TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN BỘ MÔN MẠNG VÀ TRUYỀN THÔNG  BÁO CÁO MÔN HỌC AN TOÀN THÔNG TIN MẠNG t i:ĐỀ à Khai thác các chức năng của ASA Firewall trên GNS3 Sinh viên : Nguyễn Văn Hùng Nguyễn Phan Đình Phước Đặng Minh Trí Nhóm : 10B Người hướng dẫn : TS. Nguyễn Tấn Khôi Đà Nẵng 2011 Nguyễn Phan Đình Phước – Nguyễn Văn Hùng – Đặng Minh Trí NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN 4 Khai thác các chức năng ASA firewall trên GNS3 5 MỤC LỤC I. TỔNG QUAN VỀ TƯỜNG LỬA 8 A. GIỚI THIỆU TƯỞNG LỬA 8 B. PHÂN LOẠI: 8 C. CHỨC NĂNG CỦA FIREWALL .9 D. NHỮNG HẠN CHẾ CỦA FIREWALL 10 II. TƯỜNG LỬA CISCO ASA 10 1. GIỚI THIỆU .10 B. CÁC CHỨC NĂNG CƠ BẢN 11 i. Các chế độ làm việc .11 ii. Quản lí file .12 iii. Mức độ bảo mật (Security Level) 12 C. NETWORK ACCESS TRANSLATION(NAT) 14 a. Khái niệm .14 ii. Các kỹ thuật NAT .14 iii. NAT trên thiết bị ASA .17 VÍ DỤ: 18 18 D. ACCESS CONTROL LISTS(ACL) 18 E. VPN .21 a. Giới thiệu .21 CÓ BƯỚC TIẾN HÀNH BỞI CÁC THIẾT BỊ IPSEC: .22 ii. Site-to-site VPN 23 iii. Remote access VPN .23 iv. AnyConnect VPN .24 Cung cấp đầy đủ kết nối mạng tới người dùng ở xa.Firewall ASA, làm việc như một máy chủ WebVPN, gán một địa chỉ IP cho người dùng ở xa và người sử dụng mạng. Vì vậy, tất cả các giao thức IP và những ứng dụng thông qua đường hầm VPN mà không có bất kỳ vấn đề gì. Ví dụ, một người dùng ở xa, sau khi chứng thực thành công AnyConnect VPN, có thể mở một kết nối từ máy tính ở xa tới một Window Terminal Server bên trong mạng trung tâm. Mặc dù một client được yêu cầu cài đặt trên máy tính của người dùng, client này có thể được cung cấp tự động cho người sử dụng từ ASA. Người dùng có thể kết nối với một trình duyệt tới firewall asa và tải về client Java theo yêu cầu. Client java có thể vẫn còn được cài đặt hoặc bị loại bỏ từ máy tính của người sử dụng khi ngắt kết nối từ thiết bị ASA. Nguyễn Phan Đình Phước – Nguyễn Văn Hùng – Đặng Minh Trí Client này có kich cỡ nhỏ(khoảng 3 mb) và được lưu trữ trông bộ nhớ Flash của ASA .24 .25 Hình 11. Sơ đồ mạng mô tả kết nối AnyConnect VPN .25 Có hai lựa chọn cài đặt ban đầu cho khách hàng AnyConnect: 25  Các bước cấu hình AnyConnect VPN .25 F. ROUTING PROTOCOL .28 a. Khái niệm .28 ii. Các kỹ thuật định tuyến 29 Định tuyến tĩnh .29 CÓ 3 LOẠI ĐỊNH TUYẾN TĨNH: 29 DIRECTLY CONNECTED ROUTE: CÁC ĐƯỜNG KẾT NỐI TRỰC TIẾP ĐƯỢC TỰ ĐỘNG TẠO RA TRONG BẢNG ĐỊNH TUYẾN ASA KHI BẠN CẤU HÌNH MỘT ĐỊA CHỈ IP TRÊN MỘT GIAO DIỆN THIẾT BỊ .29 NORMAL STATIC ROUTE: CUNG CẤP ĐƯỜNG ĐI CỐ ĐỊNH VỀ MỘT MẠNG CỤ THỂ NÀO ĐÓ .29 DEFAULT ROUTE: DEFAULT ROUTE LÀ TUYẾN ĐƯỜNG MẶC ĐỊNH ĐƯỢC CẤU HÌNH TĨNH CỦA ROUTER LÀ NƠI MÀ KHI ROUTER NHẬN ĐƯỢC MỘT GÓI TÍN CẦN CHUYỂN ĐẾN MẠNG NÀO ĐÓ MÀ MẠNG ĐÓ KHÔNG CÓ TRONG BẢNG ĐỊNH TUYẾN CỦA ROUTER ĐÓ THÌ NÓ SẼ ĐẨY RA DEFAULT ROUTE .29 30 HÌNH 12. MÔ HÌNH MẠNG MÔ TẢ ĐỊNH TUYẾN TĨNH 30 G. DỰ PHÒNG ĐƯỜNG TRUYỀN SLA 31 H. CHUYỂN ĐỔI SỰ PHÒNG (FAILOVER) .31 a. Giới thiệu .31 ii. Phân loại Failover 32 iii. Triển khai Failover 32 III. TRIỂN KHAI CÁC TÍNH NĂNG ASA TRÊN GNS3 .35 1. MÔ HÌNH TRIỂN KHAI 35 a. Mô hình thực tế 35 ii. Mô hình trên GNS3 .35 B. CẤU HÌNH TRÊN ASA 36 a. Định tuyến 36 ii. Acess Control List .36 iii. NAT 37 iv. Giám sát đường truyền .37 6 Khai thác các chức năng ASA firewall trên GNS3 7 v. DHCP .38 Nguyễn Phan Đình Phước – Nguyễn Văn Hùng – Đặng Minh Trí I. Tổng quan về tường lửa a. Giới thiệu tưởng lửa Trong ngành mạng máy tính, bức tường lửa (firewall) là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ. Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là Thiết bị bảo vệ biên giới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO, hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của Đại học California, Berkeley. Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùng tin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạng Internet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao). Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậy khác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựa trên nguyên tắc quyền tối thiểu (principle of least privilege). Cấu hình đúng đắn cho các tường lửa đòi hỏi kĩ năng của người quản trị hệ thống. Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máy tính. Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng. Để có kiến thức xây dựng một tường lửa có các tính năng chống lại các yếu tố phá hoại đòi hỏi phải có trình độ chuyên nghiệp và kỹ năng trong việc bảo mật và an ninh. b. Phân loại: Các tường lửa được chia ra thành hai dạng: Firewall cứng (bên ngoài) và firewall mềm (bên trong). Trong đó cả hai đều có những nhược điểm và ưu điểm riêng. Quyết định lựa chọn loại tường lửa nào để sử dụng là khá quan trọng. • Firewall cứng: Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính hoặc mạng và cáp hoặc modem DSL. Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP) đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năng tường lửa. Tường lửa phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có mức bảo mật cao cho một máy tính đơn. Nếu bạn chỉ có một máy tính phía sau tường lửa, hoặc nếu bạn chắc chắn rằng tất cả các máy tính khác trên mạng được cập nhật các bản vá miễn phí về virus, worm và các mã nguy hiểm khác thì bạn không cần mở rộng sự bảo vệ của một phần mềm tường lửa. Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ điều hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công.Một số loại Firewall cứng như: ASA, PIX, Fortinet, Juniper… Đặc điểm của Firewall cứng:  Hoạt động ở tầng Network và tầng Transport 8 Khai thác các chức năng ASA firewall trên GNS3 9  Tốc độ xử lý  Tính bảo mật cao  Tính linh hoạt thấp  Khả năng nâng cấp thấp.  Không kiểm tra được nội dung gói tin Tuy nhiên hiện nay cũng có rất nhiều những firewall cứng có thể tích hợp nhiều chức năng. Ngoài làm chức năng tường lửa bảo mật, chúng còn kém theo các module khác như routing,vpn, … Hình 1. Mô hình Firewall cứng • Firewall mềm: Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạn không có thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần mềm hoặc các nhà cung cấp dịch vụ Internet.Một số Firewall mềm như ISA server,Zone Alarm, Norton firewall,các phần mềm antivirut hay các hệ điều hành đều có tính năng firewall… Đặc điểm:  Hoạt động ở tầng Application  Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.  