Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc Chương 10: Triển khai thiết bị bảo mật thích ứng Cisco (ASA) Mục tiêu Trong chương này, bạn sẽ:  Giải thích ASA tường lửa trạng thái nâng cao  Mô tả loại tường lửa  Mơ tả cấu hình mặc định ASA 5505  Triển khai cấu hình tường lửa ASA  Định cấu hình ASA để cung cấp dịch vụ tường lửa ASDM  Giải thích cấu hình danh sách truy cập nhóm đối tượng ASA  Cấu hình ASA để cung cấp dịch vụ NAT  Cấu hình điều khiển truy cập cách sử dụng sở liệu cục máy chủ AAA  Mơ tả cấu hình Khung sách mô-đun (MPF) ASA  Triển khai VPN SSL AnyConnect VPN SSL khơng có client ASA Tổng quan ASA  Loại nhánh thích hợp cho giải pháp tường lửa IOS?  Nhược điểm giải pháp tường lửa IOS gì? Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc  ASA thiết bị tường lửa độc lập thành phần kiến trúc Cisco SecureX  Tất sáu mơ hình ASA cung cấp tính tường lửa trạng thái tiên tiến chức VPN  Sự khác biệt lớn mơ hình lưu lượng truy cập tối đa xử lý thông lượng lưu lượng truy cập tối đa mơ hình xử lý mơ hình số lượng loại giao diện  Việc lựa chọn mơ hình ASA phụ thuộc vào yêu cầu tổ chức, chẳng hạn thông lượng tối đa, kết nối tối đa giây ngân sách  Phần mềm ASA kết hợp tường lửa, tập trung VPN chức ngăn chặn xâm nhập vào hình ảnh phần mềm  Trước đây, chức có sẵn ba thiết bị riêng biệt, thiết bị có phần mềm phần cứng riêng PIX VPN concentrator IDS6 Các tính nâng cao khác ASA bao gồm: ASA ảo hóa Sẵn sàng cao với chuyển đổi dự phòng Identity firewall Điều khiển kiểm soát ngăn chặn dịch vụ Tất mơ hình ASA cấu hình quản lý giao diện dòng lệnh Trình quản lý thiết bị bảo mật thích ứng (ASDM) Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc  Theo mặc định, ASA xử lý giao diện bên xác định mạng tin cậy giao diện bên xác định mạng không đáng tin cậy  Mỗi giao diện có mức độ bảo mật liên quan  Một ASA cung cấp giống tính ZPF / CBAC cấu hình khác rõ ràng từ cấu hình router ZPF IOS Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc  ASA tường lửa trạng thái Nó theo dõi trạng thái kết nối mạng TCP UDP qua  Tất lưu lượng chuyển tiếp thông qua ASA kiểm tra Thuật tốn bảo mật thích ứng phép qua bị loại bỏ     Đường dẫn quản lý phiên? Đường dẫn điều khiển plane? Kiểm tra lớp 7? Đường dẫn nhanh? Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc  Hầu hết thiết bị ASA cài sẵn với giấy phép Cơ sở giấy phép An ninh Plus  Để cung cấp tính bổ sung cho ASA, bạn mua thêm giấy phép theo thời gian tùy chọn  Việc kết hợp giấy phép bổ sung với giấy phép cài đặt sẵn tạo giấy phép vĩnh viễn Giấy phép vĩnh viễn tạo giấy phép vĩnh viễn Giấy phép vĩnh viễn sau kích hoạt cách cài đặt khóa kích hoạt vĩnh viễn lệnh kích hoạt  Chỉ cài đặt khóa cấp phép vĩnh viễn sau cài đặt, gọi giấy phép chạy  Để xác minh thông tin giấy phép thiết bị ASA, sử dụng phiên hiển thị lệnh phím kích hoạt chương trình Đinh Hữu Hồng_Nguyễn Thị Thu Cúc Các tính ASA 5505  Cisco ASA 5505 thiết bị bảo mật đầy đủ tính dành cho doanh nghiệp nhỏ, văn phòng chi nhánh môi trường làm việc từ xa doanh nghiệp  Nó cung cấp tường lửa hiệu suất cao, SSL VPN, IPsec VPN dịch vụ mạng phong phú thiết bị mơ-đun, plug-and-play Đinh Hữu Hồng_Nguyễn Thị Thu Cúc Cấp độ bảo mật  Mức độ bảo mật xác định mức độ tin cậy giao diện Cấp độ cao, giao diện đáng tin cậy Số cấp độ bảo mật nằm khoảng từ (không đáng tin cậy) đến 100 (rất đáng tin cậy)  Mỗi giao diện hoạt động phải có tên mức bảo mật từ (thấp nhất) đến 100 (cao nhất) định Cấp độ bảo mật giúp kiểm sốt: Truy cập mạng Cơng cụ kiểm tra Lọc Trên ASA 5505, tham số Lớp cấu hình giao diện ảo chuyển mạch (SVI) Một SVI, giao diện VLAN hợp lý, yêu cầu tên, mức độ bảo mật giao diện địa IP Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc Triển khai ASA 5505 ASA 5505 thường sử dụng thiết bị bảo mật cạnh kết nối doanh nghiệp nhỏ với thiết bị ISP, chẳng hạn DSL modem cáp, để truy cập Internet Các tính ASA 5510 Đinh Hữu Hồng_Nguyễn Thị Thu Cúc Cấu hình