XÂY DỰNG HỆ THỐNG AN NINH MẠNG CHO BƯU ĐIỆN TỈNH PHÚ THỌ SỬ DỤNG THIẾT BỊ AN NINH PIX FIREWALL

Để giải quyết vấn đề trên, giải pháp được đưa ra là sử dụng thiết bị tường lửa firewall , công nghệ này giúp cho các doanh nghiệp khả thi hơn trong bảo mật thông tin của mình khi truy c

MỤC LỤC

MỤC LỤC HÌNH ẢNH 3

MỞ ĐẦU 4

CHƯƠNG 1 GIỚI THIỆU VỀ AN NINH MẠNG 5

1.1 Sự cần thiết của an ninh mạng 5

1.2 Các nguy cơ tiềm ẩn trong an ninh mạng 6

1.3 Các mối đe dọa và tấn công mạng máy tính 7

1.3.1 Các mối đe dọa mạng máy tính 7

1.3.2 Các cuộc tấn công mạng máy tính 8

1.4 Một số ví dụ về tấn công mạng 11

CHƯƠNG 2 CÁC CHÍNH SÁCH VÀ KẾ HOẠCH AN NINH MẠNG 15

2.1 Bàn luận về an ninh mạng và Cisco 15

2.2 Bảo vệ và quản lý các điểm cuối 16

2.3 Bảo vệ và quản lý mạng 17

2.4 Kiến trúc an ninh 19

2.5 An ninh căn bản trên Router 19

2.5.1 Điều khiển truy nhập các thiết bị mạng 19

2.5.2 Cấu hình từ xa sử dụng SSH (Secure Shell) 21

2.5.3 Mật khẩu Router 22

2.5.4 Các tài khoản và các chế độ đặc quyền của Router 23

2.5.5 Các dịch vụ mạng IOS 23

2.5.6 Chứng thực giao thức định tuyến và lọc cập nhật 25

CHƯƠNG 3 THIẾT BỊ AN NINH PIX FIREWALL 26

3.1 Giới thiệu chung 26

3.2 Các model thiết bị an ninh Pix 27

3.3 Nguyên tắc hoạt động 30

3.4 Pix translation 32

3.4.1 Dịch chuyển địa chỉ tĩnh (Static address translation) 33

3.4.2 Dịch chuyển địa chỉ động (Dynamic address translation) 34

3.5 Truy cập vào Pix 35

3.6 Cấu hình cơ bản của Pix 36

3.6.1 Các giao tiếp người dùng 36

3.6.2 Các câu lệnh cấu hình cơ bản 37

CHƯƠNG 4:THIẾT KẾ MẠNG AN TOÀN DÙNG PIX CHO BƯU ĐIỆN

TỈNH PHÚ THỌ 46

4.1 Thực trạng của hệ thống mạng 46

4.2 Thiết kế mạng an toàn dùng Pix 48

4.2.1 Giải pháp bảo mật 48

4.2.2 Các thiết bị sử dụng 49

4.2.3 Mô hình hệ thống 50

4.2.4 Cấp phát địa chỉ 51

4.3 Cấu hình mô phỏng hệ thống mạng 53 4.3.1 Phần mềm WinPCap, Dynamips/Dynagen, vpcs-0.14g 53

4.3.2 Cấu hình 54

4.4 Đánh giá hệ thống 59

KẾT LUẬN 61

TÀI LIỆU THAM KHẢO 62

PHỤ LỤC 63

MỤC LỤC HÌNH ẢNH

Hình 1.0 Mô hình bức tường lửa giữa mạng nội bộ và Internet 6

Hình 1.1 Các mối đe dọa mạng máy tính 7

Hình 1.2 Các kiểu tấn công vào mạng máy tính 8

Hình 1.3 Tấn công của “sâu máy tính” 11

Hình 1.4 Các kiểu tấn công thăm dò 12

Hình 2.0 “Bánh lái an ninh” 16

Hình 2.1 VPN theo điều khiển truy cập từ xa 18

Hình 2.2 VPN theo kiểu điểm – điểm 18

Hình 2.3 Các thành phần của SSH 21

Hình 3.0 : PIX firewall family 27

Hình 3.1 PIX 501 27

Hình 3.2 PIX 506E 28

Hình 3.3 PIX 515 29

Hình 3.4 PIX 525 29

Hình 3.5 PIX 535 30

Hình 3.6 Quá trình NAT 34

Hình 3.7 Quá trình PAT 35

Hình 3.8 Lệnh interface 39

Hình 3.9 Lệnh nameif 39

Hình 3.10 Lệnh ip address 40

Hình 3.11.Lệnh nat 42

Hình 3.12 Lệnh global 43

Hình 3.13 Lệnh route 44

Hình 4.0 Sơ đồ hiện trạng của hệ thống mạng của Bưu điện tỉnh Phú Thọ 46

Hình 4.1 Sơ đồ hệ thống mạng dùng Pixfirewall 50

Hình 4.2 Sơ đồ chia VLAN 51

Hình 4.3 Màn hình dynamips server 55

Hình 4.4 Màn hình Pemu server 55

Hình 4.5 Màn hình Dynagen hiển thị các thiết bị 56

Hình 4.6 Màn hình Telnet đến Pix firewall 56

Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể cả

vô tình và hữu ý Các nội dung thông tin lưu trữ và lưu truyền trên mạng luôn

là đối tượng tấn công Nguy cơ mạng luôn bị tấn công là do người sử dụng luôn truy nhập từ xa Do đó thông tin xác thực người sử dụng như mật khẩu, bí danh luôn phải truyền đi trên mạng Những kẻ xâm nhập tìm mọi cách giành được những thông tin này và từ xa truy nhập vào hệ thống Nhiệm vụ bảo mật và bảo

vệ vì vậy mà rất nặng nề và khó đoán định trước Do đó, song song với việc phát triển và khai thác các dịch vụ trên Internet, rất cần nghiên cứu giải quyết vấn đề đảm bảo an ninh trên mạng cũng như an ninh trong tổ chức

Nhận ra yêu cầu cấp bách đó, trong thời gian làm đồ án tốt nghiệp, em

đã tìm hiểu và nghiên cứu về an ninh mạng và các giải pháp đảm bảo an toàn cho mạng, đặc biệt quan tâm tới các giải pháp an toàn của Cisco Cụ thể, em đã khảo sát và phân tích hiện trạng của hệ thống mạng của bưu điện tỉnh Phú Thọ

Từ đó, tìm ra những điểm yếu về an toàn mạng trong hệ thống mạng của bưu

điện cần được thay đổi Và đồ án “ Xây dựng hệ thống an ninh mạng cho bưu điện tỉnh Phú Thọ sử dụng thiết bị an ninh PIX firewall ” góp phần

giải quyết vấn đề an ninh mạng trong các tổ chức, doanh nghiệp Đồ án bao gồm các nội dung sau:

