Tài liệu Chương 5: MỘT SỐ CHỨC NĂNG KHÁC CỦA PIXFIREWALL ppt

Mặc định PIX sẽ kiểm tra các kết nối port 25 cho lưu lượng Nếu các SMTP server sử dụng nhiều port khác ngoài port 25 phải sử dụng câu lệnh [no] fixup protocol smtp [ [-]] Mục tiêu chín

Bài Viết Về PIX FIREWALL

Tác giả: Nguyễn Thị Băng Tâm

Chương 5: MỘT SỐ CHỨC NĂNG KHÁC CỦA PIXFIREWALL

DNS Guard có những đặc điểm sau :

- Chỉ chấp nhận các replies nào đúng địa chỉ IP

- Chỉ chấp nhận một reply Trong trường hợp có nhiều

ngoại trừ reply đầu tiên , tất cả các replies sẽ bị loại bỏ

- Kết nối UDP tương ứng với kết nối DNS sẽ bị loại bỏ

Để hiểu rõ hơn hoạt động của DNS Guard , ta xem xét ví dụsau :

Client (có địa chỉ 192.168.0.1) và Web server

reply đó (đó là 1.2.3.4 chuyển thành 192.168.0.5)

 NOTE : không thể tắt tính năng DNS Guard cũng như thay

trị mặc định là port 53 của DNS trong PIX

và client có thể được phép làm và xem gì ?

SMPT là một giao thức dựa trên telnet , được thiết kế choviệc

truyền thư điện tử giữa các server Client gửi các commandđến

server , server trả lời lại bằng các status messages và một

số thông tin phụ thêm Các command được phép đến mail server đó là : HELLO , MAIL , RCPT , DATA , RSET , NOOP , và QUIT

Mặc định PIX sẽ kiểm tra các kết nối port 25 cho lưu lượng

Nếu các SMTP server sử dụng nhiều port khác ngoài port 25

phải sử dụng câu lệnh

[no] fixup protocol smtp [<port> [-<port>]]

Mục tiêu chính của Mail Guard là hạn chế các command màclient

sử dụng đến mức thấp nhất (minimal set), trong khi vẫn

này khi server nhận được sẽ phát ra một error

c SYN flood Guard

Để bảo vệ các host bên trong tránh khỏi các cuộc tấn công

sử dụng câu lệnh static để giới hạn số lượng các kết nối

embryonic

được phép đến server

Cấu trúc của câu lệnh như sau :

Static(internal_if_name , external_if_name) global_ip

[max_conns[em_limit]]

 Internal_if_name : tên của interface mạng bên trong

 External_if_name : tên của interface mạng bên ngoài

 Global_ip : địa chỉ global ip cho interface bên ngoài Địa chỉ này không được là địa chỉ PAT

 Local_ip : địa chỉ local ip của mạng bên trong

 Netmask network_mask : là mask của địa chỉ global vàlocal

 Max_conns : số lượng kết nối tối đa được phép đến

thường chọn giá trị em_limit thấp hơn giá trị max_conns

Nếu trong câu lệnh static có cấu hình mức ngưỡng em_limit

Trong các version từ 5.2 trở lên , đã đưa ra một đặc điểm mới

là TCP Intercept TCP Intercept là phương pháp cải tiến

nào three-way handshake hoàn tất , kết nối đó mới được đưavề

trạng thái bình thường

Để bảo vệ các host bên ngoài từ các cuộc tấn công DoS và để giới hạn số lượng kết nối embryonic đến server , sử dụng

lệnh nat

Cấu trúc câu lệnh như sau :

nat [(if_name)] nat_id local_ip {netmask [max_conns [em_limit]]}

Sử dụng lệnh show local-host để xem số lượng các kết nối

được chứng thực thì khi có quá nhiều authentication requestlàm

cho nguồn tài nguyên của AAA quá tải dẫn đến dịch vụ bị từchối

– DoS

Floodguard command cho phép ta tự động bảo vệ nguồn tài

nguyên cho PIX firewall nếu hệ thống xác thực user bị quá

khác sẽ được dùng phụ thuộc vào mức độ cảnh báo theo thứ

Vì các fragment này có thể đến không theo thứ tự

Security check thứ hai là IP fragment phải có tốc độ là 100

đó một cách chi tiết , điểu khiển được dữ liệu và phát ra các bản báo cáo chi tiểt Remote logging cũng cho phép ta lưu tạm các sự kiện Để thực hiện được phương pháp này , PIX firewall sử dụng cơ chế syslog , đó là một trong các phương pháp phổ biến nhất để lưu và giữ lại các log messages , trong đó có một host sẽ gửi các syslog messages

và một server quản lí syslog , server này có thể là máy chủ

sử dụng hệ điều hành Window , Linux / UNIX PIX firewall

sẽ đóng vai trò như là một host gửi các syslog messages đến syslog server , syslog server quyết định sẽ đặt các bản tin này ở đâu còn tùy thuộc vào các software sử dụng cho server Syslog server có thể viết các bản tin này thành một file hoặc là gửi thông báo khẩn (alert ) đến một người nào đó bằng email hay tin nhắn

