Tải bản đầy đủ (.docx) (37 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

tìm hiểu và cấu hình tính năng của firewall trên ASA(dùng GNS3)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (268.97 KB, 37 trang )

Mục lục

Mở đầu
ta cái nhìn sâu hơn về khái niệm, cũng như chức năng, cách thức bảo mật cụ
thể của Firewall. Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết
yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng
công nghệ thông tin. Tôi muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và
đang diễn ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software),
mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm
đầu thập niên 90,với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và
đưa CNTT ứng dụngtrong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm
tốn và chỉ dừng lại ở mức công cụ, và đôi khi tôi còn nhận thấy những công cụ “đắt
tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những
Tổ chức sử dụng nó. Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới
thông qua một số dịch vụ. Ngồi trước máy tính của mình bạn có thể biết được thông
tin trên toàn cầu,nhưng cũng chính vì thế mà hệ thống máy tính của bạn có thể bị xâm
nhập vào bất kỳ lúc nào mà bạn không hề được biết trước. Do vậy việc bảo vệ hệ
thống là một vấn đề chúngta đáng phải quan tâm. Người ta đã đưa ra khái niệm
FireWall để giải quyết vấn đề này.Cũng có rất nhiều kiểu, và loại firewall nhưng Cisco
đưa ra công nghệ bảo mật vớifirewall rất hữu hiệu. Để làm rõ các vấn đề này thì bài
tập lớn “Tìm hiểu và cấu hình tính năm firewall trên ASA( dùng GNS3)” sẽ cho chúng

Nhóm 7
Page 1


Phần I : Tổng Quan
1.1. Tổng quan về đề tài
Mục tiêu của việc nghiên cứu về Firewall ASA
+ Việc nghiên cứu giúp cho khả năng tự học ,tìm hiểu và nghiên cứu độc lập
ngày càng tốt hơn


+ Nghiên cứu về hệ thống firewall ASA.
+ Triển khai hệ thống phất hiện, ngăn chặn các lưu lượng ra vào của hệ thống là
sự cần thiết cho các doanh nghiệp có nhu cầu về sự an toàn của hệ thống trước những
hành vi xâm nhập trái phép. Trước sự phát triển của internet và sự hiểu biết của ngày
càng sâu của con người thì việc truy cập và phá hoại hệ thống mạng của một doanh
nghiệp ,công ty nào đó củng theo đà phát triển của internet mà tăng lên rất nhiều.
+ Việc nghiên cứu này đáp ứng cho lãnh vực bảo mật và an ninh của hệ thống.
+ ASA(Adaptive Security Appliance) là một thiết bị tường lửa mạnh tất cả
trong một và được ưa chuộng nhất hiện nay của Cisco.Chính vì vậy mục tiêu của đề
tài này là nhằm nghiên cứu và tìm hiểu cách thức hoạt động,phương pháp cấu hình và
ứng dụng của nó trong việc bảo mật hệ thống mạng.Ket quả đạt được qua việc nghiên
cứu thiết bị này là hiểu được cách thức hoạt động và có khả năng triển khai thiết bị
này vào trong một số hệ thống mạng bất kỳ.
+Nghiên cứu về AAA server.
+Nghiên cứu về cách tổ chức giám sát hoạt động của người dừng cuối như thời
gian bắt đầu hay kết thúc của người dùng (accounting).Bảo mật là vấn đề rất quan
trọng.Yới mức độ điều khiển, thật dễ dàng để cài đặt bảo mật và quản trị mạng, có thể
định nghĩa các vai trò (role) đưa ra cho user những lệnh mà họ cần để hoàn thành
nhiệm vụ của họ và theo dõi những thay đổi trong mạng. Với khả năng log lại các sự
kiện, ta có thể có những sự điều chỉnh thích hợp với từng yêu cầu đặt ra. Tất cả những
thành phần này là cần thiết để duy trì tính an toàn, bảo mật cho mạng. Với thông tin
Nhóm 7
Page 2


thu thập được, có thể tiên đoán việc cập nhật cần thiết theo thời gian. Yêu cầu bảo mật
dữ liệu, gia tăng băng thông, giám sát các vấn đề trên mạng thông AAA server.
1.2. Tổng quan về an ninh mạng
1. Mục tiêu an ninh mạng
Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem

lại cho con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của những
hacker mạng. Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục
tiêu hàng đầu của an ninh mạng:
> Bảo đảm mạng nội bộ không bị xâm nhập trái phép.
> Các tài liệu và thông tin quan trọng không bị rò ri và bị mất.
> Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không được
thực hiện.
> Các cuộc mua bán trên mạng diễn ra đứng với yêu cầu người dùng.
> Người dừng làm việc trên mạng không bị mạo danh, lừa đảo.
2. Các phương thức tấn công
>

Virus

>

Worm

>

Trojan

>

Từ chối dịch vụ

>

Phân phối từ chối dịch vụ


>

Zombies

>

Spyware

>

Phishing

>

Dựa vào yếu tố con người

Nhóm 7
Page 3


• Virus
Một virus máy tính được thiết kế để tấn công một máy tính và thường phá các
máy tính khác và các thiết bị mạng. Một virus thường có thể là một tập tin đính kèm
trong e-mail, và chọn các tập tin đính kèm có thể gây ra các mã thực thi để chạy và tái
tạo virus. Một virus phải được thực hiện hoặc chạy trong bộ nhớ để chạy và tìm kiếm
các
chương trình khác hoặc máy chủ để lây nhiễm và nhân rộng. Như tên của nó,
virus cần một máy chủ như là một bảng tính hoặc e-mail để đính kèm, lây nhiễm, và
nhân rộng. Có một số hiệu ứng chung của vi rút. Một số viras lành tính, và chỉ cần
thông báo cho nạn nhân của họ rằng họ đã bị nhiễm bệnh. Các virus ác tính tạo ra sự

hủy hoại bằng cách xóa các tập tin và nếu không thì gây ra lỗi cho các máy tính bị
nhiễm có chứa tài sản kỹ thuật số, chẳng hạn như hình ảnh, tài liệu, mật khẩu, và các
bản báo cáo tài chính.
• Worm
Worm là một chương trình phá hoại quét các điểm yếu hoặc lỗ hổng bảo mật
trên các máy tính khác để khai thác các điểm yếu và nhân rộng. Worm có thể tái tạo
độc lập và rất nhanh chóng.
Worm khác với virus trong hai cách chính:
Virus cần một máy chủ để đính kèm và thực hiện, và sâu không yêu cầu một
máy chủ. Virus và sâu thường gây ra các loại khác nhau của sự hủy diệt.
Virus, một khi chúng đang cư trú trong bộ nhớ, thường xóa và sửa đổi các tập
tin quan trọng trên máy tính bị nhiễm bệnh. Tuy nhiên, Worms có xu hướng mạng
trung tâm hơn so với máy tính trung tầm. Worms có thể tái tạo một cách nhanh chóng
bằng cách bắt đầu kết nối mạng để nhân rộng và gửi số lượng lớn dữ liệu. Worms
cũng có thể chứa một hành khách mang theo, hoặc trọng tải dữ liệu, mà có thể giao
một máy tính mục tiêu cho các trạng thái của một zombie. Zombie là một máy tính có
bị xâm phạm và hiện đang được kiểm soát bởi những kẻ tấn công mạng. Zombies
thường được sử dụng để khởi động các cuộc tấn công mạng khác. Một bộ sưu tập lớn
Nhóm 7
Page 4


