Chương 5: MỘT SỐ CHỨC NĂNG KHÁC CỦA PIXFIREWALL

Chia sẻ: Tran Viet Son | Ngày: | Loại File: DOC | Số trang:21

0
103
lượt xem
40
download

Chương 5: MỘT SỐ CHỨC NĂNG KHÁC CỦA PIXFIREWALL

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Giả sử để phân giải một tên đến một địa chỉ , một host có thể truy vấn (query ) cùng DNS server nhiều lần . Đặc điểm DNS guard của PIX firewall là nhận biết được một truy vấn outbound DNS và chỉ cho phép lần reply đầu tiên từ server được qua PIX firewall . Tất cả các

Chủ đề:
Lưu

Nội dung Text: Chương 5: MỘT SỐ CHỨC NĂNG KHÁC CỦA PIXFIREWALL

  1. Bài Viết Về PIX FIREWALL Tác giả: Nguyễn Thị Băng Tâm Chương 5: MỘT SỐ CHỨC NĂNG KHÁC CỦA PIXFIREWALL 1. Attack Guard a. DNS guard Giả sử để phân giải một tên đến một địa chỉ , một host có thể truy vấn (query ) cùng DNS server nhiều lần . Đặc điểm DNS guard của PIX firewall là nhận biết được một truy vấn outbound DNS và chỉ cho phép lần reply đầu tiên từ server được qua PIX firewall . Tất cả các lần replies khác sẽ bị loại bỏ . Sau lần DNS reply đầu tiên đó , DNS guard sẽ đóng tất cả các phiên UDP được mở bởi DNS request mà không cần chờ đến khoảng thời gian timeout của UDP . Một host cũng có thể truy vấn nhiều DNS server khác nhau . Ví dụ , nếu DNS resolver gửi ba query cụ thể đến 3 server khác nhau, PIX firewall sẽ tạo ra 3 kết nối khác nhau. Kết nối đến mỗi server được thực hiện riêng biệt vì request được gửi một cách riêng biệt , mỗi request được đặc trưng bởi một ID . Reply cho request này bao gồm cùng một ID và IP address giống nó . Từ đó , ta kết luận DNS Guard có những đặc điểm sau : - Chỉ chấp nhận các replies nào đúng địa chỉ IP - Chỉ chấp nhận một reply . Trong trường hợp có nhiều replies , ngoại trừ reply đầu tiên , tất cả các replies sẽ bị loại bỏ . - Kết nối UDP tương ứng với kết nối DNS sẽ bị loại bỏ ngay khi nhận được DNS reply mà không đợi đến khi hết thời gian timeout . - Bảo vệ được các phiên làm việc UDP từ các hình thức tấn công như DoS hay hijacking. Để hiểu rõ hơn hoạt động của DNS Guard , ta xem xét ví dụ sau :
  2. Client (có địa chỉ 192.168.0.1) và Web server (web.company.com , có địa chỉ 192.168.0.5 ) nằm trong inside interface của PIX và các địa chỉ private . DNS server nằm ở outside interface . PIX được cấu hình để chuyển địa chỉ của client và server khi đi ra mạng ngoài thành địa chỉ 1.2.3.4 thông qua PAT . Địa chỉ này được DNS server ghi lại là địa chỉ cho web.company.com. Khi client yêu cầu địa chỉ IP của server , PIX sẽ chuyển yêu cầu đó đến DNS server, đổi địa chỉ source từ 192.168.0.1 thành 1.2.3.4 (PIX thực hiện NAT ) . Khi PIX nhận được reply từ DNS server , ngoài việc pix đổi địa chỉ đích của gói tin (từ 1.2.3.4 đến 192.168.0.1) , nó còn thay đổi địa chỉ của Web server có trong reply đó (đó là 1.2.3.4 chuyển thành 192.168.0.5) .  NOTE : không thể tắt tính năng DNS Guard cũng như thay đổi giá trị mặc định là port 53 của DNS trong PIX . b. Mail Guard
  3. Mail Guard được thiết kế để bảo đảm độ an toàn cho các kết nối SMTP từ outside đến email server inside , nó sẽ hạn chế server và client có thể được phép làm và xem gì ? SMPT là một giao thức dựa trên telnet , được thiết kế cho việc truyền thư điện tử giữa các server . Client gửi các command đến server , server trả lời lại bằng các status messages và một số thông tin phụ thêm . Các command được phép đến mail server đó là : HELLO , MAIL , RCPT , DATA , RSET , NOOP , và QUIT . Mặc định PIX sẽ kiểm tra các kết nối port 25 cho lưu lượng SMTP . Nếu các SMTP server sử dụng nhiều port khác ngoài port 25 , ta phải sử dụng câu lệnh [no] fixup protocol smtp [ [-]] Mục tiêu chính của Mail Guard là hạn chế các command mà client sử dụng đến mức thấp nhất (minimal set), trong khi vẫn quản lí toàn bộ command , cụ thể : - Mail Guard quản lí các command được gửi bởi client , nếu command này không thuộc về minimal set , nó sẽ thay thể bằng NOOP command . - Nếu Mail Guard gặp một command không biết , toàn bộ phần dữ liệu trong gói tin sẽ được đánh dấu bằng kí tự X , với kí tự này khi server nhận được sẽ phát ra một error . c. SYN flood Guard Để bảo vệ các host bên trong tránh khỏi các cuộc tấn công DoS , sử dụng câu lệnh static để giới hạn số lượng các kết nối embryonic được phép đến server . Cấu trúc của câu lệnh như sau : Static(internal_if_name , external_if_name) global_ip local_ip [netmask network_mask] [max_conns[em_limit]] • Internal_if_name : tên của interface mạng bên trong • External_if_name : tên của interface mạng bên ngoài • Global_ip : địa chỉ global ip cho interface bên ngoài . Địa chỉ này không được là địa chỉ PAT
