Bài Viết Về PIX FIREWALL

Tác giả: Nguyễn Thị Băng Tâm
Chương 4 : CẤU HÌNH AAA TRÊN PIX
FIREWALL

1. Tổng quan về AAA
Việc nhận thực quyết định việc nhận dạng một user và kiểm
tra thông tin về user đó. Việc nhận thực truyền thống sử
dụng tên và một password cố định . Khi truy nhập vào một
thiết bị hay mạng với user ID thì sẽ biết được user đó là ai .
Khi user đã được xác thực , authentication server sẽ cho phép
user đó một quyền cụ thể (authorization) dựa trên thông tin
về user ID và password đó . Authorization cho biết user có
thể làm gì . Khi user đã vào được và đang sử dụng một dịch
vụ , host hay một mạng nào đó , sẽ có một bản ghi lại những
việc mà user đã làm . Accounting có nhiệm vụ thực hiện điều
này . Accounting cũng có thể được sử dụng cho việc thanh
toán hóa đơn , pháp lí hay một kế hoạch .
Authentication , Authorization và Accounting (AAA) được
PIX firewall sử dụng kiểm tra xem user là ai , user có thể làm
gì và user đã làm gì . Bản thân PIX firewall có thể điều khiển
việc truy nhập dựa trên port và địa chỉ IP , nhưng phương
pháp này không cung cấp một cơ chế để xác định được bản
thân mỗi user và điều khiển luồng traffic của user đó .
Authentication có thể thực hiện được mà không cần có
authorization , nhưng Authorization sẽ không bao giờ thực
hiện được nếu không có Authentication .

Đặc điểm của AAA khi sử dụng với PIX firewall bao gồm :
- Client cần truy nhập đến một dịch vụ nào đó . PIX

firewall , lúc này đóng vai trò là gateway giữa client và
thiết bị , sẽ yêu cầu client gửi user ID và password .
- PIX nhận được thông tin đó và chuyển nó đến AAA
server .AAA server được định nghĩa như là một thực thể
logic dùng để cung cấp 3 chức năng AAA . Server sẽ tìm
xem thông tin về user này có trong database của nó hay
không ? Nếu có thì user sẽ được phép sử dụng dịch vụ đã
yêu cầu . Nếu không , user bị từ chối sử dụng dịch vụ đó .
Với việc sử dụng AAA server riêng như vậy , giúp cho PIX
giảm được tải (CPU) , cấu hình và quản lí đơn giản , làm
tăng khả năng mở rộng .
Việc sử dụng AAA server cho phép chỉ có các user được xác
thực mới được truy cập đến một mạng nào đó , ví dụ như các
user có user ID và password hợp lệ mới được truy cập
internet , hoặc là giới hạn quyền của user sau khi xác thực
thành công sử dụng một dịch vụ nào đó . Bằng việc cấu hình
trên PIX và AAA server , nhà quản trị mạng có thể giới hạn
việc truy cập các dịch vụ như FTP , Telnet , HTTP , hay là
các dịch vụ khác .

User có thể xác thực với PIX firewall sử dụng một trong 3
phương pháp sau :
- Telnet : dấu nhắc được phát ra bởi Pix , mỗi user có 4 lần
log in . Nếu username hoặc password sai sau lần thứ tư ,
Pix sẽ làm rớt kết nối . Nếu xác thực và thẩm quyền
thành công , user
- FTP : dấu nhắc được phát ra từ chương trình FTP . Nếu
password không đúng , kết nối sẽ bị rớt ngay lập tức .
Nếu username hoặc password trong authentication
database khác với username và password của remote host

mà ta cần truy nhập vào thông qua FTP , sử dụng
username và password theo mẫu sau :
• aaa_username@remote_username
• aaa_password@remote_password
PIX firewall gửi aaa_username và aaa_password đến AAA
server , nếu authentication và authorization thành công ,
remote_username và remote_password được gửi chuyến FTP
server đích .
- HTTP : browser phát ra cửa sổ username , password .
Nếu nhập vào không đúng password , user sẽ được nhắc
nhập lại .
Nếu username hoặc password trong database authentication
khác với username và password ở remote host , thì nhập
username và password theo mẫu sau :
• aaa_username@remote_username
• aaa_password@remote_password
PIX firewall gửi aaa_username và aaa_password đến AAA
server , nếu authentication và authorization thành công ,
remote_username và remote_password được gửi chuyến
HTTP server đích .


