Một interface được xem là inside trong mối quan hệ với các interface khác nếu nó có Security level cao hơn các interface khác , một interface được xem là outside nếu nó có Security level
Trang 10: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)
Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 000f.23ac.53f7
Use ? for help
monitor> ?
? this help message
address [addr] set IP address of the PIX interface on which the TFTP
server resides
file [name] set boot file name
gateway [addr] set IP gateway
help this help message
interface [num] select TFTP interface
ping <addr> send ICMP echo
reload halt and reload system
server [addr] set server IP address
tftp TFTP download
timeout TFTP timeout
trace toggle packet tracing
monitor> interface ethernet1
0: i8255X @ PCI(bus:0 dev:14 irq:10)
1: i8255X @ PCI(bus:0 dev:13 irq:11)
Using 1: i82557 @ PCI(bus:0 dev:13 irq:11), MAC: 000f.23ac.53f7
monitor> address 10.10.10.100
address 10.10.10.100
monitor> server 10.10.10.10
server 10.10.10.10
monitor> ping 10.10.10.10
Sending 5, 100-byte 0x9fd7 ICMP Echoes to 10.10.10.10, timeout
seconds:
!!!!!
Success rate is 100 percent (5/5)
monitor> file np63.bin
file np63.bin
monitor> tftp
Trang 2tftp np63.bin@10.10.10.10
Received 92160 bytes
Cisco Secure PIX Firewall password tool (3.0) #0: Thu Jul 17 08:01:09
PDT 2003
System Flash=E28F640J3 @ 0xfff00000
BIOS Flash=am29f400b @ 0xd8000
Do you wish to erase the passwords? [yn] y
The following lines will be removed from the configuration:
enable password qktPUfU6etg/RRvG encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
Do you want to remove the commands listed above from the configuration? [yn] y
Passwords and aaa commands have been erased
Rebooting
=> Hệ thống sẽ tự động xóa password và bắt đầu reboot
Bài Viết Về PIX FIREWALL
Tác giả: Nguyễn Thị Băng Tâm
Chương 2: CẤU HÌNH CƠ BẢN CỦA PIX
1 ASA Security levels
Khi cấu hình PIX firewall , một điều quan trọng cần lưu ý là cấu hình pix có 2 interface cũng giống như cấu hình cho pix có 6 interface Đó là vì PIX firewall hoạt động dựa trên cơ chế ASA (Adaptive Security Algorithm) sử dụng Security levels Giữa 2 interface thì một sẽ có Security level cao hơn , một có Security level thấp hơn
ASA Security levels :
Security level thiết kế cho interface là inside (trusted) hoặc interface outside (untrusted) quan hệ với các interface khác Một interface được xem là inside trong mối quan hệ với các interface khác nếu nó có Security level cao hơn các interface khác , một interface được xem là outside nếu nó có Security level thấp hơn Security level của các interface khác
Quy tắc cơ bản cho Security level là :
Trang 3Khi PIX firewall được cấu hình với 6 command cơ bản , dữ liệu có thể đi vào pix thông qua một interface với Security level cao hơn ,
đi qua pix và đi ra ngoài thông qua interface có Security level thấp hơn Ngược lại , dữ liệu đi vào interface có Security level thấp hơn không thể đi qua pix và đi ra ngoài thông qua interface có
Security level cao hơn nếu trên pix không có cấu hình conduit hoặc access-list để cho phép nó thực hiện điều này
Security level xắp xếp từ 0 đến 100 , cụ thể :
- Security level 100 : đây là Security level cao nhất cho một interface Nó được sử dụng cho inside interface của PIX firewall , là cấu hình mặc định cho Pix và không thể thay đổi
Vì 100 là Security level trusted nhất cho interface , mạng của tổ chức thường ở sau interface này , không ai có thể truy nhập vào mạng này trừ khi được phép thực hiện điều đó Việc cho phép
đó phải được cấu hình trên pix , các thiết bị bên trong mạng này có thể truy cập ra mạng outside
- Security level 0 : đây là Security level thấp nhất Security level này được sử dụng cho outside interface Đây là cấu hình mặc định cho Pix và không thể thay đổi Vì 0 là Security level
ít trusted nhất cho một interface , các untrusted network thường
ở sau interface này Các thiết bị ở outside chỉ được phép truy cập vào pix khi nó được cấu hình để làm điều đó Interface này thường được dùng cho việc kết nối internet
- Security level 1-99 : Các Security level này có thể được đăng kí cho perimeter interface kết nối đến PIX , mà thông thường là những kết nối đến một mạng hoạt động như là demilitarized zone (DMZ) DMZ là một thiết bị hay là một mạng thường được sử dụng cho phép user từ untrusted network truy cập vào DMZ là vùng được cách ly với môi trường internal , trusted
Ví dụ về ASA với pix có 3 interface , Security level trong ví dụ này cụ thể như sau :
Error!
