1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn

130 918 6

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Tác giả Phạm Thị Viên, Vũ Tiến Dương
Người hướng dẫn Vi Hoài Nam
Trường học Trường Đại Học Sư Phạm Kỹ Thuật Hưng Yên
Chuyên ngành Công Nghệ Thông Tin
Thể loại Đồ án
Năm xuất bản 2011
Thành phố Hưng Yên
Định dạng
Số trang 130
Dung lượng 5,61 MB

Cấu trúc

  • 1.1. KHÁI NIỆM VỀ FIREWALL (13)
    • 1.1.1. Tại sao phải sử dụng một Firewall cho mạng máy tính kết nối Internet? (13)
    • 1.1.2. Sự ra đời của Firewall (14)
    • 1.1.3. Mục đích của Firewall (15)
    • 1.1.4. Các lựa chọn Firewall (19)
      • 1.1.4.1. Firewall phần cứng (19)
      • 1.1.4.2. Firewall phần mềm (19)
  • 1.2. CHỨC NĂNG CỦA FIREWALL (20)
    • 1.2.1. Firewall bảo vệ những vấn đề gì? (20)
    • 1.2.2. Firewall bảo vệ chống lại những vấn đề gì? (20)
      • 1.2.2.1. Chống lại việc Hacking (21)
      • 1.2.2.2. Chống lại việc sửa đổi mã (21)
      • 1.2.2.3. Từ chối các dịch vụ đính kèm (21)
      • 1.2.2.4. Tấn công trực tiếp (21)
      • 1.2.2.5. Nghe trộm (22)
      • 1.2.2.6. Vô hiệu hoá các chức năng của hệ thống (Deny service) (22)
      • 1.2.2.7. Lỗi người quản trị hệ thống (22)
      • 1.2.2.8. Yếu tố con người (22)
  • 1.3. MÔ HÌNH VÀ KIẾN TRÚC CỦA FIREWALL (22)
    • 1.3.1. Kiến trúc Dual - Homed host (máy chủ trung gian) (24)
    • 1.3.2. Kiến trúc Screend Host (25)
    • 1.3.3. Kiến trúc Screened Subnet (27)
  • 1.4. PHÂN LOẠI FIREWALL (28)
    • 1.4.1. Packet Filtering Firewall (28)
    • 1.4.2. Application-proxy firewall (30)
  • 1.5. MỘT SỐ VẤN ĐỀ KHI LỰA CHỌN MỘT FIREWALL (31)
    • 1.5.1. Sự cần thiết của Firewall (31)
    • 1.5.2. Firewall điều khiển và bảo vệ gì ? (31)
  • 1.6. NHỮNG HẠN CHẾ CỦA FIREWALL (32)
  • 2.1. Nguyên tắc bảo vệ hệ thống mạng (34)
    • 2.1.1. Hoạch định hệ thống bảo vệ mạng (34)
    • 2.1.2. Mô hình bảo mật (35)
    • 2.1.3. Nâng cao mức độ bảo mật (35)
  • 2.2. Kiến trúc bảo mật của hệ thống mạng (37)
    • 2.2.1. Các mức an toàn thông tin trên mạng (37)
    • 2.2.2. Ảnh hưởng của các lỗ hổng mạng (38)
  • CHƯƠNG 3. FIREWALL CISCO (38)
    • 3.3 Tổng quan về NAT (51)
      • 3.3.1 Địa chỉ Private (51)
      • 3.3.2 Nhu cầu của NAT (52)
      • 3.3.3 Lợi ích của NAT (52)
      • 3.3.4 Thuật ngữ và định nghĩa NAT (52)
      • 3.3.5 Một vài ví dụ điển hình NAT (53)
      • 3.4.2 Cấu hình NAT tĩnh (66)
      • 3.4.2 Cấu hình PAT tĩnh (68)
    • 3.5 Access Control (69)
    • 3.6 Web content (76)
    • 3.8 Các chức năng nâng cao của ASA (89)
  • CHƯƠNG 4. VPNs (105)
    • 4.1 IPSec là gì? (105)
    • 4.2 Cách làm việc của IPSec (106)
    • 4.3 Các loại kết nối (106)
    • 4.4 Hướng dẫn cấu hình (107)
      • 4.4.4 Cấu hình anyconnect webvpn (118)
  • KẾT LUẬN (128)
  • TÀI LIỆU THAM KHẢO (130)

Nội dung

KHÁI NIỆM VỀ FIREWALL

Tại sao phải sử dụng một Firewall cho mạng máy tính kết nối Internet?

Internet đã mang lại nhiều lợi ích to lớn cho con người, kết nối mọi người lại gần nhau hơn, nhưng cũng đồng thời tạo ra nhiều nguy cơ về an toàn mạng Các cuộc tấn công mạng nhằm lấy cắp dữ liệu, phá hoại hệ thống, và thay đổi cơ sở dữ liệu ngày càng trở nên phổ biến và tinh vi Do đó, việc đảm bảo an toàn cho mạng máy tính trở nên cấp thiết hơn bao giờ hết Mặc dù đã có nhiều giải pháp bảo mật như phần mềm và tài khoản truy cập có mật khẩu, nhưng chúng chỉ bảo vệ một phần mạng Khi kẻ xâm nhập đã thâm nhập sâu vào hệ thống, việc bảo vệ trở nên khó khăn hơn Vì vậy, cần thiết phải có công cụ ngăn chặn xâm nhập từ bên ngoài, dẫn đến sự ra đời của Firewall (Tường lửa).

Firewall là một công cụ quan trọng giúp lọc các lưu lượng Internet nguy hiểm như hacker, sâu và virus trước khi chúng có thể gây ra sự cố cho hệ thống Nó không chỉ bảo vệ máy tính khỏi các cuộc tấn công mà còn ngăn chặn việc tham gia vào các cuộc tấn công vào máy tính khác mà người dùng không hay biết Đặc biệt, việc sử dụng Firewall là cực kỳ cần thiết cho những máy tính luôn kết nối Internet, đặc biệt là với các kết nối băng thông rộng hoặc DSL/ADSL.

Trên Internet, tin tặc sử dụng mã độc như virus, sâu và Trojan để tấn công hệ thống Tường lửa là giải pháp hiệu quả giúp bảo vệ máy tính khỏi những hoạt động này và các cuộc tấn công bảo mật khác.

Tin tặc có thể thực hiện nhiều hành động khác nhau, tùy thuộc vào bản chất của cuộc tấn công Trong khi một số chỉ đơn giản là quấy rối với các trò đùa nghịch, những tin tặc khác lại có ý định nguy hiểm hơn, như xóa thông tin từ máy tính, phá hủy dữ liệu hoặc đánh cắp thông tin cá nhân như mật khẩu và số thẻ tín dụng Một số tin tặc chỉ nhắm vào các máy tính dễ bị tấn công Các loại mã độc như virus, sâu và Trojan rất đáng lo ngại May mắn thay, người dùng có thể giảm thiểu nguy cơ lây nhiễm bằng cách sử dụng tường lửa (Firewall).

Sự ra đời của Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn

Trong công nghệ mạng thông tin, Firewall là một kỹ thuật quan trọng giúp ngăn chặn truy cập trái phép, bảo vệ thông tin nội bộ và hạn chế xâm nhập không mong muốn vào hệ thống Nó hoạt động như một cơ chế bảo vệ mạng tin tưởng khỏi các mạng không tin tưởng, đảm bảo an toàn cho dữ liệu và tài nguyên mạng.

Firewall thường được đặt giữa mạng nội bộ (Intranet) của các tổ chức, công ty hoặc quốc gia và Internet Chức năng chính của nó là bảo vệ thông tin, ngăn chặn truy cập không mong muốn từ Internet, đồng thời cấm truy cập từ Intranet đến một số địa chỉ nhất định trên Internet.

Internet FireWall là hệ thống thiết bị, bao gồm cả phần cứng và phần mềm, hoạt động như một rào cản giữa mạng nội bộ của tổ chức, công ty hoặc quốc gia (Intranet) và Internet.

Trong một số tình huống, Firewall có thể được cấu hình trong cùng một mạng nội bộ để tạo ra các miền an toàn Chẳng hạn, một mạng cục bộ sử dụng Firewall nhằm ngăn cách giữa phòng máy và hệ thống mạng ở tầng dưới.

Một Firewall Internet có thể giúp ngăn chặn người ngoài trên Internet không xâm nhập được vào máy tính

Một Firewall hoạt động bằng cách kiểm tra thông tin ra vào Internet, nhận diện và chặn các dữ liệu từ nguồn nguy hiểm hoặc đáng ngờ Nếu bạn cài đặt Firewall một cách hợp lý, tin tặc sẽ gặp khó khăn trong việc phát hiện và tấn công máy tính của bạn.

Firewall là giải pháp phần cứng hoặc phần mềm cần thiết để kiểm tra dữ liệu, đặc biệt quan trọng cho bất kỳ máy tính hay mạng nào kết nối Internet Đối với kết nối băng thông rộng, firewall càng trở nên cần thiết do tính chất luôn bật của nó, tạo điều kiện cho tin tặc có nhiều thời gian hơn để tấn công Hơn nữa, kết nối băng thông rộng cũng tạo thuận lợi cho tin tặc trong việc tiếp tục tấn công các máy tính khác.

Mục đích của Firewall

Firewall giúp người dùng an tâm về việc giám sát dữ liệu truyền thông giữa máy tính của họ và các hệ thống khác Nó hoạt động như một người bảo vệ, kiểm tra "giấy thông hành" của mọi gói dữ liệu vào và ra khỏi máy tính, chỉ cho phép những gói hợp lệ đi qua và loại bỏ các gói không hợp lệ.

Giải pháp Firewall là cần thiết để bảo vệ dữ liệu trên Internet, nơi thông tin được chia thành các gói nhỏ trước khi được gửi đến người nhận Các gói dữ liệu này tìm đường tối ưu để đến đích và được lắp ráp lại theo thứ tự đã được đánh số Tuy nhiên, việc này có thể dẫn đến rủi ro nếu kẻ xấu gửi các gói dữ liệu độc hại, làm cho máy tính không biết cách xử lý hoặc lắp ghép sai thứ tự Điều này có thể cho phép kẻ tấn công kiểm soát máy tính từ xa, gây ra những vấn đề nghiêm trọng và sử dụng kết nối Internet để phát động các cuộc tấn công khác mà không bị phát hiện.

Firewall đóng vai trò quan trọng trong việc bảo vệ máy tính bằng cách đảm bảo chỉ những dữ liệu hợp lệ được phép vào, ngăn chặn sự xâm nhập từ bên ngoài Ngoài ra, chức năng kiểm soát dữ liệu ra của Firewall cũng rất cần thiết, giúp ngăn chặn kẻ xâm nhập cài đặt virus độc hại vào máy tính, từ đó bảo vệ các thiết bị khác trên mạng Internet khỏi các cuộc tấn công.

Một Firewall tối thiểu có hai giao diện mạng: giao diện chung kết nối với Internet, cho phép người dùng truy cập, và giao diện riêng bảo vệ các dữ liệu quan trọng Số lượng giao diện riêng có thể thay đổi tùy thuộc vào số lượng mạng cần tách biệt Mỗi giao diện đều đi kèm với một bộ quy tắc bảo vệ riêng, nhằm kiểm soát loại lưu thông giữa mạng chung và mạng riêng.

Firewall không chỉ là một thiết bị kết nối VPN mà còn mang lại nhiều lợi ích và thách thức cho quản trị mạng Nó có khả năng bảo vệ hệ thống khỏi các mối đe dọa bên ngoài, đồng thời giúp quản lý lưu lượng truy cập hiệu quả Tuy nhiên, việc cấu hình và duy trì Firewall cũng có thể gặp khó khăn, đòi hỏi kiến thức chuyên sâu và kinh nghiệm từ người quản trị.

Firewall đóng vai trò quan trọng trong việc bảo vệ mạng riêng khỏi các mối đe dọa từ mạng công cộng, như máy chủ xác thực hoặc máy chủ DNS Tuy nhiên, giống như bất kỳ thiết bị mạng nào khác, việc nhiều dịch vụ hoạt động trên cùng một máy chủ sẽ gia tăng rủi ro bảo mật Do đó, để đảm bảo an toàn, một Firewall không nên chạy nhiều dịch vụ cùng lúc.

Firewall là lớp bảo vệ thứ hai trong hệ thống mạng, hoạt động song song với bộ định tuyến để kiểm soát lưu lượng truy cập Nó cho phép hoặc từ chối các địa chỉ IP và phát hiện các gói tin bất thường, đồng thời xác định các cổng được phép hoặc bị chặn Firewall rất hữu ích cho các mạng nhỏ hoặc địa chỉ IP riêng lẻ, giúp giảm tải cho bộ định tuyến, vốn thường xuyên phải xử lý khối lượng lớn dữ liệu Việc sử dụng firewall giúp tối ưu hóa hiệu suất mạng bằng cách lọc các địa chỉ IP đơn lẻ hoặc các lớp địa chỉ nhỏ mà không tạo ra tải trọng không cần thiết.

Firewall là công cụ quan trọng để bảo vệ mạng khỏi lưu lượng không mong muốn, đặc biệt khi mạng không có máy chủ công cộng Nó có khả năng từ chối lưu lượng không khởi đầu từ các máy trong mạng, giúp tăng cường an ninh Ngoài ra, Firewall có thể được cấu hình để chỉ cho phép lưu lượng qua cổng 53, dành riêng cho máy chủ DNS, nhằm kiểm soát truy cập hiệu quả hơn.

Sức mạnh của Firewall nằm ở khả năng lọc lưu lượng dựa trên các quy tắc bảo vệ do quản trị viên thiết lập Tuy nhiên, điểm yếu lớn nhất của Firewall chính là bộ quy tắc không đầy đủ hoặc kém chất lượng, có thể tạo điều kiện cho kẻ tấn công và làm giảm mức độ an toàn của mạng.

Nhiều nhà quản trị mạng thường không nhận thức được rằng Firewall là một thiết bị mạng phức tạp, chủ yếu tập trung vào việc ngăn chặn lưu lượng không mong muốn từ bên ngoài vào mạng riêng, mà ít chú ý đến lưu lượng từ mạng riêng ra mạng công cộng Việc bảo vệ cả hai loại lưu lượng này là rất quan trọng Nếu một kẻ tấn công cố gắng xâm nhập vào một máy chủ, chúng sẽ không thể sử dụng máy chủ đó để tấn công vào các thiết bị mạng khác Để đảm bảo an toàn cho lưu lượng bên trong mạng, các nhà quản lý thường triển khai hai bộ Firewall: một bộ để bảo vệ toàn bộ mạng và bộ còn lại để bảo vệ các đoạn mạng riêng biệt.

Nhiều lớp Firewall giúp các nhà quản trị an toàn mạng kiểm soát hiệu quả hơn các dòng thông tin, đặc biệt là trong việc xử lý thông tin nhạy cảm giữa các cơ sở bên trong và bên ngoài công ty Việc trao đổi thông tin có thể được cho phép ở một số khu vực của mạng, nhưng sẽ bị hạn chế ở những vùng nhạy cảm hơn.

Hình 1.2.Mạng gồm có Firewall và các máy chủ

Hình 1.3 Sử dụng nhiều Firewall nhằm tăng khả năng bảo mật

Các lựa chọn Firewall

Có một số công ty sản xuất sản phẩm Firewall và có hai loại để chọn: Firewall phần cứng và Firewall phần mềm.

Firewall phần cứng mang lại mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ dàng bảo trì Một lợi thế khác của Firewall phần cứng là nó không chiếm dụng tài nguyên hệ thống trên máy tính, giúp cải thiện hiệu suất hoạt động.

Firewall phần cứng là giải pháp lý tưởng cho các doanh nghiệp nhỏ, đặc biệt là những công ty chia sẻ kết nối Internet Việc kết hợp Firewall với bộ định tuyến trên cùng một hệ thống phần cứng giúp bảo vệ toàn bộ mạng một cách hiệu quả Hơn nữa, Firewall phần cứng thường tiết kiệm chi phí hơn so với Firewall phần mềm, vốn cần được cài đặt trên từng máy tính cá nhân trong mạng.

Các công ty nổi bật trong lĩnh vực cung cấp Firewall phần cứng bao gồm Linksys và NetGear Tính năng Firewall phần cứng của hai thương hiệu này thường được tích hợp sẵn trong các bộ định tuyến, phục vụ cho mạng của doanh nghiệp nhỏ và mạng gia đình.

Nếu bạn muốn tiết kiệm chi phí cho việc bảo mật, Firewall phần mềm là một lựa chọn hợp lý thay vì đầu tư vào Firewall phần cứng Firewall phần mềm thường có giá rẻ hơn, và nhiều phần mềm như Comodo Firewall Pro 3.0, PC Tools Firewall Plus 3.0, và ZoneAlarm Firewall 7.1 còn hoàn toàn miễn phí, dễ dàng tải về từ Internet.

So với firewall phần cứng, firewall phần mềm mang lại sự linh hoạt hơn, cho phép điều chỉnh các thiết lập theo nhu cầu riêng của từng doanh nghiệp Chúng có khả năng hoạt động hiệu quả trên nhiều hệ thống khác nhau, trong khi firewall phần cứng thường chỉ phù hợp với mạng quy mô nhỏ Ngoài ra, firewall phần mềm là lựa chọn lý tưởng cho máy tính xách tay, đảm bảo bảo vệ thiết bị ngay cả khi di chuyển đến bất kỳ đâu.

Các Firewall phần mềm làm việc tốt với Windows 98, Windows ME và Windows

Năm 2000, các tường lửa này trở thành lựa chọn tốt cho các máy tính đơn lẻ Mặc dù nhiều công ty phần mềm khác cũng phát triển các tường lửa, nhưng đối với Windows XP, người dùng không cần cài đặt thêm vì hệ điều hành này đã được tích hợp sẵn một tường lửa.

- Không yêu cầu phần cứng bổ sung.

- Không yêu cầu chạy thêm dây máy tính.

- Một lựa chọn tốt cho các máy tính đơn lẻ.

- Chi phí thêm: hầu hết các tường lửa phần mềm tốn chi phí.

- Việc cài đặt và và đặt cấu hình có thể cần để bắt đầu.

- Cần một bản sao riêng cho mỗi máy tính.

CHỨC NĂNG CỦA FIREWALL

Firewall bảo vệ những vấn đề gì?

Bảo vệ dữ liệu: Theo dõi luồng dữ liệu mạng giữa Internet và Intranet Những thông tin cần được bảo vệ do những yêu cầu sau:

Firewall đóng vai trò quan trọng trong việc bảo mật thông tin mạng, giúp che giấu dữ liệu nội bộ khỏi các mạng không đáng tin cậy và bên ngoài Ngoài ra, Firewall còn cung cấp một điểm quản lý trung tâm, hỗ trợ tổ chức trong việc tối ưu hóa nguồn lực nhân lực và tài chính có hạn.

Danh tiếng của công ty sở hữu các thông tin cần bảo vệ.

Firewall bảo vệ chống lại những vấn đề gì?

FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.

Hacker là những chuyên gia máy tính có khả năng lập trình xuất sắc, có khả năng phân tích và phát hiện lỗ hổng trong hệ thống Họ có thể sử dụng nhiều kỹ thuật khác nhau để xâm nhập vào hệ thống, như truy cập trái phép, tạo thông tin giả và đánh cắp dữ liệu Sự lo ngại về an ninh dữ liệu ngày càng tăng trong các công ty do nguy cơ bị tấn công bởi hacker Để bảo vệ dữ liệu hiệu quả, việc sử dụng Firewall là một giải pháp quan trọng.

1.2.2.2 Chống lại việc sửa đổi mã

Kẻ tấn công có thể can thiệp vào tính xác thực của mã nguồn bằng cách sử dụng virus, worm và các chương trình độc hại Việc tải file từ internet có thể dẫn đến việc download các đoạn mã độc hại, đặc biệt khi người dùng thiếu kiến thức về bảo mật máy tính Những file tải về này có thể thực thi các quyền theo ý đồ của kẻ tấn công trên một số trang web.

