Xây dựng hệ thống an ninh mạng cho chi nhánh ngân hàng công thương Hà Nội

hay ba luật thiết lập cho người dùng của bạn. Quản lý luật thiết lập như thêm, thay đổi, và xóa luật, là tiến trình khó. Bởi vì quản lý thực hiện, bạn cần quan tâm kiểm tra khả năng quản lý giải pháp firewall host-based mà bạn có thể xem xét, đặc biệt khi nó đến với khả năng quản lý dải lớn luật thiết lập qua những kiểu host khác nhau. c .Sử dụng firewall host-based Sử dụng firewall host-based ở mức độ bảo vệ mức thấp. Do hạn chế của này, chúng thường sử dụng trong những tình huống sau:  Với người sử dụng ở nhà hay truyền thông với việc truy cập Internet.  Trong môi trường SOHO.  Thêm mức độ bảo vệ cho tài nguyên then chốt, như email và server database. I.4.6. Firewall lai ghép Bởi vì nhiều công nghệ ngày càng phát triển, sử dụng Internet ngày càng lớn, ví dụ sự bùng nổ của thương mại điện tử và kinh doanh điện tử, cần bảo mật ngày càng tăng. Bởi vậy phân loại sản phẩm firewall là khó, gần như là không thể. Để cung cấp đặc điểm bảo mật nhiều loại firewall hoạt động trong một thiết bị như firewall lai ghép. Ví dụ đây là firewall PIX CISCO. Nó hỗ trợ firewall stateful, cut-through proxy, một ít kiểu firewall kết nối cổng, và dịch địa chỉ, cũng như nhiều đặc điểm khác. Thực tế, ở thị trường ngày nay, nó là không thể tìm thấy một firewall mà phù hợp với một loại riêng biệt. Để cải thiện bảo mật của họ, sản phẩm firewall ngày nay chứa đựng nhiều chức năng và đặc điểm đổi mới. Khi định giá giải pháp firewall, bạn nên kiểm tra thêm vào đặc điểm và chức năng cho firewall, cũng như xác định chức năng nào là chính. Ví dụ, nếu thích firewall stateful wire-speed bạn xem xét Cisco Pix hơn Cisco router với firewall Cisco IOS đặc điểm thiết lập. Tuy nhiên, kiểm tra firewall dựa trên phần cứng như PIX và những nhà cung cấp dịch vụ khác, nghiên cứu cẩn thận đặc điểm thêm vào của họ, và chức năng để nhìn cách tốt nhất trong thiết kế bảo mật. I.5 Firewall và những dịch vụ khác Chỉ bởi vì firewall có nhãn là “firewall” không có nghĩa rằng nó chỉ thực hiện chức năng firewall. Nhiều sản phẩm của các hãng bao gồm những đặc điểm khác của host mà dễ quản lý mạng và bảo mật nó tốt hơn.  Chức năng Server và client Giao thức cấu hình host động dynamic host configuration protocol.  Mạng riêng ảo VPN.  Tìm kiếm xâm nhập.  Giao thức định tuyến unicast và multicast đầy đủ chức năng.  Tăng lọc nội dung. Hầu hết firewall hỗ trợ chức năng Dynamic host configuration protocol. Đây là rất quan trọng, firewall có thể cần hỗ trợ dịch vụ DHCP để gán địa chỉ động cho clients. Mặt khác, firewall có thể kết nối trực tiếp tới ISP, và ISP có thể sử dụng DHCP hay giao thức point to point qua Ethernet để gán thông tin địa chỉ tự động vào firewall. Cũng như vậy, nó trở nên phổ biến hơn khi sử dụng Internet để kết nối từ xa tới những site và người dùng khác nhau. Vấn đề sử dụng Internet là tất cả thông tin dễ bị nghe trộm. Nhiều firewall hỗ trợ chức năng VPN mà có thể làm bạn mã hóa đường truyền giữa những thiết bị hay những mạng Cisco IOS dựa trên VPN. Một số firewall hỗ trợ khả năng dò tìm xâm nhập, mà cho phép chúng tìm những lọat tấn cộng. Trong hầu hết trường hợp, hệ thống dò tìm xâm nhập IDS bao gồm xác thực đơn giản. Đặc điểm này thường làm bạn có thể phát hiện những tấn công mạng phổ biến, như tấn công DoS, và nó phù hợp hơn với môi trường SOHO hay như thêm vào các thước đo bảo mật cho mạng doanh nghiệp. Để tìm hàng trăm đe dọa và tấn công trên mạng, như loạt Cisco 4200 sensor hay modul IDS cho Catalyst Switches 6500, được sử dụng. Nhiều firewall bây giờ có thể lọc nội dung, thường dựa trên web. Ví dụ một số firewall có thẻ lọc kịch bản java và ActiveX, cái mà có thể chứa đựng mã nguy hiểm, một số firewall thậm chí có thể lọc thông tin URL. Cũng như firewall có con đường dài và sẽ đối mặt với nhiều thách thức trong tương lại với tích hợp công nghệ mới để đối phó với những mối đe dọa mạng. II Thiết kế bảo mật II.1 Hướng dẫn thiết kế Bạn nên theo 5 hướng dẫn cơ bản khi thiết kế hệ thống firewall:  Phát triển chính sách bảo mật.  Tạo giải pháp thiết kế đơn giản.  Sử dụng những thiết bị như họ mong đợi.  Bổ sung phòng vệ ở các tầng để bảo cung cấp nhiều bảo vệ hơn  Cân nhắc giải pháp chống lại tấn công từ nội bộ  Thiết kế chính sách bảo mật Tạo chính sách bảo mật là vô cùng quan trọng. Chính sách bảo mật định nghĩa những hành động nào được phép và không được phép, giới hạn trạng thái tới tài nguyên và bám vào chính sách và kế hoạch kinh doanh của công ty. Không có chính sách bảo mật, nó không thể thực hiện các giải pháp bảo mật mà cần thiết cho công ty. Cái chính để có thiết kế tốt cơ bản là dựa vào chính sách bảo mật của nó, chính sách định nghĩa người nào được phép truy xuất tài nguyên, cái gì họ được phép làm với tài nguyên, cách tài nguyên được bảo vệ và hành động nào được làm khi bảo mật thực hiện. Không có chính sách bảo mật, nó không thể thiết kế hệ thống firewall mà bảo vệ tài nguyên. Mặt khác, nếu không có chính sách bảo mật, bạn sẽ bảo vệ cái gì? Bao nhiêu tài nguyên bạn cần bảo vệ? ai được phép truy xuất tài nguyên? Nếu chính sách của bạn không định nghĩa những thứ này, nó là khó để thiết kế và thực hiện. Không có chính sách bảo mật, hệ thống firewall mà bạn đặt trong có thể gặp ra rủi ro bảo mật, nó không thể cung cấp sự bảo vệ đầy đủ cho tài nguyên công ty. Thiết kế bảo mật gồm:  Tài nguyên được yêu cầu truy xuất từ người dùng bên trong và bên ngoài.  Đe dọa nào được kết hợp với tài nguyên này.  Phương thức và giải pháp mà có thể được sử dụng để bảo vệ tài nguyên này.  