2. Cut-through proxy
PIX firewall có thể configuration replication `ung cấp việc
xác thực và thẩm quyền cho user để sử dụng dịch vụ nào đó
thông qua Pix . Đặc biệt , pix cho phép ta thực hiện việc xác
thực và thẩm quyền cho các phiên FTP , HTTP , và Telnet
cho cả 2 hướng inbound và outbound . Chức năng này còn
đựơc gọi là cut-through proxy . Cut-through proxy cho phép
ta điều khiển các dịch vụ thích hợp thông qua firewall bằng

user chứ không phải địa chỉ IP . Khác với proxy server phải
phân tích mỗi gói dữ liệu trong một phiên ở lớp application ,
điều này ảnh hưởng trực tiếp đến vấn đề thời gian và tốc độ
xử lý , sử dụng Cut-through proxy , PIX firewall sẽ chỉ gửi
query đầu tiên cho việc chứng thực tới một TACACS+ hoặc
RADIUS database server . Khi một user được chứng thực
thành công ứng với policy đã được thiết lập , thì pix sẽ
chuyển session flow và traffic flow trực tiếp giữa 2 host
trong khi vẫn duy trì thông tin trạng thái

Ví dụ sau đây sẽ giúp ta hiểu rõ hơn hoạt động của cut-
through proxy :

Ứng dụng điển hình của công nghệ này là một user ở mạng
bên ngoài (internet) truy cập vào HTTP server nằm trong
vùng DMZ của mạng intranet như trong hình vẽ trên . User ở
mạng ngoài truy cập vào XYZ web server , PIX yêu cầu user
nhập thông tin username và password , thông tin này được
pix chuyển đến AAA server . Nếu được xác thực , user được
phép đến XYZ web server . Nếu web server này cũng đòi xác
thực , thì user sẽ gửi remote username và password đến
server đó .

3. Cấu hình xác thực

Khi CSACS ( Cisco Secure Access Control Server ) được
cấu hình (CSACS là một phần mềm được cài đặt trên server
cung cấp đầy đủ 3 dịch vụ AAA) , một entry tương ứng với
AAA server phải được cấu hình trên pix . Các bước cấu hình
như sau:

- Tạo AAA group , chỉ ra giao thức dùng cho xác thực :
aaa-server group_tag (if_name) host server_ip key timeout
seconds
- Tạo ra AAA server và đăng kí nó đến AAA group , nhiều
AAA server có thể ở trong cùng một group :
aaa-server group_tag protocol auth_protocol
Group_tag : tên của server group
If_name : tên interface kết nối với server
Host server_ip : địa chỉ IP của TACACS+ server hoặc
RADIUS server
Key : là từ khóa case-sensitive , có độ dài tối đa là 127 kí tự ,
từ khóa này phải giống với từ khóa của server . Key được sử
dụng giữa client và server cho việc mã hóa dữ liệu giữa
chúng . Nếu key không được chỉ ra , mã hóa sẽ không xảy
ra . Không được sử dụng khoảng trắng giữa các kí tự trong
key .
Timeout seconds : chỉ ra khoảng thời gian mà pix phải chờ
để thử lại lần nữa , pix sẽ thử lại 4 lần trước khi chọn server
kế tiếp cho việc xác thực . Giá trị mặc định của timeout là 30
giây .
Auth_protocol : là chỉ ra loại server nào được sử dụng ,
tacacs hay là radius .

