Nghiên cứu về Firewall ASA

unnel-Start: giá trị là 9, dùng để đánh dấu việc tạo một đường hầm mới với nút khác. Tunnel-Stop: giá trị là 10, , dùng để đánh dấu việc hủy một đường hầm từ hoặc tới nút khác. Tunnel-Reject: giá trị là 11, , dùng để đánh dấu việc từ chối tạo một đường hầm với nút khác. Tunnel-Link-Start: giá trị là 12, dùng để đánh dấu sự tạo thành của một liên kết đường hầm. Tunnel-Link-Stop: giá trị là 13, dùng để đánh dấu sự phá hủy một lien kết đường hầm. Tunnel-Link-Reject: giá trị là 14, dùng để đánh dấu việc từ chối tạo nên một liên kết mới trong một đường hầm đang tồn tại. Và 2 thuộc tính mới: Acct-Tunnel-Connection: Thuộc tính này có thể được sử dụng để cung cấp một phương tiện để nhận diện ra một phiên đường hầm cho mục đích kiểm toán. Acct-Tunnel-Packets-Lost: Thuộc tính này chỉ ra số gói dữ liệu bị mất trên một liên kết được đưa. 4.3.4. RFC 2868: RFC 2868 - RADIUS Attributes for Tunnel Protocol Support: mô tả các thuộc tính RADIUS hỗ trợ cho giao thức đường ống, cập nhật them cho RFC 2865. Các thuộc tính RADIUS mới là cần thiết để chuyển các thông tin đường hầm từ máy chủ RADIUS tới điểm cuối của đường hầm. Các thuộc tính mới: Tunnel-Type: Thuộc tính này chỉ ra giao thức đường hầm sẽ được sử dụng hoặc các giao thức đường hầm đang được sử dụng. Tunnel-Medium-Type: Thuộc tính này chỉ ra phương tiện được sử dụng để tạo đường hầm theo các giao thức (như là L2TP), điều này có thể có tác dụng trên nhiều phương tiện vận chuyển. Tunnel-Client-Endpoint: Thuộc tính này chứa địa chỉ của người khởi xướng cuối của đường hầm. Tunnel-Server-Endpoint: Thuộc tính này chứa địa chỉ của máy chủ cuối của đường hầm. Tunnel-Password: Thuộc tính này chứa mật khẩu dùng để xác thực tới máy chủ truy cập từ xa. Tunnel-Private-Group-ID: Thuộc tính này chỉ ra ID nhóm cho một phiên hầm cụ thể. Tunnel-Assignment-ID: Thuộc tính này được sử dụng để chỉ ra người khởi xướng đường hầm một đường hầm cụ thể để phân công một phiên. Tunnel-Preference: Khi máy chủ RADIUS gởi trả nhiều hơn một bộ thuộc tính đường hầm về cho người khởi xướng đường hầm, thuộc tính này được gán vào trong mỗi bộ thuộc tính đường hầm để thiết lập độ ưu tiên cho mỗi đường hầm. Tunnel-Client-Auth-ID: Thuộc tính này ghi rõ tên người khởi xướng đường hầm sử dụng trong giai đoạn xác nhận khởi tạo đường hầm. Tunnel-Server-Auth-ID: Thuộc tính này ghi rõ tên người tận cùng đường hầm sử dụng trong giai đoạn xác nhận khởi tạo đường hầm. 4.3.5. RFC 2869: RFC 2869 – RADIUS Extensions: đưa ra gợi ý về một số thuộc tính bổ sung có thể được thêm vào RADIUS để thực hiện nhiều chức năng hữu ích khác nhau. Những thuộc tính không có trường mở rộng trải qua trước đóđược nêu ra và do đó bị coi là thử nghiệm. Extensible Authentication Protocol (EAP) là một phần mở rộng PPP cung cấp hỗ trợ cho các phương pháp xác thực bổ sung bên trong PPP. RFC này mô tả cách mà thuộc tính EAP-Message và Message-Authenticator được sử dụng để cung cấp EAP hỗ trợ bên trong RADIUS. Tất cả các thuộc tính được bao gồm chiều dài biến Type-Length-Value 3-tuples. Giá trị thuộc tính mới có thể được thêm vào mà không lo ngại làm xáo trộn triển khai hiện có của giao thức. III. ASA 1. Lịch sử ra đời. Thiết bị phần cứng đảm nhận vai trò bảo vệ hạ tầng mạng bên trong,trước đây thương hiệu PIX Firewall của hãng Cisco Systems đã giành được một trong những vị trí hàng đầu của lĩnh vực này.Tuy nhiên,theo đà phát triển của công nghệ và xu hướng tích hợp đa chức năng trên các kiến trúc phần cứng hiện nay (gọi là Appliance) hãng Cisco Systems cũng đã nhanh chóng tung ra dòng sản phẩm bảo mật đa năng Cisco ASA (Adaptive Security Appliance).Dòng thiết bị này ngoài việc thừa hưởng các ính năng ưu điểm của công nghệ dùng trên Cisco PIX Firewall,Cisco IPS 4200 và Cisco VPN 3000 Concentrator, còn được tích hợp đồng thời 3 nhóm chức năng chính cho một hạ tầng bảo vệ là Firewall, IPS và VPN.Thông qua việc tích hợp những tính năng như trên,Cisco ASA sẽ chuyển giao một giải pháp hiệu quả trong việc bảo mật hoá các giao tiếp kết nối mạng,nhằm có thể chủ động đối phó trên diện rộng đối với các hình thức tấn công qua mạng hoặc các hiểm họa mà tổ chức,doanh nghiệp thường phải đương đầu. Đặc tính nổi bật của thiết bị ASA là: + Đầy đủ các đặc điểm của Firewall,IPS,anti-X và công nghệ VPN IPSec/SSL . + Có khẳ năng mở rộng thích nghi nhận dạng và kiến trúc Mitigation Services. + Giảm thiểu chi phí vận hành và phát triển. 2. Các sản phẩm tường lửa của Cisco: Cisco PIX Firewalls đã luôn luôn đóng vai trò quan trọng trong chiến lược bảo mật của Cisco.Các mô hình tường lửa khác nhau của Cisco cung cấp các giải pháp bảo mật cho các doanh nghiệp vừa và nhỏ. Các sản phẩm tường lửa trước đây của Cisco bao gồm: + Cisco PIX Firewalls. + Cisco FWSM(Firewall Service Module) + Cisco IOS Firewall. 3. Điều khiển truy cập mạng (NAC) Cisco Adaptive Security Appliances (ASA) có thể giúp bảo vệ một hoặc nhiều mạng từ những kẻ xâm nhập và tấn công. Kết nối giữa các mạng này có thể được kiểm soát và theo dõi bằng cách sử dụng các tính năng mạnh mẽ mà Cisco ASA cung cấp.có thể đảm bảo rằng tất cả lưu lượng truy cập từ các mạng tin cậy cho dến mạng không tin cậy(và ngược lại) đi qua các tường lửa dựa trên chính sách an ninh của tổ chức. 3.1. Lọc gói (Packet Filtering) Cisco ASA có thể bảo vệ mạng bên trong(inside), các khu phi quân sự (DMZs) và mạng bên ngoài(outside) bằng cách kiểm tra tất cả lưu lượng đi qua nó. Có thể xác định chính sách và quy tắc cho những lưu lượng được cho phép hoặc không cho phép đi qua interface. Các thiết bị bảo mật sử dụng access control lists (ACL) để giảm lưu lượng truy cập không mong muốn hoặc không biết khi nó cố gắng để vào mạng đáng tin cậy. Một ACL là danh sách các quy tắc an ninh, chính sách nhóm lại với nhau cho phép hoặc từ chối các gói tin sau khi nhìn vào các tiêu đề gói(packet headers) và các thuộc tính khác. Mỗi phát biểu cho phép hoặc