  4. • Local_ip : địa chỉ local ip của mạng bên trong • Netmask network_mask : là mask của địa chỉ global và local • Max_conns : số lượng kết nối tối đa được phép đến local_ip . Mặc định là 0 , tức là unlimited • Em_limit : được sử dụng để giới hạn số lượng kết nối embryonic được phép đến server .  Nếu ta thiết lập mức ngưỡng quá cao , có nguy cơ sẽ làm quá tải IP stack và dễ bị DoS attack . Nếu thiết lập mức ngưỡng quá thấp, dễ dẫn đến tình trạng từ chối dịch vụ của các user hợp lệ . Thông thường chọn giá trị em_limit thấp hơn giá trị max_conns. Nếu trong câu lệnh static có cấu hình mức ngưỡng em_limit để giới hạn kết nối embryonic , và khi các kết nối đó đạt được giá trị ngưỡng thì PIX firewall chỉ đơn giản đánh rớt các kết nối mới . điều này cho phép kết thúc việc tổ chức lưu lượng từ các cuộc tấn công , ngay cả với các attack đơn giản nhất . Nếu trong câu lệnh static không có cấu hình ngưỡng em_limit , PIX firewall sẽ cho tất cả traffic đi qua , điều này sẽ dẫn đến bảng kết nối embryonic bị quá tải và tất cả traffic bị dừng lại khi có attack . Trong các version từ 5.2 trở lên , đã đưa ra một đặc điểm mới là TCP Intercept . TCP Intercept là phương pháp cải tiến việc đáp ứng một kết nối embryonic của PIX firewall . Khi số lượng kết nối này vượt quá giá trị ngưỡng được cấu hình , PIX firewall sẽ chặn đứng và chuyển sang kết nối mới . Các version trước 5.2 , pix không cho phép các kết nối mới sau khi đạt được giá trị ngưỡng . Điều này vẫn gây ra DoS vì các TCP connection slot vẫn được làm đầy . Hoạt động của TCP Intercept cũng đơn giản , đối với mỗi SYN , PIX firewall đáp ứng về cho server một SYN/ACK segment rỗng , PIX firewall giữ lại thông tin trạng thái SYN đó , đánh rớt các
  5. gói tin , và chờ ACK từ client . Nếu nhận được ACK , pix sẽ gửi bản copy SYN segment của client đến server , khi đó TCP three-way handshake được thực hiện giữa PIX firewall và server . Chỉ khi nào three-way handshake hoàn tất , kết nối đó mới được đưa về trạng thái bình thường . Để bảo vệ các host bên ngoài từ các cuộc tấn công DoS và để giới hạn số lượng kết nối embryonic đến server , sử dụng lệnh nat Cấu trúc câu lệnh như sau : nat [(if_name)] nat_id local_ip {netmask [max_conns [em_limit]]} Sử dụng lệnh show local-host để xem số lượng các kết nối hiện tại và các kết nối embryonic . d. AAA Floodguard Khi sử dụng AAA với PIX để nhận diện , thẩm quyền và quản lí user để làm giảm các vấn đề như truy cập không có thẩm quyền đến nguồn tài nguyên thông tin , điều này cũng tạo cho hacker có hội trong việc attack . Nếu tất cả các connection đều phải được chứng thực thì khi có quá nhiều authentication request làm cho nguồn tài nguyên của AAA quá tải dẫn đến dịch vụ bị từ chối – DoS . Floodguard command cho phép ta tự động bảo vệ nguồn tài nguyên cho PIX firewall nếu hệ thống xác thực user bị quá tải . Nếu kết nối uauth inbond hoặc outbound bị tấn công hoặc bị sử dụng quá nhiều , PIX tự động bảo vệ TCP user resource . Khi các nguồn tài nguyên bị cạn kiệt , PIX firewall sẽ đưa ra nhiều messages chỉ thị rằng nó đã hết tài nguyên (out of resource) . Nếu hệ thống uauth bị cạn kiệt , TCP user resource ở trạng thái khác sẽ được dùng phụ thuộc vào mức độ cảnh báo theo thứ tự sau : - Timewait - Finwait - Embryonic - Idle
