Tìm hiểu về cisco pix firewall và giới thiệu một số fire cứng, cách cài đặt và câu lệnh

từng loại dịch vụ riêng rẽ trên mạng ví dụ như Telnet, Mail, FPT…. Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạng của mình thông qua tường lửa thì chúng ta nhất thiết phải thêm vào proxy cho loại dịch vụ đó. Vì vậy nếu trên mạng bên ngoài có thêm một dich vụ mới nào đó thì người quản trị tường lửa phải xây dựng chính sách đại diện thích hợp với dịch vụ đó. Có hai nguyên tắc để tạo ra chính sách đại diện mặc định ở đây đó là hoăc từ chối tất cả những thứ không được đại diện, hoặc là chấp nhận tất cả những dịch vụ không có dịch vụ đại diện trên tường lửa. Nhưng cả hai cách này dều gây ra những nguy cơ an ninh và bất tiện mới cho hệ thống mạng bên trong tường lửa. 3. Kĩ thuật kiểm tra trạng thái (Stateful packet filtering) Một trong những vấn đề với proxy server là nó phải đánh giá một lượng lớn thông tin trong một lượng lớn các gói dữ liệu. Ngoài ra, phải cài đặt từng proxy cho mỗi ứng dụng. Điều này ảnh hưởng đến hiệu suất và làm tăng chi phí. Với kỹ thuật kiểm tra trạng thái, các mẫu bit của gói dữ liệu được so sánh với các gói “tin cậy” đã biết. Ví dụ, nếu bạn truy cập một dịch vụ bên ngoài, proxy server sẽ nhớ mọi thứ về yêu cầu ban đầu, như số hiệu cổng, địa chỉ nguồn và đích. Cách “nhớ” này được gọi là lưu trạng thái. Khi hệ thống bên ngoài phản hồi yêu cầu của bạn, firewall server so sánh các gói nhận được với trạng thái đã lưu để xác định chúng được phép vào hay không. Vào thời điểm mà kết nối TCP hoặc UDP được thiết lập theo hướng đi vào hay đi ra khỏi mạng thì thông tin được đưa vào 1 bảng gọi là bảng “stateful session flow table”. Bảng này còn được gọi là bảng trạng thái, nó bao gồm những thông tin về địa chỉ nguồn, địa chỉ đích, địa chỉ cổng, thông tin về số hiệu gói tin TCP và cờ dấu thêm vào mỗi kết nối TCP hay UDP, các kết nối này đều liên kết với 1 phiên nào đó. Thông tin này tạo ra các đối tượng kết nối và do đó các gói tin đi vào hoặc đi ra được so sánh với các phiên trong “bảng phiên có trạng thái”. Dữ liệu chỉ được phép đi qua firewall nếu đã tồn tại một kết nối tương ứng xác nhận sự luân chuyển đó. 4. Firewall pháo đài phòng ngự (BASTION HOST FIREWALL ) Là một trạm được cấu hình để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào. Đây là điểm giao tiếp trực tiếp với mạng không tin cậy bên ngoài do đó dễ bị tấn công nhất. Có hai dạng của máy phòng thủ Pháo đài phòng ngự 4.1. Dạng thứ nhất là máy phòng thủ có hai card mạng Trong đó có một nối với hệ thống bên trong ( mạng nội bộ ) và card còn lại nối với bên ngoài mạng Internet. Đây là dạng tường lửa có từ rất sớm, nó yêu cầu người sử dụng bên trong phải kết nối với tường lửa trước khi làm việc với mạng bên ngoài. Với giải pháp này tường lửa đã cô lập được mạng bên trong với mạng bên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạng bên ngoài. 4.2. Dạng thứ hai là máy phòng thủ có một card mạng Nó được nối trực tiếp đến một hệ riêng biệt trên mạng – proxy server hay gateway mức úng dụng. Gateway này cung cấp điều khiển vào ra. Bộ định tuyến (rounter) có nhiều chức năng trong cấu hình này. Nó không chỉ định hướng các gói đến hệ nội bộ, mà còn cho phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối. Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ với Internet. Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu như bastion host bị đánh sập. II. Nguyên tắc hoạt động của Firewall 2.1. Cơ chế lọc gói tin (packet filtering) Cơ chế lọc gói tin của firewall cứng như dòng ASA, PIX của CISCO dựa trên hoạt động của Access Control List (ACL) hay còn gọi là danh sách điều khiển truy nhập. Vậy nguyên tắc hoạt động của ACL như thế nào. ACL định nghĩa ra các luật được sử dụng để ngăn chặn các gói tin lưu thông trên mạng. Một ACL là tập hợp của nhiều câu lệnh (statements) liên tiếp dùng để so sánh với các thông tin điều khiển trong trường header của gói tin IP, thông qua đó mà thiết bi firewall thực hiện một trong 2 hành vi là chặn gói tin lại hoặc cho phép đi qua. Danh sách điều khiển truy nhập IP (IP access control lists) khiến bộ định tuyến hủy bỏ những gói tin dựa trên những tiêu chí đặt ra của người quản trị mạng. Mục đích là để ngăn chặn những lưu lượng không được phép lưu thông trên mạng đó có thể là ngăn chặn kẻ phá hoại tấn công vào mạng nội bộ của công ty hay chỉ đơn giản là người sử dụng truy nhập vào tài nguyên hệ thống mà họ không nên và không được phép vào. ACL luôn đóng vai trò quan trọng trong chiến lược kiểm soát an ninh của công ty. 2.2. Một số đặc điểm ACL: Gói tin có thể bị lọc khi chúng đi vào hoặc đi vào một cổng, trước khi được định tuyến. Gói tin có thể bị lọc khi chúng đi ra khỏi một cổng, sau khi được định tuyến. Từ chối (Deny) là một thuật ngữ dùng để nói rằng gói tin bị chặn lại hay bị lọc (filtered), còn cho phép (Permit) thì có nghĩa là gói tin không bị lọc mà được phép đi qua. Các logic lọc hay thứ tự của các luật lọc được cấu hình trong các danh sách điều khiển truy nhập (ACLs). Kết thúc mỗi ACL nếu các lưu lượng đi qua không thỏa mãn một điều kiện nào trong các logic của ACL thì tất cả sẽ bị từ chối tức là sẽ không được phép đi qua cổng đó. 2.3. Phân loại ACL Có 2 loại ACL cơ bản: danh sách điều khiển truy nhập cơ bản và danh sách điều khiển truy nhập mở rộng (Standard ACL và Extended ACL). Standard ACL có cấu trúc đơn giản dễ thực hiện trong khi đó Extended ACL có cấu trúc phức tạp và khó thực hiện hơn. 2.3.1. Danh sách điều khiển truy nhập cơ bản (Standard IP Access Control Lists) Chỉ có ngăn chặn gói tin dựa trên thông tin về địa chỉ IP đích (IP source address) trong trường header của gói tin IP. Hoạt động của standard ACL như sau, giả sử là ACL được đặt trên Router 1 với cổng vào của lưu lượng là cổng S1 còn cổng ra là cổng E0. Hoạt động của Standard ACL 1. Khi gói tin IP vào cổng S1, địa chỉ IP nguồn của gói tin đó sẽ được so sánh với các luật đặt ra trong câu lệnh ACL, liệu rằng ứng với địa chỉ nguồn đó thì gói tin sẽ được phép đi qua hay chặn lại. 2. Nếu có một gói tin nào đó thỏa mãn (phù hợp) điều kiện của một cây lệnh được định nghĩa trong ACL, thì gói tin sẽ được cho phép đi qua hoặc bị chặn lại. 3. Nếu không có một sự phù hợp nào xảy ra ở bước 2 thì, lại quay trở lại bước 1 và 2 cho đến khi tìm được một điều kiện thỏa mãn. 4. Nếu kiểm tra xong với tất cả các câu lệnh mà vẫn không thỏa mãn với một điều kiện nào thì gói tin đó sẽ bị từ chối (deny). 