Chương 1: Giới thiệu về an ninh mạng

Chương 2: Các chính sách và kế hoạch an ninh mạng

Chương 3: Thiết bị an ninh PIX Firewall

Chương 4: Thiết kế mạng an toàn dùng PIX cho bưu điện tỉnh Phú Thọ

CHƯƠNG 1 GIỚI THIỆU VỀ AN NINH MẠNG

1.1 Sự cần thiết của an ninh mạng

An ninh mạng luôn là vấn đề quan tâm của cá nhân cũng như doanh nghiệp có ứng dụng IT Bởi nó giữ an toàn thông tin trong không gian mạng Không gian mạng máy tính gồm các thành phần cơ bản: con người, thiết bị công nghệ, dữ liệu thông tin, môi trường pháp lý… Nguy cơ mất an toàn thông tin sẽ đến từ bất cứ thành phần nào

Bản chất Internet là không an toàn, các kỹ thuật của tội phạm mạng ngày càng cao và tinh vi hơn Thông tin càng phát triển thì nguy cơ tổn thất do các hiểm họa trên mạng máy tính ngày càng lớn Với tốc độ phát triển của công nghệ thông tin như hiện nay thì thiệt hại do mất an toàn mạng sẽ tăng vô cùng nhanh và sẽ ảnh hưởng nghiêm trọng đến sự phát triển kinh tế - xã hội nếu công tác đảm bảo an ninh mạng không được triển khai đúng mức Do vậy, vấn

đề đặt ra ở đây là khả năng đảm bảo an ninh mạng là một trong những yếu tố sống còn

Để giải quyết vấn đề trên, giải pháp được đưa ra là sử dụng thiết bị tường lửa ( firewall ), công nghệ này giúp cho các doanh nghiệp khả thi hơn trong bảo mật thông tin của mình khi truy cập Internet

Các doanh nghiệp đã phải chi trả những khoản tiền lớn cho các công việc như: kết nối thông tin giữa người quản lý và hệ thống tài nguyên, giữa hệ thống tài nguyên của doanh nghiệp với đối tác của doanh nghiệp, kết nối giữa

hệ thống bán hàng tự động tới người mua hàng sử dụng hệ thống, tạo ra môi trường thương mại điện tử giữa doanh nghiệp và khách hàng…Do vậy công nghệ bảo mật sử dụng thiết bị tường lửa trở nên quan trọng và yêu cầu cần thiết phải có các chức năng chính là dò tìm, chứng thực, cho phép sử dụng tài nguyên hay ngăn cấm sử dụng tài nguyên

Ngày nay những yêu cầu đặt ra cho hệ thống bảo mật bao gồm :

 Người sử dụng chỉ có thể thực thi những quyền lợi được cấp phép

 Người sử dụng chỉ có được những thông tin, dữ liệu được cho phép

 Người sử dụng không thể phá hủy dữ liệu, thông tin hay những ứng

dụng mà hệ thống sử dụng

Hình 1.0 Mô hình bức tường lửa giữa mạng nội bộ và Internet

1.2 Các nguy cơ tiềm ẩn trong an ninh mạng

Việc phân tích các rủi ro có thể xác định được các mối nguy cơ đối với mạng, tài nguyên mạng và dữ liệu mạng Mục đích của việc làm này là xác định các thành phần của mạng, đánh giá tầm quan trọng của mỗi thành phần và sau đó áp dụng mức độ bảo mật phù hợp

Xác định tài sản trong mạng

Trước khi thực thi bảo mật cho mạng, các thành phần riêng trong mạng cần được xác định Mỗi cơ quan hay tổ chức nên tiến hành kiểm kê tài sản tồn tại trong mạng của mình.Các tài sản đó bao gồm cả các thiết bị mạng và các

điểm cuối ( endpoint ) như host, server

Đánh giá những điểm yếu trong hệ thống

Các thành phần của mạng máy tính luôn luôn đứng trước nguy cơ bị tấn công từ những kẻ xấu Nguyên nhân có thể do sự yếu kém về công nghệ, về các cấu hình hoặc do chính sách an ninh chưa thỏa đáng Tuy nhiên, có thể hạn chế hay khống chế các cuộc tấn công này bằng nhiều phương thức khác nhau như:

sử dụng phần mềm, cấu hình lại thiết bị mạng, hoặc là triển khai các biện pháp đối phó ( Firewall, phần mềm Anti-virus )

Xác định các mối đe dọa

Một lời đe dọa là một sự kiện mang lại lợi thế cho các cuộc tấn công mạng máy tính và là nguyên nhân của các tác động không tốt trên mạng Vì vậy, việc xác định các mối đe dọa tiềm ẩn trong mạng là rất quan trọng, các cuộc tấn công liên quan cần được lưu ý để hạn chế, giảm bớt mức độ nguy hiểm

1.3 Các mối đe dọa và tấn công mạng máy tính

1.3.1 Các mối đe dọa mạng máy tính

Có 4 mối đe dọa chính đối với sự an toàn của mạng máy tính

Hình 1.1 Các mối đe dọa mạng máy tính

Các mối đe dọa không có cấu trúc - Unstructured Threats

Đây là những lời đe dọa của những cá nhân thiếu kinh nghiệm trong việc sử dụng những công cụ hack sẵn có, ví dụ như các kịch bản hay công cụ crack mật khẩu Các mối đe dọa không có cấu trúc chỉ được thực thi với chủ ý

kiểm tra và thử thách kĩ năng của một hacker có thể gây ra những thiệt hại nghiêm trọng cho môt công ty hay tổ chức

Các mối đe dọa có cấu trúc - Structured Threats

Các mối đe dọa có cấu trúc được tạo ra bởi các hacker khá thành thạo về công nghệ Những người này nắm được những nguy cơ của hệ thống, có khả năng hiểu và phát triển những đoạn mã hay những kịch bản phục vụ cho các cuộc tấn công vào mạng Họ có kinh nghiệm sử dụng những kĩ xảo hết sức tinh

vi để thâm nhập vào cơ quan, tổ chức, doanh nghiệp

Các mối đe dọa bên ngoài - External Threats

Các mối đe dọa bên ngoài xuất hiện từ những cá nhân hay tổ chức làm việc bên ngoài một công ty hay tổ chức nào đó Họ không được phép truy nhập vào hệ thống mạng máy tính của công ty, tổ chức đó Họ làm theo cách của họ

để xâm nhập vào trong hệ thống mạng, chủ yếu từ Internet và các dịch vụ truy

nhập quay số ( dialup )

Các mối đe dọa bên trong - Internal Threats

Các mối đe dọa bên trong xảy ra khi một ai đó được phép truy nhập vào

hệ thống mạng với một tài khoản trên Server hoặc là truy nhập vật lý tới mạng Theo các báo cáo của tổ chức FBI, việc truy nhập và sử dụng sai tài khoản

chiếm từ 60% đến 80%

1.3.2 Các cuộc tấn công mạng máy tính

Có 4 kiểu tấn công chính vào mạng máy tính

Hình 1.2 Các kiểu tấn công vào mạng máy tính

Sự thăm dò – Reconnaisance

Sự thăm dò là quá trình khám phá trái phép, dựa vào đó lập sơ đồ các hệ thống, các dịch vụ và tìm ra những điểm không an toàn (dễ bị tấn công ) Thăm

dò cũng được biết đến như việc thu thập thông tin và trong hầu hết trường hợp

nó luôn được thực hiện trước khi truy nhập thật sự hay trước một cuộc tấn công DoS( Denial of Service ) Thăm dò là một cái gì đó tương tự như việc một tên trộm nhưng trong vai người hàng xóm đột nhập vào nhà để tìm cách phá hoại

