Đang tải... (xem toàn văn)
Nghiên cứu các giải pháp checkpoint trong việc giám sát an ninh mạng doanh nghiệp
TTTN ĐẠI HỌC 2010-2015 Mục Lục SVTH : MSSV :N10234009 Trang TTTN ĐẠI HỌC 2010-2015 Liệt kê hình Hình 1.1 Scan port theo phương pháp SYN Scan Hình 1.2 Scan port theo phương pháp ACK Scan Hình 2.1 Filewall cứng Hình 3.1 Mô hình checkpoint Hình 3.2 Install Checkpoint Gaia R77 Hình 3.3 Wellcom Checkpoint Hình 3.4 Phân vùng ổ đĩa Hình 3.5 Đặt password cho tài khoản admin Hình 3.6 Đặt thông số cho máy Hình 3.7 Hoàn thành cài đặt khởi động lại Hình 3.8 Đăng nhập Hình 3.9 Kiểm tra lại cấu hình IP Hình 3.10 Đặt lại tài khoản Hình 3.11 Finish Hình 3.12 Giao diện quản lý Web UI Checkpoint Hình 3.13 Giao diện Quản lý Checkpoint SmartDashboard R77 Hình 3.14 Đăng nhập SmartDashboard Hình 3.15 Giao diện cấu hình dịch vụ Firewall Hình 3.16 Giao diện cấu hình dịch vụ Application & URL Filtering SVTH : MSSV :N10234009 Trang TTTN ĐẠI HỌC 2010-2015 Trích Yếu Chúng ta sống thời đại mới, thời đại phát triển rực rỡ CNTT CNTT bước phát triển cao số hóa tất liệu thông tin, luân chuyển mạnh mẻ kết nối tất lại với CNTT ảnh hưởng sâu rộng tới lĩnh vực sống Đối với cá nhân Doanh nghiệp, CNTT trở thành công cụ để tang lực cá nhân hiệu suất làm việc Doanh nghiệp, mang lại hiệu kinh tế cao Đặc biệt doanh nghiệp CNTT đóng vai trò tảng quan trọng việc khai thác ứng dụng nghiệp vụ Ngày với phát triển mạnh mẻ CNTT củng lợi ích to lớn mà mang lại củng không phần tử lợi dụng lỗ hổng tổ chức doanh nghiệp thâm nhập cài mã độc, virut, đánh cắp thông tin qua mạng, thông tin cá nhân trực tiếp hay gián tiếp… để phá hoại hệ thống, lấy cắp thông tin để phục vụ cho lợi ích cá nhân Cho nên Phát ngăn chặn công hacker củng đảm bảo an toàn thông tin mạng vấn đề quan trọng cấp thiết cần nghiên cứu áp dụng Trong năm qua, hệ thống bảo vệ nghiên cứu phát triển để hệ thống phần mềm ngăn ngừa công từ bên internet vào hệ thống thông tin, filewall Mà Checkpoint nhà cung cấp hang đầu sản phẩm bảo mật internet, đặc biệt dòng filewall cho doanh nghiệp Mặc dù tuyệt đối an toàn, củng cung cấp giải phấp bảo mật để ngăn ngừa kẻ công hiệu Trong trình nghiên cứu đề tài “Nghiên cứu giải pháp Checkpoint việc giám sát An ninh mạng Doanh nghiệp” từ 16/6/2014 đến 1/8/2014 sẻ giới thiệu tổng quan xu hướng quản trị bảo mật mạng với việc tìm hiểu khảo sát vấn đề An ninh mang Doanh nghiệp, chế bảo mật củng hiệu suất làm việc Checkpoint hệ thống mạng Đáp ứng nhu cầu ngày cao bảo mật Qua thiết lập hệ thống bảo mật tối ưu để giảm thiểu mối đe dọa từ internet củng quản lý giám sát an ninh mạng doanh nghiệp Tôi cam kết kết đạt tồi tự thực dướng dẫn thầy Võ Đỗ Thắng Các bước trình thực hiên tồi ghi lại video: Clip giới thiệu thân https://www.youtube.com/watch? v=XUu4kPvWcg0&feature=youtu.be Clip 10->20' khó khăn thuận lợi : https://www.youtube.com/watch? v=_FISaOHwAjk#t=21 Clip cài đặt cấu hình: https://www.youtube.com/watch?v=iVh2CCZz3Eg SVTH : MSSV :N10234009 Trang TTTN ĐẠI HỌC 2010-2015 CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT Trong chương sẻ trình bày khái niệm chung an toàn an ninh mạng, tình hình thực tế Các mô hình mạng giao thức sử dụng để truyền thông mạng Các dạng công, số kỹ thuật công sủ dụng phổ biến nay, từ đưa chiến lược bảo vệ hệ thống khỏi nguy 1.1 Tình hình thực tế: Mạng internet – Mạng toàn cầu kết nối máy tính cung cấp dịch vụ WWW, Email…là tảng cho dịch vụ điện tử ngày phát triển nhanh chóng Internet trở thành phần thiếu sống hang ngày Và với nguy hiểm mà mạng internet mạng lại Những kể công ngày tinh vi hoạt động chúng Thông tin lổ hổng bảo mật, kiểu công trình bày công khai mạng Không kể kẻ công chuyên nghiệp, người có trình độ cao mà cần người có chút