Đang tải... (xem toàn văn)
Check point software technologies, công ty hàng đầu thế giới về an toàn an ninh internet
KHOA KHOA HỌC VÀ CÔNG NGHỆ BÁO CÁO ĐỒ ÁN HƯỚNG NGÀNH ĐỀ TÀI: TÌM HIỂU FIREWALL TRÊN CHECKPOINT Người hướng dẫn : Thầy Đinh Ngọc Luyện Lớp : VT071 Sinh viên : Nguyễn Quỳnh; MSSV: 070073 Phù Sử Hùng; MSSV: 070156 HK09.2 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang i Lời Mở Đầu Check point software technologies, công ty hàng đầu thế giới về an toàn an ninh internet. Check point dẫn đầu thị trường an ninh thông tin toàn cầu trong lĩnh vực tường lửa và mạng riêng ảo. Check Point cung cấp các giải pháp an ninh vành đai, an ninh nội và an ninh trang web nhằm bảo vệ các thông tin kinh doanh, tài nguyên của mạng doanh nghiệp cũng như các ứng dụng, các nhân viên làm việc từ xa, các chi nhánh. Với công nghệ Stateful Inspection được phát minh Check Point Technology làm trung tâm, OPSEC (Open Platform for Security) được hình thành và mở rộng thêm sức mạnh các giải pháp của Check Point. Các giải pháp của Check Point được bán, tích hợp và dịch vụ bởi hệ thống mạng lưới 1900 đối tác của Check Point ở 86 nước. Đề tài của chúng tôi, chúng tôi chỉ nghiên cứu những tính năng Network Access, Connectivity và CoreXL từ đó đưa ra một giải pháp bảo mật dựa trên Firewall CheckPoint và các vấn đề đã nghiên cứu. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang ii Mục Lục Lời Mở Đầu . i Mục Lục . ii Phần 1: Network Access . 6 I. Access Control 6 1. Sự cần thiết của Access Control 6 2. Tổng quan về Access Control của Check Point Firewall . 6 3. Các thành phần của Rule . 6 4. Công dụng đặc biệt của Access Control 7 5. Cấu hình Access Control . 8 II. Authentication 10 1. Vai trò của User Authentication 10 2. Tổng quan về User Authentication của Check Point Firewall 10 3. Các phương thức xác thực của Check Point Firewall . 10 4. Cấu hình phương thức xác thực trong Firewall Check Point 11 5. Các cơ chế xác thực sử dụng trên Firewall Check Point 15 5.1 VPN-1 & Firewall-1 Password 16 5.2 OS Password . 17 5.3 RADIUS 18 5.4 TACACS . 19 5.5 S/Key . 19 5.6 SecurID . 21 6. Cấu hình các cơ chế xác thực 21 Phần 2 : Conectivity . 26 I. Network Address Tranlation . 26 1. Địa Chỉ IP Private Và IP Public 26 2. NAT trong CheckPoint Security Gateway . 27 2.1 Static NAT 27 2.2 Hide NAT 28 2.2.1 Automactic Hide NAT và Static NAT trên CheckPoint Firewall 30 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang iii 2.2.2 NAT Table Expiration trong Hide NAT . 30 2.3 NAT Rule Base . 31 2.4 Destination NAT và vấn đề routing . 32 2.4.1 Static Destination NAT on Server Side 33 2.4.2 Static Destination NAT on Client Side 34 2.5 Automatic Và Manual ARP Proxy 34 3. Cấu hình NAT trên Check Point Security Gateway . 36 3.1 Cấu hình Global NAT 36 3.2 Cấu hình Automactic NAT 38 3.2.1 Automatic NAT cho Node Object 38 3.2.2 Automatic NAT cho một Network . 39 3.2.3 Sử dụng chức năng Hide behind Gateway trong chức năng Automatic Hide NAT 41 3.2.4 Cấu hình NAT cho Address Range Object . 42 3.3 Cấu hình Manual NAT 44 3.3.1 Cấu hình host route 44 3.3.2 Cấu hình Proxy ARP 45 3.3.3 Tạo Object cho Manual NAT rule 46 3.3.4 Tạo Manual NAT Rule . 46 II. ISP Redundancy 48 1. Tổng quan ISP Rundundancy 49 2. Các chế động hoạt động của ISP Redundancy . 