Nghiên cứu, triển khai hệ thống bảo mật dựa trên check point 12200

Trong đề tài “Nghiên cứu, triển khai hệ thống bảo mật dựa trên Check Point 12200” này tôi chỉ nghiên cứu một số tính năng quan trọng trên Check Point như là khả năng kết nối, các quy tắc

MỤC LỤC

LỜI CAM ĐOAN 5

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT 6

DANH MỤC HÌNH 8

CHƯƠNG 1 - TỔNG QUAN VỀ BẢO MẬT 11

1.1 Bảo mật hệ thống mạng 11

1.2 Các kiểu tấn công mạng 11

1.2.1 Thăm dò (Reconnaissance) 11

1.2.2 Đánh cắp thông tin bằng Packet Sniffers 12

1.2.3 Đánh lừa (IP Spoofing) 12

1.2.4 Tấn công từ chối dịch vụ (Denial Of Services) 13

1.2.5 Tấn công trực tiếp Password 13

1.2.6 Thám thính (Agent) 14

1.2.7 Tấn công vào yếu tố con người 14

1.2.8 Các phương thức tấn công D.O.S thông thường 14

1.2.9 Phương thức tấn công bằng Mail Relay 14

1.2.10 Phương thức tấn công hệ thống DNS 14

1.2.11 Phương thức tấn công Man-In-The-Middle Attack 15

1.2.12 Phương thức tấn công Trust Exploitation 15

1.2.13 Phương thức tấn công Port Redirection 15

1.2.14 Phương thức tấn công lớp ứng dụng 16

1.2.15 Phương thức tấn Virus và Trojan Horse 16

CHƯƠNG 2 – CHECK POINT 17

2.1 Giới thiệu Check Point 17

2.2 Giới thiệu các dòng thiết bị của Check Point 17

2.3 Những tính năng nổi bật trên Check Point 19

2.3.1 Firewall 19

2.3.2 Hỗ trợ phân tích Log 19

2.3.3 VPN 20

2.3.4 Tính năng quản lý (SmartCenter và GUI Client) 20

2.3.5 Tính năng quản lý Log 20

2.3.6 Tính linh động 20

2.3.7 Tính năng nổi trội khác 21

2.4 Các thành phần bảo mật của Check Point 21

2.4.1 Eventia Analyzer 21

2.4.2 Eventia Report 21

2.4.3 SmartCenter 21

2.4.4 SmartPortal 22

2.4.5 SmartView Monitor 22

2.4.6 Smart Dashboard 22

2.4.7 SmartView Tracker 22

2.4.8 SmartLSM 23

2.4.9 SmartUpdate 23

2.4.10 Security Gateway 23

2.5 Check Point Firewall Gateway Security 23

2.5.1 Kiến trúc Check Point Software Blades 23

2.5.2 Những lợi ích chính của Check Point Software Blade 24

2.5.3 Security Gateway Software Blades 24

2.5.4 Security Management Blades 25

CHƯƠNG 3 - KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC TRÊN CHECK POINT 27

3.1 Kiểm soát truy cập mạng 27

3.1.1 Các thành phần của Rule 27

3.1.2 Chống giả mạo địa chỉ 28

3.2 Xác thực trên Check Point 28

3.2.1 Phương thức xác thực trên Check Point 28

3.2.2 Cơ chế xác thực trên Check Point 29

3.2.2.2 OS Password 29

3.2.2.3 Radius 29

3.2.2.4 Tacacs 29

3.2.2.5 SecurID 30

CHƯƠNG 4 - PHƯƠNG THỨC KẾT NỐI TRÊN CHECK POINT 31

4.1 Internet Service Provider ( ISP) Rundundancy 31

4.1.1 Hoạt động của ISP Redundancy 31

4.1.2 Kết nối từ trong Firewall ra Internet 32

4.1.3 Kết nối từ phía ngoài Internet vào bên trong mạng 32

4.2 NAT trong Check Point Security Gateway 33

4.2.1 Automactic Hide NAT và Static NAT trên CheckPoint Firewall 34

4.2.2 NAT Rule Base 34

4.2.3 Cấu hình NAT trên Check Point Security Gateway 35

4.2.3.1 Automatic NAT cho Node Object 35

4.2.3.2 Cấu hình Manual Static NAT 37

4.3 VPN trên Check Point 37

4.3.1 VPN Remote Access 37

4.3.2 VPN Site-To-Site 38

4.3.2.1 Intranet-based VPN 38

4.3.2.2 Extranet-based VPN 39

4.3.3 Giải pháp VPN trên Check Point 40

4.3.4 Khái niệm đặc trưng VPN 41

CHUƠNG 5 - NGĂN CHẶN XÂM NHẬP TRÊN CHECK POINT (INTRUSION PREVENTION SYSTEM – IPS) 43

5.1 Giới thiệu về IPS trong Firewall Check Point 43

5.2 Phương thức hoạt động của Check Point IPS 44

5.3 Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS 44

5.3.1 Port Scan 44

5.3.2 DOS (Denial of Services) 45

CHUƠNG 6: TRIỂN KHAI MÔ HÌNH TRÊN CHECK POINT 12200 49

6.1 Bài toán đặt ra 49

6.2 Mô hình trong bài Lab 50

6.3 Các bước thực hiện bài Lab 50

6.3.1 Cài đặt cấu hình Check Point Security Gateway Cluster 50

6.3.2 Triển khai NAT và tạo Rule cho phép VLAN10 ra Internet 55

6.3.3 Cấu hình Application and URL Filtering trên Check Point 56

6.3.3.1 Cấu hình chặn trang Facebook.com 56

6.3.3.2 Cấu hình chặn URL trên Check Point 58

6.3.4 Triển khai VPN trên Check Point 60

6.3.4.1 Cấu hình VPN Remote Access 60

6.3.4.2 Cấu hình VPN Site-To-Site 63

KẾT LUẬN 70

DANH MỤC TÀI LIỆU THAM KHẢO 71

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn này là công trình nghiên cứu của riêng tôi trong

đó có sự giúp đỡ rất lớn của thầy hướng dẫn TS Nguyễn Tuấn Dũng

Các nội dung nghiên cứu, kết quả trong đề tài này là trung thực và chưa công

bố dưới bất kỳ hình thức nào trước đây

Trong luận văn, tôi có tham khảo đến một số tài liệu đã được liệt kê tại phần Tài liệu tham khảo ở cuối luận văn Các tài liệu tham khảo được trích dẫn trung thực trong luận văn

Hà Nội, ngày… tháng … năm 2016

Tác giả

Nguyễn Văn Hoan

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT

IP Internet Protocol

DNS Domain Name System

NIC Network Interface Card

FTP File Transfer Protocol

SMTP Simple Mail Transfer Protocol

POP3 Post Office Protocol

WAN Wide Area Networks

SSL Secure Sockets Layer

SSH Secure Shell

DMZ Demilitarized Zone

HIDS Host-Base IDS

IDS Intrusion Detection System

OS Operating System

VPN Vitual Private Network

OSI Open Systems Interconnection

RADIUS Remote Authentication Dial In User Service DES Data Encryption Standard

AES Advanced Encryption Standard

GUI Graphic User Interface

LAN Local Area Network

L2TP Layer 2 Tunneling Protocol

IPS Intrusion Prevention System

QOS Quality of Service

LDAP Lightweight Directory Access Protocol

HTTP HyperText Transfer Protocol OTP One-Time Password

PIN Personal Identification Number NAT Network Address Translation IPSec IP Security

IKE Internet Key Exchange

IDP Intrusion Detection and Prevention SYN Synchronize

DOS Denial of Services

ICMP Internet control message Protocol PKI Publish Key Infrastructure

DANH MỤC HÌNH

Hình 2.1: Các dòng sản phẩm của Check Point 19

Hình 2.2: Check Point Software Blades 24

Hình 3.1: Các thành phàn của Rule 27

Hình 4.1: Mô hình kết nối Internet qua Check Point 32

Hình 4.2: NAT Rule Base trong Check Point Security Gateway 34

Hình:4.3 Mô hình NAT Web 36

Hình:4.4: Static NAT 36

Hình:4.5: Manual Static NAT Web Server 37

Hình 4.6: Client từ xa tới Host đằng sau Gateway 38

Hình 4.7: Mô hình VPN Site-To-Site (Intranet Based) 39

Hình 5.1: Hoạt động Port Scan 44

Hình 5.2: Hình thức tấn công DoS 45

Hình 5.3: Các gói tin SYN từ một địa chỉ không có thực gửi tới Web Server 47

Hình 5.4: Ghi nhận được trên Check Point IPS – Mode Detect 47

Hình 6.1: Mô hình tổng thể của bài LAB 50

Hình 6.2: Bảng địa chỉ Check Point CP-Node1 50

Hình 6.3: Bảng địa chỉ Check Point 02 51

Hình 6.2: Cấu hình Cluster cho 2 Check Point 51

Hình 6.3: Khai báo thông tin cho Check Point Cluster 52

Hình 6.4: Add 2 Check Point 52

Hình 6.5: Chọn Network Synchronization giữa 2 Check Point 53

Hình 6.6: Chọn Network Management cho Check Point 53

Hình 6.7: Chọn Network Outside cho Check Point 54

Hình 6.8: Chọn Network Outside cho Check Point 54

Hình 6.9: Kiểm tra hoạt động Cluster của Check Point 55

Hình 6.10: Tao Subnet và NAT Internal 55

Hình 6.12: Tao Rule cho phép VLAN10 truy cập Internet 56

Hình 6.13: Rule cấm truy cập Facebook 56

Hình 6.14: Add Applications/Sites “Facebook” 57

Hình 6.15: Rule cấm Facebook đã chọn 57

Hình 6.15: Add User muốn cấm Facebook 57

Hình 6.16: Tạo Rule cấm URL mp3.zing.vn 58

Hình 6.17: Đặt tên URL cần cấm 59

Hình 6.18: Địa chỉ URL cần cấm 59

Hình 6.19: Tạo một Object MP3 60

Hình 6.20: Mô hình VPN Remote Access 60

Hình 6.21: Bật chức năng VPN trên Check Point 61

Hình 6.22: Dải địa chỉ tự do hệ thống sinh ra khi bật chức năng VPN 61

Hình 6.23: Cấu hình Office Mode 62

Hình 6.24: Cấu hình xác thực Pre-Sharekey 62

Hình 6.25: Định nghĩa VPN Community và Participants 63

Hình 6.26: Tạo luật kết nối VPN Client-To-Site 63

Hình 6.27: Enable IPSec VPN 64

Hình 6.28: Tạo Domain VPN 65

Hình 6.29: Tạo đối tượng mạng chi nhánh 65

Hình 6.30: Tạo tường lửa chi nhánh 66

Hình 6.31: Tạo Domain VPN chi nhánh 66

Hình 6.32: Tạo VPN Si-To-Site 67

Hình 6.33: Đặt tên VPN Site-To-Site 67

Hình 6.34: Add Gateways VPN Site-To-Site 68

Hình 6.35: Thiết lập Tunnel Management 68

Hình 6.36: Thiết lập Shared Secret 69

Hình 6.37: Tạo Rule kết nối VPN Site-To-Site 69

MỞ ĐẦU

Check Point là công ty hàng đầu thế giới trong lĩnh vực an ninh, bảo mật trên Internet và là một công ty tiên phong, đổi mới trên thị trường tường lửa doanh nghiệp, an ninh dữ liệu và VPN

Tiêu điểm duy nhất mà Check Point nhắm tới chỉ là An toàn thông tin, Check Point phân phối một kiến trúc an ninh hợp nhất nhằm bảo vệ cho doanh nghiệp tài nguyên và truyền thông, bao gồm hệ thống Mạng doanh nghiệp và các ứng dụng, các nhân viên làm việc từ xa, các văn phòng, chi nhánh và mạng Extranets đối tác Các sản phẩm Check Point bảo vệ và mã hóa các thông tin nhạy cảm của doanh nghiệp trên máy tính và các thiết bị di động khác Giải pháp đươc giải thưởng Check Point ZoneAlarm bảo vệ cho hàng triệu người dùng thông thường khỏi Hackers, Spyware Các giải pháp của Check Point được bán, tích hợp

và dịch vụ bởi mạng lưới các đối tác của Check Point trên toàn cầu Các khách hàng của Check Point bao gồm hàng chục ngàn doanh nghiệp và tổ chức có qui mô khác nhau

Trong đề tài “Nghiên cứu, triển khai hệ thống bảo mật dựa trên Check Point 12200” này tôi chỉ nghiên cứu một số tính năng quan trọng trên Check Point như là khả năng kết nối, các quy tắc truy cập mạng, cơ chế NAT, triển khai các dịch vụ Cluster, VPN…từ đó đưa ra giải pháp bảo mật và triển khai giả lập mô phỏng bằng các bài Lab trên trên Check Point

CHƯƠNG 1 - TỔNG QUAN VỀ BẢO MẬT

1.1 Bảo mật hệ thống mạng

Bảo mật hệ thống mạng là sự đảm bảo an toàn cho toàn bộ hệ thống trước những cuộc tấn công, xâm nhập và sử dụng trái phép nguồn tài nguyên, ăn cắp thông tin, các hoạt động giả mạo nhằm phá hoại tài nguyên mạng và cơ sở dữ liệu của hệ thống Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một hệ thống mạng Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng được đặt lên hàng đầu

Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề bảo mật mạng ở các cấp độ sau:

 Mức mạng: Ngăn chặn xâm nhập bất hợp pháp vào hệ thống mạng

 Mức Server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận dạng người dùng, phân quyền truy cập, cho phép các tác vụ

 Mức cơ sở dữ liệu: Kiểm soát, quyền sử dụng với mỗi cơ sở dữ liệu

 Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường

dữ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có quyền truy cập khác nhau

 Mức mật mã: Mã hoá toàn bộ File dữ liệu theo một phương pháp nào đó và chỉ cho phép người có quyền mới có thể sử dụng được File dữ liệu

1.2 Các kiểu tấn công mạng

Cùng với sự phát triển nhanh chóng của mạng thì nó cũng để lại nhiều lỗ hổng để Hacker có thể tấn công Các thủ đoạn tấn công ngày càng trở nên tinh vi hơn Các phương pháp tấn công thường gặp

1.2.1 Thăm dò (Reconnaissance)

Là hình thức Hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc Domain Name để lấy được thông tin về địa chỉ IP và Domain Name từ đó thực hiện các biện pháp tấn công khác Khi một Hacker cố gắng xâm nhập vào mạng họ phải thu thập

được thông tin về mạng càng nhiều càng tốt trước khi tấn công Điều này có thể thực hiện bởi các công cụ như DNS Queries, Ping Sweep, hay Port Scan Chúng ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy

1.2.2 Đánh cắp thông tin bằng Packet Sniffers

Packet Sniffer là phần mềm sử dụng NIC Card để bắt tất cả các gói tin trong cùng miền xung đột Nó có thể khai thác thông tin dưới dạng Clear Text Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng Sniffer thường được dùng cho Troubleshooting Network hoặc để phân tích Traffic Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng Clear Text (Telnet, FTP, SMTP, POP3) nên Sniffer cũng là một công cụ cho Hacker để bắt các thông tin nhạy cảm như là Username, Password, và từ đó có thể truy xuất vào các thành phần khác của mạng

Ta có thể cấm Packet Sniffer bằng một số cách như sau:

1.2.3 Đánh lừa (IP Spoofing)

Kỹ thuật này được sử dụng khi Hacker giả mạo địa chỉ IP tin cậy trong mạng nhằm thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc hoặc thay đổi bản tin định tuyến để thu nhận các gói tin cần thiết

Anti Spoofing thẩm định các xem các Packet này đến từ đâu, đi đến đâu, Gateway chính xác của nó sẽ là gì? Nó sẽ khẳng định rõ gói tin này mang IP là Internal Network này thật sự xuất phát từ Internal Network Nó cũng thẩm định cho

Để cấu hình Anti Spoofing, thì trước hết các Network phải có thể thấy được nhau Các Network được định nghĩa đúng theo sơ đồ Anti Spoofing sẽ phát huy

hiệu quả tốt nhất khi ta cấu hình nó trên các Interface của Gateway Sau khi kích

hoạt tính năng Spoofing xong ta nên tiếp tục cấu hình Spoofing Tracking trên cổng

đó luôn nhằm mục đích giúp cho việc phát hiện xâm nhập và ghi lại File Log Anti Spoofing Rule được cấu hình trong phần Properties của đối tượng Firewall trong Smartdashboard Rule này sẽ được cưỡng ép thực thi trước bất kỳ rule nào được định nghĩa trong phần Sercurity Policy Rule Base

1.2.4 Tấn công từ chối dịch vụ (Denial Of Services)

Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách Hacker gửi các gói tin với tốc độ cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thống chiếm hết băng thông sử dụng

1.2.5 Tấn công trực tiếp Password

Đó là kiểu tấn công trực tiếp vào Username và Password của người sử dụng nhằm ăn cắp tài khoải sử dụng vào mục đích tấn công Hacker dùng phần mềm để tấn công (vị dụ như Dictionary Attacks) Các Hacker tấn công Password bằng một

số phương pháp như: Brute-Force Attack, chương trình Trojan Horse, IP Spoofing

và Acket Sniffer Mặc dù dùng Packet Sniffer và IP Spoofing có thể lấy được Username và Password, nhưng Hacker lại thường sử dụng và Brute-Force để lấy Username hơn Tấn công Brute-Force được thực hiện thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng Login vào các phần Share trên Server băng phương pháp “thử và sai” Password

Phương pháp giảm thiểu tấn công Password:

 Giới hạn số lần Login sai

 Đặt Password dài, phức tạp

 Cấm truy cập vào các thiết bị, Server từ xa thông qua các giao thức không an toàn như: FTP, Telnet, Rlogin, Rtelnet… ứng dung SSL, SSH vào quản lý từ

xa

1.2.6 Thám thính (Agent)

Hacker sử dụng các các phần mềm Vius, Trojan thường dùng để tấn công vào máy trạm làm bước đệm để tấn công vào máy chủ và hệ thống Kẻ tấn công có thể nhận được các thông tin hữu ích từ máy nạn nhân thông qua các dịch vụ mạng

1.2.7 Tấn công vào yếu tố con người

Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên lạc với nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi Username và Password

1.2.8 Các phương thức tấn công D.O.S thông thường

Hacker sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các máy tính trên mạng dựa vào một vài dịch vụ hoặc các lỗi bảo mật để phát sinh một khối lượng dữ liệu lớn truyền đến hệ thống máy đích làm cạn kiệt tài nguyên và tê liệt dịch vụ các hệ thống là nạn nhân bị tấn công Các phương pháp tấn công dựa trên việc phát sinh các gói dữ liệu từ hệ thống Email, Broadcast Echo Request …

1.2.9 Phương thức tấn công bằng Mail Relay

Đây là phương pháp phổ biến hiện nay Email Server nếu cấu hình không chuẩn hoặc Username/ Password của User sử dụng Mail bị lộ Hacker có thể lợi dụng Email Server để gửi Mail gây ngập mạng, phá hoại hệ thống Email khác Ngoài ra với hình thức gắn thêm các đoạn Script trong Mail Hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó

Phương pháp giảm thiểu:

 Giới hạn dung lương Mail box

 Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP Server, đặt Password cho SMTP

 Sử dụng Gateway SMTP riêng

1.2.10 Phương thức tấn công hệ thống DNS

DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và

quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng

 Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

 Cài đặt hệ thống IDS Host cho hệ thống DNS

 Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS

1.2.11 Phương thức tấn công Man-In-The-Middle Attack

Dạng tấn công này đòi hỏi Hacker phải truy nhập được các gói mạng của mạng Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tất

cả các gói mạng của công ty, khách hàng cũng như tất cả các gói mạng của các công

ty khác thuê Leased Line đến ISP đó để ăn cắp thông tin hoặc tiếp tục Session truy nhập vào mạng riêng của công ty khách hàng Tấn công dạng này được thực hiện nhờ một Packet Sniffer Tấn công dạng này có thể hạng chế bằng cách mã hoá dữ liệu được gởi ra Nếu các Hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa

1.2.12 Phương thức tấn công Trust Exploitation

Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng Một ví dụ cho tấn công kiểu này là bên ngoài Firewall có một quan hệ tin cậy với hệ thống bên trong Firewall Khi bên ngoài hệ thống bị xâm hại, các Hacker có thể lần heo quan hệ đó để tấn công vào bên trong Firewall Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng

1.2.13 Phương thức tấn công Port Redirection

Tấn công này là một loại của tấn công Trust Exploitation, lợi dụng một Host

đã đã bị đột nhập đi qua Firewall Ví dụ, một Firewall có 3 Inerface, một Host ở Outside có thể truy nhập được một Host trên DMZ, nhưng không thể vào được Host

ở Inside Host ở DMZ có thể vào được Host ở Inside, cũng như Outside Nếu Hacker chọc thủng được Host trên DMZ, họ có thể cài phần mềm trêm Host của DMZ để bẻ hướng traffic từ Host Outside đến Host Inside Ta ngăn chặn tấn công

loại này bằng cách sử dụng HIDS cài trên mỗi Server HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên Server đó

1.2.14 Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như Sendmail, HTTP, hay FTP Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những Port cho qua bởi Firewall Ví dụ các Hacker tấn công Web Server bằng cách sử dụng TCP Port 80, Mail Server bằng TCP Port 25

Một số phương cách để hạn chế tấn công lớp ứng dụng:

 Lưu lại File Log, và thường xuên phân tích File Log

 Luôn cập nhật các Patch cho OS và các ứng dụng

 Dùng IDS, có 2 loại IDS

Các IDS phát hiện các tấn công bằng cách dùng các Signature Signature của một tấn công là một Profile về loại tấn công đó Khi IDS phát hiện thấy Traffic giống như một Signature nào đó, nó sẽ phát cảnh báo

1.2.15 Phương thức tấn Virus và Trojan Horse

Các nguy hiểm chính cho các Workstation và End User là các tấn công Virus

và Trojan Horse Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó Trojan Horse thì hoạt động khác hơn Một ví dụ về Trojan Horse là một phần mềm ứng dụng để chạy một Game đơn giản ở máy Workstation Trong khi người dùng đang mãi mê chơi Game, Trojan Horse sẽ gởi một bản Copy đến tất cả các User trong Address Book Khi User khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong Address Book của User đó Có thể dùng các phần mềm chống Virus để diệt các Virus và Trojan Horse và luôn luôn cập nhật chương trình chống Virus mới

CHƯƠNG 2 – CHECK POINT

2.1 Giới thiệu Check Point

Check Point là một trong những nhà cung cấp hàng đầu về các sản phẩm bảo mật Internet Cung cấp một giải pháp toàn diện cho việc quản lý các thiết bị an toàn bảo mật với các tính năng vượt trội, các chính sách bảo mật, theo dõi các thiết bị, Logging, quản lý các sự kiện và cung cấp cho nhà quản trị các báo cáo ở các mức

độ khác nhau, đặc biệt là các dòng sản phẩm Firewall dùng trong các doanh nghiệp,

cá nhân và các công nghệ mạng riêng ảo VPN Ngoài ra Check Point cung cấp một kiến trúc bảo mật thống nhất cho một lọat các giải pháp bảo mật, bảo mật cho truy cập Internet, bảo mật mạng nội bộ, bảo mật Web, bảo mật người dùng…, nhằm bảo

vệ các tài nguyên thông tin, quá trình truyền thông, các ứng dụng của doanh nghiệp Đặc biệt các sản phẩm của Check Point cho phép việc tích hợp với hàng lọat các dòng sản phẩm của hơn 350 hãng sản xuất thiết bị bảo mật nổi tiếng trên thế giới

2.2 Giới thiệu các dòng thiết bị của Check Point

Dòng thiết bị của Check Point được thiết kế để chạy bất kỳ phiến bảo mật nào của Check Point bao gồm: Firewall, VPN, Intrusion Prevention, Application Control, Mobile Access, Data Loss Prevention, Identity Awareness, URL Filtering, Anti-Spam, Antivirus, Advanced Networking, Acceleration, và hỗ trợ phiến bảo mật mới Anti-Bot Software Blade Với việc hợp nhất các khả năng bảo vệ trong một thiết bị cho phép khách hàng linh hoạt trong việc tối ưu hóa hạ tầng an ninh bảo mật dựa trên mức độ bảo vệ và hiệu năng cần thiết đáp ứng yêu an ninh bảo mật và

sự phát triển của doanh nghiệp…

Sự kết hợp giữa thiết bị có hiệu suất cao của Check Point và khả năng mở rộng các phiến bảo mật là một giải pháp linh hoạt giúp các doanh nghiệp xây dựng giải pháp an ninh/ bảo mật đáp ứng các nhu cầu trong tương lai

Các đặc điểm và lợi ích với dòng thiết bị của Check Point:

 2200 Appliance: Giải pháp cho các văn phòng nhỏ, chi nhánh với hiệu năng

xử lý 3 Gbps Firewall và 2 Gbps IPS

 4200 Appliance: Dòng thiết bị cho các doanh nghiệp vừa và nhỏ với hiệu năng xử lý 3 Gbps Firewall, 2 Gbps IPS, cùng với khả năng bổ sung thêm các giao diện kết nối mạng

 4600 Appliance: Dòng thiết bị cho các doanh nghiệp với hiệu năng tổng thể lên tới 9 Gbps Firewall, 4 Gbps IPS với chi phí rất hợp lý

 4800 Appliance: Dòng thiết bị cho các doanh nghiệp với hiệu năng tổng thể lên tới 11 Gbps Firewall, 6 Gbps IPS, hỗ trợ nhiều phiến bảo mật hiệu năng cao (Multi-Blade Performance) và hỗ trợ chuẩn kết nối mạng Fiber lên tới 10 Gbps

 12200 Appliance: Dòng thiết bị cho Data Center với thiết kế tiết kiệm không gian 1U rack cung cấp hiệu năng lên tới 15 Gbps Firewall, 8 Gbps IPS với tùy chọn dự phòng về nguồn và ổ cứng (Power Supply and Hard Drives) Hơn nữa, 12200 hỗ trợ lên tới 10 Virtual Systems

 12400 Appliance: Dòng thiết bị cho Data Center cung cấp hiệu năng lên tới

25 Gbps Firewall, 12 Gbps IPS, hỗ trợ đa dạng các loại chuẩn kết nối mạng

và hỗ trợ lên tới 50 Virtual Systems

 12600 Appliance: Dòng thiết bị cho Data Center lớn hỗ trợ số lượng kết nối đồng thời lớn và hiệu năng xử lý lên tới 30 Gbps Firewall, 17 Gbps IPS, hỗ trợ lên tới 150 virtual Systems

 21400 Appliance (ra mắt tháng 8/2011): Dòng thiết bị cho Data Center cực lớn với hiệu năng lên tới 100 Gbps Firewall, 21 Gbps IPS 21400 còn cung cấp khả năng mở rộng lên tới 37 Ports GbE hoặc 12 Ports 10GbE, cho phép khách hàng dễ dàng triển khai trong Data Center lớn, đồng thời thiết bị hỗ trợ lên tới 250 Virtual Systems