Phân tích đánh giá phù hợp nhất, so sánh các phương thức và giải pháp khác nhau. Thiết kế giải pháp đơn giản Thiết kế bảo mật nên đơn giản dễ quản lý và dễ duy trì, nâng cấp sửa đổi. Giải pháp phức tạp có thể dẫn tới lỗi thiết kế và cấu hình, và khó kiểm tra và gỡ rối. thiết kế đơn giản, dễ quản lý hơn. Sử dụng thiết bị chính xác Sử dụng thiết bị mạng có mục đích, chúng được xây dựng với mục đích xác định, ví dụ switch tầng 2 được sử dụng để bẻ gẫy miền đụng độ hay domain. Nó cũng sử dụng VLAN để bẻ gãy miền broadcast. Sử dụng sản phẩm mục đích để giải quyết vấn đề bảo mật có thể dẫn tới bị tấn công. Ví dụ, giả sử bạn muốn sử dụng IDS để tìm các loại tấn công mạng khác nhau. Bạn thông báo router Cisco có khả năng trong thiết lập đặc điểm firewall Cisco IOS, và giải quyết nó, cảm thấy an toàn với router Cisco với việc báo đèn khi tấn công xảy ra. Nếu bạn có thời gian đọc vấn đề bảo mật chính của router, bạn nhận ra rằng router chỉ có thể tìm thấy hàng tá loại tấn công mạng khác nhau nhưng chỉ là là một. Bởi vậy, tất cả hàng trăm loại tấn công, router không có thể tìm ra chúng. Trong ví dụ này, giải pháp tốt hơn bạn mua giải pháp IDS mà có thể tìm thấy hàng trăm tấn công khác nhau. Tạo phòng thủ phân tầng Thiết kế bảo mật sử dụng phòng thủ phân tầng. Bạn không muốn một tầng phòng thủ để bảo vệ mạng. Nếu đây là một tầng bị tấn công, toàn mạng sẽ bị phơi bày thay vì sử dụng nhiều tầng phòng thủ trong thiết kế hệ thống firewall, với nhiều tầng, nếu một tầng bị thỏa hiệp, bạn vẫn cón tầng khac đằng sau nó bảo vệ bạn một ví dụ mà sử dụng mô tả firewall là hệ thống củng cố mà và sử dụng để bảo vệ castle trong thời gian medieval. Hình 2-22 chỉ ví dụ này. Trong hình, hàng phòng thủ đầu tiến là moat surrounding the castle. Cho hàng phòng thủ thứ 2, spearmen là đằng sau moat, ngăn cản mọi người cố gắng bởi qua nó. Đằng sau spearmen là phòng thủ thứ 3, tường castel, mà có ít cao 3 m nhưng thường cao hơn. Trên tường có swordmen, cung cất phòng thủ tầng 4. Bên trong tường castle là castle grounds và castle bản thân nó. Castle được xây dựng với tường đá cao và turrets, cung cấp tầng bảo vệ thứ 5. Và trong cửa sổ của tường và trên turret là archer, cung cấp tầng phòng thủ cuối cùng. Như khi bạn có thể nhìn hệ thống này, kẻ tấn công phải qua nhiều tầng phòng thủ để làm chủ hay giết vua. Hình 2-22 hệ thống firewall medieval Đối phó với đe dọa từ bên trong Bảo mật cá nhân được xem như bảo mật tài nguyên công ty từ đe dọa bên ngoài. Nhưng là dễ hơn nhiều để tấn công vào tài sản từ bên trong. Bởi vậy hệ thống firewall tốt không chỉ bảo vệ mạng đến từ đe dọa bên ngoài mà cũng cho phép giảm tối đa đe dọa đến từ bên trong. II.2 Miền DMZ Hầu hết hệ thống firewall sử dụng miền phi quân sự DMZ để bảo vệ tài nguyên và tài sản. DMZ là đoạn hay những đọan mà có mức độ bảo mật cao hơn so với đoạn bên ngoài, nhưng mực độ bảo mật thấp hơn so với đoạn bên trong. DMZ thường để cấp truy xuất cho người dùng bên ngoài tới tài nguyên công cộng hay tài nguyên thương mại điện tử. Như Web, DNS, email server mà không bị lộ mạng bên trong. Firewall sử dụng để cung cấp đoạn mức độ bảo mật giữa bên ngoài, DMZ và tài nguyên bên trong. Cơ bản, DMZ hoạt động như bộ đệm giữa các miền khác nhau trong mạng. Luật DMZ và luồng lưu lượng Để giúp tăng mức độ bảo mật dễ dàng hơn, mỗi miền trong firewall được gán một mức độ bảo mật. Nó có thể thấp, trung bình, cao hay một số thứ phức tạp, như số giữa 1 và 100, với 1 là mức bảo vệ thấp nhất và 100 là mức bảo vệ cao nhất. Lưu lượng từ miền có mức bảo đảm cao hơn cho phép xuống tầng thấp hơn, nhưng không ngược lại.Lưu lượng đi từ tầng thấp tới tầng cao hơn, nó phải được cho phép, và phải thiết lập luật lọc mà cho phép đường truyền này đi từ mức thấp tới mức cao. Nếu 2 miền có cùng mức bảo mật, như trung bình, lưu lượng giữa 2 miền cùng được cho phép hay hủy bỏ, dựa trên tiến trình mà sản phẩm sử dụng. Vì khi cho phép lưu lượng từ mức bảo mật thấp hơn tới mức bảo mật cao hơn, phải xác định rõ lưu lượng nào được phép. Ví dụ, nếu muốn người dùng Internet truy xuất tới web server, địa chỉ IP dích cho cả 2 web server, như 200.1.1.2, giao thức TCP, và số cổng đích là 80, trong luật lọc. Rõ ràng là đang mở một hố trong hệ thống firewall, bởi vậy chỉ cho lưu lượng nào cần thiết, tất cả các lưu lượng khác bao gồm các kiểu lưu lượng khác cho web server bị khóa bởi cấu hình mức bảo mật. Cisco PIX firewall sử dụng sơ đồ với một số mức bảo mật, cung cấp hệ thống mềm dẻo để phân chia thành các miền riêng biệt với mức độ đe dọa khác nhau. Miền có số cao có thể gửi lưu lượng tới miền có số thấp. Nhưng không ngược lạ, và miền cùng mức độ không giửi tới miền khác. Trên CISCO IOS router, bạn phải cấu hình luật lọc để xác định mức độ bảo mật. Hình 2-23 chỉ ra mức độ bảo mật Hình 2-23 ví dụ về mức bảo mật Ở ví dụ này, firewall sư dụng để phân thành nhiều miền mạng khác nhau. Firewall có 4 công như sau:  Cổng kết nối internet, được gán với mức độ bảo mật thấp.  Cổng kết nối tới DMZ, nơi dịch vụ công cộng được đặt, gán với mức độ bảo mật trung bình.  Cổng kết nối công ty ở xa mà làm việc theo dự án cho họ, được gán mức độ bảo mật thấp.  Kết nối tới mạng nội bộ, được gán ở mức độ bảo mật cao. Công ty này có các luật sau:  Truy xuất từ cao tới thấp : cho phép.  Truy xuất từ thấp tới cao : hủy bỏ.  Cùng mức độ : hủy bỏ. Đưa ra những luật này, cho phép lưu lượng được cho phép tự động tới thông qua firewall:  Thiết bị Internet tới DMZ , công ty ỏ xa, và Internet.  Thiết bị DMZ tới công ty ỏ xa và Internet. Một số kiểu khác lưu lượng bị giới hạn. Một ưu điểm của thiết kế này là, bởi vì công ty ở xa và Interent được gán với cùng mức độ bảo mât, lưu lượng từ Intenrnet không thể hướng tới công ty ở xa, cái mà cung cấp bảo mật, và công ty ở xa không thể sử dụng truy xuất Internet tự do để tích kiệm tiền. Uu điểm khác của mức độ bảo mật là chúng tạo phân tầng bảo mật. Ví dụ hacker trên Internet hay công ty ở xa truy xuất tới tài nguyên nội bộ hình 2-23 chúng có lẽ việc đầu tiên phải hack thẳng tới DMZ và sau đó sử dụng nó như bước đệm để hack vào mạng nội bộ. Sử dụng sự phân tầng này, bạn làm cho công việc của hacker khó khăn hơn nhiều và mạng được bảo vệ hơn. II.3. Những thành phần bổ sung cho hệ thống firewall Những phần mà bổ sung cho hệ thống firewall. Hệ thống firewall tốt thường chứa đựng những phần như:  Router vành đai  Firewall  VPN  IDS Để mô tả cái gì được bao gồm trong hệ thống firewall. Bởi vì nhiều thiết bị có thể hỗ trợ nhiều phần. Ví dụ, Cisco IOS router có thể hoạt động như router vành đai hay firewall chính, có thể là VPN kết nối đầu cuối, và thực hiện IDS tất cả trong một. 1. Phần router vành đai Mục đích chính của router vành đai là cung cấp kết nối tới mạng công cộng, như Internet, hay công ty khác. Chức năng của nó:  Định tuyến bằng giao thức định tuyến tĩnh hoặc động.  