49 3. Cách hoạt động của ISP Redundancy 50 3.1 Kết nối từ trong firewall ra internet 50 3.2 Kết nối từ phía ngoài internet vào bên trong mạng . 50 4. Đổi trạng thái link theo yêu cầu và ISP redundancy script . 52 5. Triển khai ISP Redundancy . 52 6. Cấu hình ISP Redundancy . 53 6.1 Domain và Địa chỉ IP 53 6.2 Cấu hình Built-in mini DNS cho kết nối vào firewall . 54 6.3 Cấu hình ISP Redundancy . 55 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang iv III. ConnectControl – Server Load Balancing . 56 1. Tổng quan về ConnectControl . 56 2. Các phương pháp dùng để cân bằng tải . 57 3. Cách hoạt động của ConnectControl . 58 3.1 Packet Flow . 58 3.2 Các loại logical server . 58 3.2.1 HTTP logical server . 59 3.2.2 Logical server dành cho các dịch vụ khác 60 4. Persistent server mode . 60 4.1 Persistent by server 60 4.2 Persistent by service 61 4.3 Persistent server timeout 61 4.4 Server Availability . 61 5. Cấu hình ConnectControl 62 IV. Brigde Mode . 63 1. Tổng quan brigde mode . 63 2. Cấu hình 64 3. Xem Interface được Brigde bằng Command Line 65 Phần 3 : CoreXL . 66 1. Tổng quan về CoreXL . 66 1.1 Tổng quan về phân phối các vi xử lý 66 1.2 Cấu hình mặc định của CoreXL . 67 1.3 Xem cấu hình mặc định của CoreXL . 68 2. Phân phối lại các vi xử lý 68 2.1 Phân phối thêm một vi xử lý cho SND . 68 2.2 Giảm số lượng instance . 69 2.3 Phân phối vi xử lý còn lại cho SND . 70 2.3.1 Trong trường hợp có Performance Pack . 70 2.3.2 Trong trường hợp không có Performance Pack 70 3. Phân phối vi xử lý cho việc ghi log . 72 4. fw affinity Script . 73 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang v Phần 4: Intrusion Prevention System – IPS . 74 1. Tổng quan về IPS trong Firewall Check Point . 74 2. Phương thức hoạt động của Check Point IPS . 74 3. Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS . 75 3.1 Port scan 75 3.2 DOS (Denial of Services) 78 Phần 5 : Giải pháp cho trường Đại học Hoa Sen . 84 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 6 Phần 1: Network Access I. Access Control 1. Sự cần thiết của Access Control Tài nguyên của hệ thống mạng có thể có rất nhiều thành phần bên trong nó bao gồm networks, hosts, network services và các protocol. Từ đó đặt ra vấn đề về sự cần thiết phải có một công cụ để người quản trị mạng có thể kiểm soát sự truy cập vào nguồn tài nguyên của hệ thống. Access Control chỉ ra vùng nào có thể truy cập cũng như phân quyền cho người truy cập như thế nào trên vùng tài nguyên đó. Đồng thời, Access Control còn có thể xác thực người dùng nhằm kiểm soát việc ai quyền truy cập. 2. Tổng quan về Access Control của Check Point Firewall Check Point Security Gateway thường được đặt ở khu vực biên của hệ thống cần bảo vệ nhằm theo dõi và quản lý chặt chẽ mọi luồng dữ liệu đi ra và vào mạng. Người quản trị hệ thống có nhiệm vụ đặt ra những chính sách bảo mật để bảo vệ an toàn cho hệ thống cũng như quản lý sự truy cập trong mạng. Chính sách bảo mật được triển khai bằng tập hợp có thứ tự những quy tắc (rules) trong Security Rule Base, một chính sách tốt là cơ sở tất yếu cho một hệ thống an toàn. Nguyên lý cơ bản của Rule Base là tất cả những hành động không được cho phép sẽ bị chặn. Rule Base là tập hợp những quy tắc (rules) định ra luồng dữ liệu nào được phép đi qua và luồng dữ liệu nào bị cấm. 3. Các thành phần của Rule Source và Destination: chỉ ra nơi xuất phát và nơi đến của luồng dữ liệu, một khi kết nối đã được cho phép thì các gói tin trong kết nối đó sẽ được cho qua ở cả hai hướng đi và về. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 7 VPN: chỉ định Rule được áp dụng cho mọi kết nối hay chỉ dành riêng cho kết nối VPN. Service: định ra giao thức, dịch vụ hay ứng dụng cần quản lý thông qua Rule. Action: hành động định ra cho kết nối được đề cập đến thông qua Rule. Track: những tùy chọn về việc ghi nhận lại hoạt động của Rule Install On: đây là một chức năng nhằm tạo sự thuận lợi trong việc quản lý của người quản trị. Thành phần này chỉ ra nơi người quản trị cần triển khai Rule vừa tạo ra, có thể chỉ trên một Firewall riêng biệt hay tất cả Firewall của hệ thống. Time: định ra thời gian có hiệu lực của Rule. Ngoài những Rule được tạo bởi người quản trị, Security Gateway cũng tạo ra những Rule mặc định. Rule mặc định thường được dành cho những kết nối từ Security Gateway cho các dịch vụ điều khiển, cấu hình. 4. Công dụng đặc biệt của Access Control Chống giả mạo địa chỉ: giả mạo địa chỉ là hiện tượng người tấn công thay đổi địa chỉ IP của gói tin nhằm mục đích xâm nhập trái phép vào bên trong hệ thống. Cơ chế chống giả mạo địa chỉ bảo đảm các gói tin có nguồn và đích đến đúng với mỗi cổng trên Security Gateway. Một ví dụ về giả mạo địa chỉ đó là người tấn công từ ngoài Internet, tức là cổng external của Gateway gửi vào một gói tin có địa chỉ là địa chỉ bên trong mạng nội bộ thì cơ chế chống giả địa chỉ sẽ ngay lập tức chặn gói tin vì nó không xuất phát từ cổng bên trong mà là bên ngoài. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 8 5. Cấu hình Access Control Lab 1: Tạo một Rule trong Firewall Check Point Bước 1: Vào tab Firewall trong Smart Dashboard, vào menu Rule > Add Rule > Bottom/Top Bước 2: Tùy chỉnh các thành phần của Rule để thực hiện mục đích của người quản trị Lab 2 : Cấu hình chống giả mạo địa chỉ cho cổng External của Gateway Bước 1: Click chuột phải vào Firewall Object > Edit > Topology Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 9 Bước 2: Edit cổng External, qua tab Topology, check vào ô Perform Anti-Spoofing based on interface topology Bước 3: Lưu lại cấu hình. [...]... Authentication cũng được triển khai trên máy đơn Khoa Khoa Học Và Công Nghệ Trang 10 Tìm hiểu Firewall trên Checkpoint 4 Cấu hình phương thức xác thực trong Firewall Check Point Lab 1: Cấu hình User Authentication Bước 1: Cấu hình Rule trong Firewall Check Point Bước 2: Truy cập Web từ Client Bước 3: Nhập thông tin xác thực Khoa Khoa Học Và Công Nghệ Trang 11 Tìm hiểu Firewall trên Checkpoint Truy xuất trang... Công Nghệ Trang 22 Tìm hiểu Firewall trên Checkpoint Bước 3: Bật chức năng xác thực trên Firewall Check Point bằng cách click chuột phải trên Gateway Object, chọn Edit > Authentication Check vào các cơ chế muốn dùng Bước 4: Tạo User Group để xác thực bằng cơ chế RADIUS Vào menu Manage > Users & Administrators > New > User Group Khoa Khoa Học Và Công Nghệ Trang 23 Tìm hiểu Firewall trên Checkpoint Bước... chế có hỗ trợ trong Firewall Check