Tải bản đầy đủ (.doc) (20 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Tài liệu Chương 5: MỘT SỐ CHỨC NĂNG KHÁC CỦA PIXFIREWALL ppt

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (231.39 KB, 20 trang )

Bài Viết Về PIX FIREWALL

Tác giả: Nguyễn Thị Băng Tâm
Chương 5: MỘT SỐ CHỨC NĂNG KHÁC CỦA
PIXFIREWALL

1. Attack Guard
a. DNS guard
Giả sử để phân giải một tên đến một địa chỉ , một host có thể truy
vấn (query ) cùng DNS server nhiều lần . Đặc điểm DNS guard
của
PIX firewall là nhận biết được một truy vấn outbound DNS và chỉ
cho
phép lần reply đầu tiên từ server được qua PIX firewall . Tất cả
các
lần replies khác sẽ bị loại bỏ . Sau lần DNS reply đầu tiên đó ,
DNS
guard sẽ đóng tất cả các phiên UDP được mở bởi DNS request
mà không cần chờ đến khoảng thời gian timeout của UDP .
Một host cũng có thể truy vấn nhiều DNS server khác nhau .
Ví dụ , nếu DNS resolver gửi ba query cụ thể đến 3 server khác
nhau,
PIX firewall sẽ tạo ra 3 kết nối khác nhau. Kết nối đến mỗi server
được thực hiện riêng biệt vì request được gửi một cách riêng biệt ,
mỗi request được đặc trưng bởi một ID . Reply cho request này
bao gồm cùng một ID và IP address giống nó . Từ đó , ta kết luận
DNS Guard có những đặc điểm sau :
- Chỉ chấp nhận các replies nào đúng địa chỉ IP
- Chỉ chấp nhận một reply . Trong trường hợp có nhiều replies ,
ngoại trừ reply đầu tiên , tất cả các replies sẽ bị loại bỏ .
- Kết nối UDP tương ứng với kết nối DNS sẽ bị loại bỏ ngay khi


nhận được DNS reply mà không đợi đến khi hết thời gian
timeout .
- Bảo vệ được các phiên làm việc UDP từ các hình thức tấn
công
như DoS hay hijacking.

Để hiểu rõ hơn hoạt động của DNS Guard , ta xem xét ví dụ sau :


Client (có địa chỉ 192.168.0.1) và Web server (web.company.com ,
có địa chỉ 192.168.0.5 ) nằm trong inside interface của PIX và
các địa chỉ private . DNS server nằm ở outside interface . PIX
được
cấu hình để chuyển địa chỉ của client và server khi đi ra mạng
ngoài
thành địa chỉ 1.2.3.4 thông qua PAT . Địa chỉ này được DNS
server ghi lại là địa chỉ cho web.company.com. Khi client yêu cầu
địa chỉ IP của server , PIX sẽ chuyển yêu cầu đó đến DNS
server, đổi địa chỉ source từ 192.168.0.1 thành 1.2.3.4 (PIX
thực hiện NAT ) . Khi PIX nhận được reply từ DNS server ,
ngoài việc pix đổi địa chỉ đích của gói tin (từ 1.2.3.4 đến
192.168.0.1) , nó còn thay đổi địa chỉ của Web server có trong
reply đó (đó là 1.2.3.4 chuyển thành 192.168.0.5) .

 NOTE : không thể tắt tính năng DNS Guard cũng như thay đổi giá
trị mặc định là port 53 của DNS trong PIX .

b. Mail Guard

Mail Guard được thiết kế để bảo đảm độ an toàn cho các kết nối

SMTP từ outside đến email server inside , nó sẽ hạn chế server
và client có thể được phép làm và xem gì ?
SMPT là một giao thức dựa trên telnet , được thiết kế cho việc
truyền thư điện tử giữa các server . Client gửi các command đến
server , server trả lời lại bằng các status messages và một
số thông tin phụ thêm . Các command được phép đến mail
server đó là : HELLO , MAIL , RCPT , DATA , RSET ,
NOOP , và QUIT .
Mặc định PIX sẽ kiểm tra các kết nối port 25 cho lưu lượng
SMTP .
Nếu các SMTP server sử dụng nhiều port khác ngoài port 25 , ta
phải sử dụng câu lệnh
[no] fixup protocol smtp [<port> [-<port>]]

Mục tiêu chính của Mail Guard là hạn chế các command mà client
sử dụng đến mức thấp nhất (minimal set), trong khi vẫn quản lí
toàn bộ command , cụ thể :
- Mail Guard quản lí các command được gửi bởi client , nếu
command này không thuộc về minimal set , nó sẽ thay thể bằng
NOOP command .
- Nếu Mail Guard gặp một command không biết , toàn bộ phần
dữ liệu trong gói tin sẽ được đánh dấu bằng kí tự X , với kí tự
này khi server nhận được sẽ phát ra một error .

c. SYN flood Guard
Để bảo vệ các host bên trong tránh khỏi các cuộc tấn công DoS ,
sử dụng câu lệnh static để giới hạn số lượng các kết nối
embryonic
được phép đến server .