  6. Floodguard command mặc định đã được bật lên và có cấu trúc như sau : floodguard enable | disable e. Fragmentation Guard Đặc điểm Fragmentation Guard đưa ra 2 security check ngoài các security check được đề nghị bởi RFC 1858 cho gói tin IP trong việc bảo vệ cho gói tin khỏi bị phân mảnh từ các cuộc tấn công như teardrop , land … Security check đầu tiên yêu cầu mỗi gói tin non-initial IP fragment phải liên kết với gói tin already-seen valid initial IP fragment . Vì các fragment này có thể đến không theo thứ tự . Security check thứ hai là IP fragment phải có tốc độ là 100 gói tin IP fragment hoàn chỉnh trên 1 giây cho mỗi host internal . Điều này có nghĩa là Pix có thể xử lý 1200 packet fragment trong vòng 1 giây . FragGuard hoạt động ở tất cả các interface của PIX firewall . Để enable tính năng này lên , sử dụng câu lệnh sysopt security fragguard 2. syslog Việc kiểm tra các cấu hình của thiết bị để bảo đảm nó hoạt động tốt là vấn đề quan trọng trong việc bảo mật mạng . Có rất nhiều cách để thực hiện điều này , nhưng cách chủ yếu vẫn là giám sát (monitor ) và ghi lại (log) các sự kiện trong mạng . Việc ghi lại các sự kiện rất quan trọng trong quá trình theo dõi nhiều thông tin trong hệ thống .Thao tác này sẽ đưa ra tại ngõ ra của hệ thống các message báo lỗi như ai đang làm gì , ai đang đi đâu , hoặc là các loại tấn công có thể có vào mạng . Trong PIX firewall có hai cách để ghi lại thông tin , đó là local và remote . Local logging là việc bản thân Pix có thể ghi lại các sự kiện , nhưng hạn chế của phương pháp này là chỉ ghi được một vài sự kiện . Remote logging là phương pháp cho phép ta lưu các bản tin và sử dụng các scripts để kiểm tra các bản tin đó một cách chi tiết , điểu khiển được dữ liệu và phát ra các bản báo cáo chi tiểt . Remote logging cũng cho phép ta lưu tạm các sự kiện . Để thực hiện được phương pháp này , PIX firewall sử dụng cơ chế syslog , đó là một trong các phương pháp phổ biến nhất để lưu và giữ lại các log messages , trong đó có một host sẽ gửi các syslog messages
  7. và một server quản lí syslog , server này có thể là máy chủ sử dụng hệ điều hành Window , Linux / UNIX . PIX firewall sẽ đóng vai trò như là một host gửi các syslog messages đến syslog server , syslog server quyết định sẽ đặt các bản tin này ở đâu còn tùy thuộc vào các software sử dụng cho server . Syslog server có thể viết các bản tin này thành một file hoặc là gửi thông báo khẩn (alert ) đến một người nào đó bằng email hay tin nhắn . Mặc định PIX firewall sẽ tắt chức năng logging , để bật nó lên ta sử dụng câu lênh sau : Pix (config)# logging on Câu lệnh này cần thiết để bắt đầu logging tất cả các sự kiện ở ngõ ra như ở buffer , terminal , hay là ở syslog server . Tuy nhiên sau khi sử dụng lệnh này , ta vẫn phải chỉ ra hình thức logging cụ thể . Để tắt logging , sử dụng no logging on a. Local logging Có 3 loại local logging là : buffered logging (logging từ bộ đệm ) , console logging (logging từ cổng console ) , và terminal logging (logging từ thiết bị đầu cuối ) . - Buffered logging : Khi sử dụng phương pháp này , tất cả các log messages được gửi đến một bộ đệm bên trong PIX firewall . Để bật tính năng này lên , sử dụng câu lệnh sau : Pix(config)# logging buffered Tham số level chỉ ra mức độ chi tiết mà ta muốn xem trong các bản tin , các bản tin này sẽ xuất hiện ở cổng console của pix , tham số này được dùng để giới hạn số lượng bản tin được log . Để xem các bản tin được giữ trong bộ đệm , sử dụng câu lệnh show logging , câu lệnh này chỉ cấu hình logging cũng như các bản tin được giữ trong bộ đệm . Lệnh clear logging cho phép ta làm sạch bộ đệm . Hai lệnh trên được sử dụng ở enable mode . Ví dụ của lệnh show logging : Pix # show logging Syslog logging : enabled Facility : 20
  8. Timestamp logging : disabled Standby logging : disabled Console logging : level debugging , 37 messages logged Monitor logging : disabled Buffer logging : level debugging , 8 messages logged Trap logging : disabled History logging : disabled  NOTE : Cisco đề nghị không nên bật tính năng buffered logging vì sẽ làm giảm hoạt động của PIX . - Console logging : gửi các log messages đến console ( cổng nối tiếp) của PIX firewall . Để bật tính năng này lên , sử dụng : pix(config) # logging console Tham số level sử dụng giống như trong buffer logging . - Terminal logging : gửi các log messages đến một phiên telnet hoặc SSH . Để bật terminal logging , sử dụng : pix(config) # logging monitor Bên cạnh bật chức năng này ở mode global , logging output cùng phải được bật trên mỗi phiên làm việc telnet hoặc SSH hiện tại bằng cách sử dụng câu lệnh terminal monitor . Để tắt nó , sử dụng terminal no monitor . b. Remote logging : syslog Như đã nói ở trước , logging trong pix mặc định là bị tắt đi , ta cần phải bật nó trên trước khi cấu hình logging cho pix . Pix(config) # logging on - Để cấu hình syslog trên pix , đầu tiên cần phải xác định host nào sẽ gửi syslog messages đến bằng cách sử dụng câu lệnh : logging host [] • Tham số interface chỉ ra interface mà ta muốn gửi các bản tin ra ngoài , • Tham số ip_address chỉ ra điạ chỉ của syslog server trên interface đó . Nếu không chỉ ra interface nào cụ thể , mặc định là lấy inside interface . - Sẽ không có log messages nào được gửi đến syslog cho đến khi ta cấu hình mức độ logging sử dụng câu lệnh sau :