1.2.2.3 Từ chối các dịch vụ đính kèm

Từ chối dịch vụ là một hình thức tấn công gây gián đoạn hoạt động của hệ thống mạng, dẫn đến mối đe dọa cho tính liên tục của dịch vụ Các phương thức tấn công như làm tràn ngập thông tin hoặc sửa đổi đường đi không được phép có thể gây ra hậu quả nghiêm trọng Cụ thể, kẻ xâm nhập có thể tạo ra thông tin giả để tăng lưu lượng mạng, làm giảm khả năng phục vụ người dùng thực sự Ngoài ra, kẻ tấn công cũng có thể lén lút phá hoại hệ thống máy tính bằng cách cài đặt phần mềm độc hại, nhằm tấn công hệ thống vào thời điểm đã định.

Phương pháp đầu tiên để dò mật khẩu là sử dụng các chương trình dò tìm mật khẩu trực tiếp, dựa trên thông tin cá nhân như ngày sinh, tuổi, địa chỉ, kết hợp với thư viện mà người dùng đã tạo Kẻ tấn công có thể đạt được tỷ lệ thành công lên tới 30% trong một số trường hợp Một ví dụ tiêu biểu là chương trình Crack, hoạt động trên hệ điều hành Unix.

Cách thứ hai để chiếm quyền truy cập là khai thác lỗi trong các chương trình ứng dụng và hệ điều hành, những lỗ hổng này đã tồn tại từ những vụ tấn công đầu tiên và vẫn chưa được khắc phục, cho phép kẻ tấn công có được quyền quản trị hệ thống.

Thông qua các chương trình đặc biệt, người dùng có thể nhận diện tên, mật khẩu và các thông tin khác được truyền qua mạng bằng cách đưa giao tiếp mạng (NIC) vào chế độ nhận toàn bộ dữ liệu lưu thông.

1.2.2.6 Vô hiệu hoá các chức năng của hệ thống (Deny service) Đây là kiểu tấn công nhằm làm tê liệt toàn bộ hệ thống không cho thực hiện các chức năng được thiết kế Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.

1.2.2.7 Lỗi người quản trị hệ thống

Trong bối cảnh hiện nay, kỹ năng của các hacker ngày càng tinh vi, trong khi các hệ thống mạng vẫn chậm chạp trong việc khắc phục lỗ hổng bảo mật Điều này đặt ra yêu cầu cao đối với người quản trị mạng, buộc họ phải có kiến thức vững về bảo mật để bảo vệ thông tin hệ thống Đối với người dùng cá nhân, mặc dù không thể nắm vững tất cả các kỹ thuật để xây dựng một Firewall, nhưng họ cần nhận thức rõ tầm quan trọng của việc bảo mật thông tin Từ đó, người dùng nên tự tìm hiểu và áp dụng những biện pháp phòng tránh các cuộc tấn công đơn giản từ hacker Ý thức phòng ngừa là yếu tố then chốt, khi có ý thức, khả năng bảo vệ thông tin cá nhân sẽ được nâng cao đáng kể.

Nhiều người có tính cách chủ quan và chưa nhận thức đầy đủ về tầm quan trọng của bảo mật hệ thống, dẫn đến việc dễ dàng để lộ thông tin quan trọng cho hacker.

* Ngoài ra thì còn dùng Firewall để chống lại sự “ giả mạo địa chỉ IP “.

MÔ HÌNH VÀ KIẾN TRÚC CỦA FIREWALL

Kiến trúc Dual - Homed host (máy chủ trung gian)

Kiến trúc Firewall kiểu Dual-homed host được xây dựng trên nền tảng của máy tính Dual-homed host, một loại máy tính có ít nhất hai giao diện mạng, tức là được trang bị hai card mạng kết nối với hai mạng khác nhau, hoạt động như một router phần mềm Kiến trúc này rất đơn giản, với Dual-homed host nằm ở giữa, một bên kết nối với Internet và bên còn lại kết nối với mạng nội bộ (LAN).

Dual-homed host chỉ có thể cung cấp dịch vụ thông qua việc ủy quyền hoặc cho phép người dùng đăng nhập trực tiếp Tất cả các giao tiếp giữa các host trong mạng nội bộ và host bên ngoài đều bị cấm, khiến Dual-homed host trở thành điểm giao tiếp duy nhất.

Kiến trúc Screend Host

Screened host là kiến trúc ngược lại với Dual-homed host, cho phép cung cấp dịch vụ từ một máy chủ nội bộ thông qua một router tách biệt với mạng bên ngoài Kiến trúc này tập trung vào bảo mật thông qua phương pháp lọc gói tin (Packet Filtering).

Bastion host được triển khai trong mạng nội bộ, với Packet Filtering được cài đặt trên router Điều này cho phép Bastion host trở thành hệ thống duy nhất mà các host từ Internet có thể kết nối Tuy nhiên, chỉ những kiểu kết nối được xác định trước trong Bastion host mới được phép Tất cả các hệ thống bên ngoài muốn truy cập vào các dịch vụ nội bộ đều phải thông qua Bastion host.

Bastion host cần được duy trì ở chế độ bảo mật cao để đảm bảo an toàn cho hệ thống Đồng thời, Packet Filtering cho phép Bastion host mở kết nối ra bên ngoài một cách hiệu quả.

Cấu hình của packet filtering trên screening router như sau :

- Cho phép tất cả các host bên trong mở kết nốt tới host bên ngoài thông qua một số dịch vụ cố định.

- Không cho phép tất cả các kết nối từ host bên trong (cấm những host này sử dụng dịch vụ proxy thông qua Bastion host).

Hình 1.6 Kiến trúc Dual - Homed host

- Bạn có thể kết hợp nhiều lối vào cho những dịch vụ khác nhau

- Một số dịch vụ được phép đi vào trực tiếp qua packet filtering.

- Một số dịch vụ khác thì chỉ được phép đi vào gián tiếp qua proxy.

Kiến trúc cho phép các packet đi từ bên ngoài vào mạng nội bộ có vẻ nguy hiểm hơn so với kiến trúc Dual-homed host, vì nó được thiết kế để ngăn chặn mọi packet tiếp cận mạng bên trong Tuy nhiên, thực tế cho thấy kiến trúc Dual-homed host cũng có thể gặp lỗi, cho phép packet xâm nhập từ bên ngoài vào bên trong, do những lỗi này thường không thể dự đoán và không được bảo vệ hiệu quả trước các cuộc tấn công Hơn nữa, việc bảo vệ router - thiết bị cung cấp ít dịch vụ hơn - trong kiến trúc Dual-homed host dễ dàng hơn so với việc bảo vệ các host bên trong mạng.

Xét về toàn diện thì kiến trúc Screened host cung cấp độ tin cậy cao hơn và an toàn hơn kiến trúc Dual-homed host.

So với kiến trúc Screened subnet, kiến trúc Screened host có một số bất lợi đáng chú ý Bất lợi lớn nhất là nếu kẻ tấn công xâm nhập vào Bastion host, sẽ không có biện pháp ngăn cách hiệu quả giữa Bastion host và các máy chủ khác trong mạng nội bộ Ngoài ra, router cũng tồn tại một số điểm yếu; nếu router bị tấn công, toàn bộ mạng sẽ gặp nguy hiểm.

Vì lý do này mà Screened subnet trở thành kiến trúc phổ biến nhất.

Hình 1.7 Kiến trúc Screened host

Kiến trúc Screened Subnet

Để nâng cao khả năng bảo vệ mạng nội bộ và thực hiện chiến lược phòng thủ theo chiều sâu, kiến trúc Firewall Screened subnet được đề xuất nhằm tăng cường an toàn cho bastion host Kiến trúc này tách biệt bastion host khỏi các host khác, giúp hạn chế sự lây lan khi bastion host bị tổn thương.

Kiến trúc Screened subnet phát triển từ kiến trúc Screened host bằng cách bổ sung mạng ngoại vi (perimeter network) để bảo vệ mạng nội bộ khỏi các mối đe dọa từ bên ngoài, đồng thời tách biệt bastion host với các máy chủ thông thường Mô hình Screened subnet cơ bản bao gồm hai bộ định tuyến được bảo vệ (screened router).

Router ngoài, hay còn gọi là access router, đóng vai trò quan trọng trong việc bảo vệ mạng ngoại vi bằng cách nằm giữa mạng này và mạng ngoài Router này cho phép kiểm soát các kết nối outbound từ mạng ngoại vi và thiết lập các quy tắc lọc gói tin cần thiết để bảo vệ bastion host và interior router Bastion host được cài đặt với mức độ an toàn cao, do đó, việc áp dụng các quy tắc bảo mật tương tự giữa hai router là rất cần thiết để duy trì an toàn cho toàn bộ hệ thống mạng.

Router trong, hay còn gọi là choke router, hoạt động như một lớp bảo vệ giữa mạng ngoại vi và mạng nội bộ, giúp bảo vệ mạng nội bộ trước các mối đe dọa từ bên ngoài Nó không thực hiện đầy đủ các quy tắc lọc gói của toàn bộ firewall Các dịch vụ mà router trong cho phép giữa bastion host và mạng nội bộ, cũng như giữa mạng bên ngoài và mạng nội bộ, có thể khác nhau Việc giới hạn dịch vụ giữa bastion host và mạng nội bộ là cần thiết để giảm thiểu số lượng máy và dịch vụ có thể bị tấn công nếu bastion host bị tổn thương Ví dụ, cần giới hạn các dịch vụ như SMTP giữa bastion host và email server nội bộ khi nhận email từ bên ngoài.

PHÂN LOẠI FIREWALL

Packet Filtering Firewall

Firewall mức mạng là loại tường lửa phổ biến hoạt động theo mô hình OSI ở mức mạng, thường dựa trên nguyên tắc của router Nó thiết lập các quy tắc truy cập mạng dựa trên địa chỉ IP nguồn của các gói tin Quá trình này bao gồm việc kiểm tra địa chỉ nguồn của gói tin và so sánh với các luật đã được cấu hình trên router để quyết định quyền truy cập.