Cấu trúc của câu lệnh như sau :
Static(internal_if_name , external_if_name) global_ip
local_ip [netmask network_mask] [max_conns[em_limit]]
• Internal_if_name : tên của interface mạng bên trong
• External_if_name : tên của interface mạng bên ngoài
• Global_ip : địa chỉ global ip cho interface bên ngoài .
Địa chỉ này không được là địa chỉ PAT
• Local_ip : địa chỉ local ip của mạng bên trong
• Netmask network_mask : là mask của địa chỉ global và local
• Max_conns : số lượng kết nối tối đa được phép đến local_ip .
Mặc định là 0 , tức là unlimited
• Em_limit : được sử dụng để giới hạn số lượng kết nối
embryonic
được phép đến server .
 Nếu ta thiết lập mức ngưỡng quá cao , có nguy cơ sẽ làm quá
tải IP stack và dễ bị DoS attack . Nếu thiết lập mức ngưỡng quá
thấp,
dễ dẫn đến tình trạng từ chối dịch vụ của các user hợp lệ . Thông
thường chọn giá trị em_limit thấp hơn giá trị max_conns.

Nếu trong câu lệnh static có cấu hình mức ngưỡng em_limit để
giới hạn
kết nối embryonic , và khi các kết nối đó đạt được giá trị ngưỡng
thì
PIX firewall chỉ đơn giản đánh rớt các kết nối mới . điều này cho
phép kết thúc việc tổ chức lưu lượng từ các cuộc tấn công , ngay
cả với các attack đơn giản nhất . Nếu trong câu lệnh static không

cấu hình ngưỡng em_limit , PIX firewall sẽ cho tất cả traffic đi
qua ,

điều này sẽ dẫn đến bảng kết nối embryonic bị quá tải và tất cả
traffic
bị dừng lại khi có attack .
Trong các version từ 5.2 trở lên , đã đưa ra một đặc điểm mới
là TCP Intercept . TCP Intercept là phương pháp cải tiến việc đáp
ứng
một kết nối embryonic của PIX firewall . Khi số lượng kết nối này
vượt quá giá trị ngưỡng được cấu hình , PIX firewall sẽ chặn đứng

chuyển sang kết nối mới . Các version trước 5.2 , pix không cho
phép
các kết nối mới sau khi đạt được giá trị ngưỡng . Điều này vẫn
gây ra DoS vì các TCP connection slot vẫn được làm đầy .
Hoạt động của TCP Intercept cũng đơn giản , đối với mỗi SYN ,
PIX firewall đáp ứng về cho server một SYN/ACK segment rỗng ,
PIX firewall giữ lại thông tin trạng thái SYN đó , đánh rớt các gói
tin ,
và chờ ACK từ client . Nếu nhận được ACK , pix sẽ gửi bản copy
SYN segment của client đến server , khi đó TCP three-way
handshake được thực hiện giữa PIX firewall và server . Chỉ khi
nào three-way handshake hoàn tất , kết nối đó mới được đưa về
trạng thái bình thường .
Để bảo vệ các host bên ngoài từ các cuộc tấn công DoS và để
giới hạn số lượng kết nối embryonic đến server , sử dụng lệnh nat

Cấu trúc câu lệnh như sau :
nat [(if_name)] nat_id local_ip {netmask [max_conns
[em_limit]]}

Sử dụng lệnh show local-host để xem số lượng các kết nối hiện tại

và các kết nối embryonic .

d. AAA Floodguard
Khi sử dụng AAA với PIX để nhận diện , thẩm quyền và quản lí
user để làm giảm các vấn đề như truy cập không có thẩm quyền
đến nguồn tài nguyên thông tin , điều này cũng tạo cho hacker có
hội trong việc attack . Nếu tất cả các connection đều phải
được chứng thực thì khi có quá nhiều authentication request làm
cho nguồn tài nguyên của AAA quá tải dẫn đến dịch vụ bị từ chối
– DoS .
Floodguard command cho phép ta tự động bảo vệ nguồn tài
nguyên cho PIX firewall nếu hệ thống xác thực user bị quá tải .
Nếu kết nối uauth inbond hoặc outbound bị tấn công hoặc bị sử
dụng quá nhiều , PIX tự động bảo vệ TCP user resource . Khi các
nguồn tài nguyên bị cạn kiệt , PIX firewall sẽ đưa ra nhiều
messages chỉ thị rằng nó đã hết tài nguyên (out of resource) .
Nếu hệ thống uauth bị cạn kiệt , TCP user resource ở trạng thái
khác sẽ được dùng phụ thuộc vào mức độ cảnh báo theo thứ tự sau
:
- Timewait
- Finwait
- Embryonic
- Idle

Floodguard command mặc định đã được bật lên và có cấu trúc
như sau :
floodguard enable | disable

e. Fragmentation Guard
Đặc điểm Fragmentation Guard đưa ra 2 security check ngoài các

security check được đề nghị bởi RFC 1858 cho gói tin IP trong
việc
bảo vệ cho gói tin khỏi bị phân mảnh từ các cuộc tấn công như
teardrop , land …
Security check đầu tiên yêu cầu mỗi gói tin non-initial IP fragment
phải liên kết với gói tin already-seen valid initial IP fragment .
Vì các fragment này có thể đến không theo thứ tự .
Security check thứ hai là IP fragment phải có tốc độ là 100 gói tin
IP fragment hoàn chỉnh trên 1 giây cho mỗi host internal . Điều
này
có nghĩa là Pix có thể xử lý 1200 packet fragment trong vòng 1
giây . FragGuard hoạt động ở tất cả các interface của PIX firewall .
Để enable tính năng này lên , sử dụng câu lệnh sysopt security
fragguard

