root
Specialist
I. Overview Firewall Cisco ASA
Overview Firewall Cisco ASA: Phần đầu tiền của series các bài viết về Cisco ASA. Chúng ta sẽ cùng tim tiểu các loại firewall có trong Cisco IOS, các mô hình triển khai Firewall, một số khái niệm cơ bản về Firewall Cisco ASA...
1. Firewall và appliance:
- Appliance: là 1 cái ứng dụng cài lên nó chiếm hữu luôn cái OS, cái OS chỉ làm nền. Còn Application là 1 cái software cài trên OS(Vd: world…)
Vd: ứng dụng tính tiền ở siêu thị, phần mềm thi quốc tế
- Firewall: giống như 1 người bảo vệ canh cửa. Chỉ có chức năng permit or deny
- ASA(adaptive Security Appliance) về sau nó ko chỉ làm firewall mà còn có khả năng làm VPN, web security, IDS, IPS…
2. Trusted và untrusted
- Trusted: vùng tin tưởng
- Untrusted: vùng ko tin tưởng
- Vùng Dmz(demilitarized zone)
3. Physical và Logical Zone
- Trên Firewall có thể dùng 1 cổng vật lý để chia subinterface để tiết kiệm cổng vật lý
- Cổng vật lý die -> cả 2 zone ra đi
- Bị share banwidth cho mỗi zone
- Firewall phải là con đương duy nhất
- Firewall phải có khả năng tự bảo vệ
II. Techniques Firewall Cisco ASA
1. Stateless packet filtering
- Nó ko lưu được trạng thái kết nối
- Nó ko cần biết gói tin của ai cứ gói tin đến ko thỏa chính sách thì sẽ bị chặn
- Giống như ACL(access list)
2. State packet filtering
- Biết gói tin đang thuộc sesion nào(sourport, des port…), ứng dụng nào đang sử dụng. Có khả năng tập hợp các gói tin để xem gói tin nào thuộc ứng dụng nào
- Có thể lưu lại được trạng thái(tracking)
- Hoạt động ở layer 2,3,4
So sánh Stateless và stateful packet filtering
- Trong 1 cuộc tấn công fragment attack. Fragment là kỹ thuật chia nhỏ gói tin quá lớn thành gói tin nhỏ hơn (MTU) để dễ dàng di chuyển trên mạng.
- Nhưng hacker sử dụng fragment để attack bằng cách chia gói tin đang hợp lệ thành gói nhỏ hơn với mục đích là để Router ko thể đọc được nội dung gói tin. Khi các gói tin vượt qua được Firewall chúng sẽ gép lại và thực hiện tấn công.
- Các bạn có thể thấy với 2 kỹ thuật:
- Stateless packet filtering ko thể nào ngăn chặn được vì nó biết nội dung gói tin
- Stateful packet filtering thì khác khi, các gói tin chia nhỏ đến Firewall nó sẽ lưu trạng thái các gói tin và sau đó nó kiểm tra gói tin nào thuộc session nào để ghép lại thành gói tin rồi sau đó mới filter
- Là công nghệ đang xài hiện nay
- Chặn từ layer 2 đến layer 7. Nó can thiệp sau vào header và nội dung của protocol
- Cisco đưa ra thư viện NBAR(trong phần download của Cisco, phải là partner của Cisco mới được sử dụng) để mô tả sẵn các cấu trúc application
- Nó có khả nắp lắp ráp các gói tin UDP, TCP có cùng session để nhìn vào bên trong giao thức lớp ứng dụng
- Lưu ý với ứng dụng FTP(Active FTP : port động, Passive FTP: port 20 thương lượng,21 tranfer file)
4. IDS
- IDS nằm ngang hàng với firewall. 2 cái nói chuyện trực tiếp với nhau, IDS chỉ ngồi nghe và cảnh báo
- Sử dụng 1 con hub or port mirror.
- Trong IDS chứa signature để định nghĩa thế nào là 1 cuộc tấn công
- Khi có vấn đề nó sẽ đưa xuống log và log đó được gửi đến cho admin và admin sẽ xử lý
5. IPS
- Gói tin qua Router nó sẽ được thả vô IPS coi trước rồi sau đó nó mới qua Firewall
- Khi thấy có dấu hiệu tấn công thì IPS có quyền can thiệp ngăn chặn traffic attack
6. Network Behavior analysis
- Thống kê traffic trên 1 thời gian để xây dựng 1 bảng trạng thái trung bình
- Khi traffic trên mức trung bình này sẽ đưa ra cảnh báo cho IPS(anomaly-based network), firewall(network behavior analysis) là có tấn công
7. Application Layer Gateway(proxy)
- Dùng dấu traffic, hide IP
- Dùng làm Web cachee để tăng tốc độ lướt web
- Socks(v5) phiên kết nối được mã hóa hoàn toàn(sock này kết nối với sock khác hay nói cách khách là đi qua nhiều proxy).
- Tham khảo thêm các bài lab trong phần Module 1 này
- [Lab 1.1] access-list established keyword cisco
- [Lab 1.2] cisco reflexive access list configuration
- [Lab 1.3] configure cisco CBAC Firewall
- [Lab 1.4] Configure zone based firewall cisco ios
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới