CheckPoint Security Gateway Nhóm 9: Bùi Huy Hải - 08520108 Nguyễn Tấn Trọng - 08520426 Đinh Hoàng Việt - 08520464 I. Lý thuyết I.1/ Giới thiệu về Check Point : Check Point không phải phải người xa lạ trong cuộc cách mạng an toàn, an ninh CNTT .Mười lăm năm trước, CP đã tạo ra công nghệ kiểm soát trạng thái toàn diện mà đến nay vẫn còn là cơ sở của bức tường lửa mạnh mẽ nhất trong ngành. Sau đó, CP thay đổi căn bản việc quản trị an ninh với chỉ một bàn điều khiển SmartCenter, các cổng an ninh đồng nhất ( unified security gateways) và chỉ một agent cho an ninh đầu cuối. Gần đây nhất, CP đã phân phối Total Security (Giải pháp an ninh Toàn diện), cung cấp sự an toàn không thỏa hiệp, hạn chế sự phức tạp và tăng cường hiệu năng hoạt động. Với Kiến trúc Software Blade của Check Point, một cuộc cách mạng An toàn , An ninh mới đã bắt đầu. I.2/ Kiến trúc Check Point Software Blades I.2.1/ Tại sao phải sử dụng kiến trúc Check Point Software Blades Software blade là một khối kiến trúc an ninh logic có tính độc lập, modull hóa và quản lý tập trung. Software Blades có thể được sẵn sàng và cấu hình theo một giải pháp dựa trên những nhu cầu kinh doanh cụ thể. Và khi có nhu cầu, các blades bổ sung có thể được kích hoạt để mở rộng an ninh cho cấu hình sẵn có bên trong cùng một cơ sở phần cứng. Kiến trúc Software Blade của Check Point đề xuất một cách thức tốt hơn trong vấn đề an ninh, cho phép các tổ chức nhìn nhận một cách hiệu quả các giải pháp mục tiêu , phù hợp các nhu cầu an ninh doanh nghiệp đề ra. Toàn bộ các giải pháp được quản lý tập trung thông qua bàn điều khiền duy nhất nhằm hạn chế sự phức tạp và quá tải vận hành. Với tư cách một ứng cứu khẩn cấp các mối đe dọa, kiến trúc Software Blade của Check Point mở rộng các dịch vụ một cách nhanh chóng và linh hoạt khi cần thiết mà không cần bổ sung phần cứng hay tăng độ phức tạp. Những lợi ích chính của Kiến trúc Check Point Software Blade: o Tính linh hoạt - Cung cấp một mức độ an ninh phù hợp với mức độ đầu tư o Khả năng điều khiển – Cho phép triển khai nhanh các dịch vụ an ninh. Tăng cường hiệu suất làm việc thông qua quản trị blade tập trung. o An Ninh Toàn diện – Cung cấp mức độ an ninh phù hợp, trên tất cả các điểm thực thi, và toàn bộ các lớp mạng. o Tổng giá thành sở hữu (TCO) thấp – Bảo vệ sự đầu tư thông qua củng cố và sử dụng hạ tầng phần cứng đang có. o Năng suất đảm bảo – Cho phép dự phòng tài nguyên nhằm bảo đảm các mức độ dịch vụ. I.2.2/ Xây dựng một giải pháp an ninh bằng Sofrware Blades Check Point’s Software Blade Architecture cho phép tùy biến các hệ thống được thiết lập sẵn hoặc nhanh chóng chọn lựa các giải pháp căn bản được định trước. Cho dù là thiết kế một giải pháp cho tổng hành dinh công ty, một trung tâm dữ liệu hay văn phòng chi nhánh, việc thiết lập hệ thống sẽ gồm ba bước đơn giản: Buớc 1: Chọn một Container Quản trị An ninh (Security Management Containers) hoặc Container Cổng An ninh (Security Gateway Container). Bước 2: Lựa chọn Software Blades cần thiết Bước 3: Cấu hình và triển khai Kết quả là một hệ thống cổng hoặc quản trị an ninh được cấu hình chính xác cho nhu cầu kinh doanh cụ thể. II.2.3/ Các loại Software Blade Containers : Có 3 loại Software Blade Containers: Security Gateway Containers, Endpoint Security Containers and Security management Containers. Hiện tại có 5 Security Gateway Containers, có 4 Endpoint Security Containers, có 3 Security management Containers. I.3/ Các loại Software