Truy nhập - Access

Truy nhập hệ thống là khả năng mà một kẻ xâm nhập bất hợp pháp giành được quyền truy nhập tới thiết bị nào đó trong mạng trong khi hắn không

hề có tài khoản hay mật khẩu

Cấm các dịch vụ (DoS) - Denial of Service

Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy cập thông tin trên mạng Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó Khi nhận được gói tin, trạm luôn luôn phải xử lý

và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục

vụ

Điều đáng sợ là các kiểu tấn công DoS chỉ cần sử dụng những tài nguyên giới hạn mà vẫn có thể làm ngưng trệ dịch vụ của các site lớn và phức tạp Do vậy loại hình tấn công này còn được gọi là kiểu tấn công không cân xứng (asymmetric attack) Chẳng hạn như kẻ tấn công chỉ cần một máy tính PC thông thường với một modem tốc độ chậm vẫn có thể tấn công làm ngưng trệ các máy tính mạnh hay những mạng có cấu hình phức tạp

Worms, Virus và Trojan Horses

Worm ( sâu máy tính ) là một loại virus máy tính chuyên tìm kiếm mọi

dữ liệu trong bộ nhớ hoặc trong đĩa, làm thay đổi bất kỳ dữ liệu nào mà nó gặp Hành động thay đổi này có thể là chuyển các ký tự thành các con số hoặc là trao đổi các byte được lưu trữ trong bộ nhớ Những dữ liệu bị hỏng thường không khôi phục được

Virus hay chương trình virus là một chương trình máy tính được thiết kế dưới dạng một trò chơi khăm hay một sự phá hoại ngầm Chúng có thể tự lây lan bằng cách gắn vào các chương trình khác và tiến hành các thao tác vô ích,

vô nghĩa, đôi khi là phá hoại Giống như virus ở người, tác hại của virus máy tính có thể chưa phát hiện được trong vòng vài ngày hay vài tuần Trong thời gian đó, mọi đĩa đưa vào hệ thống máy đều mang theo một bản sao ẩn của virus đó-các đĩa này đều bị nhiễm virus Khi virus phát tác chúng gây nhiều hậu quả nghiêm trọng: từ những thông báo sai lệch đến những tác động làm lệch lạc khả năng thực hiện của phần mềm hệ thống hoặc xóa sạch mọi thông tin trên đĩa cứng

Trojan Horse ( con ngựa thành Troa ) là một chương trình xuất hiện để thực hiện chức năng có ích, đồng thời có chứa các mã hoặc các lệnh ẩn gây hỏng đối với hệ máy đang chạy nó

Các phần mềm nguy hiểm trên được cài đặt vào các máy tính nhằm phá hủy, hư hại hệ thống hoặc ngăn chặn các dịch vụ, các truy nhập tới mạng Bản chất và mức độ nguy hiểm của những mối đe dọa này thay đổi theo thời gian Những virus đơn giản từ những năm 80 đã trở nên phức tạp hơn và là những virus phá hủy, là công cụ tấn công hệ thống trong những năm gần đây Khả năng tự lan rộng của “sâu máy tính” đem lại những mối nguy hiểm mới, chẳng hạn như Slammer, Blaster hay những cuộc tấn công DoS Nếu như trước đây chúng cần tới vài ngày hay vài tuần để tự lan rộng thì ngày nay chúng có thể lan rộng trên toàn thế giới chỉ trong vòng vài phút Một ví dụ là “sâu” Slammer bắt đầu từ tháng 01/2003, đã nhân rộng trên toàn thế giới chỉ dưới 10 phút Người ta cho rằng các thế hệ tiếp theo của virus có thể tấn công chỉ trong vài giây Những loại “sâu máy tính” và virus này có thể làm được nhiều nhiệm vụ

khác nữa, không chỉ đơn thuần là phá hủy tài nguyên mạng, chúng còn được sử dụng để phá hủy những thông tin đang truyền trên mạng hoặc xóa ổ cứng Vì vậy trong tương lai sẽ có một mối đe dọa rất lớn ảnh hưởng trực tiếp tới cơ sở

hạ tầng của hệ thống mạng

1.4 Một số ví dụ về tấn công mạng

“Sâu máy tính”

Các kiểu tấn công của “sâu máy tính” được phân tích ra như sau:

 Tính nguy hiểm: “Sâu máy tính” có khả năng tự cài đặt chúng trên một

hệ thống dễ bị tấn công

 Cơ chế lan truyền: Sau khi được truy nhập vào thiết bị, “sâu máy tính”

sẽ nhân bản và chọn những đích mới để tấn công

 Mức độ tấn công: Khi một thiết bị bị ảnh hưởng của “sâu máy tính”, kẻ xấu tấn công vào máy tính giống như một người dùng ưu tiên Thậm chí những kẻ này còn có thể tăng mức độ quyền hạn của chúng tới người quản trị

Điển hình “sâu máy tính” là những chương trình kín đáo tấn công vào hệ thống và cố gắng thành công với những hệ thống có nhiều điểm yếu, dễ tấn công “Sâu máy tính” sao chép chương trình của nó từ những máy đang bị tấn công tới những hệ thống mới để bắt đầu lại chu trình

Hình 1.3 Tấn công của “sâu máy tính”

Để giảm nhẹ ảnh hưởng của “sâu máy tính” đòi hỏi sự cần mẫn của các nhân viên trên từng phần của hệ thống và của người quản trị mạng Sự phối hợp giữa người quản trị hệ thống, kỹ sư mạng và hoạt động bảo mật sẽ có tác dụng hiệu quả đối với các sự cố do “sâu máy tính”

Các cuộc tấn công thăm dò

Tấn công thăm dò bao gồm các kiểu sau

 Packet sniffers

 Port scan

 Ping sweeps

 Internet information queries

Hình 1.4 Các kiểu tấn công thăm dò

Trong đó:

Packet Sniffers: Là dạng tấn công dùng một phần mềm để đặt cạc mạng

của bạn vào mode promiscuous (chế độ tạp) Đối với dạng này thì attacker có thể khai thác các thông tin dạng plaintext (có thể đọc được) Vd: Telnet, SNMP, POP, HTTP, FTP Đối với yahoo mặc dầu có dùng HTTPs

nhưng chỉ sử dụng lúc chứng thực username + password Nhưng gửi dữ liệu đi bằng dạng HTTP cho đỡ hao tài nguyên nên vẫn sniffer được

Ping Sweeps: là dùng tool để quét xem trong dãy IP đó IP nào sống, chết dựa vào ICMP echo request và ICMP echo reply

Port Scan: cũng cách thức tương tự là dùng tool để quét xem trong dãy

port (TCP/UDP) trên một host nào đó có đang ở trạng thái lắng nghe hay không Dùng để detect (dò tìm )các services gì đang chạy trên host đó

Internet Information Queries : Dạng này thì chỉ đơn giản dùng google

hoặc các trang web để tìm thông các tin như: Ai là chủ sở hữu của trang web, dãy IP đó, host đó đang được đặt ở đâu Sau khi đã có range IP của đối tượng thì dùng ping sweep tìm ra host sống, port scan để tìm hiểu thêm các dịch vụ có thể chạy trên host đó

Kẻ tấn công có thể xác định một cách dễ dàng vùng địa chỉ IP được

đăng ký bởi một cơ quan hay tổ chức nào đó Lệnh ping sẽ cho hắn biết địa chỉ

IP nào đang tồn tại Sau đó, hắn sử dụng “port scanner” để xác định các dịch vụ mạng nào hay cổng nào đang được kích hoạt trên những địa chỉ IP đó Sử dụng port scan và ping sweep, kẻ tấn công có thể thu được những thông tin sau:

 Xác định tất cả các dịch vụ trên mạng

 Xác định các host và các thiết bị khác trên mạng

 Xác định hệ điều hành của mạng

 Xác định những điểm không an toàn, dễ tấn công của mạng

Nghe trộm trên mạng cũng là một nguy cơ cần được phòng ngừa Việc làm này tương tự như là lắng nghe một cuộc hội thoại nhưng với biểu hiện là

do thám, rình rập Những thông tin thu được từ nghe trộm sẽ được sử dụng cho các cuộc tấn công vào mạng Một ví dụ về dữ liệu dễ bị nghe trộm là chuỗi giao tiếp (community strings ) Chuỗi này ở dạng không mã hóa ( văn bản đơn thuần ) Kẻ xấu có thể nghe trộm những truy vấn SNMP và thu thập dữ liệu có giá trị trên cấu hình thiết bị mạng

Một phương thức chủ yếu để nghe trộm trên mạng là nắm bắt được giao thức TCP/IP hoặc các gói giao thức khác và giải mã nội dung bằng cách phân tích giao thức hay các tiện ích tương tự Có hai cách nghe trộm phổ biến:

Thu thập thông tin: Kẻ nghe trộm xác định tên người dùng, mật khẩu

hoặc thông tin có trong các gói tin giống như số thẻ tín dụng hay các thông tin

bí mật của cá nhân

Ăn trộm thông tin : Nghe trộm trên mạng có thể dẫn tới sự ăn trộm

thông tin Việc lấy trộm thông tin xảy ra khi dữ liệu được truyền từ mạng này sang mạng khác Kẻ xấu sẽ lấy trộm dữ liệu từ những máy tính nối mạng nhờ việc kiếm được các truy nhập không được phép

Công cụ để thực hiện nghe trộm là:

 Công cụ phân tích mạng hoặc phân tích giao thức

 Công cụ “bắt” các gói tin trên các máy tính nối mạng

Để chống lại các cuộc nghe trộm, có 3 phương pháp hiệu quả sau đây:

 Thi hành và giám sát trực tiếp những chính sách ngăn chặn việc sử dụng các giao thức dễ dàng cho việc nghe trộm

 Sử dụng mã hóa cho những dữ liệu cần được bảo mật mà không gây sức

ép quá sức lên tài nguyên hệ thống hay người dùng

 Sử dụng những mạng chuyển đổi

CHƯƠNG 2 CÁC CHÍNH SÁCH VÀ KẾ HOẠCH AN NINH MẠNG

Có một chính sách an ninh mạng đúng đắn và hiệu quả để có thể bảo vệ các thông tin, các tài nguyên của một công ty, tổ chức nói riêng hay của một

bộ, ngành, của một quốc gia nói chung là vấn đề hết sức quan trọng Nếu như các tài nguyên và thông tin mà công ty đó có trên mạng là đáng được bảo vệ thì một chính sách an ninh mạng là đáng được thực hiện Hầu hết các cơ quan đều

có các thông tin nhạy cảm và các bí mật cạnh tranh trên mạng máy tính của họ, chúng cũng cần được bảo vệ khỏi sự phá hoại theo cùng một cách như bảo vệ các tài sản giá trị khác của công ty đó

Chính sách an ninh được hiểu là những phát biểu hình thức của những quy tắc mà theo đó những người có quyền truy nhập vào các công nghệ, tài sản,

và thông tin của một tổ chức nào đó phải tuân theo Chính sách an ninh cũng có thể chỉ đơn giản là những quy tắc sử dụng chấp nhận được đối với tài nguyên mạng hay là vài trăm trang trình bày chi tiết mọi phần tử của kết nối và các

chính sách có liên quan

2.1 Bàn luận về an ninh mạng và Cisco

Phần lớn những rắc rối về an ninh mạng xảy ra do người quản trị hệ thống không thực thi những biện pháp đối phó có thể và kẻ tấn công đã khai thác những sơ suất này Bởi vậy, vấn đề đặt ra không chỉ là phải thừa nhận công nghệ còn nhiều bất cập và tìm ra giải pháp đối phó mà còn là xác định biện pháp đúng chỗ, đúng mức độ

“Bánh lái an ninh” là một quá trình liên tục, một hướng tiếp cận có hiệu quả, đẩy mạnh việc tái kiểm tra và tái sử dụng những biện pháp an toàn được

cập nhật liên tục

Hình 2.0 “Bánh lái an ninh”

Để bắt đầu quá trình với “bánh lái an ninh”, trước tiên phải có sự phát triển của một chính sách an ninh cho phép ứng dụng các biện pháp an toàn Một chính sách an ninh cần thực hiện những nhiệm vụ sau:

 Xác định các vấn đề cần bảo mật của tổ chức

 Xác định cơ sở hạ tầng của mạng với sơ đồ hiện tại và thống kê tài sản

 Xác định các nguồn tài nguyên quan trọng cần phải bảo vệ, ví dụ như các quá trình nghiên cứu và phát triển, tài chính, tài nguyên con người…Việc làm này được gọi là phân tích rủi ro

Chính sách an ninh phát triển sẽ làm cơ sở cho quá trình “bánh lái an ninh” Quá trình này gồm bốn bước, đó là:

 Bước 1: bảo mật

 Bước 2: theo dõi

 Bước 3: kiểm tra

 Bước 4: cải tiến

2.2 Bảo vệ và quản lý các điểm cuối

Các máy tính và server cần được bảo vệ khi chúng tham gia vào mạng Phần mềm chống virus, firewall và dò tìm xâm nhập là những công cụ hữu ích được sử dụng để đảm bảo an toàn cho các máy, server

Bức tường lửa cá nhân

Máy tính cá nhân kết nối Internet thông qua kết nối quay số, DSL, hoặc cáp modem cũng có thể bị nguy hiểm như những mạng lớn Bức tường lửa cá nhân cư trú trên máy tính của người dùng và cố gắng ngăn chặn các cuộc tấn công Một số phần mềm đóng vai trò bức tường lửa cá nhân là McAfee, Norton, Symatec, Zone Labs…

Phần mềm kháng virus – Antivirus

Cài đặt phần mềm kháng virus để bảo vệ hệ thống tránh khỏi sự tấn công của virus đã biết Các phần mềm này có thể phát hiện hầu hết virus và nhiều ứng dụng của chương trình Trojan horse, ngăn chặn chúng phát tán trên

mạng

2.3 Bảo vệ và quản lý mạng

Firewall trên nền trang thiết bị (Appliance-based Firewalls)

Firewall trên nền trang thiết bị được thiết kế với nền tảng không có ổ cứng Điều này cho phép quá trình Boot nhanh hơn, kiểm tra giao thông ở tốc