Note : Mặc định , PIX firewall giao tiếp với RADIUS
server dùng port 1645 dành cho việc xác thực và port 1646
dành cho accounting . Các RADIUS đời mới hơn có thể sử
dụng port 1812 và port 1813 . Nếu server sử dụng port khác
1645 và 1646 , ta cần phải định nghĩa lại giá trị port tương
ứng trên Pix bằng câu lệnh aaa-server radius-authport và
aaa-server radius-acctport trước khi cấu hình RADIUS

server .

Với PIX firewall , nhà quản trị có thể định nghĩa từng group
riêng cho các loại traffic khác nhau , ví dụ như một TÁCACS
+ server cho inbound traffic , một TACACS+ server khác
cho outbound traffic . Ta có thể có đến 16 tag group và mỗi
group có thể có đến 16 AAA server , tổng cộng có đến 256
server .
Cấu hình mặc định ở pix có hai giao thức AAA server là :
- aaa-server tacacs+ protocol tacacs+
- aaa-server radius protocol radius

Sau khi đã chỉ ra aaa-server , ta cần phải cấu hình xác thực ,
sử dụng câu lệnh aaa authentication để bật hay tắt việc xác
thực user . Có các loại xác thực sau :

a. Xác thực khi user truy cập vào PIX :
Câu lệnh : aaa authentication [serial | enable | telnet | ssh |
http] console <group_tag>

Xác thực việc access vào pix console có nhiều loại khác nhau
tùy thuộc vào option được chọn . Enable option cho phép 3
lần thử trước khi từ chối việc access . Serial và telnet cho
phép user thử nhiều lần cho đến khi log in vào được thiết bị .
Telnet cho phép ta chỉ ra host nào có thể access vào pix . Đối
với các OS version 5.0 trở về trước , telnet đến pix chỉ được
thực hiện từ internal interface đi ra mạng ngoài, không cho
phép outside interface . Nhưng các version OS sau này đều
hỗ trợ tính năng này . Tuy nhiên, PIX firewall bắt buộc rằng
tất cả telnet traffic đến outside interface phải được bảo vệ bởi

IPSEC . Do đó , để khởi động một telnet session đến outside
interface , cấu hình IPSEC ở outside interface bao gồm cả IP
traffic do pix tạo ra . Chỉ có traffic trở về telnet client được
gửi qua IPSEC tunnel , không phải là tất cả traffic được phát
ra bởi outside interface .

b. Xác thực cho traffic đi qua pix :
Câu lệnh :
aaa authentication {include | exclude} <authen_service>
{inbound | outbound | <interface>} <local_ip>
<local_mask> <foreign_ip> <foreign_mask> <group_tag>

include : tạo ra một quy tắc mới cho dịch vụ cụ thể nào đó .
exclude : chỉ ra host nào đó được bỏ qua các quy tắc mà ta đã
định nghĩa trước đó
authen_service : dịch vụ mà user muốn access vào . Tham số
này có thể là ftp , telnet , http , hay là cả 3 dịch vụ trên (any) .
inbound : xác thực các kết nối inbound . Inbound có nghĩa là
kết nối đó được khởi tạo từ interface outside đến interface
inside .
outbound : xác thực các kết nối outbound . Outbound có
nghĩa là kết nối được khởi tạo từ inside interface đến outside
interface .
if_name : tên của interface mà ở đó user cần xác thực . Sử
dụng if_name , cộng với local_ip và foreign_ip để biết được
kết nối được khởi tạo từ đâu đến đâu .
local_ip : địa chỉ IP của host hoặc mạng được xác thực . Địa
chỉ này có thể được set đến 0 , có nghĩa là tất cả các host
được xác thực . Local_ip luôn luôn nằm ở interface có mức
bảo mật cao nhất .

local_mask : network mask của local_ip . Sử dụng 0 nếu địa
chỉ IP là 0 . Sử dụng 255.255.255.255 nếu IP là dành cho một
host .
foreign_ip : là địa chỉ IP của các host mà local_ip có khả
năng truy cập đến . Sử dụng 0 cho tất cả các host .
foreign_mask : giống local_mask
group_tag : là tag group trong lệnh aaa-server

PIX firewall chỉ cho phép chỉ một giao thức authentication
cho một mạng . Ví dụ , nếu một mạng kết nối inbound thông
qua PIX firewall sử dụng TACACS + , thì cùng mạng đó
không thể kết nối inbound thông qua PIX sử dụng RADIUS .
Tuy nhiên , nếu một mạng kết nối inbound thông qua pix sử
dụng TACACS+ , một mạng khác có thể kết nối inbound qua
PIX sử dụng RADIUS .

c. Xác thực cho các dịch vụ khác
PIX firewall xác thực user thông qua Telnet , FTP , HTTP .
Nhưng nó cũng có thể xác thực các loại dịch vụ khác . Ví
dụ , PIX có thể được cấu hình để xác thực user khi user cần
sử dụng dịch vụ Microsoft file server ở port 139 . Khi user
được yêu cầu xác thử để access vào các dịch vụ khác ngoài
Telnet , FTP , HTTP , họ cần thực hiện một trong các bước
sau :
• Option 1 : xác thực đầu tiên bằng việc truy cập vào
Telnet , FTP , hay HTTP server trước khi truy cập các
dịch vụ khác .
• Option 2 : xác thực đến PIX virtual telnet trước khi truy
cập vào các dịch vụ khác.
Khi không có các telnet , FTP , hay HTTP server để xác thức

, hay chỉ làm đơn giản xác thực người dùng , PIX firewall
cho phép sử dụng một virtual telnet hay http . Điều này cho
phép user xác thực trực tiếp với pix qua địa chỉ IP của virtual
telnet hay http .
Virtual telnet :
Virtual telnet cho phép các user cần có các kết nối thông qua
pix sử dụng các dịch vụ hoặc các giao thức không hỗ trợ xác
thực . User chỉ đơn giản telnet đến điạ chỉ IP virtual , sử dụng
AAA username , password của user . AAA server sẽ xác thực
điều này . khi user đã đựơc xác thực , pix đóng kết nối telnet
đó lại , cất giữ thông tin xác thực trong suốt khoảng thời gian
uauth .

Câu lệnh tạo ra virtual telnet server :
Virtual telnet <ip_address>
Ip_address phải là địa chỉ được định tuyến đến PIX .

Sử dụng virtual telnet không chỉ cho việc log in mà còn
dành cho việc log out . Sau khi xác thực thành công thông
qua virtual telnet , user sẽ không phải xác thực trở lại cho đến
khi hết thời gian uauth . Nếu ta không muốn sử dụng dịch vụ
nữa , và muốn chặn không cho các traffic qua firewall sử
dụng thông tin xác thực của mình , ta có thể telnet đến virtual
telnet lại một lần nữa . Điều này sẽ kết thúc phiên làm việc
và log out .
Virtual http :
Nếu xác thực được yêu cầu trong các site ngoài cũng như
trong bản thân PIX , vì các browser có lưu username và
password nên có thể việc xác thực sẽ không xảy ra đối với
các browser mà pix không hiểu . Để tránh điều này , ta có thể

sử dụng virtual http . PIX firewall giả sử rằng AAA server và
web server chia sẽ cùng database , và pix tự động cung cấp
cho 2 server này thông tin giống nhau . Virtual http sử dụng
trong PIX dùng để xác thực user , tách thông tin AAA server
từ request URL của web client , chuyển web client đến web
server. Virtual http lại chuyển tiếp kết nối khởi tạo của web
browser đến một địa chỉ IP thuộc về PIX firewall , xác thực
user , sau đó chuyển browser về lại URL mà user đã yêu
cầu .
Virtual http đặc biệt hữu dụng cho pix khi thao tác với
Microsoft IIS (Internet Information Server) . Khi dùng xác
thực HTTP đến các site chạy Microsoft ÍIS có “Basic text
authentication” hoặc là “NT Challenge” , user có thể bị
Microsoft từ chối truy cập vì browser thêm vào trong các
lệnh HTTP GET dòng chữ sau : “Authorization : Basic =
Uuhjksdkfhk==” . Dòng chữ này bao gồm các yếu tố xác
thực trong PIX mà không có trong Microsoft IIS . Nhờ vào
đặc điểm của Virtual http , kết nối khởi tạo của Web browser
được chuyển trực tiếp đến địa chỉ IP của virtual http trong
PIX , xác thực user , và browser được chuyển đến URL mà
user đã yêu cầu . Virtual http trong suốt với người dùng .
Để định nghĩa Virtual http server , sử dụng command sau :
Virtual http <ip_address>
Tham số ip_address giống trong virtual telnet