Blades: I.3.1/ Endpoint Security Software Blades • Full Disk Encryption - Bảo đảm an ninh các ổ đĩa cứng hoàn toàn tự động và ẩn đi với người dùng cuối. Dùng cơ chế xác thực khởi động (Multi-factor pre-boot authentication) để định danh người dùng. • Media Encryption - Cung cấp khả năng mã hóa thiết bị lưu trữ đa phương tiện. Khả năng kiểm soát Port cho phép quản lí các Port thiết bị đầu cuối, bao gồm khả năng truy cập vào hoạt đông của Port đó. • Remote Access - Cung cấp cho người dùng truy cập một cách an ninh và liền lạc đến mạng hay tài nguyên công ty khi người dùng di chuyển. • Anti-Malware / Program Control - Phát hiện và xóa bỏ hiệu quả malware ở thiết bị đầu cuối với bộ lọc đơn. Phần mềm kiểm soát chương trình chỉ cho phép các chương trình hợp pháp và được cho phép chạy trên thiết bị đầu cuối. • WebCheck - PBrowser sessions run in a secure virtual environment. Bảo vệ chống lại các mối đe dọa trên nền web mới nhất bao gồm việc download, tấn công zero-day. Đưa trình duyệt chạy trên môi trường ảo hóa an ninh. • Firewall / Compliance Check - Bảo vệ bên trong và bên ngoài giúp ngăn chặn malware từ những hệ thống đã bị nhiễ, khóa các cuộc tấn công có mục tiêu và ngăn chăn các luồng traffic không mong muốn. Kiến trúc Check Point Software Blade hỗ trợ sự chọn lựa đầy đủ và ngày càng gia tăng của Sofrware Blades, trong đó mỗi blade cung cấp chức năng cổng an ninh modull hóa hoặc quản trị an ninh. Do Software Blades có tính modull và có thể dịch chuyển, Software Blades cho phép người dùng thiết kế chức năng cổng an ninh và quản trị một cách hiệu quả và nhanh chóng cho những nhu cầu an ninh cụ thể và biến động. Các blades mới được cấp phép nhanh chóng mà không cần thêm phần cứng mới. I.3.2/ Security Gateway Software Blades o Firewall -Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và dịch vụ với tính năng công nghệ kiểm soát thích ứng và thông minh nhất. o IPsec VPN – kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Site-to- Site được quản lý truy cập từ xa mềm dẻo. o IPS – Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao phủ các nguy cơ tốt nhất o Web Security – Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo vệ mạnh nhất chống lại các tấn công tràn bộ đệm. o URL Filtering – Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs, bảo vệ người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm. o Antivirus & Anti-Malware – Bảo vệ diệt virus hàng đầu bao gồm phân tích virus heuristic, ngăn chặn virus, sâu và các malware khác tại cổng. o Anti-Spam & Email Security – Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam, bảo vệ các servers và hạn chế tấn công qua email. o Advanced Networking – Bổ sung định tuyến động, hỗ trợ multicast và Quality of Service (QOS) cho các cổng an ninh. o Acceleration & Clustering – Công nghệ được cấp bằng SecureXL và ClusterXL cung cấp sự kiểm soát packet nhanh như chớp, tính sẵn sàng cao và cân bằng tải. o Voice over IP - Có hơn 60 phòng thủ ứng dụng VoIP và các phương pháp QoS tiên tiến bảo vệ hạ tầng VoIP khỏi các cuộc tấn công như dạng tấn công từ chối dịch vụ trong khi cung cấp thoại chất lượng cao. I.3.3/ Security Management Software Blades o Network Policy Management – Quản lý chính sách an ninh mạng toàn diện cho các cổng Check Point và blades thông qua SmartDashboard, là bàn điều khiển đơn hợp nhất. o Endpoint Policy Management – Triển khai, quản trị, giám sát tập trung và ép buộc chính sách an ninh cho toàn bộ các thiết bị đầu cuối trên toàn tổ chức qui mô bất kỳ. o Logging & Status – Thông tin toàn diện ở dạng nhật ký (logs) và bức tranh toàn cảnh của những thay đổi trên các cổng, các kênh (tunnels), những người dùng từ xa và các hoạt động bảo mật. o Monitoring – Cái nhìn tổng thể của mạng và năng xuất an ninh, cho phép ứng xử nhanh chóng các thay đổi trong mẫu lưu thông và các sự kiện an ninh. o Management Portal – Mở rộng tầm nhìn dựa trên trình duyệt của các chính sách an toàn an ninh tới các nhóm bên ngoài như lực lượng hỗ trợ chẳng hạn trong khi vẫn bảo đảm kiểm soát chính sách tập trung. o User Directory – Cho phép các cổng Check Point có tác dụng đòn bẩy với các kho thông tin người dùng trên cơ sở LDAP, hạn chế các rủi ro liên quan việc bảo trì và đồng bộ bằng tay các kho dữ liệu dư thừa. o IPS Event Analysis – Hệ thống quản lý sự kiện hoàn chỉnh cung cấp khả năng nhìn thấy các tình thế, dễ dàng cho việc áp dụng các công cụ chứng cứ, báo cáo. o Provisioning – Cung ứng quản trị tập trung và dự phòng của các thiết bị an ninh Check Point thông qua bàn điều khiển quản trị đơn nhất. o Reporting – Chuyển phần lớn dữ liệu mạng và an ninh sang dạng đồ họa, các báo cáo dễ hiểu. o Event Correlation – So sánh và quản lý tương quan các sự kiện một cách tập trung và theo thời gian thực đối với các thiết bị Check Point và của các hãng thứ 3. I.3/ Các công nghệ hiện tại của Check Point Security Gateways: Thiết bị an ninh CP(CP Security Appliances) : là phần cứng tích hợp tất cả các phần mềm cần thiết (software blades) để tạo ra sản phẩm nhằm cung cấp giải pháp trọn gói cho Doanh nghiệp ở mức An ninh Gateways. Các thiết bị tương ứng với các mô hình lớn nhỏ cho công ty: Môi trường Thiết bị hỗ trợ Trung tâm dữ liệu - Data center • 61000 Security System • 21400 Appliance • IAS Bladed Hardware Doanh nghiệp lớn – Large Enterprise • 12000 Appliance • Power-1 Series • IP Appliances • IAS-D Appliances • IAS-M Appliances Doanh nghiệp vừa và nhỏ - Medium-Sized Business • 4000 Appliance • UTM-1 Series Văn phòng nhỏ và chi nhánh - Small Business & Branch Office • 2200 Appliance • Series 80 Appliance • UTM-1 Edge • Safe@Office Appliances • Cloud-Managed Security Service Công nghệ ảo hóa - Virtualized • VSX Thiết bị chuyên dụng - Dedicated • DLP: DLP-1 Appliance • IPS: IPS-1 Phần mềm an ninh CP (Security Software Blades) : là các thành phần an ninh linh hoạt và độc lập, được kết hợp lại với nhau để xây dựng an ninh tại Gateway. Các phần mềm này được mua riêng độc lập hay được mua thành các gói cài sẵn. Các phần mềm an ninh tại Gateway: • Firewall • IPSec VPN • Mobile Access • Identity Awareness • Application Control • IPS • DLP • Web Security • URL Filtering • Anti-Bot • Antivirus & Anti-Malware • Anti-Spam & Email Security • Advanced Networking • Acceleration & Clustering • Voice over IP (VoIP) • Security Gateway Virtual Edition Giải pháp truy cập từ xa: • Endpoint Security with Remote Access • Mobile Access Software Blade • Check Point GO Bảo mật ảo hóa (Virtualization Security ) : cung cấp giải pháp an ninh và toàn diện cho môi trường ảo hóa 2 công nghệ bảo mật ảo hóa: - Bảo mật đám mây: Virtual Appliance for Amazon Web Services - Giải pháp cho di động: Firewall-1 GX IV/ Download CheckPoint NGX R65: (lúc demo down file torrent mà kiếm không thấy) Down direct link tại địa chỉ: hp://storage.asm.md/inst/system/OS/ II. Mô hình triển khai II.1/ Mô hình giả lập: [...]