Đề tài Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim

nslation này, giao thông bắt đầu từ inside interface đến outside interface sẽ được phép, trừ khi nó bị chặn bởi access-list, authentication hay authorization. Dữ liệu đi từ interface có Security level thấp hơn đến interface có Security level cao hơn: 2 điều quan trọng cần phải được cấu hình để cho giao thông từ interface có Security level thấp hơn đến interface có Security level cao hơn là static translation và conduit hoặc access-list. Dữ liệu đi qua hai interface có Security level như nhau: Không có giao thông đi giữa hai interface có Security level như nhau. IV. Các lệnh duy trì thông thường của PIX Firewall 1. Các chế độ truy cập PIX Firewall chứa tập các lệnh dựa trên hệ điều hành Cisco IOS và cung cấp 4 chế độ truy cập: Unprivileged mode (chế độ truy cập không đặc quyền) – Chế độ này sẽ sẵn có khi bạn lần đầu tiên truy cập vào PIX Firewall. Từ dấu nhắc > được hiển thị, chế độ này cho phép bạn xem các thiết lập một cách hạn chế. Privileged mode (chế độ đặc quyền) – Chế độ này hiển thị dấu nhắc # và cho phép bạn thay đổi cài đặt hiện tại. Bất kỳ lệnh trong chế độ không đặc quyền nào đều có thể làm việc trong chế độ đặc quyền. Configuration mode (chế độ cấu hình) – Chế độ này hiển thị dấu nhắc (config)# và cho phép bạn thay đổi cấu hình hệ thống. Tất cả các lệnh đặc quyền, không đặc quyền và lệnh cấu hình đều làm việc ở chế độ này. Monitor mode (chế độ theo dõi kiểm tra) – Đây là một chế độ đặc biệt nó cho phép bạn cập nhật image trên mạng. Trong chế độ này bạn có thể nhập các lệnh chỉ định vị trí của TFTP server và image nhị phân để download. Trong mỗi một kiểu truy cập, ta có thể rút gọn một cách tối đa câu lệnh xuống chỉ còn một vài ký tự riêng biệt của câu lệnh đó. Ví dụ ta có thể nhập write t để xem cấu hình thay vì phải nhập câu lệnh đầy đủ write terminal. Có thể nhập en thay cho enable để bắt đầu chế độ đặc quyền, co t thay cho configuration terminal để bắt đầu chế độ cấu hình. Thông tin trợ giúp luôn sẵn có trong dòng lệnh của PIX Firewall bằng cách nhập help hoặc ? để liệt kê tất cả các lệnh. Nếu bạn nhập help hoặc ? sau một lệnh (ví dụ router), thì cú pháp lệnh router sẽ được liệt kê ra. Số các lệnh được liệt kê ra khi ta dùng dấu hỏi hoặc từ khóa help là khác nhau ở các chế độ truy cập vì vậy mà chế độ không đặc quyền sẽ đưa ra các lệnh ít nhất và chế độ cấu hình sẽ đưa ra số lệnh nhiều nhất. Hơn nữa ta có thể nhập bất cứ một lệnh nào (chính nó) ở trên dòng lệnh và sau đó ấn phím Enter để xem cú pháp lệnh 2. Các lệnh duy trì thông thường của PIX Firewall Có một số lệnh duy trì thông thường của PIX Firewall: Lệnh Enable, enable password và passwd – Được sử dụng để truy cập vào phần mềm PIX Firewall để thay đổi mật khẩu. Write erase, wirte memory và write team – Được sử dụng để hiển thị cấu hình hệ thống và lưu trữ cấu hình dữ liệu mới Show interface, show ip address, show memory, show version và show xlate – Được sử dụng để kiểm tra cấu hình hệ thống và thông tin thích hợp khác Exit và reload – Được sử dụng để thoát một chế độ truy cập, tải lại một cấu hình và khởi động lại hệ thống Hostname, ping và telnet – Được sử dụng để xác định nếu một địa chỉ IP khác tồn tại, thay đổi hostname, chỉ định host cục bộ cho PIX Firewall và giành quyền truy cập console 2.1. Lệnh enable Lệnh enable cho phép ta vào chế độ truy cập đặc quyền, sau khi nhập enable, PIX Firewall sẽ nhắc mật khẩu để truy cập vào chế độ đặc quyền. Mặc định thì mật khẩu này không yêu cầu vì thế mà chỉ cần ấn phím Enter, sau khi bạn vào chế độ đặc quyền hãy để ý dấu nhắc sẽ thay đổi sang ký hiệu #. Khi gõ configure terminal nó sẽ vào chế độ cấu hình và dấu nhắc thay đổi sang (config)#. Để thoát và quay trở về chế độ trước đó, sử dụng lệnh disable, exit hoặc quit 2.2. Lệnh enable password Lệnh enable password thiết lập mật khẩu truy cập vào chế độ đặc quyền. Bạn sẽ được nhắc mật khẩu này sau khi nhập lệnh enable (Khi PIX Firewall khởi động và bạn nhập vào chế độ đặc quyền thì sẽ xuất hiện dấu nhắc để nhập mật khẩu) Không có mật khẩu mặc định do đó bạn có thể ấn phím enter tại dấu nhắc mật khẩu hoặc bạn có thể tạo ra mật khẩu do bạn chọn. Mật khẩu phân biệt chữ hoa và chữ thường, hỗ trợ độ dài lên đến 16 ký tự chữ số. Bất kỳ ký tự nào cũng có thể được sử dụng lọai trừ dấu chấm hỏi, dấu cách và dấu hai chấm. Nếu bạn thay đổi mật khẩu, bạn nên ghi lại va lưu trữ nó ở một nơi thích hợp. Sau khi bạn thay đổi mật khẩu thì bạn không thể xem lại nó bởi vì nó đã được mã hóa. Lệnh show enable password chỉ đưa ra dạng mật khẩu đã được mã hóa. Sau khi mật khẩu đã bị mã hóa chúng không thể đảo ngược lại dạng văn bản thông thường Lệnh passwd cho phép bạn thiết lập mật khẩu Telnet truy cập vào PIX Firewall. Mặc định giá trị này là Cisco. 2.3. Lệnh write Lệnh write cho phép bạn ghi (lữ trữ) cấu hình hệ thống vào bộ nhớ, hiển thị cấu hình hệ thống và xóa các cấu hình hiện tại. Dưới đây là các lệnh write: write net – Lưu trữ cấu hình hệ thống thành một file trên TFTP server hoặc trong mạng. write earse – Xóa cấu hình bộ nhớ flash write floppy – Lữ trữ cấu hình hiện tại vào đĩa mềm (PIX Firewall 520 và các model trước đó có ổ đĩa mềm 3.5-inch) write memory – Ghi cấu hình đang chạy (hiện tại) vào bộ nhớ Flash write standby – Ghi cấu hình được lưu trong Ram trên active failover PIX Firewall, vào RAM trên standby PIX Firewall. Khi PIX Firewall hoạt động (active PIX Firewall) khởi động ghi cấu hình vào PIX dự phòng.. Sử dụng lệnh này để ghi cấu hình của active PIX Firewall sang standby PIX Firewall. Write teminal – Hiển thị cấu hình hiện tại trên thiết bị đầu cuối 2.4. Lệnh telnet telnet ip_address [netmask] [if_name] Cho phép chỉ ra host nào có thể truy cập cổng console của PIX thông qua telnet. Với các version 5.0 trở về trước, chỉ có các internal host mới có thể truy cập vào PIX firewall thông qua telnet, nhưng các version sau này, user có thể telnet vào PIX firewall qua tất cả các interface. Tuy nhiên, PIX firewall khuyến cáo rằng, tất cả telnet