  9. logging trap - Khi được cấu hình để sử dụng syslog , PIX firewall sẽ gửi log messages đến syslog server mặc định sử dụng UDP port 514 . Ta có thể thay đổi mặc định này như sau : logging host [] [tcp | udp / ] Có thể cấu hình UDP hay là TCP cho syslog , tham số port _number là giá trị nằm trong khoảng 1025 đến 65535 . TCP không phải là phương pháp chuẩn cho việc cấu hình syslog vì hầu hết các syslog server không hỗ trợ . Nếu sử dụng kết nối TCP cho syslog server , cần lưu ý là nếu syslog server bị down thì tất cả lưu lượng trong mạng qua pix sẽ bị khóa . Một lưu ý khác là khi cấu hình TCP syslog thì kết nối syslog sẽ chậm hơn UDP vì TCP phụ thuộc vào quá trình bắt tay 3 bước . Điều này sẽ dẫn đến thêm overhead của kết nối và làm chậm việc gửi syslog messages đến server . - Đối với những pix có hỗ trợ tính năng failover , lệnh logging standby cho phép failover PIX gửi syslog messages cho các log files được đồng bộ trong trường hợp stateful failover xảy ra . c. logging level Mặc dù lệnh logging có 8 level khác nhau được sử dụng trong pix (theo bảng ) , logging level 0 không được sử dụng . Khi cấu hình logging , ta phải chỉ ra mức level có thể bằng số hay bằng từ khóa . Khi đó , PIX firewall ghi lại tất cả các sự kiện như nhau cho mức level được chỉ ra cũng như các level thấp hơn nó . Ví dụ , level mặc định cho pix là level 3 (error) , thì pix cũng sẽ log các sự kiện ở level 2 , level 1 , và level 0 .
  10. Ví dụ về các level được ghi lại : d. Logging facility
  11. Mỗi syslog message có một số tiện ích (facility number) . Có 24 facility khác nhau được xếp từ 0 đên 23 . 8 facility được sử dụng phổ biến cho syslog là local0 đến local7 . Facility có vai trò giống như những ống dẫn dẫn dắt tiến trình syslog . Tiến trình syslog sẽ đặt các messages vào đúng log file dựa trên facility . Cấu hinh tính năng này như sau : logging facility Các facility_code được sắp xếp theo bảng sau : 3. Content Filtering a. Filtering URL với Websense Có thể sử dụng access-list để cho phép hoặc từ chối truy cập web , nhưng nếu list các site ngày càng dài hơn , thì giải pháp này sẽ ảnh hưởng đến hoạt động của firewall . Ngoài ra , access-list không đưa ra được sự tiện lợi trong việc điều khiển truy cập trong trường hợp này . Ví dụ như nó không thể cho phép hoặc từ chối truy cập đến các trang cụ thể trong website , mà là toàn bộ website được chỉ ra trong câu lệnh của nó . Access-list cũng không có tác dụng đối với những website là những host ảo . Ví dụ như có nhiều website thuộc về cùng một server và tất của các website đó phải có địa chỉ IP , do đó chỉ có thể cho phép hoặc từ chối truy cập đến tất cả các website đó trong cùng một lúc . Pix đã đưa ra một giải pháp điều khiển truy cập web tốt hơn và hiệu quả hơn đó là sử filtering URL thông qua một filtering server . Cụ thể như trong hình sau :
  12. - khi một client thiết lập kết nối TCP đến Web server - Client gửi HTTP request cho một trang trong server này - Pix chặn request này và chuyển nó đến filtering server - Filtering server sẽ quyết định xem client có được phép truy cập đến trang đã yêu cầu hay không ? - Nếu được , PIX sẽ chuyển request đến server và client nhận được nội dung đã request - Nếu không , request của client bị đánh rớt . Websense là một phần mềm cung cấp chức năng filtering cho PIX firewall , giúp cho nhà quản trị mạng giám sát và điều khiển lưu lượng mạng . Websense được sử dụng để khóa các URL mà PIX không thể khóa . Websense quyết định là khóa hay cho phép một URL nào đó dựa trên thông tin cấu hình của nó và Master Database . Cấu hình Websense là đưa ra các quy tắc filtering mà ta đã thiết lập trong Websense. Master Database là database của URL bị khóa . Database này được duy trì và cập nhập hằng ngày bởi Websense corporate office . Câu lệnh chỉ ra filtering server cho Websense là : url-server host [timeout ] [protocol | ] [version 1 | 4] Cấu hình Pix để làm việc với Websense : Filter url http [local_ip local_mask foreign_ip foreign_mask ] [allow]
