Tìm hiểu các chức năng và thuật ngữ trên Firewall Cisco ASA

I. Tổng quan về Firewall Cisco ASA (Overview Firewall Cisco ASA)

1. Firewall và appliance:
- Appliance: là 1 ứng dụng cài lên OS, cái OS chỉ làm nền. Còn Application là 1 cái software cài trên OS (Vd: world, excel…)
- Firewall: giống như 1 người bảo vệ canh cửa. Chỉ có chức năng permit or deny
- ASA(Adaptive Security Appliance) : Thiết bị bảo mật thích ứng, ko chỉ làm firewall mà còn có khả năng làm VPN, web security, IDS, IPS…

2. Trusted và untrusted
- Trusted: vùng tin tưởng
- Untrusted: vùng ko tin tưởng
- DMZ(demilitarized zone): Vùng phi quân sự

3. Physical và Logical Zone
- Trên Firewall có thể dùng 1 cổng vật lý để chia subinterface để tiết kiệm cổng vật lý

• Cổng vật lý die -> cả 2 zone ra đi
• Bị share banwidth cho mỗi zone

4. Firewall trong network
- Firewall phải là con đương duy nhất
- Firewall phải có khả năng tự bảo vệ

II. Kỹ thuật Tường lửa Cisco ASA (Techniques Firewall Cisco ASA)

1. Stateless packet filtering
- Nó ko lưu được trạng thái kết nối
- Nó ko cần biết gói tin của ai cứ gói tin đến ko thỏa chính sách thì sẽ bị chặn
- Giống như ACL(access list)

2. State packet filtering
- Biết gói tin đang thuộc sesion nào(sourport, des port…), ứng dụng nào đang sử dụng. Có khả năng tập hợp các gói tin để xem gói tin nào thuộc ứng dụng nào
- Có thể lưu lại được trạng thái(tracking)
- Hoạt động ở layer 2,3,4
* So sánh Stateless và stateful packet filtering
- Trong 1 cuộc tấn công fragment attack. Fragment là kỹ thuật chia nhỏ gói tin quá lớn thành gói tin nhỏ hơn (MTU) để dễ dàng di chuyển trên mạng.
- Nhưng hacker sử dụng fragment để attack bằng cách chia gói tin đang hợp lệ thành gói nhỏ hơn với mục đích là để Router ko thể đọc được nội dung gói tin. Khi các gói tin vượt qua được Firewall chúng sẽ gép lại và thực hiện tấn công.
- Các bạn có thể thấy với 2 kỹ thuật:

• Stateless packet filtering ko thể nào ngăn chặn được vì nó biết nội dung gói tin
• Stateful packet filtering thì khác khi, các gói tin chia nhỏ đến Firewall nó sẽ lưu trạng thái các gói tin và sau đó nó kiểm tra gói tin nào thuộc session nào để ghép lại thành gói tin rồi sau đó mới filter

3. SPF với AIC(Application inspection control)
- Là công nghệ đang xài hiện nay
- Chặn từ layer 2 đến layer 7. Nó can thiệp sau vào header và nội dung của protocol
- Cisco đưa ra thư viện NBAR(trong phần download của Cisco, phải là partner của Cisco mới được sử dụng) để mô tả sẵn các cấu trúc application
- Nó có khả nắp lắp ráp các gói tin UDP, TCP có cùng session để nhìn vào bên trong giao thức lớp ứng dụng
- Lưu ý với ứng dụng FTP(Active FTP : port động, Passive FTP: port 20 thương lượng,21 tranfer file)

4. IDS
- IDS nằm ngang hàng với firewall. 2 cái nói chuyện trực tiếp với nhau, IDS chỉ ngồi nghe và cảnh báo
- Sử dụng 1 con hub or port mirror.
- Trong IDS chứa signature để định nghĩa thế nào là 1 cuộc tấn công
- Khi có vấn đề nó sẽ đưa xuống log và log đó được gửi đến cho admin và admin sẽ xử lý

​

5. IPS
- Gói tin qua Router nó sẽ được thả vô IPS coi trước rồi sau đó nó mới qua Firewall
- Khi thấy có dấu hiệu tấn công thì IPS có quyền can thiệp ngăn chặn traffic attack

​

6. Network Behavior analysis
- Thống kê traffic trên 1 thời gian để xây dựng 1 bảng trạng thái trung bình
- Khi traffic trên mức trung bình này sẽ đưa ra cảnh báo cho IPS(anomaly-based network), firewall(network behavior analysis) là có tấn công

7. Application Layer Gateway(proxy)
- Dùng giấu traffic, hide IP
- Dùng làm Web cachee để tăng tốc độ lướt web
- Socks(v5) phiên kết nối được mã hóa hoàn toàn(sock này kết nối với sock khác hay nói cách khách là đi qua nhiều proxy).