· Outside security 0 đến DMZ security 50 thì DMZ này được
coi là inside Do đó cần phải có static translation với conduit
cấu hình cho phép các session được khởi tạo từ outside đến DMZ
· Inside security 100 đến DMZ security 50 thì DMZ này được
coi là outside Do đó global và nat thường được cấu hình để
Trang 4cho phép các session khởi tạo từ inside interface đến DMZ interface
?Note : Một PIX firewall có thể có đến 4 perimeter network do
đó nó có tối đa tổng cộng là 6 interfaces
Khi có nhiều kết nối giữa PIX firewall và các perimeter device thì :
· Dữ liệu đi từ interface có Security level cao hơn đến interface
có Security level thấp hơn : Cần phải có một translation (static hay dynamic) để cho phép traffic từ interface có Security level cao hơn đi đến interface có Security level thấp hơn Khi đã có translation này , traffic bắt đầu từ inside interface đến outside interface sẽ được phép , trừ khi nó bị chặn bởi access-list , authentication hoặc là authorization
· Dữ liệu đi từ interface có Security level thấp hơn đến interface
có Security level cao hơn : 2 điều quan trọng cần thiết phải được cấu hình để cho traffic từ interface có security thấp hơn đến interface security cao hơn là static translation và conduit hoặc access-list Nếu conduit được cấu hình , user cũng có thể chặn traffic nếu cấu hình thêm authentication hoặc là authorization
· Dữ liệu đi qua 2 interface có Security level như nhau : Không
có traffic đi giữa 2 interface có level như nhau
2 Cấu hình cơ bản của PIX firewall
Phần này sẽ mô tả cấu hình cơ bản cần thiết để sử dụng PIX firewall và cách thiết lập kết nối cơ bản từ internal network đến public Internet
a Các mode truy nhập :
Cũng giống như các thiết bị của Cisco , pix cũng có các mode sau :
- Unprivileged mode : là mode được sử dụng khi ta truy nhập vào pix lần đầu tiên thông qua cổng console hoặc telnet Mode này cho phép ta xem tập hợp các lệnh có trong pix User không thể thay đổi cấu hình tại mode này
- Privileged mode : tại mode này user có thể thay đổi một vài cấu hình hiện tại và xem cấu hình trong pix Các câu lệnh ở mode unprivileged đều hoạt động tốt ở mode này Khi ta đã vào được mode privileged , thì ta có thể vào được configuration mode
Trang 5- Configuration mode : Tại mode này ta có thể thay đổi cấu hình của hệ thống Tất cả các lệnh unprivileged , privileged , configuration đều làm việc ở mode này
- Monitor mode : Tại mode này cho phép ta thao tác một số cấu hình đặc biệt như là update image hay password recovery Dấu hiệu để nhận biết đang ở trong mode nào :
Unprivileged
mode
Pixfirewall>
Privileged
mode
Pixfirewall#
Configuration
mode
Pixfirewall(config)#
Monitor
mode
Monitor>
b Các lệnh dùng để duy trì và kiểm tra PIX firewall
- Enable command : lệnh enable cho phép ta tiến vào mode privileged Để thoát ra và trở về mode trước đó , sử dụng disable command
- Enable password : tham số cấu hình này thiết lập password cho việc truy nhập vào mode enable Không có password mặc định Khi truy cập vào mode này lần đầu tiên (trước khi enable command được tạo ra) , pix đưa ra dấu nhắc cần nhập password Bởi vì password chưa được cấu hình nên chỉ đơn giản là nhấn Enter Password là case-sensitive và có thể dài đến 16 chữ cái
