Tải bản đầy đủ
Xác thực cho traffic đi qua pix

Xác thực cho traffic đi qua pix

Tải bản đầy đủ

exclude: chỉ ra host nào đó được bỏ qua các quy tắc mà ta đã định nghĩa
trước đó
authen_service: dịch vụ mà user muốn access vào. Tham số này có thể là ftp,
telnet, http, hay là cả 3 dịch vụ trên (any).
inbound: xác thực các kết nối inbound. Inbound có nghĩa là kết nối đó được
khởi tạo từ interface outside đến interface inside.
outbound: xác thực các kết nối outbound. Outbound có nghĩa là kết nối được
khởi tạo từ inside interface đến outside interface.
if_name: tên của interface mà ở đó user cần xác thực. Sử dụng if_name, cộng
với local_ip và foreign_ip để biết được kết nối được khởi tạo từ đâu đến đâu.
local_ip: địa chỉ IP của host hoặc mạng được xác thực. Địa chỉ này có thể
được set đến 0, có nghĩa là tất cả các host được xác thực. Local_ip luôn luôn nằm
ở interface có mức bảo mật cao nhất.
local_mask: network mask của local_ip. Sử dụng 0 nếu địa chỉ IP là 0. Sử
dụng 255.255.255.255 nếu IP là dành cho một host.
foreign_ip: là địa chỉ IP của các host mà local_ip có khả năng truy cập đến.
Sử dụng 0 cho tất cả các host.
foreign_mask: giống local_mask
group_tag: là tag group trong lệnh aaa-server
PIX firewall chỉ cho phép chỉ một giao thức authentication cho một mạng.
Ví dụ, nếu một mạng kết nối inbound thông qua PIX firewall sử dụng TACACS +,
thì cùng mạng đó không thể kết nối inbound thông qua PIX sử dụng RADIUS.
Tuy nhiên, nếu một mạng kết nối inbound thông qua pix sử dụng TACACS+, một
mạng khác có thể kết nối inbound qua PIX sử dụng RADIUS.
 Xác thực cho các dịch vụ khác
PIX firewall xác thực user thông qua Telnet, FTP, HTTP. Nhưng nó cũng có
thể xác thực các loại dịch vụ khác. Ví dụ, PIX có thể được cấu hình để xác thực
user khi user cần sử dụng dịch vụ Microsoft file server ở port 139. Khi user được
yêu cầu xác thử để access vào các dịch vụ khác ngoài Telnet, FTP, HTTP, họ cần
thực hiện một trong các bước sau:
o Option 1: xác thực đầu tiên bằng việc truy cập vào Telnet, FTP, hay
HTTP server trước khi truy cập các dịch vụ khác.
o Option 2: xác thực đến PIX virtual telnet trước khi truy cập vào các dịch
vụ khác.

56

Khi không có các telnet, FTP, hay HTTP server để xác thực, hay chỉ làm đơn
giản xác thực người dùng, PIX firewall cho phép sử dụng một Virtual Telnet hay
HTTP. Điều này cho phép user xác thực trực tiếp với pix qua địa chỉ IP của virtual
telnet hay http.
 Virtual telnet:
Virtual telnet cho phép các user cần có các kết nối thông qua pix sử dụng các
dịch vụ hoặc các giao thức không hỗ trợ xác thực. User chỉ đơn giản telnet đến địa
chỉ IP virtual, sử dụng AAA username, password của user. AAA server sẽ xác
thực điều này. khi user đã được xác thực, pix đóng kết nối telnet đó lại, cất giữ
thông tin xác thực trong suốt khoảng thời gian uauth.
Câu lệnh tạo ra virtual telnet server:
Virtual telnet
Ip_address phải là địa chỉ được định tuyến đến PIX.
Sử dụng virtual telnet không chỉ cho việc log in mà còn dành cho việc log
out . Sau khi xác thực thành công thông qua virtual telnet, user sẽ không phải xác
thực trở lại cho đến khi hết thời gian uauth. Nếu ta không muốn sử dụng dịch vụ
nữa, và muốn chặn không cho các traffic qua firewall sử dụng thông tin xác thực
của mình, ta có thể telnet đến virtual telnet lại một lần nữa. Điều này sẽ kết thúc
phiên làm việc và log out.
 Virtual http:
Nếu xác thực được yêu cầu trong các site ngoài cũng như trong bản thân
PIX, vì các browser có lưu username và password nên có thể việc xác thực sẽ
không xảy ra đối với các browser mà pix không hiểu. Để tránh điều này, ta có thể
sử dụng virtual http. PIX firewall giả sử rằng AAA server và web server chia sẻ
cùng database, và pix tự động cung cấp cho 2 server này thông tin giống nhau.
Virtual http sử dụng trong PIX dùng để xác thực user, tách thông tin AAA server
từ request URL của web client, chuyển web client đến web server. Virtual http lại
chuyển tiếp kết nối khởi tạo của web browser đến một địa chỉ IP thuộc về PIX
firewall, xác thực user, sau đó chuyển browser về lại URL mà user đã yêu cầu.
Virtual http đặc biệt hữu dụng cho pix khi thao tác với Microsoft IIS
(Internet Information Server). Khi dùng xác thực HTTP đến các site chạy
Microsoft ÍIS có “Basic text authentication” hoặc là “NT Challenge”, user có thể