hiểu biết lập trình, mạng đọc thông tin trở thành hacker Chính lý mà số vụ công mạng ngày tang cao với nhiều phương thức Những năm gần tình hình bảo mật mạng máy tính trở nên nóng bỏng hết hang loạt vụ công, lỗ hổng bảo mật phát bị lợi dụng công Theo Arthur Wong – giám điều hành Security – trung bình tuần, phát 30 lỗ hổng bảo mật Theo điều tra SecurityFocus số 10.000 khách hang hang có cài đặt phần mềm phát xâm nhập Những phần mềm web server IIS Microsoft mục tiêu phổ biến công Sử dụng filewall để ảo vệ mạng nội bộ, tránh công từ bên giải pháp hữu hiệu, đảm bảo yếu tố: + An toàn cho hoạt động toàn hệ thống mạng + Bảo mật cao nhiều phương diện + Khả kiểm soát cao + Mềm dẻo dể sử dụng + Trong suốt với người dùng + Đảm bảo kiến trúc mở SVTH : MSSV :N10234009 Trang TTTN ĐẠI HỌC 2010-2015 1.2 Các lỗ hổng mạng: Các mật yếu: Mọi ngừoi thường có thói quen sử dụng mật theo tên người thân hay thứ quen thuộc với thân, việc giúp dể nhớ vô tình tạo điều kiện cho kẻ công đoán Củng việc sử dụng mật yếu ngắn toàn số củng mối nguy hiểm bị hacker dể dàng dò Vậy nên ta cần sử dụng mật khó đoán, đủ dài đủ khó ví dụ dài 16 ký tự bao gồm số, chữ ký tự đặc biệt Dữ liệu không mã hóa: Các gói liệu truyền mạng thường dể dàng bị bị bắt , xem trộm sữa chữa… với liệu không mã hóa, kẻ công sẻ chẳng thời gian để hiểu chúng Vậy nên ta cần phải mã hóa thông tin truyền đi, đặc biệt thông tin quan trọng nhạy cảm Các file chia sẻ: Việc chia sẻ file mạng phổ biến nên vấn đề việc bảo mật phần quyền tốt cho file điều quan trọng không muốn bị xem trộm 1.3 Các mục tiêu cần bảo vệ: Để bảo vệ tốt hệ thống chống lại công hacker Chúng ta cần phải biết cần bảo vệ gì, biết nhiều kiểu công khác từ có chiến lược bảo vệ đắn 1.3.1 Dữ liệu Mục tiêu sách an toàn hệ thống thông tin củng liệu bao gồm: + Tính bí mật + Tính toàn vẹn + Tính sẵn sang Thông thường ta chủ yếu tập trung bảo vệ tính bí mật liệu, thông tin có tính nhạy cảm cao…Khi liệu bị chép người quyền ta nói liệu bị tính bí mật Khi liệu bị sữa đổi cách bất ngờ người quyền ta nói liệu bị tính toàn vẹn Tính sãn sàng tính quan trọng tổ chức hoạt động cần sử dụng nhiều thông tin Khi người sử dụng muốn xem thông tin hệ thống đáp ứng lý ta nói liệu tính sẵn sàng SVTH : MSSV :N10234009 Trang TTTN ĐẠI HỌC 2010-2015 1.3.2 Tài nguyên Ví dụ CPU hay nhớ chúng bị người quyền sử dụng, khai thác ta nói tài nguyên bị xâm phạm 1.3.3 Danh tiếng Bảo vệ danh tiếng điều hiển nhiên cá nhân tổ chức Không mạng internet mà cuốc sống hang ngày cần bảo vệ danh tiếng thứ khó xây dựng dể khó xây dựng lại 1.4 Các dạng công phổ biến 1.4.1 Port scan Giới thiệu: Phương pháp scan port thường thực trực tiếp host mạng nhằm mục đích nhận biết dịch vụ mà host cung cấp Ví dụ: web server thường mở port 80, FTP server thường mở port 21…Attacker dựa thông tin thu nhận để tìm cách công, khai thác vào server Nguyên Lý: Dựa phương thức truyền thông TCP ta scan xem server mở port củng đóng port Hai phương pháp scan port phổ biến: SYS Scan: Máy attacker sẻ gửi hang loạt gói tin TCP có port đích port cần scan server cần khai thác Đặc điểm gói tin TCP bật cờ SYN bước đầu trình bắt tay bước giao thức TCP Từ server nhận gói tin sẻ trả gói SYN ACK port có mở attacker sẻ biết dịch vụ bật server Hình 1.1 Scan port theo phương pháp SYN Scan ACK Scan: Đây phương pháp scan thường dung kết hợp với SYN Scan nhằm phát có mặt Firewall hệ thống Nguyên tắc ACK Scan attacker sẻ gửi SVTH : MSSV :N10234009 Trang TTTN ĐẠI HỌC 2010-2015 gói TCP có bật cờ ACK lên Server nhận gói ACK sẻ trả gói RST, attacker sẻ nhận biết giám sát session hệ thống Còn có xuất Firewall lớp Transport hay Multilayer Firewall gói tin ACK gửi vào chắn sẻ bị drop Hình 1.2 Scan port theo phương pháp ACK