từ chối trong ACL được gọi là một access control entry (ACE). Các ACE có thể phân loại các gói dữ liệu bằng cách kiểm tra ở layer 2,layer 3 và Layer 4 trong mô hình OSI bao gồm: Kiểm tra thông tin giao thức layer 2: ethertypes. Kiểm tra thông tin giao thức layer 3:ICMP, TCP, or UDP,kiểm tra địa chỉ IP nguồn và đích . Kiểm tra thông tin giao thức layer 4: port TCP/UDP nguồn và đích . Khi một ACL đã được cấu hình đúng, có thể áp dụng vào interface để lọc lưu lượng. Các thiết bị an ninh có thể lọc các gói tin theo hướng đi vào(inbound) và đi ra(outbound) từ interface. Khi một ACL được áp dụng đi vào interface, các thiết bị an ninh kiểm tra các gói chống lại các ACE sau khi nhận được hoặc trước khi truyền đi. Nếu một gói được cho phép đi vào, các thiết bị an ninh tiếp tục quá trình này bằng cách gửi nó qua các cấu hình khác. Nếu một gói tin bị từ chối bởi các ACL, các thiết bị an ninh loại bỏ các gói dữ liệu và tạo ra một thông điệp syslog chỉ ra rằng như một sự kiện đã xảy ra. Trong hình 3-1, người quản trị thiết bị an ninh đã được áp dụng cho outside interface một inbound ACL chỉ cho phép lưu lượng HTTP tới 20.0.0.1. Tất cả các lưu lượng khác sẽ bị bỏ tại interface của các thiết bị an ninh. Máy chủ Web Tường lửa ASA Internet Máy A 20 . 0 . 0 . 0 / 8 209 . 165 . 200 . 224 / 27 Bên trong Bên ngoài Đánh rớt tất cả những lưu lượng khác Cho phép lưu lượng truy cập tới 20.0.0.1 1 2 1 209.165.201.1 Hình 3-1:Mô tả quá trình lọc gói của tường lửa Nếu một outbound ACL được áp dụng trên một interface, các thiết bị an ninh xử lý các gói dữ liệu bằng cách gửi các packet thông qua các quá trình khác nhau (NAT, QoS, và VPN) và sau đó áp dụng các cấu hình ACE trước khi truyền các gói dữ liệu này. Các thiết bị an ninh truyền các gói dữ liệu chỉ khi chúng được phép đi ra ngoài. Nếu các gói dữ liệu bị từ chối bởi một trong các ACE, các thiết bị an ninh loại bỏ các gói dữ liệu và tạo ra một thông điệp syslog chỉ ra rằng như một sự kiện đã xảy ra. Trong hình 3-1, người quản trị thiết bị an ninh đã được áp dụng outbound ACL cho inside interface chỉ cho phép lưu lượng HTTP tới 20.0.0.1.Tất cả các lưu lượng khác sẽ bị bỏ tại interface của các thiết bị an ninh. Các loại Access Control List: Có năm loại ACL khác nhau đã cung cấp một cách linh hoạt và khả năng mở rộng để lọc các gói trái phép bao gồm: + Standard ACL + Extended ACL + IPV6 ACL + Ethertype ACL + WebVPN ACL Standard ACL: Chuẩn Standard ACL được sử dụng để xác định các gói dữ liệu dựa trên địa chỉ IP đích.Các ACL ở đây có thể được sử dụng để phân chia các luồng lưu thông trong truy cập từ xa VPN và phân phối lại các luồng này bằng sơ đồ định tuyến.Chuẩn Standard ACL chỉ có thể được sử dụng để lọc các gói khi và chỉ khi các thiết bị bảo mạng hoạt động ở chế độ định tuyến,ngăn truy cập từ mạng con này đến mạng con khác. Extended ACL:Chuẩn Extended là một chuẩn phổ biết nhất,có thể phân loại các gói dữ liệu dựa trên các đặc tính sau: Địa chỉ nguồn và địa chỉ đích. Giao thức lớp 3. Địa chỉ nguồn hoặc địa chỉ của cổng TCP và UDP. Điểm đến ICMP dành cho các gói ICMP. Một chuẩn ACL mở rộng có thể được sử dụng cho quá trình lọc gói,phân loại các gói QoS,nhận dạng các gói cho cơ chế NAT và mã hóa VPN. IPV6 ACL:Một IPV6 ACL có chức năng tương tự như chuẩn Extended ACL.Tuy nhiên chỉ nhận biết các lưu lượng là địa chỉ IPV6 lưu thông qua thiết bị bảo mật ở chế độ định tuyến. Ethertype ACL: Chuẩn Ethertype có thể được sử dụng để lọc IP hoặc lọc gói tin bằng cách kiểm tra đoạn mã trong trường Ethernet ở phần đầu lớp 2.Một Ethertype ACL chỉ có thể được cấu hình chỉ khi các thiết bị bảo mật đang chạy ở chế độ trong suốt ( transparent ). Lưu ý rằng ở chuẩn này các thiết bị bảo mật không cho phép dạng IPV6 lưu thông qua,ngay cả khi được phép đi qua IPV6 Ethertype ACL. WebVPN ACL: Một WebVPN ACL cho phép người quản trị hệ thống hạn chế lưu lượng truy cập đến từ luồng WebVPN.Trong trường hợp có một ACL WebVPN được xác định nhưng không phù hợp một gói tin nào đó,mặc định gói tin đó sẽ bị loại bỏ.Mặc khác,nếu không có ACL xác định,các thiết bị bảo mật sẽ cho phép lưu thông qua nó.ACL xác định lưu lượng truy cập bằng cách cho phép hoặc loại bỏ gói tin khi nó cố gắng đi qua thiết bị bảo mật.Một ACE đơn giản là cho phép tất cả các địa chỉ IP truy cập từ một mạng này đến mạng khác,phức tạp hơn là nó cho phép lưu thông từ một địa chỉ IP cụ thể ở một cổng riêng biệt đến một cổng khác ở địa chỉ đích.Một ACE được thiết kế bằng cách sử dụng các lệnh điều khiển truy cập để thiết lập cho thiết bị bảo mật. 3.2. Lọc nội dung và URL (Content and URL Filtering) Theo truyền thống firewall chặn các gói dữ liệu bằng cách kiểm tra thông tin gói ở layer 3 hoặc Layer 4. Cisco ASA có thể nâng cao chức năng này bằng cách kiểm tra nội dung thông tin một vài giao thức ở layer 7 như HTTP, HTTPS, và FTP. Căn cứ vào chính sách bảo mật của một tổ chức, các thiết bị an ninh có thể cho phép hoặc chặn các packet chứa nội dụng không cho phép. Cisco ASA hỗ trợ hai loại lớp ứng dụng lọc: Content Filtering URL Filtering 3.2.1. Content Filtering Việc kích hoạt Java hoặc ActiveX trong môi trường làm việc có thể khiến người dùng ngây thơ để tải về tập tin thực thi độc hại có thể gây ra mất mát các tập tin hoặc hư hại các tập tin trong môi trường sử dụng. Một chuyên gia an ninh mạng có thể vô hiệu hoá Java và xử lý ActiveX trong trình duyệt, nhưng điều này không phải là một giải pháp tốt nhất. Có thể chọn một cách khác là sử dụng một thiết bị mạng như Cisco ASA để loại bỏ các nội dung độc hại từ các gói tin. Sử dụng tính năng lọc nội dung cục bộ, các thiết bị an ninh có thể kiểm tra các tiêu đề HTTP và lọc ra các ActiveX và Java applet khi các gói dữ liệu cố gắng để đi qua thông qua từ máy không tin cậy. Cisco ASA có thể phân biệt giữa các applet tin cậy và applet không tin cậy. Nếu một trang web đáng tin cậy gửi Java hoặc ActiveX applet, các thiết bị bảo mật có thể