Với sự phát triển nhanh của mạng Internet, bảo mật thông tin trở lên vô cùng cấp bách để có được những thông tin giá trị và tin cậy. Người quản lý nhận thấy việc đầu tư cho an ninh không chỉ là lợi lớn mà còn là rất cần thiết. Các công ty nhận ra sự cần thiết của việc tạo ra và tuân theo chính sách bảo mật thông tin, bởi vậy, người IT chuyên nghiệp luôn luôn bị thách thức để bảo vệ mạng của họ với firewall và tạo mạng riêng ảo VPN để cung cấp sự an toàn cho các giao dịch được mã hóa qua hạ tầng Internet công cộng dễ bị tấn công.
Cũng như bao công ty khác trên thế giới sử dụng Internet để giao dịch. Ngân hàng, mỗi phút có hàng nghìn giao dịch trị giá tiền tỉ được thực hiện. Chính vì vậy, nhiều hacker luôn tìm những lỗ hổng bảo mật trong ngân hàng để tấn công, truy nhập trái phép lấy đi của ngân hàng hàng tỉ đồng. Nhiều ngân hàng ở Việt Nam sau nhiều lần bị tấn công đã chú trọng tới đầu tư cho bảo mật. Nhận ra yêu cầu cấp bách đó, trong thời gian làm đồ án tốt nghiệp, em đã tìm hiểu và nghiên cứu về an ninh mạng và các giải pháp đảm bảo an toàn cho mạng, đặc biệt quan tâm tới các giải pháp an toàn của Cisco là thiết bị PIX firewall.
Nội dung:
Chương 1: Các vấn đề về an ninh mạng.
Chương 2: Tổng quan về Firewall.
Chương 3: Thiết bị an ninh PIX Firewall.
Chương 4: Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng
Công Thương Hà Nội.
100 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 2965 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng công thương Hà Nội, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hay ba luật
thiết lập cho người dùng của bạn. Quản lý luật thiết lập như thêm, thay đổi, và
xóa luật, là tiến trình khó.
Bởi vì quản lý thực hiện, bạn cần quan tâm kiểm tra khả năng quản lý giải pháp
firewall host-based mà bạn có thể xem xét, đặc biệt khi nó đến với khả năng quản
lý dải lớn luật thiết lập qua những kiểu host khác nhau.
c .Sử dụng firewall host-based
Sử dụng firewall host-based ở mức độ bảo vệ mức thấp. Do hạn chế của này,
chúng thường sử dụng trong những tình huống sau:
Với người sử dụng ở nhà hay truyền thông với việc truy cập Internet.
Trong môi trường SOHO.
Thêm mức độ bảo vệ cho tài nguyên then chốt, như email và server
database.
I.4.6. Firewall lai ghép
Bởi vì nhiều công nghệ ngày càng phát triển, sử dụng Internet ngày càng
lớn, ví dụ sự bùng nổ của thương mại điện tử và kinh doanh điện tử, cần bảo mật
ngày càng tăng. Bởi vậy phân loại sản phẩm firewall là khó, gần như là không
thể. Để cung cấp đặc điểm bảo mật nhiều loại firewall hoạt động trong một thiết
bị như firewall lai ghép. Ví dụ đây là firewall PIX CISCO. Nó hỗ trợ firewall
stateful, cut-through proxy, một ít kiểu firewall kết nối cổng, và dịch địa chỉ,
cũng như nhiều đặc điểm khác.
Thực tế, ở thị trường ngày nay, nó là không thể tìm thấy một firewall mà
phù hợp với một loại riêng biệt. Để cải thiện bảo mật của họ, sản phẩm firewall
ngày nay chứa đựng nhiều chức năng và đặc điểm đổi mới.
Khi định giá giải pháp firewall, bạn nên kiểm tra thêm vào đặc điểm và
chức năng cho firewall, cũng như xác định chức năng nào là chính. Ví dụ, nếu
thích firewall stateful wire-speed bạn xem xét Cisco Pix hơn Cisco router với
firewall Cisco IOS đặc điểm thiết lập. Tuy nhiên, kiểm tra firewall dựa trên phần
cứng như PIX và những nhà cung cấp dịch vụ khác, nghiên cứu cẩn thận đặc
điểm thêm vào của họ, và chức năng để nhìn cách tốt nhất trong thiết kế bảo mật.
I.5 Firewall và những dịch vụ khác
Chỉ bởi vì firewall có nhãn là “firewall” không có nghĩa rằng nó chỉ thực
hiện chức năng firewall. Nhiều sản phẩm của các hãng bao gồm những đặc điểm
khác của host mà dễ quản lý mạng và bảo mật nó tốt hơn.
Chức năng Server và client Giao thức cấu hình host động dynamic host
configuration protocol.
Mạng riêng ảo VPN.
Tìm kiếm xâm nhập.
Giao thức định tuyến unicast và multicast đầy đủ chức năng.
Tăng lọc nội dung.
Hầu hết firewall hỗ trợ chức năng Dynamic host configuration protocol.
Đây là rất quan trọng, firewall có thể cần hỗ trợ dịch vụ DHCP để gán địa chỉ
động cho clients. Mặt khác, firewall có thể kết nối trực tiếp tới ISP, và ISP có thể
sử dụng DHCP hay giao thức point to point qua Ethernet để gán thông tin địa chỉ
tự động vào firewall.
Cũng như vậy, nó trở nên phổ biến hơn khi sử dụng Internet để kết nối từ
xa tới những site và người dùng khác nhau. Vấn đề sử dụng Internet là tất cả
thông tin dễ bị nghe trộm. Nhiều firewall hỗ trợ chức năng VPN mà có thể làm
bạn mã hóa đường truyền giữa những thiết bị hay những mạng Cisco IOS dựa
trên VPN.
Một số firewall hỗ trợ khả năng dò tìm xâm nhập, mà cho phép chúng tìm
những lọat tấn cộng. Trong hầu hết trường hợp, hệ thống dò tìm xâm nhập IDS
bao gồm xác thực đơn giản. Đặc điểm này thường làm bạn có thể phát hiện
những tấn công mạng phổ biến, như tấn công DoS, và nó phù hợp hơn với môi
trường SOHO hay như thêm vào các thước đo bảo mật cho mạng doanh nghiệp.
Để tìm hàng trăm đe dọa và tấn công trên mạng, như loạt Cisco 4200 sensor hay
modul IDS cho Catalyst Switches 6500, được sử dụng.
Nhiều firewall bây giờ có thể lọc nội dung, thường dựa trên web. Ví dụ
một số firewall có thẻ lọc kịch bản java và ActiveX, cái mà có thể chứa đựng mã
nguy hiểm, một số firewall thậm chí có thể lọc thông tin URL. Cũng như firewall
có con đường dài và sẽ đối mặt với nhiều thách thức trong tương lại với tích hợp
công nghệ mới để đối phó với những mối đe dọa mạng.
II Thiết kế bảo mật
II.1 Hướng dẫn thiết kế
Bạn nên theo 5 hướng dẫn cơ bản khi thiết kế hệ thống firewall:
Phát triển chính sách bảo mật.
Tạo giải pháp thiết kế đơn giản.
Sử dụng những thiết bị như họ mong đợi.
Bổ sung phòng vệ ở các tầng để bảo cung cấp nhiều bảo vệ hơn
Cân nhắc giải pháp chống lại tấn công từ nội bộ
Thiết kế chính sách bảo mật
Tạo chính sách bảo mật là vô cùng quan trọng. Chính sách bảo mật định
nghĩa những hành động nào được phép và không được phép, giới hạn trạng thái
tới tài nguyên và bám vào chính sách và kế hoạch kinh doanh của công ty. Không
có chính sách bảo mật, nó không thể thực hiện các giải pháp bảo mật mà cần thiết
cho công ty.
Cái chính để có thiết kế tốt cơ bản là dựa vào chính sách bảo mật của nó,
chính sách định nghĩa người nào được phép truy xuất tài nguyên, cái gì họ được
phép làm với tài nguyên, cách tài nguyên được bảo vệ và hành động nào được
làm khi bảo mật thực hiện. Không có chính sách bảo mật, nó không thể thiết kế
hệ thống firewall mà bảo vệ tài nguyên. Mặt khác, nếu không có chính sách bảo
mật, bạn sẽ bảo vệ cái gì? Bao nhiêu tài nguyên bạn cần bảo vệ? ai được phép
truy xuất tài nguyên? Nếu chính sách của bạn không định nghĩa những thứ này,
nó là khó để thiết kế và thực hiện. Không có chính sách bảo mật, hệ thống
firewall mà bạn đặt trong có thể gặp ra rủi ro bảo mật, nó không thể cung cấp sự
bảo vệ đầy đủ cho tài nguyên công ty.