các zombie dưới sự điều khiển của kẻ tấn công được gọi là một "botnet". Botnets có
thể phát triển được khá lớn. Botnet được xác định đã lớn hơn 100.000 máy tính
zombie.
• Trojan horse
Một con ngựa Trojan, hoặc Trojan, là phần mềm nguy hại tìm cách ngụy trang
chính nó như là một ứng dụng đáng tin cậy như là một trò chơi hoặc trình bảo vệ màn
hình. Một khi người dùng tin cậy cố gắng để truy cập những gì có vẻ là một trò chơi
vô thưởng vô phạt hoặc trình bảo vệ màn hình, các Trojan có thể bắt đầu các hoạt

động gây tổn hại như xóa các tập tin hoặc định dạng lại một ổ đĩa cứng. Trojan thường
không tự sao chép .Những kẻ tấn công mạng cố gắng sử dụng các ứng dụng phổ biến,
chẳng hạn như iTunes của Apple, để triển khai một Trojan. Ví dụ, một cuộc tấn công
mạng sẽ gửi một e-mail với một liên kết có mục đích để tải về một bài hát iTunes
miễn phí. Trojan này sau đó sẽ bắt đầu một kết nối đến một máy chủ web bên ngoài và
bắt đầu một cuộc tấn công một khi người dùng cố gắng để tải về các bài hát miễn phí
rõ ràng.
• Từ chối dịch vụ.
Một cuộc tấn công từ chối dịch vụ (DoS) là một cuộc tấn công mạng có kết quả
trong việc từ chối dịch vụ bằng một ứng dụng yêu cầu như là một máy chủ web. Có
một vài cơ chế để tạo ra một cuộc tấn công DoS. Các phương pháp đơn giản nhất là
tạo ra một lượng lớn những gì xuất hiện để được giao thông mạng họrp lệ. Đây là loại
tấn công DoS mạng cố gắng để làm nghẽn các ống dẫn lưu lượng truy cập mạng để sử
dụng hợp lệ không thể có được thông qua kết nối mạng. Tuy nhiên, loại DoS thông
thường cần phải được phân phối bởi vì nó thường đòi hỏi nhiều hơn một nguồn để tạo
ra các cuộc tấn công.Một cuộc tấn công DoS lợi dụng thực tế là hệ thống mục tiêu như
các máy chủ phải duy trì thông tin trạng thái và có thể có kích thước bộ đệm và dự
kiến nội dung gói tin mạng cho các ứng dụng cụ thể. Một cuộc tấn công DoS có thể
khai thác lỗ hổng này bằng cách gửi các gói có giá trị kích cỡ và dữ liệu mà không
như mong đợi của các ứng dụng nhận được.Một số loại tấn công DoS tồn tại, bao gồm
các cuộc tấn công Teardrop và Ping of Death, mà gửi các gói thủ công mạng khác
Nhóm 7
Page 5


nhau từ những ứng dụng dự kiến và có thể gây ra sụp đổ các ứng dụng và máy chủ.
Những cuộc tấn công DoS trên một máy chủ không được bảo vệ, chẳng hạn như một
máy chủ thương mại điện tử, có thể gây ra các máy chủ bị lỗi và ngăn chặn người
dùng bổ sung thêm hàng vào giỏ mua sắm của họ.
• Distributed Denial-of-Service

DDoS tương tự như trong ý định của cuộc tấn công DoS, ngoại trừ cuộc tấn
công DDoS tạo ra nhiều nguồn tấn công. Ngoài ra để tăng lượng truy cập mạng từ
nhiều kẻ tấn công phân phối, một cuộc tấn công DDoS cũng đưa ra những thách thức
của yêu cầu bảo vệ mạng để xác định và ngăn chặn mỗi kẻ tấn công phân phối.
• Spyware
Spyware là một lớp các ứng dụng phần mềm có thể tham gia vào một cuộc tấn
công mạng. Spyware là một ứng dụng cài đặt và vẫn còn để ẩn trên máy tính hoặc
máy tính xách tay mục tiêu. Một khi các ứng dụng phần mềm gián điệp đã được bí
mật cài đặt, phần mềm gián điệp bắt thông tin về những gì người dừng đang làm với
máy tính của họ. Một số thông tin bị bắt bao gồm các trang web truy cập, e-mail gửi
đi, và mật khẩu sử dụng. Những kẻ tấn công có thể sử dụng các mật khẩu và thông tin
bắt được để đi vào được mạng để khởi động một cuộc tấn công mạng.
Ngoài việc được sử dụng để trực tiếp tham gia vào một cuộc tấn công mạng,
phần mềm gián điệp cũng có thể được sử dụng để thu thập thông tin có thể được bán
một cách bí mật Thông tin này, một lần mua, có thể được sử dụng bởi một kẻ tấn công
khác đó là "khai thác dữ liệu" để sử dụng trong việc lập kế hoạch cho một cuộc tấn
công mạng khác.
• Phishing
Phishing là một kiểu tấn công mạng thường bắt đầu bằng cách gửi e-mail để
người dùng không nghi ngờ. Các e-mail lừa đảo cố gắng để trông giống như một thư
điện tử hợp pháp từ một tổ chức được biết đến và đáng tin cậy như là một trang web
ngân hàng, thương mại điện tử. E-mail giả này cố gắng thuyết phục người dùng rằng
một việc gì đó đã xảy ra, chẳng hạn như hoạt động đáng ngờ về tài khoản của họ, và
Nhóm 7
Page 6


người sử dụng phải thực hiện theo các liên kết trong e-mail và đăng nhập vào trang
web để xem thông tin người dừng của họ. Các liên kết trong e-mail này thường là một
bản sao giả của ngân hàng hoặc trang web thương mại điện tử thực sự và các tính