chuyển đến các máy chủ yêu cầu kết nối. Nếu các applet được gửi từ các máy chủ web không tin cậy, thiết bị bảo mật có thể sửa đổi nội dung và loại bỏ các đính kèm từ các gói tin. Bằng cách này, người dùng cuối không phải là quyết định đến các applet được chấp nhận hoặc từ chối. Họ có thể tải về bất kỳ applet mà không phải lo lắng. 3.2.2. ActiveX Filtering ActiveX có thể gây ra vấn đề tiềm năng nguy hại trên các thiết bị mạng nếu mã độc ActiveX được tải về trên máy. Các mã ActiveX được đưa vào các trang web bằng cách sử dụng thẻ HTML và . Các thiết bị an ninh tìm kiếm các thẻ cho lưu lượng có nguồn gốc trên một cổng cấu hình sẵn. Nếu các thiết bị an ninh phát hiện các thẻ này, nó thay thế chúng bằng các thẻ chú thích . Khi trình duyệt nhận được các gói dữ liệu HTTP với , nó bỏ qua các nội dung thực tế bằng cách giả sử rằng nội dung là ý kiến của tác giả. Lưu ý Các thiết bị an ninh không thể nhận xét ra các thẻ HTML nếu chúng được phân chia giữa nhiều gói mạng. 3.3. Chuyển đổi địa chỉ. 3.3.1. Network Address Translation (NAT) NAT hay còn gọi là Network Address Translation là một kỉ thuật được phát minh lúc khởi đầu dùng để giải quyết vấn đề IP shortage, nhưng dần dần nó chứng tỏ nhiều ưu điểm mà lúc phát minh ra nó người ta không nghĩ tới, một trong những lợi điểm của NAT ngày nay được ứng dụng nhiều nhất là NAT cho phép: Chia sẽ kết nối internet với nhiều máy bên trong LAN với một địa chỉ IP của WAN Firewall, nó giúp dấu tất cả IP bên trong LAN với thế giới bên ngoài, tránh sự dòm ngó của hackers. Tính linh hoạt và sự dễ dàng trong việc quản lý NAT giúp cho các home user và các doanh nghiệp nhỏ có thể tạo kết nối với internet một cách dễ dàng và hiệu quả cũng như giúp tiết kiệm vốn đầu tư. 3.3.2. Port Address Translation (PAT). Đây là dạng NAT phổ thông mà thường gặp và sử dụng ngày nay trong các thiết bị phần cứng hay phần mềm routing như router hay các phần mềm chia sẽ internet như ISA, ICS hay NAT server mà lát nữa đây chúng ta sẽ có dịp tìm hiểu cách thiết lập nó.Dạng NAT này hay còn được gọi với một cái tên dynamic nat. Với dạng NAT này tất cả các IP trong mạng LAN được dấu dưới một địa chỉ NAT-IP, các kết nối ra bên ngoài đều được tạo ra giả tạo tại NAT trước khi nó đến được địa chỉ internet.NAT rule: Giả trang internet IP address 138.201 sử dụng địa chỉ NAT router Mỗi packets được gởi ra ngoài IP nguồn sẽ được thay thế bằng NAT-IP là 195.112 và port nguồn được thay thế bằng một cổng nào đó chưa được dùng ở NAT, thông thường là các cổng lớn hơn 1204. Nếu một packet được gởi đến địa chỉ của router và port của destination nằm trong khoảng port dùng để masquerading thì NAT sẽ kiểm tra địa chỉ IP này và port với masquerading table của NAT nếu là gởi cho một host bên trong LAN thì gói tin này sẽ được NAT gắn vào địa chỉ IP và port của host đó và sẽ chuyển nó đến host đó. 4. Giao thức AAA và dịch vụ hỗ trợ của Cisco ASA AAA là từ viết tắt: Authentication, Authorization, Accounting. AAA cung cấp các giải pháp khác nhau để điều khiển kiểm soát truy cập đến các thiết bị mạng. Các dịch vụ sau đây được bao gồm trong kiến trúc AAA là: Authentication (Xác thực): Quá trình xác thực người dùng dựa trên đặc tính của họ và các thông tin được xác định trước, chẳng hạn như mật khẩu và các cơ chế khác như giấy chứng nhận kỹ thuật số. Authorization (Ủy quyền): Là phương pháp mà một thiết bị mạng tập hợp một tập các thuộc tính điều chỉnh đúng với nhiệm mà người sử dụng được ủy quyền thực hiện. Những thuộc tính thiết lập nên quyền hạn mà người sử dụng được phép hoặc không cho phép . Các kết quả được trả lại cho các thiết bị mạng để xác định quyền hạn của người dùng mà cơ sở dữ liệu của người dùng có thể được đặt trên ASA hoặc nó có thể được lưu trữ trên một máy chủ RADIUS hoặc TACACS +. Accounting (Kế toán): Quá trình thu thập và gửi thông tin người dùng đến một máy chủ AAA được ghi lại để theo dõi các lần đăng nhập (khi người dùng đăng nhập và đăng xuất) và các dịch vụ mà người dùng truy cập. Thông tin này có thể được sử dụng để thanh toán, kiểm tra, và mục đích báo cáo. Cisco ASA có thể được cấu hình để duy trì một cơ sở dữ liệu người dùng nội bộ hoặc sử dụng một máy chủ bên ngoài để xác thực. Hình 3-2: Mô tả kiến trúc cơ bản cho NAS/RADIUS/TACACS+/AAA Sau đây là các giao thức chứng thực AAA và các máy chủ được lưu trữ cơ sỡ dữ liệu nằm bên ngoài: Remote Authentication Dial-In User Service (Radius). Terminal Access Controller Access-Control System (Tacacs+). Rsa SecurID(SID). Win NT. Kerberos. Lightweight Directory Access Protocol (LDAP). 4.1. Remote Authentication Dial-In User Service (Radius). RADIUS là một giao thức xác thực sử dụng rộng rãi được định nghĩa trong RFC 2865. "Remote Authentication Dial-In User Service (RADIUS)." RADIUS hoạt động trong một mô hình khách hàng / máy chủ. Một khách hàng RADIUS thường được gọi là một máy chủ truy cập mạng (network access server :NAS).một máy NAS có trách nhiệm truyền thông tin người dùng tới máy chủ RADIUS. Cisco ASA hoạt động như là một NAS và xác thực người dùng dựa trên phản ứng của máy chủ RADIUS. Cisco ASA hỗ trợ một vài máy chủ RADIUS sau: CiscoSecure ACS Cisco Access Registrar. Livingston. Merit. Funk Steel Belted. Microsoft Internet Authentication Server. Đối với mạng xác thực, một khóa bí mật được trao đổi giữa các máy chủ AAA/RADIUS và khách hàng AAA. Các khóa bí mật được chia sẻ là không bao giờ được gửi qua liên kết thiết bị để đảm bảo tính toàn vẹn. Khi RADIUS xác thực người sử dụng, phương pháp xác thực có thể được sử dụng rất nhiều, RADIUS hỗ trợ xác thực qua Point-to-Point Protocol Challenge Handshake Authentication Protocol (PPP CHAP) và PPP Password Authentication Protocol (PAP),RADIUS là một giao thức mở rộng cho phép các nhà cung cấp khả năng thêm giá trị thuộc tính mới mà không tạo ra một vấn đề đối với các thuộc tính giá trị hiện tại. Một khác biệt lớn giữa TACACS và RADIUS là RADIUS