traffic đến outside interface phải được bảo vệ bởi IPSEC. Do đó, để khởi động một telnet session đến PIX, user cần cấu hình PIX để thiết lập IPSEC tunnel họăc là với một PIX khác, hoặc là router, hay là VPN Client. clear telnet [ip_address [netmask] [if_name]] Di chuyển đến phiên telnet truy cập từ một địa chỉ IP trước đó telnet timeout minutes Thiết lập thời gian cực đại một phiên telnet có thể không được sử dụng trước khi nó bị kết thúc bởi PIX Firewall kill telnet_id Kết thúc một phiên telnet. Khi bạn kết thúc một phiên telnet, PIX Firewall sẽ ngăn chặn mọi lệnh kích hoạt và sau đó hủy kết nối mà không cảnh báo người sử dụng. who local_ip Cho phép bạn hiển thị địa chỉ IP hiện tại đang truy cập vào PIX Firewall thông qua telnet Ip_address Một địa chỉ IP của một host hoặc mạng mà có thể Telnet đến PIX Firewall . Nếu không đưa ra tên giao diện (if_name) thì mặc định sẽ là giao diện phía trong (mạng bên trong). PIX Firewall tự động kiểm tra địa chỉ IP dựa trên địa chỉ IP được nhập bởi lệnh ip address để đảm bảo rằng địa chỉ bạn đưa ra thuộc về mạng bên trong (đối với các IOS version dưới 5.0) Netmask Mặt nạ mạng của địa chỉ IP. Để giới hạn truy cập đến một địa chỉ IP đơn thì sử dụng 255 cho mỗi octet (ví dụ, 255.255.255.255). Nếu bạn không đưa ra netmask thì mặc định là 255.255.255.255 đối với lớp local_ip (ip cục bộ). Không sử dụng mặt nạ mạng con của mạng bên trong. Mặt nạ mạng chỉ là một bit mask cho địa chỉ IP trong ip address If_name Nếu Ipsec đang hoạt động, PIX Firewall cho phép bạn đưa ra một tên giao diện không đảm bảo. Thông thường là mạng phía ngoài. Tối thiểu thì lệnh cryto map cần được cấu hình để đưa ra tên một giao diện với lệnh Telnet Minutes Số phút mà phiên telnet có thể không sử dụng đến trước khi bị đóng bởi PIX Firewall. Mặc định là 5 phút. Hỗ trợ từ 1-60 phút telnet_id Định danh phiên telnet local_ip Một tùy chọn địa chỉ ip bên trong để giới hạn danh sách đến một địa chỉ ip hoặc một địa chỉ mạng 2.5. Lệnh hostname và ping Lệnh hostname thay đổi nhãn trên dấu nhắc. hostname có thể hỗ trợ lên tới 16 ký tự alpha và chữ hoa, chữ thường. mặc định thì hostname là pixfirewall. Lệnh ping được sử dụng nếu PIX Firewall đã được kết nối hoặc nếu tồn tại một host (được nhận diện bởi PIX Firewall ) trên mạng. Nếu host tồn tại trên mạng thì lệnh ping nhận được còn nếu không thì sẽ có thông báo “NO response received”. (lúc này bạn sử dụng lệnh show interface để đảm bảo rằng PIX Firewall đã được được kết nối đến mạng và đã thông lưu lượng). Mặc định lênh ping sẽ cố gắng ping đến host đích 3 lần. Sau khi PIX Firewall được cấu hình và hoạt động, chúng ta sẽ không thể ping đến giao diện bên trong (mạng bên trong) của PIX Firewall từ mạng bên ngoài hoặc từ giao diện bên ngoài (outside interface) của PIX Firewall. Nếu có thể ping những mạng bên trong từ giao diện bên trong và nếu bạn có thể ping những mạng bên ngoài từ giao diện bên ngoài thì PIX Firewall đã thực hiện được đúng chức năng thông thường của nó. 2.6. Lệnh show Lệnh show cho phép hiển thị các thông tin lệnh. Lệnh này thường kết hợp với các lệnh khác để hiển thị thông tin hệ thống của lệnh đó. Ta có thể nhập show cùng với ? để xem tên của các lệnh hiển thị và mô tả về chúng. Dưới đây là ví dụ của các lệnh show khác nhau Show interface - cho phép hiển thị thông tin giao diện mạng. đây là lệnh đầu tiên mà sẽ sử dụng khi thử thiết lập một kết nối. Show history – hiển thị các dòng lệnh trước đó Show memory – hiển thị tổng quan bộ nhớ vật lý tối đa và bộ nhớ hiện tại còn trống của PIX Firewall Show vesion – cho phép hiển thị phiên bản phần mềm của PIX Firewall, thời gian hoạt động tính từ lần khởi động lại gần đây nhất, kiểu bộ vi xử lý, kiểu bộ nhớ flash, giao diện bảng mạch và số serial (BISO ID) Show xlate – hiển thị thông tin khe dịch Show cpu usage – hiển thị CPU được sử dụng. Lệnh này sử dụng ở chế độ cấu hình hoặc chế độ đặc quyền Show ip address - cho phép xem địa chỉ IP được gán đến giao diện mạng. Địa chỉ IP hiện tại giống như là địa chỉ IP hệ thống trên failover active (PIX active). Khi active unit bị lỗi, địa chỉ IP hiện tại trở thành đơn vị chuẩn (địa chỉ IP hệ thống) 2.7. Lệnh name Sử dụng lệnh name cho phép cấu hình một danh sách các ánh xạ tên đến địa chỉ IP trên PIX Firewall. Điều này cho phép sử dụng tên trong cấu hình thay cho địa chỉ IP. Bạn có thể chỉ định tên sử dụng cú pháp dưới đây: name ip_address name Ip_address Địa chỉ IP của host được đặt tên Name Tên được gán cho địa chỉ IP. Cho phép đặt tên với các ký tự từ a-z, A-Z, 0-9, dấu gạch và dấu gạch dưới. Tên không thể bắt đầu bằng số. Nếu một tên trên 16 ký tự thì lệnh sẽ lỗi Cho phép đặt tên với các ký tự từ a-z, A-Z, 0-9, dấu gạch và dấu gạch dưới. Tên không thể bắt đầu bằng số. Nếu một tên trên 16 ký tự thì lệnh sẽ lỗi. Sau khi tên được định nghĩa nó có thể được sử dụng trong bất kỳ lệnh PIX Firewall nào tham chiếu đến một địa chỉ IP. Lệnh names cho phép sử dụng lệnh name. Lệnh clear names và no names là giống nhau. Lệnh show name liệt kê các trạng thái lệnh name trong cấu hình CHƯƠNG 3 CẤU HÌNH, DỊCH CHUYỂN ĐỊA CHỈ VÀ ĐIỀU KHIỂN TRUY CẬP TRONG PIX FIREWALL I. Các lệnh cấu hình cơ bản PIX Firewall Có 6 lệnh cấu hình cơ bản cho PIX Firewall: Nameif – Gán tên đến mỗi giao diện mạng vành đai và chỉ định mức an ninh cho nó Interface – Cấu hình kiểu và khả năng của mỗi giao diện vành đai Ip address – gán một địa chỉ ip cho mỗi cổng Nat – che dấu địa chỉ trên mạng inside từ mạng outside Global – Che dấu địa chỉ IP trên mạng inside từ mạng outside sử dụng một pool (một dải địa chỉ public) của địa chỉ IP Route – định nghĩa một tuyến đường tĩnh hoặc tuyến đường mặc định cho một interface 1. Lệnh nameif Lệnh nameif gán một tên đến mỗi giao diện vành đai trên PIX Firewall và chỉ định mức an ninh cho nó (ngoại trừ giao diện inside và outside vì nó được mặc định). Cú pháp của lệnh nameif như dưới đây: nameif hardware_id if_name security_level Harware_id Chỉ định một giao diện vành đai và vị trí khe của nó ở trên PIX Firewall. Có 3 giao diện