91452056 nguyenphandinhphuoc nguyenvanhung dangminhtri lop 07t4 nhom 10b

7/16/2019 91452056 NguyenPhanDinhPhuoc NguyenVanHung DangMinhTri Lop 07T4 Nhom 10B

http://slidepdf.com/reader/full/91452056-nguyenphandinhphuoc-nguyenvanhung-dangminhtri-lop-07t4-nhom-10b 1/39

TRƯỜNG ĐẠI HỌC BÁCH KHOA

KHOA CÔNG NGHỆ THÔNG TIN

BỘ MÔN MẠNG VÀ TRUYỀN THÔNG

BÁO CÁO MÔN HỌC

AN TOÀN THÔNG TIN MẠNG

tài:ĐỀKhai thác các chức năng của ASA Firewall trên GNS3

Sinh viên : Nguyễn Văn Hùng

Nguyễn Phan Đình Phước

Đặng Minh Trí

Nhóm : 10B

Người hướng dẫn : TS. Nguyễn Tấn Khôi

Đà Nẵng 2011



Nguyễn Phan Đình Phước – Nguyễn Văn Hùng – Đặng Minh Trí

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

............................................................................................................................................................

4



Khai thác các chức năng ASA firewall trên GNS3 5

M C L CỤ Ụ

I. TỔNG QUAN VỀ TƯỜNG LỬA..................................................................8

A. GIỚI THIỆU TƯỞNG LỬA................................................................................8

B. PHÂN LOẠI: ..............................................................................................8C. CHỨC NĂNG CỦA FIREWALL..........................................................................9

D. NHỮNG HẠN CHẾ CỦA FIREWALL..................................................................10

II. TƯỜNG LỬA CISCO ASA........................................................................10

1. GIỚI THIỆU .............................................................................................10

B. CÁC CHỨC NĂNG CƠ BẢN............................................................................11

i. Các chế độ làm việc...........................................................................11

ii. Quản lí file.........................................................................................12

iii. Mức độ bảo mật (Security Level)....................................................12

C. NETWORK ACCESS TRANSLATION(NAT)......................................................14

a. Khái niệm...........................................................................................14

ii. Các kỹ thuật NAT.............................................................................14

iii. NAT trên thiết bị ASA.....................................................................17

VÍ DỤ:.......................................................................................................18

................................................................................................................18

D. ACCESS CONTROL LISTS(ACL)..................................................................18E. VPN.....................................................................................................21

a. Giới thiệu...........................................................................................21

CÓ BƯỚC TIẾN HÀNH BỞI CÁC THIẾT BỊ IPSEC:.................................................22

ii. Site-to-site VPN................................................................................23

iii. Remote access VPN.........................................................................23

iv. AnyConnect VPN.............................................................................24

Cung cấp đầy đủ kết nối mạng tới người dùng ở xa.Firewall ASA,làm việc như một máy chủ WebVPN, gán một địa chỉ IP cho người dùng ở xa và người sử dụng mạng. Vì vậy, tất cả các giao thức IP và những ứngdụng thông qua đường hầm VPN mà không có bất kỳ vấn đề gì. Ví dụ, mộtngười dùng ở xa, sau khi chứng thực thành công AnyConnect VPN, có thểmở một kết nối từ máy tính ở xa tới một Window Terminal Server bên trongmạng trung tâm. Mặc dù một client được yêu cầu cài đặt trên máy tính củangười dùng, client này có thể được cung cấp tự động cho người sử dụng từASA. Người dùng có thể kết nối với một trình duyệt tới firewall asa và tảivề client Java theo yêu cầu. Client java có thể vẫn còn được cài đặt hoặc bị

loại bỏ từ máy tính của người sử dụng khi ngắt kết nối từ thiết bị ASA.




Client này có kich cỡ nhỏ(khoảng 3 mb) và được lưu trữ trông bộ nhớ Flashcủa ASA...........................................................................................................24

...............................................................................................................25

Hình 11. Sơ đồ mạng mô tả kết nối AnyConnect VPN.......................25

Có hai lựa chọn cài đặt ban đầu cho khách hàng AnyConnect:..........25

Các bước cấu hình AnyConnect VPN.............................................25

F. R OUTING PROTOCOL..................................................................................28

a. Khái niệm...........................................................................................28

ii. Các kỹ thuật định tuyến....................................................................29

Định tuyến tĩnh.....................................................................................29

CÓ 3 LOẠI ĐỊNH TUYẾN TĨNH:........................................................................29

DIRECTLY CONNECTED R OUTE: CÁC ĐƯỜNG KẾT NỐI TRỰC TIẾP ĐƯỢC TỰ ĐỘNG TẠO RA TRONG BẢNG ĐỊNH TUYẾN ASA KHI BẠN CẤU HÌNH MỘT ĐỊA CHỈ IP TRÊN MỘT GIAO DIỆN THIẾT BỊ...............................................................................................................29

NORMAL STATIC R OUTE: CUNG CẤP ĐƯỜNG ĐI CỐ ĐỊNH VỀ MỘT MẠNG CỤ THỂ NÀO ĐÓ.......................................................................................................................29

DEFAULT R OUTE: DEFAULT ROUTE LÀ TUYẾN ĐƯỜNG MẶC ĐỊNH ĐƯỢC CẤU HÌNH TĨNH CỦA ROUTER LÀ NƠI MÀ KHI ROUTER NHẬN ĐƯỢC MỘT GÓI TÍN CẦN CHUYỂN ĐẾN MẠNG NÀO ĐÓ MÀ MẠNG ĐÓ KHÔNG CÓ TRONG BẢNG ĐỊNH TUYẾN CỦA ROUTER ĐÓ THÌ NÓ SẼ ĐẨY RA DEFAULT ROUTE.....................................................................................................29

................................................................................................................30HÌNH 12. MÔ HÌNH MẠNG MÔ TẢ ĐỊNH TUYẾN TĨNH..........................................30

G. DỰ PHÒNG ĐƯỜNG TRUYỀN SLA.................................................................31

H. CHUYỂN ĐỔI SỰ PHÒNG (FAILOVER ).............................................................31

a. Giới thiệu...........................................................................................31

ii. Phân loại Failover..............................................................................32

iii. Triển khai Failover ..........................................................................32

III. TRIỂN KHAI CÁC TÍNH NĂNG ASA TRÊN GNS3.............................35

1. MÔ HÌNH TRIỂN KHAI................................................................................35

a. Mô hình thực tế..................................................................................35

ii. Mô hình trên GNS3...........................................................................35

B. CẤU HÌNH TRÊN ASA...............................................................................36

a. Định tuyến..........................................................................................36

ii. Acess Control List.............................................................................36

iii. NAT..................................................................................................37

iv. Giám sát đường truyền.....................................................................37

6




v. DHCP.................................................................................................38




I. Tổng quan về tường lửa

a. Giới thiệu tưởng lửa

Trong ngành mạng máy tính, bức tường lửa (firewall) là rào chắn mà một sốcá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn ngườidùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặnngười dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ.

Tường lửa là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trongmột môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chínhsách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bứctường ngăn lửa trong các tòa nhà. Tường lửa còn được gọi là Thiết bị bảo vệ biêngiới (Border Protection Device - BPD), đặc biệt trong các ngữ cảnh của NATO,hay bộ lọc gói tin (packet filter) trong hệ điều hành BSD - một phiên bản Unix của

Đại học California, Berkeley. Nhiệm vụ cơ bản của tường lửa là kiểm soát giao thông dữ liệu giữa hai vùngtin cậy khác nhau. Các vùng tin cậy (zone of trust) điển hình bao gồm: mạngInternet (vùng không đáng tin cậy) và mạng nội bộ (một vùng có độ tin cậy cao).Mục đích cuối cùng là cung cấp kết nối có kiểm soát giữa các vùng với độ tin cậykhác nhau thông qua việc áp dụng một chính sách an ninh và mô hình kết nối dựatrên nguyên tắc quyền tối thiểu (principle of least privilege).

Cấu hình đúng đắn cho các tường lửa đòi hỏi kĩ năng của người quản trị hệthống. Việc này đòi hỏi hiểu biết đáng kể về các giao thức mạng và về an ninh máytính. Những lỗi nhỏ có thể biến tường lửa thành một công cụ an ninh vô dụng. Để

có kiến thức xây dựng một tường lửa có các tính năng chống lại các yếu tố phá hoạiđòi hỏi phải có trình độ chuyên nghiệp và kỹ năng trong việc bảo mật và an ninh.

b. Phân loại:

Các tường lửa được chia ra thành hai dạng: Firewall cứng (bên ngoài) vàfirewall mềm (bên trong). Trong đó cả hai đều có những nhược điểm và ưu điểmriêng. Quyết định lựa chọn loại tường lửa nào để sử dụng là khá quan trọng.

• Firewall cứng:

Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy

tính hoặc mạng và cáp hoặc modem DSL. Nhiều hãng và nhà cung cấp dịch vụInternet (ISP) đưa ra các thiết bị “router” trong đó cũng bao gồm các tính năngtường lửa. Tường lửa phần cứng được sử dụng có hiệu quả trong việc bảo vệ nhiềumáy tính mà vẫn có mức bảo mật cao cho một máy tính đơn. Nếu bạn chỉ có mộtmáy tính phía sau tường lửa, hoặc nếu bạn chắc chắn rằng tất cả các máy tính kháctrên mạng được cập nhật các bản vá miễn phí về virus, worm và các mã nguy hiểmkhác thì bạn không cần mở rộng sự bảo vệ của một phần mềm tường lửa. Tườnglửa phần cứng có ưu điểm trong việc phân chia các thiết bị đang chạy trên hệ điềuhành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn công.Một số loạiFirewall cứng như: ASA, PIX, Fortinet, Juniper…

Đặc điểm của Firewall cứng: Hoạt động ở tầng Network và tầng Transport

8




Tốc độ xử lý

Tính bảo mật cao

Tính linh hoạt thấp

Khả năng nâng cấp thấp.

Không kiểm tra được nội dung gói tin

Tuy nhiên hiện nay cũng có rất nhiều những firewall cứng có thể tích hợp nhiềuchức năng. Ngoài làm chức năng tường lửa bảo mật, chúng còn kém theo cácmodule khác như routing,vpn, …

Hình 1. Mô hình Firewall cứng

• Firewall mềm:

Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của bạnkhông có thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phầnmềm hoặc các nhà cung cấp dịch vụ Internet.Một số Firewall mềm như ISAserver,Zone Alarm, Norton firewall,các phần mềm antivirut hay các hệ điều hànhđều có tính năng firewall…

Đặc điểm:

Hoạt động ở tầng Application

Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.