Lọc thông qua lọc stateful hay lọc gói.  Kết nối đầu cuối VPN.  Cung cấp dịch địa chỉ. 2. Phần firewall Mục đích chính của nó là chia mạng của bạn thành những mức bảo mật khác nhau và điều khiển lưu lượng giữa những mức này. Thường, phần firewall gần vành đai của mạng, bảo vệ từ đe dọa bên ngoài cũng như cung cấp điều khiển truy xuất tới đoạn DMZ công khai. Tuy nhiên cũng có thể tìm thầy phần firewall trong mạng nội bộ, tách tài nguyên then chốt để chúng được bảo vệ tốt hơn. Chức năng của nó bao gồm:  Lọc stateful.  Xác thực người dùng kết nối với CTPs.  Lọc kết nối với CGFs.  Dịch địa chỉ. 3. Phần VPN Mục đích chính của phần VPN là cung cấp kết nối được bảo vệ giữa 2 thiết bị, 2 mạng, hay thiết bị và mạng. Bảo vệ này có thể bao gồm mã hóa, xác thực, và kiểm tra tính toàn vẹn của gói tin, ngăn cản tấn công nghe trộm từ gián điệp. VPN là giải pháp hiệu quả, giải pháp truy nhập từ xa bởi vì chúng làm bạn có thể sử dụng mạng công cộng, trong một kênh đảm bảo, để kết nối tới 2 mạng riêng. Điều này rẻ hơn so với mua liên kết WAN riêng để cung cấp kết nối. Chức năng của VPN bao gồm  Bảo vệ hay mã hóa lưu lượng giữa site LAN. Và người dùng truy nhập từ xa.  Gán thông tin địa chỉ tới client truy nhập từ xa.  Sử dụng lọc gói dơn giản để giới hạn luồng lưu lượng. 4. Phần IDS  Mục đích chính của phần IDS là dò tìm, và có thể ngăn cản, tấn công do thám, tấn công DoS, và tấn công truy nhập trái phép. Hầu hết lưu lượng vào hay đi ngang qua mạng của bạn có mục đích. Để truy xuất tới HTTP, phân giải tên thành địa chỉ với DNS, gửi mail với SMTP, và.. tuy nhiên, phần nhỏ của lưu lượng có ý đồ làm tại. Trong những trường hợp này, hacker có thể thực hiện tấn công do thám tìm những loại nào trong mạng và sau đó thực hiện tấn công DoS để tác động tới dịch vụ mức độ của họ và tấn công trái phép mở cửa sau tới mạng bạn. II.4. Sắp xếp các thành phần II.4.1. Thiết kế hệ thống firewall Hình 2-28 Thiết kế hệ thống firewall đơn giản Trong ví dụ, router vành đai với lọc gói cơ bản lưu lượng như là màn che khi nó thêm vào mạng. Thiết bị IDS sử dụng dò tìm tấn công mà firewaal lọc gói vành đai không lọc. Lưu lượng sau đó được xử lý bởi firewall stateful. Firewall stateful thiết lập 3 mức bảo mật. Thấp với Internet, trung bình DMZ và cao với mạng nội bộ. Luật bảo mật được thêm vào firewall stateful để cho phép lưu lượng từ Internet tới chỉ web server. Tất cả lưu lượng khác từ mức bảo mật thấp hơn tới cao hơn bị ngăn cấm. Tuy nhiên cao tới thấp được phép di chuyển, cho phép web server đặt trong mạng nội bộ để log into tới DMZ web server để cập nhật web pages. Router bên trong trong thiết kế cung cấp định tuyến tới đoạn mạng nội bộ. Nếu cần thiết lập mức độ bảo mật và giới hạn truy xuất tới miền mạng, bạn sử dụng dịch vụ lọc gói đơn giản trên router. Điểm thuận lợi của thiết kế này là đơn giản, nó có ít tầng phòng thủ. Firewall lọc gói ở vành đai, IDS và firewall stateful. Bạn có thể quay tới router trong tới firewall lọc gói. Thiết kế này nhược điểm ở chỗ.:  Tấn công trực tiếp ở router vành đại không được nhìn bởi IDS, cái có thể thực hiện dò tìm xem ai đang cố gắng hack tới routre và cách họ cố làm.  Không có IDS trên inside của mạng, bởi vậy bạn không thể dò tìm dễ dàng nếu xuất hiện tấn công nội bộ.  Router nội bộ chỉ có thể cung cấp lọc gói đơn giản, điều này khó thực hiện mức với độ bảo mật cho người dùng bên trong. Tuy nhiên sẽ dùng nhiều điều khiển khác nhau như firewall stateful hay AGF. II.4.2. Những điểm cần chú ý khi thiết kế Một số điểm quan trong khi đặt phần trong hệ thống firewall:  Sử dụng firewall lọc gói cho router đường biên, để cung cấp bảo vệ mở rộng. Nếu bạn thật sự muốn bảo mật sử dụng firewall stateful cho phần này.  Tất cả server mà có tài nguyên truy cập công cộng được đặt trong DMZ. Server mà xử lý tiến trình then chốt hay giao dịch tài chính nên có phần mềm firewawll host-based cài đặt trên chúng. Thêm nữa là tất cả dịch vụ không cần thiết trên server này nên tắt.  Server DMZ với thông tin nhạy cảm, cân nhắc sử dụng thiết kế multiple DMZ. Điều này thật sự rõ ràng nếu bạn có web server và database server. Đặt web server trên mức bảo mật thấp hơn so với databasse server.  Kết nối VPN, cũng như kết nối truy cập từ xa qua mạng riêng, nên xác định ranh giới trên DMZ riêng trên firewall Internet. Hệ thống IDS sử dụng kiểm tra lưu lượng này sau khi nó được giải mã. Điều này cũng cho phép lưu lượng tới thật sự trở lại Itnerntnet, nhưng bởi vì nó qua firewall, bạn có nhiều điều khiển hơn những gì được phép.  Tài nguyên nội bộ, sử dụng phần IDS để tìm đe dọa mạng. bạn có thể thêm bảo mật mở rộng bởi phân đọan mạng thành nhiều mức độ bảo mật. Có thể phân mạng và giới hạn truy xuất từ sự phổ biến người dùng tới miền mà chung không kinh doanh.  Email, nên có server email công cộng trong DMZ mà cho phép tất cả dịch vụ mail đến và đi. II.4.3. Sự thực hiện firewall Sử dụng giao diên dòng lênh CLI hay giao diện đồ họa GUI để thực hiện cấu hình. Sản phẩn cisco hỗ trợ cả 2. Quản lý thiết bị bảo mật Cisco được giới thiệu một quản lý thiết bị web mới gọi là quản lý thiết bị bảo mật SDM cung cấp sự thay thế cấu hình CLI của router Cisco. SDM là phần mềm web tải tới flash với hỗ trợ router cisco sử dụng browser để cấu hình router. Thực hiện đặc điểm firewall Đầu tiên cần làm là đảm bảo firewall, mặt khác nếu hacker đột nhập vào firewall, mạng của bạn sẽ bị tấn công bởi vậy cần quản lý cẩn thận, dịch vụ nào đang chạy và cách quản lý truy xuất và quản lý nó. II.4.4.Quản lý và quản trị firewall Sau khi tạo xong hệ thống firewall cần quản lý nó. Một trong những điểm kém nhất trong thiết lập bảo mật là duy trì nó. Mọi người thường làm nó lỗi. Bởi vậy giải pháp bảo mật đủ đơn giản cho người quản lý làm thay đổi nó và gỡ rối nó, cho khi có hướng dẫn trong chính sách bảo mật của công ty. Thậm chí trong tình huống này, lỗi cấu hình đươc làm trong hệ thống firewall. Bởi vậy, trước khi thay đổi được làm với hệ thống firewall, nó là quan trọng mà bạn trở lại chúng trước khi thay đổi được làm. Sau khi thay đổi xảy ra, nó là quan trọng bạn cần kiểm tra thay đổi cho hệ thống firewall. Nến sử dụng phương thức cơ bản khi kiểm tra cấu hình. Đầu tiên, nên in cấu hình và so sánh với luật để thiết lập chính sách bảo mật, để làm gấp đôi kiểm tra mà cấu hình nó sử dụng cho phép chính sách bảo mật. Thứ 2, sử dụng công cụ phần mềm để kiểm tra thay đổi. Trong trường hợp này, người quản trị, giả vờ làm hacker. Nhiều công cụ làm bạn thực hiện tất cả các lọa tricks, như giả IP, tấn công DoS, … CHƯƠNG III THIẾT BỊ BẢO MẬT PIX FIREWALL I.Tổng quan về thiết bị bảo mật PIX firewall Thiết kế bảo mật của pix firewall có 4 đặc điểm chính cho giải pháp bảo mật hiệu quả cao.  