Giáo Trình CIs+ part 67

Hai vấn đề lớn mà IP v.4 đang phải đối mặt là việc thiếu hụt các địa chỉ, đặc biệt là các không gian địa chỉ tầm trung (lớp B) và việc phát triển về kích thước rất nguy hiểm của các bảng định tuyến trong Internet.Giáo Trình này sẽ giúp các bạn vượt qua vấn đề nàyGiáo trình gồm 124 phầnực . Local_ip luôn luôn nằm ở interface có mức bảo mật cao nhất . local_mask : network mask của local_ip . Sử dụng 0 nếu địa chỉ IP là 0 . Sử dụng 255.255.255.255 nếu IP là dành...
Nội dung trích xuất từ tài liệu:
Giáo Trình CIs+ part 67 được kết nối được khởi tạo từ đâu đến đâu . local_ip : địa chỉ IP của host hoặc mạng được xác thực . Địa chỉ này có thể được set đến 0 , có nghĩa là tất cả các host được xác thực . Local_ip luôn luôn nằm ở interface có mức bảo mật cao nhất . local_mask : network mask của local_ip . Sử dụng 0 nếu địa chỉ IP là 0 . Sử dụng 255.255.255.255 nếu IP là dành cho một host . foreign_ip : là địa chỉ IP của các host mà local_ip có khả năng truy cập đến . Sử dụng 0 cho tất cả các host . foreign_mask : giống local_mask group_tag : là tag group trong lệnh aaa-server PIX firewall chỉ cho phép chỉ một giao thức authentication cho một mạng . Ví dụ , nếu một mạng kết nối inbound thông qua PIX firewall sử dụng TACACS + , thì cùng mạng đó không thể kết nối inbound thông qua PIX sử dụng RADIUS . Tuy nhiên , nếu một mạng kết nối inbound thông qua pix sử dụng TACACS+ , một mạng khác có thể kết nối inbound qua PIX sử dụng RADIUS .c. Xác thực cho các dịch vụ khác PIX firewall xác thực user thông qua Telnet , FTP , HTTP . Nhưng nó cũng có thể xác thực các loại dịch vụ khác . Ví dụ , PIX có thể được cấu hình để xác thực user khi user cần sử dụng dịch vụ Microsoft file server ở port 139 . Khi user được yêu cầu xác thử để access vào các dịch vụ khác ngoài Telnet , FTP , HTTP , họ cần thực hiện một trong các bước sau : · Option 1 : xác thực đầu tiên bằng việc truy cập vào Telnet , FTP , hay HTTP server trước khi truy cập các dịch vụ khác . · Option 2 : xác thực đến PIX virtual telnet trước khi truy cập vào các dịch vụ khác. Khi không có các telnet , FTP , hay HTTP server để xác thức , hay chỉ làm đơn giản xác thực người dùng , PIX firewall cho phép sử dụng một virtual telnet hay http . Điều này cho phép user xác thực trực tiếp với pix qua địa chỉ IP của virtual telnet hay http . Error! Virtual telnet : Virtual telnet cho phép các user cần có các kết nối thông qua pix sử dụng các dịch vụ hoặc các giao thức không hỗ trợ xác thực . User chỉ đơn giản telnet đến điạ chỉ IP virtual , sử dụng AAA username , password của user . AAA server sẽ xác thực điều này . khi user đã đựơc xác thực , pix đóng kết nối telnet đó lại , cất giữ thông tin xác thực trong suốt khoảng thời gian uauth .Câu lệnh tạo ra virtual telnet server : Virtual telnet Ip_address phải là địa chỉ được định tuyến đến PIX .Sử dụng virtual telnet không chỉ cho việc log in mà còn dành choviệc log out . Sau khi xác thực thành công thông qua virtual telnet, user sẽ không phải xác thực trở lại cho đến khi hết thời gianuauth . Nếu ta không muốn sử dụng dịch vụ nữa , và muốn chặnkhông cho các traffic qua firewall sử dụng thông tin xác thực củamình , ta có thể telnet đến virtual telnet lại một lần nữa . Điều nàysẽ kết thúc phiên làm việc và log out .Error! Virtual http :Nếu xác thực được yêu cầu trong các site ngoài cũng như trongbản thân PIX , vì các browser có lưu username và password nêncó thể việc xác thực sẽ không xảy ra đối với các browser mà pixkhông hiểu . Để tránh điều này , ta có thể sử dụng virtual http .PIX firewall giả sử rằng AAA server và web server chia sẽ cùngdatabase , và pix tự động cung cấp cho 2 server này thông tingiống nhau . Virtual http sử dụng trong PIX dùng để xác thực user, tách thông tin AAA server từ request URL của web client ,chuyển web client đến web server. Virtual http lại chuyển tiếp kếtnối khởi tạo của web browser đến một địa chỉ IP thuộc về PIXfirewall , xác thực user , sau đó chuyển browser về lại URL màuser đã yêu cầu .Virtual http đặc biệt hữu dụng cho pix khi thao tác với MicrosoftIIS (Internet Information Server) . Khi dùng xác thực HTTP đếncác site chạy Microsoft ÍIS có “Basic text authentication” hoặc là“NT Challenge” , user có thể bị Microsoft từ chối truy cập vìbrowser thêm vào trong các lệnh HTTP GET dòng chữ sau :“Authorization : Basic = Uuhjksdkfhk==” . Dòng chữ này baogồm các yếu tố xác thực trong PIX mà không có trong MicrosoftIIS . Nhờ vào đặc điểm của Virtual http , kết nối khởi tạo của Webbrowser được chuyển trực tiếp đến địa chỉ IP của virtual http trongPIX , xác thực user , và browser được chuyển đến URL mà user đãyêu cầu . Virtual http trong suốt với người dùng .Để định nghĩa Virtual http server , sử dụng command sau : Virtual http Tham số ip_address giống trong virtual telnetTa có thể mô tả tiến trình khi sử dụng virtual http như sau : Error! 1. web browser gửi HTTP request đến web server 2. PIX firewall chặn connection này lại và reply bằng một message “ HTTP 401 Authorization Required ” 3. Web browser nhận response từ firewall và sử dụng username , password cho user chứng thực . 4. web browser gửi lại HTTP request này với username , password đã được mã hóa đến PIX . 5. PI ...