Hình 2.1: Các dòng sản phẩm của Check Point

2.3 Những tính năng nổi bật trên Check Point

Phần mềm Check Point với ưu thế cạnh tranh, là sản phẩm đáng tín cậy cho bất kỳ doanh nghiệp nào Bộ sản phẩm của Check Point gồm nhiều Module kết hợp tạo nên một giải pháp Firewall an ninh hiệu quả cho các hình thức mạng khác nhau

 Quản lý tập trung cho phép quản lý nhiều Firewall trên một máy tính

 Quản lý thiết lập chính sách dễ dàng bằng các công cụ trực quan GUI

 Hỗ trợ việc xác thực người sử dụng bằng nhiều phương pháp S/key, SecurID,

OS Password, RADIUS hay những phương pháp chứng thực khác

2.3.3 VPN

 VPN hỗ trợ thuật toán mã hóa 3DES, AES VPN hỗ trợ Site-To-Site đảm bảo kênh truyền an toàn giữa các mạng LAN và an toàn giữa các mạng LAN Site–To–Site tạo kênh truyền an toàn giữa các máy truy cập từ xa và trung tâm Module Secure Client cho phép bảo vệ máy truy cập từ xa tránh trường hợp tạo “Backdoors” cho Hacker xâm nhập vào hệ thống

 Hỗ trợ truy cập VPN qua SSL hay Microsoft Windows L2TP/ IPSec VPN Client

2.3.4 Tính năng quản lý (SmartCenter và GUI Client)

 Quản lý tập trung với người quản trị bằng một giao diện đồ họa duy nhất

 Tất cả dữ liệu Log sẽ được quản lý tập trung dễ dàng phân tích và theo dõi bởi người quản trị hệ thống

 Khả năng quản lý nhiều Firewall trên một giao diện đồ họa duy nhất

2.3.5 Tính năng quản lý Log

 Log sẽ được định hướng đến Server chuyên dụng xử lý Log

 Log được cảnh báo khi ổ đĩa cứng trống còn thấp và sẽ Reset lại Log theo những thông số do người quản trị định nghĩa

 Đặt thời gian chuyển File Log đến Server xử lý log theo chu kỳ

 Thông tin Log bao gồm người sử dụng dịch vụ, thời gian kết nối, đích đến,

độ dài phiên kết nối, hành động…

 Người quản trị có thể lọc File Log để định những sự kiện lưu tâm đến bảo mật của hệ thống

2.3.6 Tính linh động

 Người sử dụng có thể chọn lựa giải pháp của Check Point linh động dựa trên

hệ điều hành như WinNT, Linux, Solaris hay những thiết bị phần cứng chuyên dụng của Celestix, Resilience, Nokia

 Hỗ trợ cơ cấu mở (OPSEC) cho phép liên kết giải pháp Check Point với những ứng dụng an ninh khác như TrendMicro Raibow, Websense…

2.3.7 Tính năng nổi trội khác

 Tích hợp với phần mềm Check Point VPN-1/ Firewall-1 và các ứng dụng bảo mật trên Gateway như Antivirus và các phần mềm bảo mật nội dung khác

 Tích hợp tính cân bằng tải cho hệ thống bảo mật

 Kỹ thuật thông minh để xử lý lỗi xảy ra cho Firewall và VPN Gateway đảm bảo hệ thống hoạt động trong suốt

2.4 Các thành phần bảo mật của Check Point

2.4.1 Eventia Analyzer

Giúp đỡ người quản trị trong việc quản lý các sự kiện liên quan đến bảo mật Eventia Analyzer cho phép quản lý tập trung, thời gian thực các thiết bị bảo mật Gateway của Check Point và sản phẩm của các đối tác của Check Point Eventia tự động thu thập dữ liệu thông tin về các sự kiện, tình hình tấn công… Tối ưu hóa cách trình bày và cung cấp cho nhà quản trị một cái đầy đủ nhất về tình hình an ninh trên mạng

2.4.3 SmartCenter

Để đối phó với sự tấn công của tin tặc ngày càng phức tạp, chúng ta phải xây dụng hệ thống an ninh bảo mật theo chiều sâu bao gồm nhiều lớp: Bảo mật vòng ngoài, bảo mật bên trong, bảo mật người dùng… Check Point đưa ra giải pháp cho phép người quản trị có thể quản lý được trong môi trường phức tạp đó Thông qua SmartCenter, người quản trị có thể thực hiện được tất cả các khía cạnh quản lý liên

quan đến vấn đề bảo mật Smart Center còn dùng để lưu trữ và phân phối Security Policy đến nhiều Security Gateway Các Policy được định nghĩa bằng cách Smart Dashboard và được lưu trữ vào Smart Center Sau đó Smart Center sẽ duy trì Database bao gồm các Network Object, định nghĩa User, Security Policy, Log File cho Firewall Gateway Khi cấu hình được tích hợp tất cả vào Security Policy Tất cả các policy được tạo ra hay định dạng sau đó được phân phối đến Security Gateway Việc quản lý chính sách nhóm một cách tập trung nâng cao hiệu quả

trong đó là dòng sản phẩm Check Point VPN-1/ Firewall 1 Pro

2.4.6 Smart Dashboard

Được dùng để định nghĩa và quản lý các chính sách bảo mật với quyền Security Administrator Smart Dashboard cung cấp cho người quản trị một giao diện đồ họa đơn giản, dễ dàng định nghĩa và quản lý nhiều yếu tố của Secure Virtual Network Ví dụ như Firewall Policy, VPN Client Security Gateway, Network Address Translation, Quality of Service… Quản lý tất cả các object như User, Host, Network, Service… mà nó được chia sẻ giữa các ứng dụng

2.4.7 SmartView Tracker

Được dùng để quản lý, theo dõi log và thực hiện cảnh báo Kiểm tra các quá

lại các hành động của người quản trị để giúp cho quá trình Troubleshoot nhanh hơn Nếu có sự tấn công mạng từ môi trường bên ngoài hay bên trong thì người quản trị

có thể dùng SmartView Tracker để hủy hoặc tạm dừng các tiến trình này để theo dõi

2.5 Check Point Firewall Gateway Security

2.5.1 Kiến trúc Check Point Software Blades

 Software Blade là một khối kiến trúc an ninh Logic có tính độc lập, Modull hóa và quản lý tập trung

 Software Blades có thể sẵn sàng và cấu hình theo một giải pháp dựa trên những nhu cụ thể Và khi có nhu cầu, các Blades bổ sung có thể được kích hoạt để mở rộng an ninh cho cấu hình sẵn có bên trong cùng một cơ sở phần cứng

 Kiến trúc Software Blade của Check Point đề xuất một cách thức tốt hơn trong vấn đề an ninh, cho phép các tổ chức nhìn nhận một cách hiệu quả các giải pháp mục tiêu, phù hợp các nhu cầu an ninh doanh nghiệp đề ra

 Toàn bộ các giải pháp được quản lý tập trung thông qua SmartCenter duy nhất nhằm hạn chế sự phức tạp và quá tải vận hành