mà bạn có thể nhập ở đây: Ethernet, FDDI hoặc Token Ring. Mỗi giao diện được mô tả bởi một định danh vừa có chữ vừa có số dựa trên giao diện của nó là gì và định danh là số mà bạn chọn cho nó. Ví dụ, một giao diện Ethernet được mô tả như là e1, e2, e3….; một FDDI được mô tả như là fddi1, fddi2, fddi3….; một giao diện Token Ring được mô tả như là token-ring1, token-ring2, token-ring3…. If_name Mô tả giao diện vành đai. Tên này được bạn gán và cần sử dụng trong tất cả cấu hình tương lai tham chiếu đến giao diện vành đai Security_lever Chỉ ra mức an ninh cho giao diện vành đai, nhập mức an ninh từ 1-99 2. Lệnh interface Lệnh interface nhận dạng phần cứng, thiết lập tốc độ phần cứng và kích hoạt giao diện. Khi một card Ethernet được thêm vào nó sẽ được cài đặt trên PIX Firewall, PIX Firewall tự động nhận dạng và thêm card Cú pháp cho lệnh interface như dưới đây: interface hardware_id hardware_speed [shutdown] Hardware_id Chỉ định một giao diện và vị trí khe trên PIX Firewall. Cái này giống như biến số được sử dụng trong lệnh nameif Hardware_speed Xác định tốc độ kết nối. Giá trị Ethernet có thể như sau 10baset – thiết lập giao tiếp bán song công 10Mbps 10full – Thiết lập giao tiếp Ethernet song công hoàn toàn tốc độ 10Mbps 100basetx – Thiết lập giao tiếp Ethernet bán song công tốc độ 100 Mbps 100full - Thiết lập giao tiếp Ethernet song công hoàn toàn tốc độ 100 Mbps 1000sxfull - Thiết lập giao tiếpGigabit Ethernet song công hoàn toàn tốc độ 1000 Mbps 1000basesx – thiết lập giao tiếp gigabit Ethernet bán song công tốc độ 1000 Mbps 1000auto – Thiết lập giao tiếp gigabit Ethernet tốc độ 100 Mbps, tự động điều chỉnh bán song công hoặc song công hoàn toàn. Khuyến cáo là bạn không nên sử dụng tùy chọn này để suy trig tính tương thích với switchs và các thiết bị khác trong mạng Aui – thiết lập giao tiếp Ethernet bán song công tốc độ 10 Mbps với một giao diện cáp AUI Auto – thiết lập tốc độ Ethernet tự động. Từ khóa tự động chỉ có thể sử dụng với card mạng Intel tốc độ 10/100 Bnc - thiết lập giao tiếp Ethernet bán song công tốc độ 10 Mbps với một giao diện cáp BNC 4mbps – thiết lập tốc độ truyền dữ liệu là 4Mbps 16mbps –(mặc định) thiết lập tốc độ truyền dữ liệu là 16 Mbps Shutdown Người quản trị tắt cổng 3. Lệnh ip addresss Mỗi một giao diện trên PIX Firewall cần được cấu hình với một địa chỉ IP, cú pháp cho lệnh ip address như dưới đây: ip address if_name ip_address [netmask] Ip_name Mô tả giao diện. Tên này do bạn gán và bạn cần sử dụng trong tất cả các cấu hình trong tương lai Ip_address Địa chỉ Ip của giao diện Netmask Nếu không đưa ra một mặt nạ mạng, sẽ sử dụng mặt nạ mạng mặc định Sau khi cấu hình địa chỉ IP và mặt nạ mạng, sử dụng lệnh show ip để hiển thị địa chỉ được gán cho giao diện mạng. 4. Lệnh nat Dịch địa chỉ mạng (NAT) cho phép bạn giữ địa chỉ IP bên trong – những địa chỉ phía sau của PIX Firewall – không được biết đối với những mạng phía ngoài. NAT thực hiện điều này bằng cách dịch địa chỉ IP bên trong, địa chỉ mà không phải là duy nhất sang địa chỉ IP duy nhất trước khia gói tin được đẩy ra mạng bên ngoài nat [(if_name)] nat_id local_ip [netmask] If_name Mô tả tên giao diện mạng bên trong, nơi mà bạn sẽ sử dụng địa chỉ public Nat_id Định danh global pool và kết hợp nó với lệnh nat tương ứng Local_ip Địa chỉ IP được gán cho giao diện trên mạng inside netmask Mặt nạ mạng cho địa chỉ IP cục bộ. Bạn có thể sử dụng 0.0.0.0 để cho phép tất cả các kết nối ra bên ngoài dịch với địa chỉ IP từ global pool Khi chúng ta khởi tạo cấu hình PIX Firewall, ta có thể cho phép tất cả host inside truy cập ra kết nối bên ngoài với lệnh nat 1.0.0.0 0.0.0.0. Lệnh nat 1.0.0.0 0.0.0.0 kích hoạt NAT và cho phép tất cả các host inside truy cập ra kết nối bên ngoài. Lệnh nat có thể chỉ định một host đơn hoặc một dải các host để tạo nhiều hơn sự lựa chọn truy cập. Khi một gói tin IP truyền ra mà được gửi từ một thiết bị trên mạng inside đến PIX Firewall, địa chỉ nguồn được trích ra để so sánh với bảng dịch đang tồn tại. Nếu địa chỉ của thiết bị không tồn tại trong bảng thì sau đó nó sẽ được dịch và mục mới được tạo cho thiết bị đó, nó được gán địa chỉ IP public từ dải địa chỉ IP public. Sau khi việc dịch này xảy ra thì bảng được cập nhật và dịch IP của gói tin đẩy ra ngoài.. Sau khi người sử dụng cấu hình timeout period (hoặc giá trị mặc định là 2 phút), sau khoảng thời gian đó mà không có việc dịch gói tin cho địa chỉ IP cụ thể thì địa chỉ public đó sẽ được giải phóng để sử dụng cho một thiết bị inside khác 5. Lệnh global Cú pháp của lệnh global như dưới đây: global [(if_name)] nat_id global_ip [-global_ip] [netmask global_mask] | interface If_name Mô tả tên giao diện mạng bên ngoài mà bạn sẽ sử dụng địa chỉ global Nat_id Định danh global pool và kết hợp nó với lệnh nat tương ứng với nó Global_ip Một địa chỉ IP đơn hoặc một dãy các địa chỉ IP public -global_ip Một dãy các địa chỉ Ip public Netmask global_mask Mặt nạ mạng cho địa chỉ global_ip. Nếu có mạng con thì sử dụng mặt nạ mạng con (ví dụ, 255.255.255.128). Nếu bạn chỉ định một dãy địa chỉ mà chồng chéo lên mạng con với lệnh netmask, lệnh này sẽ không sử dụng địa chỉ mạng hoặc địa chỉ broadcast trong dải địa chỉ public. Ví dụ, nếu bạn sử dụng dải địa chỉ 192.150.50.20 – 192.150.50.140, địa chỉ mạng 192.150.50.128 và địa chỉ broadcast 192.150.50.127 sẽ không bao gồm trong dải địa chỉ public interface Chỉ định PAT sử dụng địa chỉ IP tại giao diện Nếu lệnh nat được sử dụng, thì lệnh đi cùng với nó là lệnh global cần được cấu hình để định nghĩa một dải địa chỉ IP được dịch. Để xóa mục global, sử dụng lệnh no global. Ví dụ, no global (outside) 1 192.168.1.20-12.168.1.254 netmask 255.255.255.0 PIX Firewall sẽ gán địa chỉ từ dải địa chỉ bắt đầu từ địa chỉ thấp nhất tới địa chỉ cao nhất trong dải địa chỉ được chỉ định bởi lệnh global PIX Firewall sử dụng địa chỉ public để gán một địa chỉ ảo đến địa chỉ NAT bên trong. Sau khi thêm, thay đổi hoặc gỡ bỏ một trạng thái global, sử dụng lệnh clear xlate để tạo các địa chỉ IP có sẵn trong