Có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).

Hình 2. Mô hình Firewall mềm.

c. Chức năng của Firewall

Kiểm soát luồng thông tin giữa Intranet và Internet




Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet)và mạng Internet. Cụ thể là:

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet raInternet).

Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từInternet vào Intranet).

Hình 3. Mô tả luồng dữ liệu vào ra giữa internet và intranet

Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.

Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

Kiểm soát người sử dụng và việc truy nhập của người sử dụng.

Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

d. Những hạn chế của firewall

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loạithông tin và phân tích nội dung tốt hay xấu của nó.

Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tinkhông mong muốn nhưng phải xác định rõ các thông số địa chỉ

Firewall không bảo vệ được các tấn công đi vòng qua nó. Ví dụ như thiết bịmodems, tổ chức tin cậy, dịch vụ tin cậy (SSL/SSH).

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack). Khi có một số chương trình được chuyển theo thư điện tử, vượt quafirewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây.

Firewall không thể bảo vệ chống lại việc truyền các chương trình hoặc filenhiễm virut.

II. Tường lửa Cisco ASA

1. Giới thiệu

Tường lửa Cisco ASA là công nghệ mới nhất trong các giải pháp tường lửađược đưa ra bởi Cisco, hiện nay đang thay thế các tường lửa PIX rất tốt. ASA viết

10




tắt của Adaptive Security Appliances, làm cả hai nhiệm vụ là một tường lửa vàứng dụng anti-malware.

Cisco ASA hoạt động theo cơ chế giám sát gói theo trạng thái (StatefulPacket Inspection), thực hiện điều khiển trạng thái kết nối khi qua thiết bị bảo

mật(ghi nhận trạng thái của từng gói thuộc kết nối xác định theo loại giao thức hayứng dụng). Cho phép kết nối một chiều(outbuond-đi ra) với rất ít việc cấu hình.Một kết nối đi ra là một kết nối từ thiết bị trên cổng có mức bảo mật cao đến thiết

bị trên mạng có mức bảo mật thấp hơn.

Trạng thái được ghi nhận sẽ dùng để giám sát và kiểm tra gói trở về.Thay đổingẫu nhiên giá trị tuần tự (sequence number) trong gói TCP để giảm rủi ro của sựtấn công.

Hoạt động theo kiến trúc phân vùng bảo mật dựa theo cổng, cổng tin cậy(trusted) hay mức bảo mật cao và cổng không tin cậy (untrusted) hay mức bảo mậtthấp. Qui tắc chính cho múc bảo mật đó là thiết bị từ vùng tin cậy có thể truy cập

được thiết bị truy cập vùng không tin cậy hay còn gọi là outbound. Ngược lại từvùng bảo mật thấp không thể truy cập vùng bảo mật cao trừ khi được cho phép bởiACL hay còn gọi là inbound.

Mức bảo mật (Security Level) 100: Đây là mức bảo mật cao nhất, thườngđược gán cho cổng thuộc mạng bên trong (inside).

Mức bảo mật 0: Đậ là mức bảo mật thấp nhất, thường được gán cho cổng màkết nối ra Internet hay vùng không tin cậy còn gọi là vùng bên ngoài (outside).

Mức bảo mật từ 1-99: Cho phép bạn sử dụng để gán cho những cổng còn lạinếu yêu cầu mở rộng vùng mạng.

Do đó trong quá trình cấu hình thông tin cho cổng đảm bảo mỗi cổng đượcgán giá trị mức bảo mật dựa vào chính sách phân vùng bảo vệ của bạn thông quacâu lệnh security-level .

b. Các chức năng cơ bản

i. Các chế độ làm việc

Firewall ASA có 4 chế độ làm việc chính:

Chế độ giám sát (Monitor Mode): Hiển thị dấu nhắc “monitor>”.

Đây là chế độ đặc biệt cho phép bạn cập nhật các hình ảnh qua mạnghoặc khôi phục mật khẩu.Trong khi ở chế độ giám sát, bạn có thểnhập lệnh để xác định vị trí của một máy chủ TFTP và vị trí của hìnhảnh phần mềm hoặc file hình ảnh nhị phân khôi phục mật khẩu để tảivề.Bạn truy cập vào chế độ này bằng cách nhấn "Break" hoặc "ESC"chìa khóa ngay lập tức sau khi bật nguồn thiết bị.

Chế độ không đặc quyền (Unprivileged Mode): Hiển thị dấu nhắc“>”. Chế độ này cung cấp tầm nhìn hạn chế của các thiết bị anninh.Bạn không thể cấu hình bất cứ điều gì từ chế độ này.Để bắt đầuvới cấu hình, lệnh đầu tiên bạn cần phải biết là lệnh enable. Đánh

enable và nhấn Enter. Các mật khẩu ban đầu là trống, do đó, nhấn




Enter một lần nữa để chuyển sang chế độ truy cập tiếp theo(Privileged Mode).

Chế độ đặc quyền (Privileged Mode): Hiển thị dấu nhắc “#”. Cho phép bạn thay đổi các thiết lập hiện hành.Bất kỳ lệnh trong chế độ

không đặc quyền cũng làm việc trong chế độ này.Từ chế độ này, bạncó thể xem cấu hình hiện tại bằng cách sử dụng show running-config.Tuy nhiên, bạn không thể cấu hình bất cứ điều gì cho đến khi

bạn đi đến chế độ cấu hình (Configuration Mode). Bạn truy cập vàochế độ cấu hình bằng cách sử dụng lệnh configure terminal từ chế độđặc quyền.

Chế độ cấu hình (Configuration Mode): chế độ này hiển thị dấu nhắc“(config)#”. Cho phép bạn thay đổi tất cả thiết lập cấu hình hệ thống.Sử dụng exit từ mỗi chế độ để trở về chế độ trước đó.

ii. Quản lí file

Có hai loại file cấu hình trong các thiết bị an ninh Cisco: running-configuration và startup-configuration.

Loại file đầu tiên running-configuration là một trong những file hiện đangchạy trên thiết bị, và được lưu trữ trong bộ nhớ RAM của firewall. Bạn có thể xemcấu hình này bằng cách gõ show running-config từ các chế độ Privileged. Bất kỳlệnh mà bạn nhập vào firewall được lưu trực tiếp bằng trong running-config và cóhiệu lực thi hành ngay lập tức. Kể từ khi cấu hình chạy được lưu trong bộ nhớ RAM, nếu thiết bị bị mất nguồn, nó sẽ mất bất kỳ thay đổi cấu hình mà không đượclưu trước đó. Để lưu lại cấu hình đang chạy, sử dụng copy run start hoặc write

memory. Hai lệnh này sẽ copy running-config vào startup-config cái mà được lưutrữ trong bộ nhớ flash.

Loại thứ hai startup-configuration là cấu hình sao lưu của running-configuration. Nó được lưu trữ trong bộ nhớ flash, vì vậy nó không bị mất khi cácthiết bị khởi động lại. Ngoài ra, startup-configuration được tải khi thiết bị khởiđộng. Để xem startup-configuration được lưu trữ, gõ lệnh show startup-config .

iii. Mức độ bảo mật (Security Level)

Security Level được gán cho interface (hoặc vật lý hay logical sub-interfaces)và nó cơ bản một số từ 0-100 chỉ định như thế nào tin cậy interface liên quan đến

một interface khác trên thiết bị. Mức độ bảo mật cao hơn thì interface càng đángtin cậy hơn (và do đó các mạng kết nối phía sau nó) được coi là, liên quan đến

12




interface khác. Vì mỗi interface firewall đại diện cho một mạng cụ thể (hoặc khuvực an ninh), bằng cách sử dụng mức độ bảo mật, chúng ta có thể chỉ định mức độtin tưởng khu vực an ninh của chúng ta. Các quy tắc chính cho mức độ bảo mật làmột interface (hoặc zone) với một mức độ bảo mật cao hơn có thể truy cập vào mộtinterface với một mức độ bảo mật thấp hơn. Mặt khác, một interface với một mức

độ bảo mật thấp hơn không thể truy cập vào một interface với một mức độ bảo mậtcao hơn, mà không có sự cho phép rõ ràng của một quy tắc bảo mật (AccessControl List - ACL).

Một số mức độ bảo mật điển hình:

Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gánmặc định interface bên ngoài của firewall. Đó là mức độ bảo mật íttin cậy nhất và phải được chỉ định phù hợp với mạng (interface) màchúng ta không muốn nó có bất kỳ truy cập vào mạng nội bộ củachúng ta. Mức độ bảo mật này thường được gán cho interface kết nối

với Internet. Điều này có nghĩa rằng tất cả các thiết bị kết nối Internetkhông thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừkhi rõ ràng cho phép một quy tắc ACL.

Security Level 1 đến 99: Những mức độ bảo mật có thể được khuvực bảo mật vòng ngoài (ví dụ như khu vực DMZ, khu vực quảnlý,...).

Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gánmặc định interface bên trong của tường lửa. Đây là mức độ bảo mậtđáng tin cậy nhất và phải được gán cho mạng (interface) mà chúng ta

muốn áp dụng bảo vệ nhiều nhất từ các thiết bị an ninh.Mức độ bảomật này thường được gán cho interface kết nối mạng nội bộ công tyđằng sau nó.




Hình 4. Mô tả các mức bảo mật trong hệ thống mạng

Việc truy cập giữa Security Level tuân theo các quy định sau:

Truy cập từ Security Level cao hơn tới Security Level thấp hơn: Cho phép tất cả lưu lượng truy cập có nguồn gốc từ Security Level cao

hơn trừ khi quy định cụ thể bị hạn chế bởi một Access Control List(ACL). Nếu NAT-Control được kích hoạt trên thiết bị, sau đó có mộtcặp chuyển đổi nat/global giữa các interface có Security Level từ caotới thấp.

Truy cập từ Security Level thấp hơn Security Level cao hơn: Chặn tấtcả lưu lượng truy cập trừ khi được cho phép bởi một ACL. Nếu NAT-Control được kích hoạt trên thiết bị này, sau đó có phải là một NATtĩnh giữa các interface có Security Level từ cao tới thấp.

Truy cập giữa các interface có cùng một Security Level: Theo mặcđịnh là không được phép, trừ khi bạn cấu hình lệnh same-security-traffic permit .

c. Network Access Translation(NAT)

a. Khái niệm

Sự suy giảm của không gian địa chỉ công cộng IPv4 đã buộc các cộng đồngInternet để suy nghĩ về cách thay thế của địa chỉ máy chủ nối mạng. NAT do đóđược tạo ra để giải quyết các vấn đề xảy ra với việc mở rộng của Internet.

Một số trong những lợi thế của việc sử dụng NAT trong các mạng IP nhưsau :

NAT giúp giảm thiểu toàn cầu cạn kiệt địa chỉ IP công cộng .

Networks có thể sử dụng RFC 1918 - không gian địa chỉ tin nội bộ .

NAT tăng cường an ninh bằng cách ẩn networks topology vàaddressing.

NAT giống như một router, nó chuyển tiếp các gói tin giữa những lớp mạngkhác nhau trên một mạng lớn. NAT dịch hay thay đổi một hoặc cả hai địa chỉ bêntrong một gói tin khi gói tin đó đi qua một router, hay một số thiết bị khác. Thông

thường, NAT thường thay đổi địa chỉ (thường là địa chỉ riêng) được dùng bên trongmột mạng sang địa chỉ công cộng.

NAT cũng có thể coi như một firewall cơ bản. Để thực hiện được công việcđó, NAT duy trì một bảng thông tin về mỗi gói tin được gửi qua. Khi một PC trênmạng kết nối đến 1 website trên Internet header của địa chỉ IP nguồn được thay đổivà thay thế bằng địa chỉ Public mà đã được cấu hình sẵn trên NAT server , sau khicó gói tin trở về NAT dựa vào bảng record mà nó đã lưu về các gói tin, thay đổiđịa chỉ IP đích thành địa chỉ của PC trong mạng và chuyển tiếp đi. Thông qua cơ chế đó quản trị mạng có khả năng lọc các gói tin được gửi đến hay gửi từ một địachỉ IP và cho phép hay cấm truy cập đến một port cụ thể.

ii. Các kỹ thuật NAT

14




Kỹ thuật NAT tĩnh(STATIC NAT)

Với NAT tĩnh, địa chỉ IP thường được ánh xạ tĩnh với nhau thông qua cáclệnh cấu hình. Trong NAT tĩnh, một địa chỉ Inside Local luôn luôn được ánh xạ vàođịa chỉ Inside Global. Nếu được sử dụng, mỗi địa chỉ Outside Local luôn luôn ánh

xạ vào cùng địa chỉ Outside Global. NAT tĩnh không có tiết kiệm địa chỉ thực.Mặc dù NAT tĩnh không giúp tiết kiệm địa chỉ IP, cơ chế NAT tĩnh cho phép mộtmáy chủ bên trong hiện diện ra ngoài Internet, bởi vì máy chủ sẽ luôn dùng cùngmột địa chỉ IP thực .

Cách thức thực hiện NAT tĩnh thì dễ dàng vì toàn bộ cơ chế dịch địa chỉ đượcthực hiện bởi một công thức đơn giản:

Địa chỉ đích = Địa chỉ mạng mới OR (địa chỉ nguồn AND ( NOT netmask))Ví dụ :

Một địa chỉ private được map với một địa chỉ public. Ví dụ 1 một máy trọngmạng LAN có địa chỉ 10. 1. 1. 1 được “phiên dịch” thành 1 địa chỉ public 20. 1. 1.1 khi gửi tin ra ngoài Internet.

Bắt đầu bằng một gói tin được gửi từ một PC bên trái của hình đến một máychủ bên phải ở địa chỉ 170. 1. 1. 1. Địa chỉ nguồn private 10. 1. 1. 1 được dịchthành một địa chỉ thực 200. 1. 1. 1. Máy client gửi ra một gói tin với địa chỉ nguồn10. 1. 1. 1 nhưng router NAT thay đổi địa chỉ nguồn thành 200. 1. 1. 1.

Khi server nhận được một gói tin với địa chỉ nguồn 200. 1. 1. 1, máy chủ nghĩ rằng nó đang nói chuyện với máy 200. 1. 1. 1, vì vậy máy chủ trả lời lại bằng mộtgói tin gửi về địa chỉ đích 200. 1. 1. 1. Router sau đó sẽ dịch địa chỉ đích 200. 1. 1.1 ngược lại thành 10. 1. 1. 1.

Hình 5. Mô tả NAT Tĩnh của một mạng Lan ra ngoài Internet

Kỹ thuật NAT động(Dynamic NAT)




Với NAT, khi số IP nguồn không bằng số IP đích. Số host chia sẻ nói chung bị giới hạn bởi số IP đích có sẵn. NAT động phức tạp hơn NAT tĩnh, vì thế chúng phải lưu giữ lại thông tin kết nối và thậm chí tìm thông tin của TCP trong packet.Một số người dùng nó thay cho NAT tĩnh vì mục đích bảo mật. Những người từ

bên ngoài không thể tìm được IP nào kết nối với host chỉ định vì tại thời điểm tiếp

theo host này có thể nhận một IP hoàn toàn khác. Những kết nối từ bên ngoài thì chỉ có thể khi những host này vẫn còn nắm giữ

một IP trong bảng NAT động. Nơi mà NAT router lưu giữ những thông tin về IP bên trong (IP nguồn )được liên kết với NAT-IP(IP đích). Cho một ví dụ trong mộtsession của FPT non-passive. Nơi mà server cố gắng thiết lập một kênh truyền dữliệu vì thế khi server cố gắng gửi một IP packet đến FTP client thì phải có mộtentry cho client trong bảng NAT. Nó vẫn phải còn liên kết một IPclient với cùngmột NAT-IPs khi client bắt đầu một kênh truyền control trừ khi FTP session rỗi saumột thời gian timeout. Xin nói thêm giao thức FTP có 2 cơ chế là passive và non-

passive . Giao thức FTP luôn dùng 2 port (control và data) . Với cơ chế passive

(thụ động ) host kết nối sẽ nhận thông tin về data port từ server và ngược lại non- passive thì host kết nối sẽ chỉ định dataport yêu cầu server lắng nghe kết nối tới.

Bất cứ khi nào nếu một người từ bên ngoài muốn kết nối vào một host chỉđịnh ở bên trong mạng tại một thời điểm tùy ý chỉ có 2 trường hợp :

Host bên trong không có một entry trong bảng NAT khi đó sẽ nhậnđược thông tin “host unreachable” hoặc có một entry nhưng NAT-IPs làkhông biết.

Biết được IP của một kết nối bởi vì có một kết nối từ host bên trong rangoài mạng. Tuy nhiên đó chỉ là NAT-IPs và không phải là IP thật của host.

Và thông tin này sẽ bị mất sau một thờii gian timeout của entry này trong bảng NAT router

Ví dụ:

Một địa chỉ private được map với một địa chỉ public từ một nhóm các dịa chỉ public. Ví dụ một mạng LAN có địa chỉ 10. 1. 1. 1/8 được “phiên dịch” thành 1 địachỉ public trong dải 200. 1. 1. 1 đến 200. 1. 1. 100 khi gửi tin ra ngoài Internet.

Hình 6. Bảng NAT động của một mạng LAN

16




Kỹ thuật NAT overloading ( hay PAT)

Dùng để ánh xạ nhiều địa chỉ IP riêng sang một địa chỉ công cộng vì mỗi địachỉ riêng được phân biệt bằng số port. Có tới 65. 356 địa chỉ nội bộ có thể chuyểnđổi sang 1 địa chỉ công cộng. Nhưng thực tế thì khỏang 4000 port. PAT hoạt động

bằng cách đánh dấu một số dòng lưu lượng TCP hoặc UDP từ nhiều máy cục bộ bên trong xuất hiện như cùng từ một hoặc một vài địa chỉ Inside Global. Với PAT,thay vì chỉ dịch địa chỉ IP, NAT cũng dịch các cổng khi cần thiết.Và bởi vì cáctrường của cổng có chiều dài 16 bit, mỗi địa chỉ Inside Global có thể hỗ trợ lên đến65000 kết nối TCP và UDP đồng thời. Ví dụ, trong một hệ thống mạng có 1000máy, một địa chỉ IP thực được dùng như là địa chỉ Inside Global duy nhất có thểquản lý trung bình sáu dòng dữ liệu đến và đi từ các máy trên Internet.

Ví dụ :

PAT map nhiều địa chỉ Private đến một địa chỉ Public, việc phân biệt các địachỉ Private này được dựa theo port, ví dụ IP address 10. 1. 1. 1 sẽ được map đến ip

address 200. 1. 1. 6:port_number * Mối quan hệ giữa NAT và PAT

PAT có mối quan hệ gần gũi với NAT nên vẫn thường được gọi là NATTrong NAT, nhìn chung chỉ địa chỉ ip được đổi. Có sự tương ứng 1:1 giữa địa chỉriêng và địa chỉ công cộng.

Trong PAT, cả địa chỉ riêng của người gửi và cổng đều được thay đổi. Thiết bị PAT sẽ chọn số cổng mà các hosts trên mạng công cộng sẽ nhìn thấy.Trong NAT, những gói tin từ ngoài mạng vào được định tuyến tới địa chỉ IP đíchcủa nó trên mạng riêng bằng cách tham chiếu địa chỉ ngưồn đi vào.

Trong PAT, Chỉ có một địa chỉ IP công cộng được nhìn thấy từ bên ngoài và gói tinđi vào từ mạng công cộng được định tuyến tới đích của chúng trên mạng riêng bằng cách tham chiếu tới bảng quản lý từng cặp cổng private và public lưu trongthiết bị PAT. Cái này thường được gọi là connection tracking.

Một số thiết bị cung cấp NAT, như broadband routers, thực tế cung cấp PAT.vì lý do này, có sự nhầm lẫn đáng kể giữa các thuật ngữ. Nhìn chung người ta sửdụng NAT để bao gồm những thiết bị PAT .

iii. NAT trên thiết bị ASA

Cisco ASA firewalls hỗ trợ hai loại chuyển đổi địa chỉ chính

• Dynamic NAT translation:

Dịch source address trên interface bảo mật cao hơn vào một phạm vi (hoặc 1 pool) của địa chỉ IP trên một interface kém an toàn hơn, cho kết nối ra ngoài. Lệnhnat xác định máy chủ nội bộ sẽ được dịch, và lệnh global xác định các pool địa chỉtrên outgoing interface .

