Tiểu luận môn an ninh mạng CheckPoint Security Gateway

Kiến trúc Software Blade của Check Point đề xuất một cách thức tốt hơn trong vấn đề an ninh, cho phép các tổ chức nhìn nhận một cách hiệu quả các giải pháp mục tiêu , phù hợp các nhu cầu

CheckPoint Security Gateway Nhóm 9:

Bùi Huy Hải - 08520108

Nguyễn Tấn Trọng - 08520426

Đinh Hoàng Việt - 08520464

I. Lý thuyết

I.1/ Giới thiệu về Check Point :

Check Point không phải phải người xa lạ trong cuộc cách mạng an toàn, an ninh

CNTT Mười lăm năm trước, CP đã tạo ra công nghệ kiểm soát trạng thái toàn diện mà đến nayvẫn còn là cơ sở của bức tường lửa mạnh mẽ nhất trong ngành Sau đó, CP thay đổi căn bản việc quản trị an ninh với chỉ một bàn điều khiển SmartCenter, các cổng an ninh đồng nhất ( unified security gateways) và chỉ một agent cho an ninh đầu cuối Gần đây nhất, CP đã phân phối Total Security (Giải pháp an ninh Toàn diện), cung cấp sự an toàn không thỏa hiệp, hạn chế sự phức tạp và tăng cường hiệu năng hoạt động

Với Kiến trúc Software Blade của Check Point, một cuộc cách mạng An toàn , An ninh

mới đã bắt đầu

I.2/ Kiến trúc Check Point Software Blades

I.2.1/ Tại sao phải sử dụng kiến trúc Check Point Software Blades

Software blade là một khối kiến trúc an ninh logic có tính độc lập, modull hóa và quản

lý tập trung Software Blades có thể được sẵn sàng và cấu hình theo một giải pháp dựa trên những nhu cầu kinh doanh cụ thể Và khi có nhu cầu, các blades bổ sung có thể được kích hoạt

để mở rộng an ninh cho cấu hình sẵn có bên trong cùng một cơ sở phần cứng

Kiến trúc Software Blade của Check Point đề xuất một cách thức tốt hơn trong vấn đề

an ninh, cho phép các tổ chức nhìn nhận một cách hiệu quả các giải pháp mục tiêu , phù hợp các nhu cầu an ninh doanh nghiệp đề ra Toàn bộ các giải pháp được quản lý tập trung thông qua bàn điều khiền duy nhất nhằm hạn chế sự phức tạp và quá tải vận hành Với tư cách một ứng cứu khẩn cấp các mối đe dọa, kiến trúc Software Blade của Check Point mở rộng các dịch

vụ một cách nhanh chóng và linh hoạt khi cần thiết mà không cần bổ sung phần cứng hay tăng

độ phức tạp

Những lợi ích chính của Kiến trúc Check Point Software Blade:

o Tính linh hoạt - Cung cấp một mức độ an ninh phù hợp với mức độ đầu tư

o Khả năng điều khiển – Cho phép triển khai nhanh các dịch vụ an ninh Tăng cường hiệu

suất làm việc thông qua quản trị blade tập trung

o An Ninh Toàn diện – Cung cấp mức độ an ninh phù hợp, trên tất cả các điểm thực thi, và

Check Point’s Software Blade Architecture cho phép tùy biến các hệ thống được thiết lập

sẵn hoặc nhanh chóng chọn lựa các giải pháp căn bản được định trước

Cho dù là thiết kế một giải pháp cho tổng hành dinh công ty, một trung tâm dữ liệu hay văn phòng chi nhánh, việc thiết lập hệ thống sẽ gồm ba bước đơn giản:

Buớc 1: Chọn một Container Quản trị An ninh (Security Management Containers) hoặc

Container Cổng An ninh (Security Gateway Container).