Có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa). Hình 2. Mô hình Firewall mềm. c. Chức năng của Firewall  Kiểm soát luồng thông tin giữa Intranet và Internet Nguyễn Phan Đình Phước – Nguyễn Văn Hùng – Đặng Minh Trí  Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cụ thể là:  Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).  Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). Hình 3. Mô tả luồng dữ liệu vào ra giữa internet và intranet  Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.  Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.  Kiểm soát người sử dụng và việc truy nhập của người sử dụng.  Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng d. Những hạn chế của firewall  Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó.  Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ  Firewall không bảo vệ được các tấn công đi vòng qua nó. Ví dụ như thiết bị modems, tổ chức tin cậy, dịch vụ tin cậy (SSL/SSH).  Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data- drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.  Firewall không thể bảo vệ chống lại việc truyền các chương trình hoặc file nhiễm virut. II. Tường lửa Cisco ASA 1. Giới thiệu Tường lửa Cisco ASA là công nghệ mới nhất trong các giải pháp tường lửa được đưa ra bởi Cisco, hiện nay đang thay thế các tường lửa PIX rất tốt. ASA viết 10 Khai thác các chức năng ASA firewall trên GNS3 11 tắt của Adaptive Security Appliances, làm cả hai nhiệm vụ là một tường lửa và ứng dụng anti-malware. Cisco ASA hoạt động theo cơ chế giám sát gói theo trạng thái (Stateful Packet Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo mật(ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hay ứng dụng). Cho phép kết nối một chiều(outbuond-đi ra) với rất ít việc cấu hình. Một kết nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết bị trên mạng có mức bảo mật thấp hơn. Trạng thái được ghi nhận sẽ dùng để giám sát và kiểm tra gói trở về.Thay đổi ngẫu nhiên giá trị tuần tự (sequence number) trong gói TCP để giảm rủi ro của sự tấn công. Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy (trusted) hay mức bảo mật cao và cổng không tin cậy (untrusted) hay mức bảo mật thấp. Qui tắc chính cho múc bảo mật đó là thiết bị từ vùng tin cậy có thể truy cập được thiết bị truy cập vùng không tin cậy hay còn gọi là outbound. Ngược lại từ vùng bảo mật thấp không thể truy cập vùng bảo mật cao trừ khi được cho phép bởi ACL hay còn gọi là inbound. Mức bảo mật (Security Level) 100: Đây là mức bảo mật cao nhất, thường được gán cho cổng thuộc mạng bên trong (inside). Mức bảo mật 0: Đậ là mức bảo mật thấp nhất, thường được gán cho cổng mà kết nối ra Internet hay vùng không tin cậy còn gọi là vùng bên ngoài (outside). Mức bảo mật từ 1-99: Cho phép bạn sử dụng để gán cho những cổng còn lại nếu yêu cầu mở rộng vùng mạng. Do đó trong quá trình cấu hình thông tin cho cổng đảm bảo mỗi cổng được gán giá trị mức bảo mật dựa vào chính sách phân vùng bảo vệ của bạn thông qua câu lệnh security-level. b. Các chức năng cơ bản i. Các chế độ làm việc Firewall ASA có 4 chế độ làm việc chính:  Chế độ giám sát (Monitor Mode): Hiển thị dấu nhắc “monitor>”. Đây là chế độ đặc biệt cho phép bạn cập nhật các hình ảnh qua mạng hoặc khôi phục mật khẩu.Trong khi ở chế độ giám sát, bạn có thể nhập lệnh để xác định vị trí của một máy chủ TFTP và vị trí của hình ảnh phần mềm hoặc file hình ảnh nhị phân khôi phục mật khẩu để tải về.Bạn truy cập vào chế độ này bằng cách nhấn "Break" hoặc "ESC" chìa khóa ngay lập tức sau khi bật nguồn thiết bị.  Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc “>”. Chế độ này cung cấp tầm nhìn hạn chế của các thiết bị an ninh.Bạn không thể cấu hình bất cứ điều gì từ chế độ này.Để bắt đầu với cấu hình, lệnh đầu tiên bạn cần phải biết là lệnh enable. Đánh enable và nhấn Enter. Các mật khẩu ban đầu là trống, do đó, nhấn Enter một lần nữa để chuyển sang chế độ truy cập tiếp theo (Privileged Mode). Nguyễn Phan Đình Phước – Nguyễn Văn Hùng – Đặng Minh Trí  Chế độ đặc quyền (Privileged Mode): Hiển thị dấu nhắc “#”. Cho phép bạn thay đổi các thiết lập hiện hành.Bất kỳ lệnh trong chế độ không đặc quyền cũng làm việc trong chế độ này.Từ chế độ này, bạn có thể xem cấu hình hiện tại bằng cách sử dụng show running- config.Tuy nhiên, bạn không thể cấu hình bất cứ điều gì cho đến khi bạn đi đến chế độ cấu hình (Configuration Mode). Bạn truy cập vào chế độ cấu hình bằng cách sử dụng lệnh configure terminal từ chế độ đặc quyền.  Chế độ cấu hình (Configuration Mode): chế độ này hiển thị dấu nhắc “(config)#”. Cho phép bạn thay đổi tất cả thiết lập cấu hình hệ thống. Sử dụng exit từ mỗi chế độ để trở về chế độ trước đó. ii. Quản lí file Có hai loại file cấu hình trong các thiết bị an ninh Cisco: running- configuration và startup-configuration. Loại file đầu tiên running-configuration là một trong những file hiện đang chạy trên thiết bị, và được lưu trữ trong bộ nhớ RAM của firewall. Bạn có thể xem cấu hình này bằng cách gõ show running-config từ các chế độ Privileged. Bất kỳ lệnh mà bạn nhập vào firewall được lưu trực tiếp bằng trong running-config và có hiệu lực thi hành ngay lập tức. Kể từ khi cấu hình chạy được lưu trong bộ nhớ RAM, nếu thiết bị bị mất nguồn, nó sẽ mất bất kỳ thay đổi cấu hình mà không được lưu trước đó. Để lưu lại cấu hình đang chạy, sử dụng copy run start hoặc write memory. Hai lệnh này sẽ copy running-config vào startup-config cái mà được lưu trữ trong bộ nhớ flash. Loại thứ hai startup-configuration là cấu hình sao lưu của running- configuration. Nó được lưu trữ trong bộ nhớ flash, vì vậy nó không bị mất khi các thiết bị khởi động lại. Ngoài ra, startup-configuration được tải khi thiết bị khởi động. Để xem startup-configuration được lưu trữ, gõ lệnh show startup-config. iii. Mức độ bảo mật (Security Level) Security Level được gán cho interface (hoặc vật lý hay logical sub-interfaces) và nó cơ bản một số từ 0-100 chỉ định như thế nào tin cậy interface liên quan đến một interface khác trên thiết bị. Mức độ bảo mật cao hơn thì interface càng đáng tin cậy hơn (và do đó các mạng kết nối phía sau nó) được coi là, liên quan đến interface khác. Vì mỗi interface firewall đại diện cho một mạng cụ thể (hoặc khu vực an ninh), bằng cách sử dụng mức độ bảo mật, chúng ta có thể chỉ định mức độ tin tưởng khu vực an ninh của chúng ta. Các quy tắc chính cho mức độ bảo mật là một interface (hoặc zone) với một mức độ bảo mật cao hơn có thể truy cập vào một 12