mặc định ASA 5510 trở lên Cấu hình mặc định bao gồm: Giao diện quản lý, Quản lý 0/0, cấu hình sẵn với địa IP 192.168.1.1 mặt nạ 255.255.255.0 Máy chủ DHCP kích hoạt ASA, máy tính kết nối với giao diện nhận địa 192.168.1.2 192.168.1.254 Máy chủ HTTP bật cho ASDM truy cập người dùng mạng 192.168.1.0 Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc Chế độ truy cập ASA Chế độ EXEC người dùng -ciscoasa> en Chế độ EXEC đặc quyền -ciscoasa# config t Chế độ cấu hình chung -ciscoasa(config)# Các chế độ cấu hình phụ khác nhau, ví dụ - ciscoasa(config-if)# Chế độ ROMMON -ROMMON> ASA Access Modes IOS and ASA Commands Không giống ISR, ASA thực sau: Thực lệnh ASA CLI lời nhắc chế độ cấu hình Tài liệu IOS không yêu cầu công nhận Cung cấp mô tả ngắn gọn cú pháp lệnh trợ giúp nhập theo sau lệnh Ngắt hiển thị đầu lệnh Q IOS yêu cầu sử dụng Ctrl + C (^ C) Đinh Hữu Hồng_Nguyễn Thị Thu Cúc Cấu hình mặc định  ASA 5505 có cấu hình mặc định, hầu hết trường hợp, đủ để triển khai SOHO  Cấu hình bao gồm hai mạng VLAN cấu hình sẵn: VLAN1 VLAN2 VLAN dành cho mạng bên VLAN dành cho mạng bên ngồi  ASA khơi phục cấu hình mặc định nhà máy cách sử dụng lệnh cấu hình cấu hình mặc định tồn cục nhà máy Xóa cấu hình khởi động lại  Cấu hình khởi động ASA xóa cách sử dụng lệnh xóa viết lại  Lưu ý: Không giống router IOS, ASA không nhận lệnh xóa cấu hình khởi động  Sau khởi động lại, ASA hiển thị lời nhắc sau "Đặt cấu hình tường lửa thơng qua lời nhắc tương tác [có]?" Đinh Hữu Hồng_Nguyễn Thị Thu Cúc Configuration Management Settings and Services  Configure Basic Settings  Configure the Interfaces Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc  Cấu hình Default Route  Chú ý: Khơng giống ISR, ASA thực lệnh ASA CLI lời nhắc chế độ cấu hình Lệnh IOS làm không cần thiết cơng nhận  Configure Telnet Access Đinh Hữu Hồng_Nguyễn Thị Thu Cúc  Configure NTP Services  Configure DHCP Services Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc Giới thiệu ASDM  Giao diện quản lý phụ thuộc vào mơ hình ASA: Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc - Cisco ASA 5505 - Cổng chuyển đổi quản lý cổng nào, ngoại trừ Ethernet 0/0 Cisco ASA 5510 trở lên - Giao diện kết nối Management 0/0 Lưu ý: Để loại bỏ vô hiệu hóa dịch vụ máy chủ ASA HTTP, sử dụng lệnh cấu hình tồn cục xóa cấu hình http ASDM Wizards Đinh Hữu Hồng_Nguyễn Thị Thu Cúc Nhóm đối tượng  Ưu điểm đối tượng sửa đổi, thay đổi tự động áp dụng cho tất quy tắc sử dụng đối tượng định Do đó, đối tượng giúp dễ dàng trì cấu hình Đinh Hữu Hồng_Nguyễn Thị Thu Cúc ACLs  ASA ACL khác với IOS ACL chỗ chúng sử dụng mặt nạ mạng (ví dụ: 255.255.255.0) thay mặt nạ ký tự đại diện (ví dụ: 0.0.0.255) Ngồi ra, hầu hết ASA ACL đặt tên thay đánh số Dịch vụ NAT ASA  ASA hỗ trợ NAT PAT địa cung cấp tĩnh động Access Control on an ASA Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc  ASA xác thực tất kết nối quản trị với ASA, bao gồm Telnet, SSH, giao diện điều khiển, ASDM sử dụng HTTPS EXEC đặc quyền  ASA ủy quyền cho mục sau: - Management commands - Network access - VPN access Chính sách dịch vụ ASA  Cấu hình khung sách mô-đun (MPF) định nghĩa quy tắc để áp dụng tính tường lửa, chẳng hạn kiểm tra lưu lượng QoS, cho lưu lượng truy cập qua ASA ASA Remote-Access VPN Options  Người dùng doanh nghiệp yêu cầu hỗ trợ cho thiết bị di động họ bao gồm điện thoại thông minh, máy tính bảng, máy tính xách tay nhiều nhà sản xuất hệ điều hành máy tính xách tay Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc  Cisco AnyConnect có sẵn cho tảng sau: - IOS devices (iPhone, iPad, and iPod Touch) - Android OS (select models) - BlackBerry–Windows Mobile 6.1 - HP webOS –HP webOS - Nokia Symbian Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc Clientless SSL VPN Configuring Clientless SSL VPN AnyConnect SSL VPN Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc Configuring AnyConnect SSL VPN Đinh Hữu Hoàng_Nguyễn Thị Thu Cúc