Cấu hình Dynamic NAT translation:

ciscoasa(config)# nat (internal_interface_name) “nat-id” “internal network IP subnet”

ciscoasa(config)# global (external_interface_name) “nat-id” “external IP pool range”




• Static NAT translation:

Cung cấp một, lập bản đồ địa chỉ thường trú một-một giữa một IP trên mộtinterface an toàn hơn và một IP trên một interface kém an toàn. Với thích hợpAccess Control List (ACL), static NAT cho phép các host trên một interface kém

an toàn (ví dụ như Internet ) để truy cập máy chủ trên một interface bảo mật caohơn (ví dụ: Web Server trên DMZ) với lượng lớn thực tếIP address của các máychủ trên interface bảo mật cao hơn.

Cấu hình Static NAT translation:

ciscoasa(config)# static (real_interface_name,mapped_interface_name)“mapped_IP” “real_IP” netmask”subnet_mask”

Sử dụng PAT cũng cho nhiều kết nối từ các máy chủ khác nhau nội bộ có thểđược ghép trên một địa chỉ IP public nhưng sử dụng số cổng nguồn khác nhau

Ví dụ:

Hình 7. Mô tả cơ chế PAT(NAT overload)

ciscoasa(config)# nat (inside) 1 192.168.1.0 255.255.255.0 Inside Subnet to use PAT

ciscoasa(config)# global (outside) 1 100.1.1.2 netmask 255.255.255.255 Use a single global IP address for PAT

Trong ví dụ trên, tất cả các địa chỉ nội bộ (192.168.1.0/24) sẽ sử dụng một địachỉ IP public (100.1.1.2) với port khác nhau. Đó là, khi máy chủ 192.168.1.1 kếtnối Internet bên ngoài máy chủ, các bức tường lửa sẽ dịch địa chỉ public và portvào 100.1.1.2 với port 1024. Tương tự như vậy, máy chủ 192.168.1.2 sẽ được dịchmột lần nữa vào 100.1.1.2, nhưng với một destinate port khác nhau (1025) . Các

port nguồn được tự động thay đổi với một số duy nhất hơn so với 1023.Một PATđịa chỉ duy nhất có thể hỗ trợ khoảng 64.000 máy nội bộ.

d. Access Control Lists(ACL).

Một trong những yếu tố quan trọng cần thiết để quản lý giao tiếp lưu lượngmạng là cơ chế điều khiển truy cập, còn được gọi là Access Control List.

18




Hình 8. Sơ đồ ACL điều khiển truy cập mạng

Access Control List(danh sách điều khiển truy cập), như tên của nó, là mộtdanh sách các báo cáo(được gọi là mục kiểm soát truy cập) cho phép hoặc từ chốilưu lượng truy cập từ một nguồn đến một đích đến.Sau khi một ACL được cấuhình, nó được áp dụng cho một giao diện với một lệnh access-group. Nếu không có

ACL được áp dụng cho một interface, lưu lượng truy cập ra bên ngoài(from insideto outside) được phép theo mặc định, và lưu lượng truy cập trong nội bộ(fromoutside to inside) bị từ chối theo mặc định. ACL có thể được áp dụng(bằng cách sửdụng lệnh access-group) để theo 2 hướng "in" và"out" của traffic đối với cácinterface. Chiều "in" của ACL kiểm soát lưu lượng truy cập vào một interface, vàtheo hướng "out"của ACL kiểm soát traffic ra khỏi một interface. Trong sơ đồ trên,cả hai ACL thể hiện (cho Inbound và cho Outbound Access) được áp dụng chohướng "in" interface của outside và inside tương ứng.

Sau đây là những hướng dẫn để thiết kế và thực hiện các ACL:

Đối với Outbound Traffic(Từ vùng có security-level cao hơn đến thấp

hơn), tham số địa chỉ nguồn một mục ACL là địa chỉ thực sự thực tếcủa máy chủ hoặc mạng.

Đối với Inbound Traffic(Từ vùng có security-level thấp hơn đến caohơn), tham số địa chỉ đích ACL là địa chỉ IP toàn cầu chuyển dịch.

ACL là luôn luôn kiểm tra trước khi chuyển dịch địa chỉ được thựchiện trên thiết bị bảo mật.

ACL ngoài việc hạn chế lưu lượng thông qua tường lửa, nó có thể đượcsử dụng cũng như là một đường truyền lựa chọn cơ chế áp dụng mộtvài hành động khác để lưu lượng truy cập được lựa chọn, như mã hóa,

dịch thuật, lập chính sách, chất lượng dịch vụ, vvLệnh cấu hình default ACL:

ciscoasa(config)# access-list “access_list_name” [line line_number] [extended]{deny | permit} protocol “source_address” “mask” [operator source_port]“dest_address” “mask” [operator dest_port]

Lệnh cho phép truy cập của một nhóm sử dụng áp dụng cho ACL:

ciscoasa(config)# access-group “access_list_name” [in|out] interface“interface_name”

Các tham số trong lệnh:




access_list_name :một tên mô tả của ACLcụ thể. Cùng tên được sửdụng trong lệnh access-group.

lineline_number : Mỗi mục ACL có số dòng riêng của mình.

extended: Sử dụng khi bạn xác định cả hai nguồn và địa chỉ đích trong

ACL. deny|permit :Xác định liệu lưu lượng truy cập cụ thể được phép hoặc bị

từ chối.

protocol: Chỉ địnhgiao thức giao thông(IP, TCP, UDP, vv).

source_address mask: Chỉ định địa chỉ IP nguồn và subnet mask. Nếuđó là một địa chỉ IP duy nhất, bạn có thể sử dụng từ khoá"host" màkhông có mặt nạ. Bạn cũngcó thể sử dụng từ khóa "any" để chỉ định

bất kỳ địa chỉ.

[operator source_port]: Chỉ định số cổng nguồn của lưu lượng cónguồn gốc. Các từ khóa"operator" có thể được "lt" (ít hơn), "gt" (lớnhơn), "eq" (tương đương), "neq" (Khôngbằng), "phạm vi" (phạm vi

port). Nếu source_port không được quy định cụ thể, tường lửa phù hợpvới tấtcả các port.

dest_address mask: đây là địa chỉ IP đích và subnet mask. Bạn có thểsử dụng những từ khóa “host” hoặc “any”.

[operator dest_port]: Chỉ định số cổng đích mà các nguồn lưu lượngyêu cầutruy cập vào. Các từ khóa"operator" có thể được"lt" (ít hơn), "gt" (lớn

hơn), "eq" (tương đương),"Neq" (không bằng), "range" (range of port). Nếu không có dest-port được quy định cụ thể, các bức tường lửa kếthợp tất cả các cổng.

Các ví dụ ACL dưới đây sẽ cung cấp cho chúng ta một hình dung tốt hơn củalệnh cấu hình :

ciscoasa(config)# access-list DMZ_IN extended permit ip any any

ciscoasa(config)# access-group DMZ_IN in interface DMZ

Các lệnh cấu hình trên sẽ cho tất cả các lưu lượng mạng thông qua tường lửaciscoasa(config)# access-list INSIDE_IN extended deny tcp 192.168.1.0255.255.255.0 200.1.1.0 255.255.255.0

ciscoasa(config)# access-list INSIDE_IN extended deny tcp 192.168.1.0255.255.255.0 host 210.1.1.1 eq 80

ciscoasa(config)# access-list INSIDE_IN extended permit ip any any

ciscoasa(config)# access-group INSIDE_IN in interface inside

Ví dụ trên sẽ từ chối tất cả lưu lượng truy cập TCP từ 192.168.1.0/24 mạngnội bộ của chúng tôi đối với 200.1.1.0/24 mạng bên ngoài.Ngoài ra, nó sẽ từ chối

20




kết nối HTTP(port80) từ nội bộ của chúng tôi mạng lưới các máy chủbênngoài210.1.1.1. Tất cả các kết nối khác sẽ được cho phép từ bên trong.

ciscoasa(config)# access-list OUTSIDE_IN extended permit tcp any host 100.1.1.1eq 80

ciscoasa(config)# access-group OUTSIDE_IN in interface outsideLệnh cấu hìnhACL trên sẽ cho phép bất kỳ máy chủ trên Internet để truy cập

vào máy chủ Web Server của chúng tôi(100.1.1.1).

Chú ý rằng địa chỉ 100.1.1.1 là địa chỉ công cộng toàn cầu của máy chủ webcủa chúng ta.

e. VPN

a. Giới thiệu

VPN là cụm từ viết tắt của Virtual Private Network , về cơ bản đây là kết nốitừ 1 vị trí này tới vị trí khác để hình thành mô hình mạng LAN với những dịch vụhỗ trợ như email, intranet... chỉ được truy cập khi người dùng khai báo đúng cácthông tin đã được thiết lập sẵn.

Các thiết bị Cisco ASA, ngoài chức năng tường lửa cốt lõi của chúng, có thểđược sử dụng kết nối bảo mật mạng LAN từ xa (VPN Site-to-Site) hoặc cho phépremote user/teleworkers an toàn giao tiếp với mạng công ty của họ(VPN RemoteAccess).

Cisco hỗ trợ một số dạng VPN trên ASA nhưng nói chung là phân ra 2 loạihoặc là "IPSec VPNs " hoặc "SSL VPNs". Các thể loại đầu tiên sử dụng giao

thức IPSec để bảo mật thông tin trong khi loại thứ hai sử dụng SSL. SSL VPN cònđược gọi là WebVPN trong thuật ngữ của Cisco. Hai điểm chung VPN được hỗtrợ bởi Cisco ASA được tiếp tục chia thành các công nghệ VPN sau.

IPSec Based VPNs:

Lan-to-Lan IPSec VPN: Được sử dụng để kết nối các mạng LAN từxa thông qua phương tiện truyền thông không an toàn (e.g Internet). Nóchạy giữa ASA-to-ASA hoặc Router ASA-to-Cisco.