Mặc định PIX firewall sẽ tắt chức năng logging , để bật nólên

ta sử dụng câu lênh sau :

Pix (config)# logging on

Câu lệnh này cần thiết để bắt đầu logging tất cả các sự kiện

ở ngõ ra như ở buffer , terminal , hay là ở syslog server Tuy nhiên sau khi sử dụng lệnh này , ta vẫn phải chỉ ra hình

thức logging cụ thể Để tắt logging , sử dụng no logging on

(logging từ thiết bị đầu cuối )

- Buffered logging : Khi sử dụng phương pháp

tất cả các log messages được gửi đến một bộ đệm

bên trong PIX firewall

Để bật tính năng này lên , sử dụng câu lệnh sau :

Pix(config)# logging buffered <level>

Tham số level chỉ ra mức độ chi tiết mà ta muốn xem trong

các bản tin này sẽ xuất hiện ở cổng console của pix , tham sốnày

được dùng để giới hạn số lượng bản tin được log

Để xem các bản tin được giữ trong bộ đệm , sử dụng câu lệnh

show logging , câu lệnh này chỉ cấu hình logging cũng như

tin được giữ trong bộ đệm Lệnh clear logging cho phép ta

làm

sạch bộ đệm Hai lệnh trên được sử dụng ở enable mode

Ví dụ của lệnh show logging :

Pix # show logging

Syslog logging : enabled

Facility : 20

Timestamp logging : disabled

Standby logging : disabled

Console logging : level debugging , 37 messages loggedMonitor logging : disabled

Buffer logging : level debugging , 8 messages logged

Trap logging : disabled

History logging : disabled

 NOTE : Cisco đề nghị không nên bật tính năng bufferedlogging

vì sẽ làm giảm hoạt động của PIX

- Console logging : gửi các log messages đến

console ( cổng nối tiếp) của PIX firewall Để bật tínhnăng

này lên , sử dụng :

pix(config) # logging console <level>

Tham số level sử dụng giống như trong bufferlogging

- Terminal logging : gửi các log messages đến một

phiên

telnet hoặc SSH Để bật terminal logging , sử dụng :

pix(config) # logging monitor <level>

Bên cạnh bật chức năng này ở mode global , logging outputcùng

phải được bật trên mỗi phiên làm việc telnet hoặc SSH hiệntại

bằng cách sử dụng câu lệnh terminal monitor Để tắt nó ,

sử dụng terminal no monitor

b Remote logging : syslog

Như đã nói ở trước , logging trong pix mặc định là bị tắt đi ,

ta cần phải bật nó trên trước khi cấu hình logging cho pix

logging host [<interface>] <ip_address>

 Tham số interface chỉ ra interface mà ta muốn gửi cácbản

tin ra ngoài ,

 Tham số ip_address chỉ ra điạ chỉ của syslog server trên interface đó Nếu không chỉ ra interface nào cụ thể ,mặc

định là lấy inside interface

- Sẽ không có log messages nào được gửi đến syslog chođến

khi ta cấu hình mức độ logging sử dụng câu lệnh sau :

logging trap <level>

- Khi được cấu hình để sử dụng syslog , PIX firewall sẽgửi

log messages đến syslog server mặc định sử dụng UDP port 514 Ta có thể thay đổi mặc định này như sau :

logging host [<interface>] <ip_address> [tcp | udp / <port_number>]

Có thể cấu hình UDP hay là TCP cho syslog , tham số port_number là giá trị nằm trong khoảng 1025 đến 65535 TCP không phải là phương pháp chuẩn cho việc cấu hình syslog

vì hầu hết các syslog server không hỗ trợ Nếu sử dụng kết nối TCP cho syslog server , cần lưu ý là nếu syslog server

bị down thì tất cả lưu lượng trong mạng qua pix sẽ bị khóa Một lưu ý khác là khi cấu hình TCP syslog thì kết nối syslog sẽ chậm hơn UDP vì TCP phụ thuộc vào quá trình bắt tay 3 bước Điều này sẽ dẫn đến thêm overhead của kết nối và làm chậm việc gửi syslog messages đến server