năng tương tự nhìn-và-cảm nhận các trang web thực sự. Các cuộc tấn công lừa đảo
được thiết kế để lừa người dùng cung cấp thông tin có giá trị như tên người dùng và
mật khẩu của họ.
• Dựa vào yểu tố con người
Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người
sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ
thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương
pháp tấn công khác.Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn
một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những
yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.Nói chung yếu
tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo
dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn
của hệ thống bảo vệ
1.3. Các chính sách an ninh mạng
Hai hình thức chính sách bảo mật có liên quan đến bức tường lửa:
Các chính sách an ninh văn bản (đôi khi được gọi là các chính sách an ninh
thông tin) để xác định những mục tiêu an ninh cho các tổ chức (bao gồm cả tường lửa
của họ)
Các chính sách quản lý và lọc nguồn và đích (đôi khi được gọi là chính sách
tường lửa hoặc thiết lập quy tắc tường lửa) để xác định cấu hình thực tế của thiết bị.
• Các chính sách an ninh văn bản
Chính sách an ninh văn bản tồn tại để cung cấp một lộ trình cấp cao về những
gì cần phải được thực hiện để đảm bảo rằng tổ chức này có một chiến lược an ninh
được xác định tốt và ngoài sức tưởng tượng. Đó là một quan niệm sai lầm phổ biến
mà một tổ chức có một chính sách an ninh. Trong thực tế, chính sách bảo mật tổng thể
Nhóm 7
Page 7


của một tổ chức thường bao gồm nhiều chính sách bảo mật cá nhân, mà được ghi vào

địa chỉ mục tiêu cụ thể, thiết bị, hoặc các sản phẩm. 
Mục tiêu của một chính sách an ninh là xác định những gì cần phải được bảo
vệ, những người có trách nhiệm bảo vệ, và tong một số trường hợp như thế nào bảo vệ
sẽ xảy ra. Chức năng này cuối cùng thường tách ra thành một tài liệu thủ tục độc lập
như lọc nguồn, lọc đích, hoặc quản lý truy. Tóm lại, các chính sách bảo mật đơn giản
và chính xác nên vạch ra những yêu cầu cụ thể, quy tắc, và mục tiêu đó phải được đáp
ứng, để cung cấp một phương pháp đo lường của đặc điểm an ninh được chứng thực
của tổ chức.
của tường lửa trong điều khoản của các lớp bảo mật, với mỗi lớp có một lĩnh
vực cụ thể của hoạt động. Hình 1-1 minh họa các lớp của tường lửa. Như hình bên
dưới cho thấy, các bức tường lửa được chia thành bốn thành phần riêng biệt.

Hình 1: Các lớp bảo mật tường lửa
Tại trung tâm là các lớp toàn vẹn vật lý của tường lửa, mà chủ yếu là liên quan
tới các quyền truy cập vật lý vào tường lửa, để đảm bảo quyền truy cập vật lý vào thiết
bị, chẳng hạn như thông qua một kết nối cứng là cổng console.
Lớp tiếp theo là cấu hình tường lửa tĩnh, mà chủ yếu là liên quan tới truy cập
vào các phần mềm tường lửa được cấu hình tĩnh đang chạy (ví dụ, các hệ điều hành
PIX và cấu hình khởi động). Tại lớp này, chính sách bảo mật cần tập trung vào việc
xác định
Nhóm 7
Page 8


các hạn chế sẽ được yêu cầu để hạn chế truy cập quản trị, bao gồm cả bản cập
nhật phần mềm thực hiện và cấu hình tường lửa.
Lớp thứ ba là cấu hình tường lửa động, trong đó bổ sung các cấu hình tĩnh bằng
việc có liên quan tới cấu hình động của tường lửa thông qua việc sử dụng các công
nghệ như giao thức định tuyến, lệnh ARP, giao diện và tình trạng thiết bị, kiểm toán,
nhật ký, và các lệnh tránh. Mục tiêu của chính sách an ninh tại điểm này là để xác

định các yêu cầu xung quanh những gì các loại cấu hình động sẽ được cho phép.
Cuối cùng là lưu lượng mạng qua tường lửa, mà là thực sự những gì mà tường
lửa tồn tại để bảo vệ tài nguyên. Lớp này là có liên quan tới chức năng như ACL và
thông tin dịch vụ proxy. Các chính sách an ninh ở lớp này có trách nhiệm xác định
các yêu cầu như chứng liên quan đến lưu lượng đi qua tường lửa.
Định dạng chính sách an ninh:
Đe thực hiện các mục tiêu được xác định trước đó, hầu hết các chính sách bảo
mật tuân theo một định dạng hoặc bố trí cụ thể và các chia sẻ yếu tố thông thường.
Nói chung, hầu hết các chính sách an ninh chia sẻ bảy phần:


Tổng quan: Phần tổng quan cung cấp một giải thích ngắn gọn về những

địa chỉ chính sách.


Mục đích: phần mục đích giải thích tại sao chính sách là cần thiết.



Phạm vi: Phần phạm vi xác định chính sách áp dụng cho những gì và

xác định người chịu trách nhiệm về chính sách.


Chính sách: phần chính sách là bản thân chính sách thực tế.



Thực thi: Phần thực thi định nghĩa cách chính sách cần được thực thi và


các hậu quả của việc không theo các chính sách.


Định nghĩa: Phần định nghĩa bao gồm các định nghĩa của các từ hoặc

khái niệm được sử dụng trong chính sách.


Xem lại lịch sử: Phần xem lại lịch sử là nơi mà các thay đổi chính sách

được ghi lại và theo dõi.
Nhóm 7
Page 9


Mỗi tổ chức có yêu cầu an ninh riêng biệt và do đó có chính sách bảo mật riêng
độc
đáo của họ. Tuy nhiên, hầu hết không phải tất cả các môi trường đòi hỏi một số
chính
sách an ninh chung, bao gồm:


Chính sách quản lý truy cập



Chính sách lọc




Chính sách định tuyến



Chính sách Remote-access/VPN



Chính sách giám sát / ghi nhận



Chính sách vùng phi quân sự (DMZ)



Chính sách có thể áp dụng thông thường
• Chính sách quản lý truy cập:

Chính sách quản lý truy cập tồn tại để xác định các phương pháp cho phép và
cách truy cập quản lý tường lửa. Chính sách này có xu hướng giải quyết sự toàn vẹn
vật lý tường lửa và lớp bảo mật cấu hình tường lửa tĩnh. Các chính sách quản lý truy
cập cần phải định nghĩa cho cả hai giao thức quản lý từ xa và cục bộ sẽđược cho phép,
cũng
như đó người dừng có thể kết nối với tường lửa và có quyền truy cập để thực
hiện những tác vụ.
Ngoài ra, các chính sách quản lý truy cập cần xác định các yêu cầu đối với các
giao thức quản lý như Network Time Protocol (NTP), syslog, TFTP, FTP, Simple
Network Management Protocol (SNMP), và bat kỳ giao thức khác có thể được sử

dụng để quản lý và duy trì thiết bị.
• Chính sách lọc:

Nhóm 7
Page 10


Thay vì định nghĩa bộ quy tắc thực tế tường lửa sẽ sử dụng, các chính sách lọc
cần phải chỉ và xác định chính xác các loại lọc mà phải được sử dụng và nơi lọc được
áp dụng. Chính sách này có xu hướng để giải quyết cấu hình tường lửa tĩnh và chi tiết
trong lớp lưu lượng mạng qua tường lửa. Ví dụ, một chính sách lọc tốt cần phải yêu
cầu cả hai lối vào và đi ra bộ lọc được thực hiện với các bức tường lửa. Các chính
sách lọc cũng cần xác định các yêu cầu chung trong việc kết nối mạng cấp độ bảo mật
và nguồn khác nhau. Ví dụ, với một DMZ, tùy thuộc vào hướng của lưu lượng, các
yêu cầu lọc khác nhau có thể cần thiết, và nó là vai trò của các chính sách lọc để xác
định những yêu cầu.
• Chính sách định tuyến:
Các chính sách định tuyến thường không phải là một tài liệu tường lửa trung
tâm. Tuy nhiên, với thiết kế chu vi phức tạp hơn cũng như sử dụng ngày càng tăng của
các bức tường lửa trong mạng nội bộ, tường lửa có thể dễ dàng trở thành một phần của
cơ sở hạ tầng định tuyến. Các chính sách định tuyến cần phải có một phần có quy định
cụ thể bao gồm một tường lửa trong các cơ sở hạ tầng định tuyến và định nghĩa các
phương thức trong đó các định tuyến sẽ xảy ra. Chính sách này có xu hướng để giải
quyết các lớp cấu hình tường ữnh lửa và cấu hình động tường lửa. Trong hầu hết
trường hợp, các chính sách định tuyến nên ngăn cam firewall một cách rõ ràng từ việc
chia sẻ bảng định tuyến mạng nội bộ với bất kỳ nguồn bên ngoài. Tương tự như vậy,
các chính sách định tuyến cần xác định các trường họrp trong đó các giao thức định
tuyến động và tuyến đường ữnh là phù hợp. Các chính sách cũng nên xác định bất kỳ
cơ chế bảo mật giao thức cụ thể cần phải được cấu hình, (ví dụ, việc sử dụng thuật
toán băm để đảm bảo chỉ các nút được chứng thực có thể vượt qua dữ liệu định

tuyến).
• Chính sách Remote-access/VPN
Trong lĩnh vực hội tụ hiện nay, sự khác biệt giữa tường lửa và bộ tập trung
VPN đã ngày càng trở nên mờ nhạt. Hầu hết các thị trường tường lửa lớn có thể phục
vụ như là điểm kết thúc cho VPN, và do đó chính sách remote-access/VPN cần thiết
xác định các yêu cầu về mức độ mã hóa và xác thực rằng một kết nối VPN sẽ yêu cầu.
Nhóm 7
Page 11


Trong nhiều trường hợp, các chính sách VPN kết hợp với chính sách mã hóa của tổ
chức xác định phương pháp VPN tổng thể sẽ được sử dụng. Chính sách này có xu
hướng để giải quyết các lớp cấu hình tường lửa tĩnh và lưu lượng mạng qua tường lửa.
Các chính sách remote-access/VPN cũng cần xác định các giao thức sẽ được sử
dụng: IP Security ỢPsec), Layer 2 Tunneling Protocol (L2TP), hoặc Point-toPoint
Tunneling Protocol (PPTP). Trong hầu hết trường họrp, IPsec được sử dụng
riêng biệt.
Giả sử IPsec, chính sách remote-access/VPN cần phải yêu cầu sử dụng của các
preshared keys, chứng thực mở rộng, với việc sử dụng giấy chứng nhận, mật
khẩu một
lần, và Public Key Infrastructure (PKI) cho môi trường an toàn nhất. Tương tự
như
vậy, các chính sách remote-access/VPN nên xác định những khách hàng sẽ
được sử dụng (có nghĩa là, trong xây dựng- Microsoft VPN Client, Cisco Secure VPN
Client, w).
Cuối cùng, các chính sách remote-access/VPN cần xác định các loại truy cập
và các nguồn lực sẽ được cung cấp để kết nối từ xa và các loại kết nối từ xa sẽ được
cho phép.
• Chính sách giám sát/ghi nhận:
Một trong những yếu tố quan trọng nhất đảm bảo rằng một tường lửa cung cấp

mức bảo mật được mong đợi là thực hiện một hệ thống giám sát tường lửa. Chính
sách giám sát / ghi nhận xác định các phương pháp và mức độ giám sát sẽ được thực
hiện. Tối thiểu, các chính sách giám sát / ghi nhận cần cung cấp một cơ chế để theo
dõi hiệu suất của tường lửa cũng như sự xuất hiện của tất cả các sự kiện liên quan đến
an ninh và các mục đăng nhập. Chính sách này có xu hướng để giải quyết các lớp cấu
hình tường lửa tĩnh.
Nhóm 7
Page 12


Chính sách giám sát / ghi nhận cũng nên xác định cách các thông tin phải được
thu thập, duy trì, và báo cáo. Trong nhiều trường hợp, thông tin này có thể được sử
dụng để xác định các yêu cầu quản lý của bên thứ ba và các ứng dụng theo dõi như
CiscoWorks, NetíQ Security Manager, hoặc Kiwi Syslog Daemon.
• Chính sách vùng DMZ;
Các chính sách DMZ là một văn bản diện rộng để xác định tất cả các yếu tố của
không chỉ chính DMZ mà còn các thiết bị trong DMZ. Mục tiêu của chính sách DMZ
là xác định các tiêu chuẩn và yêu cầu của tất cả các thiết bị và kết nối và lưu lượng
giao thông vì nó liên quan đến DMZ. Chính sách này có xu hướng để giải quyết các
lớp cấu hình tường lửa tĩnh và lưu lượng mạng qua tường lửa.
Do sự phức tạp của môi trường DMZ điển hình, các chính sách DMZ là có khả
năng sẽ là một tài liệu lớn nhiều trang. Đe giúp đảm bảo rằng các chính sách DMZ
thiết thực và hiệu quả, điển hình là ba tiêu chuẩn cần được xác định rộng rãi cho tất cả
các thiết bị liên quan đến DMZ, kết nối, và lưu lượng giao thông:


Trách nhiệm quyền sở hữu




Yêu cầu cấu hình an toàn



Yêu cầu hoạt động và kiểm soát thay đổi
• Chính sách có thể áp dụng thông thường:

Ngoài các chính sách tường lửa cụ thể, có nhiều chính sách có thể áp dụng
thông thường, mặc dù không phải là tường lửa cụ thể (đã ứng dụng trên nhiều thiết bị,
không chỉ là tường lửa) dù sao cũng nên được áp dụng đối với tường lửa. Chứng bao
gồm những điều sau đây:
Chính sách mật khẩu: chính sách mật khẩu của công ty nên được để cập đến
không chỉ xác định truy cập quản trị tường lửa, mà còn để sử dụng trong việc tạo ra
preshared secrets, bảng băm, và các chuỗi cộng đồng.
Chính sách mã hóa: chính sách mã hóa của công ty nên được đề cập đến để xác
định tất cả các hình thức truy cập mã hóa, bao gồm Hypertext Transfer Protocol,
Nhóm 7
Page 13


Secure (HTTPS), Secure Sockets Layer (SSL), Secure Shell (SSH), và truy cập IPsec /
VPN.
Chính sách kiểm định: chính sách kiểm định của công ty phải được đề cập để
xác định các yêu cầu kiểm định của tường lửa.
Chính sách đánh giá rủi ro: chính sách đánh giá rủi ro của công ty cần được đề
cập để xác định phương pháp sẽ được sử dụng để xác định các rủi ro liên quan với hệ
thống tất cả thêm, di chuyển, và thay đổi vì nó liên quan đến tường lửa và chu vi mạng
trong toàn thể.
Dưới đây là một số công việc cần thiết cho người quản trị mạng:



Ghi nhận và xem lại nhật ký tường lửa thường xuyên.



Tạo ACL đi vào thật chi tiết, cụ thể.



Bảo vệ vùng DMZ về nhiều phía.



Thận trọng với lưu lượng ICMP.



Giữ mọi lưu lượng quản lý firewall được bảo mật.



Xem lại các quy tắc tường lửa định kỳ.

Phần II : ASA
2.1. Lịch sử ra đời.
Thiết bị phần cứng đảm nhận vai trò bảo vệ hạ tầng mạng bên trong, trước đây
thương hiệu PIX Firewall của hãng Cisco Systems đã giành được một trong những vị
trí hàng đầu của lĩnh vực này. Tuy nhiên, theo đà phát triển của công nghệ và xu
hướng tích hợp đa chức năng trên các kiến trúc phần cứng hiện nay (gọi là Appliance)
hãng Cisco Systems cũng đã nhanh chóng tung ra dòng sản phẩm bảo mật đa năng

Cisco ASA (Adaptive Security Appliance). Dòng thiết bị này ngoài việc thừa hưởng
các tính năng ưu điểm của công nghệ dùng trên Cisco PIX Firewall, Cisco IPS 4200
và Cisco VPN 3000 Concentrator, còn được tích họrp đồng thời 3 nhóm chức năng
chính cho một hạ tầng bảo vệ là Firewall, IPS và VPN. Thông qua việc tích hợp
những tính năng như trên, Cisco ASA sẽ chuyển giao một giải pháp hiệu quả trong
Nhóm 7
Page 14


việc bảo mật hoá các giao tiếp kết nối mạng,nhằm có thể chủ động đối phó trên diện
rộng đối với các hình thức tấn công qua mạng hoặc các hiểm họa mà tổ chức,doanh
nghiệp thường phải đương đầu.
Đặc tính nổi bật của thiết bị ASA là:
+ Đầy đủ các đặc điểm của Firewall, IPS, anti-X và công nghệ VPN IPSec/SSL
.
+ Có kha năng mở rộng thích nghi nhận dạng và kiến trúc Mitigation Services.
+ Giảm thiểu chi phí vận hành và phát triển.
2.2. Các sản phẩm tường lửa của Cisco
Cisco PIX Firewalls đã luôn luôn đóng vai trò quan trọng trong chiến lược bảo
mật của Cisco. Các mô hình tường lửa khác nhau của Cisco cung cấp các giải pháp
bảo mật cho các doanh nghiệp vừa và nhỏ.
Các sản phẩm tường lửa trước đây của Cisco bao gồm:
+ Cisco PIX Firewalls.
+ Cisco FWSM(Firewall Service Module)
+ Cisco IOS Firewall.
2.3. Điều khiển truy cập mạng (NAC)
Cisco Adaptive Security Appliances (ASA) có thể giúp bảo vệ một hoặc nhiều
mạng từ những kẻ xâm nhập và tấn công. Ket nối giữa các mạng này có thể được kiểm
soát và theo dõi bằng cách sử dụng các tính năng mạnh mẽ mà Cisco ASA cung cấp.có
thể đảm bảo rằng tất cả lưu lượng truy cập từ các mạng tin cậy cho dến mạng không

tin cậy(và ngược lại) đi qua các tường lửa dựa trên chính sách an ninh của tổ chức.
2.4. Lọc gói (Packet Filtering)
Cisco ASA có thể bảo vệ mạng bên trong(inside), các khu phi quân sự (DMZs)
và mạng bên ngoài(outside) bằng cách kiểm tra tất cả lưu lượng đi qua nó. Có thể xác
định chính sách và quy tắc cho những lưu lượng được cho phép hoặc không cho phép
đi qua interface. Các thiết bị bảo mật sử dụng access control lists (ACL) để giảm lưu
Nhóm 7
Page 15


lượng truy cập không mong muốn hoặc không biết khi nó cố gắng để vào mạng đáng
tin cậy. Một ACL là danh sách các quy tắc an ninh, chính sách nhóm lại với nhau cho
phép hoặc từ chối các gói tin sau khi nhìn vào các tiêu đề gói(packet headers) và các
thuộc tính khác. Mỗi phát biểu cho phép hoặc từ chối trong ACL được gọi là một
access control entry (ACE). Các ACE có thể phân loại các gói dữ liệu bằng cách kiểm
tra ở layer 2, layer 3 và Layer 4 trong mô hình OSI bao gồm:
>

Kiểm tra thông tin giao thức layer 2:

>

Kiểm tra thông tin giao thức layer 3:ICMP, TCP, or UDP, kiểm tra địa

chỉ IP nguồn và đích.
>

Kiểm tra thông tin giao thức layer 4: port TCP/UDP nguồn và đích .