bảng dịch (translation table) 6. Lệnh route Lệnh route định nghĩa một tuyến đường tĩnh hoặc tuyến đường mặc định cho một interface Cú pháp của lệnh route như dưới đây route if_name ip_address netmask gateway_ip [metric] If_name Mô tả tên giao diện mạng (vùng mạng) bên trong hoặc bên ngoài Ip_address Mô tả địa chỉ IP mạng bên trong hoặc bên ngoài. Sử dụng 0.0.0.0 để chỉ định tuyến đường mặc định. Địa chỉ 0.0.0.0 có thể viết tắt là 0 Netmask Chỉ định mặt nạ mạng để áp dụng cho địa chỉ ip_address. Sử dụng 0.0.0.0 để chỉ định tuyến đường mặc định. Mặt nạ mạng 0.0.0.0 có thể viết tắt là 0 Gateway_ip Chỉ định địa chỉ ip của router gateway (địa chỉ next hop cho tuyến đường này) metric Chỉ định số lượng hop đến gateway_ip. Nếu bạn không chắc chắn thì nhập 1. Người quản trị WAN của bạn có thể hỗ trợ thông tin này hoặc bạn có thể sử dụng lệnh traceroute để có được số lượng hop. Mặc định là 1 nếu một metric không được đưa ra II. Dịch chuyển địa chỉ trong PIX Firewall 1. Tổng quan về NAT 1.1. Mô tả NAT Dịch địa chỉ là thay thế địa chỉ thực trong một packet thành địa chỉ được ánh xạ có khả năng định tuyến trên mạng đích. Nat gồm có 2 bước: một tiến trình dịch địa chỉ thực thành địa chỉ ánh xạ và một tiến trình dịch ngược trở lại. PIX Firewall sẽ dịch địa chỉ khi một luật Nat kết hợp với packet. Nếu không có sự kết hợp với luật Nat thì tiến trình xử lý packet được tiếp tục. Ngoại lệ là khi kích hoạt Nat control. Nat control yêu cầu các packets từ một interface có mức an ninh cao hơn (inside) đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật Nat hoặc các packets phải dừng lại. Nat có một số lợi ích như sau: Bạn có thể sự dụng các địa chỉ riêng trên mạng inside. Các địa chỉ này không được định tuyến trên Internet Nat ẩn địa chỉ thực của một host thuộc mạng inside trước các mạng khác vì vậy các attacker không thể học được địa chỉ thực của một host inside Có thể giải quyết vấn đề chồng chéo địa chỉ IP. 1.2. Nat control Nat control yêu cầu các packets từ một interface có mức an ninh cao hơn (inside) đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật Nat. Bất cứ host nào trên mạng inside truy cập đến một host trên mạng outside đều phải được cấu hình dịch địa chỉ. Các interface có cùng mức an ninh thì không yêu cầu sử dụng Nat để truyền thông với nhau. Tuy nhiên nếu bạn cấu hình dynamic Nat hoặc Pat trên các interface có cùng mức an ninh thì tất cả các lưu lượng từ interface đến một interface có cùng mức an ninh hoặc outside interface cần phải kết hợp với một luật Nat Tương tự nếu kích hoạt outside dynamic Nat hoặc Pat thì tất cả các lưu lượng outside cần phải kết hợp với một luật Nat khi truy cập vào mạng inside 2. Các kiểu NAT 2.1 Dynamic NAT Dynamic Nat dịch một nhóm các địa chỉ thực thành một dải các địa chỉ được ánh xạ và có khả năng định tuyến trên mạng đích. Các địa chỉ được ánh xạ có thể ít hơn các địa chỉ thực. Khi một host muốn dịch địa chỉ khi truy cập vào mạng đích thì PIX sẽ gán cho nó một địa chỉ trong dải địa chỉ được ánh xạ. Translation chỉ được thêm vào khi host thực khởi tạo kết nối. Translation được duy trì trong suốt quá trình kết nối. Người sử dụng không thể giữ được địa chỉ IP khi Translation time out (hết thời gian). Người sử dụng trên mạng đích không thể khởi tạo kết nối đến host mà sử dụng dynamic Nat thậm chí kết nối này được phép bởi access list. (chỉ có thể khởi tạo kết nối trong suốt translation). Với Dynamic Nat mà dải địa chỉ được ánh xạ có số địa chỉ ít hơn số địa chỉ thực của mạng inside thì xảy ra tình trạng thiếu địa chỉ nếu số lưu lượng vượt qua mức mong muốn. 2.2. PAT PAT dịch một nhóm các địa chỉ thực thành một địa chỉ được ánh xạ. Đặc biệt, PIX dịch địa chỉ thực và port nguồn (real socket) thành địa chỉ được ánh xạ và một port duy nhất (mapped port) lớn hơn 1024. Mỗi một kết nối yêu cầu một translation riêng biệt bởi vì port nguồn là khác nhau cho mỗi kết nối. 2.3. Static NAT Static NAT tạo một translation cố định của một (hoặc nhiều) địa chỉ thực đến một (hoặc nhiều) địa chỉ được ánh xạ. Đối với Dynamic NAT hoặc PAT thì mỗi host sẽ sử dụng địa chỉ hoặc cổng khác nhau cho mỗi translation. Bởi vì địa chỉ được ánh xạ là như nhau cho các kết nối liên tục và tồn tại một translation cố định do đó với static Nat, người sử dụng ở mạng đích có thể khởi tạo một kết nối đến host được dịch (nếu accsess list) cho phép. 2.4. Static PAT Static PAT cũng tương tự như Static NAT, ngoại trừ chúng ta cần phải chỉ ra giao thức (TCP hoặc UDP) và cổng cho địa chỉ thực và địa chỉ được ánh xạ. 3. Cấu hình Nat Control Nat Control yêu cầu các packets truyền từ một inside interface đến outsite interface kết hợp với một luật Nat. Để kích hoạt Nat control sử dụng lệnh sau đây: hostname(config)# nat-control . Để disable Nat control sử dụng dạng no của lệnh này. 4. Sử dụng Dynamic NAT và PAT 4.1. Thực hiện Dynamic NAT và PAT + Đối với Dynamic NAT và PAT, trước hết cần cấu hình lệnh Nat để nhận diện các địa chỉ thực của các interface cần dịch. Sau đó cấu hình lệnh Global riêng biệt chỉ định các địa chỉ được ánh xạ. Mỗi lệnh Nat cần kết hợp với lệnh Global bởi một số được gọi là Nat ID – được chỉ ra trong mỗi lệnh Nat và global. + Chúng ta có thể nhập lệnh Nat cho mỗi interface có cùng Nat ID. Tất cả đều sử dụng cùng một lệnh Global có cùng Nat ID. hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0 hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10 + Chúng ta cũng có thể nhập lệnh global cho mỗi interface sử dụng cùng một Nat ID hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0 hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10 hostname(config)# global (dmz) 1 10.1.1.23 + Nếu chúng ta sử dụng các Nat ID khác nhau, chúng ta có thể thiết lập các địa chỉ thực khác nhau có các địa chỉ được ánh xạ khác nhau hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0 hostname(config)# nat (inside) 2 192.168.1.