Khai thác các chức năng của ASA firewall trên GNS3

Các kỹ thuật định tuyến...29 Định tuyến tĩnh...29 CÓ 3 LOẠI ĐỊNH TUYẾN TĨNH:...29 DIRECTLY CONNECTED ROUTE: CÁC ĐƯỜNG KẾT NỐI TRỰC TIẾP ĐƯỢC TỰ ĐỘNG TẠO RA TRONG BẢNG ĐỊNH TUYẾN ASA K

KHOA CÔNG NGHỆ THÔNG TIN

BỘ MÔN MẠNG VÀ TRUYỀN THÔNG

BÁO CÁO MÔN HỌC

AN TOÀN THÔNG TIN MẠNG

t i:

ĐỀ à

Khai thác các chức năng của ASA Firewall trên GNS3

Sinh viên : Nguyễn Văn Hùng

Nguyễn Phan Đình Phước Đặng Minh Trí

Người hướng dẫn : TS Nguyễn Tấn Khôi

Đà Nẵng 2011

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

MỤC LỤC

I TỔNG QUAN VỀ TƯỜNG LỬA 8

A GIỚI THIỆU TƯỞNG LỬA 8

B PHÂN LOẠI: 8

C CHỨC NĂNG CỦA FIREWALL 9

D NHỮNG HẠN CHẾ CỦA FIREWALL 10

II TƯỜNG LỬA CISCO ASA 10

1 GIỚI THIỆU 10

B CÁC CHỨC NĂNG CƠ BẢN 11

i Các chế độ làm việc 11

ii Quản lí file 12

iii Mức độ bảo mật (Security Level) 12

C NETWORK ACCESS TRANSLATION(NAT) 14

a Khái niệm 14

ii Các kỹ thuật NAT 14

iii NAT trên thiết bị ASA 17

VÍ DỤ: 18

.18

D ACCESS CONTROL LISTS(ACL) 18

E VPN 21

a Giới thiệu 21

CÓ BƯỚC TIẾN HÀNH BỞI CÁC THIẾT BỊ IPSEC: 22

ii Site-to-site VPN 23

iii Remote access VPN 23

iv AnyConnect VPN 24 Cung cấp đầy đủ kết nối mạng tới người dùng ở xa.Firewall ASA, làm việc như một máy chủ WebVPN, gán một địa chỉ IP cho người dùng ở

xa và người sử dụng mạng Vì vậy, tất cả các giao thức IP và những ứng dụng thông qua đường hầm VPN mà không có bất kỳ vấn đề gì Ví dụ, một người dùng ở xa, sau khi chứng thực thành công AnyConnect VPN, có thể

mở một kết nối từ máy tính ở xa tới một Window Terminal Server bên trong mạng trung tâm Mặc dù một client được yêu cầu cài đặt trên máy tính của người dùng, client này có thể được cung cấp tự động cho người sử dụng từ ASA Người dùng có thể kết nối với một trình duyệt tới firewall asa và tải

về client Java theo yêu cầu Client java có thể vẫn còn được cài đặt hoặc bị loại bỏ từ máy tính của người sử dụng khi ngắt kết nối từ thiết bị ASA

Client này có kich cỡ nhỏ(khoảng 3 mb) và được lưu trữ trông bộ nhớ Flash

của ASA 24

.25

Hình 11 Sơ đồ mạng mô tả kết nối AnyConnect VPN 25

Có hai lựa chọn cài đặt ban đầu cho khách hàng AnyConnect: 25

 Các bước cấu hình AnyConnect VPN 25

F ROUTING PROTOCOL 28

a Khái niệm 28

ii Các kỹ thuật định tuyến 29

Định tuyến tĩnh 29

CÓ 3 LOẠI ĐỊNH TUYẾN TĨNH: 29

DIRECTLY CONNECTED ROUTE: CÁC ĐƯỜNG KẾT NỐI TRỰC TIẾP ĐƯỢC TỰ ĐỘNG TẠO RA TRONG BẢNG ĐỊNH TUYẾN ASA KHI BẠN CẤU HÌNH MỘT ĐỊA CHỈ IP TRÊN MỘT GIAO DIỆN THIẾT BỊ 29

NORMAL STATIC ROUTE: CUNG CẤP ĐƯỜNG ĐI CỐ ĐỊNH VỀ MỘT MẠNG CỤ THỂ NÀO ĐÓ 29

DEFAULT ROUTE: DEFAULT ROUTE LÀ TUYẾN ĐƯỜNG MẶC ĐỊNH ĐƯỢC CẤU HÌNH TĨNH CỦA ROUTER LÀ NƠI MÀ KHI ROUTER NHẬN ĐƯỢC MỘT GÓI TÍN CẦN CHUYỂN ĐẾN MẠNG NÀO ĐÓ MÀ MẠNG ĐÓ KHÔNG CÓ TRONG BẢNG ĐỊNH TUYẾN CỦA ROUTER ĐÓ THÌ NÓ SẼ ĐẨY RA DEFAULT ROUTE 29