Firewall hoạt động ở lớp mạng có tốc độ xử lý nhanh do chỉ kiểm tra địa chỉ IP nguồn mà không cần xác định tính hợp lệ của địa chỉ đó Tuy nhiên, hạn chế của loại Firewall này là không đảm bảo tính tin cậy, vì nó có thể cho phép các địa chỉ không hợp lệ hoặc bị cấm.

Hình 1.8 Kiến trúc Screened Subnet

Lỗ hổng của kiểu Firewall này nằm ở chỗ nó chỉ dựa vào địa chỉ IP nguồn để kiểm soát truy cập Khi gói tin có địa chỉ nguồn giả mạo, nó có thể dễ dàng vượt qua các mức bảo mật và xâm nhập vào mạng nội bộ.

Firewall kiểu packet filtering chia làm hai loại:

Firewall lọc gói tin hoạt động tại lớp mạng trong mô hình OSI, sử dụng các quy tắc lọc dựa trên các trường trong tiêu đề IP, tiêu đề transport, địa chỉ IP nguồn và địa chỉ IP đích.

- Circuit level gateway: Hoạt động tại lớp phiên (Session Layer) của mô hình OSI Mô hình này không cho phép các kết nối end to end.

Inside host in in in out out out outside connection inside connection

Application-proxy firewall

Khi một người dùng kết nối đến mạng qua Firewall, kết nối đó sẽ bị chặn và Firewall sẽ kiểm tra các trường thông tin của gói tin yêu cầu Nếu các trường thông tin đáp ứng được các quy tắc của Firewall, một cầu kết nối sẽ được tạo ra để cho phép gói tin đi qua.

- Không có chức năng chuyển tiếp các gói tin IP.

- Điều khiển một cách chi tiết hơn các kết nối thông qua Firewall.

- Đưa ra công cụ cho phép ghi lại quá trình kết nối.

- Tốc độ xử lý khá chậm.

Sự chuyển tiếp gói tin IP từ mạng ngoài vào mạng nội bộ khi một máy chủ nhận yêu cầu là điểm yếu mà hacker có thể lợi dụng để xâm nhập.

Firewall kiểu này hoạt động dựa trên ứng dụng phần mềm, yêu cầu tạo một trình ứng dụng ủy quyền (proxy) cho mỗi dịch vụ trên mạng, chẳng hạn như proxy FTP và proxy HTTP.

* Firewall kiểu Application- proxy chia thành hai loại:

- Applicatin level gateway: Hoạt động ở lớp ứng dụng (Application Layer) trong mô hình TCP/IP.

Outside host Inside host outside connection inside connection

- Stateful multilayer inspection firewall: Đây là loại Firewall kết hợp được tính năng của các loại Firewall trên, mô hình này lọc các gói tin tại lớp mạng và

Firewall ứng dụng-proxy kiểm tra nội dung gói tin tại lớp ứng dụng, cho phép kết nối trực tiếp giữa client và host, giúp giảm thiểu lỗi Nó cung cấp tính năng bảo mật cao và trải nghiệm liền mạch cho người dùng cuối.

MỘT SỐ VẤN ĐỀ KHI LỰA CHỌN MỘT FIREWALL

Sự cần thiết của Firewall

Để thực thi hiệu quả vấn đề Firewall, cần phải tiến hành nghiên cứu và phân tích kỹ lưỡng Việc triển khai Firewall phải dựa trên các yêu cầu xác định và chứng minh rõ ràng, vì cách thực thi Firewall không giống như các giải pháp của tổ chức khác Việc phát triển Firewall cho quy mô nhỏ có thể dẫn đến những lỗ hổng an ninh, gây ra nhiều vấn đề mạng lưới hơn là chỉ đơn thuần thực hiện Firewall.

Firewall điều khiển và bảo vệ gì ?

Để thiết lập một Firewall hiệu quả, cần xác định rõ chức năng mà nó sẽ đảm nhiệm, bao gồm việc kiểm soát truy cập từ các mạng khác nhau và bảo vệ các dịch vụ cũng như người dùng cụ thể.

- Truy cập trong những mạng lưới bên trong, những lĩnh vực hay những công trình kiến trúc

- Truy cập những nhóm đặt trưng, nhũng người sử dụng hoặc địa chỉ.

- Truy cập đến những tài nguyên cụ thể hoặc những dịch vụ.

Firewall cần bảo vệ cái gì?

- Những mạng lưới hoặc bộ điều khiển đặc biệt.

- Thông tin riêng tư hoặc công cộng.

Sau khi nhận thức được vai trò quan trọng của Firewall trong việc bảo vệ và kiểm soát thông tin, điều cần thiết là xác định những rủi ro có thể xảy ra khi người dùng truy cập vào các trang không được phép Nếu dịch vụ không được bảo vệ và thông tin không được bảo mật, nguy cơ tiềm ẩn sẽ gia tăng Do đó, việc đánh giá mức độ bảo vệ và kiểm soát hiện tại là cần thiết để quyết định xem có cần thiết triển khai giải pháp Firewall hay không.

NHỮNG HẠN CHẾ CỦA FIREWALL

Firewall không thể phân tích nội dung thông tin như con người, vì vậy nó không đủ khả năng để đánh giá thông tin tốt hay xấu Chức năng chính của firewall là ngăn chặn các nguồn thông tin không mong muốn, nhưng điều này chỉ có thể thực hiện khi các thông số địa chỉ được xác định rõ ràng.

Firewall không thể ngăn chặn các cuộc tấn công nếu chúng không đi qua hệ thống này Cụ thể, Firewall không thể bảo vệ trước các cuộc tấn công từ kết nối dial-up hoặc những rủi ro rò rỉ thông tin do dữ liệu bị sao chép trái phép lên đĩa mềm.

Firewall không thể ngăn chặn các cuộc tấn công dựa trên dữ liệu Khi một số chương trình được gửi qua email, chúng có thể vượt qua Firewall và xâm nhập vào mạng được bảo vệ, sau đó bắt đầu hoạt động trong đó.

Firewall không thể quét virus trên dữ liệu do tốc độ làm việc và sự xuất hiện liên tục của virus mới, cùng với nhiều phương pháp mã hóa dữ liệu Mặc dù Firewall có thể ngăn chặn các mối đe dọa từ bên ngoài, nhưng vẫn cần chú ý đến các mối nguy từ bên trong Để đảm bảo an ninh tối ưu cho hệ thống, Firewall nên được kết hợp với phần mềm diệt virus, phần mềm đóng gói và mã hóa dữ liệu Chính sách bảo mật phù hợp và sâu sắc là yếu tố quyết định hiệu quả của bất kỳ phần mềm bảo mật nào Cuối cùng, sự hợp tác của nhân viên và đồng nghiệp cũng là yếu tố quan trọng trong thành công của giải pháp bảo mật.

CHƯƠNG 2 TÌM HIỂU CÁC VẤN ĐỀ BẢO MẬT

Bảo mật mạng trong môi trường doanh nghiệp hiện nay là một thách thức lớn do sự gia tăng của các hacker và kẻ xâm nhập Họ đã phát triển nhiều phương thức để tấn công và làm sập các mạng lưới cũng như dịch vụ Web của các công ty Để bảo vệ hạ tầng mạng và thông tin trên Internet, nhiều biện pháp đã được áp dụng, bao gồm tường lửa, mã hóa dữ liệu và sử dụng mạng riêng ảo.

Bảo mật hệ thống mạng bao gồm 3 yếu tố: Tính bảo mật, tính nguyên vẹn, tính sẵn sàng

Tính bảo mật: Bảo vệ thông tin nhạy cảm không bị truy cập bởi những người không có quyền hạn

- Tính nguyên vẹn: Bảo vệ thông tin hệ thống khỏi bị sửa bởi hacker

Để đảm bảo tính sẵn sàng của hệ thống, bạn cần xác định rõ nguồn tài nguyên nào cần bảo vệ và đối tượng nào có thể gây ra nguy hiểm Việc hiểu biết về các loại mối đe dọa là rất quan trọng để xây dựng chiến lược phòng thủ hiệu quả Có bốn mối đe dọa chính đối với an ninh mạng mà bạn cần chú ý để bảo vệ hệ thống của mình.

• Mối đe dọa ở bên trong

• Mối đe dọa ở bên ngoài

• Mối đe dọa không có cấu trúc

• Mối đe dọa có cấu trúc a) Mối đe dọa ở bên trong

Mối đe dọa ở bên trong là kiểu tấn công xảy ra từ những người hoặc tổ chức có quyền truy cập vào mạng của bạn, thường từ một khu vực được tin cậy Các cuộc tấn công này khó phòng chống hơn do nhân viên có thể truy cập vào dữ liệu nhạy cảm của công ty Hầu hết các công ty chỉ sử dụng tường lửa ở biên mạng và phụ thuộc vào danh sách kiểm soát truy cập (ACL) để đảm bảo an ninh nội bộ, nhưng điều này không đủ để bảo vệ mạng Mối đe dọa này thường xuất phát từ những nhân viên bất mãn, có ý định gây hại cho công ty Trong khi các biện pháp bảo mật thường tập trung vào việc bảo vệ mạng khỏi các kết nối bên ngoài, thì các khu vực bên trong lại thường bị lơi lỏng hơn Khi một kẻ xâm nhập vượt qua hàng rào bảo mật, việc tấn công trở nên dễ dàng hơn, do đó cần thiết phải thiết lập các mức bảo mật chặt chẽ hơn.

- Bảo mật mức vật lý: Đặt thiết bị mạng vào trong một phòng an ninh , luôn khóa

- Bảo mật hệ điều hành: Sử dụng phiên bản mới nhất IOS để đáp ứng các nhu cầu của doanh nghiệp Lưu trữ bản sao file cấu hình

Để bảo mật router và switch, cần thiết lập bảo mật cho các phương thức truy cập quản trị như console và telnet Đồng thời, nên tắt các cổng không sử dụng trên router và switch, cũng như vô hiệu hóa các dịch vụ không cần thiết để giảm thiểu rủi ro Điều này giúp bảo vệ hệ thống khỏi các mối đe dọa từ bên ngoài.