Đảm bảo thời gian thực.  Phương thức bảo mật linh hoat.  Cut-through proxy  Redundancy I.1. Đảm bảo thời gian thực cho hệ thống gắn vào Lý do sử dụng pix firewall:  Bảo mật tốt hơn: môi trường hoạt động của pix là hệ thống đơn lẻ mà được thiết kế với chức năng bảo mật. Bởi vì không phân chia giữa hệ điều hành và ứng dụng firewall, không có sự đe dọa bị nghe lén.  Tốt hơn về mặt chức năng: môi trường hoạt động kết hợp yêu cầu vài bước khi cấu hình hệ thống. Ví dụ, nhiều địa chỉ IP được gán tới cổng ngoài của ứng dụng firewall mà chạy qua hệ điều hành, bạn phải cấu hình phần mạng là giao thức phân giải địa chỉ và định tuyến trên hệ điều hành và sau đó có ACL hay luật trên ứng dụng firewall. Pix firewall, tất cả chức năng được kết hợp trên hệ thống đơn. Ngay khi địa chỉ IP được gán tới một cổng, Pix tự động trả lời yêu cầu ARP mà địa chỉ không được cấu hình đặc biệt.  Thực hiện tốt hơn: bởi vì môi trường hoạt động là đơn vị đơn lẻ, nó cho phép xử lý và thực hiện tốt hơn nhiều. Firewall pix xử lý 500000 kết nối trong khi duy trì stateful inspection của tất cả kết nối. I.2. Phương thức bảo mật linh hoạt ASA ASA là chìa khóa để kết nối stateful điều khiển trên pix. Nó tạo phiên stateful bảng luồng còn gọi là bảng trạng thái. Địa chỉ nguồn và đích và những thông tin kết nối khác được ghi vào bảng trạng thái. Sử dụng ASA, pix có thể thực hiện lọc trạng thái trên kết nối thêm tới lọc gói. Phần chính của môi trường hoạt động là ASA. ASA đảm bảo và hiệu quả hơn so với lọc gói và cung cấp khả năng thực hiện tốt hơn so với firewall ứng dụng kiểu proxy. ASA tách mạng thành nhiều đọan được kết nối tới firewall. Duy trì vành đai bảo vệ và có thể điều khiển luồng giữa các đoạn đó. Cổng của firewall được gán mức độ bảo mật. Pix có thể cho phép lưu lượng từ ngoài qua từ một cổng với mức độ bảo mật cao hơn là inside tới cổng có mức độ bảo mật thấp hơn không cần một luật rõ ràng cho mỗi tài nguyên ở đoạn có mức độ cao hơn. Lưu lựng mà đang đến từ cổng với mức đảm bảo thấp hơn cho cổng với mức bảo mật cao hơn được cho phép với 2 yêu cầu: dịch tĩnh phải tồn tại cho đích và danh sách truy xuất hay conduit phải được đặc cho phép lưu lượng. ASA được thiết kế với chức năng như stateful, xử lý hướng kết nối duy trì thông tin phiên trong bảng trạng thái. Chấp nhận chính sách bảo mật điều khiển bảng trạng thái tất cả lưu lượng qua firewall. ASA lưu thông tin kết nối tới bảng trạng thái khi một kết nối ra ngoài được khởi tạo. Nếu kết nối được cho phép bởi chính sách bảo mật, yêu cầu đi ra ngoài. Lưu lượng quay lại được so sánh với thông tin trạng thái tồn tại. Nếu thông tin không phù hợp, firewall hủy kết nối. Nhấn mạnh bảo mật trên kết nối xa hơn so với gói làm nó gần như không thể đạt được truy xuất bởi bắt cóc phiên TCP. Minh họa hnhf 3-1 giải thích cơ chế cách asa và lọc stateful làm việc trên PIX Hình 3-1 cách asa làm việc Giải thich các bước cách ASA và lọc stateful làm việc trên PIX 1. Host khởi tạo kết nối tới tài nguyên bên ngoài. 2. PIX lưu thông tin sau về kết nối này tới bảng trạng thái.  IP nguồn.  Cổng nguồn.  IP đích.  Cổng đích.  Thông tin chuỗi TCP.  Thêm cờ TCP/UDP.  Số chuỗi TCP ngẫu nhiên được cấp. Toàn bộ bảng trạng thái này được gọi là đối tượng phiên. 3. Đối tượng kết nối được so sánh với chính sách bảo mật. Nếu kết nối không được cho phép, đối tượng phiên bị xóa, và kết nối bị hủy. 4. Nếu kết nối được chấp nhận bởi chính sách bảo mật, yêu cầu tiếp tục tới tài nguyên bên ngoài. 5. Tài nguyên bên ngoài trả lời yêu cầu. 6. Trả lời đến ở firewall và được so sánh với đối tượng phiên. Nếu trả lời phù hợp với đối tượng phiên, lưu lượng qua tới host nội bộ , nếu không, kết nối bị hủy. I.3. Cut-through proxy Cut-through proxy là phương thức của trong suốt của xác thực, thực hiện và xác thực kết nối trong và ngoài ở firewall. Cut-thruogh proxy yêu cầu ít overhead và cung cấp thực hiện qua ứng dụng firewall proxy. Đặc điểm cut-through proxy trên PIX cung cấp thực hiện tốt hơn so với ứng dụng firewall proxy, bởi vì nó hoàn toàn xác thực người dùng ở tầng ứng dụng, kiểm tra xác thực với chính sách bảo mật, và sau đó mở kết nối khi được phép bởi chính sách bảo mật. Luồng nhỏ cho kết nối này không xử lý nhiểu hơn ở tầng ứng dụng nhưng là stateful inspected, cung cấp thực hiện phù hợp với firewall proxy-based. Hình 3-2 và danh sách dưới giải thích cơ chế của cut-through proxy 1. Kết nối tới firewall qua HTTP, FTP,Telnet, và người dùng được thông báo pix cho việc thêm ID và password 2. Pix sử dụng một trong hai giao thức để chuyển tiếp thông tin người dung tới server xác thực bên ngoài là remote authentication dial-in User Service RADIUS hay terminal Access Controller Access Control System TACACS+, nơi nó được xác nhận. 3. Sau khi xác thực thành công, kết nối được mở ở tầng mạng, thông tin phiên được viết tới bảng kết nối, và tiến trình asa được chỉ trong hình 3-1 Hình 3-2 cách cut-through làm việc I.4. Redundancy Redundancy và stateful failover là giả pháp sẵn sàng cao của pix sử dụng bảo vệ đoạn mạng. Nếu firewall chính bị lỗi, thì tự động đưa ra cái thứ hai để tải. II. Mô hình và đặc điểm pix firewall Hiện tại có 6 mô hình pix. Cung cấp dịch vụ cho mạng doanh nghiệp vừa và nhỏ và nhà cung cấp Internet ISP.  