Khi một ACL đã được cấu hình đúng, có thể áp dụng vào interface để lọc lưu

lượng. Các thiết bị an ninh có thể lọc các gói tin theo hướng đi vào(inbound) và đi
ra(outbound) từ interface. Khi một ACL được áp dụng đi vào interface, các thiết bị an
ninh kiểm tra các gói chống lại các ACE sau khi nhận được hoặc trước khi truyền đi.
Neu một gói được cho phép đi vào, các thiết bị an ninh tiếp tục quá trình này bằng
cách gửi nó qua các cấu hình khác. Neu một gói tin bị từ chối bởi các ACL, các thiết
bị an ninh loại bỏ các gói dữ liệu và tạo ra một thông điệp syslog chỉ ra rằng như một
sự kiện đã xảy ra. Trong hình 3-1, người quản trị thiết bị an ninh đã được áp dụng cho
outside interface một inbound ACL chỉ cho phép lưu lượng
HTTP tới 20.0.0.1. Tất cả các lưu lượng khác sẽ bị bỏ tại interface của các thiết
bị an ninh.

Hình 2: Mô tả quá trình lọc gói của tường lửa
Nhóm 7
Page 16


Nếu một outbound ACL được áp dụng trên một interface, các thiết bị an ninh
xử lý các gói dữ liệu bằng cách gửi các packet thông qua các quá trình khác nhau
(NAT,
QoS, và VPN) và sau đó áp dụng các cấu hình ACE trước khi truyền các gói dữ
liệu này. Các thiết bị an ninh truyền các gói dữ liệu chỉ khi chúng được phép đi ra
ngoài.
Neu các gói dữ liệu bị từ chối bởi một trong các ACE, các thiết bị an ninh loại
bỏ các gói dữ liệu và tạo ra một thông điệp syslog chỉ ra rằng như một sự kiện đã xảy
ra.
Trong hình 2, người quản trị thiết bị an ninh đã được áp dụng outbound ACL
cho inside interface chỉ cho phép lưu lượng HTTP tới 20.0.0.1.Tất cả các lưu lượng
khác sẽ bị bỏ tại interface của các thiết bị an ninh.
Các loại Access Control List:
Có năm loại ACL khác nhau đã cung cấp một cách linh hoạt và khả năng mở

rộng để lọc các gói trái phép bao gồm:
+ Standard ACL
+ Extended ACL
+ IPVỐ ACL
+ Eứiertype ACL
+ WebVPN ACL
Standard ACL: Chuẩn Standard ACL được sử dụng để xác định các gói dữ liệu
dựa trên địa chỉ IP đích.Các ACL ở đây có thể được sử dụng để phân chia các luồng
lưu thông trong truy cập từ xa VPN và phân phối lại các luồng này bằng sơ đồ định
tuyến.Chuẩn Standard ACL chỉ có thể được sử dụng để lọc các gói khi và chỉ khi các
thiết bị bảo mạng hoạt động ở chế độ định tuyến,ngăn truy cập từ mạng con này đến
mạng con khác.

Nhóm 7
Page 17


Extended ACL: Chuẩn Extended là một chuẩn phổ biết nhất,có thể phân loại
các gói dữ liệu dựa trên các đặc tính sau:
>

Địa chỉ nguồn và địa chỉ đích.

>

Giao thức lớp 3.

>

Địa chỉ nguồn hoặc địa chỉ của cổng TCP và UDP.


>

Điểm đến ICMP dành cho các gói ICMP.

>

Một chuẩn ACL mở rộng có thể được sử dụng cho quá trình lọc

gói,phân loại các gói QoS,nhận dạng các gói cho cơ chế NAT và mã hóa VPN.
>

IPV6 ACL:Một IPV6 ACL có chức năng tương tự như chuẩn Extended

ACL.Tuy nhiên chỉ nhận biết các lưu lượng là địa chỉ IPV6 lưu thông qua thiết bị bảo
mật ở chế độ định tuyến.
Ethertype ACL: Chuẩn Ethertype có thể được sử dụng để lọc IP hoặc lọc gói tin
bằng cách kiểm tra đoạn mã trong trường Ethernet ở phần đầu lớp 2.MỘÍ Eứiertype
ACL chỉ có thể được cấu hình chỉ khi các thiết bị bảo mật đang chạy ở chế độ trong
suốt ( transparent ). Lưu ý rang ở chuẩn này các thiết bị bảo mật không cho phép dạng
IPV6 lưu thông qua,ngay cả khi được phép đi qua IPV6 Ethertype ACL.
Web VPN ACL: Một Web VPN ACL cho phép người quản trị hệ thống hạn chế
lưu lượng truy cập đến từ luồng WebVPN.Trong trường hợp có một ACL WebVPN
được xác định nhưng không phù hợp một gói tin nào đó,mặc định gói tin đó sẽ bị loại
bỏ.Mặc khác,nếu không có ACL xác định,các thiết bị bảo mật sẽ cho phép lưu thông
qua nó.ACL xác định lưu lượng truy cập bằng cách cho phép hoặc loại bỏ gói tin khi
nó cố gắng đi qua thiết bị bảo mậtMột ACE đơn giản là cho phép tất cả các địa chỉ IP
truy cập từ một mạng này đến mạng khác,phức tạp hơn là nó cho phép lưu thông từ
một địa chỉ IP cụ thể ở một cổng riêng biệt đến một cổng khác ở địa chỉ đích.Một
ACE được thiết kế bằng cách sử dụng các lệnh điều khiển truy cập để thiết lập cho

thiết bị bảo mật.

Nhóm 7
Page 18


2.5. Lọc nội dung và URL (Content and URL Filtering)
Theo truyền thống firewall chặn các gói dữ liệu bằng cách kiểm tra thông tin
gói ở layer 3 hoặc Layer 4. Cisco ASA có thể nâng cao chức năng này bằng cách kiểm
tra nội dung thông tin một vài giao thức ở layer 7 như HTTP, HTTPS, và FTP. Căn cứ
vào chính sách bảo mật của một tổ chức, các thiết bị an ninh có thể cho phép hoặc
chặn các packet chứa nội dụng không cho phép. Cisco ASA hỗ trợ hai loại lớp ứng
dụng lọc:
> Content Filtering
> URL Filtering
2.5.1. Content Filtering
Việc kích hoạt Java hoặc ActiveX trong môi trường làm việc có thể khiến
người dùng ngây thơ để tải về tập tin thực thi độc hại có thể gây ra mất mát các tập tin
hoặc hư hại các tập tin trong môi trường sử dụng. Một chuyên gia an ninh mạng có thể
vô hiệu hoá Java và xử lý ActiveX trong trình duyệt, nhưng điều này không phải là
một giải pháp tốt nhất. Có thể chọn một cách khác là sử dụng một thiết bị mạng như
Cisco ASA để loại bỏ các nội dung độc hại từ các gói tin. Sử dụng tính năng lọc nội
dung cục bộ, các thiết bị an ninh có thể kiểm tra các tiêu đề HTTP và lọc ra các
ActiveX và Java applet khi các gói dữ liệu cố gắng để đi qua thông qua từ máy không
tin cậy.
Cisco ASA có thể phân biệt giữa các applet tin cậy và applet không tin cậy. Nếu
một trang web đáng tin cậy gửi Java hoặc ActiveX applet, các thiết bị bảo mật có thể
chuyển đến các máy chủ yêu cầu kết nối. Nếu các applet được gửi từ các máy chủ web
không tin cậy, thiết bị bảo mật có thể sửa đổi nội dung và loại bỏ các đính kèm từ các
gói tin. Bằng cách này, người dùng cuối không phải là quyết định đến các applet được