2.3.2. Danh sách điều khiển truy nhập mở rộng (Extended IP Access Control Lists) Extended ACL vừa có những điểm tương tự vừa khác so với Standard ACL. Cũng như Standard ACL, bạn có thể cho phép áp đặt Extended ACL lên cổng theo chiều đi vào hoặc đi ra của gói tin. IOS của firewall cũng so sánh gói tin với các lệnh theo thứ tự lần lượt của các câu lệnh đó. Nếu câu lệnh đầu tiên mà thỏa mãn thì nó sẽ dừng việc so sánh với các lệnh còn lại ở trong list và xác định ngay hành động cần tiến hành với gói tin đó. Tất cả các tính năng này cũng đều giống với cách xử sự của Standard ACL. Điểm khác nhau chủ yếu giữa 2 loại này là extended ACL có thể sử dụng nhiều thông tin điều khiển trong trường header để so sánh hơn là standard ACL. Standard ACL chỉ kiểm tra được địa chỉ IP nguồn thì Extended còn sử dụng được thêm cả địa chỉ IP đích, địa chỉ cổng, loại ứng dụng, địa chỉ MAC, loại giao thức…Điều này làm cho Extended ACL có thể kiểm tra và lọc được nhiều lưu lượng với độ chính xác và an toàn cao hơn. Tuy nhiên nó cũng khó thực hiện hơn vì phức tạp hơn Standard ACL rất nhiều. 2.3.3. So sánh giữa standard ACL và extended ACL Loại ACL Các tham số có thể so sánh Standard ACL và Extandard ACL Địa chỉ IP nguồn Phần địa chỉ IP nguồn sử dụng wildcard mark chỉ ra địa chỉ mạng nguồn. Extandard ACL Phần địa chỉ IP đích sử dụng wildcard mark chỉ ra địa chỉ mạng đích Loại giao thức (TCP, UDP, ICMP, IGRP, IGMP, và các giao thức khác) Cổng nguồn Cổng đích All TCP flows except the first IP TOS IP precedence (quyền ưu tiên) 2.4. Ứng dụng ACL Các phần mềm IOS trong các thiết bị định tuyến hay firewall cứng áp đặt các logic lọc của ACL khi các gói tin đi vào hoặc đi ra một cổng nào đó trên thiết bị đó. Hay nói cách khác, IOS liên kết một IOS với một cổng và dành riêng cho những lưu lượng vào hay ra trên cổng đó. Sau khi chọn được bộ định tuyến hay firewall mà ta muốn đặt ACL tiếp đó phải chọn cổng, cũng như chiều các gói tin đi ra hay đi vào cổng để áp logic lọc vào đó. Di chuyển của gói tin giữa các vùng có độ an toàn khác nhau Cấu hình mặc định của các thiết bị firewall là đối với cổng có chiều đi vào thì mức an toàn là 100 (đó là mức an toàn cao nhất), còn cổng có chiều đi ra thì mức an toàn là 0 (mức an toàn kém nhất ). Không có gì an toàn bằng mạng nội bộ và cũng không có gì kém an toàn hơn là mạng phía ngoài. Sau khi cấu hình cơ chế phiên dịch địa chỉ, thì mặc định tất cả các giao tiếp theo hướng đi ra còn theo chiều từ nơi có mức an toàn hơn ra đến nơi có mức an toàn kém hơn còn tất cả các lưu lượng từ nơi có mức an toàn kém hơn đi đến nơi có mức an toàn cao hơn thì đều bị cấm. Quy tắc xử sự của ACL dựa trên một cổng theo 1 chiều, tức là ứng với một cổng theo chiều đi ra hoặc đi vào thì áp được 1 ACL. ACL trên cổng cho phép hoặc từ chối gói tin khởi tạo theo chiều đi vào hay đi ra trên cổng đó. ACL chỉ cần mô tả gói tin khởi tạo của ứng dụng; không cần biết đến các gói tin quay trở lại của ứng dụng đó, điều này dựa trên cơ sỏ của cơ chế bắt tay 3 bước. Nếu không có một ACL nào được áp lên một cổng của firewall thì ở cổng đó sẽ áp dụng chính sách mặc định là: Các gói tin đi ra được cho phép Các gói tin đi vào bị cấm ACL sử dụng câu lệnh “ access-list” để cho phép hoặc chặn lưu lượng trên mạng. Sau đây là những quy tắc để thiết kế và thực hiện các ACL Khi lưu lượng đi từ vùng có độ an toàn cao hơn sang vùng có độ an toàn thấp hơn thì: ACL được dùng để ngăn chặn lưu lượng có chiều đi ra (outbound traffic) Địa chỉ nguồn dùng để so sánh của ACL phải là địa chỉ thực của 1 máy trạm ở trên mạng Khi đi từ nơi có mức an toàn thấp hơn sang nơi có mức an toàn cao hơn thì: ACL sẽ chặn các lưu thông có chiều đi vào (inbound traffic) Địa chỉ đích dùng để so sánh của câu lệnh ACL phải là địa chỉ được phiên dịch thành địa chỉ IP global tức là địa chỉ có thể sử dụng trên mạng trên Internet. Có một điều lưu ý là: ACL luôn luôn được kiểm tra trước khi thực hiện quá trình phiên dịch địa chỉ trên các thiết bị firewall. Chức năng phân vùng của firewall Hoạt động của lưu lượng HTTP đi vào vùng đệm DMZ Trên hình vẽ người quản trị mạng cần cho phép người sử dụng trên mạng Internet truy cập vào các máy chủ Web công cộng của công ty. Máy chủ Web đó được đặt trên vùng DMZ được ngăn cách với các vùng còn lại trên mạng cục bộ bởi firewall. Theo cấu hình mặc định thì tất cả các truy nhập từ Internet vào các máy chủ trên vùng này đều bị từ chối. Để cấp quyền truy nhập cho người sử dụng trên Internet, người quản trị phải thực hiện 1 số bước sau: Cấu hình phiên dịch địa chỉ tĩnh cho các máy chủ Web, theo cách này thì địa chỉ thật của các máy chủ Web sẽ không bị nhìn thấy từ phía người sử dụng trên Internet. Cấu hình một ACL theo hướng đi vào để cho nó cấp quyền truy nhập vào các máy trạm hay các giao thức nào đó của mạng nội bộ. Áp ACL lên các cổng thích hợp Cơ chế phiên dịch địa chỉ NAT (Network Address Translation) Ra đời vào năm 1994, NAT đã trở thành một kĩ thuật phổ biến để tiết kiệm địa chỉ cho các trụ sở văn phòng và cũng là cách để dấu đi topo mạng của mình khi nhìn từ Internet. Francis and Egevang đã đưa ra một số khuyến nghị sử dụng về NAT (Request For Comments about NAT) . Ngày nay NAT là công cụ chủ đạo để làm dịu đi sự thiếu thốn địa chỉ IP trên mạng Internet. Thông thường thì mạng nội bộ sử dụng các nhóm địa chỉ IP được định nghĩa trong RFC 1918. Vì các địa chỉ này được chỉ định dùng cho mục đích nội bộ hay là các địa chỉ dùng riêng, NAT được đặt ra để thỏa mãn nhu cầu kết nối trên Internet. Đôi lúc NAT được dùng để dành các địa chỉ nội bộ cho doanh nghiệp ví dụ để phòng khi thay đổi nhà cung cấp Internet. NAT cho phép ngăn chặn các mạng phía bên ngoài không học được địa chỉ IP trong mạng nội bộ nằm ở phía sau firewall. NAT làm được điều này bằng cách phiên dịch những địa chỉ IP không có