Thiết kế bảo mật gồm:
Tài nguyên được yêu cầu truy xuất từ người dùng bên trong và bên
ngoài.
Đe dọa nào được kết hợp với tài nguyên này.
Phương thức và giải pháp mà có thể được sử dụng để bảo vệ tài
nguyên này.
Phân tích đánh giá phù hợp nhất, so sánh các phương thức và giải pháp
khác nhau.
Thiết kế giải pháp đơn giản
Thiết kế bảo mật nên đơn giản dễ quản lý và dễ duy trì, nâng cấp sửa đổi.
Giải pháp phức tạp có thể dẫn tới lỗi thiết kế và cấu hình, và khó kiểm tra và gỡ
rối. thiết kế đơn giản, dễ quản lý hơn.
Sử dụng thiết bị chính xác
Sử dụng thiết bị mạng có mục đích, chúng được xây dựng với mục đích
xác định, ví dụ switch tầng 2 được sử dụng để bẻ gẫy miền đụng độ hay domain.
Nó cũng sử dụng VLAN để bẻ gãy miền broadcast.
Sử dụng sản phẩm mục đích để giải quyết vấn đề bảo mật có thể dẫn tới bị
tấn công. Ví dụ, giả sử bạn muốn sử dụng IDS để tìm các loại tấn công mạng
khác nhau. Bạn thông báo router Cisco có khả năng trong thiết lập đặc điểm
firewall Cisco IOS, và giải quyết nó, cảm thấy an toàn với router Cisco với việc
báo đèn khi tấn công xảy ra. Nếu bạn có thời gian đọc vấn đề bảo mật chính của
router, bạn nhận ra rằng router chỉ có thể tìm thấy hàng tá loại tấn công mạng
khác nhau nhưng chỉ là là một. Bởi vậy, tất cả hàng trăm loại tấn công, router
không có thể tìm ra chúng. Trong ví dụ này, giải pháp tốt hơn bạn mua giải pháp
IDS mà có thể tìm thấy hàng trăm tấn công khác nhau.
Tạo phòng thủ phân tầng
Thiết kế bảo mật sử dụng phòng thủ phân tầng. Bạn không muốn một tầng
phòng thủ để bảo vệ mạng. Nếu đây là một tầng bị tấn công, toàn mạng sẽ bị
phơi bày thay vì sử dụng nhiều tầng phòng thủ trong thiết kế hệ thống firewall,
với nhiều tầng, nếu một tầng bị thỏa hiệp, bạn vẫn cón tầng khac đằng sau nó bảo
vệ bạn một ví dụ mà sử dụng mô tả firewall là hệ thống củng cố mà và sử dụng
để bảo vệ castle trong thời gian medieval. Hình 2-22 chỉ ví dụ này. Trong hình,
hàng phòng thủ đầu tiến là moat surrounding the castle. Cho hàng phòng thủ thứ
2, spearmen là đằng sau moat, ngăn cản mọi người cố gắng bởi qua nó. Đằng sau
spearmen là phòng thủ thứ 3, tường castel, mà có ít cao 3 m nhưng thường cao
hơn. Trên tường có swordmen, cung cất phòng thủ tầng 4. Bên trong tường castle
là castle grounds và castle bản thân nó. Castle được xây dựng với tường đá cao
và turrets, cung cấp tầng bảo vệ thứ 5. Và trong cửa sổ của tường và trên turret là
archer, cung cấp tầng phòng thủ cuối cùng. Như khi bạn có thể nhìn hệ thống
này, kẻ tấn công phải qua nhiều tầng phòng thủ để làm chủ hay giết vua.
Hình 2-22 hệ thống firewall medieval
Đối phó với đe dọa từ bên trong
Bảo mật cá nhân được xem như bảo mật tài nguyên công ty từ đe dọa bên
ngoài. Nhưng là dễ hơn nhiều để tấn công vào tài sản từ bên trong. Bởi vậy hệ
thống firewall tốt không chỉ bảo vệ mạng đến từ đe dọa bên ngoài mà cũng cho
phép giảm tối đa đe dọa đến từ bên trong.
II.2 Miền DMZ
Hầu hết hệ thống firewall sử dụng miền phi quân sự DMZ để bảo vệ tài
nguyên và tài sản. DMZ là đoạn hay những đọan mà có mức độ bảo mật cao hơn
so với đoạn bên ngoài, nhưng mực độ bảo mật thấp hơn so với đoạn bên trong.
DMZ thường để cấp truy xuất cho người dùng bên ngoài tới tài nguyên công
cộng hay tài nguyên thương mại điện tử. Như Web, DNS, email server mà không
bị lộ mạng bên trong. Firewall sử dụng để cung cấp đoạn mức độ bảo mật giữa
bên ngoài, DMZ và tài nguyên bên trong. Cơ bản, DMZ hoạt động như bộ đệm
giữa các miền khác nhau trong mạng.
Luật DMZ và luồng lưu lượng
Để giúp tăng mức độ bảo mật dễ dàng hơn, mỗi miền trong firewall được
gán một mức độ bảo mật. Nó có thể thấp, trung bình, cao hay một số thứ phức
tạp, như số giữa 1 và 100, với 1 là mức bảo vệ thấp nhất và 100 là mức bảo vệ
cao nhất. Lưu lượng từ miền có mức bảo đảm cao hơn cho phép xuống tầng thấp
hơn, nhưng không ngược lại.Lưu lượng đi từ tầng thấp tới tầng cao hơn, nó phải
được cho phép, và phải thiết lập luật lọc mà cho phép đường truyền này đi từ
mức thấp tới mức cao. Nếu 2 miền có cùng mức bảo mật, như trung bình, lưu
lượng giữa 2 miền cùng được cho phép hay hủy bỏ, dựa trên tiến trình mà sản
phẩm sử dụng.
Vì khi cho phép lưu lượng từ mức bảo mật thấp hơn tới mức bảo mật cao
hơn, phải xác định rõ lưu lượng nào được phép. Ví dụ, nếu muốn người dùng
Internet truy xuất tới web server, địa chỉ IP dích cho cả 2 web server, như
200.1.1.2, giao thức TCP, và số cổng đích là 80, trong luật lọc. Rõ ràng là đang
mở một hố trong hệ thống firewall, bởi vậy chỉ cho lưu lượng nào cần thiết, tất cả
các lưu lượng khác bao gồm các kiểu lưu lượng khác cho web server bị khóa bởi
cấu hình mức bảo mật.
Cisco PIX firewall sử dụng sơ đồ với một số mức bảo mật, cung cấp hệ
thống mềm dẻo để phân chia thành các miền riêng biệt với mức độ đe dọa khác
nhau. Miền có số cao có thể gửi lưu lượng tới miền có số thấp. Nhưng không
ngược lạ, và miền cùng mức độ không giửi tới miền khác. Trên CISCO IOS
router, bạn phải cấu hình luật lọc để xác định mức độ bảo mật.
Hình 2-23 chỉ ra mức độ bảo mật
Hình 2-23 ví dụ về mức bảo mật
Ở ví dụ này, firewall sư dụng để phân thành nhiều miền mạng khác nhau.
Firewall có 4 công như sau:
Cổng kết nối internet, được gán với mức độ bảo mật thấp.
Cổng kết nối tới DMZ, nơi dịch vụ công cộng được đặt, gán với mức độ
bảo mật trung bình.
Cổng kết nối công ty ở xa mà làm việc theo dự án cho họ, được gán mức
độ bảo mật thấp.
Kết nối tới mạng nội bộ, được gán ở mức độ bảo mật cao.
Công ty này có các luật sau:
Truy xuất từ cao tới thấp : cho phép.
Truy xuất từ thấp tới cao : hủy bỏ.
Cùng mức độ : hủy bỏ.
Đưa ra những luật này, cho phép lưu lượng được cho phép tự động tới thông qua
firewall:
Thiết bị Internet tới DMZ , công ty ỏ xa, và Internet.
Thiết bị DMZ tới công ty ỏ xa và Internet.
Một số kiểu khác lưu lượng bị giới hạn. Một ưu điểm của thiết kế này là, bởi vì
công ty ở xa và Interent được gán với cùng mức độ bảo mât, lưu lượng từ
Intenrnet không thể hướng tới công ty ở xa, cái mà cung cấp bảo mật, và công ty
ở xa không thể sử dụng truy xuất Internet tự do để tích kiệm tiền.