  13. b. Active Code Filtering Active content trong các trang web có thể được xem là vấn đề không mong muốn trong việc bảo mật . PIX firewall có thể lọc các active code , các active code này có thể được sử dụng trong các ứng dụng như Java hay ActiveX . PIX firewall hỗ trợ Java applet filer có thể dừng các ứng dụng Java nguy hiểm dựa trên user hay địa chỉ IP . Câu lệnh để filter java là : Filter java port [- port] local_ip mask foreign_ip mask ActiveX controls có thể gây ra các vấn đề bảo mật bởi vì chúng có thể đưa một cách nào đó cho hacker tấn công server . PIX firewall có hỗ trợ tính năng khóa tất cả các activeX controls . filter activex port local_ip mask foreign_ip mask 4. Intruction Detection PIX Firewall software version 5.2 trở về sau có khả năng phát hiện xâm nhập (IDS). Phát hiện xâm nhập là khả năng phát hiện sự tấn công mạng. Có 3 loại tấn công vào mạng : - Reconnaissance attack - Kẻ xâm nhập cố gắng phát hiện và sắp xếp hệ thống, dịch vụ hoặc các cho yếu điểm - Access attack - Kẻ xâm nhập tấn công mạng hoặc hệ thống để lấy dữ liệu, tăng tốc độ truy cập và nâng cao đặc quyền truy cập - DoS attack -Kẻ xâm nhâ tấn công vào hệ thống mạng bằng cách ga6 nguy hiểm hoặc làm hỏng các hệ thống máy tính hoặc từ chối iệc truy cấp vào mạng, các dịch vụ hoặc các hệ thống PIX Firewall phát hiện xâm nhập bằng cách sử dụng signature phát hiện xâm nhập. Một signature là một tập các nguyên tắc gắn liền với các hoạt động xâ nhập. Với việc cho phép phát hiện xâm nhập, PIX Firewall có thể phát hiện signature và truyền đáp ứng khi một tập các nguyên tắc được so sánh với hoạt động của mạng. Nó có thể giám sát các gói của 53 signature phat hiện xâm nhập và được cấu hình để gởi cảnh báo đến một Syslog
  14. server, drop packet hoặc reset lại kết nối. 53 signature làmột tập con của các signature được hỗ trợ bởi Cisco Intrusion Detection System (CIDS) PIX Firewall có thể phát hiện hai loại signature khác nhau: informational signature và attack signature. Information class signature là các signature mà được gây ra bởi hoạt động thông thường của mạng mà bản thân nó xem như vô hại nhưng có thể được dùng để xác định tính hiệu lực của việc tấn công. Attack class signature là những signature mà được gây ra bởi một hoạt độg được biết, hoặc có thể dẫn đến, lấy lại dữ liệu không có thẩm quyển a. Phát hiện xâm nhập trong PIX Firewall Phát hiện xâm nhập được cho phép bởi lệnh ip audit. Sử dụng lệnh ip audit kiểm tra các policy có thể được tạo để xác định traffic mà được kiểm tra hoặc phân công các hoạt động khi một signature bị phát hiện. Sau khi một policy được tạo ra, nó có thể được đưa vào bất cứ interface nào Mỗi interface có hai policy: một cho informational signature và một cho attack signature. Mỗi lần một policy của một class signature được tạo ra và đưa vào interface, tất cả các signature được hỗ trợ của class đó được giám sát trừ khi disable chúng với lệnh ip audit signature disbale PIX Firewall hỗ trợ cả inbound và outbound auditing. Auditing thự hiện bằng cách nhìn vào các gói IP đến tại một input interface. Ví dụ, nếu một attack policy được đưa vào một outside interface, attack signature được gây ra khi attack traffic đến tại outside interface ở hướng vào, kể cả inbound traffic hoặc return traffic từmột kết nối outbound b. Cấu hình IDS Dùng lệnh ip audit để cấu hình IDS signature. Đầu tiên tạo ra một policy với lệnh ip audit name và sau đó đưa policy này đến
