Khóa luận tốt nghiệp Xây dựng Firewall & IPS trên checkpoint PHIẾU GIAO ĐỀ TÀI KHÓA LUẬN TỐT NGHIỆP 1. M ỗ i s i nh viê n phả i viế t riê ng một báo c áo 2. P h iế u này phả i dán ở t r ang đầu t iê n c ủa báo c áo 1. Họ và tên sinh viên / nhòm sinh viên được giao đề tài (s ĩ số trong nhóm : 2) (1) Ngô Hiệp Toàn MSSV: 081652 khóa: 2008-2011 (2) Nguyễn Th ị Phương Ngọc MSSV: 081651 khóa: 2008-2011 Chuyên ngành : Mạng máy tính Khoa : Khoa Học - Công Nghệ 2. Tên đề tài : Xây dựng Firewall & IPS trên Checkpoint . 3. Các dữ li ệu ban đầu: Firewall và IPS là thành phần bảo mậ t không thể thiếu trong hệ thống mạng máy tính, Checkpoint là sản phẩm firewall hàng đầu được dùng rấ t nhiều trong các mạng máy tính mà yêu cầu bảo mậ t được ưu tiên hàng đầu như ngân hàng. 4. Các yêu cầu đặc b i ệt: Sinh viên ngành mạng máy tính, có k i ến thức bảo mật. 5. Kết quả tố i th i ểu phả i có: 1.Trình bày hoạt động Firewall & IPS 2.Đưa ra g i ải pháp xây dựng Firewall&IPS trường Hoasen Ngày giao đề tài:…… /………./……… Ngày nộp báo cáo: .…/……/…… Họ tên GV hướng dẫn 1: Đinh Ngọc Luyện…….……Chữ ký: ……………… Ngày …. tháng … năm Đinh Ngọc Luyện i TR ÍC H Y Ế U Trong đề án t ố t nghiệp về đề tài “Xây dựng Firewall & IPS trên Checkpoint”. Tôi đã nghiên cứu về sản phẩm Checkpoint, các tính năng quản lí cũng như bảo mậ t bằng IPS ( Intrusion Prevention Systems) . Khác vớ i phiên bản R65, phiên bản R70 đã có nhiều cả i ti ến trong giao diện cũng như tính năng nhằm cung cấp mộ t môi trường làm v i ệc hiệu quả hơn cho ngườ i quản tr ị hệ thống. Tr i ển khai các tính năng tăng cường bảo mậ t như “User Authentication”,”Client Authentication”,”Session Authentication”, hay sử dụng mộ t Module xác thực “Radius” chứng thực user. Cấu hình các rule để clien t trong mạng nộ i bộ có thể truy xuấ t dữ li ệu vùng DMZ và cho phép client t ruy xuấ t web, thông qua những chính sách mà ngườ i quản tr ị cấu hình trên giao diện Smar t Console. Sử dụng mộ t máy Window Server 2003 kế t nố i trực ti ếp vào Firewall dùng hệ điều hành Linux, mọ i dữ li ệu cấu hình thay đổ i diễn ra t ạ i giao diện Smart Console sẽ được t ự động cập nhậ t trực ti ếp lên Firewall Linux. Ngườ i quản tr ị cấu hình các chính sách(rule) nhằm hạn chế t ầm hoạ t động của ngườ i dùng mạng nộ i bộ. Sử dụng triệ t để chức năng Chechpoint cung cấp:“IPS”, thay v ì “SmartDefense” ở R65, thiế t l ập phát hiện và ngăn chặn những phương t hức t ấn công mạng như HPING, DDoS, LAND Attack v.v Theo dõi trạng thái cũng như những diến biến xảy ra trên Firewall thông qua giao diện SmartView Tracker, và SmartView Monitor. Để phát hiện k ị p thờ i những truy nhập trái phép hay diễn biến bấ t thường thông qua t ần suấ t truy nhập đến server. II M ỤC L ỤC TRÍCH YẾU II NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN 5 NHẬP ĐỀ 6 GIỚI THIỆU TỔNG QUAN 7 LỜI CẢM ƠN 8 CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT 9 1.1 Đ ị nh nghĩa bảo mậ t mạng 9 1.1.1 Các yếu t ố cần quan tâm khi phân tích bảo mậ t mạng 10 1.1.2 Các yếu t ố cần được bảo vệ 11 1.2 Các k i ểu t ấn công mạng 11 1.2.1 Thăm dò(reconnaissance) 11 1.2.2 Đánh cắp thống tin bằng Packet Sniffers 11 1.2.3 Đánh l ừa (IP spoofing) 12 1.2.4 Tấn công t ừ chố i d ị ch vụ (Denial of services) 13 1.2.5 Tấn công trực ti ếp password 13 