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.10 hostname(config)# global (outside) 2 209.165.201.11 + Chúng ta có thể nhập nhiều lệnh global cho một interface sử dụng cùng một Nat ID. PIX Firewall sẽ sử dụng lệnh Global Dynamic Nat đầu tiên theo thứ tự chúng được cấu hình. Sau đó mới sử dụng đến lệnh global Dynamic PAT. Chúng ta có thể sử dụng cả hai lệnh Dynamic Nat global và Dynamic PAT global, nếu cần sử dụng Dynamic Nat cho một ứng dụng riêng biệt nào đó và tạo ra một trạng thái dự phòng bởi lệnh Dynamic PAT global khi lệnh Dynamic NAT global bị cạn kiệt địa chỉ. hostname(config)# nat (inside) 1 10.1.2.0 255.255.255.0 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4 hostname(config)# global (outside) 1 209.165.201.5 + Đối với Nat outside ta sử dụng từ khóa outside trong lệnh Nat. hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 outside hostname(config)# nat (dmz) 1 10.1.1.0 255.255.255.0 hostname(config)# static (inside,dmz) 10.1.1.5 10.1.2.27 netmask 255.255.255.255 hostname(config)# global (outside) 1 209.165.201.3-209.165.201.4 hostname(config)# global (inside) 1 10.1.2.30-1-10.1.2.40 4.2. Cấu hình Dynamic NAT và PAT Cấu hình Dynamic Nat và Pat cũng tương tự nhau. Đối với Nat thì sử dụng dải địa chỉ được ánh xạ còn Dynamic Pat thì chỉ sử dụng một địa chỉ đơn. + Chỉ các host được dịch mới có thể tạo một Nat session. Các địa chỉ được ánh xạ được gán động từ dải địa chỉ được định nghĩa bởi lệnh Global + Chỉ các host được dịch mới có thể tạo một Nat session. Các địa chỉ được ánh xạ được định nghĩa bởi lệnh global là như nhau cho mỗi translation còn các port thì được gán động. hostname(config)# nat (real_interface) nat_id real_ip [mask [dns] [outside] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns]] hostname(config)# global (mapped_interface) nat_id {mapped_ip[-mapped_ip] | interface} 5. Sử dụng lệnh Static NAT Với Static Nat translation luôn luôn kích hoạt bởi vì các địa chỉ được ánh xạ được gán tĩnh từ lệnh Static + Không được sử dụng cùng địa chỉ thực hoặc địa chỉ được ánh xạ trong nhiều lệnh static giữa 2 interface cùng nhau. Không được sử dụng một địa chỉ được ánh xạ trong lệnh static mà nó đã được định nghĩa trong lệnh global đối với cùng interface được ánh xạ + Nếu gỡ lệnh static thì các kết nối đang tồn tại sử dụng translation này sẽ không bị ảnh hưởng nếu sử dụng lệnh clear xlate. Hãy sử dụng lệnh Clear local – host. Để cấu hình Static NAT sử dụng một trong hai lệnh sau: Đối với policy Static Nat, nhập lệnh sau; hostname(config)# static (real_interface,mapped_interface) {mapped_ip | interface} access-list acl_name [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns] Tạo access list sử dụng lệnh access – list. Lệnh access – list này chỉ bao gồm các ACEs permit. Subnet mask nguồn được sử dụng trong access list cũng được sử dụng cho địa chỉ được ánh xạ. Chúng ta cũng có thể chỉ định port thực và port nguồn trong access list sẻ dụng toán tử eq. Đối với regular Static Nat, nhập lệnh sau: hostname(config)# static (real_interface,mapped_interface) {mapped_ip | interface} real_ip [netmask mask] [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns] 6. Sử dụng Static PAT Static PAT sẽ dịch địa chỉ thực thành một địa chỉ IP được ánh xạ cũng như port thực thành port được ánh xạ. Thông thường thì PAT dịch port thực thành một port được ánh xạ nhưng chúng ta cũng có thể chọn dịch một port thực thành một port như thế (cùng chỉ số port). Để cấu hình Static NAT sử dụng một trong hai lệnh sau: Đối với policy Static PAT, nhập lệnh sau; hostname(config)# static (real_interface,mapped_interface) {tcp | udp} {mapped_ip | interface} mapped_port access-list acl_name [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns] Tạo access list sử dụng lệnh access – list. Lệnh access – list này chỉ bao gồm các ACEs permit. Subnet mask nguồn được sử dụng trong access list cũng được sử dụng cho địa chỉ được ánh xạ. Chúng ta cũng có thể chỉ định port thực và port nguồn trong access list sẻ dụng toán tử eq. Đối với regular Static PAT, nhập lệnh sau: hostname(config)# static (real_interface,mapped_interface) {tcp | udp} {mapped_ip | interface} mapped_port real_ip real_port [netmask mask] [dns] [norandomseq] [[tcp] tcp_max_conns [emb_limit]] [udp udp_max_conns] III. ACCESS LIST 1. Tổng quan về access list + Acess list được tạo nên từ một hoặc nhiều Access Control Entries (ACEs). Một ACE là một mục trong một access list mà nó tạo nên một luật permit hoặc deny, áp dụng cho một giao thức, một địa chỉ IP nguồn và đích hoặc một mạng và tùy chọn các port nguồn, port đích. + Một số kiểu access list: Standard, Extended, Ethertype, Webtype. 1.1. Thứ tự các ACE Một access list được tạo nên từ một hoặc nhiều Access Control Entries (ACEs). Tùy thuộc vào kiểu access list chúng ta có thể chỉ định địa chỉ nguồn và đích, các giao thức, các port (TCP hoặc UDP), kiểu ICMP (đối với ICMP) hoặc Ethertype. Thứ tự các access list là rất quan trọng. Khi PIX firewall quyết định nơi sẽ đẩy hoặc hủy gói tin. PIX sẽ kiểm tra các gói tin vi phạm luật trong mỗi ACE theo thứ tự trong toàn bộ danh sách. Ví dụ, nếu chúng ta tạo một ACE cho phép tất cả các lưu lượng đi qua tại điểm bắt đầu của access list thì sẽ không có một trạng thái nào được kiểm tra sau đó. Có thể disable một ACE bằng cách chỉ định từ khóa inactive trong lệnh access – list. 1.2. Access Control Implicit Deny Access list có một implicit deny tại điểm cuối cùng của danh sách, vì vậy trừ khi bạn permit nó nếu không lưu lượng không thể đi qua. Ví dụ nếu ta muốn tất cả các lưu lượng của một mạng được đi qua PIX, ngoại trừ một địa chỉ đặc biệt thì cần phải deny địa chỉ đặc biệt sau đó permit tất cả các địa chỉ khác. 1.3. Địa chỉ IP được sử dụng cho access list khi sử dụng NAT Khi sử dụng Nat, địa chỉ IP bạn chỉ định cho một access list phụ thuộc vào interface mà access list đó được gắn vào. Cần sử dụng địa chỉ thích hợp trên mạng được kết nối đến interface. Nguyên tắc này áp dụng cho cả 2 access list inbound và outbound: hướng không quyết định mà chỉ interface mới quyết định địa chỉ được sử dụng. + Nat được sử dụng cho địa chỉ nguồn hostname(config)# access-list