không xác thực và ủy quyền riêng biệt. RADIUS cũng cung cấp cho kế toán tốt hơn. RADIUS hoạt động theo giao thức UDP. RADIUS sử dụng các cổng 1645 và 1812 để xác thực và 1646 và 1813 cho kế toán. Các cổng 1812 và 1813 được tạo ra trong việc triển khai RADIUS mới hơn. Việc sử dụng các cổng RADIUS 1645 trong lúc triển khai đạ gây ra xung đột với các dịch vụ "datametrics". Do đó, cổng chính thức là 1812.Giao thức RADIUS được xem là một dịch vụ kết nối. Các vấn đề liên quan đến máy chủ sẵn sàng, phát lại, và hết giờ được xử lý trên thiết bị chứ không phải là giao thức truyền tải. Chức năng này khác với TACACS + độ tin cậy trong giao thức phụ thuộc vào giao thức TCP. Hoạt động RADIUS Sau đây là quá trình hoạt động RADIUS quản lý đăng nhập: Bước 1. Một thông tin đăng nhập người dùng tạo ra một truy vấn (Access-Request) từ AAA khách hàng đến máy chủ RADIUS. Bước 2. Một phản ứng cho phép hoặc loại bỏ(Access-Accept hoặc Access-Reject) được trả về từ máy chủ. Các gói tin Access-Request chứa tên người dùng, mật khẩu mã hóa, địa chỉ IP của khách hàng AAA, và cổng định dạng gói tin RADIUS: Code Identifier Length Request Authenticator Attributes Hình 3-3 Định dạng gói tin Radius Mỗi gói tin RADIUS gồm các thông tin sau đây: + Code: 1 octet, định nghĩa loại packet + Identifier: 1 octet, Kiểm tra yêu cầu, trả lời và phát hiện trùng lặp yêu cầu từ RADIUS server. + Length: 2 octet, xác định độ dài của toàn bộ gói. + Request Authenticator: 16 octet, Các octet quan trọng nhất được truyền đi đầu tiên, nó xác nhận trả lời từ máy chủ RADIUS. Hai loại authenticators như sau: -Request-Authenticator có sẵn trong gói Access-Request và Accounting-Request -Response-Authenticator có sẵn trong các gói Access-Accept, Access-Reject, Access-Challenge, Accounting-Response. + Attributes: Thuộc tính bổ sung vào RADIUS hỗ trợ nhà cung cấp cụ thể. Các máy chủ RADIUS nhận được yêu cầu xác thực người dùng và sau đó trả về thông tin cấu hình cần thiết cho khách hàng để hỗ trợ các dịch vụ cụ thể cho người dùng. Các máy chủ RADIUS thực hiện điều này bằng cách gửi Internet Engineering Task Force (IETF) hoặc các thuộc tính nhà cung cấp cụ thể. (Các thuộc tính RADIUS chứng thực được định nghĩa trong RFC 2865.) Cisco ASA hoạt động như là một NAS và máy chủ RADIUS là một Cisco Secure Access Control Server (ACS). Người dùng cố gắng để kết nối với Cisco ASA (để quản trị,vpn,thực hiện tính năng cut-though proxy). Các Cisco ASA nhắc nhở người dùng, yêu cầu tên người dùng và mật khẩu của mình. Người sử dụng gửi thông tin của mình cho ASA Cisco. Các Cisco ASA gửi yêu cầu xác thực (Access-Request) đến máy chủ RADIUS. Các máy chủ RADIUS gửi một message Access-Accept nếu người dùng là xác thực thành công hoặc một Access-Reject nếu người dùng không xác thực thành công. Cisco ASA đáp ứng cho người sử dụng và cho phép truy cập vào các dịch vụ cụ thể. Lưu ý: Các máy chủ RADIUS cũng có thể gửi các thuộc tính nhà cung cấp cụ thể cho Cisco ASA tùy thuộc vào việc thực hiện và các dịch vụ sử dụng. Những thuộc tính này có thể chứa thông tin như địa chỉ IP để gán các thông tin khách hàng và ủy quyền. RADIUS server xác thực và ủy quyền kết hợp các giai đoạn thành một yêu cầu duy nhất và chu kỳ liên kết đáp ứng. 4.2. Terminal Access Controller Access-Control System (Tacacs+) TACACS + là một giao thức bảo mật AAA cung cấp xác thực tập trung của người dùng đang cố gắng để truy cập vào NAS, giao thức TACACS + hỗ trợ cho AAA một cách linh hoạt hơn. TACACS + sử dụng cổng 49 và chạy trên nền UDP hoặc TCP. Cisco ASA sử dụng giao thức TCP để giao tiếp TACACS+ . 4.2. Định dạng TACACS và các giá trị tiêu đề Các ID TACACS định nghĩa một tiêu đề 12-byte xuất hiện trong tất cả các gói TACACS. tiêu đề này luôn luôn được gửi ở định dạng văn bản rõ ràng. 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 Major_version Minor_version Type Seq_no Flags Session_id Length Hình 3-4: Định dạng gói tin Major_version Đây là số phiên bản chính của TACACS. giá trị xuất hiện trong tiêu đề như TAC_PLUS_MAJOR_VER = 0xc. Minor_version:cung cấp số serial cho giao thức TACACS. Nó cũng cung cấp cho khả năng tương thích của giao thức. Một giá trị mặc định, cũng như phiên bản một, được định nghĩa cho một số lệnh. Những giá trị này xuất hiện trong tiêu đề TACACS như TAC_PLUS_MINOR_VER_DEFAULT = 0x0 TAC_PLUS_MINOR_VER_ONE = 0x1. Nếu một máy chủ AAA chạy TACACS nhận được một gói TACACS xác định một phiên bản nhỏ hơn khác phiên bản hiện tại, nó sẽ gửi một trạng thái lỗi trở lại và yêu cầu các minor_version với phiên bản gần nhất được hỗ trợ. Loại này phân biệt các loại gói tin. Chỉ có một số loại là hợp pháp. Các loại gói hợp pháp như sau: - TAC_PLUS_AUTHEN = 0x01 đây là loại gói nghĩa xác thực. - TAC_PLUS_AUTHOR-0x02 đây là loại gói tin mà nghĩa ủy quyền. - TAC_PLUS_ACCT = 0x03 đây là loại gói tin mà nghĩa kế toán. Seq_no : xác định số thứ tự cho các phiên làm việc. TACACS có thể khởi tạo một hoặc nhiều phiên TACACS cho mỗi khách hàng AAA. Flags:có 2 cờ +TAC_PLUS_UNENCRYPTED_FLAG :xác định mã hóa củagói TACACS. Giá trị 1 là chưa mã hóa, giá trị 0 là gói tin đã được mã hóa. +TAC_PLUS_SINGLE_CONNECT_FLAG:Xác định ghép hoặc không ghép các phiên tacacs trên một kết nối tcp. Session_id Đây là một giá trị ngẫu nhiên đó chỉ định các phiên hiện tại giữa khách hàng và máy chủ AAA chạy TACACS. Giá trị này vẫn giữ nguyên trong suốt thời gian của phiên làm việc Lengh: tổng chiều dài của gói TACACS, không bao gồm tiêu đề 12-byte. Khái niệm xác thực TACACS + cũng tương tự như RADIUS. NAS sẽ gửi một yêu cầu chứng thực với TACACS + server .Các máy chủ cuối cùng sẽ gửi bất kỳ thông điệp sau đây trở về NAS: ACCEPT - Người dùng đã được xác thực thành công và các dịch vụ yêu cầu sẽ được cho phép. Nếu như cơ chế cấp quyền được yêu cầu,tiến trình cấp quyền sẽ được thực thi. REJECT - xác thực người dùng đã bị từ chối. Người sử dụng có thể được nhắc để thử lại chứng