2. syslog
Việc kiểm tra các cấu hình của thiết bị để bảo đảm nó hoạt động
tốt là vấn đề quan trọng trong việc bảo mật mạng . Có rất nhiều
cách để thực hiện điều này , nhưng cách chủ yếu vẫn là giám sát
(monitor ) và ghi lại (log) các sự kiện trong mạng . Việc ghi lại
các sự kiện rất quan trọng trong quá trình theo dõi nhiều thông
tin trong hệ thống .Thao tác này sẽ đưa ra tại ngõ ra của hệ
thống các message báo lỗi như ai đang làm gì , ai đang đi đâu ,
hoặc là các loại tấn công có thể có vào mạng . Trong PIX
firewall có hai cách để ghi lại thông tin , đó là local và remote .
Local logging là việc bản thân Pix có thể ghi lại các sự kiện ,
nhưng hạn chế của phương pháp này là chỉ ghi được một
vài sự kiện . Remote logging là phương pháp cho phép ta
lưu các bản tin và sử dụng các scripts để kiểm tra các bản tin
đó một cách chi tiết , điểu khiển được dữ liệu và phát ra

các bản báo cáo chi tiểt . Remote logging cũng cho phép ta
lưu tạm các sự kiện . Để thực hiện được phương pháp
này , PIX firewall sử dụng cơ chế syslog , đó là một trong
các phương pháp phổ biến nhất để lưu và giữ lại các log
messages , trong đó có một host sẽ gửi các syslog messages
và một server quản lí syslog , server này có thể là máy chủ
sử dụng hệ điều hành Window , Linux / UNIX . PIX firewall
sẽ đóng vai trò như là một host gửi các syslog messages đến
syslog server , syslog server quyết định sẽ đặt các bản tin
này ở đâu còn tùy thuộc vào các software sử dụng cho
server . Syslog server có thể viết các bản tin này thành
một file hoặc là gửi thông báo khẩn (alert ) đến một người
nào đó bằng email hay tin nhắn .
Mặc định PIX firewall sẽ tắt chức năng logging , để bật nó lên
ta sử dụng câu lênh sau :
Pix (config)# logging on
Câu lệnh này cần thiết để bắt đầu logging tất cả các sự kiện
ở ngõ ra như ở buffer , terminal , hay là ở syslog server .
Tuy nhiên sau khi sử dụng lệnh này , ta vẫn phải chỉ ra hình
thức logging cụ thể . Để tắt logging , sử dụng no logging on

a. Local logging
Có 3 loại local logging là : buffered logging (logging từ bộ đệm ) ,
console logging (logging từ cổng console ) , và terminal logging
(logging từ thiết bị đầu cuối ) .

- Buffered logging : Khi sử dụng phương pháp này ,
tất cả các log messages được gửi đến một bộ đệm
bên trong PIX firewall .
Để bật tính năng này lên , sử dụng câu lệnh sau :

Pix(config)# logging buffered <level>
Tham số level chỉ ra mức độ chi tiết mà ta muốn xem trong các
bản tin ,
các bản tin này sẽ xuất hiện ở cổng console của pix , tham số này
được dùng để giới hạn số lượng bản tin được log .
Để xem các bản tin được giữ trong bộ đệm , sử dụng câu lệnh
show logging , câu lệnh này chỉ cấu hình logging cũng như các
bản
tin được giữ trong bộ đệm . Lệnh clear logging cho phép ta làm
sạch bộ đệm . Hai lệnh trên được sử dụng ở enable mode .

Ví dụ của lệnh show logging :
Pix # show logging
Syslog logging : enabled
Facility : 20
Timestamp logging : disabled
Standby logging : disabled
Console logging : level debugging , 37 messages logged
Monitor logging : disabled
Buffer logging : level debugging , 8 messages logged
Trap logging : disabled
History logging : disabled

 NOTE : Cisco đề nghị không nên bật tính năng buffered
logging
vì sẽ làm giảm hoạt động của PIX .

- Console logging : gửi các log messages đến console
( cổng nối tiếp) của PIX firewall . Để bật tính năng
này lên , sử dụng :

pix(config) # logging console <level>
Tham số level sử dụng giống như trong buffer logging .
- Terminal logging : gửi các log messages đến một phiên
telnet hoặc SSH . Để bật terminal logging , sử dụng :
pix(config) # logging monitor <level>
Bên cạnh bật chức năng này ở mode global , logging output cùng
phải được bật trên mỗi phiên làm việc telnet hoặc SSH hiện tại
bằng cách sử dụng câu lệnh terminal monitor . Để tắt nó ,
sử dụng terminal no monitor .

b. Remote logging : syslog
Như đã nói ở trước , logging trong pix mặc định là bị tắt đi ,
ta cần phải bật nó trên trước khi cấu hình logging cho pix .
Pix(config) # logging on

- Để cấu hình syslog trên pix , đầu tiên cần phải xác định host
nào sẽ gửi syslog messages đến bằng cách sử dụng câu lệnh :
logging host [<interface>] <ip_address>
• Tham số interface chỉ ra interface mà ta muốn gửi các bản
tin ra ngoài ,
• Tham số ip_address chỉ ra điạ chỉ của syslog server trên
interface đó . Nếu không chỉ ra interface nào cụ thể , mặc
định là lấy inside interface .