INSIDE extended permit ip 10.1.1.0 255.255.255.0 host 209.165.200.225 hostname(config)# access-group INSIDE in interface inside + Nat được sử dụng cho địa chỉ đích hostname(config)# access-list OUTSIDE extended permit ip host 209.165.200.225 host 209.165.201.5 hostname(config)# access-group OUTSIDE in interface outside + Nat được sử dụng cho địa chỉ IP nguồn và đích hostname(config)# access-list INSIDE extended permit ip 10.1.1.0 255.255.255.0 host 10.1.1.56 hostname(config)# access-group INSIDE in interface inside 2. Cấu hình access list 2.1. Câu lệnh access – list. Lệnh access –list cho phép kích hoạt một việc chỉ định một địa chỉ IP là permited hoặc denied việc truy cập đến một giao thức hoặc port. Mặc định tất cả các truy cập trong một access list là bị cấm. Chúng ta cần permited nó. Lệnh show access – list liệt kê các trạng thái trong cấu hình access list Lệnh clear access – list sẽ xóa access list trong cấu hình PIX Firewall, nếu ta đưa ra acl_id thì chỉ xóa các ACL tương ứng. + acl_ID: tên của một ACL, có thể dùng tên hoặc số + deny: cấm truy cập + permit: cho phép truy cập + Protocol: tên hoặc số của một giao thức TCP, nó có thể là một từ khóa icmp, ip, tcp hoặc udp, cũng có thể là một số nằm trong dải từ 1 đến 254 + source_addr: địa chỉ nguồn + source_mask: subnet mask nguồn + operator: các toán tử như ep, neq, lt, gt… + port: chỉ ra chỉ số port + destination_addr: địa chỉ đích + destination_mask: subnet mask đích 2.2. Câu lệnh access – group Lệnh access-group acl_ID in interface interface_name Gán một ACL đến một interface no access-group acl_ID in interface interface_name Hủy gán một ACL đến một interface show access-group acl_ID in interface interface_name Hiển thị việc gán ACL hiện tại đến một interface clear access-group Xóa lệnh access – group CHƯƠNG 4 THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL I. Khảo sát hệ thống mạng hiện tại và các yêu cầu cần nâng cấp. 1. Hiện trạng hệ thống Qua quá trình khảo sát hiện trạng hệ thống mạng của Trường Cao đẳng cơ khí luyện kim, cho thấy đây là một hệ thống còn hết sức đơn giản, có thể được mô hình hóa như sau: * Đường truyền của hệ thống + Đường truyền Internet: hệ thống hiện tại chỉ có duy nhất một đường truyền Internet ADSL tốc độ 2Mbps của VNPT + Mạng nội bộ: Hệ thống mạng LAN nối các tòa nhà, các phòng ban với nhau sử dụng cáp UTP 4 pair * Các dịch vụ cung cấp: Hiện tại hệ thống mạng của trường chỉ dùng để trao đổi thông tin giữa các máy trong LAN và truy cập khai thác Internet, chưa cung cấp bất kỳ dịch vụ nào khác. * Các thiết bị chính Switch Catalyst 2950 Switch planet FNSW – 1601 Modem ADSL Các máy trạm tại các văn phòng 2. Đánh giá hiệu năng và mức an toàn của hệ thống * Hiệu năng của hệ thống Hiện tại hệ thống chỉ sử dụng các Hub để phân chia lưu lượng mạng, các thiết bị này có nhược điểm là không phân chia các miền đụng độ. Do đó khi một máy gửi tín hiệu đi thì tất cả các máy khác trong cùng miền đụng độ sẽ nhận được lưu lượng đó. Vì vậy một lượng lớn lưu lượng chạy trong hệ thống mạng là lưu lượng vô ích. Nó làm giảm đáng kể hiệu năng của hệ thống mạng. Trong tương lai nếu mở rộng hệ thống mạng hơn nữa thì nguy cơ hệ thống bị tê liệt có thể xảy ra. Ngoài ra hệ thống mới chỉ dùng một modem ADSL cho việc truy cập mạng. Điều này chưa thực sự làm cho hệ thống mạng ổn định - không bị rớt mạng. * Độ an toàn của hệ thống Nguy cơ bị mất mát dữ liệu Hiện nay, đối với hệ thống mạng hiện tại, nguy cơ bị mất mát dữ liệu là rất lớn. Nguy cơ này có thể đến từ hai hướng: bên ngoài Internet và ngay nội bộ hệ thống mạng của trường. Nguy cơ mất mát thông tin từ ngoài Internet: Mạng của trường đã kết nối đến Internet, nhưng không có một thiết bị và chương trình bảo mật nào bảo vệ hệ thống khỏi các nguy cơ xâm nhập từ bên ngoài vào. Những attacker có thể sử dụng virus dưới dạng trojan để truy cập vào hệ thống ăn cắp hoặc phá hoại thông tin. Nguy cơ mất mát thông tin từ bên trong hệ thống: Với các switch hiện tại, những người trong hệ thống mạng có thể dễ dàng dùng các chương trình nghe lén (sniffer như Cain & Able) để lấy cắp các thông tin được truyền đi trong mạng (user name và password). Bị tấn công Các hệ thống có kết nối Internet thường hay bị tấn công bởi các tin tặc. Nguy cơ tấn công cũng có thể xảy ra từ chính bên trong mạng, nếu một máy tính trong mạng bị nhiễm virus có khả năng tấn công mạng hoặc chạy các chương trình tấn công mạng thì có thể làm cho hệ thống mạng hoàn toàn tê liệt, không thể truy cập được Internet. Hoặc việc tấn công do chính một thành viên nội bộ hệ thống. 3. Các yêu cầu nâng cấp hệ thống mạng hiện tại của trường Qua phân tích cho thấy hệ thống mạng hiện tại của Trường Cao đẳng cơ khí luyện kim có hiệu năng thấp và có rất nhiều nguy cơ về an ninh mạng. Ngoài ra nhà trường muốn xây dựng thêm các server để cung cấp dịch vụ mail server và web server cho toàn bộ nhân viên của trường. Lãnh đạo nhà trường đã quyết định nâng cấp toàn bộ hệ thống mạng nhằm khắc phục các vấn đề về hiệu năng hệ thống, độ an toàn của hệ thống và đảm bảo cung cấp các dịch vụ đã được đề ra. II. Thiết kế hệ thống mạng sử dụng thiết bị PIX firewall. 