Uu điểm khác của mức độ bảo mật là chúng tạo phân tầng bảo mật. Ví dụ
hacker trên Internet hay công ty ở xa truy xuất tới tài nguyên nội bộ hình 2-23
chúng có lẽ việc đầu tiên phải hack thẳng tới DMZ và sau đó sử dụng nó như
bước đệm để hack vào mạng nội bộ. Sử dụng sự phân tầng này, bạn làm cho
công việc của hacker khó khăn hơn nhiều và mạng được bảo vệ hơn.
II.3. Những thành phần bổ sung cho hệ thống firewall
Những phần mà bổ sung cho hệ thống firewall. Hệ thống firewall tốt
thường chứa đựng những phần như:
Router vành đai
Firewall
VPN
IDS
Để mô tả cái gì được bao gồm trong hệ thống firewall. Bởi vì nhiều thiết
bị có thể hỗ trợ nhiều phần. Ví dụ, Cisco IOS router có thể hoạt động như router
vành đai hay firewall chính, có thể là VPN kết nối đầu cuối, và thực hiện IDS tất
cả trong một.
1. Phần router vành đai
Mục đích chính của router vành đai là cung cấp kết nối tới mạng công
cộng, như Internet, hay công ty khác.
Chức năng của nó:
Định tuyến bằng giao thức định tuyến tĩnh hoặc động.
Lọc thông qua lọc stateful hay lọc gói.
Kết nối đầu cuối VPN.
Cung cấp dịch địa chỉ.
2. Phần firewall
Mục đích chính của nó là chia mạng của bạn thành những mức bảo mật khác
nhau và điều khiển lưu lượng giữa những mức này. Thường, phần firewall gần
vành đai của mạng, bảo vệ từ đe dọa bên ngoài cũng như cung cấp điều khiển
truy xuất tới đoạn DMZ công khai. Tuy nhiên cũng có thể tìm thầy phần firewall
trong mạng nội bộ, tách tài nguyên then chốt để chúng được bảo vệ tốt hơn.
Chức năng của nó bao gồm:
Lọc stateful.
Xác thực người dùng kết nối với CTPs.
Lọc kết nối với CGFs.
Dịch địa chỉ.
3. Phần VPN
Mục đích chính của phần VPN là cung cấp kết nối được bảo vệ giữa 2 thiết bị, 2
mạng, hay thiết bị và mạng. Bảo vệ này có thể bao gồm mã hóa, xác thực, và
kiểm tra tính toàn vẹn của gói tin, ngăn cản tấn công nghe trộm từ gián điệp.
VPN là giải pháp hiệu quả, giải pháp truy nhập từ xa bởi vì chúng làm bạn có thể
sử dụng mạng công cộng, trong một kênh đảm bảo, để kết nối tới 2 mạng riêng.
Điều này rẻ hơn so với mua liên kết WAN riêng để cung cấp kết nối.
Chức năng của VPN bao gồm
Bảo vệ hay mã hóa lưu lượng giữa site LAN. Và người dùng truy nhập từ
xa.
Gán thông tin địa chỉ tới client truy nhập từ xa.
Sử dụng lọc gói dơn giản để giới hạn luồng lưu lượng.
4. Phần IDS
Mục đích chính của phần IDS là dò tìm, và có thể ngăn cản, tấn công do
thám, tấn công DoS, và tấn công truy nhập trái phép. Hầu hết lưu lượng
vào hay đi ngang qua mạng của bạn có mục đích. Để truy xuất tới HTTP,
phân giải tên thành địa chỉ với DNS, gửi mail với SMTP, và.. tuy nhiên,
phần nhỏ của lưu lượng có ý đồ làm tại. Trong những trường hợp này,
hacker có thể thực hiện tấn công do thám tìm những loại nào trong mạng
và sau đó thực hiện tấn công DoS để tác động tới dịch vụ mức độ của họ
và tấn công trái phép mở cửa sau tới mạng bạn.
II.4. Sắp xếp các thành phần
II.4.1. Thiết kế hệ thống firewall
Hình 2-28 Thiết kế hệ thống firewall đơn giản
Trong ví dụ, router vành đai với lọc gói cơ bản lưu lượng như là màn che
khi nó thêm vào mạng. Thiết bị IDS sử dụng dò tìm tấn công mà firewaal lọc gói
vành đai không lọc.
Lưu lượng sau đó được xử lý bởi firewall stateful. Firewall stateful thiết
lập 3 mức bảo mật. Thấp với Internet, trung bình DMZ và cao với mạng nội bộ.
Luật bảo mật được thêm vào firewall stateful để cho phép lưu lượng từ Internet
tới chỉ web server. Tất cả lưu lượng khác từ mức bảo mật thấp hơn tới cao hơn bị
ngăn cấm. Tuy nhiên cao tới thấp được phép di chuyển, cho phép web server đặt
trong mạng nội bộ để log into tới DMZ web server để cập nhật web pages.
Router bên trong trong thiết kế cung cấp định tuyến tới đoạn mạng nội bộ.
Nếu cần thiết lập mức độ bảo mật và giới hạn truy xuất tới miền mạng, bạn sử
dụng dịch vụ lọc gói đơn giản trên router.
Điểm thuận lợi của thiết kế này là đơn giản, nó có ít tầng phòng thủ.
Firewall lọc gói ở vành đai, IDS và firewall stateful. Bạn có thể quay tới router
trong tới firewall lọc gói.
Thiết kế này nhược điểm ở chỗ.:
Tấn công trực tiếp ở router vành đại không được nhìn bởi IDS, cái có thể thực
hiện dò tìm xem ai đang cố gắng hack tới routre và cách họ cố làm.
Không có IDS trên inside của mạng, bởi vậy bạn không thể dò tìm dễ dàng
nếu xuất hiện tấn công nội bộ.
Router nội bộ chỉ có thể cung cấp lọc gói đơn giản, điều này khó thực hiện
mức với độ bảo mật cho người dùng bên trong. Tuy nhiên sẽ dùng nhiều điều
khiển khác nhau như firewall stateful hay AGF.
II.4.2. Những điểm cần chú ý khi thiết kế
Một số điểm quan trong khi đặt phần trong hệ thống firewall:
Sử dụng firewall lọc gói cho router đường biên, để cung cấp bảo vệ
mở rộng. Nếu bạn thật sự muốn bảo mật sử dụng firewall stateful
cho phần này.
Tất cả server mà có tài nguyên truy cập công cộng được đặt trong
DMZ. Server mà xử lý tiến trình then chốt hay giao dịch tài chính
nên có phần mềm firewawll host-based cài đặt trên chúng. Thêm
nữa là tất cả dịch vụ không cần thiết trên server này nên tắt.
Server DMZ với thông tin nhạy cảm, cân nhắc sử dụng thiết kế
multiple DMZ. Điều này thật sự rõ ràng nếu bạn có web server và
database server. Đặt web server trên mức bảo mật thấp hơn so với
databasse server.
Kết nối VPN, cũng như kết nối truy cập từ xa qua mạng riêng, nên
xác định ranh giới trên DMZ riêng trên firewall Internet. Hệ thống
IDS sử dụng kiểm tra lưu lượng này sau khi nó được giải mã. Điều
này cũng cho phép lưu lượng tới thật sự trở lại Itnerntnet, nhưng
bởi vì nó qua firewall, bạn có nhiều điều khiển hơn những gì được
phép.
Tài nguyên nội bộ, sử dụng phần IDS để tìm đe dọa mạng. bạn có
thể thêm bảo mật mở rộng bởi phân đọan mạng thành nhiều mức
độ bảo mật. Có thể phân mạng và giới hạn truy xuất từ sự phổ biến
người dùng tới miền mà chung không kinh doanh.
Email, nên có server email công cộng trong DMZ mà cho phép tất
cả dịch vụ mail đến và đi.
II.4.3. Sự thực hiện firewall
Sử dụng giao diên dòng lênh CLI hay giao diện đồ họa GUI để thực hiện
cấu hình. Sản phẩn cisco hỗ trợ cả 2.
Quản lý thiết bị bảo mật
Cisco được giới thiệu một quản lý thiết bị web mới gọi là quản lý thiết bị
bảo mật SDM cung cấp sự thay thế cấu hình CLI của router Cisco. SDM là phần
mềm web tải tới flash với hỗ trợ router cisco sử dụng browser để cấu hình router.
