Change background image
LOVE quotion

Bắt đầu từ 4.53' thứ Hai ngày 17/10/2011


You are not connected. Please login or register

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down  Thông điệp [Trang 1 trong tổng số 1 trang]

Zone
Zone Ưu tú

Cấp bậc: Ưu tú

Bài viết : 841

Danh vọng : 1559

Uy tín : 0

PIX-515E-R-DMZ-BUN: 68.639.000 VNĐ

Cisco firewall PIX-515E-R-DMZ-BUN Produc10

PIX 515E DMZ Bundle (chassis, restricted license, software, 3 10/100 interfaces, 64 MB RAM)

Specifications
Product DescriptionCisco PIX 515E Restricted Bundle - security appliance
FeaturesFirewall protection, 56-bit encryption, 168-bit encryption, DHCP support, NAT support, VPN support, PAT support, VLAN support, content filtering, manageable, IPv6 support, 256-bit encryption, DDos attack prevention, Quality of Service (QoS)
Dimensions (WxDxH)42.7 cm x 30 cm x 4.4 cm
Weight4.1 kg
Processor1 x Intel Celeron 433 MHz x86-to-RISC
RAM Installed ( Max )64 MB ( 128 MB )
PowerAC 120/230 V AC 110/220 V ± 10% ( 50/60 Hz )
Device Type Security appliance
Enclosure TypeExternal - 1U
Ports Qty3
Data Link ProtocolEthernet, Fast Ethernet
Communication ModeHalf-duplex, full-duplex
Network / Transport ProtocolTCP/IP, IPSec
Remote Management ProtocolSNMP, HTTP
Flash Memory Installed (Max)16 MB Flash

Giới thiệu Firewall phổ biến:
      
Zone
Zone Ưu tú

Cấp bậc: Ưu tú

Bài viết : 841

Danh vọng : 1559

Uy tín : 0

Cisco IOS Firewall

Như các bạn đã biết, nếu tìm hiểu về IOS của Cisco thì cũng giống như mọi người dùng Windows, mỗi windows sẽ dùng tối ưu cho từng mục đích sử dụng. IOS trên router cũng vậy, tùy từng IOS mà chúng ta sẽ dùng cho từng mục đích khác nhau. Ex :

+ Voice
+ R&S base
+ VPN
+ Security

Trong đó không thể không kể đến dòng IOS hỗ trợ mạnh tính năng Security - Cisco IOS Firewall. Router sẽ có tính năng như một firewall cứng nhưng mini. Đương nhiên sẽ không đủ tính năng như một firewall PIX hay ASA hay CP... nhưng đối với một hệ thống mạng trung bình thì có thể chấp nhận được để tiết kiệm chi phí thiết bị.

Dưới đây sẽ là demo cấu hình chặn truy cập, giới hạn tới các website hay IP bên ngoài... Nếu yêu cầu truy cập được các ACLs chấp nhận, người dùng sẽ phải nhập Username và Password, nếu Valid thì sẽ được forward còn nếu Invalid thì sẽ ngay lập tức bị discard và không thể thử lại (với số lần thử được admin định nghĩa).

Topo mang tính chất demo, các bạn có thể dựng mô hình đơn giản hơn để test.

Sau đây là cấu hình chi tiết cho Router đóng vai trò Firewall :

Cấu hình trên Router đóng vai trò là Firewall. Lưu ý rằng muốn làm được điều này trước tiên IOS đó phải hộ trợ Cisco Firewall. Các bạn chú ý phần cấu hình được in đậm.

Chi tiết cấu hình :

IOS-firewall#write terminal
Building configuration...