độ dữ liệu bậc cao và giảm nhẹ thất bại Giải pháp của Cisco bao gồm một IOS Firewall được tích hợp và một thiết bị PIX chuyên dụng Đặc tính của IOS Firewall có thể được cài đặt và cấu hình trên Router của Cisco PIX là một giải pháp bảo mật phần cứng và phần mềm cung cấp công nghệ lọc gói và proxy server

Một số nhà cung cấp Firewall trên nền trang thiết bị là Juniper, Nokia, Symatec, Watchguard và Nortel Networks Đối với những mạng trong phạm vi gia đình thì thích hợp với Linksys, Dlink, Netgear, SonicWALL

Firewall trên nền server

Giải pháp Firewall trên nền server chạy trên hệ điều hành mạng như UNIX, NT hay WIN2K, Novell Nó là giải pháp mà kết hợp một firewall, điều khiển truy nhập và những đặc điểm của mạng riêng ảo trong một gói.Ví dụ về các giải pháp trên là Microsoft ISA Server, Linux, Novell, BorderManager, Checkpoint Firewall-1

Mức độ bảo mật của Firewall trên nền server có thể nhỏ hơn của Firewall trên nền trang thiết bị

Mạng riêng ảo VPN

Một mạng riêng ảo là bất kỳ mạng máy tính nào được xây dựng trên một mạng công cộng và được phân chia sử dụng cho các cá nhân riêng lẻ FrameRelay, X25 và ATM được xem là các VPN lớp 2 trong mô hình OSI Những dạng khác của VPN là các IP VPN, được xem là các VPN lớp 3

Về căn bản, có 3 dạng khác nhau của VPN mà doanh nghiệp sử dụng

 Remote-access VPNs (VPN theo điều khiển truy cập từ xa)

 Site-to-site extranet and intranet VPNs

 Campus VPNs

Hình 2.1 VPN theo điều khiển truy cập từ xa

Hình 2.2 VPN theo kiểu điểm – điểm

2.4 Kiến trúc an ninh

Mạng tự bảo vệ của Cisco

Chiến lược “mạng tự bảo vệ của Cisco” cho phép các tổ chức sử dụng những sự đầu tư của họ trong định tuyến, chuyển mạch, wireless…để tạo ra một hệ thống giúp họ phát hiện, ngăn chặn và thích nghi với những mối đe dọa

an ninh đã biết và chưa biết trước

Chiến lược này gồm 3 hệ thống, mỗi hệ thống có một mục đích riêng

 Kết nối an toàn: Truyền tải các ứng dụng một cách an toàn qua các môi trường mạng khác nhau

 Phòng ngừa mối đe dọa: Bảo vệ chống lại những lời đe dọa biết trước và không biết trước

 Sự tin tưởng và các giải pháp định danh: Hỗ trợ ngữ cảnh định danh

được yêu cầu cho sự tin tưởng và cho phép

2.5 An ninh căn bản trên Router

2.5.1 Điều khiển truy nhập các thiết bị mạng

Cấu hình bảo mật là rất cần thiết để bảo vệ các truy nhập tới Router và Switch.Vì Router và Switch là các hệ thống mở nên nếu một người dùng bất kỳ

có các đặc quyền truy nhập thì họ rất dễ dàng cấu hình lại các thiết bị này Do

đó người quản trị cần phải điều khiển truy nhập để ngăn chặn các truy nhập không hợp pháp

Cổng Console

Cổng console của một thiết bị IOS có đặc quyền đặc biệt Nếu tín hiệu

“Break” và “Ctrl - Break” được gửi tới cổng console trong những giây đầu tiên của quá trình reboot thì thủ tục khôi phục mật khẩu sẽ được dùng để điều khiển

hệ thống Kẻ tấn công có thể ngắt nguồn điện hoặc phá hủy hệ thống Khi đó những người truy nhập tới cổng console qua một thiết bị đầu cuối, một modem hay một vài thiết bị khác có thể điều khiển hệ thống ngay cả khi họ không truy nhập vật lý tới nó hay không có khả năng truy nhập bình thường

Do đó bất kỳ modem hay thiết bị mạng nào truy nhập tới cổng console phải được bảo vệ ở những mức độ giống nhau Ở mức nhỏ nhất, bất kỳ modem

nào cũng nên yêu cầu người sử dụng quay số để cung cấp một mật khẩu cho sự truy nhập, và mật khẩu modem cần được quản lý cẩn thận

Truy nhập chung

Phụ thuộc vào phiên bản và cấu hình, phần mềm Cisco IOS có thể hỗ trợ các kết nối thông qua Telnet, rlogin, SSH và các giao thức như LAT, MOP, X.29 và V.120

Cách tốt nhất để bảo vệ hệ thống là tạo ra các điều khiển thích hợp áp dụng trên tất cả các đường, bao gồm các đường vty và tty Người quản trị phải đảm bảo rằng các đăng nhập trên các đường phải được điều khiển, sử dụng một

số cơ chế xác thực

Việc đăng nhập có thể được ngăn chặn hoàn toàn trên bất kỳ đường nào bằng cách cấu hình trên Router lệnh login và no password Đây là những lệnh mặc định cho các đường vty Có rất nhiều cách để cấu hình mật khẩu và các dạng chứng thực người dùng trên đường vty và tty

Điều khiển TTYs và thiết bị đầu cuối không đồng bộ AUX thì ít phổ biến, nhưng chúng vẫn tồn tại trong một số cài đặt Mặc dù các thiết bị đầu cuối

an toàn về mặt vật lý, nhưng Router vẫn cần được cấu hình để yêu cầu người dùng trên các thiết bị đầu cuối không đồng bộ đăng nhập trước khi sử dụng hệ thống Đa số các cổng tty trên những Router hiện đại được nối tới modem ngoài hoặc được hỗ trợ bởi các modem tích hợp

Điều khiển VTYs

Bất kỳ đường vty nào cũng nên được cấu hình để chấp nhận những kết nối với những giao thức thật sự cần thiết Để thực hiện việc này, dùng lệnh transport input Ví dụ, một đường vty chỉ cho phép các phiên Telnet sẽ dùng câu lệnh transport input telnet, trong khi một vty cho phép Telnet và SSH sẽ có câu lệnh cấu hình transport input telnet SSH

Thông thường một thiết bị Cisco có 5 đường vty Khi tất cả các đường này được sử dụng thì không có kết nối từ xa nào được thiết lập Điều này tạo cơ hội cho 1 cuộc tấn công DoS Nếu kẻ tấn công có thể mở các phiên từ xa tới tất

cả các đường vty của hệ thống thì người quản trị hợp pháp có thể không đăng nhập được

Một cách để hạn chế hoạt động này là cấu hình lênh ip access-class trên đường vty cuối cùng của hệ thống Đường vty cuối cùng sẽ được hạn chế, chỉ chấp nhận những kết nối từ một trạm quản trị đơn, trong khi các đường vty còn lại có thể chấp nhận kết nối từ bất kỳ địa chỉ IP nào trong mạng