Ta có thể sử dụng bất kì kí tự nào ngoài khoảng trắng , dấu hỏi , và dấu hai chấm Password ở dạng mã hóa
- Passwd : password này được thiết lập cho inbound traffic
telnet đến pix Password mặc định là cisco
- Hostname : câu lệnh hostname cho phép ta thay đổi tên của Pix , mặc định pix có tên là pixfirewall
- Ping : lệnh ping quyết định PIX firewall có kết nối đến một đích cụ thể nào đó hay không Khi ping command được sử
dụng , pix sẽ gửi ra ngoài echo-request Đích sẽ đáp lại bằng một echo-reply nếu echo-reply được nhận thì host có tồn tại
Nếu không được nhận , ngõ ra sẽ xuất hiện “no response received” Ping command truyền đi 3 echo-request để tìm địa
Trang 6chỉ Nếu ta muốn internal host có thể ping được external host ,
ta phải tạo một ICMP conduit hoặc là access-list để cho phép
echo-reply
?Note: Sau khi pix được cấu hình và hoạt động , user sẽ không thể
từ outside interface ping được inside interface và ngược lại Nếu
từ inside interface ping thấy được inside network , và outside interface ping thấy outside network thì pix họat động đúng và bìng thường
- Telnet : lệnh telnet cho phép ta chỉ ra host nào có thể truy cập cổng console PIX firewall thông qua telnet Với các version 5.0 trở về trứơc , chỉ có các internal host mới có thể truy cập vào PIX firewall thông qua telnet , nhưng các version sau này , user có thể telnet vào PIX firewall qua tất cả các interface Tuy nhiên , PIX firewall khuyến cáo rằng , tất cả telnet traffic đến outside interface phải được bảo vệ bởi IPSEC Do đó , để khởi động một telnet session đến PIX , user cần cấu hình pix để thiết lập IPSEC tunnel họăc là với một pix khác , hoặc là router , hay là VPN Client Tunnel đó phải được mã hóa cho các traffic đặc biệt trong đó có telnet đến một host nào
đó được định nghĩa trong câu lệnh telnet Có đến 16 host hoặc mạng được phép telnet đến Pix , nhưng trong một lúc chỉ có 5
mà thôi
telnet ip_address [netmask] [if_name]
clear telnet [ip_address] [netmask] [if_name]
no telnet ip_address [netmask] [if_name]
telnet timeout minutes
show telnet
show telnet timeout
- write terminal : cho xem cấu hình đang chạy trên pix , câu lệnh này có ý nghĩa như câu lệnh show running-config Cấu hình này được lưu trong RAM
- write net : dùng để lưu running configuration vào TFTP server
- write erase : xóa tập tin cấu hình trong Flash memory
- write memory : lưu tập tin running configuration vào Flash
- write floppy : lưu cấu hình hiện tại vào đĩa mềm
- write standby : ghi lại cấu hình được lưu trong RAM của active failover PIX , đến RAM của standby PIX firewall Khi active PIX firewall boot , nó tự động ghi cấu hình này đến standby PIX firewall
Trang 7c Sáu câu lệnh cơ bản cho cấu hình PIX firewall :
· Nameif command :
nameif hardware_id if_name security_level
câu lệnh nameif dùng để đăng kí 1 tên cho mỗi interface của
Pix và chỉ ra mức security của nó (ngoại trừ outside và inside
interface , chúng có tên mặc định )
Với cấu hình mặc định , e0 có tên là outside với mức security
là 0 , e1 có tên là inside với mức security là 100
· Interface command :
interface hardware_id hardware_speed [shutdown]
- hardware_id : chỉ ra interface và vị trí vật lí của nó
trên pix
- hardware_speed : chỉ ra tốc độ kết nối Sử dụng auto để pix tự động điều
chỉnh tốc độ với thiết b