Thực hiện đặc điểm firewall
Đầu tiên cần làm là đảm bảo firewall, mặt khác nếu hacker đột nhập vào
firewall, mạng của bạn sẽ bị tấn công bởi vậy cần quản lý cẩn thận, dịch vụ nào
đang chạy và cách quản lý truy xuất và quản lý nó.
II.4.4.Quản lý và quản trị firewall
Sau khi tạo xong hệ thống firewall cần quản lý nó. Một trong những
điểm kém nhất trong thiết lập bảo mật là duy trì nó. Mọi người thường làm nó
lỗi. Bởi vậy giải pháp bảo mật đủ đơn giản cho người quản lý làm thay đổi nó và
gỡ rối nó, cho khi có hướng dẫn trong chính sách bảo mật của công ty.
Thậm chí trong tình huống này, lỗi cấu hình đươc làm trong hệ thống
firewall. Bởi vậy, trước khi thay đổi được làm với hệ thống firewall, nó là quan
trọng mà bạn trở lại chúng trước khi thay đổi được làm. Sau khi thay đổi xảy ra,
nó là quan trọng bạn cần kiểm tra thay đổi cho hệ thống firewall.
Nến sử dụng phương thức cơ bản khi kiểm tra cấu hình. Đầu tiên, nên in
cấu hình và so sánh với luật để thiết lập chính sách bảo mật, để làm gấp đôi kiểm
tra mà cấu hình nó sử dụng cho phép chính sách bảo mật. Thứ 2, sử dụng công cụ
phần mềm để kiểm tra thay đổi. Trong trường hợp này, người quản trị, giả vờ
làm hacker. Nhiều công cụ làm bạn thực hiện tất cả các lọa tricks, như giả IP, tấn
công DoS, …
CHƯƠNG III THIẾT BỊ BẢO MẬT PIX FIREWALL
I.Tổng quan về thiết bị bảo mật PIX firewall
Thiết kế bảo mật của pix firewall có 4 đặc điểm chính cho giải pháp bảo mật hiệu
quả cao.
Đảm bảo thời gian thực.
Phương thức bảo mật linh hoat.
Cut-through proxy
Redundancy
I.1. Đảm bảo thời gian thực cho hệ thống gắn vào
Lý do sử dụng pix firewall:
Bảo mật tốt hơn: môi trường hoạt động của pix là hệ thống đơn lẻ
mà được thiết kế với chức năng bảo mật. Bởi vì không phân chia
giữa hệ điều hành và ứng dụng firewall, không có sự đe dọa bị
nghe lén.
Tốt hơn về mặt chức năng: môi trường hoạt động kết hợp yêu cầu
vài bước khi cấu hình hệ thống. Ví dụ, nhiều địa chỉ IP được gán
tới cổng ngoài của ứng dụng firewall mà chạy qua hệ điều hành,
bạn phải cấu hình phần mạng là giao thức phân giải địa chỉ và định
tuyến trên hệ điều hành và sau đó có ACL hay luật trên ứng dụng
firewall. Pix firewall, tất cả chức năng được kết hợp trên hệ thống
đơn. Ngay khi địa chỉ IP được gán tới một cổng, Pix tự động trả lời
yêu cầu ARP mà địa chỉ không được cấu hình đặc biệt.
Thực hiện tốt hơn: bởi vì môi trường hoạt động là đơn vị đơn lẻ, nó
cho phép xử lý và thực hiện tốt hơn nhiều. Firewall pix xử lý
500000 kết nối trong khi duy trì stateful inspection của tất cả kết
nối.
I.2. Phương thức bảo mật linh hoạt ASA
ASA là chìa khóa để kết nối stateful điều khiển trên pix. Nó tạo
phiên stateful bảng luồng còn gọi là bảng trạng thái. Địa chỉ nguồn và đích và
những thông tin kết nối khác được ghi vào bảng trạng thái. Sử dụng ASA, pix
có thể thực hiện lọc trạng thái trên kết nối thêm tới lọc gói.
Phần chính của môi trường hoạt động là ASA. ASA đảm bảo và hiệu quả hơn
so với lọc gói và cung cấp khả năng thực hiện tốt hơn so với firewall ứng
dụng kiểu proxy. ASA tách mạng thành nhiều đọan được kết nối tới firewall.
Duy trì vành đai bảo vệ và có thể điều khiển luồng giữa các đoạn đó. Cổng
của firewall được gán mức độ bảo mật. Pix có thể cho phép lưu lượng từ
ngoài qua từ một cổng với mức độ bảo mật cao hơn là inside tới cổng có mức
độ bảo mật thấp hơn không cần một luật rõ ràng cho mỗi tài nguyên ở đoạn
có mức độ cao hơn. Lưu lựng mà đang đến từ cổng với mức đảm bảo thấp
hơn cho cổng với mức bảo mật cao hơn được cho phép với 2 yêu cầu: dịch
tĩnh phải tồn tại cho đích và danh sách truy xuất hay conduit phải được đặc
cho phép lưu lượng.
ASA được thiết kế với chức năng như stateful, xử lý hướng kết nối duy trì
thông tin phiên trong bảng trạng thái. Chấp nhận chính sách bảo mật điều
khiển bảng trạng thái tất cả lưu lượng qua firewall. ASA lưu thông tin kết nối
tới bảng trạng thái khi một kết nối ra ngoài được khởi tạo. Nếu kết nối được
cho phép bởi chính sách bảo mật, yêu cầu đi ra ngoài. Lưu lượng quay lại
được so sánh với thông tin trạng thái tồn tại. Nếu thông tin không phù hợp,
firewall hủy kết nối. Nhấn mạnh bảo mật trên kết nối xa hơn so với gói làm
nó gần như không thể đạt được truy xuất bởi bắt cóc phiên TCP.
Minh họa hnhf 3-1 giải thích cơ chế cách asa và lọc stateful làm việc trên PIX
Hình 3-1 cách asa làm việc
Giải thich các bước cách ASA và lọc stateful làm việc trên PIX
1. Host khởi tạo kết nối tới tài nguyên bên ngoài.
2. PIX lưu thông tin sau về kết nối này tới bảng trạng thái.
IP nguồn.
Cổng nguồn.
IP đích.
Cổng đích.
Thông tin chuỗi TCP.
Thêm cờ TCP/UDP.
Số chuỗi TCP ngẫu nhiên được cấp.
Toàn bộ bảng trạng thái này được gọi là đối tượng phiên.
3. Đối tượng kết nối được so sánh với chính sách bảo mật.
Nếu kết nối không được cho phép, đối tượng phiên bị xóa,
và kết nối bị hủy.
4. Nếu kết nối được chấp nhận bởi chính sách bảo mật, yêu
cầu tiếp tục tới tài nguyên bên ngoài.
5. Tài nguyên bên ngoài trả lời yêu cầu.
6. Trả lời đến ở firewall và được so sánh với đối tượng phiên.
Nếu trả lời phù hợp với đối tượng phiên, lưu lượng qua tới
host nội bộ , nếu không, kết nối bị hủy.
I.3. Cut-through proxy
Cut-through proxy là phương thức của trong suốt của xác thực, thực
hiện và xác thực kết nối trong và ngoài ở firewall. Cut-thruogh proxy yêu cầu ít
overhead và cung cấp thực hiện qua ứng dụng firewall proxy.
Đặc điểm cut-through proxy trên PIX cung cấp thực hiện tốt hơn so với ứng dụng
firewall proxy, bởi vì nó hoàn toàn xác thực người dùng ở tầng ứng dụng, kiểm
tra xác thực với chính sách bảo mật, và sau đó mở kết nối khi được phép bởi
chính sách bảo mật. Luồng nhỏ cho kết nối này không xử lý nhiểu hơn ở tầng
ứng dụng nhưng là stateful inspected, cung cấp thực hiện phù hợp với firewall
proxy-based.
Hình 3-2 và danh sách dưới giải thích cơ chế của cut-through proxy
1. Kết nối tới firewall qua HTTP, FTP,Telnet, và người dùng
được thông báo pix cho việc thêm ID và password
2. Pix sử dụng một trong hai giao thức để chuyển tiếp thông
tin người dung tới server xác thực bên ngoài là remote
authentication dial-in User Service RADIUS hay terminal
Access Controller Access Control System TACACS+, nơi
nó được xác nhận.