Mối đe dọa từ bên ngoài xuất phát từ các tổ chức, chính phủ hoặc cá nhân không có quyền truy cập vào mạng nội bộ của công ty Những kẻ tấn công thường sử dụng các server quay số hoặc kết nối Internet để xâm nhập Đây là mối đe dọa mà các công ty phải đầu tư nhiều thời gian và tiền bạc để phòng ngừa Các giải pháp hiệu quả cần được triển khai để bảo vệ mạng lưới khỏi những rủi ro này.

- Triển khai firewall bảo vệ mạng bên trong

- Chỉ cho phép các dịch vụ cần thiết đáp ứng nhu cầu của tổ chức

- Có các biện pháp ngăn ngừa và phát hiện xâm nhập vào mạng bên trong c) Mối đe dọa có cấu trúc

Mối đe dọa có cấu trúc rất khó ngăn chặn vì nó đến từ các tổ chức hoặc cá nhân sử dụng phương pháp tấn công tinh vi Những hacker có kiến thức và kinh nghiệm cao, cùng với thiết bị hiện đại, có khả năng phát triển mã để khai thác các lỗ hổng trong giao thức Họ hiểu rõ cách thức hoạt động của các gói tin và các biện pháp bảo vệ như hệ thống phát hiện xâm nhập (IDS), đồng thời biết cách né tránh các biện pháp này để thực hiện các cuộc tấn công hiệu quả.

Trong một số tình huống, mối đe dọa có cấu trúc bên trong xảy ra khi có sự hỗ trợ từ những người ở trong tổ chức Mối đe dọa này có thể được phân loại là cấu trúc hoặc không cấu trúc, và nó có thể đến từ cả bên ngoài lẫn bên trong.

Nguyên tắc bảo vệ hệ thống mạng

Hoạch định hệ thống bảo vệ mạng

Trong môi trường mạng, việc bảo mật thông tin là rất quan trọng, đảm bảo rằng dữ liệu nhạy cảm được lưu trữ an toàn và chỉ những người có thẩm quyền mới có quyền truy cập Bảo vệ hoạt động mạng không kém phần quan trọng trong việc duy trì tính riêng tư và an toàn cho thông tin.

Để bảo vệ an toàn cho mạng máy tính, cần tránh những hiểm họa do vô tình hoặc cố ý gây ra Tuy nhiên, quản trị viên mạng cần nhận thức rằng việc bảo vệ quá mức có thể gây khó khăn cho người dùng trong quá trình truy cập mạng Mạng không cần phải được bảo vệ quá cẩn mật đến mức khiến người dùng thất vọng khi cố gắng truy cập các tập tin của chính họ.

Bốn hiểm hoạ chính đối với sự an ninh của mạng là:

- Truy nhập mạng bất hợp pháp

- Sự can thiệp bằng phương tiện điện tử.

- Tai họa vô tình hoặc có chủ ý.

Mức độ bảo mật của mạng phụ thuộc vào loại môi trường hoạt động Để bảo vệ hệ thống mạng, cần thiết lập một tập hợp các nguyên tắc và chính sách nhằm loại trừ rủi ro, đồng thời hướng dẫn ứng phó với những thay đổi và tình huống bất ngờ trong quá trình phát triển Việc đào tạo người dùng mạng một cách chu đáo sẽ giảm thiểu khả năng họ vô tình làm hỏng tài nguyên.

Đảm bảo an toàn cho thiết bị là rất quan trọng, tùy thuộc vào quy mô công ty, mức độ bảo mật dữ liệu và các nguồn lực sẵn có Trong môi trường mạng ngang hàng, có thể thiếu các chính sách bảo vệ phần cứng tổ chức Do đó, người dùng cần tự chịu trách nhiệm trong việc bảo vệ máy tính và dữ liệu cá nhân của mình.

Mô hình bảo mật

Hai mô hình bảo mật khác nhau đã phát triển, giúp bảo vệ an toàn dữ liệu và tài nguyên phần cứng:

- Bảo vệ tài nguyên dùng chung bằng mật mã: Gắn mật mã cho từng tài nguyên dùng chung.

Truy cập khi được sự cho phép là việc chỉ định quyền hạn cụ thể cho từng người dùng, nhằm kiểm tra và quản lý quyền truy cập vào các tài nguyên chung dựa trên cơ sở dữ liệu user-access trên máy chủ.

Nâng cao mức độ bảo mật

Kiểm toán mạng là quá trình theo dõi hoạt động người dùng, ghi lại các sự kiện quan trọng vào sổ nhật ký bảo mật của máy chủ Điều này giúp phát hiện các hoạt động bất hợp lệ hoặc không chủ định Ngoài ra, kiểm toán cung cấp thông tin cần thiết trong trường hợp các phòng ban thu phí sử dụng tài nguyên, từ đó hỗ trợ quyết định mức phí cho các tài nguyên này một cách hợp lý.

Máy tính không đĩa là loại máy tính không có ổ đĩa cứng hoặc ổ mềm, nhưng vẫn có khả năng thực hiện các tác vụ như máy tính thông thường Thay vì lưu trữ dữ liệu cục bộ, máy tính này sử dụng một con chip ROM khởi động đặc biệt trên card mạng để giao tiếp với server Khi khởi động, chip ROM gửi tín hiệu đến server để yêu cầu khởi động, và server sẽ tải phần mềm khởi động vào RAM, hiển thị màn hình đăng nhập Nhờ đó, máy tính không đĩa có thể kết nối với mạng một cách dễ dàng.

Mã hoá dữ liệu là quá trình chuyển đổi thông tin thành dạng mật mã thông qua một phương pháp nhất định, nhằm đảm bảo rằng chỉ những người hoặc hệ thống có khả năng giải mã mới có thể nhận diện được thông tin đó Điều này giúp người sử dụng hoặc máy chủ có thể an tâm sử dụng thông tin mà không lo ngại về việc bị ảnh hưởng bởi các bên thứ ba.

- Ngăn không cho virus hoạt động.

- Sửa chữa hư hại ở một mức độ nào đó.

- Chặn đứng virus sau khi nó bộc phát.

Ngăn chặn truy cập trái phép là giải pháp hiệu quả hàng đầu để bảo vệ hệ thống khỏi virus Để thực hiện biện pháp phòng ngừa này, người quản trị mạng cần đảm bảo rằng tất cả các yếu tố cần thiết đã được chuẩn bị đầy đủ.

- Mật mã để giảm khả năng truy cập bất hợp pháp.

- Chỉ định các đặc quyền thích hợp cho mọi người dùng.

Các profile giúp tổ chức môi trường mạng cho người dùng, cho phép họ cấu hình và duy trì môi trường đăng nhập Điều này bao gồm việc thiết lập các kết nối mạng và các mục chương trình mà người dùng sẽ sử dụng khi đăng nhập.

- Một chính sách quyết định có thể tải phần mềm nào.

Kiến trúc bảo mật của hệ thống mạng

Các mức an toàn thông tin trên mạng

An toàn và bảo mật không chỉ là sản phẩm hay phần mềm, mà là một tư duy An toàn có thể được xem như một dịch vụ, trong khi bảo mật chính là phương thức để đạt được an toàn Tài liệu bảo mật là những thông tin mà tổ chức cần bảo vệ, và trách nhiệm đảm bảo an toàn thuộc về người quản trị mạng.

An toàn mạng đóng vai trò cực kỳ quan trọng trong bảo vệ thông tin Cơ chế bảo mật cần bao gồm cấu hình mạng của máy chủ, bảo vệ ứng dụng của tổ chức và các thiết bị khách truy cập từ xa Có nhiều phương pháp cần được xem xét để đảm bảo an ninh mạng hiệu quả.

- Sự an toàn vật lý.

- An toàn các ứng dụng.

- Sự truy nhập từ xa và việc chấp nhận

Các lỗ hổng bảo mật trong hệ thống là những điểm yếu có thể gây ra gián đoạn dịch vụ, tăng quyền cho người dùng hoặc cho phép truy cập trái phép Những lỗ hổng này có thể xuất hiện ở các dịch vụ như sendmail, web, ftp, và thậm chí ngay cả trong hệ điều hành.

Các mức an toàn thông tin trên mạng trong các hệ điều hành như Windows NT, Windows 95, XP và UNIX, cũng như trong các ứng dụng phổ biến như xử lý văn bản và hệ thống cơ sở dữ liệu, đóng vai trò quan trọng trong việc bảo vệ dữ liệu người dùng.

Ảnh hưởng của các lỗ hổng mạng

Kẻ tấn công có thể lợi dụng các lỗ hổng bảo mật để tạo ra chuỗi lỗ hổng khác, nhằm xâm nhập vào hệ thống mà không cần tài khoản hợp lệ Đầu tiên, chúng sẽ xác định các điểm yếu trong hệ thống thông qua chính sách bảo mật hoặc các công cụ dò xét thông tin Khi đã đạt được quyền truy nhập, kẻ tấn công sẽ tiếp tục khám phá các dịch vụ trên hệ thống, tìm kiếm thêm điểm yếu để thực hiện các hành động phá hoại tinh vi hơn.

Không phải tất cả các lỗ hổng bảo mật đều đe dọa nghiêm trọng đến hệ thống Trên Internet, nhiều thông báo về lỗ hổng thường liên quan đến loại C, không gây ảnh hưởng lớn Chẳng hạn, khi có thông báo về lỗ hổng sendmail, hệ thống không bị ảnh hưởng ngay lập tức Khi các lỗ hổng được xác nhận, các nhóm an ninh sẽ cung cấp phương pháp khắc phục để bảo vệ hệ thống.

FIREWALL CISCO

Tổng quan về NAT

Một trong những nhiệm vụ quan trọng khi quản lý hệ thống mạng là chỉ định địa chỉ IP cho tất cả các thiết bị Do sự cạn kiệt địa chỉ public IPv4, nhiều trường hợp yêu cầu sử dụng địa chỉ private cho các thiết bị trong mạng LAN.