Scan 1.4.2 DOS (Denial of Services) Giới thiệu: Một công từ chối dịch vụ (tấn công DoS) hay công từ chối dịch vụ phân tán (tấn công DDoS) cố gắng làm cho tài nguyên máy tính sử dụng nhầm vào người dung Mặc dù phương tiện để tiến hành, động cơ, mục tiêu công từ chối dịch vụ khác nhau, nói chung gồm có phối hợp, cố gắng ác ý người hay nhiều người để chống lại internetsite service (dịch vụ web) vận hành hiệu tất cả, tạm thời hay cách không xác định Thủ phạm công từ chối dịch vụ nhằm vào mục tiêu site hay service tiêu biểu ngân hang, cổng toán thẻ tín dụng chí DNS root servers Nguyên Lý: Teardrop: Như ta biết, tất liệu di chuyển qua mạng từ hệ thống nguồn đén hệ thống đích phải trải qua trình: liệu sẻ chia thành mảnh nhỏ hệ thống nguồn, mảnh phải có mổ giá trị offset định để xác định vị trí mảnh gói liệu chuyền Khi mảnh đến hệ thống đích, thống đích sẻ dựa vào giá trị offset để xếp mảnh lại với theo thứu tự ban đầu Lợi dụng sơ hở đó, ta cần gửi đến hệ thống đích loạt gói packets với giá trị offset chồng chéo lên Hệ thống đích sẻ xếp lại packets này, không điều khiển bị crash, reboot ngừng hoạt động số lượng gói packets với giá trị offset chồng chéo lên lớn SYN Attack: Trong SYN Attack, hacker sẻ gửi đến hệ thống đích loạt SYN packets với địa ip nguồn thực Hệ thống đích nhận SYN packets sẻ trả lời gói SVTH : MSSV :N10234009 Trang TTTN ĐẠI HỌC 2010-2015 SYN đồng thời lưu request vào nhớ để xử lý Với hang loạt gói tin chờ xử lý sẻ làm cho hệ thống tải, reoot…đạt mục đích công DOS Land Attack: Land Attack củng gần giống SYN Attack, thay dùng địa IP thực, hacker sẻ dùng địa IP hệ thống nạn nhân Điều sẻ tạo nên vòng lặp vô tận hệ thống nạn nhân Smurf Attack: Smurf Attack, cần có ba thành phần: hacker (người lệnh công), mạng khuếch đại (sẻ nghe lệnh hacker) hệ thống nạn nhân Hacker sẻ gởi gói tin ICMP đến địa broadcast mạng khuếch đại Điều đặc biệt gói tin ICMP packets có địa IP nguồn địa IP nạn nhân Khi packets đến địa broadcast mạng khuếch đại, máy tính mạng khuếch đại sẻ tưởng máy tính nạn nhân gửi gói ICMP packets đến chúng sẻ đồng loạt gửi trả lại hệ thống nạn nhân gói tin phản hồi ICMP packets Hệ thống máy nạn nhân sẻ không chịu khối lượng khổng lồ gói tin nhanh chóng bị ngừng hoạt động, crash reboot 1.4.3 ARP Spoofing Mỗi thiết bị hệ thống mạng có hai địa Một địa Media Access Control (MAC) địa Internet Protocol (IP) Địa MAC địa card mạng gắn vào bên thiết bị, Địa IP thay đổi theo người sủ dụng tùy vào môi trường mạng ARP giao thức lớp 2, chức dùng để định vị host segment mạng cách phân giải địa IP địa MAC ARP thực hiên điều thông qua tiến trình broadcast gói tin đến tất host mạng, gói tin chưa địa IP host cần giao tiếp Các host mạng nhận gói tin host có địa IP trùng với địa IP gói tin trả lời lại, lại sẻ tự động drop gói tin Ví dụ: ARP Request: Máy tính A sẻ hỏi toàn mạng:” có địa IP này? “ ARP reply: máy tính B trả lời máy tính A: “ có IP đó, địa MAC là…” Kỹ thuật ARP Spoofing lợi dụng điểm yếu giao thức xác thực gửi gói tin ARP, tức gửi gói tin Người công sẻ giả cá gói tin ARP reply với địa IP máy mạng địa MAC lại giả MAC máy công Như máy nạn nhân nhận gói tin sẻ tưởng nhầm đối tác có địa MAC người công gửi đến dẫn đến sai lệch việc gửi/nhận thông tin SVTH : MSSV :N10234009 Trang TTTN ĐẠI HỌC 2010-2015 1.5 Các chiến lược bảo vệ mạng 1.5.1 Quyền hạn tối thiểu ( Least Privilege) Một nguyên tắc an toàn nói chung trao quyền tối thiểu Có nghĩa là: Bất kỳ đối tượng mạng nên có quyền hạn định mà đối tượng cần phải có để thực nhiệm vụ có quyền mà Như vậy, người sử dụng không thiết trao quyền truy nhập dich vụ Internet, đọc sửa đổi tất file hệ thống…Người quản trị hệ thống không thiết phải biết mật root mật người sử dụng… Nhiều vấn đề an toàn mạng Internet bị xem thất bại thực nguyên tắc Quyền hạn tối thiểu Vì vậy, chương trình đặc quyền phải đơn giản đến mức chương trình phức tạp, ta phải tìm cách chia nhỏ cô lập phần mà yêu cầu quyền hạn 1.5.2 Bảo vệ theo chiều sâu ( Defence in Depth) Một nguyên tắc khác moi chế an ninh bảo vệ theo chiều sâu.