thực tùy thuộc vào TACACS + server và NAS. ERROR - Một số lỗi xảy ra trong quá trình xác thực. Nguyên nhân gây ra lỗi có thể ở vấn đề kết nối hoặc vi phạm cơ chế bảo mật. CONTINUE - Người dùng được nhắc nhở để cung cấp thông tin xác thực hơn. Sau khi quá trình xác thực đã hoàn tất, nếu uỷ quyền được yêu cầu TACACS + server với sẽ xử lý giai đoạn kế tiếp nếu xác thực thành công. 4.3. Rsa SecurID (SID) RSA SecurID (SID) là một giải pháp bảo mật được cung cấp bởi công ty bảo mật RSA. RSA ACE/Server là thành phần quản trị của giải pháp SID. Nó cung cấp mật khẩu trong thời gian nhất định. Cisco ASA hỗ trợ xác thực SDI mà chỉ dành cho xác thực người dùng VPN. Tuy nhiên nếu SDI sử dụng một máy chủ xác thực, thì khi đó giống như dùng CiscoSecure ACS dành cho Windown NT, máy chủ đó có thể sử dụng xác thực bên ngoài đối với dịch vụ SID và proxy để đảm bảo các yêu cầu xác thực đối với tất cả các dịch được hỗ trợ bởi Cisco ASA. Cisco ASA và SDI sử dụng UDP cổng 5500 cho quá trình truyền thông.Giải pháp SDI cung cấp mật khẩu cho người dùng mỗi 60 giây theo cơ chế vòng tròn. Các mật khẩu đó được tạo ra khi người dùng nhập vào số pin và được đồng bộ hóa với máy chủ để cung cấp cơ chế xác thực. Máy chủ SDI có thể được cấu hình để yêu cầu người dùng nhập vào số bin mới khi đang xác thực. Cơ chế xác thực đó được thể hiện ở hình 3-5: 2 1 4 3 6 5 8 7 Hình 3-5: Cơ chế xác thực 1.Người dùng thực hiện kết nối với thiết bị bảo mật Cisco ASA. 2.Cisco ASA bắt đầu thực hiện cơ chế xác thực. 3.Người sử dụng cung cấp thông tin Username and Password. 4.Cisco ASA chuyển tiếp các yêu cầu xác thực đến máy chủ SDI. 5.Nếu như mã bin mới được chấp thuận,máy chủ SDI xác thực người dung và yêu cầu một Pin mới để sử dụng khi tới một phiên xác thực người dung kế tiếp. 6.Cisco ASA yêu cầu người dùng cấp một Pin mới. 7.Người dùng nhập vào Pin mới. 8.Cisco ASA gửi thông tin Pin mới đến máy chủ SDI. 4.4. Win NT Cisco ASA hỗ trợ Windown NT xác thực các kết nối truy cập từ xa VPN.Nó giao tiếp với máy chủ Windown NT sử dụng TCP cổng 139.Giống như SDI,có thể sử dụng một máy chủ Radius/Tacacs+,và cũng giống như CiscoSecure ACS có thể ủy quyền xác thực đến Windown NT cho các dịch vụ được hỗ trợ bởi Cisco ASA. 4.5. Kerberos Là một giao thức được xây dựng để nâng cao độ an toàn khi xác thực trong môi trường mạng phân tán.Cisco ASA có thể xác thực người dùng VPN thông qua các thư mục Windown bên ngoài,mà sử dụng Kerberos để xác thực.Có thể sử dụng hệ điều hành Unix hoặc Linux để chạy máy chủ xác thực Kerberos.Được hỗ trợ để xác thực các máy khách VPN.Cisco ASA giao tiếp với thư mục tích cực và,hoặc máy chủ Kerberos sử dụng UDP cổng 88. 4.6. Lightweight Directory Access Protocol (LDAP) Cisco ASA hỗ trợ giao thức LDAP ủy quyền kết nối truy cập từ xa VPN.Giao thức xác thực LDAP được đề rõ trong RFC 3377 và RFC 3771.LDAP cung cấp các dịch vụ ủy quyền khi truy cập đến cơ sở dữ liệu của người dùng với thông tin cây thư mục.Cisco ASA giao tiếp với máy chủ LDAP thông qua TCP cổng 389. LDAP chỉ cung cấp các dịch vụ ủy quyền.Vì vậy một giao thức riêng biệt nào đó cần phải xác thực dịch vụ. LDAP là một chuẩn giao thức truy cập thư mục đơn giản, hay là một ngôn ngữ để client và severs sử dụng để giao tiếp với nhau.LDAP là một giao thức “lightweight ” có nghĩa là đây là một giao thức có tính hiệu quả, đơn giản và dễ dàng để cài đặt. trong khi chúng sử dụng các hàm ở mức cao. Điều này trái ngược với giao thức “heavyweight” như là giao thức truy cập thư mục X.500 (DAP) sử dụng các phương thức mã hoá quá phức tạp. LDAP sử dụng các tập các phương thức đơn giản và là một giao thức thuộc tầng ứng dụng. Phương thức hoạt động của LDAP Mô hình LDAP client/server: Đầu tiên xem xét LDAP như là giao thức giao tiếp client/server. Giao thức client/sever: là một mô hình giao thức giữa một chương trình client chạy trên một máy tính gởi một yêu cầu qua mạng đến cho một máy tính khác đang chạy một chương trình sever (phục vụ), chương trình này nhận lấy yêu cầu và thực hiện sau đó trả lại kết quả cho chương trình client. Ý tưởng cơ bản của giao thức client/server là công việc được gán cho những máy tính đã được tối ưu hoá để làm thực hiện công việc đó.Ví dụ tiêu biểu cho một máy server LDAP có rất nhiều RAM(bô nhớ) dùng để lưu trữ nội dung các thư mục cho các thao tác thực thi nhanh và máy này cũng cần đĩa cứng và các bộ vi xử lý ở tốc độ . LDAP Là một giao thức hướng thông điệp.Do client và sever giao tiếp thông qua các thông điệp, Client tạo một thông điệp (LDAP message) chứa yêu cầu và gởi đến cho server. Server nhận được thông điệp và sử lý yêu cầu của client sau đó gởi trả cho client cũng bằng một thông điệp LDAP. Ví dụ: khi LDAP client muốn tìm kiếm trên thư mục, client tạo LDAP tìm kiếm và gởi thông điệp cho server. Sever tìm trong cơ sở dữ liệu và gởi kết quả cho client trong một thông điệp LDAP. Quá trình kết nối giữa LDAP server và client: LDAP client và server thực hiện theo các bước sau: Client mở một kết nối TCP đến LDAP server và thực hiện một thao tác bind. Thao tác bind bao gồm tên của một directory entry và uỷ nhiệm thư sẽ được sử dụng trong quá trình xác thực, uỷ nhiệm thư thông thường là pasword nhưng cũng có thể là chứng chỉ điện tử dùng để xác thực client. Sau khi thư mục có được sự xác định của thao tác bind, kết quả của thao tác bind được trả về cho client. LDAP Server LDAP Client 1. Mở kết nối và bind tới server 2. Kết quả của thao tác bind 3. Hoạt động tìm kiếm 4. Trả về kết quả 1 5. Trả về kết quả 2 6. Kết thúc phiên làm việc 7.Thao tác unbind 8. Đóng kết nối Hình 3-6: Quá trình kết nối giữa Client và Server Mô hình kết nối giữa Client / Server 1. Mở kết nối và bind tới server. 2. Client nhận kết quả bind. 3. Client phát ra các yêu cầu tìm kiếm. 4. Server thực hiện xử lý và trả về kết quả 1 cho client. 5. Server trả về kết quả 2 cho client. 