  15. một interface với lệnh ip audit interface Có hai lệnh ip auit name khác nhau: ip audit name info và ip audit name attack. Lệnh ip audit name info được dùng để tạo ra các policy của các signature được phân loại như thông tin. Tất cả informational signature, trừ những cái bị loại bỏ bởi lệnh ip audit signature, trở thành một phần của policy. Lệnh ip audit name attack thực hiện cùng chức năng với signature được phân loại như attack signature Lệnh ip audit name cũng cho phép chỉ rõ các hoạt động khi signature được gây ra. nếu một policy được định nghĩa mà không có các hoạt động, hoạt động mặc định có hiệu quả Lệnh no ip audit name được dùng để bỏ một audit policy. Lệnh sh ip audit name miêu tả các audit policy. Để bỏ một policy từ một interface, sử dụng lệnh no ip audit interface. Để miêu tả cấu hình inteface, sử dụng lệnh sh ip audit interface 5. Failover Chức năng failover của PIX firewall cung cấp độ dự phòng trong trường hợp một PIX bị hư , pix kia ngay lập tức đóng vai trò của Pix bị hư đó . Failover làm việc với 2 , và chính xác là chỉ 2 , firewall . Hai firewall này phải : - có model giống nhau (ví dụ pix 515 không thể sử dụng cùng với pix 515E ) - dung lượng Flash và RAM phải giống nhau - có cùng số lượng interface và các loại interface - Cùng loại activation key - Primary firewall phải chạy unrestricted license - Secondary firewall phải chạy hoặc là unrestricted hoặc là failover license . Failover chỉ hỗ trợ trong các model high-end như PIX 515, 515E , 520 , 525 và 535. Note : Đặc điểm failover của PIX firewall chỉ hỗ trợ chức năng redundancy . Một PIX sẽ hoạt động như là active firewall , một PIX khác hoạt động ở chế độ standby mode . Không thể sử dụng cả hai firewall cùng vai trò active cùng một lúc tức là PIX firewall không hỗ trợ tính năng load balancing .
  16. Khi cấu hình failover , 1 firewall có vai trò là primary , một firewall có vai trò là secondary . Ở trạng thái hoạt động bình thường , primary firewall là active và nắm giữ tất cả các traffic mạng . Secondary firewall ở chế độ standby và sẽ active khi primary firewall bị hư , lúc đó primary firewall lại ở chế độ standby . Standby firewall có thể cũng bị hư nhưng lần này failover sẽ không xảy ra . Mặc dù firewall có thể chuyển đổi các vai trò cho nhau nhưng primary và secondary không bao giờ thay đổi . Nghĩa là khi có failover xảy ra , primary ở chế độ standby , còn secondary ở chế độ active . Các trường hợp sau được xem là firewall bị hư : - Bộ nhớ bị cạn kiệt trong vòng từ 15 giây trở lên trong PIX firewall active - trạng thái liên kết của các interface mạng ở active PIX firewall bị down hơn 2 lần trong khoảng thời gian poll . Điều này không phải là interface bị administratively down - Không có sự trao đổi Hello packets giữa primary và secondary qua tất cả các interface mạng (các gói hello này được gửi đi mặc định là 15 giây một lần , nhưng chu kì này có thể thay đổi được ) . Nếu không có hello message nào được nhận trong khoảng chu kì 2 poll , interface không response đó sẽ được đặt vào trạng thái testing . Nếu interface không qua được trong quá trình kiểm tra này , nó cũng đuợc xem như là firewall bị hư . - Các hello packets cũng được trao đổi giữa primary và secondary qua failover serial cable . Nếu standby firewall không có nghe thông tin gì từ active firewall trong khoảng 2 poll , trạng thái failover cable vẫn tốt , standby firewall sẽ xem như active firewall bị hư và đóng lấy vai trò của active firewall . Ngoài ra , active không có nghe thông tin gì từ standby trong khoảng 2 poll , nó xem như standby bị hư . - Nếu standby firewall phát hiện rằng active firewall bị tắt nguồn hoặc là reboot , standby sẽ trở nên active . Nếu failover cable bị unplugged , failover không xảy ra . Có hai loại failover là standard failover và LAN-based failover , chức năng của hai loại này là như nhau . Sự khác biệt lớn nhất giữa hai loại này là cách mà chúng sử dụng để trao đổi thông tin failover giữa primary và secondary firewall . Ở standard failover , một loại serial cable đặc biệt được sử dụng để kết nối 2 firewall lại với nhau . Cable này được gọi là failover cable . Failover cable là loại cable do Cisco đưa ra dựa trên chuẩn tín hiệu RS- 232 . Đối với LAN-based failover , thay vì sử dụng serial cable , một link Ethenet dành riêng được sử dụng để trao đổi thông tin failover . Thông tin được trao đổi giữa hai loại failover là như nhau và bao
