Xem mẫu
- KHOA KHOA HỌC VÀ CÔNG NGHỆ
BÁO CÁO
ĐỒ ÁN HƯỚNG NGÀNH
ĐỀ TÀI: TÌM HIỂU FIREWALL TRÊN CHECKPOINT
Người hướng dẫn : Thầy Đinh Ngọc Luyện
Lớp : VT071
Sinh viên : Nguyễn Quỳnh; MSSV: 070073
Phù Sử Hùng; MSSV: 070156
HK09.2
- Tìm hiểu Firewall trên Checkpoint
Lời Mở Đầu
Check point software technologies, công ty hàng đầu thế giới về an toàn an
ninh internet. Check point dẫn đầu thị trường an ninh thông tin toàn cầu trong lĩnh vực
tường lửa và mạng riêng ảo. Check Point cung cấp các giải pháp an ninh vành đai, an
ninh nội và an ninh trang web nhằm bảo vệ các thông tin kinh doanh, tài nguyên của
mạng doanh nghiệp cũng như các ứng dụng, các nhân viên làm việc từ xa, các chi
nhánh. Với công nghệ Stateful Inspection được phát minh Check Point Technology
làm trung tâm, OPSEC (Open Platform for Security) được hình thành và mở rộng
thêm sức mạnh các giải pháp của Check Point. Các giải pháp của Check Point được
bán, tích hợp và dịch vụ bởi hệ thống mạng lưới 1900 đối tác của Check Point ở 86
nước.
Đề tài của chúng tôi, chúng tôi chỉ nghiên cứu những tính năng Network
Access, Connectivity và CoreXL từ đó đưa ra một giải pháp bảo mật dựa trên Firewall
CheckPoint và các vấn đề đã nghiên cứu.
Khoa Khoa Học Và Công Nghệ Trang i
- Tìm hiểu Firewall trên Checkpoint
Mục Lục
Lời Mở Đầu ................................................................................................................. i
Mục Lục ..................................................................................................................... ii
Phần 1: Network Access ............................................................................................. 6
I. Access Control ................................................................................................ 6
1. Sự cần thiết của Access Control .................................................................. 6
2. Tổng quan về Access Control của Check Point Firewall ............................. 6
3. Các thành phần của Rule ............................................................................. 6
4. Công dụng đặc biệt của Access Control ...................................................... 7
5. Cấu hình Access Control ............................................................................. 8
II. Authentication .............................................................................................. 10
1. Vai trò của User Authentication ................................................................ 10
2. Tổng quan về User Authentication của Check Point Firewall .................... 10
3. Các phương thức xác thực của Check Point Firewall ................................. 10
4. Cấu hình phương thức xác thực trong Firewall Check Point ...................... 11
5. Các cơ chế xác thực sử dụng trên Firewall Check Point ............................ 15
5.1 VPN-1 & Firewall-1 Password .......................................................... 16
5.2 OS Password ..................................................................................... 17
5.3 RADIUS ............................................................................................ 18
5.4 TACACS ........................................................................................... 19
5.5 S/Key................................................................................................. 19
5.6 SecurID ............................................................................................. 21
6. Cấu hình các cơ chế xác thực .................................................................... 21
Phần 2 : Conectivity ................................................................................................. 26
I. Network Address Tranlation ......................................................................... 26
1. Địa Chỉ IP Private Và IP Public ................................................................ 26
2. NAT trong CheckPoint Security Gateway ................................................. 27
2.1 Static NAT ........................................................................................ 27
2.2 Hide NAT .......................................................................................... 28
2.2.1 Automactic Hide NAT và Static NAT trên CheckPoint Firewall .... 30
Khoa Khoa Học Và Công Nghệ Trang ii
- Tìm hiểu Firewall trên Checkpoint
2.2.2 NAT Table Expiration trong Hide NAT ......................................... 30
2.3 NAT Rule Base ................................................................................. 31
2.4 Destination NAT và vấn đề routing ................................................... 32
2.4.1 Static Destination NAT on Server Side .......................................... 33
2.4.2 Static Destination NAT on Client Side .......................................... 34
2.5 Automatic Và Manual ARP Proxy .................................................... 34
3. Cấu hình NAT trên Check Point Security Gateway ................................... 36
3.1 Cấu hình Global NAT ........................................................................ 36
3.2 Cấu hình Automactic NAT ................................................................ 38
3.2.1 Automatic NAT cho Node Object .................................................. 38
3.2.2 Automatic NAT cho một Network ................................................. 39
3.2.3 Sử dụng chức năng Hide behind Gateway trong chức năng
Automatic Hide NAT ................................................................................ 41
3.2.4 Cấu hình NAT cho Address Range Object ..................................... 42
3.3 Cấu hình Manual NAT ...................................................................... 44
3.3.1 Cấu hình host route ........................................................................ 44
3.3.2 Cấu hình Proxy ARP ...................................................................... 45