... trên CheckPoint II.3/ Những tính năng chính sẽ triển khai trên mô hình: 1 2 3 4 5 6 Cài đặt Check Point R65 Cài đặt SmartConsole, WebServer, DomainController Tích hợp AD vào trong CheckPoint Thiết lập và test các rule trên Firewall CheckPoint Web Filtering IPS(SmartDefence) III Triển khai ứng dụng III.1/ Các bước triển khai mô hình: III.1.1/ Cài đặt và cấu hình CheckPoint R65: Cài đặt: Cài đặt card mạng. .. cho CheckPoint( eth0): Cấu hình: + User/Pass mặc định là admin/admin Sau khi login vào hệ thống thay đổi password và tên đăng nhập + Thay đổi password ở mode EXPERT + Để vào cấu hình CheckPoint dùng lệnh SYSCONFIG Bấm n để tiếp tục cấu hình, đặt host name: Đặt tên Domain name: + Cấu hình 3 interface trên CheckPoint theo hình vẽ: Card eth0: Card eth1: Card eth2: + Cấu hình Interface cho phép quản lí CheckPoint: ... CheckPoint R65: firewall trong mô hình 3 chân làm nhiệm vụ lọc gói tin(cấm/cho phép), • VPN, IPS, xác thực người dùng truy cập Internet… Web Server: Là WebServer làm nhiêm vụ cho các máy bên tron Internal hay ngoài • Internet truy cập vào lấy dữ liệu ActiveDirectory : là máy quản lý user, và tích hợp Active Directory vào trong • CheckPoint SmartConsole: là máy nội bộ trong Internal, dùng cấu hình CheckPoint, ... user trong/123 và hai/123 III.2/Các tính năng trong CP R65: III.2.1 Tích hợp Active Directory vào CheckPoint R65 Đầu tiên phải cài certificate cho Active Directory để AD và CP tin tưởng lẫn nhau trong quá trình truyền dữ liệu giữa 2 bên: Tạo 1 node cho máy Active Directory Enable SmartDirectory (LDAP) trên CheckPoint Tạo LDAP account UNIT(Acive Directory là dựa trên kiến trúc LDAP) - Trong tab General... CheckPoint Tạo LDAP account UNIT(Acive Directory là dựa trên kiến trúc LDAP) - Trong tab General - Trong tab Servers: mục Login DN theo user viet, password là 123 của user viet - Tab Objects Management : bấm Fetch Branches , nếu cài đặt đúng sẽ hiển thị các thông số trên AD là DC=UIT,DC=LOCAL Ta xóa bớt 2 dòng trên để hiện thị toàn bộ nội dung trong Active Ditrctory - Nếu thành công sẽ hiển thị khi nhấn... Destop WebServer Rule: Internal ping được Firewall III.2.3 Web Filtering Bật tính năng Web Filtering trong CheckPoint firewall: Các phần cấu hình trong mục Content Inspections: Theo thể loại trong phần Web Filtering  Web Filtering Policy: • Hẹn hò: http://www.lavalife.com/ : đầu tiên truy cập vào trang web hẹn hò Sau đó bật tính năng chặn lại là mục Personal & Dating Sau đó truy cập lại, ta thấy đã bị... hình, đặt host name: Đặt tên Domain name: + Cấu hình 3 interface trên CheckPoint theo hình vẽ: Card eth0: Card eth1: Card eth2: + Cấu hình Interface cho phép quản lí CheckPoint: + Sau đó cài đặt thời gian, rồi chọn công nghệ: Check Point Power: Rồi chọn tiếp các cài đặt trong đó: VPN-1 Power và SmartCenter CP đòi add licence : do không có nên chọn no, CP sẽ có hạn dùng là 15 ngày CP hỏi thêm vào admin . quản trị an ninh với chỉ một bàn điều khiển SmartCenter, các cổng an ninh đồng nhất ( unified security gateways) và chỉ một agent cho an ninh đầu cuối. Gần đây nhất, CP đã phân phối Total Security. DLP: DLP-1 Appliance • IPS: IPS-1 Phần mềm an ninh CP (Security Software Blades) : là các thành phần an ninh linh hoạt và độc lập, được kết hợp lại với nhau để xây dựng an ninh tại Gateway. Các. Endpoint Security Containers and Security management Containers. Hiện tại có 5 Security Gateway Containers, có 4 Endpoint Security Containers, có 3 Security management Containers. I.3/ Các