- Sẽ không có log messages nào được gửi đến syslog cho đến
khi ta cấu hình mức độ logging sử dụng câu lệnh sau :
logging trap <level>

- Khi được cấu hình để sử dụng syslog , PIX firewall sẽ gửi
log messages đến syslog server mặc định sử dụng UDP

port 514 . Ta có thể thay đổi mặc định này như sau :
logging host [<interface>] <ip_address> [tcp | udp /
<port_number>]

Có thể cấu hình UDP hay là TCP cho syslog , tham số port
_number là giá trị nằm trong khoảng 1025 đến 65535 . TCP
không phải là phương pháp chuẩn cho việc cấu hình syslog
vì hầu hết các syslog server không hỗ trợ . Nếu sử dụng
kết nối TCP cho syslog server , cần lưu ý là nếu syslog server
bị down thì tất cả lưu lượng trong mạng qua pix sẽ bị khóa .
Một lưu ý khác là khi cấu hình TCP syslog thì kết nối
syslog sẽ chậm hơn UDP vì TCP phụ thuộc vào quá trình bắt
tay 3 bước . Điều này sẽ dẫn đến thêm overhead của kết
nối và làm chậm việc gửi syslog messages đến server .
- Đối với những pix có hỗ trợ tính năng failover ,
lệnh logging standby cho phép failover PIX gửi
syslog messages cho các log files được đồng bộ trong
trường hợp stateful failover xảy ra .
c. logging level
Mặc dù lệnh logging có 8 level khác nhau được sử dụng
trong pix (theo bảng ) , logging level 0 không được sử dụng .
Khi cấu hình logging , ta phải chỉ ra mức level có thể bằng
số hay bằng từ khóa . Khi đó , PIX firewall ghi lại tất cả
các sự kiện như nhau cho mức level được chỉ ra cũng như
các level thấp hơn nó . Ví dụ , level mặc định cho pix là
level 3 (error) , thì pix cũng sẽ log các sự kiện ở level 2 ,
level 1 , và level 0 .




Ví dụ về các level được ghi lại :
d. Logging facility
Mỗi syslog message có một số tiện ích (facility number) . Có 24
facility khác nhau được xếp từ 0 đên 23 . 8 facility được sử dụng
phổ biến cho syslog là local0 đến local7 . Facility có vai trò giống
như những ống dẫn dẫn dắt tiến trình syslog . Tiến trình syslog sẽ
đặt các messages vào đúng log file dựa trên facility . Cấu hinh tính
năng này như sau :
logging facility <facility_code>

Các facility_code được sắp xếp theo bảng sau :


3. Content Filtering
a. Filtering URL với Websense
Có thể sử dụng access-list để cho phép hoặc từ chối truy cập web ,
nhưng nếu list các site ngày càng dài hơn , thì giải pháp này sẽ ảnh
hưởng đến hoạt động của firewall . Ngoài ra , access-list không
đưa ra được sự tiện lợi trong việc điều khiển truy cập trong trường
hợp này . Ví dụ như nó không thể cho phép hoặc từ chối truy cập
đến các trang cụ thể trong website , mà là toàn bộ website được chỉ
ra trong câu lệnh của nó . Access-list cũng không có tác dụng đối
với những website là những host ảo . Ví dụ như có nhiều website
thuộc về cùng một server và tất của các website đó phải có địa chỉ
IP , do đó chỉ có thể cho phép hoặc từ chối truy cập đến tất cả các
website đó trong cùng một lúc .
Pix đã đưa ra một giải pháp điều khiển truy cập web tốt hơn và
hiệu quả hơn đó là sử filtering URL thông qua một filtering
server . Cụ thể như trong hình sau :




- khi một client thiết lập kết nối TCP đến Web server
- Client gửi HTTP request cho một trang trong server này
- Pix chặn request này và chuyển nó đến filtering server
- Filtering server sẽ quyết định xem client có được phép truy cập
đến trang đã yêu cầu hay không ?
- Nếu được , PIX sẽ chuyển request đến server và client nhận
được nội dung đã request
- Nếu không , request của client bị đánh rớt .

Websense là một phần mềm cung cấp chức năng filtering cho PIX
firewall , giúp cho nhà quản trị mạng giám sát và điều khiển lưu
lượng mạng . Websense được sử dụng để khóa các URL mà PIX
không thể khóa . Websense quyết định là khóa hay cho phép một
URL nào đó dựa trên thông tin cấu hình của nó và Master
Database . Cấu hình Websense là đưa ra các quy tắc filtering mà ta
đã thiết lập trong Websense. Master Database là database của URL
bị khóa . Database này được duy trì và cập nhập hằng ngày bởi
Websense corporate office .