.30

HÌNH 12 MÔ HÌNH MẠNG MÔ TẢ ĐỊNH TUYẾN TĨNH 30

G DỰ PHÒNG ĐƯỜNG TRUYỀN SLA 31

H CHUYỂN ĐỔI SỰ PHÒNG (FAILOVER) 31

a Giới thiệu 31

ii Phân loại Failover 32

iii Triển khai Failover 32

III TRIỂN KHAI CÁC TÍNH NĂNG ASA TRÊN GNS3 35

1 MÔ HÌNH TRIỂN KHAI 35

a Mô hình thực tế 35

ii Mô hình trên GNS3 35

B CẤU HÌNH TRÊN ASA 36

a Định tuyến 36

ii Acess Control List 36

iii NAT 37

iv Giám sát đường truyền 37

v DHCP 38

I Tổng quan về tường lửa

a Giới thiệu tưởng lửa

Trong ngành mạng máy tính, bức tường lửa (firewall) là rào chắn mà một số

cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ.Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn lửa trong các tòa nhà Tường lửa còn được gọi là Thiết bị bảo vệ biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO, hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại học California, Berkeley

Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng tin cậy khác nhau Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao) Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu (principle of least privilege)

Cấu hình đúng đắn cho các tường lửa đòi hỏi kĩ năng của người quản trị hệ thống Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng Để

có kiến thức xây dựng một tường lửa có các tính năng chống lại các yếu tố phá hoại đòi hỏi phải có trình độ chuyên nghiệp và kỹ năng trong việc bảo mật và an ninh

b Phân loại:

Các tường lửa được chia ra thành hai dạng: Firewall cứng (bên ngoài) và firewall mềm (bên trong) Trong đó cả hai đều có những nhược điểm và ưu điểm riêng Quyết định lựa chọn loại tường lửa nào để sử dụng là khá quan trọng

• Firewall cứng:

Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính hoặc mạng và cáp hoặc modem DSL Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP) đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năng tường lửa Tường lửa phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có mức bảo mật cao cho một máy tính đơn Nếu bạn chỉ có một máy tính phía sau tường lửa, hoặc nếu bạn chắc chắn rằng tất cả các máy tính khác trên mạng được cập nhật các bản vá miễn phí về virus, worm và các mã nguy hiểm khác thì bạn không cần mở rộng sự bảo vệ của một phần mềm tường lửa Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ điều hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công.Một số loại Firewall cứng như: ASA, PIX, Fortinet, Juniper…

Đặc điểm của Firewall cứng:

 Hoạt động ở tầng Network và tầng Transport

 Tốc độ xử lý

 Tính bảo mật cao

 Tính linh hoạt thấp

 Khả năng nâng cấp thấp

 Không kiểm tra được nội dung gói tin

Tuy nhiên hiện nay cũng có rất nhiều những firewall cứng có thể tích hợp nhiều chức năng Ngoài làm chức năng tường lửa bảo mật, chúng còn kém theo các module khác như routing,vpn, …

Hình 1 Mô hình Firewall cứng

• Firewall mềm:

Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn không có thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần mềm hoặc các nhà cung cấp dịch vụ Internet.Một số Firewall mềm như ISA server,Zone Alarm, Norton firewall,các phần mềm antivirut hay các hệ điều hành đều có tính năng firewall…

Đặc điểm:

 Hoạt động ở tầng Application

 Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

 Có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa)

Hình 2 Mô hình Firewall mềm

c Chức năng của Firewall

 Kiểm soát luồng thông tin giữa Intranet và Internet

 Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)

Hình 3 Mô tả luồng dữ liệu vào ra giữa internet và intranet

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

 Kiểm soát người sử dụng và việc truy nhập của người sử dụng

 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

(data- Firewall không thể bảo vệ chống lại việc truyền các chương trình hoặc file nhiễm virut

II Tường lửa Cisco ASA

1 Giới thiệu

Tường lửa Cisco ASA là công nghệ mới nhất trong các giải pháp tường lửa được đưa ra bởi Cisco, hiện nay đang thay thế các tường lửa PIX rất tốt ASA viết

tắt của Adaptive Security Appliances, làm cả hai nhiệm vụ là một tường lửa và ứng dụng anti-malware.