1.2.6 Thám thính(agent) 13 1.2.7 Tấn công vào yếu t ố con ngườ i: 13 1.2.8 Các phương thức t ấn công D.O.S thông thường 14 1.2.9 Phương thức t ấn công bằng Mail Relay 16 1.2.10 Phương thức t ấn công hệ thống DNS 16 1.2.11 Phương thức t ấn công Man-in- t he-middle attack 17 1.2.12 Phương thức t ấn công Trust exploitation 17 1.2.13 Phương thức t ấn công Port redirection 17 1.2.14 Phương thức t ấn công l ớp ứng dụng 18 1.2.15 Phương thức t ấn Virus và Trojan Horse 18 1.3 Các mức độ bảo mậ t 19 1.3.1 Quyền truy nhập: 19 1.3.2 Đăng nhập/Mậ t khẩu(login/password) 19 1.3.3 Mã hóa dữ li ệu(Data encryption) 19 1.3.5 Bức tường l ửa (firewall) 20 1.4 Các biện pháp bảo vệ an toàn hệ thống 20 1.4.1 Quyền hạn t ố i thiểu (Least Privilege) 20 1.4.2 Bảo vệ theo chiều sâu (Defense in Depth) 20 1.4.3 Nút thắ t (choke point) 21 1.4.4 Điểm xung yếu nhấ t (Weakest point) 21 1.4.5 Hỏng trong an toàn (Fail–Safe Stance) 21 1.4.6 Sự tham gia toàn cầu 22 1.4.7 Kế t hợp nhiều biện pháp bảo vệ 22 1.4.8 Đơn g i ản hóa 22 1.5 Các chính sách bảo mậ t 22 1.5.1 Kế hoạch bảo mậ t mạng 23 1.5.2 Chính sách bảo mậ t nộ i bộ 23 1.5.3 Phương thức thiế t kế 24 1.6 Thiế t kế chính sách bảo mậ t mạng 24 1.6.1 Phân tích nguy cơ mấ t an ninh 24 1.6.2 Xác đ ị nh tài nguyên cần bảo vệ 24 1.6.3 Xác đ ị nh các mố i đe dọa bảo mậ t mạng 25 1.6.4 Xác đ ị nh trách nhiệm ngườ i sử dụng mạng 26 1.6.5 Kế hoạch hành động khi chính sách b ị v i phạm 27 1.6.6 Xác đ ị nh các l ỗ i an ninh 28 1.7 Secure Sockets Layer (SSL) 29 1.7.1 Mở đầu 29 1.7.2 Nhiệm vụ và cấu trúc của SSL 30 1.7.3 Phiên SSL và kế t nố i SSL 32 1.7.4 SSL Record Protocol 33 1.7.5 Alert Protocol 35 1.7.6 Change CipherSpec Protocol 35 1.7.7 Handshake Protocol 36 CHƯƠNG 2 : CHECKPOINT 37 2.1 Tổng quan về Checkpoint 37 2.2 Access Control của Checkpoint Firewall 38 2.3 Các thành phần của Rule 38 2.4 Công dụng đặc biệ t của Access Control 39 2.5 Authentication 39 2.5.1 Vai trò của User Authentication 39 2.5.2. Tổng quan về User Authentication của Check Point Firewall 39 2.5.3. Các phương thức xác thực của Check Point Firewall 40 2.5.4. Các cơ chế xác thực sử dụng trên Firewall Check Point 40 2.5.4.1 VPN-1 & Firewall-1 Password 41 2.5.4.2 Operating System Password (OS Password) 42 2.5.4.3 RADIUS 43 2.5.4.4 TACACS 45 2.5.4.5 S/Key 45 2.5.4.6 SecurID 47 CHƯƠNG 3 : FIREWALL 48 3.1 Công nghệ FIREWALL 48 a. Giả i pháp Firewall của Checkpoint 51 3.1.1 Smart Console : Bao gồm nhiều client nhỏ để quản lý các thành phần của NGX. Các client của Smart Console bao gồm : 53 3.1.2 Smart Center Server 54 3.1.3 Security Gateway 55 3.2 Firewall Inspect Engine 55 3.3 SVN FOUNDATION 56 3.3.1 Secure Internal Communication 56 3.4 SIC BETWEEN SMART CENTER SERVER AND CLIENTS 59 CHƯƠNG 4 : IPS 60 4.1 Hệ thống ngăn chăn xâm nhập(IPS): 60 4.1.1 Khái niệm IPS 60 4.1.2 Chức năng của IPS 61 4.2 Phân loạ i IPS 65 4.2.1 NIPS 65 4.2.1a Các khả năng của hệ thống xâm nhập mạng cơ sở 67 4.2.1b Các thành phần của hệ thống ngăn chặn xâm nhập mạng cơ sở NIPS 69 4.2.2 HIPS 69 4.2.2a Các khả năng của hệ thống ngăn chặn xâm nhập t ừ máy chủ(HIPS) 71 4.2.2b Các thành phần của HIPS : 72 4.2.2.1 Gói phần mềm để cài đặ t t ạ i điểm cuố i 73 4.2.2.2 Hạ t ầng quản lý để quản lý các agents này 74 1. Trung tâm quản lý: 74 2. Giao