3.3.1 Địa chỉ Private Để giải quyết vấn đề cạn kiệt địa chỉ IP, để đáp ứng như cầu phát triển của công ty kết nối ra Internet, tổ chức IETF đã phát triển RFC 1918

Để đáp ứng nhu cầu của công ty, bạn cần có địa chỉ Private cho mỗi thiết bị trong mạng, với mỗi thiết bị được chỉ định một địa chỉ IP duy nhất Theo RFC 1918, gói tin chứa địa chỉ Private, dù là địa chỉ nguồn hay đích, sẽ không được chuyển tiếp trên mạng công cộng.

Hai công ty A và B cùng sử dụng dải địa chỉ private 10.0.0.0/8 cho các thiết bị trong mạng LAN, dẫn đến việc trùng lặp địa chỉ Tình trạng này gây ra nhiều vấn đề nghiêm trọng, vì việc trùng lặp subnet ngăn cản khả năng giao tiếp giữa các thiết bị mạng của hai công ty.

Ví dụ: Cả hai công ty đều sử dụng 10.1.1.0/24 như hình dưới

Khi hai subnet trong công ty cần kết nối với nhau, điều này sẽ gặp khó khăn vì router biên giữa hai mạng không thể liên kết chúng lại.

3.3.2 Nhu cầu của NAT Để giải quyết vấn đề trùng lặp địa chỉ, cũng như giải quyết vấn đề sử dụng địa chỉ

IP Private và truy cập mạng Public được tổ chức IETF định nghĩa qua RFC 1631, quy định quá trình thực hiện NAT NAT cho phép chuyển đổi địa chỉ Private trong phần đầu gói tin IP sang một địa chỉ IP khác Dưới đây là một số ví dụ phổ biến mà bạn có thể cần áp dụng NAT.

- Bạn đang cần kết hợp hai mạng lại với nhau

Nhà cung cấp dịch vụ ISP sẽ cấp cho bạn một khối lượng địa chỉ IP công cộng có giới hạn, điều này đòi hỏi bạn phải sử dụng nhiều thiết bị để truy cập Internet.

Khi bạn chuyển sang nhà cung cấp dịch vụ internet mới, có thể bạn sẽ không nhận được địa chỉ IP công cộng mà bạn đang sử dụng Điều này xảy ra khi nhà cung cấp dịch vụ mới không cung cấp địa chỉ IP công cộng hiện tại của bạn.

- Bạn đang có một dịch vụ mạng trên một thiết bị và bạn cần public chúng lên mạng Internet để ai cũng có thể truy cập dịch vụ này

Một trong những lợi ích quan trọng của NAT là khả năng sử dụng một lượng lớn địa chỉ IP riêng, lên tới hơn 17 triệu địa chỉ Điều này bao gồm cả một lớp địa chỉ mạng lớp A, giúp tối ưu hóa việc quản lý và phân bổ địa chỉ IP trong mạng.

Có 16 địa chỉ mạng lớp B và 256 địa chỉ mạng lớp C Khi sử dụng địa chỉ IP private, bạn không cần phải cấu hình lại địa chỉ cho các thiết bị trong mạng cục bộ khi thay đổi nhà cung cấp dịch vụ Chỉ cần điều chỉnh cấu hình NAT trên firewall để phù hợp với địa chỉ IP public mới.

Bởi vì tất cả các traffic phải đi firewall để đến các thiết bị có địa chỉ IP private, bạn có thể điều khiển điều này bằng cách sau:

- Những nguồn mà Internet truy cập vào mạng Inside của chúng ta

- User nào trên mạng Inside được phép truy cập Internet

3.3.4 Thuật ngữ và định nghĩa NAT

NAT (Network Address Translation) can be implemented through various devices, including firewalls, routers, proxy gateways, and even file servers Cisco routers utilizing IOS 11.2 and firewalls with NAT capabilities are common examples To effectively configure NAT on a firewall, it is essential to understand key terminologies associated with NAT.

- Inside: Những địa chỉ được translate, thường là địa chỉ Ip private cho các thiết bị bên trong mạng LAN hay địa chỉ public mua từ ISP

- Outside: Những địa chỉ được cấp phát trên Internet

- Inside Local: Những địa chỉ Private được gán cho các host nằm bên trong mạng LAN

- Inside Global: Những địa chỉ public được gán cho Inside host Thường thì đây là pool địa chỉ được cấp bởi ISP

- Outside Global: Những địa chỉ được gán cho các thiết bị Outside device

3.3.5 Một vài ví dụ điển hình NAT

Có nhiều loại NAT khác nhau có thể được thực hiện bởi Firewall Trong phần này bạn sẽ thấy hai ví dụ: NAT và PAT

Hình 3.8 Ví dụ về NAT

NAT (Network Address Translation) thực hiện việc chuyển đổi địa chỉ IP từ địa chỉ này sang địa chỉ khác NAT tĩnh thường được sử dụng khi bạn có một server và muốn cho mọi người trên Internet có thể truy cập vào server đó Đối với người dùng trong mạng cục bộ, bạn sẽ tạo một pool địa chỉ IP và để thiết bị NAT tự động chỉ định các địa chỉ IP công cộng cho các thiết bị trong mạng Ví dụ, một người dùng trong mạng cục bộ với địa chỉ 192.168.1.5 đang cố gắng truy cập tài nguyên từ Internet với địa chỉ 201.201.201.2.

Trong hình 3.9, quá trình truyền dữ liệu từ địa chỉ 192.168.1.5 được thể hiện rõ ràng Tường lửa nhận gói tin từ địa chỉ này và quyết định xem có cần thực hiện NAT hay không trước khi chuyển tiếp gói tin đến đích.

The firewall detects incoming packets and compares them against NAT rules When a packet matches a rule in the NAT policy, the firewall translates the source address from 192.168.1.5 to 200.200.200.1, which is the public IP address.

Địa chỉ đích 201.201.201.2 đã nhận gói tin từ địa chỉ nguồn 200.200.200.1, điều này diễn ra một cách minh bạch với người dùng trong mạng cục bộ cũng như máy đích.

Hình 3.9 Ví dụ về NAT (b)

Khi đó máy đích gửi gói tin trả lời trở lại cho User, nó sử dụng địa chỉ IP public mà nó thấy được sau khi Nat là 200.200.200.1

Access Control

Trong phần trước, chúng ta đã thảo luận về các lệnh bảo vệ thiết bị nhằm thực hiện dịch địa chỉ, bao gồm global, NAT và PAT tĩnh Bài viết này sẽ tiếp tục mở rộng về việc kiểm soát lưu lượng truy cập thông qua các thiết bị mạng.

▼ Sử dụng danh sách kiểm soát truy cập (ACL) để lọc lưu lượng truy cập thông qua thiết bị

■ Sử dụng các nhóm đối tượng để đơn giản hóa việc quản lý của ACL

■ Lọc các gói tin ICMP đến vào thiết bị

▲ Khắc phục sự cố kết nối bằng cách sử dụng đánh dấu gói dữ liệu và các tính năng chụp gói

3.5.2 So sánh giữa ACL Router và Firewall ASA

Cisco đang nỗ lực chuyển đổi sang một giao diện dòng lệnh thống nhất cho tất cả các sản phẩm mạng của mình, điều này thể hiện rõ qua các lệnh ACL trên thiết bị Bài viết này sẽ so sánh những điểm tương đồng và khác biệt giữa ACL trên thiết bị mạng nói chung và ACL trên router IOS.

Một nhóm các ACL được gán nhãn với 1 chỉ số nhận biết nhóm đó

Cả Standard và Extended ACL đều được trang bị trong Firewall ASA

Cú pháp của các rule là như nhau

Có một rule cuối mỗi danh sách ACL mặc định luôn cấm các traffic

Khi thêm một Rule, nó sẽ được tự động đặt ở cuối danh sách Rule Trong quá trình chỉnh sửa ACL, bạn có khả năng xóa và thêm các Rule vào danh sách này.

Bạn có thể chú thích vào nhiều ACL

Mỗi ACL có thể được cho phép hoặc vô hiệu dựa trên ngày tháng (Timed ACL)

3.5.3 Tạo và áp dụng ACL

Trong bài viết trước, chúng ta đã khám phá một số ví dụ cơ bản về lưu lượng TCP qua thiết bị trong phần "Ví dụ kết nối TCP" Bài viết này sẽ mở rộng chủ đề đó để giúp bạn hiểu rõ hơn về quá trình mà các thiết bị thực hiện đối với các gói dữ liệu khi chúng vào và ra khỏi giao diện Dưới đây là các bước mà một gói dữ liệu sẽ trải qua khi nó đi vào một giao diện.

Thiết bị so sánh thông tin của gói tin với các kết nối hiện tại trong bảng nhà nước để xác định xem gói tin đó là mới hay đã tồn tại Nếu gói tin thuộc về một kết nối hiện tại, nó sẽ được cho phép thông qua, và các kiểm tra còn lại trong danh sách ACL sẽ không được thực hiện.

Khi dịch địa chỉ được kích hoạt, bước đầu tiên là so sánh địa chỉ đích với chính sách dịch để xác định khả năng dịch Đối với kết nối trong nước, việc so sánh này đảm bảo địa chỉ có thể được dịch, trong khi đối với các kết nối ra ngoài, chính sách dịch cũng được kiểm tra Nếu không tìm thấy chính sách phù hợp, gói tin sẽ bị giảm xuống Cần lưu ý rằng quá trình dịch thực tế chưa diễn ra ở giai đoạn này.

3 Nếu đây là một gói tin gửi đến, các gói tin phải phù hợp với một giấy phép ACL tuyên bố áp dụng trong nước trên giao diện đến, nếu không thì gói tin bị rơi.

Nếu không có ACL, lưu lượng truy cập được phép di chuyển từ mức bảo mật cao hơn đến mức bảo mật thấp hơn theo mặc định Tuy nhiên, nếu có một ACL cục bộ trên giao diện, các gói tin cần phải tuân thủ các quy định trong ACL; nếu không, chúng sẽ bị cấm.

4 Các thiết bị sau đó một tuyến đường tra cứu để xác định giao diện xuất cảnh thiết bị cần sử dụng Điều này là cần thiết để xác định các ACL để xử lý và để thực hiện dịch địa chỉ, nếu được kích hoạt.

5 Giả sử rằng bản dịch địa chỉ đã được cấu hình, các điểm đến thông tin địa chỉ là không được phiên dịch với một lệnh tĩnh hoặc dịch với lệnh nat và toàn cầu.