Cisco secure pix 501 – firewall này dành cho SOHO sử dụng và tích hợp 10/100 Ethernet switch.  Cisco secure pix 506 – mô hình này dành cho văn phòng và chi nhánh ở xa sử dụng đến với 2 cổng Ethernet 10 base-T  Cisco secure pix 515- mô hình này được thiết kế cho kinh doanh vừa và nhỏ và chỉ ở văn phòng chi nhánh.  Cisco secure pix 520- mô hình này cho mạng doanh nghiệp. Nó không được sản xuất nhiều và đang gần như hết đời.  Cisco secure pix 535 mô hình này hầu hết của loạt pix firewall. Nó được chú ý cho mạng doanh nghiệp lớn và ISP. III. Chức năng của PIX  Bảo vệ chống xâm nhập: pix được thiết kế để tìm những tấn công khác nhau. Có thể tích hợp với thiết bị dò tìm xâm nhập của Cisco.  Hỗ trợ AAA Pix làm việc với RADIUS , TACCACS+ và cisco access control server ACS để cung cấp xác thực, chứng nhận, và chứng năng tính toán. Nó cũng có thể cấu hình cơ sở dữ liệu người dùng cục bộ trên PIX tốt hơn tích hợp với server xác thực bên ngoài.  Hỗ trợ chứng thực X.509 Chữ ký số nhận dạng số kiểm tra bạn là ai để khẳng định và xác nhận sự toàn vẹn của dữ liệu. Chữ ký số kết hợp với mã hóa để đảm bảo dữ liệu theo 4 cách sau: a. Xác thực –chữ ký số được sử dụng để kiểm tra nhận dạng người dùng hay dịch vụ. b. Toàn vẹn – nếu dữ liệu được ký dưới dạng số và nó bị thay thế, chữ ký số trở thành không thể, chỉ ra người nhận mà dữ liệu không sẵn sàng. c. Dấu hiệu kiểm tra – dấu hiệu số có thể dùng cho đặt lại password, bởi vì nó có thể đơn giản để đoán password. Chữ ký số là file được mã hóa mà để trên máy bạn và có thể dược giải mã chỉ bởi password của bạn. Để làm hại xác thực của bạn, người dùng phải có cả file đã mã hóa và password. d. Mã hóa- chứng nhận kiểm tra nhận dạng của kết nối đã mã hóa. Sử dụng digital certificates để làm mạng riêng ảo .  Dịch địa chỉ mạng hay dịch địa chỉ cổng Pix có thể dịch địa chỉ động hay dịch tĩnh địa chỉ trong mạng thành địa chỉ công khai. Chúng cũng có thể ẩn nhiều host trên mạng nội bộ đằng sau một địa chỉ công cộng đơn lẻ.  Quản lý firewall Pix firewall được quản lý sử dụng một trong 3 phương thức 1. Giao diện dòng lệnh CLI- CLI sử dụng dòng lệnh với sản phẩm khác cisco. PIX có thể được cấu hình để cho phép truy xuất CLI qua console, telnet, SSH. Tất cả cấu hình hệ thống được lưu như file text cho mục đích đạt được và khôi phục. 2. Thiết bị quản lý PDM- PDM là giao diện đồ họa mà được sử dụng để quản lý firewall đơn giản hay firewall vành đai phức tạp trong mạng doanh nghiệp. GUI kết nối tới mỗi thiết bị qua kết nối bảo mật và cung cấp phương thức đơn giản để quản lý mỗi thiết bị. PDM cũng cung cấp log dữ liệu thời gian thực mà được sử dụng để hướng sự kiện và làm giới hạn gỡ rối. 3. Người quản trị chính sách bảo mật cisco CSPM – CSPM là GUI mà có thể quản lý 500 thiết bị bảo mật, bao gồm PIX, router VPN, và thiết bị dò tìm xâm nhập của Cisco. CSPM là giải pháp thiết kế mạng cho phép quản lý bảo mật mạng thương mại và củng cố chính sách bảo mật và quản lý thiết bị từ tài nguyên đơn lẻ.  Giao thức quản lý mạng đơn giản PIX cho phép hỗ trợ SNMP. Bởi vì SNMP được thiết kế như giao thức quản lý mạng và không là giao thức bảo mật, nó sử dụng để khai thác thiết bị. Ví dụ, pix cho phép chỉ đọc tới kết nối từ xa. Điều này cho phép người quản lý tới kết nói từ xa tới thiết bị và theo dõi SNMP trap nhưng không cho phép thay đổi thiết lập SNMP.  Hỗ trợ Syslog Firewall log 4 kiểu sự kiện khác nhau của Syslog 1. Bảo mật 2. Tài nguyên 3. Hệ thống 4. Accounting PIX có thể được cấu hình để hướng tới 8 mức bảo mật khác nhau cho mõi kiểu sự kiện. Log được lưu trong bộ nhớ hệ thống và chuyển tới server syslog. Nó được giới thiệu thực hành để lựa chọn mức độ log thích hợp mà tích hợp với yêu cầu syslog chi tiết tới dấu vết dữ liệu đặc biệt mỗi phiên.  Mạng riêng ảo VPN Tất cả firewall PIX được thiết kế chức năng như điểm đầu cuối hay gateway VPN cho mạng riêng ảo. Chức năng này cho phép người quản trị tạo kết nối được mã hóa với mạng khác qua Internet. IV. Truy xuất PIX Pix được truy xuất qua cổng console hay từ xa qua 3 phương thức sau:  Telnet  Secure shell ssh  Browser sử dụng PDM pix device manager. - Cổng console truy xuất để người dùng đơn lẻ cấu hình PIX. Người dùng kết nối tới PC hay laptop tới PIX qua cổng truy xuất console sử dụng cáp rollover. - Truy xuất PIX qua telnet Có thể quản lý pix bằng telnet từ host trên cổng nội bộ. Với cấu hình IPsec, bạn sử dụng telnet để quản lý từ xa console firewall từ cổng có mức bảo mật thấp hơn. Truy xuất pix qua telnet, phải cấu hình pix truy xuất telnet: Bước 1 thêm lệnh telnet telnet local_ip[mask][if_name] ví dụ . Để host trên cổng mạng với địa chỉ 10.1.1.1 truy xuất tới pix , thêm telnet 10.1.1.24 255.255.255.255 inside bước 2 cấu hình password cho telnet passwd telnet password bước 3 thiết lập thời gian cho phiên telnet có thể chờ trược khi phiên bị mất kết nối tới pix.ví dụ mặc định là 5 phút. Để cấu hình timeout 15 phút thì telnet timeout 15 bước 4. Để bảo vệ truy xuất tới console với xác thực dịch vụ, sử dụng lệnh aaa authentication telnet console yêu cầu này bạn có username và password trên server xác thực. Khi truy xuất tới console, pix gợi ý bạn login. Nếu xác thực server đang offline, bạn vẫn truy xuất tới console bởi sử dụng user name PIXvà password là lệnh enable password. bước 5: lệnh save trong cấu hình sử dụng lệnh write memory -Truy xuất PIX với secure shell SSH SSH là ứng dụng chạy trên đỉnh của tầng truyền tin cậy, như TCP/IP. Mà cung cấp xác thực mạnh, và khả năng mã hóa. PIX hỗ trợ truy nhật từ xa SSH cung cấp trong phiên bản 1SSH. SSH cũng làm việc trên thiết bị phần mềm cisco IOS. Nên tới 5 clients SSH được cho phép truy xuất tới console của pix cấu hình ssh 1. xác định host/mạng được sử dụng để truy xuất cổng console pix sử dụng ssh. Lệnh ssh là ssh ip_address[netmask][interface_name] ví dụ để host trên cổng nội bộ với địa chỉ 10.1.1.1 truy xuất pix qua ssh , thêm lệnh ssh 10.1.1.25 255.255.255.255 inside 2. passwd password 3. ssh timeout number Để truy xuất console PIX sử dụng SSH, phải cài SSH client. Sau khi cài SSH client thêm tên PIX, sau đó password khi bắt đầu phiên, xuất hiện trên console firewall trước khi người dùng ssh gợi ý xác thực pix(config)#. V. PIX với kết nối V.1. Cấp độ bảo mật của cổng và chính sách bảo mật mặc định Mặc định, PIX có mức độ bảo mật với mỗi cổng, nhiều bảo mật hơn với đoạn mạng, số bảo mật cao hơn. Mức bảo mật từ 0 tới 100. Mặc định, Ethernet 0 là 0 và mặc định tên outside. 