57

bị Microsoft từ chối truy cập vì browser thêm vào trong các lệnh HTTP GET dòng
chữ sau: “Authorization: Basic = Uuhjksdkfhk==”. Dòng chữ này bao gồm các
yếu tố xác thực trong PIX mà không có trong Microsoft IIS. Nhờ vào đặc điểm
của Virtual http, kết nối khởi tạo của Web browser được chuyển trực tiếp đến địa
chỉ IP của virtual http trong PIX, xác thực user, và browser được chuyển đến URL
mà user đã yêu cầu. Virtual http trong suốt với người dùng.
Để định nghĩa Virtual http server, sử dụng command sau:
Virtual http
Tham số ip_address giống trong virtual telnet
Ta có thể mô tả tiến trình khi sử dụng virtual http như sau:

Hình 2.9: Mô tả tiến trình sử dụng Virtual http
1. Web browser gửi HTTP request đến web server
2. PIX firewall chặn connection này lại và reply bằng một message “ HTTP
401 Authorization Required ”
3. Web browser nhận response từ firewall và sử dụng username, password
cho user chứng thực.
4. Web browser gửi lại HTTP request này với username, password đã được
mã hoá đến PIX.
5. PIX firewall nhận HTTP request, tách nó ra làm 2 phần: phần request
AAA authentication bao gồm username, password và phần khởi tạo HTTP request
không có username, password.
6. Pix gửi AAA authentication request đến cho AAA server
7. AAA server xác thực user, sau đó gửi lại message là accept hay reject
58

8. Giả sử rằng user xác thực thành công, pix sẽ chuyển http request ban đầu
(không có username, password) đến web server. Nếu web server yêu cầu xác thực,
nó sẽ gửi challenge lại cho user.
Với vitural http, khi user đã xác thực xong, user sẽ không bao giờ phải xác
thực trở lại ngay khi browser đã active. Uauth timer sẽ không bao giờ hết vì mỗi
subsequent web request đều có username và password được mã hoá.
Lưu ý: Không nên set uauth timer về 0 khi đã bật vitural http vì điều này sẽ
chặn các kết nối đến web server được yêu cầu.
d .Cấu hình uỷ quyền
Khi đã cấu hình xác thực cho traffic thông qua firewall sử dụng cut-through
proxy, ta có thể cấu hình authorization cho traffic thông qua firewall.
Authentication là một yêu cầu cho authorization, tức là authorization sẽ quyết định
dịch vụ nào mà user sau khi được chứng thực có thể truy cập vào.
Để thực hiện uỷ quyền, đầu tiên cần cấu hình cho TACACS server. Sau đó ta
cần phải cấu hình uỷ quyền AAA cho PIX sử dụng câu lệnh sau:
aaa authorization {include | exclude} {inside | outside}


Cấu trúc của câu lệnh trên tương tự trong chứng thực. Tất cả các tham số đều
giống ngoại trừ author_service. Các giá trị có thể cho author_service là any, ftp,
telnet, http, hay là (ví dụ như TCP là 6, UDP là 17, ICMP là 1).
Thiết lập giá trị port về 0 chỉ ra tất cả các port.

e. Cấu hình kiểm toán.
Sau khi cấu hình chứng thực(authentication) và uỷ quyền (authorization),
thông thường ta cần phải cấu hình kiểm toán (accounting). Thông tin kiểm toán có
thể được sử dụng để theo dõi user đã làm gì khi truy cập vào một dịch vụ nào đó.
Các bản ghi accounting có thể chỉ ra số lượng thời gian user login vào, hoặc là chỉ
ra số lượng thông tin được truyền và nhận. Thông tin này có thể dành cho mục
đích thanh toán hoá đơn.
Cấu trúc của câu lệnh aaa accounting như sau:
59

aaa accounting {include | exclude} {inside | outside}
if_name
CHƯƠNG 3
XÂY DỰNG MÔ PHỎNG THỬ NGHIỆM TRÊN GNS3
3.1. Văn bản kiểm thử
Giả sử xây dựng một mô hình mạng gồm có 2 Pix, 2 Switch, 1 Router được
nối với mạng cục bộ như hình vẽ

60

Hình 3.1. Mô hình mô phỏng.
Với các thông số địa chỉ như sau:
* Bảng địa chỉ IP
Thiết bị

Primary Pix

Second Pix

Router

Ethernet

Địa chỉ IP/SM

E0

192.168.64.1/24

E1

10.0.64.1/24

E2

172.16.64.1/24

E0

192.168.64.3/24

E1

10.0.64.3/24

E2

172.16.64.3 /24

Fa1/0

192.168.64.2/24

AAA Server

10.0.64.2/24

Thông qua quá trình mô phỏng chúng ta sẽ thấy được các bước chứng thực
một người dùng khi muốn truy xuất thông qua Pix Firewall bằng giao thức chứng
thực Tacacs + và cách làm việc của Pix Firewall khi có Failover sảy ra.
3.2. Công cụ mô phỏng
- Phần mềm giả lập máy ảo VMWare
- Cisco ACS 4.2 giả lập AAA server cài trên windows server 2003
61