  17. gồm : - Địa chỉ MAC của firewall - Các gói tin Hello - Thông tin trạng thái (active hay là standby) - Trạng thái liên kết network interface - bản sao cấu hình (configuration replication) Failover cable Failover cable được sử dụng để kết nối primary và secondary firewall . Một đầu của failover cable được đánh dấu là primary được nối đến primary firewall , đầu kia được đánh dấu là secondary được nối đến secondary firewall . Cable chỉ nên nối đến firewall khi tắt secondary firewall đi . Failover cable trao đổi trạng thái dữ liệu giữa 2 firewall ở 115Kbps . Đối với PIX OS có version trước 5.2 thì failover cable hoạt động ở tốc độ 9600bps . Không nên nối ngược failover cable vì làm như vậy replication sẽ xảy ra từ secondary firewall đến primary firewall và xóa toàn bộ cấu hình . Việc liên lạc qua failover cable được thực hiện bằng cách sử dụng các messages , và mỗi message phải được ACK . Nếu một message không được ACK từ firewall khác trong vòng 3 giây , nó được truyền lại . Sau 5 lần truyền lại mà vẫn không có ACK , firewall không có ACK messages đó được xem như là bị hư . Configuration replication Configuration replication là chức năng đồng bộ cấu hình của primary với secondary. Khi configuration replication thành công , cả primary và secondary phải giống nhau về hardware và software , chạy cùng OS và có cùng số interface . tiến trình replication xảy ra tại RAM , không được lưu vào trong Flash , do đó , sau khi replication hoàn tất , cần phải lưu cấu hình lại . Configuration replication tự động xảy ra khi : - standby PIX hoàn tất quá trình boot . Primary firewall sao chép toàn bộ cấu hình của nó đến secondary firewall . - Khi các command được gõ trong active PIX firewall . Mỗi command được nhập vào thì nó sẽ được gửi đến standby qua failover connection . - Khi write standby command được sử dụng ở active PIX firewall . Điều này sẽ làm cho toàn bộ cấu hình của active được tái bản ở secondary . Bất kì sự thay đôỉ về cấu hình ở standby firewall sẽ không được sao lại ở primary . Địa chỉ IP và MAC sử dụng cho failover
  18. Mỗi network interface mà tại đó ta cấu hình failover , ta cần phải có hai địa chỉ . Một địa chỉ IP dành cho primary firewall , và một địa chỉ Ip dành cho failover . Khi hoạt động , primary sử dụng địa chỉ IP và địa chỉ MAC hệ thống của nó , secondary firewall sẽ sử dụng địa chỉ IP và địa chỉ MAC failover . Khi failover xảy ra , primary firewall bị hư , secondary sẽ active , địa chỉ IP và điạ chỉ MAC sẽ được chuyển đổi . Nói cách khác , secondary firewall (bây giờ đã active) sẽ lấy địa chỉ IP và MAC của primary firewall . Primary firewall (bây giờ đang ở standby) sẽ lấy địa chỉ IP và MAC failover của secondary firewall . Mặc định địa chỉ MAC của active firewall là các địa chỉ được tạo thành từ NICs của primary firewall và địa chỉ MAC của standby firewall là các địa chỉ được tạo thành từ NICs của secondary firewall . Thay vì sử dụng các địa chỉ này , ta có thể sử dụng địa chỉ MAC ảo . Mỗi interface có thể đăng kí các địa chỉ MAC ảo sử dụng command sau : failover mac address Phát hiện lỗi (failure detection) Primary và secondary firewall trao đổi gói tin hello cho nhau thông qua failover cable cũng như qua tất cả các network interface . Các gói hello này mặc định trao đổi 15giây 1 lần . Để thay đổi khoảng thời gian này , sử dụng command sau : failover poll Giá trị nhỏ nhất cho seconds là 3 giây , giá trị lớn nhất là 15 giây . Nếu khoảng thời gian hello thấp hơn , lỗi sẽ được phát hiện nhanh hơn , nhưng cũng dễ tạo ra failover không cần thiết khi mạng bị nghẽn vì có quá nhiều gói hello . Đặc điểm failover của PIX firewall giám sát việc trao đổi các gói hello cũng như trạng thái nguồn của firewall khác . Nếu lỗi được phát hiện và không phải là do mất nguồn hoặc là do secondary firewall reboot , PIX firewall (primary và secondary , cái nào phát hiện lỗi) sẽ thực hiện hàng loạt kiểm tra (theo một series) để quyết định xem firewall có bị hỏng hay không . Việc kiểm tra bắt đầu khi không có nghe các bản tin hello trong khoảng thời gian 2 poll . Đối với mỗi quá trình kiểm tra , nếu một firewall nhận được network traffic trong suốt quá trình kiểm tra , firewall kia không nhận được , thì firewall không nhận được traffic đó được xem là bị hỏng . Nếu cả hai firewall không nhận được traffic nào thì việc kiểm tra tiếp theo trong series đó sẽ được thực hiện . Có 4 quá trình kiểm tra thường được sử dụng : - link up /down : firewall kiểm tra trạng thái liên kết mạng để đảm bảo rằng nó up . Quá trình kiểm tra này sẽ tìm ra được các vấn đề lỗi vật lí như cable unplugged , port của