diện quản lý: 75 4.3 Công nghệ ngăn chặn xâm nhập IPS 78 4.3.1 Signature - Based IPS (Nhận diện dấu hiệu) 78 4.3.2 Anomaly-Based IPS (Nhận diện bấ t thường) 81 4.3.3 Policy-Based IPS 83 4.3.4 Protocol Analysis-Based IPS 83 PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN 84 PHẦN 6: TÀI LIỆU THAM KHẢO 89 N H ẬN X ÉT CỦA G IẢN G VI Ê N HƯỚ N G DẪN N H Ậ P Đ Ề Xã hộ i phát triển kéo theo sự ti ến bộ của khoa học k ĩ thuật. Những chiếc máy tính thông minh dần chiếm vai trò rấ t quan trọng trong cuộc sống ngày nay. Bấ t kỳ l ĩnh vực nào cũng cần đến máy tính, mộ t thiế t b ị xử lý và hơn thế nữa là không thể thiếu. Cùng vớ i sự ra đờ i và phát triển của máy tính và mạng máy tính là vấn đề bảo mậ t thông tin, ngăn chặn sự xâm nhập và đánh cắp thông tin qua mạng, thông tin cá nhân trực ti ếp và gián ti ếp. Phát hiện và ngăn chặn sự t ấn công của các Hacker nhằm đánh cắp dữ li ệu và phá hoạ i tư li ệu quan trọng là rấ t cần thiế t . Thông qua đề án : “Xây dựng Firewall & IPS trên Checkpoint “. Chúng tôi g i ớ i thiệu t ổng quan về xu hướng quản tr ị và bảo mậ t mạng hiện nay, cùng vớ i nộ i dung t ổng quan về Checkpoint, Firewall, IPS bằng các bước cấu hình và triển khai mô hình mạng. Giả i pháp an toàn chúng tôi g i ớ i thiệu đến trong đề tài này là mộ t sản phẩm của Checkpoint dựa trên nền t ảng NGX, NGX là mộ t cấu trúc cung cấp tính năng bảo mậ t cho end- to- end network, giúp cho doanh nghiệp bảo vệ các luồng traffic trong intranet, extranet… Ngoài ra còn làm cho network của enterprice được bảo mậ t và được quản lý bằng mộ t Security Policy đơn cho toàn network. G I Ớ I TH I Ệ U TỔ N G Q UAN  CHECKPOINT CheckPoint là mộ t trong những nhà cung cấp hàng đầu về các sản phẩm bảo mậ t Internet. Đặc biệ t là các dòng sản phẩm firewall cho các doanh nghiệp, cá nhân và các công nghệ mạng riêng ảo VPN. Vớ i nền t ảng NGX, CheckPoin t cung cấp mộ t k i ến trúc bảo mậ t thống nhấ t cho mộ t l ọat các g i ả i pháp bảo mậ t: bảo mậ t cho truy cập Internet, bảo mậ t mạng nộ i bộ, bảo mậ t Web, bảo mậ t ngườ i dùng nhằm bảo vệ các tài nguyên thông tin, quá trình truyền thông, các ứng dụng của doanh nghiệp.  FIREWALL Thuậ t ngữ Firewall có nguồn gốc t ừ mộ t kỹ t huậ t thiế t kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là mộ t kỹ thuậ t được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nộ i bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là mộ t cơ chế (mechanism) để bảo vệ mạng tin t ưởng (Trusted network) khỏ i các mạng không tin t ưởng (Untrusted network).  IPS Hệ thống IPS (intrusion prevention system) l à một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall vớ i hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và t ự động ngăn chặn các cuộc tấn công đó. IPS không dơn g i ản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành đai mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng. [...]