Bước 2: Lựa chọn Software Blades cần thiết

Bước 3: Cấu hình và triển khai

Kết quả là một hệ thống cổng hoặc quản trị an ninh được cấu hình chính xác cho nhu cầu kinh doanh cụ thể

II.2.3/ Các loại Software Blade Containers :

Có 3 loại Software Blade Containers: Security Gateway Containers, Endpoint Security Containers and Security management Containers

Hiện tại có 5 Security Gateway Containers, có 4 Endpoint Security Containers, có 3 Security management Containers

I.3/ Các loại Software Blades:

I.3.1/ Endpoint Security Software Blades

• Full Disk Encryption - Bảo đảm an ninh các ổ đĩa cứng hoàn toàn tự động và ẩn đi với người dùng cuối Dùng cơ chế xác thực khởi động (Multi-factor pre-boot authentication) để định danh người dùng

• Media Encryption - Cung cấp khả năng mã hóa thiết bị lưu trữ đa phương tiện Khả năng kiểm soát Port cho phép quản lí các Port thiết bị đầu cuối, bao gồm khả năng truy cập vào hoạt đông của Port đó

• Remote Access - Cung cấp cho người dùng truy cập một cách an ninh và liền lạc đến mạng hay tài nguyên công ty khi người dùng di chuyển

• Anti-Malware / Program Control - Phát hiện và xóa bỏ hiệu quả malware ở thiết bị đầu cuối với bộ lọc đơn Phần mềm kiểm soát chương trình chỉ cho phép các chương trình hợp pháp và được cho phép chạy trên thiết bị đầu cuối

• WebCheck - PBrowser sessions run in a secure virtual environment Bảo vệ chống lại cácmối đe dọa trên nền web mới nhất bao gồm việc download, tấn công zero-day Đưa trình duyệt chạy trên môi trường ảo hóa an ninh

• Firewall / Compliance Check - Bảo vệ bên trong và bên ngoài giúp ngăn chặn malware từnhững hệ thống đã bị nhiễ, khóa các cuộc tấn công có mục tiêu và ngăn chăn các luồng traffic không mong muốn.

Kiến trúc Check Point Software Blade hỗ trợ sự chọn lựa đầy đủ và ngày càng gia

tăng của Sofrware Blades, trong đó mỗi blade cung cấp chức năng cổng an ninh modull hóa hoặc quản trị an ninh Do Software Blades có tính modull và có thể dịch chuyển, Software Blades cho phép người dùng thiết kế chức năng cổng an ninh và quản trị một cách hiệu quả

và nhanh chóng cho những nhu cầu an ninh cụ thể và biến động Các blades mới được cấp phép nhanh chóng mà không cần thêm phần cứng mới

I.3.2/ Security Gateway Software Blades

o Firewall -Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và dịch vụ với tính năng công nghệ kiểm soát thích ứng và thông minh nhất

o IPsec VPN – kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Site được quản lý truy cập từ xa mềm dẻo

Site-to-o IPS – Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao phủ các nguy cơ tốt nhất

o Web Security – Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo vệ mạnh nhất chống lại các tấn công tràn bộ đệm

o URL Filtering – Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs, bảo vệ người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm

o Antivirus & Anti-Malware – Bảo vệ diệt virus hàng đầu bao gồm phân tích virus

heuristic, ngăn chặn virus, sâu và các malware khác tại cổng

o Anti-Spam & Email Security – Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn spam, bảo vệ các servers và hạn chế tấn công qua email

o Advanced Networking – Bổ sung định tuyến động, hỗ trợ multicast và Quality of Service (QOS) cho các cổng an ninh

o Acceleration & Clustering – Công nghệ được cấp bằng SecureXL và ClusterXL cung cấp

sự kiểm soát packet nhanh như chớp, tính sẵn sàng cao và cân bằng tải

o Voice over IP - Có hơn 60 phòng thủ ứng dụng VoIP và các phương pháp QoS tiên tiến bảo vệ hạ tầng VoIP khỏi các cuộc tấn công như dạng tấn công từ chối dịch vụ trong khi cung cấp thoại chất lượng cao

I.3.3/ Security Management Software Blades

o Network Policy Management – Quản lý chính sách an ninh mạng toàn diện cho các cổng Check Point và blades thông qua SmartDashboard, là bàn điều khiển đơn hợp nhất

o Endpoint Policy Management – Triển khai, quản trị, giám sát tập trung và ép buộc chính sách an ninh cho toàn bộ các thiết bị đầu cuối trên toàn tổ chức qui mô bất kỳ

o Logging & Status – Thông tin toàn diện ở dạng nhật ký (logs) và bức tranh toàn cảnh của những thay đổi trên các cổng, các kênh (tunnels), những người dùng từ xa và các hoạt động bảo mật

o Monitoring – Cái nhìn tổng thể của mạng và năng xuất an ninh, cho phép ứng xử nhanh chóng các thay đổi trong mẫu lưu thông và các sự kiện an ninh