chấp nhận hoặc từ chối. Họ có thể tải về bất kỳ applet mà không phải lo lắng.
2.5.2. ActiveX Filtering
ActiveX có thể gây ra vấn đề tiềm năng nguy hại trên các thiết bị mạng nếu mã
độc ActiveX được tải về trên máy. Các mã ActiveX được đưa vào các trang web bằng
Nhóm 7
Page 19


cách sử dụng thẻ HTML <OBJECT> và </ OBJECT>. Các thiết bị an ninh tìm kiếm
các thẻ cho lưu lượng có nguồn gốc trên một cổng cấu hình sẵn. Neu các thiết bị an
ninh phát hiện các thẻ này, nó thay thế chứng bằng các thẻ chú thích <!— and —>.
Khi trình duyệt nhận được các gói dữ liệu HTTP với <!— and —>, nó bỏ qua các nội
dung thực tế bằng cách giả sử rằng nội dung là ý kiến của tác giả.
Lưu ý
Các thiết bị an ninh không thể nhận xét ra các thẻ HTML nếu chúng được phân
chia giữa nhiều gói mạng.

2.6. Chuyển đổi địa chỉ.
2.6.1. Network Address Translation (NAT)
NAT hay còn gọi là Network Address Translation là một kỉ thuật được phát
minh lúc khởi đầu dùng để giải quyết vấn đề IP shortage, nhưng dần dần nó chứng tỏ
nhiều ưu điểm mà lúc phát minh ra nó người ta không nghĩ tới, một trong những lợi
điểm của NAT ngày nay được ứng dụng nhiều nhất là NAT cho phép:
>

Chia sẽ kết nối internet với nhiều máy bên trong LAN với một địa chỉ IP

của WAN
>


Firewall, nó giúp dấu tất cả IP bên trong LAN với thế giới bên ngoài,

tránh sự dòm ngó của hackers.
>

Tính linh hoạt và sự dễ dàng trong việc quản lý

NAT giúp cho các home user và các doanh nghiệp nhỏ có thể tạo kết nối với
internet một cách dễ dàng và hiệu quả cũng như giúp tiết kiệm vốn đầu tư.
2.6.2. Port Address Translation (PAT).
Đây là dạng NAT phổ thông mà thường gặp và sử dụng ngày nay trong các
thiết bị phần cứng hay phần mềm routing như router hay các phần mềm chia sẽ
internet như ISA, ICS hay NAT server mà lát nữa đây chúng ta sẽ có dịp tìm hiểu cách
Nhóm 7
Page 20


thiết lập nó.Dạng NAT này hay còn được gọi với một cái tên dynamic nat. Với dạng
NAT này tất cả các IP trong mạng LAN được dấu dưới một địa chỉ NAT-IP, các kết nối
ra bên ngoài đều được tạo ra giả tạo tại NAT trước khi nó đến được địa chỉ
intemetNAT rule: Giả trang internet IP address 138.201 sử dụng địa chỉ NAT router
Mỗi packets được gởi ra ngoài IP nguồn sẽ được thay thế bằng NAT-IP là 195.112 và
port nguồn được thay thế bằng một cổng nào đó chưa được dùng ở NAT, thông thường
là các cổng lớn hơn 1204. Nếu một packet được gởi đến địa chỉ của router và port của
destination nằm trong khoảng port dừng để masquerading thì NAT sẽ kiểm tra địa chỉ
IP này và port với masquerading table của NAT nếu là gởi cho một host bên trong
LAN thì gói tin này sẽ được NAT gắn vào địa chỉ IP và port của host đó và sẽ chuyển
nó đến host đó.
4.


Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA

AAA là từ viết tat: Authentication, Authorization, Accounting. AAA cung cap
các giải pháp khác nhau để điều khiển kiểm soát truy cập đến các thiết bị mạng. Các
dịch vụ sau đây được bao gồm trong kiến trúc AAA là:
Authentication (Xác thực): Quá trình xác thực người dừng dựa trên đặc tính
của họ và các thông tin được xác định trước, chẳng hạn như mật khẩu và các cơ chế
khác như giấy chứng nhận kỹ thuật số.
Authorization (ủy quyền): Là phương pháp mà một thiết bị mạng tập hợp một
tập các thuộc tính điều chỉnh đúng với nhiệm mà người sử dụng được ủy quyền thực
hiện. Những thuộc tính thiết lập nên quyền hạn mà người sử dụng được phép hoặc
không cho phép . Các kết quả được trả lại cho các thiết bị mạng để xác định quyền
hạn của người dùng mà cơ sở dữ liệu của người dùng có thể được đặt trên ASA hoặc
nó có thể được lưu trữ trên một máy chủ RADIUS hoặc TACACS +.
Accounting (Kế toán): Quá trình thu thập và gửi thông tin người dùng đến một
máy chủ AAA được ghi lại để ứieo dõi các lần đăng nhập (khi người dùng đăng nhập
và đăng xuất) và các dịch vụ mà người dùng truy cập. Thông tin này có thể được sử
dụng đề thanh toán, kiểm tra, vầ mục đích báo cáo.