 Ứng cứu khẩn cấp các mối đe dọa: kiến trúc Software Blade của Check Point

mở rộng các dịch vụ một cách nhanh chóng và linh hoạt khi cần thiết mà không cần bổ sung phần cứng hay tăng độ phức tạp

2.5.2 Những lợi ích chính của Check Point Software Blade

 Tính linh hoạt: Cung cấp một mức độ an ninh phù hợp với mức độ đầu tư

 Khả năng điều khiển: Cho phép triển khai nhanh các dịch vụ an ninh Tăng cường hiệu suất làm việc thông qua quản trị Blade tập trung

 An ninh toàn diện: Cung cấp mức độ an ninh phù hợp, trên tất cả các điểm thực thi, và toàn bộ các lớp mạng

 Tổng giá thành thấp: Bảo vệ sự đầu tư thông qua củng cố và sử dụng hạ tầng phần cứng đang có

 Năng suất đảm bảo: Cho phép dự phòng tài nguyên nhằm bảo đảm các mức

độ dịch vụ

2.5.3 Security Gateway Software Blades

Check Point Software Blades cung cấp cơ chế an ninh mạng một cách linh hoạt, quản trị tập trung với các quy mô khác nhau cho các doanh nghiệp Check Point Software Blades với giá thành hợp lý đồng thời vẫn có thế đáp ứng bất kỳ nhu cầu an ninh mạng nào ngay cả hiện tại và trong tương lai

 Firewall: Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao thức và dịch vụ với tính năng công nghệ kiểm soát thích ứng và thông minh nhất

 IPsec VPN: Kết nối an toàn cho văn phòng và người dùng cuối thông qua VPN Site-To-Site được quản lý truy cập từ xa mềm dẻo

 IPS: Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với tầm bao phủ các nguy cơ tốt nhất

 Web Security: Bảo vệ tiên tiến cho toàn bộ môi trường Web đặc trưng bởi sự bảo vệ mạnh nhất chống lại các tấn công tràn bộ đệm

 URL Filtering: Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs, bảo vệ người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang Web nguy hiểm

 Antivirus & Anti-Malware: Bảo vệ diệt Virus hàng đầu bao gồm phân tích, ngăn chặn Virus và các Malware khác tại cổng

 Anti-Spam & Email Security: Bảo vệ đa hướng cho hạ tầng thư tín, ngăn chặn Spam, bảo vệ các Servers và hạn chế tấn công qua Email

 Advanced Networking: Bổ sung định tuyến động, hỗ trợ Multicast và Quality

of Service (QOS) cho các cổng an ninh

 Acceleration & Clustering: Cung cấp sự kiểm soát Packet nhanh như chớp, tính sẵn sàng cao và cân bằng tải

 Voice Over IP: Có hơn 60 phòng thủ ứng dụng VoIP và các phương pháp QoS tiên tiến bảo vệ hạ tầng VoIP khỏi các cuộc tấn công như dạng tấn công

từ chối dịch vụ trong khi cung cấp thoại chất lượng cao

2.5.4 Security Management Blades

 Network Policy Management: Quản lý chính sách an ninh mạng toàn diện cho các cổng Check Point và Blades thông qua SmartDashboard

 Endpoint Policy Management: Triển khai, quản trị, giám sát tập trung và ép buộc chính sách an ninh cho toàn bộ các thiết bị đầu cuối trên toàn tổ chức qui mô bất kỳ

 Logging & Status: Thông tin toàn diện ở dạng nhật ký (Logs) và những thay đổi trên các cổng, các kênh (Tunnels), những người dùng từ xa và các hoạt động bảo mật

 Monitoring: Cái nhìn tổng thể của mạng và an ninh, cho phép xử lý nhanh chóng các thay đổi trong các sự kiện an ninh

 Management Portal: Mở rộng chính sách an toàn an ninh tới các nhóm bên ngoài như lực lượng hỗ trợ chẳng hạn trong khi vẫn bảo đảm kiểm soát chính sách tập trung

 User Directory: Cho phép các cổng Check Point có tác dụng đòn bẩy với các kho thông tin người dùng trên cơ sở LDAP, hạn chế các rủi ro liên quan việc bảo trì và đồng bộ bằng tay các kho dữ liệu dư thừa

 IPS Event Analysis: Hệ thống quản lý sự kiện hoàn chỉnh cung cấp khả năng

dễ dàng cho việc áp dụng các công cụ chứng cứ, báo cáo

 Provisioning: Cung ứng quản trị tập trung và dự phòng của các thiết bị an ninh Check Point thông qua bàn điều khiển quản trị đơn nhất

 Reporting: Chuyển phần lớn dữ liệu mạng và an ninh sang dạng đồ họa, các báo cáo dễ hiểu

 Event Correlation: So sánh và quản lý các sự kiện một cách tập trung và theo

thời gian thực đối với các thiết bị Check Point và của các hãng thứ 3

CHƯƠNG 3 - KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC TRÊN CHECK

POINT

3.1 Kiểm soát truy cập mạng

Check Point Security Gateway được đặt ở khu vực biên của hệ thống cần bảo

vệ nhằm theo dõi và quản lý chặt chẽ mọi luồng dữ liệu đi ra và vào mạng Người quản trị hệ thống có nhiệm vụ đặt ra những chính sách bảo mật để bảo vệ an toàn cho hệ thống cũng như quản lý sự truy cập trong mạng Chính sách bảo mật được triển khai bằng tập hợp có thứ tự những quy tắc (Rules) trong Security Rule Base, một chính sách tốt là cơ sở tất yếu cho một hệ thống an toàn

Rule Base là tất cả những hành động không được cho phép sẽ bị chặn Rule Base là tập hợp những quy tắc (Rules) định ra luồng dữ liệu nào được phép đi qua

và luồng dữ liệu nào bị cấm

3.1.1 Các thành phần của Rule

Hình 3.1: Các thành phàn của Rule

 Source và Destination: Nguồn và đích của luồng dữ liệu, theo quy tắc của Rule thì kết nối được thiết lập sẽ chấp nhận cả 2 chiều dữ liệu đi và về

 VPN: Được áp dụng cho mọi kết nối hay chỉ dành riêng cho kết nối VPN

 Service: Đưa ra những giao thức, dịch vụ sẽ áp dụng thông qua Rule

 Action: Hành động đưa ra cho kết nối được đề cập đến thông qua Rule

 Track: Những tùy chọn về việc ghi nhận lại hoạt động của Rule

 Install On: Đây là một chức năng nhằm tạo sự thuận lợi trong việc quản lý của người quản trị Thành phần này chỉ ra nơi người quản trị cần triển khai Rule vừa tạo ra, có thể chỉ trên một Firewall riêng biệt hay tất cả Firewall của hệ thống