3.3.3 Tạo Object cho Manual NAT rule .................................................. 46
3.3.4 Tạo Manual NAT Rule................................................................... 46
II. ISP Redundancy............................................................................................ 48
1. Tổng quan ISP Rundundancy .................................................................... 49
2. Các chế động hoạt động của ISP Redundancy ........................................... 49
3. Cách hoạt động của ISP Redundancy ........................................................ 50
3.1 Kết nối từ trong firewall ra internet.................................................... 50
3.2 Kết nối từ phía ngoài internet vào bên trong mạng ............................. 50
4. Đổi trạng thái link theo yêu cầu và ISP redundancy script ......................... 52
5. Triển khai ISP Redundancy ....................................................................... 52
6. Cấu hình ISP Redundancy......................................................................... 53
6.1 Domain và Địa chỉ IP ........................................................................ 53
6.2 Cấu hình Built-in mini DNS cho kết nối vào firewall ......................... 54
6.3 Cấu hình ISP Redundancy ................................................................. 55
Khoa Khoa Học Và Công Nghệ Trang iii
- Tìm hiểu Firewall trên Checkpoint
III. ConnectControl – Server Load Balancing ................................................. 56
1. Tổng quan về ConnectControl................................................................... 56
2. Các phương pháp dùng để cân bằng tải ..................................................... 57
3. Cách hoạt động của ConnectControl ......................................................... 58
3.1 Packet Flow ....................................................................................... 58
3.2 Các loại logical server ....................................................................... 58
3.2.1 HTTP logical server ....................................................................... 59
3.2.2 Logical server dành cho các dịch vụ khác ...................................... 60
4. Persistent server mode............................................................................... 60
4.1 Persistent by server ............................................................................ 60
4.2 Persistent by service .......................................................................... 61
4.3 Persistent server timeout .................................................................... 61
4.4 Server Availability............................................................................. 61
5. Cấu hình ConnectControl .......................................................................... 62
IV. Brigde Mode ............................................................................................. 63
1. Tổng quan brigde mode............................................................................. 63
2. Cấu hình.................................................................................................... 64
3. Xem Interface được Brigde bằng Command Line...................................... 65
Phần 3 : CoreXL ....................................................................................................... 66
1. Tổng quan về CoreXL............................................................................... 66
1.1 Tổng quan về phân phối các vi xử lý.................................................. 66
1.2 Cấu hình mặc định của CoreXL ......................................................... 67
1.3 Xem cấu hình mặc định của CoreXL ................................................. 68
2. Phân phối lại các vi xử lý .......................................................................... 68
2.1 Phân phối thêm một vi xử lý cho SND ............................................... 68
2.2 Giảm số lượng instance ..................................................................... 69
2.3 Phân phối vi xử lý còn lại cho SND ................................................... 70
2.3.1 Trong trường hợp có Performance Pack ......................................... 70
2.3.2 Trong trường hợp không có Performance Pack .............................. 70
3. Phân phối vi xử lý cho việc ghi log ........................................................... 72
4. fw affinity Script ....................................................................................... 73
Khoa Khoa Học Và Công Nghệ Trang iv
- Tìm hiểu Firewall trên Checkpoint
Phần 4: Intrusion Prevention System – IPS ............................................................... 74
1. Tổng quan về IPS trong Firewall Check Point ........................................... 74
2. Phương thức hoạt động của Check Point IPS............................................. 74
3. Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS ............. 75
3.1 Port scan ............................................................................................ 75
3.2 DOS (Denial of Services) .................................................................. 78
Phần 5 : Giải pháp cho trường Đại học Hoa Sen ....................................................... 84
Khoa Khoa Học Và Công Nghệ Trang v
- Tìm hiểu Firewall trên Checkpoint
Phần 1: Network Access
I. Access Control
1. Sự cần thiết của Access Control
Tài nguyên của hệ thống mạng có thể có rất nhiều thành phần bên trong nó bao gồm
networks, hosts, network services và các protocol. Từ đó đặt ra vấn đề về sự cần thiết
phải có một công cụ để người quản trị mạng có thể kiểm soát sự truy cập vào nguồn
tài nguyên của hệ thống. Access Control chỉ ra vùng nào có thể truy cập cũng như
phân quyền cho người truy cập như thế nào trên vùng tài nguyên đó. Đồng thời,
Access Control còn có thể xác thực người dùng nhằm kiểm soát việc ai quyền truy
cập.