3. Sau khi xác thực thành công, kết nối được mở ở tầng
mạng, thông tin phiên được viết tới bảng kết nối, và tiến
trình asa được chỉ trong hình 3-1
Hình 3-2 cách cut-through làm việc
I.4. Redundancy
Redundancy và stateful failover là giả pháp sẵn sàng cao của pix sử dụng bảo
vệ đoạn mạng. Nếu firewall chính bị lỗi, thì tự động đưa ra cái thứ hai để tải.
II. Mô hình và đặc điểm pix firewall
Hiện tại có 6 mô hình pix. Cung cấp dịch vụ cho mạng doanh nghiệp vừa và
nhỏ và nhà cung cấp Internet ISP.
Cisco secure pix 501 – firewall này dành cho SOHO sử dụng và tích
hợp 10/100 Ethernet switch.
Cisco secure pix 506 – mô hình này dành cho văn phòng và chi nhánh
ở xa sử dụng đến với 2 cổng Ethernet 10 base-T
Cisco secure pix 515- mô hình này được thiết kế cho kinh doanh vừa
và nhỏ và chỉ ở văn phòng chi nhánh.
Cisco secure pix 520- mô hình này cho mạng doanh nghiệp. Nó không
được sản xuất nhiều và đang gần như hết đời.
Cisco secure pix 535 mô hình này hầu hết của loạt pix firewall. Nó
được chú ý cho mạng doanh nghiệp lớn và ISP.
III. Chức năng của PIX
Bảo vệ chống xâm nhập: pix được thiết kế để tìm những tấn công
khác nhau. Có thể tích hợp với thiết bị dò tìm xâm nhập của Cisco.
Hỗ trợ AAA
Pix làm việc với RADIUS , TACCACS+ và cisco access control
server ACS để cung cấp xác thực, chứng nhận, và chứng năng tính
toán. Nó cũng có thể cấu hình cơ sở dữ liệu người dùng cục bộ trên
PIX tốt hơn tích hợp với server xác thực bên ngoài.
Hỗ trợ chứng thực X.509
Chữ ký số nhận dạng số kiểm tra bạn là ai để khẳng định và xác nhận
sự toàn vẹn của dữ liệu. Chữ ký số kết hợp với mã hóa để đảm bảo dữ
liệu theo 4 cách sau:
a. Xác thực –chữ ký số được sử dụng để kiểm tra nhận dạng
người dùng hay dịch vụ.
b. Toàn vẹn – nếu dữ liệu được ký dưới dạng số và nó bị thay
thế, chữ ký số trở thành không thể, chỉ ra người nhận mà dữ
liệu không sẵn sàng.
c. Dấu hiệu kiểm tra – dấu hiệu số có thể dùng cho đặt lại
password, bởi vì nó có thể đơn giản để đoán password. Chữ
ký số là file được mã hóa mà để trên máy bạn và có thể
dược giải mã chỉ bởi password của bạn. Để làm hại xác thực
của bạn, người dùng phải có cả file đã mã hóa và password.
d. Mã hóa- chứng nhận kiểm tra nhận dạng của kết nối đã mã
hóa. Sử dụng digital certificates để làm mạng riêng ảo .
Dịch địa chỉ mạng hay dịch địa chỉ cổng
Pix có thể dịch địa chỉ động hay dịch tĩnh địa chỉ trong mạng
thành địa chỉ công khai. Chúng cũng có thể ẩn nhiều host trên
mạng nội bộ đằng sau một địa chỉ công cộng đơn lẻ.
Quản lý firewall
Pix firewall được quản lý sử dụng một trong 3 phương thức
1. Giao diện dòng lệnh CLI- CLI sử dụng dòng lệnh với sản
phẩm khác cisco. PIX có thể được cấu hình để cho phép truy
xuất CLI qua console, telnet, SSH. Tất cả cấu hình hệ thống
được lưu như file text cho mục đích đạt được và khôi phục.
2. Thiết bị quản lý PDM- PDM là giao diện đồ họa mà được sử
dụng để quản lý firewall đơn giản hay firewall vành đai phức
tạp trong mạng doanh nghiệp. GUI kết nối tới mỗi thiết bị
qua kết nối bảo mật và cung cấp phương thức đơn giản để
quản lý mỗi thiết bị. PDM cũng cung cấp log dữ liệu thời
gian thực mà được sử dụng để hướng sự kiện và làm giới hạn
gỡ rối.
3. Người quản trị chính sách bảo mật cisco CSPM – CSPM là
GUI mà có thể quản lý 500 thiết bị bảo mật, bao gồm PIX,
router VPN, và thiết bị dò tìm xâm nhập của Cisco. CSPM là
giải pháp thiết kế mạng cho phép quản lý bảo mật mạng
thương mại và củng cố chính sách bảo mật và quản lý thiết bị
từ tài nguyên đơn lẻ.
Giao thức quản lý mạng đơn giản
PIX cho phép hỗ trợ SNMP. Bởi vì SNMP được thiết kế
như giao thức quản lý mạng và không là giao thức bảo mật, nó sử
dụng để khai thác thiết bị. Ví dụ, pix cho phép chỉ đọc tới kết nối
từ xa. Điều này cho phép người quản lý tới kết nói từ xa tới thiết
bị và theo dõi SNMP trap nhưng không cho phép thay đổi thiết
lập SNMP.
Hỗ trợ Syslog
Firewall log 4 kiểu sự kiện khác nhau của Syslog
1. Bảo mật
2. Tài nguyên
3. Hệ thống
4. Accounting
PIX có thể được cấu hình để hướng tới 8 mức bảo mật
khác nhau cho mõi kiểu sự kiện. Log được lưu trong bộ nhớ hệ thống
và chuyển tới server syslog. Nó được giới thiệu thực hành để lựa
chọn mức độ log thích hợp mà tích hợp với yêu cầu syslog chi tiết tới
dấu vết dữ liệu đặc biệt mỗi phiên.
Mạng riêng ảo VPN
Tất cả firewall PIX được thiết kế chức năng như điểm đầu cuối hay
gateway VPN cho mạng riêng ảo. Chức năng này cho phép người
quản trị tạo kết nối được mã hóa với mạng khác qua Internet.
IV. Truy xuất PIX
Pix được truy xuất qua cổng console hay từ xa qua 3 phương thức sau:
Telnet
Secure shell ssh
Browser sử dụng PDM pix device manager.
- Cổng console truy xuất để người dùng đơn lẻ cấu hình PIX. Người dùng kết nối
tới PC hay laptop tới PIX qua cổng truy xuất console sử dụng cáp rollover.
- Truy xuất PIX qua telnet
Có thể quản lý pix bằng telnet từ host trên cổng nội bộ. Với cấu hình IPsec, bạn
sử dụng telnet để quản lý từ xa console firewall từ cổng có mức bảo mật thấp
hơn.
Truy xuất pix qua telnet, phải cấu hình pix truy xuất telnet:
Bước 1 thêm lệnh telnet
telnet local_ip[mask][if_name]
ví dụ . Để host trên cổng mạng với địa chỉ 10.1.1.1 truy xuất tới pix , thêm
telnet 10.1.1.24 255.255.255.255 inside
bước 2 cấu hình password cho telnet
passwd telnet password
bước 3 thiết lập thời gian cho phiên telnet có thể chờ trược khi phiên bị mất kết
nối tới pix.ví dụ mặc định là 5 phút. Để cấu hình timeout 15 phút thì
telnet timeout 15
bước 4. Để bảo vệ truy xuất tới console với xác thực dịch vụ, sử dụng lệnh aaa
authentication telnet console
yêu cầu này bạn có username và password trên server xác thực. Khi truy xuất tới
console, pix gợi ý bạn login. Nếu xác thực server đang offline, bạn vẫn truy xuất
tới console bởi sử dụng user name PIXvà password là lệnh enable password.
bước 5: lệnh save trong cấu hình sử dụng lệnh write memory
-Truy xuất PIX với secure shell SSH
SSH là ứng dụng chạy trên đỉnh của tầng truyền tin cậy, như TCP/IP. Mà
cung cấp xác thực mạnh, và khả năng mã hóa. PIX hỗ trợ truy nhật từ xa SSH
cung cấp trong phiên bản 1SSH. SSH cũng làm việc trên thiết bị phần mềm cisco
IOS. Nên tới 5 clients SSH được cho phép truy xuất tới console của pix
cấu hình ssh
1. xác định host/mạng được sử dụng để truy xuất cổng console
pix sử dụng ssh. Lệnh ssh là
ssh ip_address[netmask][interface_name]
ví dụ để host trên cổng nội bộ với địa chỉ 10.1.1.1 truy xuất
pix qua ssh , thêm lệnh
ssh 10.1.1.25 255.255.255.255 inside
2. passwd password
3. ssh timeout number
Để truy xuất console PIX sử dụng SSH, phải cài SSH client. Sau
khi cài SSH client thêm tên PIX, sau đó password
khi bắt đầu phiên, xuất hiện trên console firewall trước khi
người dùng ssh gợi ý xác thực pix(config)#.