  19. hub/switch trong tình trạng xấu , hay là hub / switch bị lỗi . Nếu interface không có lỗi gì hết , PIX firewall bắt đầu kiểm tra hoạt động mạng . Ngược lại , interface tương ứng với firewall được xem như bị hư . - network activity : firewall lắng nghe network activity khoảng 5 giây . Nếu có gói tin được nhận trong suốt quá trình kiểm tra này , interface được xem là hoạt động và PIX kết thúc việc kiểm tra , ngược lại , nếu không nhận được gói tin nào , pix chuyển đến kiểm tra ARP . - ARP : Pix lấy khoảng 10 entry gần nhất trong bảng ARP của nó và gửi ARP request cho mỗi entry đó để kích thích network traffic . Sau khi gửi mỗi request , PIX firewall giám sát tất cả các traffic được nhận trong khoảng 5 giây . Nếu không có traffic nào được nhận , PIX sẽ chuyển đến entry kế tiếp trong list đó . Nếu có traffic trong suốt quá trình kiểm tra đó , interface được xem là hoạt động và quá trình test kết thúc . Nếu đã kiểm tra hết entry trong list mà vẫn không nhận được traffic nào , PIX bắt đầu kiểm tra broadcast ping - Broadcast ping : firewall gửi ra ngoài broadcast ping ở interface và quan sát có nhận được gói tin trong vòng 5 giây sau khi ping được gửi đi . Nếu nhận được bất kì gói tin nào , pix coi như interface hoạt động và ngừng kiểm tra . Nếu không nhận được , nó sẽ quay lại quá trình kiểm tra ARP . Note : Tất cả các interface (không phải administratively down) của cả hai firewall phải giao tiếp được với nhau , ngay cả nếu chúng không được sử dụng . Ví dụ như các interface đó có thể nối với nhau bằng cáp chéo , hoặc là được cắm vào cùng một switch . Nếu không quá trình test sẽ hỏng . Stateful failover Có hai loại failover là failover và stateful failover (có trong PIX OS version5.1 trở về sau ) . Đối với failover , khi primary firewall bị hư , secondary trở nên active , tất cả các kết nối active qua firewall bị rớt , các ứng dụng phải khởi tạo kết nối mới để khởi động lại việc liên lạc qua pix . Nhưng stateful failover giải quyết được vấn đề này . Đối với stateful failover , khi active pix bị hư , secondary trở nên active , thì các kết nối active đó vẫn được duy trì ở PIX mới active . Các ứng dụng client vẫn tiếp tục hoạt động . Khi sử dụng stateful failover , bên cạnh thông tin cấu hình , các thông tin sau phải được gửi cho standby PIX firewall : - bảng translation (xlate) với static và dynamic translation - bảng TCP connection (bao gồm thông tin timeout cho mỗi
  20. kết nối) - đồng hồ hệ thống và thông tin về uptime hầu hết các kết nối UDP không được sao lại cho standby ngoại trừ giao thức H.232, các thành phần sau không được sao bản lại là : - thông tin trạng thái ISAKMP và IPSEC , điều này có nghĩa là ISAKMP và IPSEC SA không bị mất khi có failover xảy ra . - DHCP - bảng user authentication , khi failover xảy ra thì các user đã được chứng thực phải chứng thực lại . - bảng định tuyến , nghĩa là tất cả các route động (thông qua RIP) phải được học lại . - bảng ARP . Note: Mặc định thông tin về session HTTP sẽ không được sao lại nhưng trong các version 6.2 trở về sau , thì pix có hỗ trợ đặc điểm này bằng cách sử dụng câu lệnh sau : failover replicate http Để stateful failover làm việc , interface Fast Ethernet hoặc là Gigabit Ethernet trong mỗi pix phải được dành riêng cho các thông tin trạng thái đi qua (các interface này được gọi là stateful failover interface ) . Interface này phải cung cấp kết nối giữa primary và secondary firewall thông qua các phương pháp sau : - crossover Ethernet cable - hub hoặc switch dành riêng - VLAN dành riêng trong switch chỉ có 2 port kết nối đến firewall active trong VLAN Note : Stateful failover interface ít nhất là interface nhanh bằng interface nhanh nhất trong firewall . Token Ring và FDDI không hỗ trợ stateful failover . Cấu hình failover - để kích hoạt tính năng failover trong Pix , sử dụng failover command : pix(config)# failover - để cấu hình địa chỉ ip failover , sử dụng command sau : failover ip address ip_name ip_address - để bật tính năng stateful failover , sử dụng : failover link stateful_if_name stateful_if_name : chỉ ra interface dành riêng cho stateful failover . Mặc định là port LAN cao nhất có cấu hình failover . - để PIX đóng vai trò active , sử dụng : failover active
Đồng bộ tài khoản