Câu lệnh chỉ ra filtering server cho Websense là :
url-server <if_name> host <local_ip> [timeout <seconds>]
[protocol <tcp> | <udp>] [version 1 | 4]

Cấu hình Pix để làm việc với Websense :
Filter url http [local_ip local_mask foreign_ip foreign_mask ]
[allow]

b. Active Code Filtering

Active content trong các trang web có thể được xem là vấn đề
không mong muốn trong việc bảo mật . PIX firewall có thể lọc các
active code , các active code này có thể được sử dụng trong các
ứng dụng như Java hay ActiveX .
PIX firewall hỗ trợ Java applet filer có thể dừng các ứng dụng Java
nguy hiểm dựa trên user hay địa chỉ IP .
Câu lệnh để filter java là :
Filter java port [- port] local_ip mask foreign_ip mask

ActiveX controls có thể gây ra các vấn đề bảo mật bởi vì chúng có
thể đưa một cách nào đó cho hacker tấn công server . PIX firewall
có hỗ trợ tính năng khóa tất cả các activeX controls .
filter activex port local_ip mask foreign_ip mask

4. Intruction Detection
PIX Firewall software version 5.2 trở về sau có khả năng phát hiện
xâm nhập (IDS). Phát hiện xâm nhập là khả năng phát hiện sự tấn
công mạng. Có 3 loại tấn công vào mạng :
- Reconnaissance attack - Kẻ xâm nhập cố gắng phát
hiện và sắp xếp hệ thống, dịch vụ hoặc các cho yếu điểm
- Access attack - Kẻ xâm nhập tấn công mạng hoặc hệ
thống để lấy dữ liệu, tăng tốc độ truy cập và nâng cao đặc
quyền truy cập
- DoS attack -Kẻ xâm nhâ tấn công vào hệ thống mạng
bằng cách ga6 nguy hiểm hoặc làm hỏng các hệ thống máy
tính hoặc từ chối iệc truy cấp vào mạng, các dịch vụ hoặc các
hệ thống
PIX Firewall phát hiện xâm nhập bằng cách sử dụng signature
phát hiện xâm nhập. Một signature là một tập các nguyên tắc gắn
liền với các hoạt động xâ nhập. Với việc cho phép phát hiện xâm

nhập, PIX Firewall có thể phát hiện signature và truyền đáp ứng
khi một tập các nguyên tắc được so sánh với hoạt động của mạng.
Nó có thể giám sát các gói của 53 signature phat hiện xâm nhập và
được cấu hình để gởi cảnh báo đến một Syslog server, drop packet
hoặc reset lại kết nối. 53 signature làmột tập con của các signature
được hỗ trợ bởi Cisco Intrusion Detection System (CIDS)
PIX Firewall có thể phát hiện hai loại signature khác nhau:
informational signature và attack signature. Information class
signature là các signature mà được gây ra bởi hoạt động thông
thường của mạng mà bản thân nó xem như
vô hại nhưng có thể được dùng để xác định tính hiệu lực của việc
tấn công. Attack class signature là những signature mà được gây ra
bởi một hoạt độg được biết, hoặc có thể dẫn đến, lấy lại dữ liệu
không có thẩm quyển
a. Phát hiện xâm nhập trong PIX Firewall
Phát hiện xâm nhập được cho phép bởi lệnh ip audit. Sử dụng
lệnh ip audit kiểm tra các policy có thể được tạo để xác định
traffic mà được kiểm tra hoặc phân công các hoạt động khi một
signature bị phát hiện. Sau khi một policy được tạo ra, nó có thể
được đưa vào bất cứ interface nào
Mỗi interface có hai policy: một cho informational signature và
một cho attack signature. Mỗi lần một policy của một class
signature được tạo ra và đưa vào interface, tất cả các signature
được hỗ trợ của class đó được giám sát trừ khi disable chúng với
lệnh ip audit signature disbale
PIX Firewall hỗ trợ cả inbound và outbound auditing. Auditing thự
hiện bằng cách nhìn vào các gói IP đến tại một input interface. Ví
dụ, nếu một attack policy được đưa vào một outside interface,
attack signature được gây ra khi attack traffic đến tại outside
interface ở hướng vào, kể cả inbound traffic hoặc return traffic

từmột kết nối outbound
b. Cấu hình IDS
Dùng lệnh ip audit để cấu hình IDS signature. Đầu tiên tạo ra một
policy với lệnh ip audit name và sau đó đưa policy này đến một
interface với lệnh ip audit interface
Có hai lệnh ip auit name khác nhau: ip audit name info và ip
audit name attack. Lệnh ip audit name info được dùng để tạo ra
các policy của các signature được phân loại như thông tin. Tất cả
informational signature, trừ những cái bị loại bỏ bởi lệnh ip audit
signature, trở thành một phần của policy. Lệnh ip audit name
attack thực hiện cùng chức năng với signature được phân loại như
attack signature
Lệnh ip audit name cũng cho phép chỉ rõ các hoạt động khi
signature được gây ra. nếu một policy được định nghĩa mà không
có các hoạt động, hoạt động mặc định có hiệu quả
Lệnh no ip audit name được dùng để bỏ một audit policy.
Lệnh sh ip audit name miêu tả các audit policy. Để bỏ một
policy từ một interface, sử dụng lệnh no ip audit interface. Để
miêu tả cấu hình inteface, sử dụng lệnh sh ip audit interface
5. Failover
Chức năng failover của PIX firewall cung cấp độ dự phòng trong
trường hợp một PIX bị hư , pix kia ngay lập tức đóng vai trò của
Pix bị hư đó .
Failover làm việc với 2 , và chính xác là chỉ 2 , firewall . Hai
firewall này phải :
- có model giống nhau (ví dụ pix 515 không thể sử dụng cùng
với pix 515E )
- dung lượng Flash và RAM phải giống nhau
- có cùng số lượng interface và các loại interface
- Cùng loại activation key

- Primary firewall phải chạy unrestricted license
- Secondary firewall phải chạy hoặc là unrestricted hoặc là
failover license .

Failover chỉ hỗ trợ trong các model high-end như PIX 515, 515E ,
520 , 525 và 535.

Note : Đặc điểm failover của PIX firewall chỉ hỗ trợ chức năng
redundancy . Một PIX sẽ hoạt động như là active firewall , một
PIX khác hoạt động ở chế độ standby mode . Không thể sử dụng
cả hai firewall cùng vai trò active cùng một lúc tức là PIX firewall
không hỗ trợ tính năng load balancing .

Khi cấu hình failover , 1 firewall có vai trò là primary , một
firewall có vai trò là secondary . Ở trạng thái hoạt động bình
thường , primary firewall là active và nắm giữ tất cả các traffic
mạng . Secondary firewall ở chế độ standby và sẽ active khi
primary firewall bị hư , lúc đó primary firewall lại ở chế độ
standby . Standby firewall có thể cũng bị hư nhưng lần này
failover sẽ không xảy ra . Mặc dù firewall có thể chuyển đổi các
vai trò cho nhau nhưng primary và secondary không bao giờ thay
đổi . Nghĩa là khi có failover xảy ra , primary ở chế độ standby ,
còn secondary ở chế độ active .

Các trường hợp sau được xem là firewall bị hư :
- Bộ nhớ bị cạn kiệt trong vòng từ 15 giây trở lên trong PIX
firewall active
- trạng thái liên kết của các interface mạng ở active PIX
firewall bị down hơn 2 lần trong khoảng thời gian poll . Điều
này không phải là interface bị administratively down

- Không có sự trao đổi Hello packets giữa primary và
secondary qua tất cả các interface mạng (các gói hello này
được gửi đi mặc định là 15 giây một lần , nhưng chu kì này có
thể thay đổi được ) . Nếu không có hello message nào được
nhận trong khoảng chu kì 2 poll , interface không response đó
sẽ được đặt vào trạng thái testing . Nếu interface không qua
được trong quá trình kiểm tra này , nó cũng đuợc xem như là
firewall bị hư .
- Các hello packets cũng được trao đổi giữa primary và
secondary qua failover serial cable . Nếu standby firewall
không có nghe thông tin gì từ active firewall trong khoảng 2
poll , trạng thái failover cable vẫn tốt , standby firewall sẽ
xem như active firewall bị hư và đóng lấy vai trò của active
firewall . Ngoài ra , active không có nghe thông tin gì từ
standby trong khoảng 2 poll , nó xem như standby bị hư .
- Nếu standby firewall phát hiện rằng active firewall bị tắt
nguồn hoặc là reboot , standby sẽ trở nên active . Nếu failover
cable bị unplugged , failover không xảy ra .
Có hai loại failover là standard failover và LAN-based failover ,
chức năng của hai loại này là như nhau . Sự khác biệt lớn nhất giữa
hai loại này là cách mà chúng sử dụng để trao đổi thông tin
failover giữa primary và secondary firewall . Ở standard failover ,
một loại serial cable đặc biệt được sử dụng để kết nối 2 firewall lại
với nhau . Cable này được gọi là failover cable . Failover cable là
loại cable do Cisco đưa ra dựa trên chuẩn tín hiệu RS-232 . Đối với
LAN-based failover , thay vì sử dụng serial cable , một link
Ethenet dành riêng được sử dụng để trao đổi thông tin failover .
Thông tin được trao đổi giữa hai loại failover là như nhau và bao
gồm :
- Địa chỉ MAC của firewall

- Các gói tin Hello
- Thông tin trạng thái (active hay là standby)
- Trạng thái liên kết network interface
- bản sao cấu hình (configuration replication)

Failover cable
Failover cable được sử dụng để kết nối primary và secondary
firewall . Một đầu của failover cable được đánh dấu là primary
được nối đến primary firewall , đầu kia được đánh dấu là
secondary được nối đến secondary firewall . Cable chỉ nên nối đến
firewall khi tắt secondary firewall đi .
Failover cable trao đổi trạng thái dữ liệu giữa 2 firewall ở 115Kbps
. Đối với PIX OS có version trước 5.2 thì failover cable hoạt động
ở tốc độ 9600bps . Không nên nối ngược failover cable vì làm như
vậy replication sẽ xảy ra từ secondary firewall đến primary
firewall và xóa toàn bộ cấu hình .