2.5.2 Cấu hình từ xa sử dụng SSH (Secure Shell)

Phần mềm Cisco IOS hỗ trợ truy nhập từ xa qua các phiên Telnet Telnet cho phép kết nối tới Router ở xa sử dụng TCP cổng 23 Tuy nhiên, phương thức này không có tính bảo mật cao vì giao thông qua nó ở dạng clear text SSH thay thế Telnet, cho phép quản trị Router ở xa với những kết nối có tính riêng tư cao và các phiên toàn vẹn Về mặt chức năng, các kết nối này tương tự các kết nối Telnet, điểm khác ở chỗ chúng được mã hóa Với cơ chế

mã hóa, chứng thực, SSH cho phép giao tiếp an toàn ngay trên những mạng không an toàn

Hình 2.3 Các thành phần của SSH

Hiện nay có 2 phiên bản SSH, đó là SSH version 1(SSHv1) và SSH version 2(SSHv2) SSH được giới thiệu trong nền/ ảnh hệ điều hành IOS theo trình tự sau:

 SSHv1 server bắt đầu trong 12.1.(1)T

 SSH v1 client bắt đầu trong 12.1.(3)T

 SSH v1 đường truy nhập đầu cuối bắt đầu trong 12.2.(2)T

 SSH v2 được giới thiệu trong 12.3(4)T

Các Router của Cisco có khả năng tương tự SSH client và SSH server Mặc định cả hai chức năng này được cho phép trên Router khi có SSH

2.5.3 Mật khẩu Router

Có 2 sơ đồ bảo vệ mật khẩu trong phần mềm Cisco IOS, đó là:

 Kiểu 7, sử dụng thuật toán mã hóa xác định Mã hóa kiểu 7 thì sử dụng

các lệnh: enable password, username, line password

 Kiểu 5, sử dụng hàm băm MD5, hiệu quả mạnh hơn kiểu 7 và được Cisco khuyến cáo nên dùng thay cho kiểu 7 khi có thể

Để bảo vệ mức thực thi đặc quyền (privileged EXEC), sử dụng lệnh

enable secret Không nên đặt mật khẩu người dùng hay mật khẩu trên các

đường giống mật khẩu bí mật ở mức thực thi đặc quyền

Để tạo tài khoản cá nhân, sử dụng lệnh username Tài khoản này sẽ được bảo vệ ở mức đặc quyền cao hơn bằng lệnh enable secret password

Phần mềm Cisco IOS cho phép thay đổi tuần tự khởi động của Router, đưa Router vào chế độ ROMMON Khi Router ở trong chế độ này, bất kỳ ai cũng có thể chọn và gõ mật khẩu bí mật mới sử dụng thủ tục khôi phục mật khẩu Thủ tục này nếu được thực hiện đúng sẽ không làm thay đổi cấu hình Router Điều này dẫn tới một nguy cơ tiềm ẩn, bất kỳ ai có thể truy nhập vật lý

vào cổng console của Router đều có thể vào ROMMON, thiết đặt lại mật khẩu

bí mật và tìm hiểu cấu hình Router

Có thể giảm nhẹ nguy cơ này bằng cách sử dụng lệnh no service password-recovery ở chế độ cấu hình toàn cục Khi dùng lệnh này, tất cả các

truy nhập tới chế độ ROMMON bị vô hiệu hóa Nếu bộ nhớ Flash của Router không chứa ảnh phần mềm Cisco IOS phù hợp thì không thể sử dụng lệnh ROMMON XMODEM để load một ảnh flash mới Để sửa Router, yêu cầu phải

có ảnh IOS mới trên Flash SIMM hoặc trên card PCMCIA

2.5.4 Các tài khoản và các chế độ đặc quyền của Router

Cisco IOS cung cấp 16 mức đặc quyền khác nhau, đánh số từ 0 đến 15 Chế độ người dùng (user EXEC) chạy ở mức đặc quyền 1, chế độ đặc quyền (privileged EXEC) chạy ở mức 15

Khi sử dụng các chế độ đặc quyền nên nhớ:

 Không sử dụng lệnh username để tạo lập tài khoản ở mức1, thay vào đó

sử dụng lệnh enable secret để tạo mật khẩu cho mức

 Cẩn thận với việc di chuyển quá nhiều truy nhập, đó có thể là nguyên nhân gây ra những lỗ hổng trong hệ thống

 Cẩn thận với việc di chuyển bất kỳ thành phần nào của câu lệnh

configure, một người dùng đang viết câu lệnh truy nhập, họ có thể lợi

dụng điều này để thu được các mức truy nhập lớn hơn

Các tài khoản

Trước tiên, mỗi người quản trị có một tài khoản đăng nhập vào Router Khi người quản trị đăng ký một tên sử dụng và thay đổi cấu hình, sẽ có một thông điệp được sinh ra chứa tên của tài khoản đăng nhập đã sử dụng Tài

khoản đăng nhập tạo bởi lệnh username được đăng ký ở mức đặc quyền 1 và

bắt buộc phải có mật khẩu Khi người quản trị không sử dụng Router nữa và

muốn xóa tài khoản, dùng lệnh no username

2.5.5 Các dịch vụ mạng IOS

Cisco Router hỗ trợ một số lượng lớn các dịch vụ mạng ở lớp 2,3,4 và 7 Một vài trong số các dịch vụ này là các giao thức tầng ứng dụng, cho phép người dùng và các quá trình xử lý trên máy kết nối tới Router Mặt khác, những

dịch vụ này cũng có thể bị hạn chế hoặc vô hiệu hóa để cải thiện độ an toàn mà không ảnh hưởng đến hoạt động của Router

Việc dừng một dịch vụ mạng trên một Router không ngăn cản Router đó

hỗ trợ một mạng, nơi mà giao thức đó đang được dùng

Trong nhiều trường hợp, Cisco IOS hỗ trợ việc ngắt một dịch vụ trọn vẹn và hạn chế truy nhập tới các đoạn mạng riêng hoặc tới tập các máy tính Nếu một phần của đoạn mạng cần một thiết bị nào đó nhưng phần còn lại của mạng không cần thiết bị đó thì đặc tính hạn chế được thực thi để giới hạn phạm

vi của dịch vụ

Bắt đầu bằng lệnh show proc trên Router, sau đó tắt những dịch vụ và điều kiện không cần thiết Dưới đây là các dịch vụ gần như bị tắt và các câu lệnh tương ứng để vô hiệu hóa chúng

 Các dịch vụ nhỏ như echo, discard và chargen: no service servers hoặc no service udp-small-servers

tcp-small- BOOTP: no ip bootp server

 Finger : no service finger

 Cấu hình từ xa: no service configure

 Định tuyến nguồn: no ip source-route

 Định tuyến phân lớp: no ip classless

Các cổng trên Router sẽ được an toàn hơn bằng cách sử dụng các câu

lệnh nhất định trong chế độ cấu hình cổng Một số câu lệnh hay dùng là: no shutdown, no ip directed-broadcast, no ip proxy-arp

2.5.6 Chứng thực giao thức định tuyến và lọc cập nhật

Một Router không được bảo vệ hay một miền định tuyến là những cái đích dễ dàng cho bất kỳ kẻ tấn công nào Chẳng hạn, kẻ tấn công gửi các gói cập nhật định tuyến sai đến Router, hắn có thể phá hỏng bảng định tuyến một cách dễ dàng bằng việc định tuyến lại giao thông mạng theo ý của hắn Chìa khóa để ngăn ngừa kiểu tấn công này là bảo vệ các bảng định tuyến khỏi sự thay đổi không hợp lệ và nguy hiểm