Cisco ASA hoạt động theo cơ chế giám sát gói theo trạng thái (Stateful Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật(ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hay ứng dụng) Cho phép kết nối một chiều(outbuond-đi ra) với rất ít việc cấu hình Một kết nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết

bị trên mạng có mức bảo mật thấp hơn

Trạng thái được ghi nhận sẽ dùng để giám sát và kiểm tra gói trở về.Thay đổi ngẫu nhiên giá trị tuần tự (sequence number) trong gói TCP để giảm rủi ro của sự tấn công

Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy (trusted) hay mức bảo mật cao và cổng không tin cậy (untrusted) hay mức bảo mật thấp Qui tắc chính cho múc bảo mật đó là thiết bị từ vùng tin cậy có thể truy cập được thiết bị truy cập vùng không tin cậy hay còn gọi là outbound Ngược lại từ vùng bảo mật thấp không thể truy cập vùng bảo mật cao trừ khi được cho phép bởi ACL hay còn gọi là inbound

Mức bảo mật (Security Level) 100: Đây là mức bảo mật cao nhất, thường được gán cho cổng thuộc mạng bên trong (inside)

Mức bảo mật 0: Đậ là mức bảo mật thấp nhất, thường được gán cho cổng mà kết nối ra Internet hay vùng không tin cậy còn gọi là vùng bên ngoài (outside).Mức bảo mật từ 1-99: Cho phép bạn sử dụng để gán cho những cổng còn lại nếu yêu cầu mở rộng vùng mạng

Do đó trong quá trình cấu hình thông tin cho cổng đảm bảo mỗi cổng được gán giá trị mức bảo mật dựa vào chính sách phân vùng bảo vệ của bạn thông qua

câu lệnh security-level.

b Các chức năng cơ bản

i Các chế độ làm việc

Firewall ASA có 4 chế độ làm việc chính:

 Chế độ giám sát (Monitor Mode): Hiển thị dấu nhắc “monitor>”

Đây là chế độ đặc biệt cho phép bạn cập nhật các hình ảnh qua mạng hoặc khôi phục mật khẩu.Trong khi ở chế độ giám sát, bạn có thể nhập lệnh để xác định vị trí của một máy chủ TFTP và vị trí của hình ảnh phần mềm hoặc file hình ảnh nhị phân khôi phục mật khẩu để tải về.Bạn truy cập vào chế độ này bằng cách nhấn "Break" hoặc "ESC" chìa khóa ngay lập tức sau khi bật nguồn thiết bị

 Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc

“>” Chế độ này cung cấp tầm nhìn hạn chế của các thiết bị an

ninh.Bạn không thể cấu hình bất cứ điều gì từ chế độ này.Để bắt đầu với cấu hình, lệnh đầu tiên bạn cần phải biết là lệnh enable Đánh enable và nhấn Enter Các mật khẩu ban đầu là trống, do đó, nhấn Enter một lần nữa để chuyển sang chế độ truy cập tiếp theo (Privileged Mode)

 Chế độ đặc quyền (Privileged Mode): Hiển thị dấu nhắc “#” Cho phép bạn thay đổi các thiết lập hiện hành.Bất kỳ lệnh trong chế độ không đặc quyền cũng làm việc trong chế độ này.Từ chế độ này, bạn

có thể xem cấu hình hiện tại bằng cách sử dụng show config.Tuy nhiên, bạn không thể cấu hình bất cứ điều gì cho đến khi bạn đi đến chế độ cấu hình (Configuration Mode) Bạn truy cập vào chế độ cấu hình bằng cách sử dụng lệnh configure terminal từ chế độ đặc quyền

running- Chế độ cấu hình (Configuration Mode): chế độ này hiển thị dấu nhắc

“(config)#” Cho phép bạn thay đổi tất cả thiết lập cấu hình hệ thống

Sử dụng exit từ mỗi chế độ để trở về chế độ trước đó

ii Quản lí file

Có hai loại file cấu hình trong các thiết bị an ninh Cisco:

running-configuration và startup-running-configuration

Loại file đầu tiên running-configuration là một trong những file hiện đang chạy trên thiết bị, và được lưu trữ trong bộ nhớ RAM của firewall Bạn có thể xem

cấu hình này bằng cách gõ show running-config từ các chế độ Privileged Bất kỳ

lệnh mà bạn nhập vào firewall được lưu trực tiếp bằng trong running-config và có hiệu lực thi hành ngay lập tức Kể từ khi cấu hình chạy được lưu trong bộ nhớ RAM, nếu thiết bị bị mất nguồn, nó sẽ mất bất kỳ thay đổi cấu hình mà không được

lưu trước đó Để lưu lại cấu hình đang chạy, sử dụng copy run start hoặc write

memory Hai lệnh này sẽ copy running-config vào startup-config cái mà được lưu

trữ trong bộ nhớ flash

Loại thứ hai startup-configuration là cấu hình sao lưu của configuration Nó được lưu trữ trong bộ nhớ flash, vì vậy nó không bị mất khi các thiết bị khởi động lại Ngoài ra, startup-configuration được tải khi thiết bị khởi

running-động Để xem startup-configuration được lưu trữ, gõ lệnh show startup-config.