- Đối với những pix có hỗ trợ tính năng failover ,

lệnh logging standby cho phép failover PIX gửi

syslog messages cho các log files được đồng bộ trong trường hợp stateful failover xảy ra

c logging level

Mặc dù lệnh logging có 8 level khác nhau được sử dụng trong pix (theo bảng ) , logging level 0 không được sử dụng Khi cấu hình logging , ta phải chỉ ra mức level có thể bằng

số hay bằng từ khóa Khi đó , PIX firewall ghi lại tất cả các sự kiện như nhau cho mức level được chỉ ra cũng như các level thấp hơn nó Ví dụ , level mặc định cho pix làlevel 3 (error) , thì pix cũng sẽ log các sự kiện ở level 2 , level 1 , và level 0

Ví dụ về các level được ghi lại :

d Logging facility

Mỗi syslog message có một số tiện ích (facility number) Có

24 facility khác nhau được xếp từ 0 đên 23 8 facility được

sử dụng phổ biến cho syslog là local0 đến local7 Facility cóvai trò giống như những ống dẫn dẫn dắt tiến trình syslog Tiến trình syslog sẽ đặt các messages vào đúng log file dựatrên facility Cấu hinh tính năng này như sau :

logging facility <facility_code>

Các facility_code được sắp xếp theo bảng sau :

3. Content Filtering

a Filtering URL với Websense

Có thể sử dụng access-list để cho phép hoặc từ chối truy cậpweb , nhưng nếu list các site ngày càng dài hơn , thì giải phápnày sẽ ảnh hưởng đến hoạt động của firewall Ngoài ra ,access-list không đưa ra được sự tiện lợi trong việc điềukhiển truy cập trong trường hợp này Ví dụ như nó khôngthể cho phép hoặc từ chối truy cập đến các trang cụ thể trongwebsite , mà là toàn bộ website được chỉ ra trong câu lệnhcủa nó Access-list cũng không có tác dụng đối với nhữngwebsite là những host ảo Ví dụ như có nhiều website thuộc

về cùng một server và tất của các website đó phải có địa chỉ

IP , do đó chỉ có thể cho phép hoặc từ chối truy cập đến tất cảcác website đó trong cùng một lúc

Pix đã đưa ra một giải pháp điều khiển truy cập web tốt hơn

và hiệu quả hơn đó là sử filtering URL thông qua mộtfiltering server Cụ thể như trong hình sau :

- khi một client thiết lập kết nối TCP đến Web server

- Client gửi HTTP request cho một trang trong server này

- Pix chặn request này và chuyển nó đến filtering server

- Filtering server sẽ quyết định xem client có được phéptruy cập đến trang đã yêu cầu hay không ?

- Nếu được , PIX sẽ chuyển request đến server và clientnhận được nội dung đã request

- Nếu không , request của client bị đánh rớt

Websense là một phần mềm cung cấp chức năng filtering choPIX firewall , giúp cho nhà quản trị mạng giám sát và điềukhiển lưu lượng mạng Websense được sử dụng để khóa cácURL mà PIX không thể khóa Websense quyết định là khóahay cho phép một URL nào đó dựa trên thông tin cấu hìnhcủa nó và Master Database Cấu hình Websense là đưa racác quy tắc filtering mà ta đã thiết lập trong Websense.Master Database là database của URL bị khóa Database nàyđược duy trì và cập nhập hằng ngày bởi Websense corporateoffice

Câu lệnh chỉ ra filtering server cho Websense là :

url-server <if_name> host <local_ip> [timeout <seconds>]

[protocol <tcp> | <udp>] [version 1 | 4]

Cấu hình Pix để làm việc với Websense :

Filter url http [local_ip local_mask foreign_ip

foreign_mask ] [allow]

b. Active Code Filtering

Active content trong các trang web có thể được xem là vấn

đề không mong muốn trong việc bảo mật PIX firewall cóthể lọc các active code , các active code này có thể được sửdụng trong các ứng dụng như Java hay ActiveX

PIX firewall hỗ trợ Java applet filer có thể dừng các ứngdụng Java nguy hiểm dựa trên user hay địa chỉ IP

Câu lệnh để filter java là :

Filter java port [- port] local_ip mask foreign_ip mask

ActiveX controls có thể gây ra các vấn đề bảo mật bởi vìchúng có thể đưa một cách nào đó cho hacker tấn công server PIX firewall có hỗ trợ tính năng khóa tất cả các activeXcontrols

filter activex port local_ip mask foreign_ip mask

4. Intruction Detection

PIX Firewall software version 5.2 trở về sau có khả năngphát hiện xâm nhập (IDS) Phát hiện xâm nhập là khả năngphát hiện sự tấn công mạng Có 3 loại tấn công vào mạng :