Đối với hệ thống đừng phụ thuộc vào chế an ninh, cho dù mạnh đến đâu Thay vào sử dụng nhiều chế an ninh để chúng hỗ trợ 1.5.3 Nút thắt ( Choke Point) Một nút thắt bắt buộc kẻ đột nhập phải qua lối hẹp mà kiểm soát điều khiển Trong chế an toàn mạng, Firewall nằm hệ thống mạng ta mạng Internet, nút thắt Khi đó, muốn truy nhập vào hệ thống phải qua nó, vậy, ta theo dõi, quản lý Nhưng nút thắt trở nên vô dụng có đường khác vào hệ thống mà không cần qua (trong môi trường mạng, có đường Dial–up không bảo vệ khác truy nhập vào hệ thống) 1.5.4 Liên kết yếu ( Weakest Link) Đối với hệ thống bảo vệ cho dù có nhiều khâu có mức an toàn cao cần khâu an toàn toàn toàn hệ thống củng sẻ an toàn Những kẻ công thông minh sẻ tim điểm yếu tập trung công vào Cần Phải thận trọng tới điểm yếu kẻ công biết tìm cách để khai thác 1.5.5 Hỏng an toàn ( Fail – Safe Stance ) Một điểm yếu khác chiến lược an ninh khả cho phép hệ thống hỏng an toàn ( faile –safe ) – có nghĩa hệ thống có hỏng sẻ hỏng theo cách chống lại công đối phương Sự sụp đổ có chế hỏng an toàn Ví dụ router lọc gói bị down, sẻ không cho gói tin qua Nếu proxy bị down, không cung cấp dịch vụ Nhưng hệ thống lọc SVTH : MSSV :N10234009 Trang TTTN ĐẠI HỌC 2010-2015 gói cấu hình mà tất gói tin hướng tới máy chạy ứng dụng lọc gói cà máy khác cung cấp ứng dụng máy chạy ứng dụng lọc gói bị down, gói tin sẻ di chuyển toàn đến ứng dụng cung cấp dịch vụ Kiểu thiết kế dạng hỏng an toàn cần phải ngăn ngừa Điểm quan trọng chiến lược nguyên tắc, quan điểm an ninh Ta có xu hướng hạn chế, ngăn cấm hay cho phép? Có hai nguyên tắc mà ta định đến sách an ninh: + Mặc định từ chối: Chỉ quan tâm ta cho phép cấm tất lại + Mặc định cho phép: quan tâm đến mà ta ngăn cấm cho qua tất lại 1.5.6 Tính toàn cục ( Universal Participation ) Để đạt hiệu cao, hầu hêt hệ thống an toàn đòi hỏi phải có tính toàn cục hệ thống cục Nếu kẻ dể dàng bẻ gãy chế an toàn chúng thành công cách công hệ thống tự tiếp tục công hệ thống nội bên Có nhiều hình thức làm cho hỏng an toàn hệ thống cần báo lại tượng lạ xảy lien quan đến an toàn hệ thống cục 1.5.7 Đa dạng bảo vệ ( Diversity of Defence ) Ý tưởng thực đằng sau “ đa dạng bảo vệ” sử dụng hệ thống an ninh nhiều nhà cung cấp khác nhằm giảm rủi ro lỗi phổ biến mà hệ thống mắc phải Nhưng bên cạnh khó khan kèm sử dụng hệ thống bao gồm nhiều sản phẩm nhà cung cấp khác như: Cài đặt, cấu hình khó hơn, chi phí lớn hơn, bỏ nhiều thời gian để vận hành hệ thống Chúng ta hảy thận trọng với ý tưởng đa dạng Vì sử dụng nhiều hệ thống khác chưa có đa dạng bảo vệ mà xảy trường hợp hệ thống hạn chế hoạt động hệ thống khác mà không hổ trợ ta mong muốn 1.5.8 Đơn giản hóa ( Simplicity ) Đơn giản chiến lược an ninh hai lý sau: Thứ nhất: Với đơn giản củng có nghĩa dể hiểu, ta không hiểu phần đó, ta chắn liệu có an toàn không Thứ hai: Sự phức tạp sẻ tạo nhiều ngóc nghách mà ta quản lý nổi, nhiều thứ sẻ ẩn chứa mà ta Rõ rang, bảo vệ hộ dễ dàng nhiều bảo vệ tòa lâu đài lớn SVTH : MSSV :N10234009 Trang 10 TTTN ĐẠI HỌC 2010-2015 - Check Point High Availability tạo nhóm firewalls làm giảm thời gian chết cho hệ thống - Cung cấp Quality of Service dành ưu tiên cho lưu lượng mạng - Siêu IP cung cấp dịch vụ DNS, DHCP Ngoài có công cụ Secure DHCP để chứng thực người dùng - User Authority mở rộng quyền hạn chứng thực thông tin người dùng thu từ VPN1/FireWall-1 để giảm bớt tải cho ứng dụng thứ - Mạng DMZ để cấu hình cho services hệ thống : SMTP, FTP, HTTP HTTPs - Cơ chế xử lý cố 2.5.2 ISA ISA Server 2004 thiết kế để bảo vệ Network, chống xâm nhập từ bên lẫn kiểm soát truy cập từ bên Nội Network Tổ chức ISA Server 2004 Firewall làm điều thông qua chế điều khiển phép qua Firewall bị ngăn chặn Chúng ta hình dung đơn giản sau: Có quy tắc áp đặt Firewall cho phép thông tin truyền qua Firewall, sau thông tin “Pass” qua, ngược lại quy tắc cho phép thông tin truyền qua, thông tin bị Firewall chặn lại ISA Server Firewall chứa nhiều tính mà Security Admin dùng để đảm bảo an toàn cho việc truy cập Internet, bảo đảm an ninh cho tài nguyên Nội Network Các Network Services tính ISA Server cài đặt cấu hình gồm: - Cài đặt cấu hình Microsoft Certificate Services : Dịch vụ cung cấp chứng từ kĩ thuật số phục vụ nhận dạng an toàn giao dịch mạng - Cài đặt cấu hình Microsoft Internet Authentication Services (RADIUS) : Dịch vụ xác thực an toàn cho truy cập từ xa thông qua remote connections (Dial-up VPN) - Cài đặt cấu hình Microsoft DHCP Services (Dịch vụ cung cấp xác lập TCP/IP cho node và) WINS Services (dịch vụ cung cấp giải pháp truy vấn NETBIOS name máy tính mạng) - Cấu hình WPAD entries DNS để hỗ trợ chức Autodiscovery (tự động khám phá) Autoconfiguration (tự động cấu hình) cho Web Proxy Firewall clients Thuận lợi cho ISA Clients (Web Firewall clients) Tổ chức họ phải mang máy tính từ mạng (có ISA Server) đến mạng khác (có ISA Server khác) mà SVTH : MSSV :N10234009 Trang 18 TTTN ĐẠI HỌC 2010-2015 tự động phát làm việc với Web Proxy Service Firewall Service ISA Server - DNS : Cài đặt Microsoft DNS server Perimeter Network server (Mạng chứa máy chủ cung cấp trực tuyến cho máy khách bên ngoài, nằm sau Firewall, tách biệt với LAN) - Back up phục hồi thông tin cấu hình ISA Server Firewall - Tạo sách truy cập (Access Policy) ISA Server Firewall - Publish Web Server Perimeter Network - Dùng ISA Server Firewall đóng vai trò Spam filtering SMTP relay (trạm trung chuyển e-mails, có chức ngăn chặn Spam mails) Publish Microsoft Exchange Server services (hệ thống Mail làm việc cộng tác Microsoft, tương tự Lotus Notes IBM) - VPN : Cấu hình ISA Server Firewall đóng vai trò VPN server, tạo kết nối VPN theo kiểu site-to-site hai Networks 2.5.3 IPCop - Firewall :Tích hợp IPTable firewall mạnh Linux Netfilter - Mở rộng cổng giao tiếp hỗ trợ : Analog modem, an ISDN modem, an ADSL modem, hỗ trợ giao thức PPTP(point-to-point-tunneling-protocol) dịch vụ SSH… - Hỗ trợ card mạng riêng cho phân vùng DMZ để cấu hình cho services hệ thống có - Hỗ trợ truy xuất từ xa qua SSH server - Tích hợp DHCP Server - Caching DNS - TCP/UDP port forwarding - Hỗ trợ IDS(Intrusion detection system) Snort :Hệ thống dò tìm phát xâm nhập trái phép tiếng Snort - Hỗ trợ Free S/WAN IPSec cho phép xây dựng máy chủ VPN cung cấp truy cập tài nguyên nội cho người dùng từ xa thông qua phiên truyền mã hóa chứng thực chặt chẽ - Hỗ trợ Squid – Web Proxy: chương trình kiểm soát tăng tốc truy cập internet nhiều người yêu thích áp dụng, giúp tiết kiệm đường truyền - Cho phép backup restore thông tin cấu hình IPCop cách nhanh chóng dễ dàng giao diện thao tác giao diện web - Có chế tự vá lỗi cập nhật sách bảo mật cách tự động SVTH : MSSV :N10234009 Trang 19 TTTN ĐẠI HỌC 2010-2015 CHƯƠNG 3: GIỚI THIỆU TỔNG QUÁT VỀ CHECKPOINT GAIA E77 3.1 Mô hình mạng Hình 3.1 Mô hình checkpoint Gateway Security Internet SmartDashboard Máy chủ quản lí an ninh SVTH : MSSV :N10234009 HTTP Proxy Mail Server Active Directory SmartView Tracker Smart Event Trang 20 TTTN ĐẠI HỌC 2010-2015 3.2 Giới thiệu Checkpoint firewall Gateway Security Software blade khối kiến trúc an ninh logic có tính độc lập, modull hóa quản lý