V. PIX với kết nối
V.1. Cấp độ bảo mật của cổng và chính sách bảo mật mặc định
Mặc định, PIX có mức độ bảo mật với mỗi cổng, nhiều bảo mật hơn với
đoạn mạng, số bảo mật cao hơn. Mức bảo mật từ 0 tới 100. Mặc định, Ethernet 0
là 0 và mặc định tên outside. 100 là Ethernet 1 và mặc định với tên là inside. Một
số cổng thêm được cấu hình sử dụng lệnh nameif, mức bảo mật từ 1 đến 99. ASA
cho phép lưu lượng từ mức bảo mật cao tới mực bảo mật thấp hơn không có xác
định luật trong chính sách bảo mật cho phép kết nối như lệnh nat/global được cấu
hình cho những cổng này. Lưu lượng qua từ cổng có mức bảo mật thấp hơn tới
mức bảo mật cao hơn phải được cho phép bởi chính sách bảo mật. Nếu 2 cổng
được gán cùng mức bảo mật lưu lượng không thể qua giữa những cổng đó.
V.2. Giao thức truyền
Truyền mà qua mạng luôn có địa chỉ nguồn và đích. Lệnh này dựa trên 7
tầng của mô hình tham chiếu OSI. Tầng 6 tới 7 xử lý dữ liệu ứng dụng, 1 đến 4
làm nhiệm vụ di chuyển dữ liệu từ nguồn tới đích. Dữ liệu được tạo trên tầng 7 ở
máy nguồn. thông tin truyền được thêm vào tới tầng cao hơn, sau đó thông tin
mạng theo sau bởi thông tin liên kết dữ liệu. Thông tin được truyền qua môi
trường vật lý như tín hiệu điện. dữ liệu tầng cao hơn kết hợp với thông tin truyền
gọi là segment. Ngay khi thông tin mạng được thêm vào segment, nó gọi là
packet. Gói được đóng gói ở tầng liên kết dữ liệu thêm với địa chỉ MAC nguồn
và đích gọi là frame. Hình 3.5 chỉ cach dữ liệu được đóng gói ở mỗi tầng của mô
hình tham chiếu OSI.
Hình 3-5 Đóng gói của dữ liệu tầng trên
Có 2 giao thức ở tầng truyền sử dụng là UDP/ và UDP. Những giao thức này là
khó. Mỗi giao thức có điểm mạnh và điểm yếu. Chúng sử dụng trong những cách
khác nhau
TCP- giao thức truyền hướng kết nối mà chịu trách nhiệm cho kết nối tin
cậy và hiệu quả giữa các node. TCP hoàn thành nhiệm vụ bởi tạo kết nối như
mạch ảo mà hoạt động như 2 cách giao tiếp giữa nguồn và đích. TCP rất tin cậy
và bảo đảm phân phối dữ liệu giữa các node. TCP cũng sao chép tự động truyền
kết nối dựa tên sự thay đổi điều kiện mạng. Chuỗi số TCP và xác nhận được bao
gồm trong header TCP. Những giao thức này cho phép nguồn và đích chính xác,
thứ tự dữ liệu phân phối, overhead cho TCP làm nó chấp giữ nó từ giao thức
truyền thuận lợi hơn cho một số kết nối.
UDP- giao thức truyền không kết nối mà sử dụng có dữ liệu tới đích. UDP
không cung cấp kiểm tra lỗi, không sửa lỗi, và không kiểm tra sự phân phối.
UDP đưa ra sự tin cậy cho giao thức tầng trên đơn giản là gửi lại dữ liệu sau khi
kiểm tra sự phân phối. UDP rất đơn giản và rất nhanh
Hình 3-6 giao tiếp TCP giữa những node mà không có firewall ở giữa
chúng. Kết nối yêu cấu truyền khác nhau tới kết nối
a. Nguồn gửi một segment tới đích, hỏi mở phiên TCP. Cờ TCP thiết lập
SYN, chỉ rằng nguồn muốn khởi tạo đồng bộ hóa hay bắt tay. Nguồn cho
số chuỗi này là 125.
b. Đích nhận yêu cầu và gửi lại một trả lời với cờ TCP ACK và SYN thiết
lập, chỉ xác nhận của bit SYN và khởi tạo truyền luồng. Nó trả lởi với số
chuỗi gốc TCP bởi thêm 1, gửi trở lại chuỗi số 126. Nó cũng thông báo
và gửi chuỗi số TCP cho chính nó là 388.
c. Nguồn nhận SYN/ACK và gửi lại ACK chỉ xác nhận cua SYN cho thiết
lập luồng nhận. Nó thêm 1 vào giá trị của chuỗi số TCP vởi đích và gửi
trở lại số 389.
d. Xác nhận được nhận, và bắt tay hoàn chỉnh
Hình 3-6 Giao tiếp TCP giữa những node không có PIX
Giao tiếp này được xử lý bởi pix. Số bước yêu cầu từ 4 lên 8 cho cùng giao dịch,
mặc dù mọi thứ xuất hiện cùng như cả 2 nguồn và đích.
Hình 3-7 Giao tiếp TCP giữa các node với PIX
Những hành động được liệt kê khi xử lý bắt tay TCP và mở phiên TCP
a. Máy nguồn khởi tạo kết nối bởi giử SYN. Nó được nhận bởi pix định tuyến
tới đích. Pix kiểm tra kết nối lần nữa cấu hình đang chạy để dò tìm nếu dịch
đã hoàn thành. Cấu hình chạy được lưu trong bộ nhớ, bởi vậy tiến trình thực
hiện rất nhanh. Firewall kiểm tra để nhìn nếu địa chỉ trong là 10.10.10.10
được dịch tới địa chỉ ngoài, trong trường hợp này, 192.168.1.10 s/b
192.168.1.1. Nếu đã dịch hoàn chỉnh, pix tạo stranlation slot nếu một cái
không tồn tài cho kết nối này.
b. Tất cả các thông tin về phiên được viết vào bảng trạng thái, và PIX ngẫu
nhiên sinh ra một chuỗi số mới TCP. Slot Kết nối này được đánh dấu trong
bảng trạng thái như kết nối mở một nửa.
c. Sau khi kết nối được kiểm tra với chính sách bảo mật. PIX cho phép kết nối
bên ngoài sử dụng địa chỉ nguồn được dịch và chuỗi số TCP được phát sinh
gần đây.
d. Đích nhận yêu cầu kết nối SYN và trả lời với SYN ACK
e. PIX kiểm tra SYN ACK từ đích và phù hợp số xác nhận để lấy lại số chuỗi
được sinh ra ngẫu nhiên. Nó kiểm tra slot kết nối và chuyển kết nối trở lại
nguồn sử dụng địa chỉ nguồn gốc và chuỗi số tăng thêm 1.
f. Một số gói mà không phù hợp với đối tượng phiên bị hủy và logged
g. Nguồn hoàn thành kết nối trả lời với ACK. Số xác nhận không ngẫu nhiên
như nó qua PIX, và slot kết nối bị đánh dấu như thiết lập chủ động.
h. Máy đếm thiết lập lại, và dữ liệu được truyền giữa các nodes
Tiến trình sử dụng bởi PIX xử lý truyền UDP hoàn toàn khác với TCP. Là
nguyên nhân của đặc điểm UDP. UDP là giao thức không kết nối mà không
kết nối. Không có thiết lập hay kết thúc, nó là khó để tìm trạng thái của phiên
UDP. Bởi vì không có thể tìm được trạng thái của phiên. Nó dễ tới giả mạo
gói UDP và chiếm đoạt điều khiển phiên UDP. Một số ứng dụng sử dụng
UDP tốt hơn so với TCP để truyền dữ liệu. Nhiều ứng dụng sử dụng thời gian
thực hay ứng dụng mà không yêu cầu độ tin cậy. Những ứng dụng này bao
gồm ứng dụng video mạng, hệ thống file Internet phổ biến, NetBIOSS hệ
thống tên miền DNS.