o Management Portal – Mở rộng tầm nhìn dựa trên trình duyệt của các chính sách an toàn

an ninh tới các nhóm bên ngoài như lực lượng hỗ trợ chẳng hạn trong khi vẫn bảo đảm kiểm soát chính sách tập trung

o User Directory – Cho phép các cổng Check Point có tác dụng đòn bẩy với các kho thông tin người dùng trên cơ sở LDAP, hạn chế các rủi ro liên quan việc bảo trì và đồng bộ bằng tay các kho dữ liệu dư thừa

o IPS Event Analysis – Hệ thống quản lý sự kiện hoàn chỉnh cung cấp khả năng nhìn thấy các tình thế, dễ dàng cho việc áp dụng các công cụ chứng cứ, báo cáo

o Provisioning – Cung ứng quản trị tập trung và dự phòng của các thiết bị an ninh Check Point thông qua bàn điều khiển quản trị đơn nhất

o Reporting – Chuyển phần lớn dữ liệu mạng và an ninh sang dạng đồ họa, các báo cáo dễ hiểu

o Event Correlation – So sánh và quản lý tương quan các sự kiện một cách tập trung và theo thời gian thực đối với các thiết bị Check Point và của các hãng thứ 3

I.3/ Các công nghệ hiện tại của Check Point Security Gateways:

Thiết bị an ninh CP(CP Security Appliances ) : là phần cứng tích hợp tất cả các phần

mềm cần thiết (software blades) để tạo ra sản phẩm nhằm cung cấp giải pháp trọn gói cho

Doanh nghiệp ở mức An ninh Gateways

Các thiết bị tương ứng với các mô hình lớn nhỏ cho công ty:

Môi trường Thiết bị hỗ trợ

• IPS: IPS-1

Phần mềm an ninh CP (Security Software Blades) : là các thành phần an ninh linh hoạt

và độc lập, được kết hợp lại với nhau để xây dựng an ninh tại Gateway Các phần mềm này được mua riêng độc lập hay được mua thành các gói cài sẵn

Các phần mềm an ninh tại Gateway:

• Antivirus & Anti-Malware

• Anti-Spam & Email Security

• Advanced Networking

• Acceleration & Clustering

• Voice over IP (VoIP)

• Security Gateway Virtual Edition

Giải pháp truy cập từ xa:

• Endpoint Security with Remote Access

• Mobile Access Software Blade

• Check Point GO

Bảo mật ảo hóa (Virtualization Security ) : cung cấp giải pháp an ninh và toàn diện cho

môi trường ảo hóa

2 công nghệ bảo mật ảo hóa:

- Bảo mật đám mây: Virtual Appliance for Amazon Web Services

- Giải pháp cho di động: Firewall-1 GX

IV/ Download CheckPoint NGX R65:

(lúc demo down file torrent mà kiếm không thấy)

Down direct link tại địa chỉ: http://storage.asm.md/inst/system/OS/

II. Mô hình triển khai

II.1/ Mô hình giả lập:

II.2/ Vai trò các máy trong mô hình:

• CheckPoint R65: firewall trong mô hình 3 chân làm nhiệm vụ lọc gói tin(cấm/cho phép),VPN, IPS, xác thực người dùng truy cập Internet…

• Web Server: Là WebServer làm nhiêm vụ cho các máy bên tron Internal hay ngoài Internet truy cập vào lấy dữ liệu

• ActiveDirectory : là máy quản lý user, và tích hợp Active Directory vào trong

CheckPoint

• SmartConsole: là máy nội bộ trong Internal, dùng cấu hình CheckPoint, test các rule trên CheckPoint

II.3/ Những tính năng chính sẽ triển khai trên mô hình:

1. Cài đặt Check Point R65

2. Cài đặt SmartConsole, WebServer, DomainController

3. Tích hợp AD vào trong CheckPoint

4. Thiết lập và test các rule trên Firewall CheckPoint

5. Web Filtering

6. IPS(SmartDefence)

III. Triển khai ứng dụng

III.1/ Các bước triển khai mô hình:

III.1.1/ Cài đặt và cấu hình CheckPoint R65:

+ Thay đổi password ở mode EXPERT

+ Để vào cấu hình CheckPoint dùng lệnh SYSCONFIG

Bấm n để tiếp tục cấu hình, đặt host name:

Đặt tên Domain name:

+ Cấu hình 3 interface trên CheckPoint theo hình vẽ:

Card eth0:

Card eth1:

Card eth2:

+ Cấu hình Interface cho phép quản lí CheckPoint:

+ Sau đó cài đặt thời gian, rồi chọn công nghệ: Check Point Power:

Rồi chọn tiếp các cài đặt trong đó: VPN-1 Power và SmartCenter

CP đòi add licence : do không có nên chọn no, CP sẽ có hạn dùng là 15 ngày CP hỏi thêm vào admin quản lí, chọn yes và thêm vào

Cuối cùn là cài certificate:

III.1.2/ Download và cài đặt SmartConsole:

Vào giao diện Web để download với địa chỉ 172.16.1.1:

Vào phần Product Configuration -> DownloadSmartConsole:

Nếu cài đặt xong , bấm vào SmartDashBoadr sẽ ra hộp thoại xác nhận:

Nếu bấm Ok xác nhận mà báo lỗi thì chỉnh lại user admin hoặc GUI client trên CP R65 trong mục cpconfig rồi khởi động lại CP Nếu cài đặt thành công sẽ hiển thị:

III.1.3/ Cài đặt Web Server:

Tạo file index.htm trong thư mục wwwroot với nội dung:

III.1.4/ Cài đặt Domain Controller(trên máy Active Directory)

Sau khi cài xong, trong ADUC tạo cấu trúc OU và users như sau:

 user viet/123 để CP query AD

 group nhom9 để xác thực người dùng truy cập internet chứa 2 user trong/123 và

hai/123

III.2/Các tính năng trong CP R65:

III.2.1 Tích hợp Active Directory vào CheckPoint R65

Đầu tiên phải cài certificate cho Active Directory để AD và CP tin tưởng lẫn nhau trong quá trình truyền dữ liệu giữa 2 bên:

Tạo 1 node cho máy Active Directory

Enable SmartDirectory (LDAP) trên CheckPoint

Tạo LDAP account UNIT(Acive Directory là dựa trên kiến trúc LDAP)

- Trong tab General

- Trong tab Servers: mục Login DN theo user viet, password là 123 của user viet

- Tab Objects Management : bấm Fetch Branches , nếu cài đặt đúng sẽ hiển thị các

thông số trên AD là DC=UIT,DC=LOCAL Ta xóa bớt 2 dòng trên để hiện thị toàn

bộ nội dung trong Active Ditrctory

-Nếu thành công sẽ hiển thị khi nhấn vào UIT:

III.2.2 Thiết lập rule cho firewall

Tạo node WebServer :

Tạo network Internal:

Sau khi tạo xong xem phần map bên dưới:

Default rule DROP ALL

Rule cho phép Internal và External truy cập WebServer

Cấu hình NAT cho phép Access Webserver và Internet

NAT tĩnh cho WebServer: Nhấp vào node webServer rồi vào phần NAT

NAT động cho Internal: Nhấp vào network Internal rồi vào phần NAT

Rule: Internal truy cập Internet

Rule: Internal Remote Destop WebServer

Rule: Internal ping được Firewall

III.2.3 Web Filtering

Bật tính năng Web Filtering trong CheckPoint firewall:

Các phần cấu hình trong mục Content Inspections:

Theo thể loại trong phần Web Filtering  Web Filtering Policy:

• Hẹn hò: http://www.lavalife.com/ : đầu tiên truy cập vào trang web hẹn hò

Sau đó bật tính năng chặn lại là mục Personal & Dating

Sau đó truy cập lại, ta thấy đã bị chặn

• Streaming : youtube.com: tương tự như trên:

• Search egine: google,bing , :tương tự

Theo URL: mp3.zing.vn trong phần Web Filtering  Anvanced  Block URLs/Ips

III.2.4 IPS(SmartDefence):

Sử dụng thêm máy Backtrack 4 đóng vai trò máy bên ngoài Internet.Scan port với Nmap rồi dùng SmartView Monitor xem Alert:

Xem phần Alert:

DDoS dùng PING OF DEATH(Hping):

Xem phần Alert:

DDoS dùng LAND ATTACK(Hping):

Xem phần Alert:

IV. Tài liệu tham khảo

http://misoft.com.vn/?q=en/node/571http://www.checkpoint.com/

http://storage.asm.md/inst/system/OS/