tập trung Software Blades sẵn sàng cấu hình theo giải pháp dựa nhu cầu kinh doanh cụ thể Và có nhu cầu, blades bổ sung kích hoạt để mở rộng an ninh cho cấu hình sẵn có bên sở phần cứng 3.2.1 Kiến trúc Checkpoint software Blades Là kiến trúc giúp quản lý tốt việc đảm bảo an ninh doanh nghiệp quản lý tập trung thứ thông qua bàn điều khiển nhằm hạn chế phức tạp tải vận hành (phù hợp với việc nhu cầu phần cứng ngày phát triển nhanh chóng mà ngành IT theo kịp) Với tư cách ứng cứu khẩn cấp mối đe dọa, kiến trúc Software Blade Check Point mở rộng dịch vụ cách nhanh chóng linh hoạt cần thiết mà không cần bổ sung phần cứng hay tăng độ phức tạp Check Point Software Blades kiến trúc đầu tiên, ngành nhằm cung cấp an ninh mạng cách linh hoạt quản trị tập trung cho công ty có qui mô Với khả chưa thấy này, Check Point Software Blades cung cấp bảo vệ với giá sở hữu thấp giá thành hợp lý mà đáp ứng nhu cầu an ninh mạng nào, hôm tương lai 3.2.2 Lợi ích mang lại +Tính linh hoạt - Cung cấp mức độ an ninh phù hợp với mức độ đầu tư +Khả điều khiển – Cho phép triển khai nhanh dịch vụ an ninh Tăng cường hiệu suất làm việc thông qua quản trị blade tập trung +An Ninh Toàn diện – Cung cấp mức độ an ninh phù hợp, tất điểm thực thi, toàn lớp mạng +Tổng giá thành sở hữu (TCO) thấp – Bảo vệ đầu tư thông qua củng cố sử dụng hạ tầng phần cứng có +Năng suất đảm bảo – Cho phép dự phòng tài nguyên nhằm bảo đảm mức độ dịch vụ 3.2.3 Các tính Security Gateway Software Blades +Firewall -Trường lửa thử thách bảo vệ cho 200 ứng dụng, giao thức dịch vụ với tính công nghệ kiểm soát thích ứng thông minh +IPsec VPN – kết nối an toàn cho văn phòng người dùng cuối thông qua VPN Siteto-Site quản lý truy cập từ xa mềm dẻo SVTH : MSSV :N10234009 Trang 21 TTTN ĐẠI HỌC 2010-2015 +IPS – Giải pháp phòng chống xâm nhập IPS tích hợp hiệu cao với tầm bao phủ nguy tốt +Web Security – Bảo vệ tiên tiến cho toàn môi trường Web đặc trưng bảo vệ mạnh chống lại công tràn đệm +URL Filtering – Bộ lọc Web thuộc hạng tốt bao phủ 20 triệu URLs, bảo vệ người dùng doanh nghiệp cách cấm truy cập tới trang Web nguy hiểm +Antivirus & Anti-Malware – Bảo vệ diệt virus hàng đầu bao gồm phân tích virus heuristic, ngăn chặn virus, sâu malware khác cổng +Anti-Spam & Email Security – Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam, bảo vệ servers hạn chế công qua email +Advanced Networking – Bổ sung định tuyến động, hỗ trợ multicast Quality of Service (QOS) cho cổng an ninh +Acceleration & Clustering – Công nghệ cấp SecureXL ClusterXL cung cấp kiểm soát packet nhanh chớp, tính sẵn sàng cao cân tải +Voice over IP - Có 60 phòng thủ ứng dụng VoIP phương pháp QoS tiên tiến bảo vệ hạ tầng VoIP khỏi công dạng công từ chối dịch vụ cung cấp thoại chất lượng cao 3.3 Cài đặt Hình 3.2 Install Checkpoint Gaia R77 SVTH : MSSV :N10234009 Trang 22 TTTN ĐẠI HỌC 2010-2015 Hình 3.3 Wellcom Checkpoint Hình 3.4 Phân vùng ổ đĩa SVTH : MSSV :N10234009 Trang 23 TTTN ĐẠI HỌC 2010-2015 Hình 3.5 Đặt password cho tài khoản admin Hình 3.6 Đặt thông số cho máy SVTH : MSSV :N10234009 Trang 24 TTTN ĐẠI HỌC 2010-2015 Hình 3.7 Hoàn thành cài đặt khởi động lại Cấu hình Server Checkpoint Gaia R77 giao diện Web UI Hình 3.8 Đăng nhập SVTH : MSSV :N10234009 Trang 25 TTTN ĐẠI HỌC 2010-2015 Hình 3.9 Kiểm tra lại cấu hình IP Hình 3.10 Đặt lại tài khoản SVTH : MSSV :N10234009 Trang 26 TTTN ĐẠI HỌC 2010-2015 Hình 3.11 Finish Hình 3.12 Giao diện quản lý Web UI Checkpoint 3.4 Các thành phần Smart Dashboard SVTH : MSSV :N10234009 Trang 27 TTTN ĐẠI HỌC 2010-2015 Hình 3.13 Giao diện Quản lý Checkpoint SmartDashboard R77 Hình 3.14 Đăng nhập SmartDashboard SVTH : MSSV :N10234009 Trang 28 TTTN ĐẠI HỌC 2010-2015 3.4.1 Firewall Firewall kỹ thuật