Nhóm 7
Page 21


Cisco ASA có thề được cấu hình đề duy trì một cơ sở dữ liệu người dùng nội
bộ hoặc sử dụng một máy chủ bên ngoài để xác.
2.7. Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA.
AAA là từ viết tat: Authentication, Authorization, Accounting. AAA cung cap
các giải pháp khác nhau để điều khiển kiểm soát truy cập đến các thiết bị mạng. Các
dịch vụ sau đây được bao gồm trong kiến trúc AAA là:
Authentication (Xác thực): Quá trình xác thực người dừng dựa trên đặc tính

của họ và các thông tin được xác định trước, chẳng hạn như mật khẩu và các cơ chế
khác như giấy chứng nhận kỹ thuật số.
Authorization (ủy quyền): Là phương pháp mà một thiết bị mạng tập hợp một
tập các thuộc tính điều chỉnh đúng với nhiệm mà người sử dụng được ủy quyền thực
hiện. Những thuộc tính thiết lập nên quyền hạn mà người sử dụng được phép hoặc
không cho phép . Các kết quả được trả lại cho các thiết bị mạng để xác định quyền
hạn của người dùng mà cơ sở dữ liệu của người dùng có thể được đặt trên ASA hoặc
nó có thể được lưu trữ trên một máy chủ RADIUS hoặc TACACS +.
Accounting (Kế toán): Quá trình thu thập và gửi thông tin người dùng đến một
máy chủ AAA được ghi lại để ứieo dõi các lần đăng nhập (khi người dùng đăng nhập
và đăng xuất) và các dịch vụ mà người dùng truy cập. Thông tin này có thể được sử
dụng đề thanh toán, kiểm tra, vầ mục đích báo cáo.
Cisco ASA có thề được cấu hình đề duy trì một cơ sở dữ liệu người dùng nội
bộ hoặc sử dụng một máy chủ bên ngoài để xác thực.

Nhóm 7
Page 22


Hình 3: Mô tả kiến trúc cơ bản cho NAS/Radius/Tacacs+/AAA
Sau đây là các giao thức chứng thực AAA và các máy chủ được lưu trữ cơ sỡ
dữ liệu nằm bên ngoài:
>

Remote Authentication Dial-In User Service (Radius).

>

Terminal Access Controller Access-Control System (Tacacs+).


>

Rsa SecurlD(SID).

>

WinNT.

>

Kerberos.

>

Lightweight Dừectory Access Protocol (LDAP).

2.7.1. Remote Authentication Dial-In User Service (Radius).
RADIUS là một giao thức xác thực sử dụng rộng rãi được định nghĩa trong
RFC 2865. "Remote Authentication Dial-In User Service (RADIUS)." RADIUS hoạt
động trong một mô hình khách hàng / máy chủ. Một khách hàng RADIUS thường
được gọi là một máy chủ truy cập mạng (network access server :NAS).một máy NAS
có trách nhiệm truyền thông tin người dùng tới máy chủ RADIUS. Cisco ASA hoạt
động như là một NAS và xác thực người dùng dựa trên phản ứng của máy chủ
RADIUS. Cisco ASA hỗ trợ một vài máy chủ RADIUS sau:
>

CiscoSecure ACS

Nhóm 7
Page 23



>

Cisco Access Registrar.

>

Livingston.

>

Merit.

>

Funk Steel Belted.

>

Microsoft Internet Authentication Server.

Đối với mạng xác thực, một khóa bí mật được trao đổi giữa các máy chủ
AAA/RADIUS và khách hàng AAA. Các khóa bí mật được chia sẻ là không bao giờ
được gửi qua liên kết thiết bị để đảm bảo tính toàn vẹn. Khi RADIUS xác thực người
sử dụng, phương pháp xác thực có thể được sử dụng rất nhiều, RADIUS hỗ trợ xác
thực qua Point-to-Point Protocol Challenge Handshake Authentication Protocol (PPP
CHAP) và ppp Password Authentication Protocol (PAP),RADIUS là một giao thức
mở rộng cho phép các nhà cung cấp khả năng thêm giá trị thuộc tính mới mà không
tạo ra một vấn đề đối với các thuộc tính giá trị hiện tại. Một khác biệt lớn giữa

TACACS và RADIUS là RADIUS không xác thực và ủy quyền riêng biệt. RADIUS
cũng cung cấp cho kế toán tốt hơn.
RADIUS hoạt động theo giao thức UDP. RADIUS sử dụng các cổng 1645 và
1812 để xác thực và 1646 và 1813 cho kế toán. Các cổng 1812 và 1813 được tạo ra
trong việc triển khai RADIUS mới hơn. Việc sử dụng các cổng RADIUS 1645 trong
lúc triển khai đạ gây ra xung đột với các dịch vụ "datametrics". Do đó, cổng chính
thức là 1812.Giao thức RADIUS được xem là một dịch vụ kết nối. Các vấn đề liên
quan đến máy chủ sẵn sàng, phát lại, và hết giờ được xử lý trên thiết bị chứ không
phải là giao
thức truyền tải. Chức năng này khác với TACACS + độ tin cậy trong giao thức
phụ thuộc vào giao thức TCP.
Hoạt động RADIUS
Sau đây là quá trình hoạt động RADIUS quản lý đăng nhập:
Bước 1. Một thông tin đăng nhập người dùng tạo ra một truy vấn (AccessRequest) từ AAA khách hàng đến máy chủ RADIUS.
Nhóm 7
Page 24


Bước 2. Một phản ứng cho phép hoặc loại bỏ(Access-Accept hoặc AccessReject) được trả về từ máy chủ.
Các gói tin Access-Request chứa tên người dừng, mật khẩu mã hóa, địa chỉ IP
của khách hàng AAA, và cổng định dạng gói tin RADIUS:
gói tin RADIUS gồm các thông tin sau đây:
+ Code: 1 octet, định nghĩa loại packet
+ Identifier: 1 octet, Kiểm tra yêu cầu, trả lời và phát hiện trùng lặp yêu cầu từ
RADIUS server.
+ Length: 2 octet, xác định độ dài của toàn bộ gói.
+ Request Authenticator: 16 octet, Các octet quan trọng nhất được truyền đi
đầu tiên, nó xác nhận trả lời từ máy chủ RADIUS. Hai loại authenticators như sau:
-Request-Authenticator có sẵn trong gói Access-Request và AccountingRequest -Response-Authenticator có sẵn trong các gói Access-Accept, Access-Reject,
Access-Challenge, Accounting-Response.

+ Attributes: Thuộc tính bổ sung vào RADIUS hỗ trợ nhà cung cấp cụ thể.
Các máy chủ RADIUS nhận được yêu cầu xác thực người dừng và sau đó tó về
thông tin cấu hình cần thiết cho khách hàng để hỗ trợ các dịch vụ cụ thể cho người 
dùng. Các máy chủ RADIUS thực hiện điều này bằng cách gửi Internet
Engineering Task Force (IETF) hoặc các thuộc tính nhà cung cấp cụ thể. (Các thuộc
tfnh RADIUS chứng thực được định nghĩa trong RFC 28Ố5.)
Cisco ASA hoạt động như là một NAS và máy chủ RADIUS là một Cisco
Secure Access Control Server (ACS).
Người dùng cố gắng để kết nối với Cisco ASA (để quản trị,vpn,thực hiện tính
năng cut-though proxy).
Các Cisco ASA nhắc nhở người dừng, yêu cầu tên người dừng và mật khẩu của
mình.
Người sử dụng gửi thông tin của mình cho ASA Cisco.
Nhóm 7
Page 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×