...LỜI CẢM ƠN Chúng tôi xin cảm ơn Thầy Đinh Ngọc Luyện đã hướng dẫn chúng tôi trong suốt quá trình thực hiện đề án: Xây dựng Firewall & IPS trên Checkpoint Đề án trình bày những vấn đề tổng quan về bảo mật mạng, firewall, giới thiệu IPS - Hai hệ thống bảo vệ mạng hiệu quả hiện nay CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT 1.1 Định nghĩa bảo mật mạng Bảo mật mạng là sự đảm bảo an toàn... cứu hiện trạng mạng khi xây dựng và nâng cấp mạng đưa ra các kiểu kiến trúc mạng phù hợp với hiện trạng và cơ sở hạ tầng ở nơi mình đang định xây dựng + Phần cứng & phần mềm: Mạng được thiết kế như thế nào Nó bao gồm những phần cứng và phần mềm nào và tác dụng của chúng Xây dựng một hệ thống phần cứng và phần mềm phù hợp với hệ thống mạng cũng là vấn đề cần quan tâm khi xây dựng hệ thống mạng Xem xét... qua firewall Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside Host ở DMZ có thể vào được host ở inside, cũng như outside Nếu hacker chọc thủng được host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên. .. đúng theo sơ đồ Anti spoofing sẽ phát huy hiệu quả tốt nhất khi ta cấu hình nó trên các interface của gateway Sau khi kích hoạt tính năng spoofing xong ta nên tiếp tục cấu hình spoofing tracking trên cổng đó luôn nhằm mục đích giúp cho việc phát hiện xâm nhập và ghi lại file log • Anti spoofing rule được cấu hình trong phần properties của đối tượng firewall trong smartdashboard Rule này sẽ được cưỡng... thông tin lưu trên máy tính  Khi thông tin đang chuyển tới một hệ thống khác  Khi thông tin lưu trên các băng từ sao lưu 1.7 Secure Sockets Layer (SSL) 1.7.1 Mở đầu Ngày nay, người dùng Internet trao đổi rất nhiều loại thông tin trên mạng từ trao đổi thư điện tử thông thường đến các thông tin chi tiết trong thẻ tín dụng của mình, do đó họ muốn những dữ liệu đó phải được bảo mật khi truyền trên mạng công... các gói broadcast trong mạng - Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng - Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa Cisco dùng giao thức IPSec để mã hoá dữ liệu 1.2.3 Đánh lừa (IP spoofing) Kỹ thuật này được sử dụng khi hacker giả mạo địa chỉ IP... kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với hệ thống bên trong firewall Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ... access-list 110 deny ip 255.0.0.0 list 110 deny ip 1.0.0.0 0.255.255.255 any access0.255.255.255 any more Nếu cấu hình trên Smart Console thì ta thiết lập Rule tương tự các chức năng ta muốn thực hiện, như Allow hay Deny dịch vụ từ đâu đến đâu và các giao thức được định nghĩa trên từng Rule 1.2.9 Phương thức tấn công bằng Mail Relay Đây là phương pháp phổ biến hiện nay Email server nếu cấu hình không... trọng nhất trong hệ thống máy chủ Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng - Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS - Cài đặt hệ thống IDS Host cho hệ thống DNS - Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS 1.2.11 Phương thức tấn công Man-in-the-middle... độ “promiseous” để bắt tất cả các gói tin trong cùng miền xung đột Nó có thể khai thác thông tin dưới dạng clear Text Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng (trên một collision domain) Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, . Khóa luận tốt nghiệp Xây dựng Firewall & IPS trên checkpoint PHIẾU GIAO ĐỀ TÀI KHÓA LUẬN TỐT NGHIỆP 1. M ỗ i s i nh viê n . Nghệ 2. Tên đề tài : Xây dựng Firewall & IPS trên Checkpoint . 3. Các dữ li ệu ban đầu: Firewall và IPS là thành phần bảo mậ t. tài Xây dựng Firewall & IPS trên Checkpoint . Tôi đã nghiên cứu về sản phẩm Checkpoint, các tính năng quản lí cũng như bảo mậ t bằng IPS ( Intrusion