iii Mức độ bảo mật (Security Level)

Security Level được gán cho interface (hoặc vật lý hay logical sub-interfaces)

và nó cơ bản một số từ 0-100 chỉ định như thế nào tin cậy interface liên quan đến một interface khác trên thiết bị Mức độ bảo mật cao hơn thì interface càng đáng tin cậy hơn (và do đó các mạng kết nối phía sau nó) được coi là, liên quan đến interface khác Vì mỗi interface firewall đại diện cho một mạng cụ thể (hoặc khu vực an ninh), bằng cách sử dụng mức độ bảo mật, chúng ta có thể chỉ định mức độ tin tưởng khu vực an ninh của chúng ta Các quy tắc chính cho mức độ bảo mật là một interface (hoặc zone) với một mức độ bảo mật cao hơn có thể truy cập vào một

interface với một mức độ bảo mật thấp hơn Mặt khác, một interface với một mức

độ bảo mật thấp hơn không thể truy cập vào một interface với một mức độ bảo mật cao hơn, mà không có sự cho phép rõ ràng của một quy tắc bảo mật (Access Control List - ACL)

Một số mức độ bảo mật điển hình:

 Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gán mặc định interface bên ngoài của firewall Đó là mức độ bảo mật ít tin cậy nhất và phải được chỉ định phù hợp với mạng (interface) mà chúng ta không muốn nó có bất kỳ truy cập vào mạng nội bộ của chúng ta Mức độ bảo mật này thường được gán cho interface kết nối với Internet Điều này có nghĩa rằng tất cả các thiết bị kết nối Internet không thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừ khi rõ ràng cho phép một quy tắc ACL

 Security Level 1 đến 99: Những mức độ bảo mật có thể được khu vực bảo mật vòng ngoài (ví dụ như khu vực DMZ, khu vực quản lý, )

 Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gán mặc định interface bên trong của tường lửa Đây là mức độ bảo mật đáng tin cậy nhất và phải được gán cho mạng (interface) mà chúng ta muốn áp dụng bảo vệ nhiều nhất từ các thiết bị an ninh.Mức độ bảo mật này thường được gán cho interface kết nối mạng nội bộ công ty đằng sau nó

Hình 4 Mô tả các mức bảo mật trong hệ thống mạngViệc truy cập giữa Security Level tuân theo các quy định sau:

 Truy cập từ Security Level cao hơn tới Security Level thấp hơn: Cho phép tất cả lưu lượng truy cập có nguồn gốc từ Security Level cao hơn trừ khi quy định cụ thể bị hạn chế bởi một Access Control List

(ACL) Nếu NAT-Control được kích hoạt trên thiết bị, sau đó có một

cặp chuyển đổi nat/global giữa các interface có Security Level từ cao

tới thấp

 Truy cập từ Security Level thấp hơn Security Level cao hơn: Chặn tất

cả lưu lượng truy cập trừ khi được cho phép bởi một ACL Nếu Control được kích hoạt trên thiết bị này, sau đó có phải là một NAT tĩnh giữa các interface có Security Level từ cao tới thấp

NAT- Truy cập giữa các interface có cùng một Security Level: Theo mặc

định là không được phép, trừ khi bạn cấu hình lệnh

Một số trong những lợi thế của việc sử dụng NAT trong các mạng IP như sau :

 NAT giúp giảm thiểu toàn cầu cạn kiệt địa chỉ IP công cộng

 Networks có thể sử dụng RFC 1918 - không gian địa chỉ tin nội bộ

 NAT tăng cường an ninh bằng cách ẩn networks topology và addressing

NAT giống như một router, nó chuyển tiếp các gói tin giữa những lớp mạng khác nhau trên một mạng lớn NAT dịch hay thay đổi một hoặc cả hai địa chỉ bên trong một gói tin khi gói tin đó đi qua một router, hay một số thiết bị khác Thông thường, NAT thường thay đổi địa chỉ (thường là địa chỉ riêng) được dùng bên trong một mạng sang địa chỉ công cộng

NAT cũng có thể coi như một firewall cơ bản Để thực hiện được công việc

đó, NAT duy trì một bảng thông tin về mỗi gói tin được gửi qua Khi một PC trên mạng kết nối đến 1 website trên Internet header của địa chỉ IP nguồn được thay đổi

và thay thế bằng địa chỉ Public mà đã được cấu hình sẵn trên NAT server , sau khi

có gói tin trở về NAT dựa vào bảng record mà nó đã lưu về các gói tin, thay đổi địa chỉ IP đích thành địa chỉ của PC trong mạng và chuyển tiếp đi Thông qua cơ chế đó quản trị mạng có khả năng lọc các gói tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ thể

ii Các kỹ thuật NAT

 Kỹ thuật NAT tĩnh(STATIC NAT)

Với NAT tĩnh, địa chỉ IP thường được ánh xạ tĩnh với nhau thông qua các lệnh cấu hình Trong NAT tĩnh, một địa chỉ Inside Local luôn luôn được ánh xạ vào địa chỉ Inside Global Nếu được sử dụng, mỗi địa chỉ Outside Local luôn luôn ánh

xạ vào cùng địa chỉ Outside Global NAT tĩnh không có tiết kiệm địa chỉ thực Mặc dù NAT tĩnh không giúp tiết kiệm địa chỉ IP, cơ chế NAT tĩnh cho phép một

máy chủ bên trong hiện diện ra ngoài Internet, bởi vì máy chủ sẽ luôn dùng cùng một địa chỉ IP thực

Cách thức thực hiện NAT tĩnh thì dễ dàng vì toàn bộ cơ chế dịch địa chỉ được thực hiện bởi một công thức đơn giản:

Địa chỉ đích = Địa chỉ mạng mới OR (địa chỉ nguồn AND ( NOT netmask))

Ví dụ :

Một địa chỉ private được map với một địa chỉ public Ví dụ 1 một máy trọng mạng LAN có địa chỉ 10 1 1 1 được “phiên dịch” thành 1 địa chỉ public 20 1 1

1 khi gửi tin ra ngoài Internet

Bắt đầu bằng một gói tin được gửi từ một PC bên trái của hình đến một máy chủ bên phải ở địa chỉ 170 1 1 1 Địa chỉ nguồn private 10 1 1 1 được dịch thành một địa chỉ thực 200 1 1 1 Máy client gửi ra một gói tin với địa chỉ nguồn

10 1 1 1 nhưng router NAT thay đổi địa chỉ nguồn thành 200 1 1 1

Khi server nhận được một gói tin với địa chỉ nguồn 200 1 1 1, máy chủ nghĩ rằng nó đang nói chuyện với máy 200 1 1 1, vì vậy máy chủ trả lời lại bằng một gói tin gửi về địa chỉ đích 200 1 1 1 Router sau đó sẽ dịch địa chỉ đích 200 1 1

1 ngược lại thành 10 1 1 1

Hình 5 Mô tả NAT Tĩnh của một mạng Lan ra ngoài Internet

 Kỹ thuật NAT động(Dynamic NAT)

Với NAT, khi số IP nguồn không bằng số IP đích Số host chia sẻ nói chung

bị giới hạn bởi số IP đích có sẵn NAT động phức tạp hơn NAT tĩnh, vì thế chúng phải lưu giữ lại thông tin kết nối và thậm chí tìm thông tin của TCP trong packet Một số người dùng nó thay cho NAT tĩnh vì mục đích bảo mật Những người từ bên ngoài không thể tìm được IP nào kết nối với host chỉ định vì tại thời điểm tiếp theo host này có thể nhận một IP hoàn toàn khác

Những kết nối từ bên ngoài thì chỉ có thể khi những host này vẫn còn nắm giữ một IP trong bảng NAT động Nơi mà NAT router lưu giữ những thông tin về IP bên trong (IP nguồn )được liên kết với NAT-IP(IP đích) Cho một ví dụ trong một session của FPT non-passive Nơi mà server cố gắng thiết lập một kênh truyền dữ liệu vì thế khi server cố gắng gửi một IP packet đến FTP client thì phải có một entry cho client trong bảng NAT Nó vẫn phải còn liên kết một IPclient với cùng một NAT-IPs khi client bắt đầu một kênh truyền control trừ khi FTP session rỗi sau một thời gian timeout Xin nói thêm giao thức FTP có 2 cơ chế là passive và non-passive Giao thức FTP luôn dùng 2 port (control và data) Với cơ chế passive (thụ động ) host kết nối sẽ nhận thông tin về data port từ server và ngược lại non-passive thì host kết nối sẽ chỉ định dataport yêu cầu server lắng nghe kết nối tới.Bất cứ khi nào nếu một người từ bên ngoài muốn kết nối vào một host chỉ định ở bên trong mạng tại một thời điểm tùy ý chỉ có 2 trường hợp :

 Host bên trong không có một entry trong bảng NAT khi đó sẽ nhận được thông tin “host unreachable” hoặc có một entry nhưng NAT-IPs là không biết

 Biết được IP của một kết nối bởi vì có một kết nối từ host bên trong ra ngoài mạng Tuy nhiên đó chỉ là NAT-IPs và không phải là IP thật của host

Và thông tin này sẽ bị mất sau một thờii gian timeout của entry này trong bảng NAT router

Ví dụ:

Một địa chỉ private được map với một địa chỉ public từ một nhóm các dịa chỉ public Ví dụ một mạng LAN có địa chỉ 10 1 1 1/8 được “phiên dịch” thành 1 địa chỉ public trong dải 200 1 1 1 đến 200 1 1 100 khi gửi tin ra ngoài Internet

Hình 6 Bảng NAT động của một mạng LAN

 Kỹ thuật NAT overloading ( hay PAT)

Dùng để ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ công cộng vì mỗi địa chỉ riêng được phân biệt bằng số port Có tới 65 356 địa chỉ nội bộ có thể chuyển đổi sang 1 địa chỉ công cộng Nhưng thực tế thì khỏang 4000 port PAT hoạt động bằng cách đánh dấu một số dòng lưu lượng TCP hoặc UDP từ nhiều máy cục bộ bên trong xuất hiện như cùng từ một hoặc một vài địa chỉ Inside Global Với PAT,

thay vì chỉ dịch địa chỉ IP, NAT cũng dịch các cổng khi cần thiết.Và bởi vì các trường của cổng có chiều dài 16 bit, mỗi địa chỉ Inside Global có thể hỗ trợ lên đến

65000 kết nối TCP và UDP đồng thời Ví dụ, trong một hệ thống mạng có 1000 máy, một địa chỉ IP thực được dùng như là địa chỉ Inside Global duy nhất có thể quản lý trung bình sáu dòng dữ liệu đến và đi từ các máy trên Internet

Ví dụ :

PAT map nhiều địa chỉ Private đến một địa chỉ Public, việc phân biệt các địa chỉ Private này được dựa theo port, ví dụ IP address 10 1 1 1 sẽ được map đến ip address 200 1 1 6:port_number

* Mối quan hệ giữa NAT và PAT

PAT có mối quan hệ gần gũi với NAT nên vẫn thường được gọi là NATTrong NAT, nhìn chung chỉ địa chỉ ip được đổi Có sự tương ứng 1:1 giữa địa chỉ riêng và địa chỉ công cộng

Trong PAT, cả địa chỉ riêng của người gửi và cổng đều được thay đổi Thiết

bị PAT sẽ chọn số cổng mà các hosts trên mạng công cộng sẽ nhìn thấy Trong NAT, những gói tin từ ngoài mạng vào được định tuyến tới địa chỉ IP đích của nó trên mạng riêng bằng cách tham chiếu địa chỉ ngưồn đi vào Trong PAT, Chỉ có một địa chỉ IP công cộng được nhìn thấy từ bên ngoài và gói tin

đi vào từ mạng công cộng được định tuyến tới đích của chúng trên mạng riêng bằng cách tham chiếu tới bảng quản lý từng cặp cổng private và public lưu trong thiết bị PAT Cái này thường được gọi là connection tracking

Một số thiết bị cung cấp NAT, như broadband routers, thực tế cung cấp PAT

vì lý do này, có sự nhầm lẫn đáng kể giữa các thuật ngữ Nhìn chung người ta sử dụng NAT để bao gồm những thiết bị PAT

iii NAT trên thiết bị ASA

Cisco ASA firewalls hỗ trợ hai loại chuyển đổi địa chỉ chính

• Dynamic NAT translation:

Dịch source address trên interface bảo mật cao hơn vào một phạm vi (hoặc 1 pool) của địa chỉ IP trên một interface kém an toàn hơn, cho kết nối ra ngoài Lệnh

nat xác định máy chủ nội bộ sẽ được dịch, và lệnh global xác định các pool địa chỉ

trên outgoing interface

Cấu hình Dynamic NAT translation:

ciscoasa(config)# nat (internal_interface_name) “nat-id” “internal network IP subnet”

ciscoasa(config)# global (external_interface_name) “nat-id” “external IP pool range”

• Static NAT translation:

Cung cấp một, lập bản đồ địa chỉ thường trú một-một giữa một IP trên một interface an toàn hơn và một IP trên một interface kém an toàn Với thích hợp Access Control List (ACL), static NAT cho phép các host trên một interface kém

an toàn (ví dụ như Internet ) để truy cập máy chủ trên một interface bảo mật cao

hơn (ví dụ: Web Server trên DMZ) với lượng lớn thực tếIP address của các máy chủ trên interface bảo mật cao hơn

Cấu hình Static NAT translation:

ciscoasa(config)# static (real_interface_name,mapped_interface_name)

“mapped_IP” “real_IP” netmask”subnet_mask”

Sử dụng PAT cũng cho nhiều kết nối từ các máy chủ khác nhau nội bộ có thể được ghép trên một địa chỉ IP public nhưng sử dụng số cổng nguồn khác nhau

Ví dụ:

Hình 7 Mô tả cơ chế PAT(NAT overload)

ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 Inside Subnet to use PAT

ciscoasa(config)# global (outside) 1 100.1.1.2 netmask 255.255.255.255 Use a single global IP address for PAT

Trong ví dụ trên, tất cả các địa chỉ nội bộ (192.168.1.0/24) sẽ sử dụng một địa chỉ IP public (100.1.1.2) với port khác nhau Đó là, khi máy chủ 192.168.1.1 kết nối Internet bên ngoài máy chủ, các bức tường lửa sẽ dịch địa chỉ public và port vào 100.1.1.2 với port 1024 Tương tự như vậy, máy chủ 192.168.1.2 sẽ được dịch một lần nữa vào 100.1.1.2, nhưng với một destinate port khác nhau (1025) Các port nguồn được tự động thay đổi với một số duy nhất hơn so với 1023.Một PAT địa chỉ duy nhất có thể hỗ trợ khoảng 64.000 máy nội bộ

d Access Control Lists(ACL).

Một trong những yếu tố quan trọng cần thiết để quản lý giao tiếp lưu lượng mạng là cơ chế điều khiển truy cập, còn được gọi là Access Control List

Hình 8 Sơ đồ ACL điều khiển truy cập mạngAccess Control List(danh sách điều khiển truy cập), như tên của nó, là một danh sách các báo cáo(được gọi là mục kiểm soát truy cập) cho phép hoặc từ chối lưu lượng truy cập từ một nguồn đến một đích đến.Sau khi một ACL được cấu hình, nó được áp dụng cho một giao diện với một lệnh access-group Nếu không có ACL được áp dụng cho một interface, lưu lượng truy cập ra bên ngoài(from inside

to outside) được phép theo mặc định, và lưu lượng truy cập trong nội bộ(from outside to inside) bị từ chối theo mặc định ACL có thể được áp dụng(bằng cách sử dụng lệnh access-group) để theo 2 hướng "in" và"out" của traffic đối với các interface Chiều "in" của ACL kiểm soát lưu lượng truy cập vào một interface, và theo hướng "out"của ACL kiểm soát traffic ra khỏi một interface Trong sơ đồ trên,

cả hai ACL thể hiện (cho Inbound và cho Outbound Access) được áp dụng cho hướng "in" interface của outside và inside tương ứng

Sau đây là những hướng dẫn để thiết kế và thực hiện các ACL:

 Đối với Outbound Traffic(Từ vùng có security-level cao hơn đến thấp

hơn), tham số địa chỉ nguồn một mục ACL là địa chỉ thực sự thực tế của máy chủ hoặc mạng

 Đối với Inbound Traffic(Từ vùng có security-level thấp hơn đến cao

hơn), tham số địa chỉ đích ACL là địa chỉ IP toàn cầu chuyển dịch

 ACL là luôn luôn kiểm tra trước khi chuyển dịch địa chỉ được thực hiện trên thiết bị bảo mật

 ACL ngoài việc hạn chế lưu lượng thông qua tường lửa, nó có thể được

sử dụng cũng như là một đường truyền lựa chọn cơ chế áp dụng một vài hành động khác để lưu lượng truy cập được lựa chọn, như mã hóa, dịch thuật, lập chính sách, chất lượng dịch vụ, vv

Lệnh cấu hình default ACL:

ciscoasa(config)# access-list “access_list_name” [line line_number] [extended] {deny | permit} protocol “source_address” “mask” [operator source_port]

“dest_address” “mask” [operator dest_port]

Lệnh cho phép truy cập của một nhóm sử dụng áp dụng cho ACL:

ciscoasa(config)# access-group “access_list_name” [in|out] interface

“interface_name”

Các tham số trong lệnh:

 access_list_name :một tên mô tả của ACLcụ thể Cùng tên được sử

dụng trong lệnh access-group

 lineline_number : Mỗi mục ACL có số dòng riêng của mình.

 extended: Sử dụng khi bạn xác định cả hai nguồn và địa chỉ đích trong ACL

 deny|permit :Xác định liệu lưu lượng truy cập cụ thể được phép hoặc bị

từ chối

 protocol: Chỉ địnhgiao thức giao thông(IP, TCP, UDP, vv).

 source_address mask: Chỉ định địa chỉ IP nguồn và subnet mask Nếu

đó là một địa chỉ IP duy nhất, bạn có thể sử dụng từ khoá"host" mà không có mặt nạ Bạn cũngcó thể sử dụng từ khóa "any" để chỉ định bất kỳ địa chỉ

 [operator source_port]: Chỉ định số cổng nguồn của lưu lượng có

nguồn gốc Các từ khóa"operator" có thể được "lt" (ít hơn), "gt" (lớn hơn), "eq" (tương đương), "neq" (Khôngbằng), "phạm vi" (phạm vi port) Nếu source_port không được quy định cụ thể, tường lửa phù hợp với tấtcả các port

 dest_address mask: đây là địa chỉ IP đích và subnet mask Bạn có thể

sử dụng những từ khóa “host” hoặc “any”