100 là Ethernet 1 và mặc định với tên là inside. Một số cổng thêm được cấu hình sử dụng lệnh nameif, mức bảo mật từ 1 đến 99. ASA cho phép lưu lượng từ mức bảo mật cao tới mực bảo mật thấp hơn không có xác định luật trong chính sách bảo mật cho phép kết nối như lệnh nat/global được cấu hình cho những cổng này. Lưu lượng qua từ cổng có mức bảo mật thấp hơn tới mức bảo mật cao hơn phải được cho phép bởi chính sách bảo mật. Nếu 2 cổng được gán cùng mức bảo mật lưu lượng không thể qua giữa những cổng đó. V.2. Giao thức truyền Truyền mà qua mạng luôn có địa chỉ nguồn và đích. Lệnh này dựa trên 7 tầng của mô hình tham chiếu OSI. Tầng 6 tới 7 xử lý dữ liệu ứng dụng, 1 đến 4 làm nhiệm vụ di chuyển dữ liệu từ nguồn tới đích. Dữ liệu được tạo trên tầng 7 ở máy nguồn. thông tin truyền được thêm vào tới tầng cao hơn, sau đó thông tin mạng theo sau bởi thông tin liên kết dữ liệu. Thông tin được truyền qua môi trường vật lý như tín hiệu điện. dữ liệu tầng cao hơn kết hợp với thông tin truyền gọi là segment. Ngay khi thông tin mạng được thêm vào segment, nó gọi là packet. Gói được đóng gói ở tầng liên kết dữ liệu thêm với địa chỉ MAC nguồn và đích gọi là frame. Hình 3.5 chỉ cach dữ liệu được đóng gói ở mỗi tầng của mô hình tham chiếu OSI. Hình 3-5 Đóng gói của dữ liệu tầng trên Có 2 giao thức ở tầng truyền sử dụng là UDP/ và UDP. Những giao thức này là khó. Mỗi giao thức có điểm mạnh và điểm yếu. Chúng sử dụng trong những cách khác nhau TCP- giao thức truyền hướng kết nối mà chịu trách nhiệm cho kết nối tin cậy và hiệu quả giữa các node. TCP hoàn thành nhiệm vụ bởi tạo kết nối như mạch ảo mà hoạt động như 2 cách giao tiếp giữa nguồn và đích. TCP rất tin cậy và bảo đảm phân phối dữ liệu giữa các node. TCP cũng sao chép tự động truyền kết nối dựa tên sự thay đổi điều kiện mạng. Chuỗi số TCP và xác nhận được bao gồm trong header TCP. Những giao thức này cho phép nguồn và đích chính xác, thứ tự dữ liệu phân phối, overhead cho TCP làm nó chấp giữ nó từ giao thức truyền thuận lợi hơn cho một số kết nối. UDP- giao thức truyền không kết nối mà sử dụng có dữ liệu tới đích. UDP không cung cấp kiểm tra lỗi, không sửa lỗi, và không kiểm tra sự phân phối. UDP đưa ra sự tin cậy cho giao thức tầng trên đơn giản là gửi lại dữ liệu sau khi kiểm tra sự phân phối. UDP rất đơn giản và rất nhanh Hình 3-6 giao tiếp TCP giữa những node mà không có firewall ở giữa chúng. Kết nối yêu cấu truyền khác nhau tới kết nối a. Nguồn gửi một segment tới đích, hỏi mở phiên TCP. Cờ TCP thiết lập SYN, chỉ rằng nguồn muốn khởi tạo đồng bộ hóa hay bắt tay. Nguồn cho số chuỗi này là 125. b. Đích nhận yêu cầu và gửi lại một trả lời với cờ TCP ACK và SYN thiết lập, chỉ xác nhận của bit SYN và khởi tạo truyền luồng. Nó trả lởi với số chuỗi gốc TCP bởi thêm 1, gửi trở lại chuỗi số 126. Nó cũng thông báo và gửi chuỗi số TCP cho chính nó là 388. c. Nguồn nhận SYN/ACK và gửi lại ACK chỉ xác nhận cua SYN cho thiết lập luồng nhận. Nó thêm 1 vào giá trị của chuỗi số TCP vởi đích và gửi trở lại số 389. d. Xác nhận được nhận, và bắt tay hoàn chỉnh Hình 3-6 Giao tiếp TCP giữa những node không có PIX Giao tiếp này được xử lý bởi pix. Số bước yêu cầu từ 4 lên 8 cho cùng giao dịch, mặc dù mọi thứ xuất hiện cùng như cả 2 nguồn và đích. Hình 3-7 Giao tiếp TCP giữa các node với PIX Những hành động được liệt kê khi xử lý bắt tay TCP và mở phiên TCP a. Máy nguồn khởi tạo kết nối bởi giử SYN. Nó được nhận bởi pix định tuyến tới đích. Pix kiểm tra kết nối lần nữa cấu hình đang chạy để dò tìm nếu dịch đã hoàn thành. Cấu hình chạy được lưu trong bộ nhớ, bởi vậy tiến trình thực hiện rất nhanh. Firewall kiểm tra để nhìn nếu địa chỉ trong là 10.10.10.10 được dịch tới địa chỉ ngoài, trong trường hợp này, 192.168.1.10 s/b 192.168.1.1. Nếu đã dịch hoàn chỉnh, pix tạo stranlation slot nếu một cái không tồn tài cho kết nối này. b. Tất cả các thông tin về phiên được viết vào bảng trạng thái, và PIX ngẫu nhiên sinh ra một chuỗi số mới TCP. Slot Kết nối này được đánh dấu trong bảng trạng thái như kết nối mở một nửa. c. Sau khi kết nối được kiểm tra với chính sách bảo mật. PIX cho phép kết nối bên ngoài sử dụng địa chỉ nguồn được dịch và chuỗi số TCP được phát sinh gần đây. d. Đích nhận yêu cầu kết nối SYN và trả lời với SYN ACK e. PIX kiểm tra SYN ACK từ đích và phù hợp số xác nhận để lấy lại số chuỗi được sinh ra ngẫu nhiên. Nó kiểm tra slot kết nối và chuyển kết nối trở lại nguồn sử dụng địa chỉ nguồn gốc và chuỗi số tăng thêm 1. f. Một số gói mà không phù hợp với đối tượng phiên bị hủy và logged g. Nguồn hoàn thành kết nối trả lời với ACK. Số xác nhận không ngẫu nhiên như nó qua PIX, và slot kết nối bị đánh dấu như thiết lập chủ động. h. Máy đếm thiết lập lại, và dữ liệu được truyền giữa các nodes Tiến trình sử dụng bởi PIX xử lý truyền UDP hoàn toàn khác với TCP. Là nguyên nhân của đặc điểm UDP. UDP là giao thức không kết nối mà không kết nối. Không có thiết lập hay kết thúc, nó là khó để tìm trạng thái của phiên UDP. Bởi vì không có thể tìm được trạng thái của phiên. Nó dễ tới giả mạo gói UDP và chiếm đoạt điều khiển phiên UDP. Một số ứng dụng sử dụng UDP tốt hơn so với TCP để truyền dữ liệu. Nhiều ứng dụng sử dụng thời gian thực hay ứng dụng mà không yêu cầu độ tin cậy. Những ứng dụng này bao gồm ứng dụng video mạng, hệ thống file Internet phổ biến, NetBIOSS hệ thống tên miền DNS. Chính sách bảo mật mặc định cho phép gói UDP qua từ mức độ bảo mật cao hơn tới mức độ bảo mật thấp hơn. Gói UDP qua trong hướng khác, chúng phải được cho phép bởi chính sách bảo mật. Nó là quan trọng để giới hạn truy xuất UDP bên trong. Nguyên nhân giới hạn UDP, hacker khai thác nhiều ứng dụng mà hoạt động qua UDP. PIX xử lý lưu lượng UDP trong những bước sau:  Máy nguồn khởi tạo kết nối UDP. Nó nhận bởi PIX định tuyến tới đích. PIX lập luật mặc định và dịch cần thiết, tạo đối tượng phiên trong bảng trạng thái, và cho phép kết nối qua tới cổng ngoài.  