1.

Hướng dẫn thiết lập cấu hình ban đầu cho hệ thống Cisco ASA
Cấu hình Interface.
Gán mức bảo mật cho từng Interface trên thiết bị ASA. Cấu hình bốn Interface
trên ASA. Các mức bảo mật của cho từng phân vùng là: Inside (100), Server (50),
và Outside (0).
Chọn Configuration > Device Setup > Interfaces

Cấu hình Interface theo từng phân vùng

Cấu hình địa chỉ Ipv4 cho từng Interface theo từng phân vùng mạng.
 Cấu hình Ipv4
Cấu hình NAT – Routing
Có hai nhiệm vụ chính để cho phép các máy chủ nội bộ đi ra Internet, cấu hình
Network Address Translation (NAT) và định tuyến tất cả lưu lượng truy cập đến
ISP. Không cần cấu hình ACL vì tất cả lưu lượng truy cập ra bên ngoài đang đi qua
mức bảo mật cao hơn (Inside, Server) đến mức bảo mật thấp hơn (Outside).
Đối với cấu hình NAT cho phép người dùng trong mạng Inside truy cập ra ngoài
Internet, dải địa chỉ Internal-lan được thiết lập Dynamic PAT, trỏ ra địa chỉ Interface
Outside 192.168.113.3
 Cấu hình NAT cho phân vùng mạng Inside
Cấu hình NAT-Static, Public máy chủ cung cấp dịch vụ ra bên ngoài, default
gateway của máy chủ là địa chỉ của interface Server 192.168.112.1/24. Địa chỉ được
NAT tĩnh thuộc dải địa chỉ mạng Outside 192.168.113.200/24.
 Người dùng bên ngoài mạng Internet sẽ truy cập đến địa chỉ IP public khi sử
dụng các dịch vụ mà máy chủ nội vùng cung cấp.

Cấu hình NAT cho Server nội vùng

Tiếp theo là cấu hình một tuyến đường mặc định và định tuyến tất cả lưu lượng
truy cập đến mạng Internet.
Chọn Configuration > Device Setup > Routing > Static Route
 Cấu hình định tuyến cho phân vùng mạng Inside
2. Hướng dẫn thiết lập kiểm soát truy cập từ Inside đến Outside
Kiểm soát truy cập thông qua địa chi IP.
Kiểm soát truy cập thông qua địa chỉ IP cụ thể cho phép áp dụng chính sách quản
lý dựa trên dịch vụ, địa chỉ IP nguồn – đích, số hiệu cổng tương ứng với dịch vụ.
Tuy nhiên phương pháp kiểm soát này (tương tự như chặn IP bằng ACL) sẽ chỉ
hoạt động đối với các trang web đơn giản, có IP tĩnh nhưng sẽ khó hoạt động đối với
các trang web động (như Facebook, Twitter, v.v.) có nhiều địa chỉ IP khác nhau.
Sử dụng công cụ nslookup, xác định địa chỉ IP đối với trang web cụ thể. DNS
server được sử dụng để truy vấn các bản ghi là 8.8.8.8 đối với Primary Server và
1.1.1.1 đối với Secondary Server.

Sử dụng nslookup kiểm tra địa chỉ IP

 Thiết lập Access Rules, không cho phép người dùng trong mạng Inside được
phép truy cập đến trang bongda.com.vn với địa chỉ IP 203.162.2.85

Thiết lập Access rules với IP cụ thể

Kiểm soát truy cập thông qua FQDN.
Phương pháp trên không làm chậm tường lửa vì thiết bị sẽ thực hiện tra cứu DNS
cho trang web bạn muốn chặn trước và lưu trữ tất cả các địa chỉ IP đã phân giải của
trang web trong bộ nhớ.
Thiết lập DNS server cho thiết bị ASA.
 Tính năng Access rules yêu cầu máy chủ phân giải tên miền bên ngoài khi lọc
các URL từ mạng LAN nội vùng.

Cấu hình DNS cho thiết bị ASA

Xác định Network Object cụ thể.
 FQDN ( Fully qualified domain name )
FQDN sẽ xác định cụ thể URL kiểm soát truy cập là gì, bao gồm cả các sub
domain. Ví dụ người dùng trong mạng LAN không được truy cập đến Website
dantri.com.vn, khai báo trong trường FQDN là “ dantri.com.vn “.
 Thiết lập FQDN
 Internal LAN, xác định dải địa chỉ nguồn cụ thể áp dụng các quy tắc kiểm soát
truy cập.