Current configuration : 2983 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname IOS-firewall
!
boot-start-marker
boot-end-marker
!
!
aaa new-model
!
!
aaa authentication login default local
!
aaa session-id common
!
resource policy
!
memory-size iomem 5
ip subnet-zero
!
!
ip cef
no ip dhcp use vrf connected
!
!
ip auth-proxy auth-proxy-banner http ^C
Cisco.com --- hoadqtk4^C
ip auth-proxy name hoadq http inactivity-time 60
ip admission auth-proxy-banner http ^C
Cisco.com --- hoadqtk4^C
no ip ips deny-action ips-interface
!
no ftp-server write-enable
!
!
crypto pki trustpoint TP-self-signed-0
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-0
 revocation-check none
 rsakeypair TP-self-signed-0
!
!
crypto pki certificate chain TP-self-signed-0
 certificate self-signed 01
 30820233 3082019C A0030201 02020101 300D0609 2A864886 F70D0101 04050030
 28312630 24060355 0403131D 494F532D 53656C66 2D536967 6E65642D 43657274
 69666963 6174652D 30301E17 0D303230 33303130 30303830 325A170D 32303031
 30313030 30303030 5A302831 26302406 03550403 131D494F 532D5365 6C662D53
 69676E65 642D4365 72746966 69636174 652D3030 819F300D 06092A86 4886F70D
 01010105 0003818D 00308189 02818100 DD1FF784 169F87C1 CC6F3527 47922793
 62B9F9FB F5D6CD9C 0FFEEB04 243DCEDE 920B4FDF 41CD41ED 306835ED 21113946
 8D761AB5 C7CD0FD0 30A7067A 07821C56 A814A427 261CE1B1 7086B78B F46368ED
 3FF8BA62 53ED112C 5990B354 81A4DDD8 6E8F764D 3172806B 93BA319C 19CCD8F1
 1D9C6D99 683D8894 6A47AB3D D9138BC5 02030100 01A36D30 6B300F06 03551D13
 0101FF04 05300301 01FF3018 0603551D 11041130 0F820D49 4F532D66 69726577
 616C6C2E 301F0603 551D2304 18301680 14305691 3FEFF5E7 58655320 E95D2F93
 9FB6650B 73301D06 03551D0E 04160414 3056913F EFF5E758 655320E9 5D2F939F
 B6650B73 300D0609 2A864886 F70D0101 04050003 81810039 C5581240 B39FB384
 174B533F B1FD705A 6AE523BD ED9A820E 28430A97 931D8722 3FFA591B E766C3D8
 FB3A81F4 B12E9661 CE36E6A3 D0F9FE35 7B64966C EE7743D4 651F8395 79EB2072
 9A0E4E27 4F2D2DF3 604C56DF 5ED7C802 2BD96DD1 D88B84E6 AB8C7F12 0DC7872B
 96ECDE17 DC773116 138F9BD4 39EACDFD 514D084D CCD8B4
 quit
!
!
username hoadq privilege 15 password 0 anhyeuem
!
!
no crypto isakmp ccm
!
!
interface FastEthernet0/0
ip address 1.1.1.1 255.255.255.0
ip auth-proxy hoadq
duplex auto
speed auto
!
interface Serial1/0
 ip address 10.1.1.1 255.255.255.252
 serial restart-delay 0
 no dce-terminal-timing-enable
!
interface Serial1/1
 no ip address
 shutdown
 serial restart-delay 0
 no dce-terminal-timing-enable
!
interface Serial1/2
 no ip address
 shutdown
 serial restart-delay 0
 no dce-terminal-timing-enable
!
interface Serial1/3
 no ip address
 shutdown
 serial restart-delay 0
 no dce-terminal-timing-enable
!
ip http server
ip http authentication aaa
ip http secure-server

ip classless
!
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
!
end


Sau khi cấu hình xong, các bạn tiến hành test bằng cách đứng từ 1 PC trong mạng LAN và thực hiện kết nối ra ngoài PC ngoài Internet có địa chỉ 10.1.1.2

Kết quả chi tiết các bạn xem tại [url=http://forum.edulab.com.vn/showthread.php?p=2162#post2162]ĐÂY
      
Zone
Zone Ưu tú

Cấp bậc: Ưu tú

Bài viết : 841

Danh vọng : 1559

Uy tín : 0

Firewall là gì? firewall ASA

Sau thời gian nghiên cứu firewall và tôi đã cấu hình các ASA của cisco xin chia sẻ cũng các bạn những kiến thức cơ bản sau:
---------------------------------------------------------------------------------------------------------------------
Các công nghệ Firewall: có 3 công nghệ chính

- Packet filtering

+ Ưu điểm: đơn giản, xử lý nhanh.
+ Nhược điểm: Khó quản lý ACL khi ACL cồng kềnh. Khó quản lý với 1 số vấn đề giao thức, kết nối đặc biệt.