Point VPN-1 & Firewall- 1 Password OS Password RADIUS Khoa Khoa Học Và Công Nghệ Trang 15 Tìm hiểu Firewall trên Checkpoint TACACS S/Key SecurID Trong danh sách nêu trên chỉ có VPN-1 & Firewall- 1 Password và S/Key là có cơ sở dữ liệu xác thực nằm trên Security Gateway, còn lại các cơ chế khác đều có cơ sở dữ liệu nằm bên ngoài 5.1 VPN-1 & Firewall- 1 Password... Authentication Bước 1: Cấu hình Rule trong Firewall Check Point Bước 2: Tùy chỉnh Client Authentication Khoa Khoa Học Và Công Nghệ Trang 12 Tìm hiểu Firewall trên Checkpoint Bước 3: Từ Client truy cập vào địa chỉ http://[IPfwCP]:900 Bước 4: Nhập thông tin xác thực Từ bây giờ có thể truy xuất Web không cần đăng nhập lại Khoa Khoa Học Và Công Nghệ Trang 13 Tìm hiểu Firewall trên Checkpoint Lab 3: Cấu hình Session... xác thực do chính Firewall Check Point cung cấp Cơ chế này xác thực user dựa trên chính cơ sở dữ liệu được tạo ra trên Security Gateway Chiều dài tên user lên đến 100 ký tự số và chữ và mật khẩu phải có chiều dài nằm trong khoảng 4 tới 8 ký tự Khoa Khoa Học Và Công Nghệ Trang 16 Tìm hiểu Firewall trên Checkpoint Hình minh họa trên cho thấy cơ sở dữ liệu xác thực user không chỉ nằm trên Management Server... xác, ngoài chúng còn có thể giúp cho firewall biết được port nào đang được sử dụng Check Point dùng những port từ 600 đến 1023 và 10.000 đến 60.00 cho việc chuyển đổi Hide NAT có thể chuyển đổi được 50.000 kết nối cùng một server đồng thời Khoa Khoa Học Và Công Nghệ Trang 29 Tìm hiểu Firewall trên Checkpoint 2.2.1 Automactic Hide NAT và Static NAT trên CheckPoint Firewall Check Point cung cấp cho người... Authentication Bước 1: Cấu hình Rule trong Firewall Check Point Bước 2: Tùy chỉnh Session Authentication Bước 3: Cài đặt Client Session Agent ở máy Client Khoa Khoa Học Và Công Nghệ Trang 14 Tìm hiểu Firewall trên Checkpoint Bước 4: Từ máy Client truy cập Web Nhập thông tin xác thực và người dùng sẽ truy cập thành công website 5 Các cơ chế xác thực sử dụng trên Firewall Check Point Cơ chế xác thực định... Trang 17 Tìm hiểu Firewall trên Checkpoint trên cơ sở dữ liệu của chính nó Cơ chế này không được khuyến khích sử dụng vì hai nguyên nhân: Cơ sở dữ liệu xác thực user nằm trên hệ điều hành nên có thể được sử dụng để kết nối thẳng vào Module xác thực gây nguy hiểm cho hoạt động của hệ thống Một hệ thống có thể có nhiều Module xác thực và nếu ta sử dụng cơ chế OS Password thì phải đảm bảo dữ liệu user trên. .. kết nối khởi tạo từ mạng bên trong của firewall và còn được biết đến với tên gọi Dynamic NAT Các máy tính với IP Private trong mạng có thể được NAT theo 2 cách sao đây : Chuyển đổi thành một IP Public, địa chỉ này một địa không được gán cho bất kì máy trong và ngoài mạng hay một interface nào của firewall Khoa Khoa Học Và Công Nghệ Trang 28 Tìm hiểu Firewall trên Checkpoint Chuyển đổi thành địa chỉ... : 10.0.0.0–10.255.255.255 Lớp B : 172.16.0.0–172.31.255.255 Lớp C : 192.168.0.0–192.168.255.255 Khi triển khai CheckPoint trong mạng, người dùng có thể quy định những địa chỉ IP nào là địa chỉ Private Khoa Khoa Học Và Công Nghệ Trang 26 Tìm hiểu Firewall trên Checkpoint 2 NAT trong CheckPoint Security Gateway NAT là sự thay đổi địa chỉ IP này bằng một địa chỉ IP khác, NAT có thể thay đổi cả địa