tích hợp vào hệ thống mạng nhằm ngăn chặn việc truy cập liệu trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu FireWall chế bảo vệ trust network (mạng nội bộ) khỏi Untrust Network (mạng internet) Check Point Firewall phần kiến trúc Blade Phần mềm cung cấp "thế hệ tiếp theo" tính tường lửa, bao gồm: • • • • • • VPN thiết bị di động kết nối Danh tính máy tính nhận thức Truy cập internet lọc Kiểm soát ứng dụng Phòng chống xâm nhập đe dọa Phòng chống liệu Hình 3.15 Giao diện cấu hình dịch vụ Firewall 3.4.2 Application Control & URL Filtering Các tính +Hạt kiểm soát ứng dụng - Xác định, cho phép, chặn hàng ngàn ứng dụng trang web internet Điều cung cấp bảo vệ chống lại mối đe dọa ngày tăng vectơ phần mềm độc hại giới thiệu internet ứng dụng trang web SVTH : MSSV :N10234009 Trang 29 TTTN ĐẠI HỌC 2010-2015 + Thư viện ứng dụng lớn với AppWiki - điều khiển ứng dụng toàn diện có sử dụng ngành công nghiệp thư viện ứng dụng lớn Nó quét phát 4.500 ứng dụng 100.000 Web 2.0 vật dụng chuyên mục + Tích hợp vào Security Gateway - Kích hoạt ứng dụng kiểm soát lọc URL an ninh Cổng bao gồm thiết bị UTM-1, Power-1, gia dụng IP, gia dụng IAS + Quản lý trung tâm - Cho phép bạn quản lý tập trung sách an ninh kiểm soát ứng dụng URL Lọc từ giao diện điều khiển thân thiện cho việc quản lý dễ dàng + SmartEvent Phân tích - Sử dụng SmartEvent tiên tiến khả phân tích để hiểu ứng dụng bạn lưu lượng truy cập trang web với lọc, biểu đồ, báo cáo, thống kê, nhiều nữa, tất kiện qua kích hoạt Security Gateway Hình 3.16 Giao diện cấu hình dịch vụ Application & URL Filtering SVTH : MSSV :N10234009 Trang 30 TTTN ĐẠI HỌC 2010-2015 Kết Luận Đồ tài đề cập đến vấn đề chung an ninh thông tin,củng an ninh mạng Doanh nghiệp nói chung sâu nghiên cứu lý thuyết Firewall, đặc biệt nghiên cứu hệ thống Checkpoint Security Gateway, dịch vụ để xây dựng Firewall hoàn chỉnh Cụ thể đồ án đạt số thành sau : Tìm hiểu chung vấn đề an ninh thông tin an ninh mạng Doanh nghiệp Đi sâu nghiên cứu lý thuyết Firewall công cụ liên quan nhằm mục đích xây dựng sản phẩm tường lửa • Phân tích kiến trúc làm chủ hệ thống tường lửa nói chung, hệ thống Checkpoint Security Gateway nói riêng • Triển khai thử nghiệm đạt số kết • • Bên cạnh đó, hạn chế thời gian củng kiến thức thân số diều kiện khác nên đồ án không tránh khỏi thiếu sót hạn chế đinh, kính mong Thầy đóng góp ý kiến để đồ án hoàn thiện Trong tương lai, với mong muốn tiếp tục phát triển đề tài thành sản phẩm Firewall hữu ích hơn, ứng dụng rộng rãi áp dụng vào thực tế, phục vụ cho việc đảm bảo an ninh thông tin Việt Nam nói chung, bảo đảm an ninh thông tin tổ chức, doanh nghiệp nói riêng SVTH : MSSV :N10234009 Trang 31 TTTN ĐẠI HỌC 2010-2015 Tài liệu tham khảo [1] Firwall R77 [2] Application Control and URL Filtering R77 [3] www.checkpoint.com [4] http://www.slideshare.net/minhduongnumber1/bo-co-ti-thc-tp-tt-nghip32692441 SVTH : MSSV :N10234009 Trang 32 [...]... Trang 30 TTTN ĐẠI HỌC 2010-2015 Kết Luận Đồ tài đã đề cập đến những vấn đề chung của an ninh thông tin,củng như an ninh mạng Doanh nghiệp nói chung và đi sâu nghiên cứu lý thuyết về Firewall, đặc biệt là nghiên cứu hệ thống Checkpoint Security Gateway, cũng như các dịch vụ để xây dựng một Firewall hoàn chỉnh Cụ thể đồ án này đã đạt được một số thành quả như sau : Tìm hiểu chung về các vấn đề của an ninh. .. khai nhanh các dịch vụ an ninh Tăng cường hiệu suất làm việc thông qua quản trị blade tập trung +An Ninh Toàn diện – Cung cấp mức độ an ninh phù hợp, trên tất cả các điểm thực thi, và toàn bộ các lớp mạng +Tổng giá thành sở hữu (TCO) thấp – Bảo vệ sự đầu tư thông qua củng cố và sử dụng hạ tầng phần cứng đang có +Năng suất đảm bảo – Cho phép dự phòng tài nguyên nhằm