 Time: Định ra thời gian có hiệu lực của Rule

Ngoài những Rule được tạo bởi người quản trị hệ thống, Security Gateway cũng tạo ra những Rule mặc định Rule mặc định thường được dành cho những kết nối từ Security Gateway cho các dịch vụ điều khiển, cấu hình

3.1.2 Chống giả mạo địa chỉ

Chống giả mạo địa chỉ là Hacker tấn công vào hệ thống thay đổi địa chỉ IP của gói tin nhằm mục đích xâm nhập trái phép vào bên trong hệ thống Cơ chế chống giả mạo địa chỉ bảo đảm các gói tin có nguồn và đích đến đúng với mỗi cổng trên Security Gateway Một ví dụ về giả mạo địa chỉ đó là người tấn công từ ngoài Internet, tức là cổng External của Gateway gửi vào một gói tin có địa chỉ là địa chỉ bên trong mạng nội bộ thì cơ chế chống giả địa chỉ sẽ ngay lập tức chặn gói tin vì

nó không xuất phát từ cổng bên trong mà là bên ngoài

3.2 Xác thực trên Check Point

3.2.1 Phương thức xác thực trên Check Point

 User Authentication: Người quản trị hệ thống cấp quyền cho User truy cập khi người đó ngồi trên bất kỳ một máy tính nào mà không ảnh hưởng đến các người dùng khác sử dụng cùng máy tính User Authentication hoạt động trên các giao thức Telnet, FTP, HTTP và dịch vụ RLOGIN

 Session Authentication: Là một phương thức xác thực được dùng cho bất kỳ dịch vụ nào và phương thức này yêu cầu người dùng cung cấp thông tin xác thực cho một phiên làm việc Đối với phương thức xác thực này cần phải có một chương trình cài riêng trên máy của người dùng, vì thế phương thức xác thực này thường được sử dụng đối với máy cá nhân tức là chỉ có một User sử dụng máy tính đó

 Client Authentication: Phương thức này cho phép nhiều User thực hiện kết nối thông qua việc xác thực phân quyền cho một địa chỉ IP hay một máy xác định Ưu điểm chính của Client Authentication chính là phương thức này có thể được sử dụng cho việc kết nối không hạn chế và không yêu cầu User phải nhập lại tên và mật khẩu trong quá trình làm việc Tương tự như Session

3.2.2 Cơ chế xác thực trên Check Point

3.2.2.1 VPN-1 & Firewall-1 Password

Đây là cơ chế xác thực do chính Check Point cung cấp Cơ chế này xác thực User dựa trên chính cơ sở dữ liệu được tạo ra trên Security Gateway Chiều dài tên User lên đến 100 ký tự số và chữ và mật khẩu phải có chiều dài nằm trong khoảng 4 tới 8 ký tự

Một hệ thống có thể có nhiều Module xác thực và nếu ta sử dụng cơ chế OS Password thì phải đảm bảo dữ liệu user trên các Module đều phải đồng bộ, điều đó

sẽ gây khó khăn trong việc cấu hình cơ sở dữ liệu

3.2.2.3 Radius

Radius là một cơ chế xác thực tập trung với cơ sở dữ liệu không nằm trên các Module xác thực mà nằm trên một Module riêng biệt (Radius Server) Ưu điểm chính của cơ chế Radius chính là xác thực tập trung khi hệ thống có nhiều Module xác thực, tức là người quản trị chỉ cần cấu hình cơ sở dữ liệu User trên Radius Server và các Module xác thực sẽ xác thực User dựa trên Radius Server

Khi một User kết nối với Username trùng với Username có cơ chế xác thực

là Radius thì các Module xác thực sẽ chuyển Username và Password cho Radius Server thông qua các giao thức được định nghĩa trước và có sử dụng Shared Secret Key để bảo vệ thông tin chuyển qua

3.2.2.4 Tacacs

Tacacs thì hoàn toàn tương tự với cơ chế Radius đều nằm trong dịch vu AAA

(Authentication Authorization Accounting) nhưng Tacacs, ngoài khả năng xác thực

tập trung, còn có thể quản lý và phân quyền trên những câu lệnh mà người dùng cấu hình các Server đầu cuối như kết nối Telnet đến các Router Cisco

3.2.2.5 SecurID

SecurID cũng là một cơ chế sử dụng One-Time Password (OTP) Cơ chế SecurID hoạt động dựa trên nguyên tắc là User phải cung cấp một thiết bị điện tử với mã PIN để SecurID Server có thể cung cấp OTP dùng cho xác thực Đây chính

là cơ chế được xem là tối tân và rất bảo mật vì người dùng cần một thiết bị đặc biệt đồng thời phải cung cấp mã PIN để đăng nhập vào hệ thống

CHƯƠNG 4 - PHƯƠNG THỨC KẾT NỐI TRÊN CHECK POINT

4.1 Internet Service Provider ( ISP) Rundundancy

Chức năng ISP Redundancy cho phép kết nối Internet được duy trì liên tục

và nó thể thực hiện trên Check Point Security Gateway khi đó nhiều Interface kết

nối đến nhiều ISP khác nhau và chức năng ISP Redundancy là một chức năng có sẵn trên Security Gateway mà không cần phải mua thêm bất cứ thiết bị phần cứng chuyên dụng nào

ISP Redundancy liên tục giám sát các đường Link từ đó có thể chuyển hướng các kết nối theo hướng tốt nhất ISP Redundancy hoạt động ở 2 chế độ sau đây:

 Load Sharing

 Primary/ Backup

4.1.1 Hoạt động của ISP Redundancy

Chức năng ISP Redundancy hoạt động hiệu quả nhất cho kết nối từ phía ngoài vào, Security Gateway sẽ xử lí các kết nối từ bên trong mạng ra Internet theo cách sau đây:

 Primary/ Backup: Kết nối bằng đường Link chính và chuyển sang đường Link dự phòng khi đường Link chính xảy ra sự cố Khi đường Link chính phục hồi thì những kết nối mới sẽ theo hướng đường Link chính và những kết nối hiện tại sẽ theo đường Link phụ cho đến khi các kết nối này hoàn tất

 Load Sharing: Sử dụng đồng thời tất cả đường Link, kết nối sẽ được phân phối ngẩu nhiên theo từng Link Khi một trong các Link bị xảy ra sự cố thì các kết nối mới sẽ đi theo các đường Link còn lại Trong Mode Load Sharing thì kết nối vào hướng bên trong sẽ được chuyển hướng qua lại giữa các Link bằng việc chuyển đổi kết quả query DNS từ bên ngoài ISP Redundancy giám sát các đường Link liên tục, để giám sát đường Link Check Point Security Gateway sẽ kiểm tra cổng giao tiếp hiện có đang hoạt động hay không và chuyển Default Route hướng ra ISP thích hợp

4.1.2 Kết nối từ trong Firewall ra Internet

Trong chế độ Load Sharing, những kết nối sẽ được phân phối ngẩu nhiên giữa các đường Link Internet Trong chế độ Primary/ Backup thì các kết nối chỉ đi

ra theo đường Link chính (Active)