Remote Access with IPSec VPN Client: Một phần mềm VPNclient được cài đặt trên máy tính của người dùng để cung cấp truy cập từ xa vào

mạng trung tâm.Sử dụng giao thức IPSec và cung cấp kết nối mạng đầy đủ để kếtnối người dùng từ xa. Người sử dụng sử dụng các ứng dụng của họ tại các trangweb trung tâm như thông thường mà không có một VPN tại chỗ

SSL Based VPNs (WebVPN):

Clientless Mode WebVPN: Đây là triển khai đầu tiên WebVPN SSL hỗtrợ từ ASA phiên bản 7.0 và sau đó. Nó cho phép người dùng thiết lập bảo mật từxatruy cập VPN đường hầm bằng cách sử dụng chỉ là một trình duyệt Web. Khôngcần cho một phần mềm hoặc phần cứng nào. Tuy nhiên, chỉ các ứng dụng giới hạn

có thể được truy cập từ xa.




AnyConnect WebVPN: Java đặc biệt khách hàng dựa trên được cài đặttrên máy tính của người sử dụng cung cấp một đường hầm SSL an toàn đến cáctrang web trung tâm. Cung cấp kết nối mạng đầy đủ (tương tự như với IPSec khách hàng truy cập từ xa).Tất cả các ứng dụng tại trang web trung tâm cóthể được truy cập từ xa.

IP Security (IPSec) là một tiêu chuẩn mở IETF cho phép thông tin liên lạc mãhóa.Đó là một phù hợp với các giao thức cung cấp dữ liệu bảo mật, tính toàn vẹnvà xác thực.Một mạng riêng ảo(VPN) là một đường hầm tin an toàn trên một conđường không an toàn (ví dụ như qua Internet). IPSEC do đó lý tưởng để xây dựngmạng riêng ảo trên Internet hay bất kỳ mạng không an toàn khác. IPSec hoạt độngở lớp mạng, mã hóa và thẩm định các gói IP giữa một thiết bị bảo mật tường lửa vàtham gia IPSec các thiết bị khác, chẳng hạn như thiết bị định tuyến Cisco, Cisco

bức tường lửa khác, phần mềmVPN...

Các giao thức IPSec sau đây và tiêu chuẩn sẽ được sử dụng sau này trong

thảo luận của chúng tôi, vì vậy đó là mộtý tưởng tốt để giải thích ngắn gọn chứcnăng và sử dụng của họ:

ESP (Encapsulation Security Payload): Đây là giao thức đầu tiên củahai giao thức chính trong các tiêu chuẩn IPSec. Nó cung cấp tính toànvẹn dữ liệu, xác thực và bảo mậtdịch vụ. ESP được sử dụng để mã hóatải trọng dữ liệu của các gói tin IP.

AH (Authentication Header): Đây là giao thức thứ hai của hai giaothức chính của IPSec. Nó cung cấp tính toàn vẹn dữ liệu, xác thực, và

phát lại phát hiện. Nó không cung cấp dịch vụ mã hóa, nhưng thay vìnó hoạt động như một chữ ký số cho các gói dữ liệu để đảm bảo rằng

giả mạo dữ liệu không xảy ra. Internet Key Exchange (IKE): Đây là cơ chế được sử dụng bởi các

thiết bị an ninh an toàn trao đổi khoá mật mã,chứng thực IPSec và đàm phán các thông số an toàn IPSec.Trên ASAFirewall, điều này đồngnghĩa với ISAKMP như chúng ta sẽ thấy trong cấu hình IPSec.

DES, 3DES, AES: Tất cả đây là những thuật toán mã hóa được hỗ trợ bởi CiscoFirewall ASA.DES là yếu nhất (sử dụng khóa mã hóa 56-bit),và AESlà mạnh nhất(sử dụng128,192,hoặc 256 bit mã hóa). 3DES làmột sự lựa chọn giữa, nó sử dụng khóa mã hóa168-bit.

Diffie-Hellman (DH): Đây là một khóa công khai mật mã giao thứcđược sử dụng bởi IKE để thiết lập các khóa phiên.

MD5, SHA-1: Đây là những thuật toán Hash được sử dụng để xác thựcdữ liệu gói. SHA là mạnh hơn MD5.

Sercurity Association(SA): SA là một kết nối giữa hai đồng nghiệpIPSec. Mỗi ngang hàng IPSec duy trì một cơ sở dữ liệu SA, trong bộnhớ của nó có chứa các thông số SA. SA là duy nhất xác định bởi địachỉ peer IPSec, giao thức bảo mật, và chỉ số tham số bảo mật (SPI).

Có bước tiến hành bởi các thiết bị IPSec:

Interesting Traffic:Các thiết bị IPSec nhận lưu lượng truy cập để bảo vệ.

22




Giai đoạn 1 (ISAKMP):Các thiết bị IPSec đàm phán về một chính sách anninh IKEvà thiết lập một kênh an toàn để liên lạc.

Giai đoạn 2 (IPSec): Các thiết bị IPSec đàm phán về một chính sách bảo mậtIPSec để bảo vệ dữ liệu.

Data Transfer :: Dữ liệu được chuyển giao một cách an toàn giữa các đồngnghiệp IPSec dựa trên IPSec các thông số và các phím đàm phán trong giai đoạntrước.

IPSEc Tunnel Terminated: IPSec SA chấm dứt khi thời gian hoặc một khốilượng dữ liệu nhất định đạt được.

ii. Site-to-site VPN

Hình 9. Sơ đồ mạng mô tả kết nối site to site IPSec VPN.

Site-to-Site IPSec VPN đôi khi được gọi là LAN-to-LAN VPN. Như tên của

nó, loại VPN kết nối hai mạng LAN xa qua Internet.Thông thường, mạng nội bộ sửdụng cá nhân giải quyết như thể hiện trên sơ đồ của chúng tôi ở trên.Nếu không cókết nối VPN, hai mạng LAN ở trên (LAN-1 và LAN-2) sẽ không có thể giaotiếp.Bằng cách cấu hình Site-to-Site IPSec VPN giữa hai bức tường lửa ASA,chúng ta có thể thiết lập một đường hầm an toàn qua Internet, và thông qua lưulượng truy cập mạng LAN tin của chúng tôi bên trong đường hầm này.Kết quả làcác host trong mạng 192.168.1.0/24 có thể trực tiếp truy cập vào máy chủ trongmạng 192.168.2.0/24 (và ngược lại) là nếu chúng được đặt trong cùng một mạngLAN. Đường hầm IPSec được thiết lập giữa các địa chỉ IP public củafirewall(100.100.100.1 và 200.200.200.1).

iii. Remote access VPN

Loại thứ hai của IPSec VPN mà chúng ta sẽ mô tả là Remote access VPN bằng cách sử dụng CiscoVPN client người dùng từ xa.Đây là loại VPNcho phépremote users/teleworkers với truy cập Internet để thiết lập một đường hầmIPSecVPN an toàn giữa mạng công ty của họ. Các người sử dụng phải có mộtphầnmềm CiscoVPN client được cài đặt trên máy tính của họ sẽ cho phép một giao tiếpan toàn với ASA Firewall trong văn phòng trung tâm. Sau khi VPN được thiết lậpgiữa người dùng từ xa và các bức tường lửa ASA, người dùng được gán một địachỉ IP riêng từ một hồ bơi được xác định trước, và sau đó được đính kèm trên mạng

LAN doanh nghiệp.




Hình 10. Sơ đồ mạng mô tả kết nối Remote Access VPNVí dụ cấu trúc liên kết trên mạng trên cho thấy ASA Firewall bảo vệ mạng

LAN doanh nghiệp, và người dùng từ xa với một khách hàng phần mềm VPN thiếtlập một kết nối an toàn với ASA.Một địa chỉ IP trong phạm vi các 192.168.20.0/24sẽ được giao cho khách hàng VPN, mà sẽ được phép giao tiếp với 192.168.1.0/24mạng nội bộ công ty.Khi truy cập từ xa VPN được thiết lập, người dùng từ xa theomặc định sẽ không thể truy cập bất cứ điều gì khác trên Internet, trừ các mạngLAN doanh nghiệp.Hành vi này có thể được thay đổi bằng cách cấu hình "splittunnel" tính năng về tường lửa, tuy nhiên không nên dùng cho mục đích an ninh.

iv. AnyConnect VPNCung cấp đầy đủ kết nối mạng tới người dùng ở xa.Firewall ASA, làm việc nhưmột máy chủ WebVPN, gán một địa chỉ IP cho người dùng ở xa và người sử dụngmạng. Vì vậy, tất cả các giao thức IP và những ứng dụng thông qua đường hầmVPN mà không có bất kỳ vấn đề gì. Ví dụ, một người dùng ở xa, sau khi chứngthực thành công AnyConnect VPN, có thể mở một kết nối từ máy tính ở xa tới mộtWindow Terminal Server bên trong mạng trung tâm. Mặc dù một client được yêucầu cài đặt trên máy tính của người dùng, client này có thể được cung cấp tự độngcho người sử dụng từ ASA. Người dùng có thể kết nối với một trình duyệt tớifirewall asa và tải về client Java theo yêu cầu. Client java có thể vẫn còn được cài

đặt hoặc bị loại bỏ từ máy tính của người sử dụng khi ngắt kết nối từ thiết bị ASA.Client này có kich cỡ nhỏ(khoảng 3 mb) và được lưu trữ trông bộ nhớ Flash củaASA.

Hoạt động của AnyConnect VPN

Sơ đồ dưới đây cho ta thấy một mô hình mạng với ASA và một người dùng ở xa kết nối thông qua AnyConnect VPN:

24




Hình 11. Sơ đồ mạng mô tả kết nối AnyConnect VPN

Từ sơ đồ trên, firewall ASA được cấu hình như một Server Anyconnect VPN.Một người dùng ở xa truy cập vào Internet và địa chỉ IP máy tính của anh ấy là10.1.1.1(NIC IP). Người sử dụng có thể làm được là do đằng sau có một định tuyếnlàm NAT/PAT và có một địa chỉ IP private được dịch ra từ địa chỉ IP Public bởi bộđịnh tuyến NAT. Khi người sử dụng ở xa kết nối và chứng thực thành công tớiASA với Client Anyconnect, ASA sẽ gán một địa chỉ IP nội bộ tới người sử dụngtừ một dải IP được cấu hình trước( Range 192.168.5.1-20). Từ sơ đồ trên, ASA gánIP 192.168.5.1 cho người dùng ở xa. Điều này có nghĩa rằng người dùng từ xa là

hầu như gắn liền với mạng LAN của công ty đằng sau firewall ASA.Có hai lựa chọn cài đặt ban đầu cho khách hàng AnyConnect:

Sử dụng clientless WebVPN portal.