6 Tại thời điểm này kết nối được thêm vào bảng conn và được theo dõi.

Similar to IOS Router, the ASA Firewall supports Standard ACLs for filtering packets based on IP addresses However, Standard ACLs cannot be utilized for filtering traffic in and out of the interface.

Có thể lọc traffic vào ra trên một interface

Lọc địa chỉ nguồn và địch, giao thức, ứng dụng

ACL theo thời gian có thể được thực thi hoặc vô hiệu phụ thuộc vào thời gian mà ta cấu hình

Ví dụ bạn cần cho phép truy cập vào Server từ 8h00 am đến 6h00 pm

Để kiểm tra cấu hình ACL, bạn có thể sử dụng hai lệnh: "show run access-list" và "show run access-group" để hiển thị cấu hình trong running-config Để liệt kê các câu lệnh trong ACL, bạn có thể sử dụng lệnh "show access-list [ACL_ID]" trong môi trường cấu hình của Cisco ASA.

Nếu không muốn xem ACL đơn, bạn có thể xem toàn bộ các ACL

- ciscoasa(config)# show access-list

ASA có hai Interface: VD1

Cho phép tất các các Outbound traffic

Hạn chế inbound trafic đối với Internal Server

Hình 3.19 ví dụ về NAT với 2 interface

Có hai nhóm thiết bị trong LAN, nhóm A(192.168.1.128-192.168.1.191) và nhóm B(192.168.1.192-192.168.1.254) Các rule như sau Đối với nhóm A

Chặn truy cập đối với mạng 131.108.0.0/16

Chặn truy cập đến webserver: 210.210.210.0/24

Cho phép truy cập internet Đối với nhóm B

Cho phép truy cập đến tất cả các thiết bị trong mạng 140.140.0.0/16

Cấm truy cập đến các mạng Internet khác

Hình 3.20 Ví dụ NAT với mô hình 3 interfacesCấu hình:

Cấu hình một vài chính sách lọc gói tin Đối với DMZ

User không được cho phép truy cập bất cứ thứ gì trên mạng 192.168.1.0/24

Máy 192.168.5.5 và 192.168.5.6 được cho phép truy cập 192.168.2.0/24

Các thiết bị trong DMZ được truy cập Internet Đối với Internal User

User được truy cập vào email và webserver : 192.168.5.0/24 ngoại trừ các thiết bị khác trên mạng àny

User không được truy cập 192.168.1.0/24

Thiết bị trên 192.168.2.0/24 và 192.168.3.0/24 được cho phép truy cập đến Internet

Thiết bị trên 192.168.4.0/24 được truy cập đến 131.108.0.0/16 140.140.0.0/16 và 210.210.210.0/24 ở bên ngoài Internet Đối với External User

User được cho phép truy cập đến email server trong DMZ

User được phép truy cập đến webserver trong DMZ

Tất cả các loại truy cập khác đều bị cấm

Web content

Mặc dù ACLs có khả năng lọc địa chỉ lớp mạng và transport trong mô hình OSI, nhưng chúng không thể đọc nội dung thông tin tải về Điều này tạo ra rủi ro khi hacker tấn công thông qua các applet Java độc hại hoặc ActiveX mà người dùng tải về Một hạn chế của ACLs là chúng không thể chỉ lọc một ứng dụng cụ thể, như applet Java, mà chỉ có thể chấp nhận hoặc từ chối cổng TCP 80 Hơn nữa, khi quản lý các trang web xấu, việc cập nhật cấu hình ACLs trở nên khó khăn do thông tin trang web liên tục thay đổi Điều này dẫn đến việc xử lý nội dung trang web chiếm băng thông lớn, đặc biệt khi nhiều người cùng tải nội dung từ một trang.

Ba giải pháp cho những vấn đề này bao gồm khả năng sử dụng các thiết bị lọc trên Java và tích hợp kịch bản ActiveX vào các kết nối HTTP.

Giải pháp thứ hai cho việc lọc nội dung cho phép các thiết bị tương tác với phần mềm lọc nội dung của bên thứ ba để xử lý lưu lượng HTTP và FTP Trong khi đó, giải pháp thứ ba hỗ trợ giao thức WCCP (Web Cache Communication Protocol), cho phép các thiết bị chuyển hướng yêu cầu web tới một máy chủ bên ngoài bộ nhớ cache nhằm tải về nội dung hiệu quả hơn.

Các chủ đề trong phần này bao gồm:

3.6.1 Giải pháp lọc Java và ActiveX

Các thiết bị này có khả năng lọc cả Java và ActiveX mà không cần sử dụng phần mềm bổ sung hay phần cứng đặc biệt Chúng được thiết kế để tích hợp dễ dàng vào các hệ thống nhúng.

HTML với lệnh và thay thế chúng với những phản hồi Một trong số này lệnh bao gồm: , , và CLASSID> .

Tính năng lọc này giúp ngăn chặn việc tải xuống các applet độc hại và kịch bản trên máy tính của người dùng, đồng thời vẫn cho phép tải nội dung của trang web một cách an toàn.

Sử dụng các thiết bị mang lại lợi thế là cung cấp một điểm trung tâm cho chính sách lọc, tuy nhiên, bộ lọc chỉ hoạt động dựa trên địa chỉ IP của máy chủ web Điều này có nghĩa là bạn không thể lọc theo trình duyệt hoặc nội dung có động cơ xấu một cách trực tiếp Để tăng cường bảo mật cho mạng, bạn nên kết hợp các thiết bị với các công cụ khác như cài đặt trình duyệt an toàn và công cụ lọc nội dung Hai phần tiếp theo sẽ hướng dẫn cách lọc Java applet và kịch bản ActiveX trên các thiết bị của bạn.

Cấu hình lọc Java và ActiveX

To filter Java applets directly on your device, use the following command syntax: `ciscoasa(config)# filter java port_name_or_#[-port_name_or_#] internal_IP_address subnet_mask external_IP_address subnet_mask` This command allows you to specify the port and IP addresses for effective filtering.

Bạn không cần kích hoạt bộ lọc trên giao diện như với ACL, vì các lệnh bộ lọc Java tự động áp dụng cho lưu lượng truy cập trên bất kỳ giao diện nào của thiết bị Tham số đầu tiên cần nhập là tên cổng hoặc số cổng mà trang web truy cập, ví dụ như cổng 80 Bạn có thể nhập nhiều cổng cùng lúc hoặc sử dụng các lệnh lọc Java riêng biệt cho các cổng không liền kề.

Cổng yêu cầu hai thông tin quan trọng là địa chỉ IP và mặt nạ mạng con Cần lưu ý rằng đây không phải là cú pháp sử dụng ACL, mà chỉ xác định nguồn và địa chỉ đích Đầu tiên, bạn có thể cấu hình định dạng địa chỉ trong lệnh lọc Java với cấu hình interface ở mức bảo mật cao hơn, sau đó thiết lập thông tin địa chỉ IP cho giao diện có mức độ bảo mật thấp hơn.

Ví dụ, nếu bạn muốn lọc tất cả các applet Java cho các kết nối HTTP, bạn sẽ sử dụng cú pháp sau đây: ciscoasa (config) # lọc java 80 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

-orciscoasa ( config) # lọc java http 0 0 0 0

Nếu bạn muốn lọc Java applet cho 192.1.1.0/24 mạng bên ngoài cho tất cả các người dùng nội bộ, cấu hình sẽ như sau: ciscoasa (config) # lọc java 80 0 0 192.1.1.0 255.255.255.0

Dưới đây là cú pháp của lệnh lọc activex : ciscoasa (config) # lọc activex port_name_or_ # [-port_name_or_ #] internal_IP_address subnet_mask external_IP_address subnet_mask

Cú pháp lệnh ActiveX lọc tương tự như các lệnh lọc Java và hoạt động theo cách tương tự Để lọc tất cả các kịch bản ActiveX, bạn có thể sử dụng lệnh sau: ciscoasa (config) # lọc activex 80 0 0 0 0.

-orciscoasa ( config) # lọc activex http 0 0 0 0

Như bạn có thể thấy, lọc kịch bản ActiveX không khác so với lọc Java applet, cả hai dễ dàng để thiết lập.

Nhiều công ty lo ngại về thông tin mà nhân viên tải về máy tính khi kết nối Internet Theo các nghiên cứu, trung bình 30-40% lưu lượng truy cập Internet trong các công ty không phục vụ cho mục đích kinh doanh.

Trong một số trường hợp, thông tin mà nhân viên tải về có thể gây khó chịu cho những người khác, bao gồm cả nội dung khiêu dâm, chính trị hoặc tôn giáo Mặc dù nhiều nội dung như báo giá cổ phiếu và truyền âm thanh, video thường vô hại, nhưng chúng vẫn có thể tiêu tốn băng thông đắt đỏ.

Các thiết bị lọc nội dung web có khả năng hạn chế và ngắt kết nối, đồng thời cần mở rộng khả năng bằng cách hợp tác với các sản phẩm của bên thứ ba để cung cấp tính năng lọc toàn diện Bài viết này sẽ đề cập đến cách các thiết bị và sản phẩm lọc web tương tác, các sản phẩm của bên thứ ba mà các thiết bị này hỗ trợ, cũng như cách cấu hình các thiết bị lọc web hiệu quả.

Tiến trình lọc web Để thực hiện lọc nội dung web, đôi khi được gọi là lọc web, hai thành phần có liên quan đến:

▼ Chính sách phải được xác định là xác định những gì được hoặc là không được phép của người sử dụng.

▲ Các chính sách phải được thi hành.

Hai phương pháp thực hiện các quá trình này thường được triển khai trong các mạng:

Hai phần sau đây sẽ thảo luận về những cách tiếp cận này.

Với một proxy ứng dụng, cả định nghĩa và thực thi chính sách đều diễn ra trên một máy chủ Người dùng hoặc trình duyệt web được cấu hình để kết nối với proxy, hoặc lưu lượng truy cập của họ sẽ được chuyển hướng đến proxy.