bảo đảm các mức độ dịch vụ 3.2.3 Các. .. là duy nhất trong ngành nhằm cung cấp an ninh mạng một cách linh hoạt và quản trị tập trung cho các công ty có qui mô bất kỳ Với khả năng chưa từng thấy này, Check Point Software Blades cung cấp sự bảo vệ với giá sở hữu thấp và giá thành hợp lý mà vẫn có thế đáp ứng bất kỳ nhu cầu an ninh mạng nào, hôm nay và trong tương lai 3.2.2 Lợi ích mang lại +Tính linh hoạt - Cung cấp một mức độ an ninh phù hợp... an ninh logic có tính độc lập, modull hóa và quản lý tập trung Software Blades có thể được sẵn sàng và cấu hình theo một giải pháp dựa trên những nhu cầu kinh doanh cụ thể Và khi có nhu cầu, các blades bổ sung có thể được kích hoạt để mở rộng an ninh cho cấu hình sẵn có bên trong cùng một cơ sở phần cứng 3.2.1 Kiến trúc Checkpoint software Blades Là một kiến trúc giúp quản lý tốt hơn việc đảm bảo an. .. tốt hơn việc đảm bảo an ninh trong doanh nghiệp vì nó quản lý tập trung mọi thứ thông qua bàn điều khiển duy nhất nhằm hạn chế sự phức tạp và quá tải vận hành (phù hợp với việc nhu cầu phần cứng ngày càng phát triển nhanh chóng mà ngành IT không thể theo kịp) Với tư cách một ứng cứu khẩn cấp các mối đe dọa, kiến trúc Software Blade của Check Point mở rộng các dịch vụ một cách nhanh chóng và linh hoạt... kính mong các Thầy đóng góp ý kiến để đồ án này được hoàn thiện hơn Trong tương lai, với mong muốn tiếp tục phát triển đề tài này thành một sản phẩm Firewall hữu ích hơn, có thể ứng dụng rộng rãi và có thể áp dụng được vào thực tế, phục vụ cho việc đảm bảo an ninh thông tin ở Việt Nam nói chung, bảo đảm an ninh thông tin trong các tổ chức, doanh nghiệp nói riêng SVTH : MSSV :N10234009 Trang 31 TTTN... vấn đề của an ninh thông tin và an ninh mạng Doanh nghiệp Đi sâu nghiên cứu về lý thuyết về Firewall và các công cụ liên quan nhằm mục đích xây dựng một sản phẩm tường lửa • Phân tích kiến trúc và làm chủ được hệ thống tường lửa nói chung, hệ thống Checkpoint Security Gateway nói riêng • Triển khai thử nghiệm đạt một số kết quả • • Bên cạnh đó, do hạn chế về thời gian củng như kiến thức bản thân và... triệu URLs, bảo vệ người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm +Antivirus & Anti-Malware – Bảo vệ diệt virus hàng đầu bao gồm phân tích virus heuristic, ngăn chặn virus, sâu và các malware khác tại cổng +Anti-Spam & Email Security – Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam, bảo vệ các servers và hạn chế tấn công qua email +Advanced Networking – Bổ sung định... Authentication Services (RADIUS) : Dịch vụ xác thực an toàn cho các truy cập từ xa thông qua các remote connections (Dial-up hoặc VPN) - Cài đặt và cấu hình Microsoft DHCP Services (Dịch vụ cung cấp các xác lập TCP/IP cho các node trên và) và WINS Services (dịch vụ cung cấp giải pháp truy vấn NETBIOS name của các máy tính trên mạng) - Cấu hình các WPAD entries trong DNS để hỗ trợ chức năng Autodiscovery (tự... Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua firewall thì điều đó có nghĩa rằng firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS…) thành các gói dữ liệu (data pakets) rồi gán cho các gói dữ ... Trong trình nghiên cứu đề tài Nghiên cứu giải pháp Checkpoint việc giám sát An ninh mạng Doanh nghiệp từ 16/6/2014 đến 1/8/2014 sẻ giới thiệu tổng quan xu hướng quản trị bảo mật mạng với việc tìm... với cá nhân Doanh nghiệp, CNTT trở thành công cụ để tang lực cá nhân hiệu suất làm việc Doanh nghiệp, mang lại hiệu kinh tế cao Đặc biệt doanh nghiệp CNTT đóng vai trò tảng quan trọng việc khai... :N10234009 Trang 30 TTTN ĐẠI HỌC 2010-2015 Kết Luận Đồ tài đề cập đến vấn đề chung an ninh thông tin,củng an ninh mạng Doanh nghiệp nói chung sâu nghiên cứu lý thuyết Firewall, đặc biệt nghiên cứu hệ