- Reconnaissance attack - Kẻ xâm nhập cố gắngphát hiện và sắp xếp hệ thống, dịch vụ hoặc các cho yếuđiểm

- Access attack - Kẻ xâm nhập tấn công mạng hoặc

hệ thống để lấy dữ liệu, tăng tốc độ truy cập và nâng caođặc quyền truy cập

- DoS attack -Kẻ xâm nhâ tấn công vào hệ thốngmạng bằng cách ga6 nguy hiểm hoặc làm hỏng các hệthống máy tính hoặc từ chối iệc truy cấp vào mạng, cácdịch vụ hoặc các hệ thống

PIX Firewall phát hiện xâm nhập bằng cách sử dụngsignature phát hiện xâm nhập Một signature là một tập cácnguyên tắc gắn liền với các hoạt động xâ nhập Với việc cho

phép phát hiện xâm nhập, PIX Firewall có thể phát hiệnsignature và truyền đáp ứng khi một tập các nguyên tắc được

so sánh với hoạt động của mạng Nó có thể giám sát các góicủa 53 signature phat hiện xâm nhập và được cấu hình để gởicảnh báo đến một Syslog server, drop packet hoặc reset lạikết nối 53 signature làmột tập con của các signature được hỗtrợ bởi Cisco Intrusion Detection System (CIDS)

PIX Firewall có thể phát hiện hai loại signature khác nhau:informational signature và attack signature Information classsignature là các signature mà được gây ra bởi hoạt độngthông thường của mạng mà bản thân nó xem như

vô hại nhưng có thể được dùng để xác định tính hiệu lực củaviệc tấn công Attack class signature là những signature màđược gây ra bởi một hoạt độg được biết, hoặc có thể dẫn đến,lấy lại dữ liệu không có thẩm quyển

a. Phát hiện xâm nhập trong PIX Firewall

Phát hiện xâm nhập được cho phép bởi lệnh ip audit Sử dụng lệnh ip audit kiểm tra các policy có thể được tạo để xác

định traffic mà được kiểm tra hoặc phân công các hoạt độngkhi một signature bị phát hiện Sau khi một policy được tạo

ra, nó có thể được đưa vào bất cứ interface nào

Mỗi interface có hai policy: một cho informational signature

và một cho attack signature Mỗi lần một policy của mộtclass signature được tạo ra và đưa vào interface, tất cả cácsignature được hỗ trợ của class đó được giám sát trừ khi

disable chúng với lệnh ip audit signature disbale

PIX Firewall hỗ trợ cả inbound và outbound auditing.Auditing thự hiện bằng cách nhìn vào các gói IP đến tại mộtinput interface Ví dụ, nếu một attack policy được đưa vàomột outside interface, attack signature được gây ra khi attacktraffic đến tại outside interface ở hướng vào, kể cả inbound

traffic hoặc return traffic từmột kết nối outbound

b Cấu hình IDS

Dùng lệnh ip audit để cấu hình IDS signature Đầu tiên tạo

ra một policy với lệnh ip audit name và sau đó đưa policy này đến một interface với lệnh ip audit interface

Có hai lệnh ip auit name khác nhau: ip audit name info

và ip audit name attack Lệnh ip audit name info được

dùng để tạo ra các policy của các signature được phân loạinhư thông tin Tất cả informational signature, trừ những cái

bị loại bỏ bởi lệnh ip audit signature, trở thành một phầncủa policy Lệnh ip audit name attack thực hiện cùng chứcnăng với signature được phân loại như attack signature

Lệnh ip audit name cũng cho phép chỉ rõ các hoạt động

khi signature được gây ra nếu một policy được định nghĩa

mà không có các hoạt động, hoạt động mặc định có hiệuquả

Lệnh no ip audit name được dùng để bỏ một audit policy Lệnh sh ip audit name miêu tả các audit policy Để

bỏ một policy từ một interface, sử dụng lệnh no ip audit interface Để miêu tả cấu hình inteface, sử dụng lệnh sh ip audit interface

5 Failover

Chức năng failover của PIX firewall cung cấp độ dự phòngtrong trường hợp một PIX bị hư , pix kia ngay lập tức đóngvai trò của Pix bị hư đó

Failover làm việc với 2 , và chính xác là chỉ 2 , firewall Haifirewall này phải :

- có model giống nhau (ví dụ pix 515 không thể sử dụngcùng với pix 515E )

- dung lượng Flash và RAM phải giống nhau

- có cùng số lượng interface và các loại interface

- Cùng loại activation key

- Primary firewall phải chạy unrestricted license

- Secondary firewall phải chạy hoặc là unrestricted hoặc

là failover license