- Proxy (ủy quyền – mở gói tin tới tầng 7):

+ Ưu điểm: vì kiểm soát gói tin tới tầng 7 – content nên kiểm soát chặt chẽ hơn.
+ Nhược điểm: xử lý chậm và hạn chế với nhiều giao thức.

- Statefull inspection:

+ Ưu điểm: Quản lý mềm dẻo và linh hoạt hơn tùy nhu cầu của người quản trị
+ Nhược điểm: Xử lý chậm hơn Packet Filtering vì còn quá trình kiểm tra trạng thái

firewall Cisco

pixfirewall#configure terminal
pixfirewall(config)#hostname pix1
pix1(config)#


* Cấu hình enable password và telnet password *

pix1(config)#enable pasword bkna
pix1(config)#passwd bkis


* Định danh các Public Server, AAA_Server và InsideHost *

pix1(config)#names
pix1(config)#name 172.16.1.3 DNS_Server
pix1(config)#name 172.16.1.4 Web_Server
pix1(config)#name 172.16.1.5 Mail_Server
pix1(config)#name 172.16.1.6 FTP_Server
pix1(config)#name 10.0.4.5 AAA_Server
pix1(config)#name 10.0.2.10 InsideHost



ASA Firewall trong hệ thống sẽ hoạt động như một thiết bị lớp 3, vì vậy ta phải cấu hình các interface cho firewall. Lưu ý là interface Ethernet 0 kết nối đến vùng outside nên có cấp độ bảo mật thấp nhất (cấp độ 0), Ethernet 1 kết nối đến vùng inside nên có cấp độ bảo mật cao nhất (cấp độ 100), còn Ethernet 2 kết nối đến vùng DMZ nên có cấp độ bảo mật trung bình (cấp độ 50).

* Cấu hình cho interface Ethernet 0 (ouside) *

pix1(config)#interface e0
pix1(config-if)#name-if outside // đặt tên cho interface
pix1(config-if)#ip address 192.168.1.2 255.255.255.240
pix1(config-if)#speed 100
pix1(config-if)#duplex full
pix1(config-if)#security 0 // thiết lập cấp độ bảo mật
pix1(config-if)#no shutdown
pix1(config-if)#exit


* Cấu hình cho interface Ethernet 1 (inside) *

pix1(config)#interface e1
pix1(config-if)#name-if inside
pix1(config-if)#ip address 10.0.1.1 255.255.255.0
pix1(config-if)#speed 100
pix1(config-if)#duplex full
pix1(config-if)#security 100
pix1(config-if)#no shutdown
pix1(config-if)#exit


* Cấu hình cho interface Ethernet 2 (DMZ) *

pix1(config)#interface e2
pix1(config-if)#name-if dmz
pix1(config-if)#ip address 172.16.1.1 255.255.255.0
pix1(config-if)#speed 100
pix1(config-if)#duplex full
pix1(config-if)#security 50
pix1(config-if)#no shutdown
pix1(config-if)#exit


Œ Cấu hình giao thức sử dụng cho AAA Server

pix1(config)#aaa-server MyRadius protocol radius
pix1(config-aaa-server-group)#accounting-mode single
pix1(config-aaa-server-group)#exit


 Định danh AAA Server và khóa chia sẻ

pix1(config)#aaa-server MyRadius (inside) host AAA_Server
pix1(config-aaa-server-host)#key secretkey
pix1(config-aaa-server-host)#exit