Cài đặt bằng tay bởi người sử dụng.

Sử dụng các clientless web Portal, người sử dụng đầu tiên kết nối và xác thựcASA với một trình duyệt web an toàn và các Client JAVA Anyconnect là tự độngtải về và cài đặt trên máy tính của người dùng(người sử dụng cũng có thể bấm vàotab”AnyConnect”trên các portal WebVPN để tải về các client). Điều này có nghĩa

rằng các Client Java(phần mở rộng .PKG) đã được lưu trên vộ nhớ flash bởi cácquản trị viên. Phương pháp này được ưa thích bởi vì nó tự động phân phối Clientcho người dùng ở xa.

Với phương pháp cài đặt bằng tay, quản trị mạng phải tải về các client thíchhợp Java (Microsoft MSI gói cài đặt hoặc một trong các phiên bản hệ điều hànhkhác) trên trang web của Cisco và cung cấp các tập tin cho người sử dụng để càiđặt hướng dẫn sự dụng trên máy tính xách tay của họ. Với phương pháp này, ngườidùng không cần phải đăng nhập trong hệ thống thông qua chế độ clientless để bắtđầu tunnel SSL VPN. Thay vào đó,người dùng có thể bắt đầu từ các ClientAnyConnect thủ công từ máy tính của họ và cung cấp thông tin xác thực của họ

cho ASA. Các bước cấu hình AnyConnect VPN




STEP1: Chuyển file PKG vào flash trên ASA

Đầu tiên, bạn cầu tải về một trong các file .pkg từ trang web của Cisco. Mộtví dụ file Windows client có dạng “anyconnect-win-x.x.xxxx-k9.pkg”.

Để copy file .pkg vào flash dùng lệnh

ASA# copy {tftp|ftp|scp}://[ip address]/anyconnect-win-x.x.xxxx-k9.pkgdisk0:

STEP2:

Kiểm tra các file .pkg có trong flash chưa.Ngoài ra, phải cho phép dịch vụweb anyconnect trên giao diện bên ngoài của ASA.

ASA#configure terminalASA(config)#webvpnASA(config-webvpn)#svc image disk0:/anyconnect-win-2.3.2016-k9.pkg 1ASA(config-webvpn)#enable outside

ASA(config-webvpn)#svc enable

Lưu ý: số 1 vào cuối của tập tin gói là thứ tự tập tin. Nó được sử dụng khi bạn có nhiều hơn một hình ảnh được lưu trữ trên flash ASA (ví dụ như hìnhảnh AnyConnect client dành cho Windows và MAC).

STEP 3:

Miển giao thông WebVPN SSL từ kiểm tra Access List vào giao diện bênngoài. Theo mặc định, giao thông WebVPN là không được miễn kiểm tra Danhsách truy cập khi chấm dứt trên giao diện bên ngoài, khi lưu lượng được giải mã,nó được kiểm tra các inbound ACL áp dụng lên giao diện outside. Bạn phải có baogồm báo cáo cấp phép cho lưu lượng truy cập giải mã trong ACL hoặc sử dụng“sysopt connect permit-vpn”.

ASA(config)# sysopt connection permit-vpn

STEP 4:

Bước này là tùy chọn, nhưng nó thực sự là hữu ích. Tất cả các SSL VPNthông tin liên lạc giữa người sử dụng từ xa và ASA làm việc với bảo mậtHTTPS(port 443). Điều này có nghĩa là người dùng phải sử dụng “https://[ASA IPPublic]” trên trình duyệt của họ.Vì hầu hết người dùng sẽ quen sử dụng“http://”, nên bạn có thể thiết lập cổng chuyển hướng để người dùng có thể sử dụnghttp:// (port 80),ASA sẽ tự động chuyển hướng trình duyệt đến cổng 443.

ASA(config)# http redirect outside 80

STEP 5:

Tạo một vùng địa chỉ IP từ ASA để gán địa chỉ cho người dùng ở xa. Từ sơ đồtrên ta thấy sau khi người dùng chứng thực, ASA gán địa chỉ IP cho người dùng ở xa trong vùng từ 192.168.5.1 đến 192.168.5.20

26




ASA(config)# ip local pool VPNpool 192.168.5.1-192.168.5.20 mask 255.255.255.0

STEP 6:

Tạo một NAT để giao thông giữa các mạng LAN của công ty phía sauASA(192.168.1.0/24) và vùng địa chỉ của người dùng ở xa

ASA(config)# access-list NONAT extended permit ip 192.168.1.0255.255.255.0 192.168.5.0 255.255.255.0

ASA(config)# nat (inside) 0 access-list NONATASA(config)# nat (inside) 1 0.0.0.0 0.0.0.0

ASA(config)# global (outside) 1 interface We assume that we do PAT onthe outside interface

STEP 7: Tạo một Group Policy cho người sử dụng Anyconnect WebVPN

Group Policy cho phép bạn tách biệt các người dùng truy cập từ xa vào cácnhóm với các thuộc tính khác nhau. Các thuộc tính Group Policy có thể được cấuhình gồm dịa chỉ Server DNS, các thiết lập chia đường hầm, làm thế nào Client sẽtải được về(tự động hoặc sau khi người sử dụng điều khiển), nếu các phần mềmclient sẽ ở lại vĩnh viễn trên máy tính người dùng.

ASA(config)# group-policy “policy name” internal ASA(config)# group-policy “policy name” attributes ASA(config-group-policy)# vpn-tunnel-protocol {[svc] [webvpn][ipsec]

[l2tp-ipsec]} ASA(config-group-policy)# webvpn ASA(config-group-webvpn)# svc keep-installer {installed | none}

ASA(config-group-webvpn)# svc ask {none | enable [default {webvpn | svc}timeout value]}

Chú thích:

svc keep-installer {installed | none} “installed” nghĩa là client vẫn đượccài đặt vĩnh viễn trên máy tính của người dùng ngay cả sau khi ngắt kết nối . Mặcđịnh là client được gỡ bỏ cài đặt sau khi người dùng ngắt kết nối

từ phiên AnyConnect.svc ask {none | enable [default {webvpn | svc} timeout value]}

Lệnh này là làm như thế nào AnyConnect Client sẽ được tải

về máy tính của người sử dụng.

STEP 8: Tạo một Tunnel Group.

Tunnel Group phải kết hợp với Group Policy được cấu hình ở trên.Nó cũngliên kết với Group Policy với các vùng địa chỉ IP mà chúng ta đã cấu hình chongười dùng từ xa.

ASA(config)# tunnel-group “tunnel name” type remote-access ASA(config)# tunnel-group “tunnel name” general-attributes ASA(config-tunnel-general)# default-group-policy “group policy name”




Assign the Group Policy configured in Step7 above.

ASA(config-tunnel-general)# address-pool “IP Pool for VPN” Gán vùng địa chỉ IP được cấu hình trong Step5 trên

ASA(config-tunnel-general)# exit

ASA(config)# tunnel-group “tunnel name” webvpn-attributes ASA(config-tunnel-webvpn)# group-alias “group_name_alias” enable Tạo một cái tên bí danh cho các nhóm đường hầm sẽ được liệt kê trên các bản

ghi trên màn hình của Client AnyConnect. ASA(config-tunnel-webvpn)# exit ASA(config)# webvpn

ASA(config-webvpn)#tunnel-group-list enable

Kích hoạt tính năng danh sách các tên bí danh trên các bản ghi trên mànhình của Client AnyConnect

STEP 9: Tạo một người dùng cục bộ trên ASA, nó sẽ được sử dụng để chứngthực AnyConnectASA(config)# username ssluser1 password secretpassASA(config)# username ssluser1 attributes

ASA(config-username)# service-type remote-access

f. Routing Protocol

a. Khái niệm

Trước hết bạn cần phải biết rằng các thiết bị ASA không phải là một bộ định

tuyến đầy đủ chức năng.Tuy nhiên, nó vẫn có một bảng định tuyến được sử dụng đểchọn con đường tốt nhất để đạt được một mạng đích nhất định.Sau khi tất cả, nếumột gói tin vượt qua được sự kiểm tra của firewall rule, nó cần phải được địnhtuyến bởi firewall để đến đích của nó.

Cisco ASA Firewall thiết bị hỗ trợ cả hai định tuyến tĩnh và động. Ba giaothức định tuyến động được hỗ trợ, cụ thể là RIP, OSPF và EIGRP. Nó rất cao nênđể thích tĩnh cấu hình định tuyến trên các bức tường lửa ASA, thay vì định tuyếnđộng. Điều này là do sử dụng các giao thức định tuyến động có thể phơi bày cấutrúc mạng nội bộ của bạn với mạng bên ngoài. Nếu bạn không cẩn thận với cấuhình định tuyến động, nó có thể bắt đầu broadcard các mạng con mạng nội bộ của

bạn với các mạng bên ngoài không đáng tin cậy.Tuy nhiên, có những tình huống mà cấu hình định tuyến động là cần thiết.Một

trường hợp như vậy sẽ là một mạng lưới lớn trong ASAFirewall là nằm trong mạngnội bộ hoặc trung tâm dữ liệu.Trong trường hợp này, bạn sẽ được hưởng lợi từ việcsử dụng một giao thức định tuyến động trên ASA vì bạn sẽ không phải cấu hìnhđịnh tuyến tĩnh mà cũng có thể nguy cơ tiết lộ bất kỳ mạng con ẩn với các mạngkhông tin cậy sẽ không có (vì ASA nằm sâu bên trong campus network).

Sau đây là một số thực hành giao thức định tuyến tốt nhất cho các ASA:

Đối với các mạng nhỏ, chỉ sử dụng định tuyến tĩnh. Sử dụng định tuyến

tĩnh mặc định chỉ là địa chỉ gateway kết nối với outside interface

28




(thường là Internet), và cũng sử dụng các định tuyến tĩnh cho các mạngnội bộ có nhiều hơn 1 hop (tức là không kết nối trực tiếp).