Chính sách bảo mật mặc định cho phép gói UDP qua từ mức độ bảo mật cao
hơn tới mức độ bảo mật thấp hơn. Gói UDP qua trong hướng khác, chúng
phải được cho phép bởi chính sách bảo mật. Nó là quan trọng để giới hạn truy
xuất UDP bên trong. Nguyên nhân giới hạn UDP, hacker khai thác nhiều ứng
dụng mà hoạt động qua UDP. PIX xử lý lưu lượng UDP trong những bước
sau:
Máy nguồn khởi tạo kết nối UDP. Nó nhận bởi PIX định tuyến tới
đích. PIX lập luật mặc định và dịch cần thiết, tạo đối tượng phiên trong
bảng trạng thái, và cho phép kết nối qua tới cổng ngoài.
Một số lưu lượng trở lại phù hợp với đối tượng phiên, và thời gian
timeout phiên phải dược ứng dụng. Phiên timeout mặc định là 2 phút.
Nếu trả lời không phù hợp đối tượng phiên hay không với timeout, gói
bị hủy. Nếu mọi thứ phù hợp, trả lời được phép qua tới yêu cầu nguồn.
Một số phiên UDP bên trong từ mức độ bảo mật thấp hơn tới mức độ
bảo mật cao hơn phải được phép bởi chính sách bảo mật, hay kết nối
hủy bỏ.
V.3. Chế độ truy xuất
PIX Firewall chứa đựng tập lệnh dựa trên công nghệ phần mềm Cisco IOS
Software mà cung cấp 3 chế độ truy xuất quản trị:
• Chế độ không đặc quyền là sẵn có khi truy xuất lần đầu tới PIX Firewall
thông qua console. Hoặc Telnet. Nó hiện lên dấu >. chế độ này để bạn xem
những thiết lập giới hạn.
• Bạn truy xuất tới chế độ đặc quyền bởi thêm lệnh enable và enable
password.
prompt thay đổi thành # từ >. Chế độ này bạn có thể thay đổi một vài thiết
lập hiện tại và nhìn những cấu hình tồn tại của Cisco PIX Firewall. Một số
lệnh không đặc quyền cũng làm việc trong chế độ đặc quyền. Để thoát khỏi
chế độ này dùng lệnh disable, hay exit, hay lệnh ^z .
• Truy xuất tới chế độ cấu hình bởi thêm lệnh configure terminal. Điều này
thay đổi prompt thành (config)# từ #. Chế dộ này bạn có thể thay đỏi cấu
hình hệ thống. tất cả lệnh cấu hình đặc quyền, không đặc quyền, cấu hình làm
việc trong chế độ này. Sử dụng lệnh exit hay ^z để thoát khỏi chế độ cấu hình.
VI. Cấu hình PIX Firewall
6 lệnh quan trọng được sử dụng để làm với cấu hình làm việc cơ bản của PIX
Firewall:
interface
nameif
ip address
nat
global
route
Trước khi sử dụng lệnh , nó có thể cung cấp sơ đồ hữu ích của PIX Firewall với
mức độ bảo mật khác nhau, cổng , và địa chỉ IP. Figure 6-1
Hình mức độ bảo mật ,cổng, địa chỉ IP, và
Interface Command
Lệnh cổng được nhận ra bởi hardware card, thiết lập tốc độ của interface.
Tất cả các cổng trên Cisco PIX Firewall là shut down bởi mặc định cú pháp cơ
bản của lệnh cổng
interface hardware_id hardware_speed [shutdown]
Lệnh nameif
Như cái tên bình thường, lệnh nameif được sử dụng để đặt tên một cổng
và gán giá trị bảo mật từ 1 tới 99. Cổng outside và inside được đặt mặc định và
có giá trị bảo mật là 0 và 100. Mặc định, các cổng có hardware ID. Ethernet 0 là
outside interface, Ethernet 1 là inside interface.
Tên được cấu hình bởi lệnh nameif dễ sử dụng và dễ dàng cho cấu hình về sau..
Cấu trúc lênh nameif là
Nameif hardware_id if_name security_level
ví dụ
nameif Ethernet 1 inside 100
nameif Ethernet 0 outside 0
nameif Ethernet 2 dmz 30
Giá trị security_level điều khiển cách hosts/devices trên các cổng khác nhau
tương tác với cổng khác. Mặc định, hosts/devices kết nối với những cổng mức
bảo mật cao có thể truy xuất hosts/devices được kết nối với cổng có mức bảo
mật thấp. Hosts/devices kết nối với host có mức bảo mật thấp không thể truy xuất
tới hosts/devices được kết nối với cổng có mức bảo mật cao trừ khi có trợ giúp
của access lists or conduits.
Có thể kiểm tra cấu hình bằng sử dụng lệnh show nameif .
Lệnh ip address
Tất cả các cổng trên Cisco PIX Firewall được sử dụng phải được cấu hình với
địa chỉ IP. Địa chỉ IP có thể được cấu hình bằng tay hay bằng Dynamic Host
Configu-ration Protocol (DHCP). Đặc điểm DHCP được sử dụng trên mô hình
PIX Firewall small office/home office (SOHO) .
Lệnh ip address sử dụng để cấu hình địa chỉ IP trên cổng của PIX . Lệnh ip
address kết hợp với địa chỉ logic của (IP address) hardware ID.
Cấu trúc lệnh như sau:
ip address if_name ip_address [netmask]
ip address inside 192.168.20.2 255.255.255.0
dùng lệnh show ip để xem
Nếu không ghi netmask nó tự đặt classful
Lệnh nat
Lệnh nat (Network Address Translation) để bạn dịch tập hợp địa chỉ IP
này tới tập hợp địa chỉ IP khác. Lệnh nat luôn đi một cặp với lệnh global, với
ngoại lệ của lệnh nat là 0
Cú pháp:
nat (if_name) nat_id local_ip [netmask]
nat inside 1 192.168.80.0 255.255.255.0
(if_name) tên cổng mạng
nat_id số ID pải phù hợp với ao địa chỉ global .
local_ip địa chỉ IP mà được dịch. Thường là địa chỉ IP nội bộ nó có thể được
gán cho tất cả mạng bên trong local_ip thông qua nat (inside) 1 0 0.
Lệnh global
Lệnh global được sử dụng để định nghĩa địa chỉ hay dải địa chỉ mà mà địa chỉ
được định nghĩa được dịch bởi bởi lệnh nat. Nó là quan trọng để global_id giống
hệt nat_id sử dụng trong lệnh nat. Cặp đôi nat_id địa chỉ IP được định nghĩa bởi
lệnh global và lệnh nat để có thể dịch được mạng. Cú pháp lệnh global là
global (if_name) nat_id global_ip | global_ip-global_ip [netmask]
ví dụ:
global inside 1 192.168.20.0 netmask 255.255.255.0
Khi host hay thiết bị thử kết nối, PIX Firewall kiểm tra bảng dịch nếu là một
phần cho IP đặc biệt. Nếu chưa tồn tại quá trình dịch, một slot trans-lation slot
được tạo. Thời gian mặc định IP được dịch lưu trong bảng dịch là 3 giờ. Bạn có
thể thay dổi đê thêm giờ với lệnh xlate hh:mm:ss. Để xem địa chỉ dịch dùng lệnh
xlate .
Lệnh route
Lệnh route nói cho Cisco PIX Firewall nơi gửi thông tin mà được chuyển tiếp
trên cổng đặc biệt được định trước cho địa chỉ mạng cụ thể. Thêm tuyến đường
tĩnh tới PIX sử dụng lệnh route .
Cú pháp lệnh:
route if_name ip_address netmask gateway_ip [metric]
router inside 192.168.80.1 255.255.255.0 192.168.80.1 1
if_name tên của cổng nơi dữ liệu rời.
ip_address địa chỉ IP được định tuyến.
netmask mặt nạ mạng của địa chỉ IP được định tuyến.
gateway_ip địa chỉ IP của hop tiếp theo. Thường là địa chỉ IP của router vành
đai
metric: số hop xác định thới gateway_ip
Là thực hành tốt để sử dụng lệnh clear arp để xóa bộ đệm ARP của firewall PIX
trước khi kiểm tra cấu hình tuyến đường mới.
