Cisco ASA [Chapter 1] Overview Firewall Cisco ASA

root

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

I. Overview Firewall Cisco ASA


Overview Firewall Cisco ASA: Phần đầu tiền của series các bài viết về Cisco ASA. Chúng ta sẽ cùng tim tiểu các loại firewall có trong Cisco IOS, các mô hình triển khai Firewall, một số khái niệm cơ bản về Firewall Cisco ASA...

1. Firewall và appliance:


- Appliance: là 1 cái ứng dụng cài lên nó chiếm hữu luôn cái OS, cái OS chỉ làm nền. Còn Application là 1 cái software cài trên OS(Vd: world…)
Vd: ứng dụng tính tiền ở siêu thị, phần mềm thi quốc tế
- Firewall: giống như 1 người bảo vệ canh cửa. Chỉ có chức năng permit or deny
- ASA(adaptive Security Appliance) về sau nó ko chỉ làm firewall mà còn có khả năng làm VPN, web security, IDS, IPS…

2. Trusted và untrusted
- Trusted: vùng tin tưởng
- Untrusted: vùng ko tin tưởng
- Vùng Dmz(demilitarized zone)

3. Physical và Logical Zone
- Trên Firewall có thể dùng 1 cổng vật lý để chia subinterface để tiết kiệm cổng vật lý
  • Cổng vật lý die -> cả 2 zone ra đi
  • Bị share banwidth cho mỗi zone
4. Firewall trong network
- Firewall phải là con đương duy nhất
- Firewall phải có khả năng tự bảo vệ

II. Techniques Firewall Cisco ASA


1. Stateless packet filtering
- Nó ko lưu được trạng thái kết nối
- Nó ko cần biết gói tin của ai cứ gói tin đến ko thỏa chính sách thì sẽ bị chặn
- Giống như ACL(access list)

2. State packet filtering
- Biết gói tin đang thuộc sesion nào(sourport, des port…), ứng dụng nào đang sử dụng. Có khả năng tập hợp các gói tin để xem gói tin nào thuộc ứng dụng nào
- Có thể lưu lại được trạng thái(tracking)
- Hoạt động ở layer 2,3,4

So sánh Stateless và stateful packet filtering
- Trong 1 cuộc tấn công fragment attack. Fragment là kỹ thuật chia nhỏ gói tin quá lớn thành gói tin nhỏ hơn (MTU) để dễ dàng di chuyển trên mạng.
- Nhưng hacker sử dụng fragment để attack bằng cách chia gói tin đang hợp lệ thành gói nhỏ hơn với mục đích là để Router ko thể đọc được nội dung gói tin. Khi các gói tin vượt qua được Firewall chúng sẽ gép lại và thực hiện tấn công.
- Các bạn có thể thấy với 2 kỹ thuật:
  • Stateless packet filtering ko thể nào ngăn chặn được vì nó biết nội dung gói tin
  • Stateful packet filtering thì khác khi, các gói tin chia nhỏ đến Firewall nó sẽ lưu trạng thái các gói tin và sau đó nó kiểm tra gói tin nào thuộc session nào để ghép lại thành gói tin rồi sau đó mới filter
3. SPF với AIC(Application inspection control)
- Là công nghệ đang xài hiện nay
- Chặn từ layer 2 đến layer 7. Nó can thiệp sau vào header và nội dung của protocol
- Cisco đưa ra thư viện NBAR(trong phần download của Cisco, phải là partner của Cisco mới được sử dụng) để mô tả sẵn các cấu trúc application
- Nó có khả nắp lắp ráp các gói tin UDP, TCP có cùng session để nhìn vào bên trong giao thức lớp ứng dụng
- Lưu ý với ứng dụng FTP(Active FTP : port động, Passive FTP: port 20 thương lượng,21 tranfer file)

4. IDS
- IDS nằm ngang hàng với firewall. 2 cái nói chuyện trực tiếp với nhau, IDS chỉ ngồi nghe và cảnh báo
- Sử dụng 1 con hub or port mirror.
- Trong IDS chứa signature để định nghĩa thế nào là 1 cuộc tấn công
- Khi có vấn đề nó sẽ đưa xuống log và log đó được gửi đến cho admin và admin sẽ xử lý

diagram IDS Cisco ASA

5. IPS
- Gói tin qua Router nó sẽ được thả vô IPS coi trước rồi sau đó nó mới qua Firewall
- Khi thấy có dấu hiệu tấn công thì IPS có quyền can thiệp ngăn chặn traffic attack
Diagram IPS cisco ASA
6. Network Behavior analysis
- Thống kê traffic trên 1 thời gian để xây dựng 1 bảng trạng thái trung bình
- Khi traffic trên mức trung bình này sẽ đưa ra cảnh báo cho IPS(anomaly-based network), firewall(network behavior analysis) là có tấn công

7. Application Layer Gateway(proxy)
- Dùng dấu traffic, hide IP
- Dùng làm Web cachee để tăng tốc độ lướt web
- Socks(v5) phiên kết nối được mã hóa hoàn toàn(sock này kết nối với sock khác hay nói cách khách là đi qua nhiều proxy).

- Tham khảo thêm các bài lab trong phần Module 1 này
  1. [Lab 1.1] access-list established keyword cisco
  2. [Lab 1.2] cisco reflexive access list configuration
  3. [Lab 1.3] configure cisco CBAC Firewall
  4. [Lab 1.4] Configure zone based firewall cisco ios
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Last edited:
You must log in or register to reply here.

Similar Threads

[Chapter 13.2] Monitor and debug Virtual Firewall ASA
Cisco ASA [Chapter 13.2] Monitor and debug Virtual Firewall ASA
Replies
0
Views
32K
root
root
[Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
Cisco ASA [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
Replies
0
Views
5K
root
root
[Chapter 7.2] Cisco ASA NAT configuration
Cisco ASA [Chapter 7.2] Cisco ASA NAT configuration
Replies
3
Views
5K
root
root
[Chapter 4.4] Dynamic Routing Protocols
Cisco ASA [Chapter 4.4] Dynamic Routing Protocols
Replies
2
Views
3K
root
root
Tổng hợp các bài lý thuyết Cisco ASA
  • Sticky
Cisco ASA Tổng hợp các bài lý thuyết Cisco ASA
Replies
0
Views
5K
root
root

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back