duy nhất trên mạng Internet (địa chỉ IP cục bộ ) thành các địa chỉ duy nhất (địa chỉ Global) được chấp nhận trên Internet trước khi các gói tin được chuyển ra mạng phía bên ngoài. Quá trình phiên dich địa chỉ Khi một gói tin IP được gửi từ một thiết bị ở mạng bên trong đi ra phía ngoài thì nó sẽ phải đi qua firewall được cấu hình để phiên dịch địa chỉ NAT. Nếu như địa chỉ của thiết bị không có sẵn trong bảng thì nó sẽ được phiên dịch. Một bản ghi mới sẽ được tạo ra cho thiết bị này và nó được gán một địa chỉ IP nằm trong 1 dải địa chỉ IP được ánh xạ (gọi là Pool). Pool địa chỉ ánh xạ này là những địa chỉ global. Sau khi quá trình phiên dịch diễn ra thì bảng chuyển đổi địa chỉ sẽ được cập nhật và các gói tin IP được chuyển đổi địa chỉ sẽ được chuyển đi. Trong suốt khoảng thời gian chờ cho phép thường mặc định là 3 giờ (userconfigurable timeout period) mà không có có gói tin nào được phiên dịch cho địa chỉ IP đó thì bản ghi đó sẽ bị xóa đi khỏi bảng và địa chỉ dùng để ánh xạ sẽ lại được để trống chờ cho một thiết bị nào đó từ phía trong đi ra ngoài. Trong hình vẽ host 10.0.0.11 khởi tạo kết nối ra bên ngoài. Firewall phiên dịch địa chỉ nguồn thành 192.168.0.20. Các gói tin từ host 10.0.0.11 được từ phía ngoài vào với địa chỉ nguồn là 192.168.0.20. các gói tin trả lời lại host đó từ máy chủ phía bên ngoài tại địa chỉ 192.168.10.11 được đánh địa chỉ ánh xạ là 192.168.0.20. III. Hạn chế cửa Firewall cứng Firewall không thể làm được những gì ? Firewall có thể mang lại sự bảo vệ chống lại các mối đe dọa từ mạng bên ngoài nhưng Firewall không phải là 1 biện pháp an ninh toàn diện, 1 số các mối đe dọa nằm ngoài tầm kiểm soát của Firewall . Do đó ta cần tìm ra các biện pháp để chống lại các mối đe dọa đó bằng cách kết hợp với an ninh mức vật lý , an ninh máy chủ cũng như sự giáo dục người dùng vào cùng 1 chính sách an ninh chung. Hạn chế so với Firewall mềm: Không được linh hoạt như Firewall mềm: vì hầu như các firewall cứng đều hướng theo xu hướng tích hợp tất cả trong một ( ví dụ : không thể thêm quy tắc hay chức năng ngoài những chức năng đã được tích hợp sẵn.. ) đối với những firewall cứng trước kia. Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network và tầng Transport còn firewall mềm ở tầng Ứng dụng). Firewall cứng không thể kiểm tra được nột dung của gói tin như firewall mềm. Giá thành thiết bị, lắp đặt firewall cứng cao hơn nhiều so với firewall mềm Firewall cứng được tích hợp trực tiếp lên phần cứng ( như : Router Cisco, Check point, Planet, Juniper….). nó vẫn có thể bị hỏng, lỗi phần cứng làm treo firewall. Hạn chế khác: + Firewall không thể chống lại các mối nguy hại đã xâm nhập vào bên trong - Một Firewall có thể kiểm soát các thông tin bí mật mà 1 user gửi ra khỏi mạng nội bộ đi qua 1 kết nối mạng. Tuy nhiên user vẫn có thể copy dữ liệu vào đĩa, băng hay ra giấy và mang nó đi mà Firewall không thể ngăn cản . - Nếu như kẻ tấn công đã ở bên trong Firewall rồi thì có thể Firewall hầu như không thể làm gì được nữa .Các user bên trong có thể ăn cắp dữ liệu, phá hủy phần cứng, phần mềm hay thay đổi các chương trình mà không cần tiếp cận Firewall . - Các mối đe dọa ở nội bộ đòi hỏi các biện pháp an ninh nội bộ như an ninh máy chủ hay việc giáo dục đối với người dùng . + Firewall không thể chống lại các kết nối mà không đi qua nó . - Một Firewall có thể kiểm soát hiệu quả các lưu lượng đi qua nó tuy nhiên , Firewall không thể làm gì được nếu như lưu lượng đó không đi qua nó. Ví dụ , điều gì sẽ xảy ra nếu như 1 site cho phép sự truy nhập quay số (qua đường điện thoại) vào 1 hệ thống đằng sau Firewall .Firewall hoàn toàn không có cách nào ngăn cản sự xâm nhập qua 1 modem như vậy. - Đôi khi các chuyên gia kỹ thuật quản trị hệ thống mở ra những cửa hậu (BackDoor) vào trong mạng ( như là 1 kết nối qua modem dạng quay số ) tạm thời hay cố định . Firewall không thể làm gì trong trường hợp này. Đó là 1 vấn đề về quản lý nhân sự chứ không phải là 1 vấn đề kỹ thuật . + Firewall khó có thể chống lại các mối đe dọa kiểu mới - Firewall được thiết kế để bảo vệ lại các mối đe dọa đã biết . Một Firewall được thiết kế tốt có thể chống lại mối đe dọa mới. Ví dụ, bằng cách từ chối tất cả trừ 1 vài dịch vụ tin cậy, Firewall sẽ ngăn chặn mọi người thiết lập các dịch vụ mới không an toàn. - Tuy nhiên, không có Firewall nào có thể tự động bảo vệ để chống lại các mối nguy hại mới nảy sinh. Các kẻ tấn công sẽ tìm ra các cách thức tấn công mới, có thể sử dụng các dịch vụ tin cậy trước đó hay sử dụng các cách tấn công chưa từng có trước đó. Do đó không thể thiết lập Firewall 1 lần và hy rằng nó có thể bảo vệ ta mãi mãi . + Firewall khó có thể bảo vệ ta chống lại các loại virus - Firewall không thể giữ cho mạng khỏi tầm ảnh hưởng của virus . Mặc dù nhiều loại Firewall quét tất cả các lưu lượng đến để quyết định xem nó có được phép đi vào mạng nội bộ hay không . Nhưng việc quét này chủ yếu là đối với các địa chỉ đích , địa chỉ nguồn và số cổng chứ phải là nội dung của dữ liệu .Thậm chí với các phần mềm lọc gói và proxy phức tạp , việc bảo vệ chống lại virus tại Firewall là không thực tế lắm . Đơn giản là có nhiều loại virus và cũng có quá nhiều cách để virus có thể giấu mình trong dữ liệu .Việc phát hiện virus trong 1 gói dữ liệu ngẫu nhiên đi qua Firewall là rất khó . Nó đòi hỏi : Nhận dạng packet như là 1 phần của dữ liệu Xác định chương trình virus đó như thế nào . Xác định xem có sự thay đổi nào khi có virus. - Thậm chí ngay cả cái điều thứ nhất đã là 1 thử thách. Hầu hết những máy mà Firewall bảo vệ , mỗi máy có 1 loại định dạng khác nhau. Hơn nữa hầu hết các chương trình được đóng gói cho việc vận chuyển cững như được nén lại. Các Packet được chuyển qua email hoặc Usenet news cũng như được mã hóa dưới dạng ký tự ASCII theo nhiều cách khác nhau . - Với tất cả các lý do đó User có thể mang virus qua Firewall mà không cần để ý đến Firewall như thế nào . - Phương pháp thực tế nhất để giải quyết vấn đề virus là sử dụng phần mềm bảo vệ chống lại virus dựa trên máy chủ , và việc giáo dục người dùng liên qua tới các mối nguy hiểm của virus và sự đề phòng chúng. Chương IV : MÔ HÌNH VÀ ỨNG DỤNG CỦA FIREWALL 1. Một số mô hình Firewall thông dụng. 1.1. Packet filtering: Chức năng: Packet filtering là một hệ thống thực hiện chức năng như một router, chuyển các gói tin (IP packet) giữa mạng nội bộ và Internet. Khác với một router thông thường, hệ thống đảm nhiệm chức năng packet filtering chuyển các gói tin một cách chọn lọc dựa vào các thông tin : địa chỉ của máy nguồn, địa chỉ của máy đích, thủ tục truyền (TCP, UDP, ICMP . . . ) và dịch vụ - được xác định qua cổng (port) nguồn và cổng đích mà kết nối giữa hai máy yêu cầu. Dựa vào các thông tin này, hệ packet filtering có thể cho phép người điều hành mạng thể hiện các yêu cầu về bảo vệ có dạng: "Không" cho phép máy tính A sử dụng dịch vụ S tại máy tính B. Sơ đồ làm việc của Packet Filtering Ưu điểm của Packet Filtering: Cài đặt và vận hành một hệ thống làm nhiệm vụ Packet Filtering tương đối đơn giản, tốc độ làm việc cao, có thể dễ dàng thích ứng với các dịch vụ mới được đưa ra trong tương lai. Cho phép các thao tác bảo vệ mạng nội bộ diễn ra một cách trong suốt đối với các ứng dụng và ngươì sử dụng máy. Các router thông thường có sẵn khả năng Packet Filtering được bán rộng rãi trên thị trường. Nhược điểm của Packet Filtering: Xác định các dịch vụ thông qua địa chỉ cổng nguồn và đích. Các địa chỉ này được sử dụng theo thói quen chứ không được quy định một cách chuẩn tắc. Do đó một máy tính có thể qui định một địa chỉ cổng cho một dịch vụ nào đó khác với địa chỉ truyền thông và làm vô hiệu hoá Packet Filtering. Nhược điểm của một số hệ Packet Filtering là coi các cổng ở địa chỉ thấp (nhỏ hơn 1024 hoặc nhỏ hơn 900) là các cổng của máy chủ (Server) và cho phép các packet đi từ các cổng này vào mạng nội bộ một cách tự do. Sự lựa chọn ngầm định này sẽ trở nên nguy hiểm khi một hacker thiết đặt lại máy tính của mình để các chương trình client sử dụng địa chỉ thấp, bằng cách đó vượt qua sự kiểm soát của Packet Filtering. Cho phép các dịch vụ có những điểm yếu về mặt bảo mật đi qua. Một ví dụ điển hình là dịch vụ thư điện tử (Email) thông qua thủ tục SMTP. SMTP thực hiện nhiệm vụ là chuyển thư từ máy này đến máy khác, tuy nhiên trong quá trình này chương trình phân phối thư được thực hiện với quyền của người quản trị máy (root privilege). Dựa vào lỗ hổng trong chương trình chuyển nhận thư, virus Internet có thể làm tê liệt hệ thống mạng. Không kiểm soát được người sử dụng máy. Do vậy, nếu một máy được coi là "an toàn" bị truy nhập bất hợp pháp, nó sẽ là xuất phát điểm rất tốt để vượt qua hệ thống Packet Filtering. Việc giả mạo địa chỉ IP để đánh lừa hệ thống Packet Filtering có thể thực hiện được. Địa chỉ IP được gán một cách đơn giản, không mang yếu tố xác thực, do đó không thể dựa vào nó để đưa ra những quyết định ảnh hưởng tới sự an toàn của hệ thống mạng được. 1.2. Dual-homed host: Dual-homed host là hình thức xuất hiện đầu tiên trong cuộc đấu để bảo vệ mạng nội bộ. Dual-homed host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với mạng ngoài (Internet). Hệ điều hành của Dual-homed host được sửa đổi để chức năng chuyển các gói tin (packet forwarding) giữa hai giao tiếp mạng này không hoạt động. Để làm việc được với một máy trên Internet, người dùng ở mạng cục bộ trước hết phải login vào Dual-homed host, và từ đó bắt đầu phiên làm việc. Sơ đồ làm việc của Dual-homed host Ưu điểm của Dual-homed host: Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt. Dual-homed host chỉ yêu cầu cấm khả năng chuyển các gói tin, do vậy, thông thường trên các hệ Unix, chỉ cần cấu hình và dịch lại nhân (Kernel) của hệ điều hành là đủ. Nhược điểm của Dual-homed host: Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp, cũng như những hệ phần mềm mới được tung ra thị trường. Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual-homed host đã bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ. 1.3. Demilitarized Zone (Screened-subnet Firewall). Chức năng: Hệ thống này bao gồm hai packet-filtering router và một bastion host như hình vẽ. Hệ thống Firewall này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật : Network và Application trong khi định nghĩa một mạng “phi quân sự”. Mạng DMZ đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực tiếp qua mạng DMZ là không thể được. Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn (như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nó cho phép hệ thống bên ngoài truy nhập chỉ bastion host, và có thể cả information server. Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ với những truyền thông bắt đầu từ bastion host. Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả information server. Quy luật filtering trên router ngoài yêu cầu sử dụng dich vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host. Screened-Subnet Firewall. Ưu điểm: Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và router trong. Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS information exchange (Domain Name Server). Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet. Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua dịch vụ proxy 1.4. Proxy service: Proxy Service được thực hiện bằng các chương trình đặc biệt chạy tại máy thực hiện chức năng firewall. Proxy nằm giữa máy yêu cầu dịch vụ và máy chủ thực hiện yêu cầu đó, kiểm soát các thông tin trao đổi và ngăn chặn những thao tác có thể làm ảnh hưởng đến sự an toàn của mạng cần bảo vệ. Thông thường đó là các máy có nhiều cổng giao tiếp mạng, một trong số đó nối với Internet, các cổng còn lại nối với các mạng nội bộ (dual-homed host). Những chương trình proxy nhận yêu cầu của người sử dụng, dựa vào yêu cầu bảo vệ của mạng nội bộ để quyết định có thực hiện các yêu cầu này hay không. Trong trường hợp được phép, proxy sẽ liên lạc với máy chủ thực để chuyển yêu cầu thực hiện. Ưu điểm của Proxy Service: Đối với người sử dụng và máy chủ thực hiện yêu cầu, proxy là "trong suốt". Sau khi đã thiết lập được kết nối giữa server và client, proxy server làm nhiệm vụ kiểm soát các thông tin chuyển qua lại. Nhờ sự hiểu biết về các chương trình ứng dụng, proxy server có thể cho phép hoặc không cho phép một