Ž Cấu hình yêu cầu xác thực cho các lưu lượng đi qua PIX Firewall

pix1(config)#aaa authentication include any outside 0 0 0 0 MyRadius
pix1(config)#aaa authentication include any inside 0 0 0 0 MyRadius
pix1(config)#aaa authentication include any inside 0 0 172.16.1.0 255.255.255.0 MyRadius
pix1(config)#aaa authentication telnet console MyRadius

pix1(config)#timeout uauth 0:10:00 absolute


Cấu hình dự phòng (Failover)

Để đảm bảo khả năng dự phòng cho hệ thống, ta cần sử dụng 2 PIX Firewall và cấu hình dự phòng trên 2 firewall. Lưu ý là các interface của thiết bị chính (Primary) và phụ (Secondary) cùng được kết nối đến các vùng như nhau, riêng interface Ethernet 3 được dùng làm failover link giữa hai thiết bị. Dưới đây là các bước cấu hình dự phòng trên thiết bị chính (Primary)

* Kích hoạt interface Ethernet 3 dành cho failover link *

pix1(config)#interface e3
pix1(config-if)#no shutdown
pix1(config-if)#exit


* Đặt địa chỉ IP dự phòng (stanby) cho mỗi interface *

----------------------- Ethernet 0 -----------------------
pix1(config)#interface e0
pix1(config-if)#ip address 192.168.1.2 255.255.255.0 standby 192.168.1.7
pix1(config-if)#exit


----------------------- Ethernet 1 ---------------------
pix1(config)#interface e1
pix1(config-if)#ip address 10.0.1.1 255.255.255.0 standby 10.0.1.7
pix1(config-if)#exit


----------------------- Ethernet 2 ---------------------
pix1(config)#interface e2
pix1(config-if)#ip address 172.16.1.1 255.255.255.0 standby 172.16.1.7
pix1(config-if)#exit


Tiếp theo, ta cấu hình dự phòng LAN-base cho hệ thống thông qua interface Ethernet 3 đã kích hoạt ở trên. Các thông tin failover sẽ được chuyển đi qua failover link này

* Cấu hình failover LAN-base *

pix1(config)#failover lan interface MyFailover e3
pix1(config)#failover interface ip 172.16.2.1 255.255.255.0 standby 172.16.2.7
pix1(config)#failover lan enable


Cuối cùng ta khai báo khóa dành cho failover, vai trò của thiết bị (Primary hay Secondary) và kích hoạt tính năng failover

* Khai báo khóa dành cho failover *
pix1(config)#failover lan key failoverkey

* Khai báo vai trò thiết bị *
pix1(config)#failover lan unit primary

* Kích hoạt tính năng failover *
pix1(config)#failover

* Cấu hình chuyển đổi địa chỉ động (NAT)*

pix1(config)#nat-control // thiết lập quy tắc NAT
pix1(config)#nat (inside) 1 10.0.1.0 255.255.255.0
pix1(config)#global (outside) 1 192.168.1.10-192.168.1.250 netmask 255.255.255.0
pix1(config)#global (dmz) 1 172.16.1.10-172.16.1.250 netmask 255.255.255.0


* Cấu hình định tuyến tĩnh đến các VLAN trong vùng inside *

pix1(config)#route inside 10.0.2.0 255.255.255.0 10.0.1.2
pix1(config)#route inside 10.0.3.0 255.255.255.0 10.0.1.2
pix1(config)#route inside 10.0.4.0 255.255.255.0 10.0.1.2


* Cấu hình đường mặc định *

pix1(config)#route outside 0 0 192.168.1.1

Cấu hình nhóm thực thể (Object Group)

Nhóm thực thể giúp người quản trị dễ dàng hơn trong việc quản lý hệ thống mạng. Đối với bài toán này, ta sẽ cấu hình nhóm thực thể để tiện cho công việc quan trị sau này

* Nhóm Public Server *

pix1(config)#object group network PubServer
pix1(config-network)#network-object host DNS_Server
pix1(config-network)#network-object host Web_Server
pix1(config-network)#network-object host Mail_Server
pix1(config-network)#network-object host FTP_Server
pix1(config-network)#exit