Bất kỳ mạng được kết nối trực tiếp vào một ASA interface KHÔNGcần bất kỳ cấu hình tuyến đường tĩnh,ASA Firewall sẽ làm những việc

này. Nếu ASA là kết nối trên chu vi của mạng (tức là biên giới giữa các

mạng đáng tin cậy và không tin cậy), sau đó xác định một kết nối mặcđịnh đối với các mạng bên ngoài không đáng tin cậy, và sau đó cấuhình định tuyến tĩnh cụ thể đối với các mạng nội bộ.

Nếu ASA là nằm bên trong một mạng rộng lớnvới các tuyến đườngmạng nội bộ nhiều, thì sử dụng cấu hình một giao thức định tuyếnđộng.

ii. Các kỹ thuật định tuyến

• Định tuyến tĩnh

Có 3 loại định tuyến tĩnh:

Directly Connected Route: các đường kết nối trực tiếp được tự động tạo ra trong bảng định tuyến ASA khi bạn cấu hình một địachỉ IP trên một giao diện thiết bị

Normal Static Route: cung cấp đường đi cố định về một mạng cụ thểnào đó

Default Route: Default route là tuyến đường mặc định được cấu hìnhtĩnh của router là nơi mà khi router nhận được một gói tín cần chuyểnđến mạng nào đó mà mạng đó không có trong bảng định tuyến củarouter đó thì nó sẽ đẩy ra default route

Sử dụng lệnh Route để cấu hình định tuyến tĩnh:

ASA(config)# route [interface-name] [destination-network] [netmask] [gateway]

[interface-name]: đây là ASA interface nơi gói tin sẽ đi ra.

[destination-network] [netmask]: địa chỉ đích và mặt nạ mạng con

[gateway]: Hop tiếp theo mà ASA sẽ gởi gói tin đến

Đối với cấu hình định tuyến tĩnh, tham khảo sơ đồ dưới đây




Hình 12. Mô hình mạng mô tả định tuyến tĩnh

ASA(config)# route outside 0.0.0.0 0.0.0.0 100.1.1.1 (Default Route)

ASA(config)# route inside 192.168.2.0 255.255.255.0 192.168.1.1 (Static Route. Toreach network 192.168.2.0 send the packets to 192.168.1.1)

• Định tuyến động

- RIP :

RIP là một trong các giao thức định tuyến động cũ nhất.Mặc dù nó khôngđược sử dụng rộng rãi trong các mạng hiện nay, bạn vẫn tìm thấy nó trong một sốtrường hợp. CiscoASA phiên bản7.x hỗ trợ RIP một cách hạn chế.Các thiết bịASA(v7.x) chỉ có thể chấp nhận các tuyến RIP và tùychọn quảng cáo cho staticroute.Tuy nhiên, nó không có thể nhận được RIP quảng bá từ một mạng hàng xómvà sau đó quảng bá routec ho mạng hàng xóm khác. Tuy nhiên từ ASA phiên bản8.x, các thiết bị bảo mật hỗ trợ đầy đủ chức năng RIP.Cả hai RIPv1 và RIPv2 đượchỗ trợ.Tuy nhiên, bằng cách sử dụng RIPv1 là không được khuyến khích bởi vì nókhông hỗ trợ định tuyến cập nhật xác thực.

- OSPF:

OSPF (OpenShortestPath First) là một giao thức định tuyến động dựa trênLink States chứ không phải là Distance Vectors (chẳng hạn như RIP) để lựa chọnđường đi tối ưu.Nó là một giao thức định tuyến tốt hơn và khả năng mở rộng hơnso với RIP, đó là lý do tại sao sử dụng rộng rãi trong các mạng doanh nghiệplớn.OSPF có thể rất phức tạp và người ta có thể viết cả một cuốn sách cho nó.

- EIGRP

EIGRP là phiên bản nâng cao của IGRP cũ.Nó là một giao thức độc quyềncủa Cisco mà chỉ chạy giữa các thiết bị Cisco. Hỗ trợ cho EIGRP trên Cisco ASAđã có từ phiên bản 8.0 và sau đó.Mặc dù EIGRP là rất dễ sử dụng và linh hoạt,thiết kế mạng và quản trị viên ngần ngại sử dụng nó rộng rãi kể từ khi nó chỉ làm

30




việc với thiết bị Cisco, vì vậy bạn có hiệu quả phụ thuộc vào một nhà cung cấp duynhất.(Lưu ý: IPv6 được hỗ trợ trên Cisco ASA chạy EIGRP.)

g. Dự phòng đường truyền SLA

Khi bạn cấu hình một tuyến đường tĩnh trên các thiết bị an ninh, tuyếnđường tồn tại vĩnh viễn trong các bảng định tuyến. Cách duy nhất cho các tuyếnđường tĩnh bị loại bỏ khỏi bảng định tuyến là khi các interface trên ASA bị tắt.Trong tất cả các trường hợp khác, chẳng hạn như khi cổng mặc định từ xa bị downlàm đường truyền bị gián đoạn, các ASA sẽ tiếp tục gửi các gói tin đếnrouter cổng của nó mà không biết rằng nó thực sự là down.

Từ ASA phiên bản 7.2 trở lên, tính năng theo dõi các tuyến đường tĩnh đãđược giới thiệu. ASAtheo dõi các tuyến đường tĩnh bằng cách gửi các góitin ICMP echo request thông qua tuyến đường định tuyến tĩnh chính và chờ đợi trảlời. Nếu con đường chính bị down, một con đường thứ cấp được sử dụng. Tínhnăng này rất hữu ích khi bạn muốn thực hiện Dual-ISP dự phòng, như trong sơ đồdưới đây

Hình 13. Mô tả đường dự phòng SLA

Trong kịch bản mạng ở trên, interface eth0/0 (bên ngoài) được kết nối vớiISP chính và interface eth0/1 (dự phòng) được kết nối với các ISP dự phòng. Hai

tuyến đường tĩnh mặc định sẽ được cấu hình (một cho mỗi ISP) sẽ sử dụng tínhnăng "theo dõi". Tuyến đường ISP chính sẽ được theo dõi bằng cách sử dụng cácyêu cầu ICMP cho. Nếu echoreply không nhận được trong một khoảng thời gianđược xác định trước, con đường thứ cấp tĩnh sẽ được sử dụng. Tuy nhiên lưuý rằng cách này chỉ phù hợp cho traffic bên ngoài (có nghĩa là, từmạng bên trong đối với Internet)

h. Chuyển đổi sự phòng (Failover)

a. Giới thiệu

Failover là đặc điểm duy nhất độc quyền của Cisco trong các thiết bị bảo mật.Failover cung cấp khả năng dự phòng giữa các thiết bị bảo mật ASA: một thiết bịsẽ dự phòng cho 1 thiết bị khác. Cơ chế dự phòng này cung cấp tính đàn hồi trong




hệ thống mạng của bạn. Và phụ thuộc vào các loại failover bạn sử dụng và làm thếnào bạn thực thi failover, tiến trình failover có thể, trong hầu hết các trường hợp,nó trong suốt với các người dùng và các hosts.

Trong phần này, các bạn sẽ tìm hiểu đặc điểm failover. Tôi sẽ thảo luận về 2

loại failover là hardware và stateful, yêu cầu bạn phải cài đặt một failover, hạn chếmà bạn sẽ gặp khi thực thi failover, và làm thế nào để xử lý nâng cấp phần mềmcho cặp thiết bị ASA trong quá trình cấu hình failover.

ii. Phân loại Failover

Có hai loại failover: hardware failover (trong vài trường hợp được gọi làstateless failover) và stateful failover. Khi failover phiên bản đầu tiên được sửdụng, chỉ có hardware failover đã sẵn có. Bắt đầu từ phiên bản 6, stateful failover mới được thực thi.

Hardware failover chỉ cung cấp cho dự phòng về phần cứng – trong thuật ngữ

khác, người ta gọi nó là physical-failover của một thiết bị. Cấu hình giữa hai thiết bị ASA được đồng bộ, nhưng không có gì khác nữa. Vậy nên, ví dụ, nếu một kếtnối giữa thiết bị được xử lý bởi một ASA và nó bị failed, thiết bị ASA khác có thểchiếm quyền chuyển tiếp giao thông của thiết bị đã fail. Nhưng từ khi kết nối gốckhông tái tạo lại với thiết bị thứ hai, kết nối sẽ fail: điều đó đồng nghĩa với việc, tấtcả các kết nối còn hoạt động sẽ mất và phải thực hiện kết nối lại qua thiết bị thứhai. Đối với hardware failover, một failover link sẽ được yêu cầu giữa 2 thiết bịASA, vấn đề này được thảo luận trong phần “ Failover Cabling ”.

Stateful failover cung cấp cả phần cứng và dự phòng trạng thái. Bên cạnh cấuhình các thiết bị bảo mật ASA đồng bộ, các thông tin khác cũng được đồng bộ

theo. Việc đồng bộ này bao gồm thông tin về các bảng routing, xlate, ngày giờ hiệntại, bảng địa chỉ MAC layer 2(nếu thiết bị ASA trong trạng thái transparent), SIP,kết nối VPN. Khi thực thi stateful failover, bạn sẽ cần hai links giữa các ASA, mộtlink failover và một link stateful.

iii. Triển khai Failover

Có hai sự thực thi mà Cisco hỗ trợ cho failover. Qua version 6 của OS, chỉ cóactive/standby được hỗ trợ, với active/active thì được hỗ trợ từ version 7. Phần nàysẽ thảo luận về hai loại failover và làm thế nào đánh địa chỉ IP, MAC của thiết bịđược thực thi trong cả hai loại đó.

• Active/Standby Failover Thực thi active/standby failover có hai thiết bị: primary và secondary. Bởi

mặc định thì primary sẽ có vai trò làm active và secondary đóng vai trò là standby.Chỉ có thiết bị đóng vai trò là active sẽ xử lý giao thông giữa các interfaces. Ngoạitrừ một vài thông số, tất cả cấu hình thay đổi thực thi trên active sẽ được đồng bộsang thiết bị standby. Thiết bị là standby sẽ như là một hot standby hoặc backupcho thiết bị active. Nó không chuyển giao thông qua các interfaces. Chức năngchính của nó là kiểm soát hoạt động của thiết bị active và tự đưa nó lên vai tròactive nếu thiết bị active không còn hoạt động.