Việc liên lạc qua failover cable được thực hiện bằng cách sử dụng
các messages , và mỗi message phải được ACK . Nếu một message
không được ACK từ firewall khác trong vòng 3 giây , nó được
truyền lại . Sau 5 lần truyền lại mà vẫn không có ACK , firewall
không có ACK messages đó được xem như là bị hư .

Configuration replication
Configuration replication là chức năng đồng bộ cấu hình của
primary với secondary. Khi configuration replication thành công ,
cả primary và secondary phải giống nhau về hardware và
software , chạy cùng OS và có cùng số interface .
tiến trình replication xảy ra tại RAM , không được lưu vào trong
Flash , do đó , sau khi replication hoàn tất , cần phải lưu cấu hình

lại .
Configuration replication tự động xảy ra khi :
- standby PIX hoàn tất quá trình boot . Primary firewall sao
chép toàn bộ cấu hình của nó đến secondary firewall .
- Khi các command được gõ trong active PIX firewall . Mỗi
command được nhập vào thì nó sẽ được gửi đến standby qua
failover connection .
- Khi write standby command được sử dụng ở active PIX
firewall . Điều này sẽ làm cho toàn bộ cấu hình của active
được tái bản ở secondary .
Bất kì sự thay đôỉ về cấu hình ở standby firewall sẽ không được
sao lại ở primary .

Địa chỉ IP và MAC sử dụng cho failover
Mỗi network interface mà tại đó ta cấu hình failover , ta cần phải
có hai địa chỉ . Một địa chỉ IP dành cho primary firewall , và một
địa chỉ Ip dành cho failover . Khi hoạt động , primary sử dụng địa
chỉ IP và địa chỉ MAC hệ thống của nó , secondary firewall sẽ sử
dụng địa chỉ IP và địa chỉ MAC failover . Khi failover xảy ra ,
primary firewall bị hư , secondary sẽ active , địa chỉ IP và điạ chỉ
MAC sẽ được chuyển đổi . Nói cách khác , secondary firewall (bây
giờ đã active) sẽ lấy địa chỉ IP và MAC của primary firewall .
Primary firewall (bây giờ đang ở standby) sẽ lấy địa chỉ IP và
MAC failover của secondary firewall .
Mặc định địa chỉ MAC của active firewall là các địa chỉ được tạo
thành từ NICs của primary firewall và địa chỉ MAC của standby
firewall là các địa chỉ được tạo thành từ NICs của secondary
firewall . Thay vì sử dụng các địa chỉ này , ta có thể sử dụng địa
chỉ MAC ảo . Mỗi interface có thể đăng kí các địa chỉ MAC ảo sử
dụng command sau :

failover mac address <if_name> <active_mac>
<standby_mac>

Phát hiện lỗi (failure detection)
Primary và secondary firewall trao đổi gói tin hello cho nhau thông
qua failover cable cũng như qua tất cả các network interface . Các
gói hello này mặc định trao đổi 15giây 1 lần . Để thay đổi khoảng
thời gian này , sử dụng command sau :

failover poll <seconds>
Giá trị nhỏ nhất cho seconds là 3 giây , giá trị lớn nhất là 15 giây .
Nếu khoảng thời gian hello thấp hơn , lỗi sẽ được phát hiện nhanh
hơn , nhưng cũng dễ tạo ra failover không cần thiết khi mạng bị
nghẽn vì có quá nhiều gói hello .
Đặc điểm failover của PIX firewall giám sát việc trao đổi các gói
hello cũng như trạng thái nguồn của firewall khác . Nếu lỗi được
phát hiện và không phải là do mất nguồn hoặc là do secondary
firewall reboot , PIX firewall (primary và secondary , cái nào phát
hiện lỗi) sẽ thực hiện hàng loạt kiểm tra (theo một series) để quyết
định xem firewall có bị hỏng hay không . Việc kiểm tra bắt đầu khi
không có nghe các bản tin hello trong khoảng thời gian 2 poll . Đối
với mỗi quá trình kiểm tra , nếu một firewall nhận được network
traffic trong suốt quá trình kiểm tra , firewall kia không nhận
được , thì firewall không nhận được traffic đó được xem là bị hỏng
. Nếu cả hai firewall không nhận được traffic nào thì việc kiểm tra
tiếp theo trong series đó sẽ được thực hiện . Có 4 quá trình kiểm
tra thường được sử dụng :
- link up /down : firewall kiểm tra trạng thái liên kết mạng để
đảm bảo rằng nó up . Quá trình kiểm tra này sẽ tìm ra được
các vấn đề lỗi vật lí như cable unplugged , port của