Một số lưu lượng trở lại phù hợp với đối tượng phiên, và thời gian timeout phiên phải dược ứng dụng. Phiên timeout mặc định là 2 phút. Nếu trả lời không phù hợp đối tượng phiên hay không với timeout, gói bị hủy. Nếu mọi thứ phù hợp, trả lời được phép qua tới yêu cầu nguồn.  Một số phiên UDP bên trong từ mức độ bảo mật thấp hơn tới mức độ bảo mật cao hơn phải được phép bởi chính sách bảo mật, hay kết nối hủy bỏ. V.3. Chế độ truy xuất PIX Firewall chứa đựng tập lệnh dựa trên công nghệ phần mềm Cisco IOS Software mà cung cấp 3 chế độ truy xuất quản trị: • Chế độ không đặc quyền là sẵn có khi truy xuất lần đầu tới PIX Firewall thông qua console. Hoặc Telnet. Nó hiện lên dấu >. chế độ này để bạn xem những thiết lập giới hạn. • Bạn truy xuất tới chế độ đặc quyền bởi thêm lệnh enable và enable password. prompt thay đổi thành # từ >. Chế độ này bạn có thể thay đổi một vài thiết lập hiện tại và nhìn những cấu hình tồn tại của Cisco PIX Firewall. Một số lệnh không đặc quyền cũng làm việc trong chế độ đặc quyền. Để thoát khỏi chế độ này dùng lệnh disable, hay exit, hay lệnh ^z . • Truy xuất tới chế độ cấu hình bởi thêm lệnh configure terminal. Điều này thay đổi prompt thành (config)# từ #. Chế dộ này bạn có thể thay đỏi cấu hình hệ thống. tất cả lệnh cấu hình đặc quyền, không đặc quyền, cấu hình làm việc trong chế độ này. Sử dụng lệnh exit hay ^z để thoát khỏi chế độ cấu hình. VI. Cấu hình PIX Firewall 6 lệnh quan trọng được sử dụng để làm với cấu hình làm việc cơ bản của PIX  Firewall:  interface  nameif  ip address  nat  global  route Trước khi sử dụng lệnh , nó có thể cung cấp sơ đồ hữu ích của PIX Firewall với mức độ bảo mật khác nhau, cổng , và địa chỉ IP. Figure 6-1 Hình mức độ bảo mật ,cổng, địa chỉ IP, và Interface Command Lệnh cổng được nhận ra bởi hardware card, thiết lập tốc độ của interface. Tất cả các cổng trên Cisco PIX Firewall là shut down bởi mặc định cú pháp cơ bản của lệnh cổng interface hardware_id hardware_speed [shutdown] Lệnh nameif Như cái tên bình thường, lệnh nameif được sử dụng để đặt tên một cổng và gán giá trị bảo mật từ 1 tới 99. Cổng outside và inside được đặt mặc định và có giá trị bảo mật là 0 và 100. Mặc định, các cổng có hardware ID. Ethernet 0 là outside interface, Ethernet 1 là inside interface. Tên được cấu hình bởi lệnh nameif dễ sử dụng và dễ dàng cho cấu hình về sau.. Cấu trúc lênh nameif là Nameif hardware_id if_name security_level ví dụ nameif Ethernet 1 inside 100 nameif Ethernet 0 outside 0 nameif Ethernet 2 dmz 30 Giá trị security_level điều khiển cách hosts/devices trên các cổng khác nhau tương tác với cổng khác. Mặc định, hosts/devices kết nối với những cổng mức bảo mật cao có thể truy xuất hosts/devices được kết nối với cổng có mức bảo mật thấp. Hosts/devices kết nối với host có mức bảo mật thấp không thể truy xuất tới hosts/devices được kết nối với cổng có mức bảo mật cao trừ khi có trợ giúp của access lists or conduits. Có thể kiểm tra cấu hình bằng sử dụng lệnh show nameif . Lệnh ip address Tất cả các cổng trên Cisco PIX Firewall được sử dụng phải được cấu hình với địa chỉ IP. Địa chỉ IP có thể được cấu hình bằng tay hay bằng Dynamic Host Configu-ration Protocol (DHCP). Đặc điểm DHCP được sử dụng trên mô hình PIX Firewall small office/home office (SOHO) . Lệnh ip address sử dụng để cấu hình địa chỉ IP trên cổng của PIX . Lệnh ip address kết hợp với địa chỉ logic của (IP address) hardware ID. Cấu trúc lệnh như sau: ip address if_name ip_address [netmask] ip address inside 192.168.20.2 255.255.255.0 dùng lệnh show ip để xem Nếu không ghi netmask nó tự đặt classful Lệnh nat Lệnh nat (Network Address Translation) để bạn dịch tập hợp địa chỉ IP này tới tập hợp địa chỉ IP khác. Lệnh nat luôn đi một cặp với lệnh global, với ngoại lệ của lệnh nat là 0 Cú pháp: nat (if_name) nat_id local_ip [netmask] nat inside 1 192.168.80.0 255.255.255.0 (if_name) tên cổng mạng nat_id số ID pải phù hợp với ao địa chỉ global . local_ip địa chỉ IP mà được dịch. Thường là địa chỉ IP nội bộ nó có thể được gán cho tất cả mạng bên trong local_ip thông qua nat (inside) 1 0 0. Lệnh global Lệnh global được sử dụng để định nghĩa địa chỉ hay dải địa chỉ mà mà địa chỉ được định nghĩa được dịch bởi bởi lệnh nat. Nó là quan trọng để global_id giống hệt nat_id sử dụng trong lệnh nat. Cặp đôi nat_id địa chỉ IP được định nghĩa bởi lệnh global và lệnh nat để có thể dịch được mạng. Cú pháp lệnh global là global (if_name) nat_id global_ip | global_ip-global_ip [netmask] ví dụ: global inside 1 192.168.20.0 netmask 255.255.255.0 Khi host hay thiết bị thử kết nối, PIX Firewall kiểm tra bảng dịch nếu là một phần cho IP đặc biệt. Nếu chưa tồn tại quá trình dịch, một slot trans-lation slot được tạo. Thời gian mặc định IP được dịch lưu trong bảng dịch là 3 giờ. Bạn có thể thay dổi đê thêm giờ với lệnh xlate hh:mm:ss. Để xem địa chỉ dịch dùng lệnh xlate . Lệnh route Lệnh route nói cho Cisco PIX Firewall nơi gửi thông tin mà được chuyển tiếp trên cổng đặc biệt được định trước cho địa chỉ mạng cụ thể. Thêm tuyến đường tĩnh tới PIX sử dụng lệnh route . Cú pháp lệnh: route if_name ip_address netmask gateway_ip [metric] router inside 192.168.80.1 255.255.255.0 192.168.80.1 1 if_name tên của cổng nơi dữ liệu rời. ip_address địa chỉ IP được định tuyến. netmask mặt nạ mạng của địa chỉ IP được định tuyến. gateway_ip địa chỉ IP của hop tiếp theo. Thường là địa chỉ IP của router vành đai metric: số hop xác định thới gateway_ip Là thực hành tốt để sử dụng lệnh clear arp để xóa bộ đệm ARP của firewall PIX trước khi kiểm tra cấu hình tuyến đường mới. Lệnh RIP The Routing Information Protocol (RIP) dùng để xây dựng bảng định tuyến PIX Firewall RIP cấu hình xác định cập nhật PIX trong bảng định tuyến của nó bởi lắng nghe thụ động lưu lượng RIP có hay không và có hay không cổng broadcasts chính nó như tuyến đường mặc định cho lưu