Đề tài Tìm hiểu về AAA và cấu hình AAA cho bức tường lửa PIX của Cisco

Click to edit Master title style Click to edit Master text styles Second level Third level Fourth level Fifth level 08/04/2011 ‹#› Đồ Án Môn Học An Ninh Mạng Tìm hiểu về AAA và cấu hình AAA cho bức tường lửa PIX của Cisco Đề tài TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN HỮU NGHỊ VIỆT-HÀN KHOA KHOA KHỌC MÁY TÍNH Lớp: MM02A Thành Viên: -Bùi Tấn Việt -Trần Hữu Nghị -Nguyễn Hoàng GVHD: Ths. Trần Thế Sơn 08/04/2011 1 Nội dung báo cáo 08/04/2011 2 Firewall là gì? 08/04/2011 3 Giới thiệu về Firewall Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và ngược lại. Kiểm soát địa chỉ truy nhập và dịch vụ sử dụng. Kiểm soát khả năng truy cập người sử dụng giữa hai mạng. Kiểm soát nội dung thông tin truyền tải giữa hai mạng. Ngăn ngừa khả năng tấn công từ các mạng ngoài. 08/04/2011 4 Giới thiệu về Firewall Chức năng Nguyên tắc hoạt động chung của firewall (kể cả firewall mềm hay firewall cứng) là bắt gói dữ liệu đi ngang qua nó và so sánh với các luật đã thiết lập. Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì huỷ gói dữ liệu. . Hoạt động 08/04/2011 5 Giới thiệu về Firewall Firewall cứng Firewall mềm Phân loại 08/04/2011 6 Giới thiệu về Cisco PIX Firewall Giới thiệu Hoạt động Pix firewall hoạt động dựa trên cơ chế ASA (Adaptive Security Algorithm) sử dụng Security level (mức độ bảo mật). Giữa hai cổng thì một sẽ có Security level cao hơn, một có Security level thấp hơn. Định tuyến trong PIX FIREWALL. Truy cập ngoài thông qua FIRE WALL: Vì mục đích an toàn, để tránh mạng ngoài (Outside) biết được cấu trúc mạng bên trong (Inside) công nghệ chuyển đổi địa chỉ được sử dụng cho Pix Firewall giúp nó che dấu mạng được cấu trúc mạng bên trong mà vẫn đảm bảo kết nối hoạt động tốt. Các loại chuyển đổi địa chỉ: Chuyển đổi địa chỉ động Chuyển đổi địa chỉ tĩnh Truy cập trong thông qua FIRE WALL: Để cho phép kết nối ta phải thiết lập hai thành phần sau: Danh sách điều khiển truy cập (Access Control List-ACL) Chuyển đổi địa chỉ tĩnh (Static Address Translation) 08/04/2011 7 Giới thiệu về Cisco PIX Firewall Authentication: xác thực dùng để nhận dạng người dùng Authorization: điều khiển việc cấp quyền Accounting: thu thập thông tin 08/04/2011 8 Tổng Quan Về AAA TACACS Giao thức TCP trên port 49 Phiên bản là TACACS+ TACACS+ hỗ trợ nhiều giao thức. TACACS+ hỗ trợ ba tính năng yêu cầu của một hệ thống bảo mật tốt 08/04/2011 9 Giao thức sử dụng trong dịch vụ AAA RADIUS 08/04/2011 10 Giao thức sử dụng trong dịch vụ AAA Mô hình mô phỏng 08/04/2011 11 Mô hình sử dụng firewall FIX Firewall và AAA Server Mô hình mô phỏng trên GNS3 Các bước cấu hình 08/04/2011 12 Cấu hình Security level và IP address cho các interface e0 và e1 cho PIX Cấu hình tầm địa chỉ được NAT ra ngoài Cấu hình định tuyến cho mạng inside ra outside Cấu hình Cho cisco Router 7200 Kiểm tra kết nối từ PIX đến các thiết bị khác Cấu hình Security level và IP address cho các interface e0 và e1 cho PIX Pix(config)# interface e0 Pix(config-if)# nameif outside Pix(config-if)#ip address 209.162.1.1 255.255.255.0 Pix(config-if)#no shutdown Pix(config)# interface e1 Pix(config-if)# nameif inside Pix(config-if)#ip address 172.16.1.2 255.255.255.0 Pix(config-if)#no shutdown Cấu hình tầm địa chỉ được NAT ra ngoài: PIX(config)# nat (inside) 1 0 0 0 0 PIX(config)# global (outside) 1 209.162.1.30 Global 209.162.1.30 will be Port Address Translated Cấu hình định tuyến cho mạng inside ra outside: PIX(config)# route outside 0.0.0.0 0.0.0.0 209.162.1.1 Cấu hình Cho cisco Router 7200 router(config)# hostname webserver webserver (config)#enable password cisco webserver (config)#interface fa1/0 webserver (config-if)#ip add 209.162.1.2 255.255.255.0 webserver (config-if)#no shutdown webserver (config-if)#exit webserver(config)#ip route 0.0.0.0 0.0.0.0 209.162.1.1 Cấu hình cho router giả lập webserver webserver (config)#ip http server 08/04/2011 13 Cấu hình cho phép host ở mạng inside được phép telnet vào PIX: Pix(config)# telnet 172.16.1.1 255.255.255.255 inside Bật tính năng AAA server trên PIX: Pix(config)# aaa-server ccsp protocol tacacs+ Pix(config)# aaa-server ccsp (inside) host 172.16.1.1 pixfirewall Cấu hình xác thực user truy cập vào PIX. Pix(config)# aaa authentication telnet console ccsp Pix(config)# aaa authentication http console ccsp Pix(config)# aaa authentication enable console ccsp 08/04/2011 14 Các bước cấu hình Cấu hình xác thực cho user khi truy cập vào PIX Cấu hình trên CiscoSecure ACS 08/04/2011 15 Các bước cấu hình Cấu hình ủy quyền 08/04/2011 16 Các bước cấu hình Vào Interface Configuration, chọn TACACS+ (Cisco IOS) Cấu hình xác thực traffic đi qua PIX: Cấu hình xác thực cho các traffic đi từ inside đến outside với group tag là ccsp Pix(config)# aaa authentication include http outside 0 0 0 0 ccsp Pix(config)# aaa authentication include telnet outside 0 0 0 0 ccsp 17 Các bước cấu hình 08/04/2011 08/04/2011 18 Cấu hình xác thực cho các dịch vụ khác Pix(config)# virtual telnet 209.162.1.4 Pix(config)# aaa authentication include tcp/49 outbound 0 0 0 0 ccsp Các bước cấu hình 08/04/2011 19 KẾT LUẬN Kết quả đạt được Hướng phát triển Tìm hiểu tổng quan về An ninh mạng Tìm hiểu Cisco Fix Firewall Tìm hiểu AAA Thực hành cấu hình AAA trên Cisco PIX Firewall Tìm hiểu về khả năng hạn chế tấn công và cấu hình để hạn chế tấn công IP Fragmentation, DNS, SMTP, SYN Flood, AAA Flood trong firewall PIX của Cisco. Tìm hiểu về VPN và cấu hình VPN trên firewall PIX của Cisco. Tìm hiểu về IDS và cấu hình IDS trong firewall PIX của Cisco. KẾT THÚC BÀI BÁO CÁO 08/04/2011 20 Cảm ơn Thầy Cô và các bạn đã theo dõi!