1. Sơ đồ thiết kế hệ thống mới. Xây dựng các web server, mail server, sử dụng thêm 1 đường ADSL cho việc truy cập Internet, 1 đường lease line dành riêng cho các server, thay thế các hub bằng các Switch 2960 để nâng cao hiệu năng của hệ thống. Đặc biệt là sử dụng thiết bị PIX firewall để nâng cao mức độ an toàn cho hệ thống mạng. Mô hình mạng của trường sẽ được thiết kế như sau: Hệ thống mạng theo mô hình trên có các đặc điểm như sau: * Xây dựng các Server triển khai các dịch vụ web server và mail server đáp ứng yêu cầu đề ra ban đầu. * Sử dụng thêm một đường ADSL 2Mbps cho việc truy cập Internet của người dùng. Như vậy hệ thống bây giờ có 2 đường ADSL chạy qua một thiết bị cân bằng tải Draytek V2930. Điều này sẽ cải thiện lớn tốc độ truy cập Internet của người dùng, đặc biệt tăng tính ổn định của mạng Internet, không xảy ra tình trạng bị rớt mạng. * Sử dụng một đường lease line 384Kbps dành riêng cho các Server đảm bảo đường truyền cho các Server được ổn định. * Sử dụng switch Cisco để chia mạng LAN ảo - VLAN: Các Hub nối các phòng ban sẽ được thay thế bằng switch với khả năng chia VLAN, các phòng ban sẽ được chia vào các VLAN. Mục đích là hạn chế sự broadcast thông tin lên toàn mạng làm tắc nghẽn đường truyền, nâng cao hiệu suất mạng, mặt khác giúp dễ dàng quản lý, áp dụng được các chính sách khác nhau đối với từng phòng ban cũng như nhanh chóng khắc phục các sự cố khi xảy ra. * Sử dụng Firewall cứng (Cisco PIX Firewall) để bảo vệ hệ thống server và mạng nội bộ của Trường, Firewall sẽ chia hệ thống mạng ra làm 3 vùng có mức độ ưu tiên bảo mật khác nhau Outside: đây là vùng Internet, có mức độ ưu tiên bảo mật thấp nhất DMZ: vùng đặt các máy chủ, các máy chủ có khả năng truy cập ra vùng Outside Inside: mạng nội bộ của khoa, đây là vùng có mức độ ưu tiên bảo vệ cao nhất, các máy trong vùng inside có khả năng truy cập ra outside và DMZ. Ước tính giá thành cho việc nâng cấp toàn bộ hệ thống: Hệ thống mạng sau khi xây dựng vẫn giữ lại các máy trạm, 1 switch 2960, hệ thống cáp UTP và một modem ADSL Hệ thống mới cần mua thêm các thiết bị mới với giá cả và chi phí cấu hình ước tính như sau:(giá cả chỉ mang tính chất tham khảo tại thời điểm khảo sát) + 2 CISCO1841 Modular Router w/2xFE, 2 WAN slots, 32 FL/128 DR giá 950 x 2 = 1900 USD + Thiết bị cân bằng tải Vigor 2910 giá 95 USD + Modem ADSL giá 20 USD + PIX 515 giá 980 USD + Modem lease line SGHDSL DATACRAFT 560 NTU giá 180 USD + 4 Switch 2960 giá 600 x 4 = 2400 USD + 3 máy IBM SERVER x3200 - M2 giá 850 USD x 3 = 2550 USD + Chi phí thiết kế website, cấu hình server giá 800 USD + Chi phí cấu hình các thiết bị cisco: pix, switch, router giá 750 USD Như vậy tổng chi phí ước tính nâng cấp toàn bộ hệ thống vào khoảng 9.675 USD Ngoài ra trường còn phải chi trả tiền thuê đường ADSL và lease line hàng tháng. 2. Cấp phát địa chỉ Sau khi chia mỗi văn phòng là một VLAN, có sơ đồ VLAN như sau: .3 .4 .5 118.71.120.11 Fa0/0 .1 .2 118.71.120.10 192.168.128.0 /24 Gán VLAN VLAN_ID Tên VLAN Mô tả 1 VLAN 1 Không dùng 2 VLAN 2 VLAN Tài chính - Kế toán 3 VLAN 3 VLAN Công đoàn 4 VLAN 4 VLAN Quản lý sinh viên 5 VLAN 5 VLAN Quan hệ QT 6 VLAN 6 VLAN Văn phòng khoa 7 VLAN 7 VLAN Đào tạo 99 VLAN 99 VLAN quản lý Gán địa chỉ IP * PIX firewall Interface Name Security Level IP Address Subnet Ethernet 0 Inside 100 192.168.128.1 255.255.255.248 Ethernet 1 DMZ 50 192.168.128.2 255.255.255.252 Ethernet 2 Outside 0 118.71.120.10 255.255.255.0 * Router Cisco 1841 Interface IP Address Subnet Mô tả Fa0/0 118.71.120.11 255.255.255.0 Nối với PIX Firewall Fa0/1 Địa chỉ này do ISP cấp Nối với lease line * Các server STT Dịch vụ Inside Local IP 1 Email, DNS 192.168.128.3 2 Web 192.168.128.4 3 ISA Server 192.168.128.5 và 192.168.128.6 * Các host inside VLAN ID Tên VLAN Dải địa chỉ IP Subnet mask 2 VLAN2 192.168.2.1 – 192.168.2.254 /24 3 VLAN3 192.168.3.1 – 192.168.3.254 /24 4 VLAN4 192.168.4.1 – 192.168.4.254 /24 5 VLAN5 192.168.5.1 – 192.168.5.254 /24 6 VLAN6 192.168.6.1 – 192.168.6.254 /24 7 VLAN7 192.168.7.1 – 192.168.7.254 /24 * Cấu hình địa chỉ IP các máy trạm Địa chỉ IP: 192.168.x.y Subnet mask: /24 Gateway: 192.168.x.1 DNS: 192.168.128.3 Với x là số VLAN tương ứng, y là số thứ tự máy trong VLAN đó (y chạy từ 1-254) 3. Cấu hình mô phỏng hệ thống 3.1. Các phần mềm được sử dụng cho cấu hình mô phỏng 3.1.1. GNS3 Phần mềm GNS3 – một phần mềm giả lập mạng có giao diện dạng đồ họa. GNS3 là một phần mềm giả lập mạng dạng đồ họa, nó cho phép mô phỏng với các mạng phức tạp, nó sử dụng hệ điều hành mạng Cisco. GNS3 cho phép chúng ta chạy một Cisco IOS trong một môi trường ảo trên máy tính cá nhân. GNS3 chạy các IOS thật của các thiết bị như PIX, router…trong đồ án này sử dụng các IOS pix722_2.bin và C2691-IS.BIN. Vì các phần mềm này hỗ trợ IOS thật nên rất tốn CPU của máy tính. Do đó sử dụng thêm phần mềm BES 1.2.2 để hạn chế CPU. 3.1.2. VMWare Workstation GNS3 không đưa ra thiết bị PC mà đưa ra một thành phần gọi là cloud dùng để kết nối đến PC của một hãng thứ 3 như vpcs, VMWare…Trong đồ án này sử dụng phần mềm VMWare để mô phỏng cho các máy tính cá nhân của mạng nội bộ, user bên ngoài Internet và Server thuộc vùng DMZ. * Chức năng các thành phần trong mô hình + Web server: Là một máy VMWare cài hệ điều hành Windows Server 2003. Trên máy vmware này được cấu hình dịch vụ web server để triển khai public website Các user thuộc mạng nội bộ của trường (inside zone) và các user bên ngoài Internet đều có thể truy cập được website này. Ngoài ra server này còn triển khai DNS để ánh xạ tên website sang địa chỉ IP của web server. + Host inside: Là một máy VMWare cài đặt hệ điều hành Windows XP được cấu hình địa chỉ gateway là địa chỉ e0 của PIX firewall, DNS trỏ đến địa chỉ IP của web server + Host outside: Là một máy VMWare cài đặt hệ điều hành Windows server 2003, dùng để kiểm tra kết nối đến web sever. + PIX Firewall: Được chạy IOS thật pix722_2.bin 3.1.3. Packet tracer 5.0 Các host thuộc vùng inside sử dụng phần mềm packet tracer để chia thành các VLAN khác nhau và cấu hình định tuyến giữa các VLAN đó. 3.2. Thiết lập cấu hình cho hệ thống mạng * Cấu hình chia VLAN Final Configurations * router Current configuration : 1085 bytes ! version 12.4 no service password-encryption ! hostname Router ! ! ! ! ! ip ssh version 1 ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.1 encapsulation dot1Q 1 native ip address 192.168.1.1 255.255.255.0 ! interface FastEthernet0/0.2 encapsulation dot1Q 2 ip address 192.168.2.1 255.255.255.0 ! interface FastEthernet0/0.3 encapsulation dot1Q 3 ip address 192.168.3.1 255.255.255.0 ! interface FastEthernet0/0.4 encapsulation dot1Q 4 ip address 192.168.4.1 255.255.255.0 ! interface FastEthernet0/0.5 encapsulation dot1Q 5 ip address 192.168.5.1 255.255.255.0 ! interface FastEthernet0/0.6 encapsulation dot1Q 6 ip address 192.168.6.1 255.255.255.0 ! interface FastEthernet0/0.7 encapsulation