thao tác cụ thể của một chương trình ứng dụng. Nhược điểm của Proxy Service: Buộc người sử dụng phải thay đổi tiến trình làm việc: trước hết phải làm việc với proxy server, sau đó mới yêu cầu đến server ứng dụng. Để thoát khỏi ràng buộc này, người ta phải sử dụng các client đã sửa đổi, cho phép chỉ ra cùng một lúc proxy server và server ứng dụng (hiện nay một thế hệ mới các proxy server đã xuất hiện, cho phép sử dụng các client bình thường và tiến trình làm việc thông thường). Yêu cầu mỗi proxy server cho một ứng dụng. Điều đó cũng có nghĩa là một ứng dụng mới xuất hiện sẽ đưa người sử dụng vào tình trạng khó xử hoặc chờ đợi đến khi có proxy server cho ứng dụng đó, hoặc dùng ngay không cần đến proxy, đặt mạng nội bộ trong tình trạng nguy hiểm do những lỗ hổng bảo mật chưa được biết đến. 2. Ứng dụng. Từ các chế độ hoạt động trên, firewall được ứng dụng nhiều vào hệ thống an ninh dữ liệu. Có 3 yêu cầu chính cho vấn đề an ninh hệ thống theo tiêu chuẩn ISO (International Standard Organi-zation - Tổ chức định chuẩn thế giới) cho mô hình mạng OSI (Open System Interconnec-tivity Reference Model - Mô hình tham chiếu liên kết nối theo hệ thống mở). Quản lý xác thực (Authenti-cation). Quản lý cấp quyền (Autho-rization). Quản lý kế toán (Accounting management). 2.1. Quản lý xác thực (Authenti-cation). Đây là chức năng ngăn cản việc truy cập trái phép vào hệ thống mạng nội bộ. Các hệ điều hành quản lý mạng chỉ kiểm soát một cách không chặt chẽ tên người sử dụng và password được đăng ký, và đôi lúc chính người sử dụng được ủy nhiệm lại vô ý để lộ password của mình. Hậu quả của việc này có khi là rất nghiêm trọng. Nó trở nên càng quan trọng hơn đối với những hệ thống mạng lớn có nhiều người sử dụng. Có hai giao thức chuẩn thông dụng nhất hiện nay để kết hợp làm việc với LAN. RADIUS (Remote Authen-tication Dial-In User Service) TACAS+ (Terminal Access Controller Access Control System Extended). Thông thường chức năng Authenti-cation được thực hiện với sự phối hợp của một thiết bị phần cứng hoặc phần mềm được tích hợp sẵn bên trong các phần mềm (giải mã theo thuật toán và tiêu chuẩn khóa mã định trước). Khi một thao tác truy cập vào mạng được thực hiện (kiểm tra đúng User Name và Password), hệ quản lý xác thực sẽ gửi đến máy tính của người dùng đang xin truy cập vào mạng một chuỗi các ký tự gọi là Challenge (câu thách đố), người dùng này sẽ nhập vào Token chuỗi Challenge và sẽ nhận được một chuỗi ký tự mới gọi là PIN (Personal Identification Number - số nhận dạng cá nhân). Nhờ PIN mà người dùng có thể truy cập vào hệ thống mạng. Điều đặc biệt là Challenge và PIN thay đổi từng phút một, các Token có thể được định và thay đổi Cryptor Key (khóa mã) tùy người sử dụng nên việc bảo mật gần như là tuyệt đối. 2.2. Quản lý cấp quyền (Autho-rization). Chức năng quản lý cấp quyền cho phép xác định quyền hạn sử dụng tài nguyên cũng như nguồn thông tin trong hệ thống mạng đến nhiều phân lớp cho từng người sử dụng. Thậm chí quyết định đến từng giao thức truy cập vào mạng (PPP, SLIP, v.v...) mà người dùng được phép sử dụng. Đồng thời, cũng với chức năng này việc ngăn chặn một vài nguồn thông tin vào bên trong hệ thống cũng có thể được thực hiện như đã đề cập ở trên. 2.3. Quản lý kế toán (Accounting management). Chức năng này cho phép ghi nhận tất cả các sự kiện xảy ra liên quan đến vấn đề truy cập và sử dụng nguồn tài nguyên trên mạng theo từng thời điểm (ngày/giờ). Và thời gian truy cập, vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung, ngoài ra còn nhiều thông tin khác liên quan đến việc sử dụng các tài nguyên và dịch vụ khác trên mạng cũng được ghi nhận. Chương V : TƯỜNG LỬA CISCO PIX FIREWALL I. Tổng quan về PIX Firewall PIX firewall là một yếu tố chính trong toàn bộ giải pháp an ninh end-to-end của Cisco. PIX Firewall là một giải pháp an ninh phần cứng và phần mềm chuyên dụng và mức độ bảo mật cao hơn mà không ảnh hưởng đến sự thực thi của hệ thống mạng. Nó là một hệ thống được lai ghép bởi vì nó sử dụng cả hai kỹ thuật packet filtering và proxy server PIX Firewall cung cấp các đặc tính và các chứ năng sau: Apdaptive Security Algorithm (ASA) – thực hiện việc điều khiển các kết nối stateful thông qua PIX Firewall Cut – through proxy – Một người sử dụng phải dựa trên phương pháp chứng thực của các kết nối vào và ra cung cấp một hiệu suất cải thiện khi so sánh nó với proxy server Stateful failover – PIX Firewall cho phép bạn cấu hình hai đơn vị PIX Firewall trong một topo mà có đủ sự dư thừa Stateful packet filtering – Một phương pháp bảo mật phân tích các gói dữ liệu mà thông tin nằm trải rộng sang một bảng. Để một phiên được thiết lập thông tin về các kết nối phải kết hợp được với thông tin trong bảng PIX Firewall có thể vận hành và mở rộng cấp độ được với các ISPes, các ISPec bao gồm một lưới an ninh và các giao thức chứng thực như là Internet Key Exchange (IKE) và Public Key Infrastructure (PKI). Các máy clients ở xa có thể truy cập một cách an toàn đến mạng của công ty thông qua các ISPs của họ II. Các dòng PIX Firewall và nguyên tắc hoạt động. 1. Các dòng PIX Firewall PIX 501 Hình 3.1. PIX 501 Kích cỡ 1.0 x 6.25 x 5.5 inches và 0.75 pounds Được thiết kế cho các văn phòng nhỏ, tốc độ an toàn cao, trên những môi trường trải rộng. Thông lượng là 60 Mbps đối với dữ liệu text Hỗ trợ 1 cổng 10/100BASE-T Ethernet và 1 switch 4 cổng Thông lượng VPN 3 Mbps 3DES 4.5 Mbps 128-bit AES Kết nối 10 mạng VPN ngang hàng đồng thời PIX 506E Hình 3.2. PIX 506E Là giải pháp bảo mật cho các văn phòng ở xa, các chi nhánh công ty và các mạng doanh nghiệp nhỏ, trung bình. Một số đặc điểm của PIX 506E như sau: Kích cỡ 8 x 12 x 17 inches Bộ nhớ Flash 8 Mb Hỗ trợ 2 cổng 10/100 BASE-T, 2 VLANs Hỗ trợ chuẩn Ipsec Thông lượng là 100 Mbps đối với dữ liệu text Thông lượng VPN 17Mbps 3DES 30Mbps 128 bit AES Không thể kết nối nhiều hơn 25 mạng VPN ngang hàng đồng thời Với phiên bản 6.3, có hai tùy chọn mã hóa VPN: DES với 56 bit mã hóa hoặc 3DES với 168 bit mã hóa 3DES và 256 bit mã hóa AES. PIX 515 Hình 3.3 PIX 515 Dùng cho trong các doanh nghiệp nhỏ và trung bình Thông lượng 118Mbps đối với dữ liệu