* Nhóm Ping (được sử dụng để cho phép ping giữa các vùng sau này)*

pix1(config)#object-group icmp-type Ping
pix1(config-icmp)#icmp-object echo
pix1(config-icmp)#icmp-object echo-reply
pix1(config-icmp)#icmp-object unreachable
pix1(config-icmp)#exit


Cấu hình truy cập

Để các host bên ngoài Internet có thể truy cập được vào các Public Server trong vùng DMZ, ta cần cấu hình chuyển đổi tĩnh cho các Server và thiết lập một ACL cho phép bên ngoài truy cập đến.

* Cấu hình chuyển đổi tĩnh cho Public Server *

pix1(config)#static (inside, outside) 192.168.1.10 insidehost netmask 255.255.255.255
pix1(config)#static (dmz, outside) 192.168.1.3 DNS_Server netmask 255.255.255.255
pix1(config)#static (dmz, outside) 192.168.1.4 Web_Server netmask 255.255.255.255
pix1(config)#static (dmz, outside) 192.168.1.5 Mail_Server netmask 255.255.255.255
pix1(config)#static (dmz, outside) 179.168.1.6 FTP_Server netmask 255.255.255.255


* Cấu hình ACL cho phép bên ngoài truy cập vào Public Server *

pix1(config)#access-list Outside_In permit tcp any host DNS_Server eq domain
pix1(config)#access-list Outside_In permit tcp any host Web_Server eq www
pix1(config)#access-list Outside_In permit tcp any host Mail_Server eq smtp
pix1(config)#access-list Outside_In permit tcp any host FTP_Server eq ftp


Trong quá trình quản trị cũng như giải quyết các sự cố của hệ thống, người quan trị có thể cần sử dụng một số công cụ như ping, tracert/traroute… Tuy nhiên, mặc định để đảm bảo an toàn thì PIX Firewall cấm không cho các gói ping trả về theo chiều vào trong (inbound) nên nếu muốn sử dụng ping để kiểm tra thì ta phải cấu hình ACL cho phép các gói ping theo chiều inbound. Lưu ý là để đảm bảo an toàn tránh các cuộc tấn công thăm dò (ping sweep, port sweep…) thì ta chỉ nên áp ACL cho phép ping lên interface trong quá trình giải quyết sự cố.

* Cấu hình ACL cho phép ping theo chiều inbound từ vùng DMZ *

pix1(config)#access-list DMZ_In permit icmp 172.16.1.0 255.255.255.0 10.0.0.0 255.255.248.0 object-group PING
pix1(config)#access-list DMZ_In deny ip any any
pix1(config)#access-group DMZ_In in interface DMZ


* Cấu hình ACL cho phép ping theo chiều inbound từ vùng outside *

pix1(config)#access-list Outside_In permit any 172.16.1.0 255.255.255.0 object-group PING
pix1(config)#access-list Outside_In permit any 10.0.0.0 255.255.248.0 object-group PING
pix1(config)#access-list Outside_In deny ip any any
pix1(config)#access-group Outside_In in interface outside


Giả sử trong giờ cao điểm (từ 9h-11h sáng), để đảm bảo cho đường truyền Internet không bị tắc nghẽn, ta có thể cấu hình cấm sử dụng dịch vụ FTP từ inside ra Internet bằng cách sử dụng time-range kết hợp với ACL

* Cấu hình time-range (từ 9h-11h sáng) *

pix1(config)#time-range RushHour
pix1(config-time-range)#absolute start 09:00 01 jun 2007 end 11:00 30 jun 2007
pix1(config-time-range)#periodic weekdays 09:00 to 11:00
pix1(config-time-range)#exit


* Cấu hình ACL cấm truy cập FTP ra ngoài trong giờ cao điểm *

pix1(config)#access-list Inside_In permit tcp 10.0.0.0 255.255.248.0 172.16.1.0 255.255.255.0 eq FTP
pix1(config)#access-list Inside_In deny tcp 10.0.0.0 255.255.248.0 any eq FTP time-range RushHour
pix1(config)#access-list Inside_In permit ip any any
pix1(config)#access-group Inside_In in interface inside