Ta có thể mô tả tiến trình khi sử dụng virtual http như sau :



1. web browser gửi HTTP request đến web server

2. PIX firewall chặn connection này lại và reply bằng
một message “ HTTP 401 Authorization Required ”
3. Web browser nhận response từ firewall và sử dụng
username , password cho user chứng thực .
4. web browser gửi lại HTTP request này với
username , password đã được mã hóa đến PIX .
5. PIX firewall nhận HTTP request , tách nó ra làm 2
phần : phần request AAA authentication bao gồm
username , password và phần khởi tạo HTTP request
không có username , password .
6. pix gửi AAA authentication request đến cho AAA
server
7. AAA server xác thực user , sau đó gửi lại message là
accept hay reject
8. Giả sử rằng user xác thực thành công , pix sẽ chuyển
http request ban đầu (không có username , password)
đến web server . Nếu web server yêu cầu xác thực ,
nó sẽ gửi challenge lại cho user .
Với vitural http , khi user đã xác thực xong , user sẽ không
bao giờ phải xác thực trở lại ngay khi browser đã active .
Uauth timer sẽ không bao giờ hết vì mỗi subsequent web
request đều có username và password được mã hóa .

NOTE : Không nên set uauth timer về 0 khi đã bật vitural
http vì điều này sẽ chặn các kết nối đến web server được yêu
cầu .

4. Một số cấu hình thêm

a. Thay đổi thời gian uauth

Mặc dù không cần thiết phải cấu hình nhưng uauth timer là
một đặc điểm quan trọng để đảm bảo rằng các chức năng xác
thực proxy đang thực hiện đúng . uauth timer điều khiển bao
lâu user cần xác thực lại một lần . Khi user được xác thực
thông qua cut-through proxy , PIX firewall cất giữ phiên xác
thực thành công trong khoảng thời gian được quyết định bởi
bộ định thời này . Khi khoảng thời gian đó qua đi , user cần
phải xác thực lại bằng cách cung cấp lại thông tin về
username và password. PIX firewall không ra dấu nhắc cho
việc xác thực ngay lập tức sau khi uauth timer qua đi , nó chỉ
ra dấu nhắc cho user khi có một kết nối được thực hiện sau
khoảng thời gian timeout của uauth timer .
Uauth timer có hai đại lượng mà ta có thể cấu hình riêng biệt
nhau để điều khiển reauthentication là : inactivity và absolute
.

Câu lệnh như sau :
timeout uauth [hh:mm:ss] [absolute | inactivity]

- inactivity : bắt đầu sau khi kết nối trở nên idle . Nếu user
thiết lập một kết nối mới trước khoảng thời gian
inactivity , user không cần phải xác thực trở lại . Nếu user
thiết lập kết nối sau khi thời gian inactivity qua đi , user
phải xác thực lại .
- absolute : absolute timer chạy liên tục , nhưng chờ để ra
dấu nhắc lại cho user khi user bắt đầu một kết nối mới ,
ví dụ như click vào một link sau khi absolute timer qua đi
. Nếu timer qua đi và user click vào link mới , user sẽ
phải xác thực lại . Absolute timer phải ngắn hơn xlate
timer để mỗi khi phiên làm việc của họ kết thúc , họ phải

xác thực trở lại .