text Thông lượng VPN 140 Mbps 3DES ( VACÆ) 140 Mbps 256-bit AES (VACÆ) Hỗ trợ các cổng 6 cổng 10/100 ethernet 25 VLANs 5 ngữ cảnh bảo mật Bộ nhớ Flash 16 MB PIX 525 Hình 3.4. PIX 525 Dùng cho các mạng trung bình và lớn Thông lượng là 330 Mbps đối với dữ liệu text Các cổng hỗ trợ 10 cổng 10/100 Fast Ethernet 100 VLANs 50 ngữ cảnh bảo mật Thông lượng VPN 155 Mbps 3DES (VACÆ) 170 Mbps 256-bit AES (VACÆ) PIX 535 Hình 3.5. PIX 535 Thiết kế cho các mạng lớn và mạng của nhà cung cấp dịch vụ Thông lượng là 1.7 Gbps đối với dữ liệu text Các cổng hỗ trợ 14 cổng Fast Ethernet và Gigabit Ethernet 200 VLANs 100 ngữ cảnh bảo mật Thông lượng VPN 440 Mbps 3DES (VACÆ) 440 Mbps 256-bit AES (VACÆ) Bộ nhớ Flash là 16 MB 2. Nguyên tắc hoạt động của PIX Firewall Nguyên tắc chung của firewall (kể cả firewall dạng phần mềm như proxy hay dạng thiết bị cứng như là PIX) là bắt gói dữ liệu đi ngang qua nó và so sánh với các luật đã thiết lập. Nếu thấy không vi phạm luật nào thì cho đi qua, ngược lại thì hủy gói dữ liệu. PIX firewall hoạt động dựa trên cơ chế ASA (Adaptive Security Algorithm) sử dụng Security level (mức độ bảo mật). Giữa hai cổng thì một sẽ có Security level cao hơn, một có Security level thấp hơn. Vấn đề cốt lõi của các thiết bị an ninh là thuật toán An ninh tổng hợp (Adaptive Security Algorithm - ASA). Giải thuật ASA duy trì vành đai an toàn giữa các mạng điều khiển bởi thiết bị an ninh. ASA tuân theo các quy luật sau: Không gói tin nào đi qua PIX mà không có một kết nối và trạng thái Cho phép các kết nối ra bên ngoài, trừ những kết nối bị cấm bởi danh sách điều khiển truy nhập ACLs. Một kết nối ra bên ngoài có thể là một nguồn hoặc một client ở cổng có mức bảo mật cao hơn nơi nhận hoặc server. Cổng có mức bảo mật cao nhất là inside với giá trị là 100, cổng có mức bảo mật thấp nhất là outside với giá trị là 0. Bất kỳ cổng nào khác cũng có thể có mức bảo mật nhận giá trị từ 1 đến 99. Cấm các kết nối vào bên trong, ngoại trừ những kết nối được phép. Một kết nối vào bên trong là một nguồn hoặc client ở cổng hay mạng có mức bảo mật thấp hơn nơi nhận hoặc server. Tất cả các gói ICMP đều bị cấm, trừ những gói được phép Mọi sự thử nghiệm nhằm phá vỡ các quy tắc trên đều bị hủy bỏ Trên mỗi cổng của PIX có các mức độ bảo mật (Security-level), xác định một giao tiếp (interface) là tin cậy, được bảo vệ hay không tin cậy, được bảo vệ ít và tương quan với các giao tiếp khác như thế nào. Một giao tiếp được xem là tin cậy trong mối quan hệ với các giao tiếp khác nếu nó có mức độ bảo mật cao hơn. Quy tắc cơ bản về mức độ bảo mật là: Dữ liệu có thể đi vào PIX thông qua một interface với Security level cao hơn , đi qua PIX và đi ra ngoài thông qua interface có Security level thấp hơn. Ngược lại, dữ liệu đi vào interface có Security level thấp hơn không thể đi qua PIX và đi ra ngoài thông qua interface có Security level cao hơn nếu trên PIX không có cấu hình conduit hoặc access-list để cho phép nó thực hiện điều này. Các mức bảo mật đánh số từ 0 đến 100. Mức 0: Là mức thấp nhất, thiết lập mặc định cho outside interface (cổng ra ) của PIX, thường dành cho cổng kết nối ra Internet. Vì 0 là mức bảo mật ít an toàn nhất nên các untrusted network thường ở sau interface này. Các thiết bị ở outside chỉ được phép truy nhập vào PIX khi nó được cấu hình để làm điều đó. Mức 100: Là mức cao nhất cho một interface. Nó được sử dụng cho inside interface ( cổng vào ) của PIX, là cấu hình mặc định cho PIX và không thể thay đổi. Vì vậy mạng của tổ chức thường ở sau interface này, không ai có thể truy nhập vào mạng này trừ khi được phép thực hiện điều đó. Việc cho phép đó phải được cấu hình trên PIX; các thiết bị trong mạng này có thể truy nhập ra mạng outside. Mức từ 1 đến 99: Được dành cho những mạng xung quanh kết nối tới PIX, đăng ký dựa trên kiểu của truy nhập của mỗi thiết bị, thông thường là kết nối đến một mạng hoạt động như là Demilitarized zone ( DMZ ). Khi có nhiều kết nối giữa PIX và các thiết bị xung quanh thì: Dữ liệu đi từ interface có Security level cao hơn đến interface có Security level thấp hơn: Cần phải có một translation ( static hay dynamic ) để cho phép giao thông từ interface có Security level cao hơn đến interface có Security level thấp hơn. Khi đã có translation này, giao thông bắt đầu từ inside interface đến outside interface sẽ được phép, trừ khi nó bị chặn bởi access-list, authentication hay authorization. Dữ liệu đi từ interface có Security level thấp hơn đến interface có Security level cao hơn: 2 điều quan trọng cần phải được cấu hình để cho giao thông từ interface có Security level thấp hơn đến interface có Security level cao hơn là static translation và conduit hoặc access-list. Dữ liệu đi qua hai interface có Security level như nhau: Không có giao thông đi giữa hai interface có Security level như nhau. IV. Các lệnh duy trì thông thường của PIX Firewall 1. Các chế độ truy cập PIX Firewall chứa tập các lệnh dựa trên hệ điều hành Cisco IOS và cung cấp 4 chế độ truy cập: Unprivileged mode (chế độ truy cập không đặc quyền) – Chế độ này sẽ sẵn có khi bạn lần đầu tiên truy cập vào PIX Firewall. Từ dấu nhắc > được hiển thị, chế độ này cho phép bạn xem các thiết lập một cách hạn chế. Privileged mode (chế độ đặc quyền) – Chế độ này hiển thị dấu nhắc # và cho phép bạn thay đổi cài đặt hiện tại. Bất kỳ lệnh trong chế độ không đặc quyền nào đều có thể làm việc trong chế độ đặc quyền. Configuration mode (chế độ cấu hình) – Chế độ này hiển thị dấu nhắc (config)# và cho phép bạn thay đổi cấu hình hệ thống. Tất cả các lệnh đặc quyền, không đặc quyền và lệnh cấu hình đều làm việc ở chế độ này. Monitor mode (chế độ theo dõi kiểm tra) – Đây là một chế độ đặc biệt nó cho phép bạn cập nhật image trên mạng. Trong chế độ này bạn có thể nhập các lệnh chỉ định vị trí của TFTP server và image nhị phân để download. Trong mỗi một kiểu truy cập, ta có thể rút gọn một cách tối đa câu lệnh xuống chỉ còn một vài ký tự riêng biệt của câu lệnh đó. Ví dụ ta có thể nhập write t để xem cấu hình thay vì phải nhập câu lệnh đầy đủ write terminal. Có thể nhập en thay cho enable để bắt đầu chế độ đặc quyền, co