Có 2 hướng tiếp cận để bảo vệ các bảng định tuyến:

 Chỉ sử dụng định tuyến tĩnh: Cách này chỉ phù hợp với các mạng nhỏ, vì người định tuyến sẽ phải cấu hình từng tuyến đường một cách thủ công

 Chứng thực bảng định tuyến cập nhật: Bằng cách sử dụng giao thức định tuyến có chứng thực, người quản trị mạng có thể ngăn cản các cuộc tấn công dựa vào những thay đổi định tuyến trái phép Việc xác nhận các cập nhật định tuyến sẽ đảm bảo các thông điệp cập nhật là có nguồn gốc hợp pháp Những thông điệp giả mạo sẽ tự động bị xóa bỏ

Tuy nhiên, việc chứng thực giao thức định tuyến rất dễ bị nghe trộm và

kẻ xấu sẽ bắt trước các cập nhật định tuyến Giải pháp đưa ra là chứng thực MD5, có tác dụng ngăn chặn những thông điệp định tuyến sai hay những lời giới thiệu không đáng tin của những kẻ có nguồn gốc không rõ ràng

Phần mềm Cisco IOS hỗ trợ chứng thực MD5 cho các giao thức định tuyến sau: OSPF, RIPv2, Enhanced IGRP, BGP

CHƯƠNG 3 THIẾT BỊ AN NINH PIXFIREWALL 3.1 Giới thiệu chung

Thiết bị an ninh được biết đến nhiều nhất là Firewall ( tường lửa ) Một Firewal là một hệ thống hay nhóm hệ thống mà bắt buộc một chính sách điều khiển truy nhập giữa hai mạng hoặc nhiều hơn

Firewall được chia thành 3 lớp chính:

 Appliance-base firewalls: Là những nền tảng phần cứng được thiết kế đặc biệt như những firewall chuyên dụng

 Server-base firewalls: Bao gồm ứng dụng firewall chạy trên một hệ điều hành mạng như UNIX, NT, Win2K hoặc Novell

 Integrated firewalls: Thêm chức năng firewall vào một thiết bị nào đó Cisco IOS Firewall và thiết bị an ninh PIX ( Private Internet Exchange )

là hai giải pháp cho an ninh mạng của Cisco

Cisco IOS Firewall là một tùy chọn chuyên biệt về an ninh của phần mềm Cisco IOS Nó tích hợp chức năng firewall, chứng thực proxy và ngăn chặn xâm nhập cho mỗi mạng, làm phong phú thêm khả năng bảo mật của Cisco IOS Khi kết hợp với phần mềm Cisco IOS Internet Protocol Security (IPsec) và những công nghệ khác dựa trên Cisco IOS như Layer 2 Tunneling Protocol (L2TP), QoS thì Cisco IOS Firewall cung cấp một giải pháp hoàn chỉnh, tổng hợp trong mạng riêng ảo (VPN) Khi Cisco IOS Firewall được cấu hình trên Cisco Router thì Router đó sẽ có các chức năng như một firewall PIX là giải pháp bảo mật về phần cứng và phần mềm, là giải pháp bảo mật end-to-end của Cisco, đáp ứng bảo mật mạng ở mức độ cao mà không ảnh hưởng đến hoạt động của mạng Thiết bị an ninh PIX dòng 500 hiện tại có 5 model sau: PIX501, PIX506, PIX515, PIX525 và PIX535 Việc lựa chọn model nào là tùy thuộc vào yêu cầu của mạng

Hình 3.0 : PIX firewall family

Ngoài ra, Cisco còn cung cấp thiết bị an ninh tích hợp (Cisco Adaptive Security Appliance) dòng 5500, bao gồm các model: ASA5510, ASA5520, ASA5540 Các đặc tính và câu lệnh cấu hình PIX và ASA là giống nhau, nhưng các model ASA hỗ trợ WebVPV Đặc tính này không có ở các model PIX

3.2 Các model thiết bị an ninh Pix

 Thông lượng là 60 Mbps đối với dữ liệu text

 Hỗ trợ 1 cổng 10/100BASE-T Ethernet và 1 switch 4 cổng

PIX 515

Hình 3.3 PIX 515

 Dùng cho các doanh nghiệp nhỏ và trung bình

 Thông lượng 118Mbps đối với dữ liệu text

 Thiết kế cho các mạng lớn và mạng của nhà cung cấp dịch vụ

 Thông lượng là 1.7 Gbps đối với dữ liệu text

Vấn đề cốt lõi của các thiết bị an ninh là thuật toán An ninh tổng hợp ( Adaptive Security Algorithm - ASA ) Giải thuật ASA duy trì vành đai an toàn giữa các mạng điều khiển bởi thiết bị an ninh ASA tuân theo các quy luật sau:

 Không gói tin nào đi qua PIX mà không có một kết nối và trạng thái

 Cho phép các kết nối ra bên ngoài, trừ những kết nối bị cấm bởi danh sách điều khiển truy nhập ACLs Một kết nối ra bên ngoài có thể là một nguồn hoặc một client ở cổng có mức bảo mật cao hơn nơi nhận hoặc server Cổng có mức bảo mật cao nhất là inside với giá trị là 100, cổng

có mức bảo mật thấp nhất là outside với giá trị là 0 Bất kỳ cổng nào khác cũng có thể có mức bảo mật nhận giá trị từ 1 đến 99

 Cấm các kết nối vào bên trong, ngoại trừ những kết nối được phép Một kết nối vào bên trong là môt nguồn hoặc client ở cổng hay mạng có mức bảo mật thấp hơn nơi nhận hoặc server

 Tất cả các gói ICMP đều bị cấm, trừ những gói được phép

 Mọi sự thử nghiệm nhằm phá vỡ các quy tắc trên đều bị hủy bỏ

Trên mỗi cổng của PIX có các mức độ bảo mật ( Security-level ), xác định một giao tiếp (interface) là tin cậy, được bảo vệ hay không tin cậy, được bảo vệ ít và tương quan với các giao tiếp khác như thế nào Một giao tiếp được xem là tin cậy trong mối quan hệ với các giao tiếp khác nếu nó có mức độ bảo mật cao hơn

Quy tắc cơ bản về mức độ bảo mật là: Dữ liệu có thể đi vào PIX thông qua một interface với Security level cao hơn , đi qua PIX và đi ra ngoài thông qua interface có Security level thấp hơn Ngược lại, dữ liệu đi vào interface có Security level thấp hơn không thể đi qua PIX và đi ra ngoài thông qua interface

có Security level cao hơn nếu trên PIX không có cấu hình conduit hoặc list để cho phép nó thực hiện điều này Các mức bảo mật đánh số từ 0 đến 100

access- Mức 0: Là mức thấp nhất, thiết lập mặc định cho outside interface (cổng

ra ) của PIX, thường dành cho cổng kết nối ra Internet Vì 0 là mức bảo mật ít an toàn nhất nên các untrusted network thường ở sau interface

này Các thiết bị ở outside chỉ được phép truy nhập vào PIX khi nó được cấu hình để làm điều đó

