
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 21
Tìm hiếu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
2.2.4.3. State/ul inspector
Stateíưl Inspector hay còn gọi là Stateful Packet Filter là sự kết hợp hiệu
năng
và
mức độ an ninh. Đây là công nghệ an toàn và đa năng nhất bởi các kết nối không
chỉ
được kiếm tra bởi ACL mà còn được ghi trong bảng trạng thái (State Table). Sau
Hình 2-3 Công nghệ Stateýul Pocket Filter
2.3. Giói thiệu về CISCO PIX FIREWALL
2.3.1.
Tổng quan về PIX FIREWALL
Pix Firewall là thiết bị an ninh mạng của tập đoàn Cisco, là một yếu tố
chính
trong toàn bộ giải pháp an ninh end-to-end của Cisco Pix Firewall, là một giải
pháp
an
ninh phần cứng chuyên dụng và mức độ bảo mật cao hon mà không ảnh hưởng
đến
sự
thực thi của hệ thống mạng, nó là một hệ thống được lai ghép bởi vì nó sử dụng
cả
hai
kỹ thuật packet filtering và proxy server.
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 22
Tìm hiếu về AAA và cấu hình AAA cho bức firewall PIX của Cisco__________
khi sổ khác chạy trên hệ điều hành chung (General OS) thì Pix Firewall chạy trên
hệ
điều hành riêng cho thiết bị. Hệ thống mang tính độc quyền của Cisco và sử
dụng
với
mục đích bảo mật. Hệ thông này có những đặc diêm sau:
o An ninh hon: hệ thống đơn được thiết kế với các tính năng dành riêng
cho
Pix Firewall do vậy sẽ không có khoảng cách giữa hệ điều hành và ứng dụng
fírewall
nên cũng không có diêm yêu đê khai thác.
o Tính năng tốt hơn: môi trường hệ thống dành riêng cho bảo mật sẽ
yêu
cầu
ít bước để cấu hình so với hệ điều hành chung.
o Hiệu năng cao hơn: hệ thống đơn cho phép các tiến trình hoạt động
hiệu
quả hơn như Cisco Pix Firewall 515E có thê điều khiên 128 000 kết nối trong
khi
vẫn
duy trì trạng thái (Stateíul) của các kết nối.
V Apdaptive Security Algorithm (ASA): Cisco Pix Firewal sử dụng thuật
toán ASA để điều khiển kết nổi trạng thái (Stateíul Connection), ASA tạo ra
bảng
trạng thái bao gồm địa chỉ nguồn, đích và các thông tin khác của kết nối được
ghi
trong bảng. Với việc sử dụng ASA, Cisco Pix Firewall có thể thực hiện lọc trạng
thái
(Stateíul Filter) của các kết nối bổ sung cho quá trình lọc gói tin, nó hoạt động
nhanh
hơn Proxy, các interíace của fírewall có the được thiết kế ở các cấp độ bảo mật
(Security Level) khác nhau. Pix Firewall mặc định cho phép lưu lượng ra ngoài
(Outbound trafìc) từ một interface có cấp độ bảo mật cao đến một interface có
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 23
Tìm hiêu vổ AAA và cấu hình AAA cho bức íircvvall PIX của Cisco
o Hoạt động của ASA hay Statefi.ll Filer như sau:
■ Host bên trong (Inside) khởi tạo kết nối ra bên ngoài (Outside).
■ Pix ghi những thông tin sau về kết nối vào bảng trạng thái (State
table):
địa
chỉ nguồn, cổng nguồn, địa chỉ đích, công đích, thông tin TCP Sequence,
TCP/UDP
Flag, số TCP sequence tạo ra ngẫu nhiên. Các thông tin này tạo thành một mục
(Entry)
trong bảng trạng thái, mục này gọi là một đối tượng kết nối (Session Object).
■ Đối tượng kết nối được so sánh với chính sách bảo mật (Security
Policy)
nếu kết nối không được phép đối tượng sẽ bị huỷ bỏ, ngược lại kết nối được cho
phép
địa chỉ nguồn sẽ được chuyển đổi và yêu cầu (Request) tiếp tục đến máy ngoài.
■ Máy ngoài trả lời yêu cầu của nguồn.
■ Hồi âm (Response) đến tưởng lửa sẽ được so sánh với đối tượng kết
nối,
nếu
hồi âm khớp với đối tượng địa chỉ đích sẽ được chuyển đổi trở lại và lưu lượng
sẽ
được đi qua fírewall đến host bên trong, nếu không khớp kết nối sẽ bị huỷ.
s Cut-through proxy: là giải pháp thực hiện một cách trong suốt quá trình
xác thực và phân quyền cho các kết nối trong (Inbound) và ngoài (Outbound) tại
firewall, nó ít gậy ra overhead bởi quá trình xác thực và phân quyền không thực
hiện
bởi Pix mà được chuyên qua AAA server. Tính năng của cut-through proxy giúp
Cisco
Pix Firewall hoạt động hiệu quả hơn fírewall proxy vì nó thực hiện quá trình xác
minh
người dùng tại tần ứng dụng, kiểm tra phân quyền tới chính sách bảo mật, rồi
Tân Việt - Hữu Nghị - Nguyên Hoàng - MM02A - CĐ CNTT Hữu Nghị Việt Hàn Trang 24