t thay cho configuration terminal để bắt đầu chế độ cấu hình. Thông tin trợ giúp luôn sẵn có trong dòng lệnh của PIX Firewall bằng cách nhập help hoặc ? để liệt kê tất cả các lệnh. Nếu bạn nhập help hoặc ? sau một lệnh (ví dụ router), thì cú pháp lệnh router sẽ được liệt kê ra. Số các lệnh được liệt kê ra khi ta dùng dấu hỏi hoặc từ khóa help là khác nhau ở các chế độ truy cập vì vậy mà chế độ không đặc quyền sẽ đưa ra các lệnh ít nhất và chế độ cấu hình sẽ đưa ra số lệnh nhiều nhất. Hơn nữa ta có thể nhập bất cứ một lệnh nào (chính nó) ở trên dòng lệnh và sau đó ấn phím Enter để xem cú pháp lệnh 2. Các lệnh duy trì thông thường của PIX Firewall Có một số lệnh duy trì thông thường của PIX Firewall: Lệnh Enable, enable password và passwd – Được sử dụng để truy cập vào phần mềm PIX Firewall để thay đổi mật khẩu. Write erase, wirte memory và write team – Được sử dụng để hiển thị cấu hình hệ thống và lưu trữ cấu hình dữ liệu mới Show interface, show ip address, show memory, show version và show xlate – Được sử dụng để kiểm tra cấu hình hệ thống và thông tin thích hợp khác Exit và reload – Được sử dụng để thoát một chế độ truy cập, tải lại một cấu hình và khởi động lại hệ thống Hostname, ping và telnet – Được sử dụng để xác định nếu một địa chỉ IP khác tồn tại, thay đổi hostname, chỉ định host cục bộ cho PIX Firewall và giành quyền truy cập console 2.1. Lệnh enable Lệnh enable cho phép ta vào chế độ truy cập đặc quyền, sau khi nhập enable, PIX Firewall sẽ nhắc mật khẩu để truy cập vào chế độ đặc quyền. Mặc định thì mật khẩu này không yêu cầu vì thế mà chỉ cần ấn phím Enter, sau khi bạn vào chế độ đặc quyền hãy để ý dấu nhắc sẽ thay đổi sang ký hiệu #. Khi gõ configure terminal nó sẽ vào chế độ cấu hình và dấu nhắc thay đổi sang (config)#. Để thoát và quay trở về chế độ trước đó, sử dụng lệnh disable, exit hoặc quit 2.2. Lệnh enable password Lệnh enable password thiết lập mật khẩu truy cập vào chế độ đặc quyền. Bạn sẽ được nhắc mật khẩu này sau khi nhập lệnh enable (Khi PIX Firewall khởi động và bạn nhập vào chế độ đặc quyền thì sẽ xuất hiện dấu nhắc để nhập mật khẩu) Không có mật khẩu mặc định do đó bạn có thể ấn phím enter tại dấu nhắc mật khẩu hoặc bạn có thể tạo ra mật khẩu do bạn chọn. Mật khẩu phân biệt chữ hoa và chữ thường, hỗ trợ độ dài lên đến 16 ký tự chữ số. Bất kỳ ký tự nào cũng có thể được sử dụng lọai trừ dấu chấm hỏi, dấu cách và dấu hai chấm. Nếu bạn thay đổi mật khẩu, bạn nên ghi lại va lưu trữ nó ở một nơi thích hợp. Sau khi bạn thay đổi mật khẩu thì bạn không thể xem lại nó bởi vì nó đã được mã hóa. Lệnh show enable password chỉ đưa ra dạng mật khẩu đã được mã hóa. Sau khi mật khẩu đã bị mã hóa chúng không thể đảo ngược lại dạng văn bản thông thường Lệnh passwd cho phép bạn thiết lập mật khẩu Telnet truy cập vào PIX Firewall. Mặc định giá trị này là Cisco. 2.3. Lệnh write Lệnh write cho phép bạn ghi (lữ trữ) cấu hình hệ thống vào bộ nhớ, hiển thị cấu hình hệ thống và xóa các cấu hình hiện tại. Dưới đây là các lệnh write: write net – Lưu trữ cấu hình hệ thống thành một file trên TFTP server hoặc trong mạng. write earse – Xóa cấu hình bộ nhớ flash write floppy – Lữ trữ cấu hình hiện tại vào đĩa mềm (PIX Firewall 520 và các model trước đó có ổ đĩa mềm 3.5-inch) write memory – Ghi cấu hình đang chạy (hiện tại) vào bộ nhớ Flash write standby – Ghi cấu hình được lưu trong Ram trên active failover PIX Firewall, vào RAM trên standby PIX Firewall. Khi PIX Firewall hoạt động (active PIX Firewall) khởi động ghi cấu hình vào PIX dự phòng.. Sử dụng lệnh này để ghi cấu hình của active PIX Firewall sang standby PIX Firewall. Write teminal – Hiển thị cấu hình hiện tại trên thiết bị đầu cuối 2.4. Lệnh telnet telnet ip_address [netmask] [if_name] Cho phép chỉ ra host nào có thể truy cập cổng console của PIX thông qua telnet. Với các version 5.0 trở về trước, chỉ có các internal host mới có thể truy cập vào PIX firewall thông qua telnet, nhưng các version sau này, user có thể telnet vào PIX firewall qua tất cả các interface. Tuy nhiên, PIX firewall khuyến cáo rằng, tất cả telnet traffic đến outside interface phải được bảo vệ bởi IPSEC. Do đó, để khởi động một telnet session đến PIX, user cần cấu hình PIX để thiết lập IPSEC tunnel họăc là với một PIX khác, hoặc là router, hay là VPN Client. clear telnet [ip_address [netmask] [if_name]] Di chuyển đến phiên telnet truy cập từ một địa chỉ IP trước đó telnet timeout minutes Thiết lập thời gian cực đại một phiên telnet có thể không được sử dụng trước khi nó bị kết thúc bởi PIX Firewall kill telnet_id Kết thúc một phiên telnet. Khi bạn kết thúc một phiên telnet, PIX Firewall sẽ ngăn chặn mọi lệnh kích hoạt và sau đó hủy kết nối mà không cảnh báo người sử dụng. who local_ip Cho phép bạn hiển thị địa chỉ IP hiện tại đang truy cập vào PIX Firewall thông qua telnet Ip_address Một địa chỉ IP của một host hoặc mạng mà có thể Telnet đến PIX Firewall . Nếu không đưa ra tên giao diện (if_name) thì mặc định sẽ là giao diện phía trong (mạng bên trong). PIX Firewall tự động kiểm tra địa chỉ IP dựa trên địa chỉ IP được nhập bởi lệnh ip address để đảm bảo rằng địa chỉ bạn đưa ra thuộc về mạng bên trong (đối với các IOS version dưới 5.0) Netmask Mặt nạ mạng của địa chỉ IP. Để giới hạn truy cập đến một địa chỉ IP đơn thì sử dụng 255 cho mỗi octet (ví dụ, 255.255.255.255). Nếu bạn không đưa ra netmask thì mặc định là 255.255.255.255 đối với lớp local_ip (ip cục bộ). Không sử dụng mặt nạ mạng con của mạng bên trong. Mặt nạ mạng chỉ là một bit mask cho địa chỉ IP trong ip address If_name Nếu Ipsec đang hoạt động, PIX Firewall cho phép bạn đưa ra một tên giao diện không đảm bảo. Thông thường là mạng phía ngoài. Tối thiểu thì lệnh cryto map cần được cấu hình để đưa ra tên một giao diện với lệnh Telnet Minutes Số phút mà phiên telnet có thể không sử dụng đến trước khi bị đóng bởi PIX Firewall. Mặc định là 5 phút. Hỗ trợ từ 1-60 phút telnet_id Định danh phiên telnet local_ip Một tùy chọn địa chỉ ip bên trong để giới hạn danh sách đến một địa chỉ ip hoặc một địa chỉ mạng 2.5. Lệnh hostname và ping Lệnh hostname thay đổi nhãn trên dấu