Network Security and The Cisco PIX Firewall P6

Việc hiểu các giao thức lớp vận chuyển TCP và UDP là rất quan trọng để hiểu cáchthức hoạt động của PIX Firewall. Phần này sẽ giúp bạn hiểu về các giao thức TCPvà UDPMột phiên thực hiện trên 2 giao thức lớp vận chuyển: TCP – dễ kiểm tra UDP – Khó khăn để kiểm tra một cách đúng đắn
Nội dung trích xuất từ tài liệu:
Network Security and The Cisco PIX Firewall P6CHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS CHƯƠNG 6 CISCO PIX FIREWALL TRANSLATION Tổng quan: Chương này bao gồm các topic sau:  Mục đích  Các giao thức vận chuyển  Việc dịch trong PIX Firewall  Truy cập qua PIX Firewall  Các cách khác qua PIX Firewall  Tổng hợp  Lab exercise 1Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái NguyênCHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Mục đích 2Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái NguyênCHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Các giao thức vận chuyển Để thu được những hiểu biết sâu sắc về tiến trình truyền ra/vào của PIX Firewall, xem lại một cách sơ lược hai giao thức vận chuyển chính Việc hiểu các giao thức lớp vận chuyển TCP và UDP là rất quan trọng để hiểu cách thức hoạt động của PIX Firewall. Phần này sẽ giúp bạn hiểu về các giao thức TCP và UDP Một phiên thực hiện trên 2 giao thức lớp vận chuyển:  TCP – dễ kiểm tra  UDP – Khó khăn để kiểm tra một cách đúng đắn Note: Trong ngữ cảnh này thì thuật ngữa outbound có nghĩa là những kết nối từ side tin cậy nhiều hơn của PIX Firewall đến side có tính tin cậy ít hơn của PIX Firewall. Thuật ngữ inbound có nghĩa là những kết nối từ side có tính tin cậy ít hơn đến side có tính tin cậy nhiều hơn của PIX Firewall 3Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái NguyênCHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS TCP là một giao thức kết nối có hướng. Khi một phiên từ một host thuộc side an ninh hơn của PIX Firewall được bắt đầu, PIX Firewall sẽ tạo một log (bản ghi) trong session state filter (bộ lọc trạng thái phiên). PIX Firewall cho phép trích các phiên từ các lưu lượng mạng và kích hoạt kiểm tra tính hợp thức của chúng trong thời gian thực. Stateful filter duy trì các tham số (hoặc trạng thái) cho mỗi kết nối mạng và kiểm tra các đơn vị giao thức tiếp theo. Khi TCP khởi tạo một phiên với PIX Firewall, PIX Firewall ghi lại các lưu lượng mạng và xem phản hồi từ thiết bị mà nó đã cố gắng truyền thông. PIX Firewall sau đó cho phép lưu lượng đi qua giữa các kết nối dựa trên quá trình bắt tay 3 bước 4Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái NguyênCHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS Khi một phiên TCP được thiết lập trên PIX Firewall sẽ xảy ra những điều dưới đây: 1. Gói tin IP đầu tiên từ host inside là nguyên nhân phát sinh ra một khe dịch (translation slot). Thông tin TCP được nhúng sau đó được sử dụng để tạo một khe kết nối trong PIX Firewall 2. Khe kết nối được đánh dấu là embryonic (chưa thiết lâp) 3. PIX Firewall ngẫu nhiên khởi tạo số thứ tự của kết nối, lưu trữ giá trị delta và đẩy gói tin đến giao diện ra 4. Bây giờ PIX Firewall trông đợi gói tin SYN/ACK từ host đích. Sau đó PIX Firewall kết hợp với gói tin nhận được dựa trên khe kết nối. Tính toán thông tin về thứ tự sắp xếp và đẩy gói tin ngược trở lại đến host inside 5Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái NguyênCHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS 5. host inside hoàn thành cài đặt kết nối (bắt tay ba bước) với một ACK 6. Khe kết nối trên PIX Firewall được đánh dấu là đã kết nối (active-established) và dữ liệu được truyền. Bộ đếm embryonic sau đó được reste lại cho kết nối này 6Trần Giáo_Lớp K3D_Khoa CNTT_ĐH Thái NguyênCHAPTER 6: CISCO PIX FIREWALL TRANSLATUONS UDP là một giao thức kết nối không có hướng. PIX Firewall cần giữ một phương pháp để đảm bảo tính an ninh của nó. Các ứng dụng sử dụng UDP là khó để đảm bảo tính an ninh bởi vì nó không có quá trình bắt tay hoặc sự xắp xếp thứ tự. Nó khó để xác định trạng thái hiện tại của một giao dịch UDP (đang mở, đã thiết lập, và đóng). Nó cũng khó khăn để duy trì trạng thái của một phiên như là nó không clear beginning (xóa về từ đầu), trạng thái luông…. Tuy nhiên PIX Firewall tạo một khe kết nối UDP khi một gói tin UDP được gửi từ một giao diện có mức an ninh cao hơn đến giao diện có mức an ninh thấp hơn. Tất cả những gói tin UDP tiếp theo kết hợp với khe ...