Một số lưu ý khi sử dụng hai timer này :
- inactivity timer cho user truy cập internet tốt nhất bởi vì
user không phải xác thực lại trong khoảng thời gian cách
đều nhau . Absolute timer làm tăng độ bảo mật và quản lí
kết nối PIX firewall tốt hơn . Bằng việc xác thực lại trong
khoảng thời gian đều nhau , user có thể quản lí việc sử
dụng tài nguyên hiệu quả hơn .
- thiết lập cả hai timer về 0 , user phải xác thực lại trong
mỗi kết nối mới .
- Không nên thiết lập cả hai timer về 0 nếu passive FTP
được sử dụng thông qua PIX firewall .
- Không thiết lập cả hai timer về 0 nếu virtual command
được sử dụng cho web authentication , vì điều này sẽ
chặn các kết nối HTTP đến web server đích .
- Cả hai timer có thể hoạt động cùng một thời điểm .
Absolute timer nên được thiết lập dài hơn inactivity timer
. Nếu absolute timer ngắn hơn , inactivity timer sẽ không
bao giờ xảy ra .
- để xác thực user sau khoảng thời gian inactivity , thiết
lập inactivity timer đến một khoảng thời gian mong muốn
và thiết lập absolute timer về 0 .

NOTE : Hacker có thể tạo ra DoS attack trong Pix bằng
cách khởi động nhiều lần login trong cơ chế xác thực AAA
mà không cần cung cấp thông tin xác thực . Mỗi lần login tạo
ra một kết nối , kết nối đó sẽ được duy trì cho đến khi thời
gian timeout qua đi . Bằng cách tạo ra nhiều lần login như
vậy , hacker có thể làm tiêu tốn nguồn tài nguyên AAA , vì

vậy không có lần login nào được phục vụ .

b. Thay đổi authentication prompt
Cấu trúc :
auth-prompt accept | reject | prompt string
accept : Nếu xác thực user qua Telnet được chấp nhận , thì sẽ
xuất hiện prompt string
reject : Nếu xác thực user qua Telnet bị loại bỏ , thì sẽ xuất
hiện prompt string
prompt : Là chuỗi prompt thách thức AAA theo sau từ khóa
prompt .

5. Cấu hình authorization
Khi đã cấu hình xác thực cho traffic thông qua firewall sử
dụng cut-through proxy , ta có thể cấu hình authorization cho
traffic thông qua firewall . Authentication là một yêu cầu cho
authorization , tức là authorization sẽ quyết định dịch vụ nào
mà user sau khi được chứng thực có thể truy cập vào .
Để thực hiện authorization , đầu tiên cần cấu hình cho
TACACS server . Sau đó ta cần phải cấu hình AAA
authorization cho PIX sử dụng câu lệnh sau :

aaa authorization {include | exclude} <author_service>
{inbound | outbound} <if_name> <local_ip>
<local_mask> <foreign_ip> <foreign_mask> <group_tag>

Cấu trúc của câu lệnh trên tương tự trong authentication . Tất
cả các tham số đều giống ngoại trừ author_service . Các giá
trị có thể cho author_service là any , ftp , telnet , http , hay là
<protocol/port> (ví dụ như TCP là 6 , UDP là 17 , ICMP là

1) . Thiết lập giá trị port về 0 chỉ ra tất cả các port .

NOTE : RADIUS và local database trong PIX firewall
không được cung cấp authorization cho traffic .

6. Cấu hình accounting
Sau khi cấu hình authentication và authorization , thông
thường cũng cần phải cấu hình accounting . Thông tin
accounting có thể được sử dụng để theo dõi user đã làm gì
khi truy cập vào một dịch vụ nào đó . Các bản ghi accounting
có thể chỉ ra số lượng thời gian user login vào , hoặc là chỉ ra
số lượng thông tin được truyền và nhận . Thông tin này có
thể dành cho mục đích thanh toán hóa đơn .

Cấu trúc của câu lệnh aaa accounting như sau :
aaa accounting {include | exclude} <acctg_service>
{inbound | outbound} if_name <local_ip> <local_mask>
<foreign_ip> <foreign_mask> <group_tag>