lượng mạng trên cổng đó. Nó cũng quan trọng để cấu hình route Cung cấp cập nhật RIP với địa chỉ mạng của cổng PIX , cú pháp RIP rip if_name default | passive [version [1 | 2]] [authentication [text | md5 key (key_id)]] CHƯƠNG IV XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO CHI NHÁNH NGÂN HÀNG VIETINBANK. I. Môi trường mạng hiện có: - Có kết nối từ chi nhánh đến trung tâm tích hợp dữ liệu thông qua đường Leased Line 64kbps hoặc 128kbps. - Có kết nối Internet thông qua modem ADSL. - Có 2-3 server chạy Windows 2000 Server. - Các Server chạy các ứng dụng có trao đổi dữ liệu với trung tâm tích hợp dữ liệu. - Có 2-6 switch lớp 2, có Router dùng kết nối lên trung tâm và các chi nhánh, quĩ tiết kiệm của nó. - Để tăng cường bảo mật cho hệ thống mạng chi nhánh sử dụng PIX Firewall 525 của Cisco. - Các phần mềm diệt Virus có bản quyền như Norton Antivirus,Mcfee. II. Yêu cầu Với các thiết bị mạng mà chi nhánh có thể có, yêu cầu thiết kế một mô hình mạng đảm bảo được các yêu cầu sau: - Lưu lượng từ các quĩ, phòng giao dịch trao đổi với trung tâm tích hợp dữ liệu và với trụ sở của chi nhánh phải được kiểm soát. - Hạn chế tối đa sự truy nhập không được phép từ bên ngoài mạng. - Kết nối Internet phải được kiểm soát, có khả năng đảm bảo an toàn cho mạng riêng tốt nhất nếu có thể. - Có khả năng hạn chế được việc phát tán Virus, Worm và một số đoạn mã độc hại khi mạng tham gia kết nối Internet. - Đảm bảo cho băng thông mạng được tốt nhất. - Kỹ thuật đánh địa chỉ trong mạng riêng tại chi nhánh không bị phơi bày cho các quĩ, phòng giao dịch, trung tâm tích hợp dữ liệu... . III. Thiết kế mô hình mạng Thiết mô hình mạng (topology mạng) đóng vai trò khá quan trọng trong việc đảm bảo an toàn thông tin cũng như hiệu năng hoạt động của một hệ thống máy tính. Việc thiết kế tốt một mô hình mạng giúp mạng máy tính hoạt động một cách hiệu quả. Kẻ tấn công sẽ khó thâm nhập vào hệ thống. Tuỳ vào mức độ yêu cầu về bảo mật của hệ thống và các nhu cầu truy xuất Internet, mạng như thế nào mà mô hình mạng có thể thay đổi phù hợp. Với môi trường mạng và các yêu cầu hiện có, mô hình một hệ thống mạng bảo mật do đó có thể được thiết kế như hình (1.3) Hình 1.3 Cấu trúc hệ thống mạng bảo mật cho một chi nhánh ngân hàng Vietinbank IV. Cấu hình bảo mật cho hệ thống Việc cấu hình bảo mật cho một hệ thống mạng là một vấn đề phức tạp đòi hỏi nhà thiết kế phải có một sự hiểu biết sâu sắc về mạng và bảo mật mạng. Công việc cấu hình bảo mật cho một hệ thống bao gồm nhiều phần nhằm chống lại các nguy cơ chính sau: - Các cuộc tấn công từ chối dịch vụ (DoS)từ bên ngoài vào mạng,. - Các cuộc tấn công xâm nhập không được phép vào mạng thông qua việc khai thác các điểm yếu của hệ điều hành, lỗi của các chương trình ứng dụng. - Sự lây lan của Virus, Worm hay Trojan trong mạng. Để chống lại nguy cơ bị tấn công từ chối dịch vụ từ bên ngoài cũng như những xâm nhập không được phép vào mạng, chúng ta cần triển khai Firewall hợp lý và cấu hình các chính sách truy nhập đúng đắn. Để hạn chế sự lây lan của Worm và Virus từ bên ngoài vào mạng, chúng ta cần triển khai hệ thống các phần mềm chống Virus, cập nhật thường xuyên các mẩu Virus mới, các bản vá hệ điều hành... Ngoài ra, trong mạng việc chứng thực, cấp phép và phân quyền cho từng đối tượng cụ thể cần được thực hiện nhằm tránh sự truy nhập trái phép vào các tài nguyên chia sẻ. Bảng phân bố địa chỉ như sau: ID Name IP Address Subnet 1 PGD-VLAN_2 192.168.10.1- 192.168.10.2 255.255.255.0 2 TP-VlAN_3 192.168.11.2- 192.168.11.3 255.255.255.0 3 Antivirus_Server 192.168.12.2 255.255.255.0 4 Database_Server 192.168.13.2 255.255.255.0 5 Vietinbank_center 192.168.14.2 255.255.255.0 6 Internet 192.168.15.2 255.255.255.0 Bảng 2.1 Phân bố địa chỉ Kết quả cấu hình trên PIX Cấu hình cổng trên PIX Cấu hình NAT: Cấu hình chính sách bảo mật: Cấu hình định tuyến: Bảng ARP trên PIX Kết quả ping đến các vùng từ PIX Trình bày cấu hình PIX với lệnh Show running-config Kết quả ping từ miền inside ra outside , và vietinbank_center, và databa_Server, Antivirus_Server sử dung vpcs để mô phỏng PC Kết quả khi ping từ outside vào inside ……. KẾT LUẬN Ngày nay vấn đề bảo mật đã trở thành những chủ đề nóng nhất trên Internet. Với tốc độ phát tiển cực nhanh của mạng toàn cầu đã đem lại những lợi ích về mặt kinh tế và xã hội không thể phủ nhận. Chính những lợi thế đó nên nó đã là nơi lý tưởng để tội phạm, hacker sử dụng khai thác với nhiều mục đích khác nhau. Cùng với sự phát triển của khoa học công nghệ, trình độ phát triển của các hacker ngày càng giỏi hơn trong khi đó các hệ thống vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Điều đó đòi hỏi người quản trị mạng phải có những kiến thức tốt về bảo mật để có thể giử vững an toàn thông tin cho hệ thống. Trong khuôn khổ của đồ án, dưới sự giúp đỡ của thầy giáo Nguyến Tiến Thành em đã tìm hiểu được một số vấn đề về mạng máy tính và an ninh mạng máy tính. Do thời gian có hạn và kiến thức thâm nhập thực tế còn quá ít và chưa có điều kiện thực hành trên thiết bị thật nên đề tài còn nhiều thiếu sót, em rất mong nhận được sự góp ý và chỉ bảo nhiệt tình từ phía thầy cô và các bạn để nâng cao khả năng chuyên môn và hoàn thiện kiến thức. Em xin chân thành cảm ơn thầy giáo Nguyễn Tiến Thành, và Phòng An Ninh Hệ Thống- Trung Tâm Công Nghệ Thông Tin- Ngân Hàng Công Thương Việt Nam đã tận tình hướng dẫn, giúp đỡ em hoàn thành đề tài này. Tài liệu tham khảo [1]. Cisco Security Appliance Command line Configuration Guide for the Cisco [2]. Cisco networking Acadmy exploration 1 [3]. CCNA [4]. Cisco - CCSP Cisco Secure PIX Firewall Advanced Exam Certification Guide [5]. Cisco Press -2004- Cisco Router Firewall Security [6]. Cisco Press - Network Security Fundamentals 2004 [7]. Cisco.Press.Network.Security.Principles.and.Practices [8]. Công cụ hack máy tính cack phần mềm. [9]. Kỹ thuật thâm nhập mạng máy tính và cách phòng ngừa hiệu quả. NXB thanh niên [10]. Sercurity ISO 17799 standard [11]. Upgrade-pix-asa7x-asdm [12]. Why infor sec is hard.pdf [13]. Information_security.pdf Các Website: http:// www.google.com