Lệnh RIP
The Routing Information Protocol (RIP) dùng để xây dựng bảng định tuyến PIX
Firewall
RIP cấu hình xác định cập nhật PIX trong bảng định tuyến của nó bởi lắng nghe
thụ động lưu lượng RIP có hay không và có hay không cổng broadcasts chính
nó như tuyến đường mặc định cho lưu lượng mạng trên cổng đó. Nó cũng quan
trọng để cấu hình route
Cung cấp cập nhật RIP với địa chỉ mạng của cổng PIX , cú pháp RIP
rip if_name default | passive [version [1 | 2]] [authentication [text | md5 key
(key_id)]]
CHƯƠNG IV
XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO CHI
NHÁNH NGÂN HÀNG VIETINBANK.
I. Môi trường mạng hiện có:
- Có kết nối từ chi nhánh đến trung tâm tích hợp dữ liệu thông qua
đường Leased Line 64kbps hoặc 128kbps.
- Có kết nối Internet thông qua modem ADSL.
- Có 2-3 server chạy Windows 2000 Server.
- Các Server chạy các ứng dụng có trao đổi dữ liệu với trung tâm tích
hợp dữ liệu.
- Có 2-6 switch lớp 2, có Router dùng kết nối lên trung tâm và các
chi nhánh, quĩ tiết kiệm của nó.
- Để tăng cường bảo mật cho hệ thống mạng chi nhánh sử dụng PIX
Firewall 525 của Cisco.
- Các phần mềm diệt Virus có bản quyền như Norton
Antivirus,Mcfee.
II. Yêu cầu
Với các thiết bị mạng mà chi nhánh có thể có, yêu cầu thiết kế một mô hình
mạng đảm bảo được các yêu cầu sau:
- Lưu lượng từ các quĩ, phòng giao dịch trao đổi với trung tâm tích
hợp dữ liệu và với trụ sở của chi nhánh phải được kiểm soát.
- Hạn chế tối đa sự truy nhập không được phép từ bên ngoài mạng.
- Kết nối Internet phải được kiểm soát, có khả năng đảm bảo an toàn
cho mạng riêng tốt nhất nếu có thể.
- Có khả năng hạn chế được việc phát tán Virus, Worm và một số
đoạn mã độc hại khi mạng tham gia kết nối Internet.
- Đảm bảo cho băng thông mạng được tốt nhất.
- Kỹ thuật đánh địa chỉ trong mạng riêng tại chi nhánh không bị phơi
bày cho các quĩ, phòng giao dịch, trung tâm tích hợp dữ liệu...
.
III. Thiết kế mô hình mạng
Thiết mô hình mạng (topology mạng) đóng vai trò khá quan trọng trong việc
đảm bảo an toàn thông tin cũng như hiệu năng hoạt động của một hệ thống máy
tính. Việc thiết kế tốt một mô hình mạng giúp mạng máy tính hoạt động một cách
hiệu quả. Kẻ tấn công sẽ khó thâm nhập vào hệ thống.
Tuỳ vào mức độ yêu cầu về bảo mật của hệ thống và các nhu cầu truy xuất
Internet, mạng như thế nào mà mô hình mạng có thể thay đổi phù hợp.
Với môi trường mạng và các yêu cầu hiện có, mô hình một hệ thống mạng
bảo mật do đó có thể được thiết kế như hình (1.3)
Hình 1.3 Cấu trúc hệ thống mạng bảo mật cho một chi nhánh ngân hàng
Vietinbank
IV. Cấu hình bảo mật cho hệ thống
Việc cấu hình bảo mật cho một hệ thống mạng là một vấn đề phức tạp đòi hỏi
nhà thiết kế phải có một sự hiểu biết sâu sắc về mạng và bảo mật mạng. Công
việc cấu hình bảo mật cho một hệ thống bao gồm nhiều phần nhằm chống lại các
nguy cơ chính sau:
- Các cuộc tấn công từ chối dịch vụ (DoS)từ bên ngoài vào mạng,.
- Các cuộc tấn công xâm nhập không được phép vào mạng thông qua
việc khai thác các điểm yếu của hệ điều hành, lỗi của các chương
trình ứng dụng.
- Sự lây lan của Virus, Worm hay Trojan trong mạng.
Để chống lại nguy cơ bị tấn công từ chối dịch vụ từ bên ngoài cũng như những
xâm nhập không được phép vào mạng, chúng ta cần triển khai Firewall hợp lý
và cấu hình các chính sách truy nhập đúng đắn.
Để hạn chế sự lây lan của Worm và Virus từ bên ngoài vào mạng, chúng ta cần
triển khai hệ thống các phần mềm chống Virus, cập nhật thường xuyên các mẩu
Virus mới, các bản vá hệ điều hành...
Ngoài ra, trong mạng việc chứng thực, cấp phép và phân quyền cho từng đối
tượng cụ thể cần được thực hiện nhằm tránh sự truy nhập trái phép vào các tài
nguyên chia sẻ.
Bảng phân bố địa chỉ như sau:
ID Name IP Address Subnet
1 PGD-VLAN_2 192.168.10.1-
192.168.10.2
255.255.255.0
2 TP-VlAN_3 192.168.11.2-
192.168.11.3
255.255.255.0
3 Antivirus_Server 192.168.12.2 255.255.255.0
4 Database_Server 192.168.13.2 255.255.255.0
5 Vietinbank_center 192.168.14.2 255.255.255.0
6 Internet 192.168.15.2 255.255.255.0
Bảng 2.1 Phân bố địa chỉ
Kết quả cấu hình trên PIX
Cấu hình cổng trên PIX
Cấu hình NAT:
Cấu hình chính sách bảo mật:
Cấu hình định tuyến:
Bảng ARP trên PIX
Kết quả ping đến các vùng từ PIX
Trình bày cấu hình PIX với lệnh Show running-config
Kết quả ping từ miền inside ra outside , và vietinbank_center, và databa_Server,
Antivirus_Server sử dung vpcs để mô phỏng PC
Kết quả khi ping từ outside vào inside
…….
KẾT LUẬN
Ngày nay vấn đề bảo mật đã trở thành những chủ đề nóng nhất trên
Internet. Với tốc độ phát tiển cực nhanh của mạng toàn cầu đã đem lại những lợi
ích về mặt kinh tế và xã hội không thể phủ nhận. Chính những lợi thế đó nên nó
đã là nơi lý tưởng để tội phạm, hacker sử dụng khai thác với nhiều mục đích khác
nhau. Cùng với sự phát triển của khoa học công nghệ, trình độ phát triển của các
hacker ngày càng giỏi hơn trong khi đó các hệ thống vẫn còn chậm chạp trong
việc xử lý các lỗ hổng của mình. Điều đó đòi hỏi người quản trị mạng phải có
những kiến thức tốt về bảo mật để có thể giử vững an toàn thông tin cho hệ
thống.
Trong khuôn khổ của đồ án, dưới sự giúp đỡ của thầy giáo Nguyến Tiến
Thành em đã tìm hiểu được một số vấn đề về mạng máy tính và an ninh mạng
máy tính. Do thời gian có hạn và kiến thức thâm nhập thực tế còn quá ít và chưa
có điều kiện thực hành trên thiết bị thật nên đề tài còn nhiều thiếu sót, em rất
mong nhận được sự góp ý và chỉ bảo nhiệt tình từ phía thầy cô và các bạn để
nâng cao khả năng chuyên môn và hoàn thiện kiến thức.
Em xin chân thành cảm ơn thầy giáo Nguyễn Tiến Thành, và Phòng An
Ninh Hệ Thống- Trung Tâm Công Nghệ Thông Tin- Ngân Hàng Công Thương
Việt Nam đã tận tình hướng dẫn, giúp đỡ em hoàn thành đề tài này.
Tài liệu tham khảo
[1]. Cisco Security Appliance Command line Configuration Guide for the Cisco
[2]. Cisco networking Acadmy exploration 1
[3]. CCNA
[4]. Cisco - CCSP Cisco Secure PIX Firewall Advanced Exam Certification
Guide
[5]. Cisco Press -2004- Cisco Router Firewall Security
[6]. Cisco Press - Network Security Fundamentals 2004
[7]. Cisco.Press.Network.Security.Principles.and.Practices
[8]. Công cụ hack máy tính cack phần mềm.
[9]. Kỹ thuật thâm nhập mạng máy tính và cách phòng ngừa hiệu quả. NXB
thanh niên
[10]. Sercurity ISO 17799 standard
[11]. Upgrade-pix-asa7x-asdm
[12]. Why infor sec is hard.pdf
[13]. Information_security.pdf
Các Website:
http:// www.google.com
Các file đính kèm theo tài liệu này:
- Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng Công Thương Hà Nội.pdf