nhắc. hostname có thể hỗ trợ lên tới 16 ký tự alpha và chữ hoa, chữ thường. mặc định thì hostname là pixfirewall. Lệnh ping được sử dụng nếu PIX Firewall đã được kết nối hoặc nếu tồn tại một host (được nhận diện bởi PIX Firewall ) trên mạng. Nếu host tồn tại trên mạng thì lệnh ping nhận được còn nếu không thì sẽ có thông báo “NO response received”. (lúc này bạn sử dụng lệnh show interface để đảm bảo rằng PIX Firewall đã được được kết nối đến mạng và đã thông lưu lượng). Mặc định lênh ping sẽ cố gắng ping đến host đích 3 lần. Sau khi PIX Firewall được cấu hình và hoạt động, chúng ta sẽ không thể ping đến giao diện bên trong (mạng bên trong) của PIX Firewall từ mạng bên ngoài hoặc từ giao diện bên ngoài (outside interface) của PIX Firewall. Nếu có thể ping những mạng bên trong từ giao diện bên trong và nếu bạn có thể ping những mạng bên ngoài từ giao diện bên ngoài thì PIX Firewall đã thực hiện được đúng chức năng thông thường của nó. 2.6. Lệnh show Lệnh show cho phép hiển thị các thông tin lệnh. Lệnh này thường kết hợp với các lệnh khác để hiển thị thông tin hệ thống của lệnh đó. Ta có thể nhập show cùng với ? để xem tên của các lệnh hiển thị và mô tả về chúng. Dưới đây là ví dụ của các lệnh show khác nhau Show interface - cho phép hiển thị thông tin giao diện mạng. đây là lệnh đầu tiên mà sẽ sử dụng khi thử thiết lập một kết nối. Show history – hiển thị các dòng lệnh trước đó Show memory – hiển thị tổng quan bộ nhớ vật lý tối đa và bộ nhớ hiện tại còn trống của PIX Firewall Show vesion – cho phép hiển thị phiên bản phần mềm của PIX Firewall, thời gian hoạt động tính từ lần khởi động lại gần đây nhất, kiểu bộ vi xử lý, kiểu bộ nhớ flash, giao diện bảng mạch và số serial (BISO ID) Show xlate – hiển thị thông tin khe dịch Show cpu usage – hiển thị CPU được sử dụng. Lệnh này sử dụng ở chế độ cấu hình hoặc chế độ đặc quyền Show ip address - cho phép xem địa chỉ IP được gán đến giao diện mạng. Địa chỉ IP hiện tại giống như là địa chỉ IP hệ thống trên failover active (PIX active). Khi active unit bị lỗi, địa chỉ IP hiện tại trở thành đơn vị chuẩn (địa chỉ IP hệ thống) 2.7. Lệnh name Sử dụng lệnh name cho phép cấu hình một danh sách các ánh xạ tên đến địa chỉ IP trên PIX Firewall. Điều này cho phép sử dụng tên trong cấu hình thay cho địa chỉ IP. Bạn có thể chỉ định tên sử dụng cú pháp dưới đây: name ip_address name Ip_address Địa chỉ IP của host được đặt tên Name Tên được gán cho địa chỉ IP. Cho phép đặt tên với các ký tự từ a-z, A-Z, 0-9, dấu gạch và dấu gạch dưới. Tên không thể bắt đầu bằng số. Nếu một tên trên 16 ký tự thì lệnh sẽ lỗi Cho phép đặt tên với các ký tự từ a-z, A-Z, 0-9, dấu gạch và dấu gạch dưới. Tên không thể bắt đầu bằng số. Nếu một tên trên 16 ký tự thì lệnh sẽ lỗi. Sau khi tên được định nghĩa nó có thể được sử dụng trong bất kỳ lệnh PIX Firewall nào tham chiếu đến một địa chỉ IP. Lệnh names cho phép sử dụng lệnh name. Lệnh clear names và no names là giống nhau. Lệnh show name liệt kê các trạng thái lệnh name trong cấu hình KẾT LUẬN Không có một tài liệu nào có thể lường hết được mọi lỗ hổng trong hệ thống và cũng không có nhà sản xuất nào có thể cung cấp đủ các công cụ cần thiết. Cách tốt nhất vẫn là sử dụng kết hợp các giải pháp, sản phẩm nhằm tạo ra cơ chế bảo mật đa năng. Trong các lựa chọn về giải pháp an ninh hiện nay thì firewall là một trong nhưng ưu tiên hàng đầu. Xem xét và lựa chọn một sản phẩm firewall hợp lý và đưa và hoạt động phù hợp với chính sách của công ty là một trong những việc đầu tiên trong quá trình bảo mật hệ thống. Firewall có thể là giải pháp phần cứng hoặc phần mềm hoặc kết hợp cả hai. Nhiệm vụ của firewall là ngăn chặn các tấn công trực tiếp vào các thông tin quan trọng của hệ thống, kiểm soát các thông tin ra vào hệ thống. Việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễ dàng. Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng cụ thể. Khi xem xét lựa chọn một firewall, cần tập trung tìm hiểu tập các chức năng của firewall, tính năng lọc địa chỉ, gói tin, ... Một công nghệ không thể là một giải pháp hoàn hảo cho toàn bộ chiến lược bảo mật của tổ chức, các sản phẩm firewall dù có tốt đến mấy cũng bộc lộ những nhược điểm của mình, những nhược điểm đó có thể được khắc phục bằng các công nghệ khác như IPS, IPSec vv... Khi xem xét lựa chọn công nghệ bảo mật các công nghệ bảo mật phải luôn có một cái nhìn khái quát trong một bức tranh tổng thể. Và mô hình bảo mật phân lớp là một cơ sở khoa học để các tổ chức căn cứ vào đó lựa chọn các công nghệ bảo mật cho phù hợp với nhu cầu và khả năng tài chính của mình. Cho dù các công nghệ có được trang bị hoàn hảo đến đâu mà không chú ý đến yếu tố con người thì cũng là một sai lầm lớn. Trong mọi kế hoạch để thành công thì con người bao giờ cũng được đặt ở vị trí trung tâm. Trong kế hoạch bảo mật cũng thế, con người là nhân tố có ý nghĩa quyết định tới độ an toàn nếu có ý thức bảo mật cao và cũng là hiểm họa khôn lường nếu chính là kẻ tấn công từ ngay trong nội bộ của tổ chức. Việc ban hành các policy cho con người cần phải tuân theo các tiêu chuẩn quốc tế đã có sẵn như ISO 17799. Trên thế giới kĩ thuật phát triển theo từng ngày, các biện pháp tấn công ngày càng mới mẻ và tinh vi hơn. Các công nghệ bảo mật trang bị cho tổ chức cũng cần phải được cải tiến, cập nhật ngày giờ để kịp thời chống lại mọi sự phá hoại đó. Ý thức của con người cũng cần không ngừng được nâng cao. Bảo mật hiện nay đang là một vấn đề rất nóng bỏng khi mà thông tin là tài sản quý giá hàng đầu của các tổ chức doanh nghiệp, vì vậy tôi rất hy vọng thông qua đồ án này sẽ mang lại cho người đọc được những hiểu biết chung nhất về các khái niệm liên quan đến bảo mật thông tin và cái nhìn chi tiết về công nghệ firewall, một trong các công nghệ được sử dụng rất phổ biến hiện nay. Vì thời gian có hạn và kinh nghiệm thực tế ít nên trong khuôn khổ đề tài này chỉ giới thiệu được phần nào những vấn đề đã nêu ra. Hy vọng tiếp theo đồ án này sẽ có một bước nghiên cứu sâu hơn nữa về các công nghệ bảo mật nói chung và firewall cứng nói riêng nhằm đem những điều mình học được vào phục vụ công việc cũng như cuộc sống.