Hide NAT sẽ được sử dụng để thay đổi địa chỉ Source IP của gói tin, gói tin

đi ra bằng Interface nào thì sẽ được NAT bằng IP của Interface đó, điều này sẽ làm

cho gói tin trả về sẽ đi theo cổng giao tiếp mà nó đã đi ra Hide NAT lúc này phải được cấu hình bởi người dùng

4.1.3 Kết nối từ phía ngoài Internet vào bên trong mạng

Khi Client kết nối từ phía bên ngoài vào một Server bên trong mạng, lúc này Static Destination NAT sẽ được cấu hình bởi người dùng cho IP của Server bên trong Nếu có 2 đường Link Internet thì lúc này Server (HTTP, FTP Server… ) bên trong được NAT cùng lúc với 2 địa chỉ IP Public

Hình 4.1: Mô hình kết nối Internet qua Check Point

Khi Client bên ngoài truy cập đến Server bằng một trong 2 địa chỉ IP Pubic Quá trình ISP Redanduncy cho kết nối từ bên ngoài được xử lý như sau:

Client từ phía ngoài Query tên miền abc.com khi đó DNS Query sẽ đi đến Check Point Security Gateway, trong Check Point Security Gateway có sẵn một

nó đi đến DNS Server và sẽ thay mặt DNS Server trả lời DNS cho Client Nếu trong Mini-DNS đã được cấu hình tên miền abc.com, Check Point Security Gateway sẽ trả lời lại DNS query như sau:

 Primary/ Backup: Check Point Security Gateway sẽ trả lời lại với IP của

đường Primary Link (Active Link)

 Load Sharing: Check Point Security Gateway sẽ trả lại cùng lúc 2 địa chỉ IP

(117.6.80.123; 118.70.80.123) và lần lượt hoán đổi chúng Nếu trong trường hợp DNS không thể phân giải tên miền abc.com thì nó sẽ chuyển DNS query đến DNS Server 172.167.1.2 Khi Client nhận được IP sau khi phân giải tên miền thì lúc nào nó sẽ tiến hành kết nối đến địa chỉ IP mà nó nhận được Trên Check Point Security Gateway cần cấu hình Static Destination NAT cho IP 172.167.1.1

4.2 NAT trong Check Point Security Gateway

NAT là sự thay đổi địa chỉ IP này bằng một địa chỉ IP khác, NAT có thể thay đổi cả địa chỉ Source IP lẫn Destination IP

Check Point Security Gateway hổ trợ 2 loại NAT sao đây :

 Static NAT: Mỗi địa chỉ IP Private sẽ được chuyển thành một địa chỉ IP Public Static NAT có thể chuyển đổi một dãy các địa chỉ IP Private thành một dãy các địa chỉ IP Public theo dạng chuyển đổi 1:1

 Hide NAT: Một địa chỉ IP Public sẽ được dùng đại điện cho nhiều IP Private bên trong mạng Hide NAT là dạng chuyển đổi nhiều địa chỉ IP Private thành một địa chỉ IP Public và kết nối chỉ có thể được bắt đầu từ phía trong của Firewall Check Point dùng các khái niệm sau đây để định nghĩa cho các đối tượng được NAT trong mạng : Network , Node, Address Range, Dynamic Object NAT có thể được cấu hình để tự động trên một Network Object (Automatic NAT), điều này có nghĩa là khi một Network Object được tạo ra thì NAT Rules sẽ được tự động phát sinh và thêm vào NAT Rule Base (Automatic Hide NAT hoặc Static NAT) Ngoài ra, người dùng có thể tự tạo Rule (Manual NAT)

NAT Rule tạo bởi người dùng thì sẽ linh hoạt hơn so với việc tạo tự động Người dùng có thể thực hiện việc chuyển đổi theo Service hoặc theo Destination Port Numbers Port Number Tranlation là một dạng của Static NAT, trong đó một Port của một địa chỉ IP này sẽ được chuyển đổi thành Port của một địa chỉ IP khác

4.2.1 Automactic Hide NAT và Static NAT trên CheckPoint Firewall

Check Point cung cấp cho người dùng chức năng Automatic Hide NAT cho phép tự động cấu hình chức năng NAT cho các mạng bên trong Firewall Lúc nào bất kì kết nối nào từ phía bên trong mạng đều được động NAT

Ngoài ra Check Point cũng cung cấp chức năng Automatic Static Source và Static Destination NAT cho phép việc cấu hình static NAT trên từng host

4.2.2 NAT Rule Base

Check Point quản lý NAT bằng Rule, tập hợp tất cả các NAT Rule được gọi

là NAT Rule Base

Hình 4.2: NAT Rule Base trong Check Point Security Gateway

NAT Rule được chia làm 2 thành phần:

 Original Packet: Gồm các điều kiện dành cho gói tin, nếu gói tin thỏa các điều kiện này thì Rule sẽ được sử dụng

 Translated Packet: Hành động sẽ thực hiện sau khi gói tin đã thỏa điều kiện ở trên

Mỗi phần của một NAT Rule sẽ được chia làm các thành phần sao đây:

 Source: IP source của gói tin ban đầu và IP source của gói tin sau khi chuyển đổi

 Destination: IP Destination của gói tin ban đầu và IP destination của gói tin sau khi chuyển dổi

 Service: Service hoặc Port của gói tin trước và sau khi chuyển đổi Khi

trong NAT Rule Base, và cứ như thế Firewall tiếp tục so sánh với các sau đó

là Rule thứ 2, 3 và đến hết Khi các điều kiện của một Rule đã thỏa mãn thì Firewall sẽ ngừng kiểm tra và sử dụng NAT Rule đó

Automatic Rule được xét theo độ ưu tiên sau:

 Static NAT Rule lúc nào cũng được ưu tiên trước Hide NAT Rule

 NAT tại một Host (Node) trong mạng được ưu tiên so với NAT một dãy IP hay cả một Network

4.2.3 Cấu hình NAT trên Check Point Security Gateway

Automatic NAT là phương pháp dễ cấu hình nhất và dễ triển khai và thường

ít bị lỗi khi cấu hình

Manual NAT có tính phức tạp và thường khó cấu hình hơn nhưng có tính linh hoạt cao

 Kiểm soát được sự chuyển đổi địa chỉ source IP và Destination IP

 Chuyển đổi cả Source IP và Destination IP cùng lúc

 Static Destination NAT có để chuyển đổi theo Service cụ thể và theo 1 hướng

4.2.3.1 Automatic NAT cho Node Object

Trong phần này, theo sơ đồ trên ta sẽ minh hoạt chức năng Automatic Static NAT Một máy chủ Web có tên Internal_Web (172.167.1.1) được đặt trong vùng DMZ với địa chỉ IP là địa chỉ Private để Client bên ngoài có thể truy cập vào và Internal_Web có thể truy cập ra Internet ta cần phải cấu hình Static NAT cho Internal_Web với địa chỉ IP là 117.6.172.123