32




Hình 14. Mô hình Active/standby failover

• Addressing and Failover

Mỗi thiết bị (hoặc context) tham gia vào failover cần có địa chỉ duy nhất – IPvà MAC – cho mỗi subnet mà nó kết nối đến. Nếu failover xảy ra, thiết bị hiện tạilàm standby sẽ được thăng chức lên vai trò active và thay đổi IP, MAC của nó đểgiống với thiết bị primary. Thiết bị active mới sau đó gửi các frames ra ngoài mỗiinterface để update bảng địa chỉ MAC kết nối trực tiếp. Chú ý rằng thiết bị ASAfailed sẽ không trở thành một thiết bị standby trừ khi vấn đề là nguyên nhân của

failover được giải quyết. Sau khi vấn đề được tháo gỡ, thiết bị trước đó có vai tròlàm active sẽ hoạt động failover trở lại với vai trò standby và nhận lại địa chỉ IP,MAC như thiết bị standby bình thường. Trong active/standby failover, không cóquá trình chiếm quyền, tuy nhiên, trong active/active failover, đó là một sự lựachọn.




Hình 15. Mô hình Failover and addressing

• Active/Active Failover

Trong khi thực thi Active/Active failover, cả hai thiết bị ASA trong failover pair đều xử lý giao thông. Để hoàn thành điều này, hai context cần được tạo ra,CTX1 sẽ thực thi vai trò active và chuyển tiếp giao thông cho LAN bên trái và làmstandby cho LAN bên phải và ngược lại đối với CTX2. Sau đó, các tuyến đường

tĩnh trên các routers kết nối trực tiếp được sử dụng để load-balance giao thông giữahai context, nếu chúng được chạy trong chế độ routed. Nếu các contexts đang chạytrong chế độ transparent, các routers kết nối trực tiếp có thể sử dụng các giao thứcđộng để học về hai đường có cost bằng nhau qua các contexts tới các routers trêncác side khác.

34




Hình 15. Mô hình Active/active failover

III. Triển khai các tính năng ASA trên GNS3

1. Mô hình triển khai

a. Mô hình thực tế

INTERNET

FTP Server WEB Server

192.168.10.2/24ASA

DMZ

Outside Inside

203.162.4.0/24

Primary ISP

10.0.0.2/24 10.0.0.2/24

E0/2E0/0

E0/1

10.0.0.0/24

200.200.200.2/24

Remote PC

200.200.200.0/24 192.168.10.0/24

Backup ISP

INTERNET

E0/3

123.0.0.0/24

ii. Mô hình trên GNS3




b. Cấu hình trên ASA

a. Định tuyến

Trong mô hình triển khai, ASA firewall có nhiệm vụ định tuyến cho tất cả cácmạng nội bộ đi ra ngoài Internet. Việc định tuyến có thể tùy thuộc vào như cầu màta có thể sử dụng định tuyến tĩnh (static route và default-route) hoặc định tuyến

động (RIP, EIGRP, OSPF). Tuy nhiên, với các thiết bị định tuyến ở các công ty quymô không lớn, đinh tuyến tĩnh được ưu tiên sử dụng. Trong mô hình này ta sử dụngđịnh tuyến mặc định (default-route) để cho mạng nội bộ đi đến ISP bên ngoài.

ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 203.162.4.2

ii. Acess Control List

Mặc định, ASA chỉ cho phép các traffic đi từ nơi có security-level cao đếnnơi có security-level thấp. Để tiện cho việc xử lý sự cố mạng được thuận lợi hơn, tacho phép các traffic ICMP được đi từ vùng DMZ (security-level 50) vào vùnginside (security-level 100).

access-list DMZ_access_in extended permit icmp any any

Tương tự cũng có access list trên interface outside để cho phép các gói tinICMP đươc đi qua

access-list 101 extended permit icmp any any

Trong sơ đồ trên, công ty sẽ xây dựng hệ thống web server và FTP server đểhỗ trợ cho hoạt động của công ty. Ở đây, ta sẽ xây dựng Web server IIS và FTPserver trong vùng DMZ có địa chỉ 10.0.0.2 và được NAT ra bên ngoài ra địa chỉ203.162.4.100 cho phép tất cả các máy tính ngoài Internet truy cập được Webserver của công ty. Để các máy bên ngoài truy cập được, ta sẽ tạo ra access controllist để cho phép http và ftp vào địa chỉ 203.162.4.100.

36




access-list 101 extended permit tcp any host 203.162.4.100 eq www

access-list 101 extended permit tcp any host 203.162.4.100 eq ftp

access-list 101 extended permit tcp any host 203.162.4.100 eq ftp-data

iii. NAT Như mô hình được áp dụng phổ biến hiện nay trong hệ thống mạng của các

các công ty, tất cả các traffic đi từ mạng ở bên trong ra bên ngoài đều sử dụng cơ chế chuyển dịch địa chỉ (PAT). Tất cả các mạng trong mô hình gồm192.168.10.0/24 và 10.0.0.0/24 đều được PAT ra địa chỉ interface outside203.162.4.1. Đều này giúp tang tính bảo mật của hệ thống mạng.

nat (inside) 1 192.168.10.0 255.255.255.0

nat (DMZ) 1 10.10.10.0 255.255.255.0

global (outside) 1 interface global (backup) 1 interface

Ngoài ra, việc public các web server và ftp server nội bộ ra bên ngoài cũngcần NAT tĩnh. Ở đây, web server và ftp server có địa chỉ 10.0.0.2 được public ra

bên ngoài với địa chỉ 203.162.4.100

static (DMZ,outside) tcp 203.162.4.100 ftp-data 10.10.10.2 ftp-datanetmask 255. 255.255.255

static (DMZ,outside) tcp 203.162.4.100 ftp 10.10.10.2 ftp netmask 255.255.255.25 5

static (DMZ,outside) tcp 203.162.4.100 www 10.10.10.2 www netmask 255.255.255.255

iv. Giám sát đường truyền

Việc đứt kết nối trên đường truyền thường xuyên xảy ra. Đối với các sự cố phía trong mạng nội bộ, việc xử lí sự cố đối với các nhà quản trị được thực hiệnchủ động. Tuy nhiên, các sự cố xảy ra mà nguyên nhân ở phía các ISP thì chúng takhông kiểm soát được. Vì vậy, để đảm bảo cho hệ thống thông tin được sẵn sang

bất cứ lúc nào, người ta thường thuê thêm một đường truyền mạng dự phòng đểchuyển sang sử dụng khi đường mạng chính xảy ra sự cố. ASA hỗ trợ cơ chế giámsát đường truyền mạng và chuyển sang đường dự phòng ngay lập tức. Điều nàyđược thực hiện thông qua việc ASA lien tục ping đến địa chỉ ISP, nếu trong khoảngthời gian mặc định mà nó không nhận được câu trả lời từ ISP thì nó coi như đườngtruyền đến ISP đó gặp sự cố và ngay lập tức chuyển sang đường dự phòng. Trongthời gian chạy đường dự phòng, nó vẫn lien tục ping đến Primary ISP, nếu nó nhậnđược câu trả lời từ Primary bất cứ lúc nào, nó sẽ chuyển sang dùng đường truyềnđến Primary ISP đó.

sla monitor 100

type echo protocol ipIcmpEcho 203.162.4.2 interface outside

timeout 3000




frequency 5

sla monitor schedule 100 life forever start-time now

track 10 rtr 100 reachability

route outside 0.0.0.0 0.0.0.0 203.162.4.2 1 track 10route backup 0.0.0.0 0.0.0.0 123.0.0.2 254

v. DHCP

Ta xây dựng DHCP server ngay trên ASA để nó cấp IP cho mạng ở bêntrong

dhcpd address 192.168.10.50-192.168.10.100 inside

dhcpd dns 8.8.8.8 interface inside

dhcpd enable inside

38




PHỤ LỤC

Cấu hình của ASA

ciscoasa# show run

: Saved

:

ASA Version 8.0(2)

!

hostname ciscoasa

enable password 8Ry2YjIyt7RRXU24 encrypted

names

!

interface Ethernet0/0

nameif inside

security-level 100

ip address 192.168.10.1 255.255.255.0

!


nameif DMZ security-level 50

ip address 10.10.10.1 255.255.255.0

!


nameif outside

security-level 0

ip address 203.162.4.1 255.255.255.0!


nameif backup

security-level 100

ip address 123.0.0.1 255.255.255.0

!


shutdown




no nameif

no security-level

no ip address

!interface Ethernet0/5

shutdown

no nameif

no security-level

no ip address

!

passwd 2KFQnbNIdI.2KYOU encrypted

ftp mode passive

access-list icmp-in extended permit icmp any any

access-list 101 extended permit tcp any host 203.162.4.100 eq www

access-list 101 extended permit tcp any host 203.162.4.100 eq ftp

access-list 101 extended permit icmp any any

access-list 101 extended permit tcp any host 203.162.4.100 eq ftp-data

access-list NO_NAT extended permit ip 192.168.10.0 255.255.255.0 10.10.10.0

255. 255.255.0access-list DMZ_access_in extended permit icmp any any

pager lines 24

mtu inside 1500

mtu DMZ 1500

mtu outside 1500

mtu backup 1500

no failover icmp unreachable rate-limit 1 burst-size 1

asdm image disk0:/asdm-602.bin

no asdm history enable

arp timeout 14400

nat-control

global (outside) 1 interface

global (backup) 1 interface

nat (inside) 0 access-list NO_NAT

40




nat (inside) 1 192.168.10.0 255.255.255.0

nat (DMZ) 1 10.10.10.0 255.255.255.0

static (DMZ,outside) tcp 203.162.4.100 ftp-data 10.10.10.2 ftp-data netmask 255.255.255.255

static (DMZ,outside) tcp 203.162.4.100 ftp 10.10.10.2 ftp netmask 255.255.255.255

static (DMZ,outside) tcp 203.162.4.100 www 10.10.10.2 www netmask 255.255.255.25 5

access-group DMZ_access_in in interface DMZ

access-group 101 in interface outside

route outside 0.0.0.0 0.0.0.0 203.162.4.2 1 track 10

route backup 0.0.0.0 0.0.0.0 123.0.0.2 254timeout xlate 3:00:00

91452056 nguyenphandinhphuoc nguyenvanhung dangminhtri lop 07t4 nhom 10b

Documents