6. Server gởi thông điệp kết thúc việc tìm kiếm. 7. Client phát ra yêu cầu unbind, với yêu cầu này server biết rằng client muốn huỷ bỏ kết nối. 8. Server đóng kết nối 5. Kiểm tra ứng dụng Cơ chế kiểm tra ứng dụng của Cisco sử dụng để kiểm tra độ an ninh của các ứng dụng và dịch vụ trong hệ thống. Các công cụ kiểm tra trạng thái thông tin về mỗi kết nối đi qua các interface của thiết bị an ninh và đảm bảo chúng là hợp lệ. Trạng thái ứng dụng kiểm tra xem xét không chỉ các tiêu đề gói tin mà còn lọc nội dung của gói tin thông qua tầng ứng dụng. Một số ứng dụng yêu cầu xử lý đặc biệt đối với các gói dữ liệu khi chúng đi qua thiết bị Layer 3. Bao gồm các ứng dụng và giao thức được nhúng vào địa chỉ IP trong quá trình truyền tải dữ liệu của gói tin hoặc mở ra một kênh thứ hai cho phép 6. Khả năng chịu lỗi và dự phòng (failover and redundancy) 6.1. Kiến trúc chịu lỗi Khi hai ASA được thiết lập trong chế độ failover, một trong Cisco ASA được gọi là các chủ động (active ) có trách nhiệm tạo ra trạng thái và chuyển đổi địa chỉ, chuyển giao các gói dữ liệu, và giám sát các hoạt động khác,một ASA khác gọi là chế độ chờ(standby),có trách nhiệm theo dõi tình trạng chế độ chủ động. Chế độ chủ động và chế độ chờ trao đổi thông tin chịu lỗi với nhau thông qua một đường link kết nối này được biết như là một link chịu lỗi (link failover).Khi có sự cố xảy ra trên chế độ chủ động thì chế độ chờ sẽ thực hiện vai trò của chế độ chủ động cho đến khi chế độ chủ động khôi phục lại trạng thái. Đường chịu lỗi giữa hai ASA trao đổi các thông tin: Trạng thái chủ động hoặc trạng thái chờ Trạng thái liên kết mạng Thông điệp hello Trao đổi địa chỉ MAC Cấu hình đồng bộ hóa Liên kết chịu lỗi Hình 3-7:minh họa liên kết chịu lỗi 6.2. Điều kiện kích hoạt khả năng chịu lỗi Khả năng chịu lỗi xảy ra Khi người quản trị thiết lập chuyển đổi từ chế độ chủ động sang chế độ chờ Khi ASA đang đảm nhiệm ở chế độ chờ không nhận được gói tin keepalive từ chế độ chủ động, sau hai lần không thấy liên lạc từ chế độ chủ động thì chế độ chờ xem chế độ chủ động đã bị lỗi và chuyển sang đóng vai trò như chế độ chủ động cho đến khi chế độ chủ động hoạt động trở lại. Khi một liên kết trên một cổng nhận được lệnh down . Kiểm tra trạng thái của cổng chịu lỗi Để biết được trạng thái chịu lỗi thông qua liên kết giữa chế độ chủ động và chế độ chờ trao đổi thông điệp hello cứ mỗi 15 giây.Thông diệp hello bao gồm các trạng thái hoạt động của các liên kết được cấu hình.Trước khi chuyển sang từ chế độ chờ sang chủ động ASA kiểm tra bốn trạng thái sau : Kiểm tra trạng thái up/down trên từng cổng nếu không hoạt động sẽ xủ lý quá trình chịu lỗi. Kiểm tra sự hoạt động của hệ thống nếu sau năm giây mà không nhân được bất kỳ gói tin nào sẽ chuyển sang chế độ chịu lỗi bắt đầu. Kiểm tra sự hoạt động của hệ thống bằng cách gửi gói ARP sau năm giây không nhận được tín hiệu trả lởi xem như cổng đó bị lỗi và xủ lý quá trình chịu lỗi. Kiểm tra sự hoạt động của hệ thống bằng cách ping broadcast thử nghiệm nếu sau năm giây không nhận được tín hiệu trả lởi xem như cổng đó bị lỗi và xủ lý quá trình chịu lỗi.. 6.3. Trạng thái chịu lỗi Khi kết nối được thiết lập thông qua cisco ASA ,cisco ASA sẽ cập nhật bảng kết nối.Trong mục kết nối bao gồm:địa chị nguốn,địa chỉ đích,giao thức,trạng thái kết nối,gắn với interface nào và số byte truyền. Tùy thuộc vào cấu hình failover, Cisco ASA có một trong những trạng thái sau đây: Stateless failover:Duy trì kết nối nhưng không đồng bộ với trạn thái chờ.Trong trường hợp này trạng thái hoạt động sẽ không gửi các bảng cập nhật trạng thái cho chế độ chờ.Khi trạng thái hoạt động bị lỗi thi trạng thái chờ sẽ được kích hoát và phải thiết lập lại các kết nối,tất cả các lưu lượng đều bị phá vỡ Stateful failover:Duy trì kết nối và đồng bộ với chế độ chờ . Ở trường hợp này các trạng thái kết nối đều được đồng bộ từ trạng thái hoạt động sang trạng thái chờ và khi trạng thái chờ được kích hoạt sẽ không phải thiết lập dại các bảng kết nối vì đã tồn tại trong cơ sở dữ liệu của nó. 7. Chất lượng dịch vụ (QoS) Trong một mạng IP chuẩn, tất cả các gói dữ liệu được xử lý giống nhau theo một cách tốt nhất. Các thiết bị mạng thường bỏ qua tầm quan trọng và thời gian của các dữ liệu được truyền qua mạng. Để ưu tiên cho các gói dữ liệu quan trong hay đáp ứng được thời gian thực của gói thoại và video áp dụng chính sách quản lý chất lượng dịch vụ cho từng loại gói .Có nhiều cớ chế quản lý dịch vụ khác nhau mà có sẵn trong các thiết bị của cisco như: Traffic policing Traffic prioritization Traffic shaping Traffic marking Tuy nhiên cisco ASA chỉ hỗ trợ hai loại là traffic policing,traffic prioritization 7.1. Traffic Policing Chính sách lưu lượng được biết như là sự giới hạn lưu lượng cho phép kiểm soát tốc độ tối đa đủ điều kiện để đi qua interface .Các lưu lượng nào nằm trong cấu hình qui định thì được phép thông qua và các lưu lượng vượt ngưỡng giới hạn đều bị đánh rớt hết.Trong cisco ASA khi một lưu lượng không được định nghĩa ưu tiên sẽ được xử lý thông qua đánh giá giới hạn gói tin nếu phù hợp với mức cấu hình QoS thì cho phép truyền,nếu không đủ mức cho phép gói tin sẽ chờ bổ sung hoặc điều chỉnh chính sách cho phép thấp xuống nếu phù hợp với cấu hình gói tin sẽ được đưa vào hang đợi không ưu tiên “nonpriority”. Xắp xếp ưu tiên Đánh giá giới hạn Xô interface Không phù hợp Ưu tiên Không ưu tiên Không ưu tiên Hình 3-8: Minh họa cách một gói được xử lý trong các thiết bị an ninh khi đi qua các công cụ QoS. Khi rời khỏi cơ chế QoS gói tin sẽ được chuyển đến interface cho việc chuyển đổi dữ liệu.Thiết bị an ninh thực hiện QoS cho mỗi gói mức độ khác nhau để đảm bảo cho việc truyền nhận mà nói tin không có trong danh sách ưu tiên.Quá trình xử lý gói tin dựa vào độ sâu của hàng đợi ưu tiên thấp và các điều kiện của vòng truyền.Vòng truyền sẽ có không gian bộ đệm được thiết bị an ninh sử dụng để giử các gói tin trước khi truyền chúng cho các cấp độ điều khiển.Nếu có