dot1Q 7 ip address 192.168.7.1 255.255.255.0 ! interface FastEthernet0/0.99 encapsulation dot1Q 99 ip address 192.168.99.1 255.255.255.0 ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Vlan1 no ip address shutdown ! ip classless ! ! ! ! ! line con 0 line vty 0 4 login ! ! End * Switch S1 Current configuration : 1346 bytes ! version 12.2 no service password-encryption ! hostname S1 ! ! ! interface FastEthernet0/1 switchport access vlan 2 switchport mode access ! interface FastEthernet0/2 switchport access vlan 7 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport mode trunk interface range FastEthernet0/4 - 24 shutdown ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 192.168.99.11 255.255.255.0 ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End * Switch S2 Current configuration : 1346 bytes ! version 12.2 no service password-encryption ! hostname S2 ! ! ! interface FastEthernet0/1 switchport access vlan 3 switchport mode access ! interface FastEthernet0/2 switchport access vlan 6 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport mode trunk ! interface range FastEthernet0/4 - 24 ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 192.168.99.12 255.255.255.0 ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End * Switch S3 Building configuration... Current configuration : 1379 bytes ! version 12.2 no service password-encryption ! hostname S3 ! ! ! interface FastEthernet0/1 switchport access vlan 3 switchport mode access ! interface FastEthernet0/2 switchport access vlan 4 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport trunk allowed vlan 4 switchport mode trunk ! interface range FastEthernet0/4 – 24 shutdown ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 192.168.99.13 255.255.255.0 ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End * Switch S4 Current configuration : 1538 bytes ! version 12.2 no service password-encryption ! hostname S4 ! no ip domain-lookup ! ! interface FastEthernet0/1 switchport access vlan 5 switchport mode access ! interface FastEthernet0/2 switchport access vlan 6 switchport mode access ! interface FastEthernet0/3 switchport trunk native vlan 99 switchport mode trunk ! interface FastEthernet0/4 switchport trunk native vlan 99 switchport mode trunk ! interface FastEthernet0/5 switchport trunk native vlan 99 switchport mode trunk ! interface FastEthernet0/6 switchport trunk native vlan 99 switchport mode trunk ! interface range FastEthernet0/7 - 24 shutdown ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! interface Vlan99 ip address 192.168.99.14 255.255.255.0 ! ip default-gateway 192.168.99.1 ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! End * Cấu hình trên PIX firewall PIX Version 7.2(2) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 nameif inside security-level 100 ip address 192.168.1.2 255.255.255.0 ! interface Ethernet1 nameif dmz security-level 50 ip address 192.168.128.2 255.255.255.0 ! interface Ethernet2 nameif outside security-level 0 ip address 118.71.120.1 255.255.255.0 ! interface Ethernet3 shutdown no nameif no security-level no ip address ! interface Ethernet4 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list aclout extended permit tcp any host 118.71.120.12 eq 80 access-list aclout extended permit icmp any any pager lines 24 mtu outside 1500 mtu inside 1500 mtu dmz 1500 icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 nat-control global (dmz) 1 118.71.120.14 netmask 255.255.255.0 global (outside) 1 118.71.120.13 netmask 255.255.255.0 global (outside) 2 118.71.120.15 netmask 255.255.255.0 nat (inside) 1 0 0 0 0 0 0 0 0 nat (dmz) 2 192.168.128.0 255.255.255.0 static (dmz,outside) 118.71.120.12 192.168.128.2 netmask 0 0 access-group aclout in interface dmz access-group aclout in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 prompt hostname context Cryptochecksum:225c6b16b78cabaa953f1b210a6844a5 : end 4. Kiểm tra cấu hình Các host inside được chia thành các VLAN và có thể truyền thông được với nhau Một user bên ngoài Internet hoặc user bên trong mạng nội bộ của trường đều có thể truy cập được website đặt trên máy chủ thuộc vùng DMZ. Một user thuộc vùng inside hoặc vùng dmz có thể đi ra bên ngoài Internet Một user thuộc vùng inside có thể truy cập vào vùng DMZ Một user bên ngoài Internet không thể truy cập vào được bên trong vùng inside hoặc DMZ Như vậy sau khi sử dụng PIX, các user bên trong mạng nội bộ có thể truy cập vào vùng DMZ và truy cập ra ngoài Internet. Ngược lại bên ngoài Internet không thể truy cập vào mạng nội bộ hoặc khu vực chứa server của trường. KẾT LUẬN Các giao dịch của Việt Nam và trên thế giới hiện tại và tương lai đa số diễn ra trên mạng. Do đó mà việc bảo mật thông tin là vô cùng quan trọng. Tìm hiểu về an ninh mạng và các phương thức đảm bảo an toàn cho hệ thống mạng là một đề tài có tính chất thực tế và khá mới mẻ đối với sinh viên. Đồ án “Thiết kế mạng an toàn sử dụng PIX firewall cho trường Cao đẳng cơ khí luyện kim” nhằm nghiên cứu tìm hiểu các vấn đề cơ bản cũng như hiểu biết về tầm quan trọng của an ninh mạng. Đề tài tập trung tìm hiểu các đặc trưng của PIX Firewall – một giải pháp an ninh phần cứng của Cisco và áp dụng vào mô hình mạng của trường Cao đẳng cơ khí luyện kim. Sức mạnh bảo mật của Cisco PIX Firewall mang lại cho hệ thống mạng là rất lớn. Tuy nhiên do lượng thời gian có hạn nên việc tiếp cận một công nghệ firewall còn khá mới mẻ sẽ khó tránh khỏi những hạn chế. Em xin tiếp nhận các ý kiến đóng góp của thầy cô, bạn bè để hoàn thiện kiến thức cho bản thân. Em xin chân thành cảm ơn cô giáo Bùi Thị Mai Hoa đã tận tình hướng dẫn em hoàn thành đồ án này. Thái Nguyên, tháng 06 năm 2009 TÀI LIỆU THAM KHẢO [1] Cisco Secure PIX Firewall Advanced - CSPFA Student Guide V3.2 - Cisco system, Inc. 170 Web Tasman Drive, San Jose, CA 951347-106 USA. [2] Cisco Security Appliance Command Line Configuration Guide For the Cisco ASA 5500 Series and Cisco PIX 500 Series Software - Version 7.2 Customer [3] [4] [5]