hub/switch trong tình trạng xấu , hay là hub / switch bị lỗi .
Nếu interface không có lỗi gì hết , PIX firewall bắt đầu kiểm
tra hoạt động mạng . Ngược lại , interface tương ứng với
firewall được xem như bị hư .
- network activity : firewall lắng nghe network activity khoảng
5 giây . Nếu có gói tin được nhận trong suốt quá trình kiểm
tra này , interface được xem là hoạt động và PIX kết thúc việc
kiểm tra , ngược lại , nếu không nhận được gói tin nào , pix
chuyển đến kiểm tra ARP .
- ARP : Pix lấy khoảng 10 entry gần nhất trong bảng ARP của
nó và gửi ARP request cho mỗi entry đó để kích thích
network traffic . Sau khi gửi mỗi request , PIX firewall giám
sát tất cả các traffic được nhận trong khoảng 5 giây . Nếu
không có traffic nào được nhận , PIX sẽ chuyển đến entry kế
tiếp trong list đó . Nếu có traffic trong suốt quá trình kiểm tra
đó , interface được xem là hoạt động và quá trình test kết thúc
. Nếu đã kiểm tra hết entry trong list mà vẫn không nhận được
traffic nào , PIX bắt đầu kiểm tra broadcast ping
- Broadcast ping : firewall gửi ra ngoài broadcast ping ở
interface và quan sát có nhận được gói tin trong vòng 5 giây
sau khi ping được gửi đi . Nếu nhận được bất kì gói tin nào ,
pix coi như interface hoạt động và ngừng kiểm tra . Nếu
không nhận được , nó sẽ quay lại quá trình kiểm tra ARP .

Note : Tất cả các interface (không phải administratively down)
của cả hai firewall phải giao tiếp được với nhau , ngay cả nếu
chúng không được sử dụng . Ví dụ như các interface đó có thể nối
với nhau bằng cáp chéo , hoặc là được cắm vào cùng một switch .
Nếu không quá trình test sẽ hỏng .


Stateful failover
Có hai loại failover là failover và stateful failover (có trong PIX
OS version5.1 trở về sau ) . Đối với failover , khi primary firewall
bị hư , secondary trở nên active , tất cả các kết nối active qua
firewall bị rớt , các ứng dụng phải khởi tạo kết nối mới để khởi
động lại việc liên lạc qua pix . Nhưng stateful failover giải quyết
được vấn đề này . Đối với stateful failover , khi active pix bị hư ,
secondary trở nên active , thì các kết nối active đó vẫn được duy trì
ở PIX mới active . Các ứng dụng client vẫn tiếp tục hoạt động .
Khi sử dụng stateful failover , bên cạnh thông tin cấu hình , các
thông tin sau phải được gửi cho standby PIX firewall :
- bảng translation (xlate) với static và dynamic translation
- bảng TCP connection (bao gồm thông tin timeout cho mỗi
kết nối)
- đồng hồ hệ thống và thông tin về uptime
hầu hết các kết nối UDP không được sao lại cho standby ngoại
trừ giao thức H.232, các thành phần sau không được sao bản lại là
:
- thông tin trạng thái ISAKMP và IPSEC , điều này có nghĩa là
ISAKMP và IPSEC SA không bị mất khi có failover xảy ra .
- DHCP
- bảng user authentication , khi failover xảy ra thì các user đã
được chứng thực phải chứng thực lại .
- bảng định tuyến , nghĩa là tất cả các route động (thông qua
RIP) phải được học lại .
- bảng ARP .

Note: Mặc định thông tin về session HTTP sẽ không được sao
lại nhưng trong các version 6.2 trở về sau , thì pix có hỗ trợ đặc
điểm này bằng cách sử dụng câu lệnh sau :

failover replicate http

Để stateful failover làm việc , interface Fast Ethernet hoặc là
Gigabit Ethernet trong mỗi pix phải được dành riêng cho các thông
tin trạng thái đi qua (các interface này được gọi là stateful failover
interface ) . Interface này phải cung cấp kết nối giữa primary và
secondary firewall thông qua các phương pháp sau :
- crossover Ethernet cable
- hub hoặc switch dành riêng
- VLAN dành riêng trong switch chỉ có 2 port kết nối đến
firewall active trong VLAN

Note : Stateful failover interface ít nhất là interface nhanh bằng
interface nhanh nhất trong firewall . Token Ring và FDDI không
hỗ trợ stateful failover .

Cấu hình failover
- để kích hoạt tính năng failover trong Pix , sử dụng failover
command :
pix(config)# failover
- để cấu hình địa chỉ ip failover , sử dụng command sau :
failover ip address ip_name ip_address
- để bật tính năng stateful failover , sử dụng :
failover link stateful_if_name
stateful_if_name : chỉ ra interface dành riêng cho stateful failover
. Mặc định là port LAN cao nhất có cấu hình failover .
- để PIX đóng vai trò active , sử dụng :
failover active
- Kiểm tra failover :
Show failover


LAN-based failover
Các PIX OS version 6.2 có hỗ trợ tính năng LAN-based failover .
Trong LAN-based failover , thay vì sử dụng serial failover cable ,
Ethernet link được sử dụng để giám sát trạng thái failover và trao
đổi thông tin failover . Ưu điểm lớn nhất khi sử dụng LAN-based
failover là giải quyết được vấn đề giới hạn về khoảng cách mà
standard failover gặp phải (serial failover cable dài tối đa chỉ 6
feet) . Ethernet link phải là interface LAN dành riêng . Tuy nhiên ,
nếu sử dụng stateful failover , thì cùng interface đó có thể được sử
dụng để trao đổi thông tin trạng thái . Một hub hay switch dành
riêng hoặc là VLAN dành riêng trong switch có thể được sử dụng
để kết nối 2 PIX firewall cho LAN-based failover , nhưng
crossover Ethernet cable không dùng được . Nhược điểm khi sử
dụng LAN-based failover là mất nguồn thì firewall khác không
phát hiện được .

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×