Cho mô hình mạng như sau:


Interface
Zone
Network
IP
Security level
ethernet 0
(ethernet 0/0)
Inside
192.168.1.0/24
192.168.1.1
100
ethernet 1
(ethernet 0/1)
DMZ
172.16.1.0/24
172.16.1.1
50
• Yêu cầu:

- Cấu hình định tuyến trên Firewall cho phép ra ngoài internet.
- Cấu hình NAT cho phép các máy tính ở inside truy cập vào dmz và internet. Địa chỉ dùng để NAT là địa chỉ của các interface outside và DMZ
- Cấu hình NAT server 172.16.1.254 ra ngoài Outside với IP 10.2.46.146.
- Cấu hình cho phép PC (outside) truy cập vào dịch vụ DNS, HTTP của server. Thử ping từ PC (outside) vào server (theo địa chỉ đã NAT), giải thích kết quả.
- Cho phép ping giữa các vùng

• Bài làm:

- Cấu hình định tuyến trên Firewall cho phép ra ngoài Internet

Pixfirewall(config)route outside 0.0.0.0 0.0.0.0 10.2.46.1 1

- Cấu hình NAT cho phép các máy tính ở inside truy cập vào dmz và internet

Pixfirewall(config) nat (inside) 1 192.168.1.0 255.255.255.0
Pixfirewall(config) global (outside) 1 interface
Pixfirewall(config) global (dmz) 1 172.16.1.20-172.16.1.222 netmask 255.255.255.0

- Cấu hình NAT server 172.16.1.254 ra ngoài Outside với IP 10.2.46.146.[/b]

Pixfirewall(config) static (dmz,outside) 10.2.46.146 172.16.1.254 netmask 255.255.255.255

- Cấu hình cho phép PC (outside) truy cập vào dịch vụ DNS, HTTP của server. Thử ping từ PC (outside) vào server (theo địa chỉ đã NAT), giải thích kết quả.

Pixfirewall(config) access-list FROM_OUTSIDE extended permit tcp any host 10.2.46.146 eq www
Pixfirewall(config) access-list FROM_OUTSIDE extended permit udp any host 10.2.46.146 eq domainPixfirewall(config) access-group FROM_OUTSIDE in interface outside

+ Ping từ PC (outside) vào địa chỉ Server (đã được NAT) sẽ không ping được vì ACLFRO_OUTSIDE áp trên cổng outside của PIX chỉ cho phép lưu lượng www và dns.

- Cho phép ping giữa các vùng

//Inside ping ra outside
Pixfirewall(config) access-list FROM_OUTSIDE extended permit icmp any any echo-reply
Pixfirewall(config) access-group FROM_OUTSIDE in interface outside
//Inside ping ra dmz
Pixfirewall(config) access-list FROM_DMZ extended permit icmp any any echo-reply
Pixfirewall(config) access-group FROM_DMZ in interface dmz

Nghiên cứu về an ninh thiết bị Cisco thì anh em vào link dưới nhé, và search tài liệu"asa.all.in.one"


http://www.cisco.com/en/US/docs/ios/11_3/security/configuration/guide/secur_c.html

Các nội dung cơ bản

1. ACL Advanced
2. AAA
3. Encryption.
4. IPSec
and more....
      
      

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang  Thông điệp [Trang 1 trong tổng số 1 trang]

Quyền hạn của bạn

Bạn không có quyền trả lời bài viết
free counters



  • Đoàn Ngọc Khánh

    mobile phone 098 376 5575


    Đỗ Quang Thảo

    mobile phone 090 301 9666


    Nguyễn Văn Của

    mobile phone 090 372 1401


    IP address signature
    Free forum | © PunBB | Free forum support | Liên hệ | Báo cáo lạm dụng | Thảo luận mới nhất