tắc nghẽn xảy ra thì các gói tin trong hàng đợi được chuyển xuống hàng đợi ưu tiên thấp cho tới khi gói tin ở hàng đợi ưu tiên cao trống,nếu hàng đợi ưu tiên cao có lưu lượng truy cập thì sẽ được phục vụ trước.Thông qua việc giới hạn lưu lượng thiết bị an ninh thực hiện một cơ chế nhỏ giọt khi gói tin không phù hợp với thông tin cấu hình QoS.Cisco ASA ghi lai sự kiện này thông qua máy chủ lưu trữ syslog hoặc tại trên thiết bị. 7.2. Traffic Prioritization Lưu lượng ưu tiên còn được gọi là lớp dịch vụ hoặc là hàng đợi có độ trễ thấp ,được sử dụng để cung cấp cho độ ưu tiên cho gói tin quan trọng được phép truyền đi trước ,nó gán mức ưu tiên cho mỗi loại gói khác nhau có độ ưu tiên khác nhau .bất lợi cho những gói có mức ưu tiên thấp dễ bị tắc nghẽn.Trên thiết bị an ninh cisco ASA hai loại ưu tiên được hỗ trợ là “priority” và “nonpriority”.Priority có nghĩa là gói tin được ưu tiên trong lưu lượng truy cập thường xuyên, trong khi QoS nonpriority có nghĩa là các gói dữ liệu được xử lý bởi các giới hạn tốc độ, Khi giao thông được phân loại là ưu tiên, nó sẽ được nhanh chóng chuyển tiếp mà không thông qua các giới hạn về tốc độ. Giao thông sau đó được gắn cờ và chuyển vào những hàng đợi ưu tiên truyền ra ngoài khỏi thiết bị an ninh. Để đảm bảo việc chuyển tiếp lưu lượng được ưu tiên ở các interface,thiết bị an ninh sẽ đánh cờ trên mỗi hàng đợi ưu tiên và gửi chúng ra truyền trực tiếp nếu có tắc nghẽn các lưu lượng đưa vào trong hàng đợi ưu tiên cao và được truyền đi ngay khi vòng truyền sẵn sang. . 8. Phát hiện xâm nhập (IDS) Đối với an ninh, hệ thống phát hiện xâm nhập (IDS) là thiết bị cố gắng phát hiện ra kẻ tấn công truy cập trái phép vào mạng hay một máy chủ để tạo ra sự cố rớt mạng hoặc để ăn cắp thông tin. IDS cũng phát hiện tấn công DDoS, sâu, và đợt bùng phát virus. Số lượng và sự phức tạp của các mối đe dọa an ninh đã tăng vọt trong những năm gần đây. Để đạt được hiệu quả an ninh mạng chống xâm nhập rất quan trọng cần phải duy trì ở mức độ bảo vệ. Thận trọng,an toàn, tránh rủi ro và giảm chi phí thiệt hại vì sự gián đoạn của hệ thống thiết bị tường lửa asa của cisco hỗ trợ hai loại khác nhau của hệ thống phát hiện xâm nhập: Network-based intrusion detection systems (NIDS). Host-based intrusion detection systems(HIDS). 8.1. Network-based intrusion detection systems (NIDS) Đối hệ thống mạng các hệ thống phát hiện xâm nhập được thiết kế để xác định chính xác, phân loại, và bảo vệ chống lại mối đe dọa đã và chưa biết nhắm mục tiêu một hệ thống. Những mối đe dọa bao gồm sâu, tấn công DoS, và phát hiện bất kỳ lỗ hổng khác… Một số phương pháp phát hiện được triển khai rộng rãi với các đặc diểm sau: Trạng thái và ghi lại mẫu trạng thái Phân tích giao thức Phân tích dựa trên sự bình thường Phân tích dựa trên sự bất thường Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn. NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công hay không. Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng mạng hoạt động ở mức cao. 8.1.1. Lợi thế của Network-Based IDSs Quản lý được cả một network segment (gồm nhiều host) "Trong suốt" với người sử dụng lẫn kẻ tấn công - Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng - Tránh DOS ảnh hưởng tới một host nào đó. - Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI) - Độc lập với OS 8.1.2. Hạn chế của Network-Based IDSs Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có intrusion. Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…) NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống có thể đã bị tổn hại. Không cho biết việc attack có thành công hay không. Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để bảo đảm truyền thông và bảo mật tốt nhất. Một cách mà các kẻ xâm nhập cố gắng nhằm che đậy cho hoạt động của họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phân mảnh chồng chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác. 8.2. Host-based intrusion detection systems (HIDS) Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử sổ sách (audit log) và những thông điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là, hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bị tấn công (compromised host). Không phải tất cả các cuộc tấn công được thực hiện qua mạng. Bằng cách giành quyền truy cập ở mức vật lý (physical access) vào một hệ thống máy tính, kẻ xâm nhập có thể tấn công một hệ thống hay dữ liệu mà không cần phải tạo ra bất cứ lưu lượng mạng (network traffic) nào cả. Hệ thống dựa trên máy chủ có thể phát hiện các cuộc tấn công mà không đi qua đường công cộng hay mạng được theo dõi, hay thực hiện từ cổng điều khiển (console), nhưng với một kẻ xâm nhập có hiểu biết, có kiến thức về hệ IDS thì hắn có thể nhanh chóng tắt tất cả các phần mềm phát hiện khi đã có quyền truy cập vật lý. Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên host có thể giám sát chuyện này. HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host xung yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầu tiên. Nhiêm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm (not all): - Các tiến trình. - Các mục của Registry. - Mức độ sử dụng CPU. - Kiểm tra tính toàn vẹn và truy cập trên hệ thống file. - Một vài thông số khác. Các thông số này khi vượt qua một ngưỡng định trước hoặc những thay đổi khả nghi trên hệ thống file sẽ gây ra báo động. 8.2.1. Lợi thế của HIDS - Có khả năng xác đinh user liên quan tới một sự kiện (event). - HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy, NIDS không có khả năng này. - Có thể phân tích các dữ liệu mã hoá. - Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này. 8.2.2. Hạn chế của HIDS - Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào asa thành công. - Khi tường lửa asa bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ". - HIDS phải được thiết lập trên từng host cần giám sát . - HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…). - HIDS cần tài nguyên trên host để hoạt động. - HIDS có thể không hiệu quả khi bị DOS. IV. Mô phỏng 1. Mục tiêu của mô phỏng Mô phỏng giúp thấy được tính năng và thấy rõ được nguyên lý hoạt động củng như các bước cấu hình AAA server . Thực hiện tính năng remote từ xa thông qua vpn trên ASA chứng thực với giao thức Radius. 