Thiết lập dải địa chỉ phân vùng Inside cụ thể

 Thiết lập Access rules, chặn các truy cập đến “ dantri.com.vn ”
Chọn Configuration > Firewall > Access rules > Add > Add Access rules

Thiết lập Access rule kiểm soát truy cập

 Chọn Configuration > Firewall > Access Rules.
 Nhấn Add, lựa chọn một trong hai thiết lập: Access Rule hoặc IPv6 Access
Rule
 Chọn Interface để áp dụng quy tắc.
o (Interface inside kết nối đến mạng LAN ).
 Trong trường Action field
 Permit - cho phép truy cập.
 Deny – từ chối truy cập.
 Trong trường Source , nhập địa chỉ IP mạng, IP Host hoặc bất kỳ địa chỉ nào
mà lưu lượng được phép hoặc từ chối đến đích được chỉ định.
  Trong trường Destination nhập địa chỉ IP mạng, IP Host, bất kỳ địa chỉ nào
mà lưu lượng truy cập được phép hoặc từ chối từ địa chỉ nguồn đã được chỉ
định.
 Chọn loại dịch vụ thông qua số hiệu cổng hoặc tên dịch vụ cụ thể.
( đối với dịch vụ web, chọn các dịch vụ IP, TCP/HTTPS, UDP,TCP/HTTP ).
 Các quy tắc sẽ được triển khai cụ thể theo thời gian theo yêu cầu của công
ty.Trong cửa sổ cấu hình Access Rules, chọn More Options > Time Range.
Luật sẽ được áp dụng trong khoảng thời gian được thiết lập.

Thiết lập thời gian áp dụng luật

3. Hướng dẫn thiết lập ngăn chặn tấn công SQL injection
Triển khai thiết bị ASA – HTTP inspection.
Khi thanh tra, kiểm tra HTTP ta cần định nghĩa ra những lưu lượng sẽ được kiểm
tra, chính sách sẽ áp dụng cho những lưu lượng đó, gán cho Interface nào.
Regular Expression: Biểu thức chính quy.
Class map: Xác định những lưu lượng cần được kiểm tra và áp dụng chính sách
luật.
Policy map: Xác định những chính sách sẽ được áp dụng.
Service policy: xác định Interface sẽ được gán Policy.
 Regular Expression.
 Xây dựng biểu thức chính quy, lọc ra những lưu lượng HTTP không được phép.
Để thiết lập những giá trị sẽ bị phân tích, kiểm tra có thể sử dụng những biểu thức
đã được xây dựng sẵn hoặc tự xây dựng lại theo những chính sách cụ thể được yêu
cầu.
Với mô hình mạng đang được triển khai, Attacker thực hiện chèn một đoạn mã
độc hại nhằm chiếm quyền Admin vào hệ thống. Sử dựng phần mềm Wireshark tiến
hành chụp bắt gói tin đăng nhập vào hệ thống, nhưng đang được tiêm nhiễm đoạn
mã độc hại ' or 1=1 -- .

Sử dụng wireshark chặn bắt gói tin

Biểu thức chính quy được xây dựng chỉ ra các giá trị trong header của HTTP
request chứa các chuỗi như “ or “ .
 Để tạo một Regex mới, chọn Configuration > Firewall > Objects > Regular
Expression. Regex có thể được xây dựng theo từng mục cụ thể
( Regular Expression ) hoặc xây dựng theo nhóm với nhiều biểu thức khác nhau
( Regular Expression Classes ).

Tạo Regex
OK sau đó Apply để lưu lại những cài đặt cho thiết bị.
 Class map
Class map xác định các cung cấp danh sách các giá trị đã được chọn để kiểm tra
ứng dụng, sau đó áp dụng các chính sách luật. Trong phần cấu hình sẽ chỉ định cụ
thể dịch vụ được chọn là HTTP.
Chọn Configuration > Global Objects > Class Maps > HTTP > Add/Edit HTTP
Traffic Class Map.
Trong mục xác định tiêu chí phân tích gói tin, chọn Request Body ( Phân tích
sâu data của HTTP Request. )
 Xác định Class map
Trong mục Value, chỉ định các Regex đã được xây dựng.
 Inspection map
Xác định hành vi áp dụng đối với các gói tin vi phạm chính sách.

Xác định Inspect map

Trong mục Match Criteria, chọn Match đối với Request Body ( các chính sách
phân tích gói tin được áp dụng cho HTTP request ).
 Trong mục Values, giá trị được chọn là Regex đã được xây dựng.
Trong mục Actions, xác định hành vi đối với gói tin vi phạm. Chọn Drop
Connection ( ngắt kết nối ) và Enable ( có ghi log vào hệ thống ).
Đối với việc xây dựng Inspection map cần chú ý đến Security Level ( mức độ
bảo mật đối với chính sách ).

Mức độ bảo mật của chính sách.

Theo cấu hình mặc định, Security Level là Low với những cấu hình mặc định
như: ngắt kết nối đối với gói tin vi phạm chính sách, không ngắt kết nối với những
method không an toàn hay những request header không theo bảng mã ASCII, chế độ
phân tích sâu nâng cao không được thiết lập .
Service policy:
 Xác định Interface sẽ được gán Policy. Trong mô hình mạng được triển khai,
những chính sách bảo mật sẽ được gán trực tiếp lên Interface Outside.

Áp dụng chính sách lên Interface Outside

Chọn Source and Destination IP Address xác định traffic sẽ được phân tích sâu,
kiểm tra với những chính sách đã được thiết lập.
 Xác định Traffic
Trong mục xác định giao thức được phân tích, chọn HTTP sau đó chọn đến
Inspect map đã được cấu hình từ trước.
 Thực thi chính sách
Chọn OK sau đó Apply để lưu lại những cài đặt cho thiết bị. Tường lửa Cisco
ASA sẽ dựa trên những Regex, Class đã được định nghĩa thực thi chính sách được
thiết lập đối với những lưu lượng truy cập đến Web Server thông qua giao thức
HTTP.