Với một proxy ứng dụng, các bước sau đây xảy ra khi người dùng muốn tải về nội dung trang web:

1 Người sử dụng sẽ mở ra một trang web.

2 Tất cả các kết nối được chuyển hướng đến các máy chủ proxy ứng dụng, mà có thể yêu cầu người dùng xác thực trước khi truy cập bên ngoài được cho phép.

3 Proxy ứng dụng kiểm tra một (nhiều) kết nối và so sánh nó với danh sách của các chính sách cấu hình.

4 Nếu kết nối là không được phép, người sử dụng thường được hiển thị một trang web về vi phạm chính sách.

Các chức năng nâng cao của ASA

Kết nối vật lý LAN giữa hai firewall là yêu cầu bắt buộc cho chức năng failover Cần dự trữ một interface Ethernet cho LAN Failover Link, có thể sử dụng cáp chéo Ethernet để kết nối trực tiếp giữa hai firewall.

Cấu hình Active/Standby Stateful Failover

Hình 3.23 mô hình Active/Standby Stateful Failover

Bước 1: Chuẩn bị Active Firewall

Select one of the firewalls to function as the Active Firewall Connect a network cable to each interface that will be used for the Active Firewall and link it to a switch The Standby Firewall should be disconnected immediately Configure the interface of the Active Firewall to operate at a fixed speed.

For example, when configuring an interface, you can use the command "Speed 100" and set the duplex mode to "full." Similarly, enabling the PortFast feature on the switch port connected to the firewall interface is also recommended.

Reserve two IP addresses for each Firewall Interface, designating one as Active and the other as Standby Both IP addresses for each Interface must belong to the same subnet.

Ví dụ trong mô hình mạng trên, giả sử Inside Interface chúng ta sẽ sử dụng

For the Active Firewall, assign the IP address 192.168.1.1/24, while the Standby Firewall will use 192.168.1.2 The Outside Interface should be configured with 100.100.100.1 for the Active Firewall and 100.100.100.2 for the Standby Firewall Additionally, select a subnet address for the LAN Failover Link, which in this example will be 192.169.99.0/24, utilizing Interface G0/2.

Bước 2: Cấu hình LAN Failover Link trên Active Firewall

Trong topo trên, chúng ta sẽ sử dụng cổng Gigabit Ethernet G0/2 như là LAN Failover Link Cú pháp như sau:

Bước 3: Cấu hình địa chỉ IP cho Interface của Active Firewall

Bước 4: Cấu hình theo dõi trên Interface của Active Firewall

One significant event that triggers the Failover mechanism is a failure occurring on the firewall's interface It is essential to designate the specific interface to monitor, enabling a transition to Standby mode when that interface fails In this example, we need to monitor both the inside and outside interfaces.

Bước 5: Cấu hình LAN Failover Link trên Standby Firewall

Sau khi cấu hình Active Firewall, bước tiếp theo là cấu hình Standby Firewall Yêu cầu duy nhất cho Standby Firewall là thiết lập LAN Failover Link Chúng ta khởi động Standby Firewall và kết nối một giao diện đến switch tương ứng, nhưng không thực hiện kết nối khác.

LAN Failover Link giữa hai Firewall Chỉ kết nối bằng console cable và cấu hình như sau:

Lưu ý rằng sự khác biệt duy nhất giữa hai firewall là ở phần "Secondary" Mặc dù chúng ta đang thiết lập Firewall ở chế độ Standby, địa chỉ IP cấu hình phải giống với địa chỉ IP trên Firewall đang hoạt động (Active Firewall).

Bước 6: Khởi động lại Standby Firewall

Sử dụng câu lệnh write memory để lưu cấu hình Standby Firewall Kết nối LAN Failover Link giữa hai firewall và khởi động lại Standby Firewall

Sau khi Standby Firewall khởi động, cấu hình của Active Firewall sẽ được nhân bản tới Standby Firewall Những thông báo sau sẽ xuất hiện trên Active Firewall

Chúng ta cần sử dụng Write Memory trên active Firewall để lưu tất cả các cấu hình trên cả Active và Standy Firewall

Từ bây giờ, mọi cấu hình bổ sung được thực hiện trên Firewall chính sẽ tự động được sao chép sang Firewall dự phòng Lệnh "write memory" trên Firewall chính sẽ lưu trữ cấu hình cho cả hai thiết bị.

Cuối cùng sử dụng Show failover để kiểm tra xem cơ chế failover có thực sự làm việc như mong đợi

AAA là cơ chế điều khiển truy cập mạng quan trọng, bao gồm ba thành phần chính: Chứng thực (Authentication), Cấp quyền (Authorization) và Kế toán (Accounting) Chứng thực là phương pháp phổ biến nhất để xác định danh tính người dùng, trong khi cấp quyền xác định quyền hạn của người dùng trong mạng Kế toán giúp theo dõi và ghi lại hoạt động của người dùng trong hệ thống Bài viết này sẽ tập trung chủ yếu vào chứng thực sử dụng máy chủ AAA, chẳng hạn như Cisco Access Control Server.

- Cisco ASA có ba kiểu chứng thực

 Chứng thực User truy cập vào chính Firewall ASA

 Chứng thực User truy cập HTTP,HTTPS,Telnet và FTP thông qua ASA Phương thức chứng thực này được gọi là Cut-through-proxy

 Chứng thực User truy cập từ xa thông qua IPSec hay SSL VPN Tunnel (Tunnel Access Authentication)

The ASA Firewall utilizes an External AAA Server, specifically the Cisco Secure ACS Server, which supports both RADIUS and TACACS authentication protocols This centralized AAA Server offers authentication services to all network devices, including firewalls, routers, and switches The primary advantage of using an AAA Server is the ability to store a centralized database of usernames and passwords, eliminating the need to configure local credentials on each network device This approach significantly reduces management costs while enhancing security policies and authentication across the entire system.

Hình 3.24 Mô hình chứng thực của ASA

Máy trạm của người quản trị có thể truy cập firewall qua cáp console hoặc sử dụng các giao thức SSH, TELNET, và HTTP Trước khi cấp quyền truy cập, ASA yêu cầu người dùng admin xác thực quyền hạn Thông tin Username/Password do Admin cung cấp sẽ được ASA gửi đến máy chủ AAA để xác thực Nếu xác thực thành công, máy chủ AAA sẽ phản hồi lại.

“Access Accept” để ASA cho phép Admin User truy cập

Trước khi ASA Firewall có thể xác thực các giao thức như TELNET, SSH hoặc HTTP, bạn cần cấu hình ASA để cho phép sử dụng các giao thức quản lý này.

SSH access can be utilized across all interfaces of the ASA firewall, including inside, outside, and DMZ In contrast, Telnet access is restricted solely to the Inside Interface.

- Cấu hình chứng thực sủ dụng External AAA Server

• Đầu tiên xác định nhóm AAA Server

• Sau đó chỉ định Server chứng thưc Bạn cần phải định nghĩa địa chỉ

IP của AAA Server và pre-shared key, key này cũng phải được cấu hình trên AAA Server

• Cấu hình ASA Firewall yêu cầu chứng thực từ AAA Server

Cisco khuyến cáo người dùng nên triển khai chức năng chứng thực cục bộ (Local Authentication) trên tường lửa ASA Điều này đảm bảo rằng trong trường hợp AAA Server gặp sự cố vì bất kỳ lý do nào, tường lửa ASA vẫn có thể sử dụng tên người dùng và mật khẩu cục bộ như một phương thức chứng thực dự phòng.

- Chứng thực bằng Cut-through-Proxy cho kết nối Telnet,FTP,HTTP(S)

VPNs

Ngày đăng: 25/12/2013, 14:54

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình 1.1. Firewall được đặt ở giữa mạng riêng và mạng công cộng - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 1.1. Firewall được đặt ở giữa mạng riêng và mạng công cộng (Trang 16)
Hình 1.2. Mạng gồm có Firewall và các máy chủ - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 1.2. Mạng gồm có Firewall và các máy chủ (Trang 18)
Hình 1.4. Kiến trúc của hệ thống sử dụng Firewall - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 1.4. Kiến trúc của hệ thống sử dụng Firewall (Trang 23)
Hình 1.6. Kiến trúc Dual - Homed host - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 1.6. Kiến trúc Dual - Homed host (Trang 25)
Hình 1.7. Kiến trúc Screened host - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 1.7. Kiến trúc Screened host (Trang 26)
Hình 1.8. Kiến trúc Screened Subnet - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 1.8. Kiến trúc Screened Subnet (Trang 28)
Hình 2.1. Các mức an toàn thông tin trên mạng - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 2.1. Các mức an toàn thông tin trên mạng (Trang 37)
Hình 3.2 Cơ chế stateful Firewall a.Figure 1-1 - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 3.2 Cơ chế stateful Firewall a.Figure 1-1 (Trang 40)
Hình 3.2 Cơ chế stateful firewall b. Figure 1-2 - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 3.2 Cơ chế stateful firewall b. Figure 1-2 (Trang 41)
Hình 3.3 Cơ chế hoạt động của SNR - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 3.3 Cơ chế hoạt động của SNR (Trang 42)
Hình 3.4 Các bước làm việc của CTP - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 3.4 Các bước làm việc của CTP (Trang 44)
Hình 3.5 Thuật toán khởi tạo chính sách – Policy Implementation - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 3.5 Thuật toán khởi tạo chính sách – Policy Implementation (Trang 46)
Hình 3.9 Ví dụ về NAT (a) - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 3.9 Ví dụ về NAT (a) (Trang 54)
Hình 3.9 Ví dụ về NAT (b) - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 3.9 Ví dụ về NAT (b) (Trang 55)
Hình 3.10 ví dụ về PAT (a) - Tìm hiểu firewall trên công nghệ cisco và demo một số ứng dụng thực tiễn
Hình 3.10 ví dụ về PAT (a) (Trang 56)

TRÍCH ĐOẠN

Kiến trúc Screened Subnet MỘT SỐ VẤN ĐỀ KHI LỰA CHỌN MỘT FIREWALL

Nguyên tắc bảo vệ hệ thống mạng

Kiến trúc bảo mật của hệ thống mạng

Ảnh hưởng của các lỗ hổng mạng

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w