 [operator dest_port]: Chỉ định số cổng đích mà các nguồn lưu lượng

truy cập vào Các từ khóa"operator" có thể được"lt" (ít hơn), "gt" (lớn hơn), "eq" (tương đương),"Neq" (không bằng), "range" (range of port) Nếu không có dest-port được quy định cụ thể, các bức tường lửa kết hợp tất cả các cổng

Các ví dụ ACL dưới đây sẽ cung cấp cho chúng ta một hình dung tốt hơn của lệnh cấu hình :

ciscoasa(config)# access-list DMZ_IN extended permit ip any any

ciscoasa(config)# access-group DMZ_IN in interface DMZ

Các lệnh cấu hình trên sẽ cho tất cả các lưu lượng mạng thông qua tường lửa

ciscoasa(config)# access-list INSIDE_IN extended deny tcp 192.168.1.0 255.255.255.0 200.1.1.0 255.255.255.0

ciscoasa(config)# access-list INSIDE_IN extended deny tcp 192.168.1.0 255.255.255.0 host 210.1.1.1 eq 80

ciscoasa(config)# access-list INSIDE_IN extended permit ip any any

ciscoasa(config)# access-group INSIDE_IN in interface inside

Ví dụ trên sẽ từ chối tất cả lưu lượng truy cập TCP từ 192.168.1.0/24 mạng nội bộ của chúng tôi đối với 200.1.1.0/24 mạng bên ngoài.Ngoài ra, nó sẽ từ chối

kết nối HTTP(port80) từ nội bộ của chúng tôi mạng lưới các máy chủbên ngoài210.1.1.1 Tất cả các kết nối khác sẽ được cho phép từ bên trong.

ciscoasa(config)# access-list OUTSIDE_IN extended permit tcp any host 100.1.1.1

eq 80

ciscoasa(config)# access-group OUTSIDE_IN in interface outside

Lệnh cấu hìnhACL trên sẽ cho phép bất kỳ máy chủ trên Internet để truy cập vào máy chủ Web Server của chúng tôi(100.1.1.1)

Chú ý rằng địa chỉ 100.1.1.1 là địa chỉ công cộng toàn cầu của máy chủ web của chúng ta

e VPN

a Giới thiệu

VPN là cụm từ viết tắt của Virtual Private Network, về cơ bản đây là kết nối

từ 1 vị trí này tới vị trí khác để hình thành mô hình mạng LAN với những dịch vụ

hỗ trợ như email, intranet chỉ được truy cập khi người dùng khai báo đúng các thông tin đã được thiết lập sẵn

Các thiết bị Cisco ASA, ngoài chức năng tường lửa cốt lõi của chúng, có thể được sử dụng kết nối bảo mật mạng LAN từ xa (VPN Site-to-Site) hoặc cho phép remote user/teleworkers an toàn giao tiếp với mạng công ty của họ(VPN Remote Access)

Cisco hỗ trợ một số dạng VPN trên ASA nhưng nói chung là phân ra 2 loại hoặc là "IPSec VPNs " hoặc "SSL VPNs" Các thể loại đầu tiên sử dụng giao thức IPSec để bảo mật thông tin trong khi loại thứ hai sử dụng SSL SSL VPN còn được gọi là WebVPN trong thuật ngữ của Cisco Hai điểm chung VPN được hỗ trợ bởi Cisco ASA được tiếp tục chia thành các công nghệ VPN sau

 IPSec Based VPNs:

 Lan-to-Lan IPSec VPN: Được sử dụng để kết nối các mạng LAN từ

xa thông qua phương tiện truyền thông không an toàn (e.g Internet) Nó chạy giữa ASA-to-ASA hoặc Router ASA-to-Cisco

 Remote Access with IPSec VPN Client: Một phần mềm VPN client được cài đặt trên máy tính của người dùng để cung cấp truy cập từ xa vào mạng trung tâm.Sử dụng giao thức IPSec và cung cấp kết nối mạng đầy đủ để kết nối người dùng từ xa Người sử dụng sử dụng các ứng dụng của họ tại các trang web trung tâm như thông thường mà không có một VPN tại chỗ

 SSL Based VPNs (WebVPN):

 Clientless Mode WebVPN: Đây là triển khai đầu tiên WebVPN SSL hỗ trợ từ ASA phiên bản 7.0 và sau đó Nó cho phép người dùng thiết lập bảo mật từ xatruy cập VPN đường hầm bằng cách sử dụng chỉ là một trình duyệt Web Không cần cho một phần mềm hoặc phần cứng nào Tuy nhiên, chỉ các ứng dụng giới hạn

có thể được truy cập từ xa