 Mức 100: Là mức cao nhất cho một interface Nó được sử dụng cho inside interface ( cổng vào ) của PIX, là cấu hình mặc định cho PIX và không thể thay đổi Vì vậy mạng của tổ chức thường ở sau interface này, không ai có thể truy nhập vào mạng này trừ khi được phép thực hiện điều đó Việc cho phép đó phải được cấu hình trên PIX; các thiết bị trong mạng này có thể truy nhập ra mạng outside

 Mức từ 1 đến 99: Được dành cho những mạng xung quanh kết nối tới PIX, đăng ký dựa trên kiểu của truy nhập của mỗi thiết bị, thông thường

là kết nối đến một mạng hoạt động như là Demilitarized zone ( DMZ ) Khi có nhiều kết nối giữa PIX và các thiết bị xung quanh thì:

 Dữ liệu đi từ interface có Security level cao hơn đến interface có Security level thấp hơn: Cần phải có một translation ( static hay dynamic ) để cho phép giao thông từ interface có Security level cao hơn đến interface có Security level thấp hơn Khi đã có translation này, giao thông bắt đầu từ inside interface đến outside interface sẽ được phép, trừ khi nó bị chặn bởi access-list, authentication hay authorization

 Dữ liệu đi từ interface có Security level thấp hơn đến interface có Security level cao hơn: 2 điều quan trọng cần phải được cấu hình để cho giao thông từ interface có Security level thấp hơn đến interface có Security level cao hơn là static translation và conduit hoặc access-list

 Dữ liệu đi qua hai interface có Security level như nhau: Không có giao

thông đi giữa hai interface có Security level như nhau

3.4 Pix translation

PIX firewall có thể được sử dụng để translate tất cả địa chỉ bên trong, khi dữ liệu đi từ inside ra outside hay đi đến một mạng có mức bảo mật thấp hơn Nếu user ở mạng outside cố gắng thực hiện kết nối đến inside, user đó sẽ

không thành công Một session không thể được tạo ra từ Internet với địa chỉ đích là địa chỉ private trừ khi nó được cấu hình cho phép thực hiện điều đó

Có hai cách để một mạng ít tin cậy hơn đi vào một mạng có độ tin cậy cao hơn là:

 Response to Valid Request: Khi user ở inside thành lập một kết nối đến thiết bị ở outside, mặc định response cho request đó được phép qua PIX Tất cả kết nối từ inside đến outside sẽ được update trong bảng translation Khi một thiết bị outside đáp ứng cho request đó, PIX firewall sẽ kiểm tra bảng translation để xem thử có translation slot nào tồn tại cho request đó hay không? Nếu nó tồn tại, PIX firewall cho phép response tiếp tục Sau khi session được tạo ra, idle timer sẽ bắt đầu khởi động, mặc định là 3 giờ

 Cấu hình conduit hay access-list: Được sử dụng cho việc liên lạc từ outside đến inside Static translation hoặc là global và nat được cấu hình trước, sau đó cấu hình conduit hay access-list để định nghĩa địa chỉ, hay

là một nhóm địa chỉ, source port hay là destination port được phép đi

qua PIX

3.4.1 Dịch chuyển địa chỉ tĩnh (Static address translation)

Static address translation được sử dụng nếu một host được translate đến cùng một địa chỉ khi mỗi outbound session được tạo ra qua PIX, tức là nó được dùng để tạo ra một ánh xạ cố định (static translation slot) giữa một địa chỉ local

và một địa chỉ global Khi kết nối đến Internet, địa chỉ global phải là địa chỉ thực ( địa chỉ được đăng kí )

Static address translation được sử dụng bằng câu lệnh sau :

static [(internal_if_name , external_if_name)] global_ip local_ip

[netmask network_mask] [max_conns [em_limit]] [norandomseq]

Đối với outbound connection, sử dụng static để chỉ ra một địa chỉ global luôn được sử dụng cho việc translation giữa local host và global host đó Đối với inbound connection, mặc định là các host ở untrusted network sẽ không

được vào trusted network, do đó muốn cho các mạng outside vào inside, ta sẽ phải sử dụng kết hợp cả câu lệnh static và conduit hoặc access-list để định nghĩa các địa chỉ trong mạng outside

Khái niệm “outbound ” được hiểu là những kết nối từ một cổng bảo mật hơn tới một cổng ít bảo mật hơn trên PIX, khái niệm “ inbound ” nghĩa là kết

nối từ một cổng ít bảo mật hơn tới cổng bảo mật hơn của PIX

3.4.2 Dịch chuyển địa chỉ động (Dynamic address translation)

NAT – Network Address Translate (dịch chuyển địa chỉ mạng) là một

cơ chế để tiết kiệm địa chỉ IP đăng ký trong một mạng lớn và giúp đơn giản hóa việc quản lý địa chỉ IP Các địa chỉ IP riêng sẽ được chuyển đổi sang địa chỉ công cộng định tuyến được Điều này cho phép gói dữ liệu được truyền đi trong mạng công cộng, ví dụ như Internet Sau đó, địa chỉ công cộng trong gói trả lời lại được chuyển đổi thành địa chỉ riêng để phát vào trong mạng nội bộ Dịch chuyển địa chỉ động được sử dụng cho các máy ở trong nội bộ và các kết nối outbound của chúng Để dịch chuyển địa chỉ động, sử dụng câu lệnh nat và global để xác định dải địa chỉ

Hình dưới minh họa quá trình NAT Mạng nội bộ sử dụng địa chỉ riêng 10.0.0.0/24 Trước khi gói tin ra Internet, địa chỉ của nó phải được dịch chuyển thành địa chỉ công cộng Trong ví dụ này, PIX chuyển địa chỉ 10.0.0.11 thành địa chỉ 192.168.6.1

Hình 3.6 Quá trình NAT

Ngoài ra thay vì NAT các địa chỉ inside ra outside trong một pool địa chỉ, cũng có thể nat bằng một địa chỉ global bằng cách sử dụng PAT (port

address translation) PAT là sự kết hợp một địa chỉ và một source port number

để tạo ra một session duy nhất Pix sẽ translate mỗi địa chỉ local đến cùng một điạ chỉ global nhưng đăng kí giá trị port khác nhau và lớn hơn 1024 Câu lệnh cấu hình PAT giống như Nat, nhưng trong câu lệnh global, thay vì sử dụng một pool địa chỉ, ta chỉ sử dụng 1 địa chỉ

Hình dưới minh họa quá trình PAT, hai địa chỉ nội bộ 10.0.0.11 và 10.0.0.4 cùng có địa chỉ công cộng là 192.168.0.20 nhưng phân biệt nhờ số port

Hình 3.7 Quá trình PAT

3.5 Truy cập vào Pix

PIX có thể được truy nhập vào thông qua port console hoặc là truy nhập

từ xa qua các phương pháp sau:

 Telnet

 Secure Shell (SSH)

 Browser sử dụng PIX device Manger (PDM)

Truy cập vào PIX bằng Telnet:

Có thể quản lý PIX firewall thông qua Telnet từ các host thuộc internal interface Nếu IPSEC được cấu hình thì ta có thể quản lý PIX từ các interface

có Security level thấp hơn

Để truy cập vào PIX thông qua kết nối Telnet, cấu hình như sau :