2. Mô hình mô phỏng 3. Các công cụ cần thiết để thực hiện mô phỏng Hệ diều hành window xp và window 2003 server cài AD. Phần mềm giả lập GNS3.Fidder Tool ASDM,VPN client của cisco. Máy PC phải cài gói java để hộ trợ cho ASDM. Cài phần mềm ACS 4.2 4. Các bước mô phỏng Chạy phần mềm ACS 4.2 Chọn “Network Configuration” bên trái , bấm vào “Add Entry” trong phần aaa client. Tạo thêm aaa server Chọn menu “interface configuration”=>Adcance options Đánh dấu vào 2 mục Chọn menu “share profile components”=>Downloadable IP ACLs Định nghĩa cho phép khách vpn tới mạng lan bên trong Tạo một acl cho phép khách truy cập hệ thống Tạo ra group :vpnclientgroup và cho phép group tải acl đã định nghĩa Tạo user và cho phép user tải acl đã định nghĩa. User có thể tạo mới hoặc lấy ở trong database window Chọn finish. Vào user=dial-in chọn allow. Cấu hình trên ASA cho phép vpn chứng thức với AAA(Radius) Server. Bước 1:Đặt dãy ip cho phép người dung từ xa kết nối vào hệ thống ip local pool mypool 172.16.1.100-172.16.1.200 mask 255.255.255.0 ! Bước 2: Tạo một ACL cho phép dãy ip người dùng từ xa kết nối vào hệ thống access-list vpnclientgroup standard permit 192.168.1.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.1.0 255.255.255.0 172.16.1.0 255.255.255.0 nat (inside) 0 access-list inside_nat0_outbound Bước 3: Thiết lập chứng thực user group tại máy chủ bên trong aaa-server vpnclientgroup protocol radius aaa-server vpnclientgroup host 192.168.1.2 key 123456 Bước 4:Thiết lập chính sách đối với người dùng từ xa group-policy vpnclientgroup internal group-policy vpnclientgroup attributes dns-server value 192.168.1.2 vpn-tunnel-protocol IPSec split-tunnel-policy tunnelspecified split-tunnel-network-list value vpnclientgroup default-domain value da.com Bước 5:Tạo một đường hầm cho phép kết nối với chính sách dành cho người dùng và phương thức chứng thực và khóa chia sẽ tunnel-group vpnclientgroup type ipsec-ra tunnel-group vpnclientgroup general-attributes address-pool mypool authentication-server-group vpnclientgroup default-group-policy vpnclientgroup tunnel-group vpnclientgroup ipsec-attributes pre-shared-key 123456 Bước 6: Xác định phương thức mã hóa và chứng thực chuyển đổi dữ liệu được mã hóa và chứng thực thông qua đường truyền crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto dynamic-map outside_dyn_map 20 set pfs crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map crypto map outside_map interface outside crypto isakmp enable outside crypto isakmp policy 10 authentication pre-share encryption 3des hash sha group 2 lifetime 86400 Cấu hình máy khách Tiếp theo cấu hình khách remote access tới ASA vào truy cập máy chủ web,ftp trong nội bộ . Mở phần mền Ugent VPN của cisco và điền thông tin group và pre share key để kết nối Hiện lên thông báo yều cấu cung cấp username và password truy cập vào mạng nội bộ Mở wireshark lên bắt gói radius Mở ACS vào menu “reports and activity” chọn Radius accouting để xem 5. Kết quả đạt được Thông qua quá trình mô phỏng hiểu rõ hơn về quá trình xác thực radius giống như mô tả trong lý thuyết. Nắm rõ về hoạt động củng như các tính năng của tường lửa cisco asa. Giả lập được firewall asa trên nền gns3. Quản lý giám sát được người dùng truy cập vào hệ thống thông qua cơ chế vpn. Đáp ứng an toàn thông tin dữ liệu dưới vụ bảo vệ của firewall với các cơ chế mã hóa,xác thực,quyền hạn truy cập. V.KẾT LUẬN CHUNG Radius là một giao thức chứng thực người dùng đầu cuối nhằm đảm bảo cho sự an toàn thông tin tuy nhiên nó vẫn chưa phải là một giao thức hoàn hảo với một số lổ hỏng sau: Cho phép kẽ tấn công thỏa hiệp giao dịch Thuật toán mã hóa user/password không an toàn Có thể bị tấn công theo cách yêu càu chứng thực gói tin Radius. Lặp đi lặp lại yêu cầu xác thực và thuộc tính người dùng-mật khẩu Chia sẽ khóa bí mật. Tường lửa cisco asa là một thiết bị để đảm bảo an toàn thông tin ,bảo mật hệ thống tuy nhiên vẫn còn mắc phải một số hổ hỏng ,không có gì là an toàn tuyệt đối tuy nhiên để khắc phục hạn chế rủi ro nên thường xuyên cập nhật các bản vá lỗi củng như các phiên bản mới từ trang chủ cisco. Do thời gian hạn hẹp và nguồn nhân lực có hạn nên đề tài không tránh khỏi thiếu sót mong là trong thời gian tới sẽ khắc phục để đồ án được hoàn chỉnh hơn. VI.HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Tiếp nhận ý kiến của giáo viên hướng dẩn ,hội đồng phản biện và các ý kiến của bạn bè để bổ sung chỉnh sửa khắc lại đồ án những chỗ chưa hay ,sai sót hoặc phát huy thế mạnh của đồ án Tìm hiểu và triển khai phương thức xác thực an toàn hơn. Cập nhật khắc phục lỗi của tường lửa cisco asa. Tiếp cận môi trường thực tế,hiện thực mô phỏng trên môi trường thiết bị thật. Triển khai mô hình mạng hoàn chỉnh và thực tế đáp ứng nhu cầu của công ty doanh nghiệp. Tài liệu tham khảo: RFC 2865: Remote Authentication Dial In User Service (RADIUS) Link: RFC 2866: RADIUS Accounting Link: Firewall Fundamentals by Wes Noonan, Ido Dubrawsky Publisher: Cisco Press - 2/6/2006 RADIUS by Jonathan Hassell Publisher: O’Reilly – 10/2002 Cisco ASA and PIX Firewall Handbook by Dave Hucaby Publisher: Cisco Press – 7/1/2005 Cisco ASA: All-in-one Firewall, IPS and VPN Adaptive Security Appliance by Jazib Frahim, Omar Santos Publisher: Cisco Press – 21/10/2005 Cisco ASA: All-in-one Firewall, IPS, Anti-X and VPN Adaptive Security Appliance (Second Edition) by Jazib Frahim, Omar Santos Publisher: Cisco Press – 21/10/2005 Cisco Access Control Security: AAA Administrative Services by Brandon Carroll Publisher: Cisco Press – 27/5/2004