2. Tổng quan về Access Control của Check Point Firewall
Check Point Security Gateway thường được đặt ở khu vực biên của hệ thống cần bảo
vệ nhằm theo dõi và quản lý chặt chẽ mọi luồng dữ liệu đi ra và vào mạng. Người
quản trị hệ thống có nhiệm vụ đặt ra những chính sách bảo mật để bảo vệ an toàn cho
hệ thống cũng như quản lý sự truy cập trong mạng. Chính sách bảo mật được triển
khai bằng tập hợp có thứ tự những quy tắc (rules) trong Security Rule Base, một chính
sách tốt là cơ sở tất yếu cho một hệ thống an toàn.
Nguyên lý cơ bản của Rule Base là tất cả những hành động không được cho phép sẽ bị
chặn. Rule Base là tập hợp những quy tắc (rules) định ra luồng dữ liệu nào được phép
đi qua và luồng dữ liệu nào bị cấm.
3. Các thành phần của Rule
Source và Destination: chỉ ra nơi xuất phát và nơi đến của luồng dữ liệu, một khi kết
nối đã được cho phép thì các gói tin trong kết nối đó sẽ được cho qua ở cả hai hướng
đi và về.
Khoa Khoa Học Và Công Nghệ Trang 6
- Tìm hiểu Firewall trên Checkpoint
VPN: chỉ định Rule được áp dụng cho mọi kết nối hay chỉ dành riêng cho kết nối
VPN.
Service: định ra giao thức, dịch vụ hay ứng dụng cần quản lý thông qua Rule.
Action: hành động định ra cho kết nối được đề cập đến thông qua Rule.
Track: những tùy chọn về việc ghi nhận lại hoạt động của Rule
Install On: đây là một chức năng nhằm tạo sự thuận lợi trong việc quản lý của
người quản trị. Thành phần này chỉ ra nơi người quản trị cần triển khai Rule
vừa tạo ra, có thể chỉ trên một Firewall riêng biệt hay tất cả Firewall của hệ
thống.
Time: định ra thời gian có hiệu lực của Rule.
Ngoài những Rule được tạo bởi người quản trị, Security Gateway cũng tạo ra những
Rule mặc định. Rule mặc định thường được dành cho những kết nối từ Security
Gateway cho các dịch vụ điều khiển, cấu hình.
4. Công dụng đặc biệt của Access Control
Chống giả mạo địa chỉ: giả mạo địa chỉ là hiện tượng người tấn công thay đổi địa chỉ
IP của gói tin nhằm mục đích xâm nhập trái phép vào bên trong hệ thống. Cơ chế
chống giả mạo địa chỉ bảo đảm các gói tin có nguồn và đích đến đúng với mỗi cổng
trên Security Gateway. Một ví dụ về giả mạo địa chỉ đó là người tấn công từ ngoài
Internet, tức là cổng external của Gateway gửi vào một gói tin có địa chỉ là địa chỉ bên
trong mạng nội bộ thì cơ chế chống giả địa chỉ sẽ ngay lập tức chặn gói tin vì nó
không xuất phát từ cổng bên trong mà là bên ngoài.
Khoa Khoa Học Và Công Nghệ Trang 7
- Tìm hiểu Firewall trên Checkpoint
5. Cấu hình Access Control
Lab 1: Tạo một Rule trong Firewall Check Point
Bước 1: Vào tab Firewall trong Smart Dashboard, vào menu Rule > Add Rule >
Bottom/Top
Bước 2: Tùy chỉnh các thành phần của Rule để thực hiện mục đích của người quản trị
Lab 2: Cấu hình chống giả mạo địa chỉ cho cổng External của Gateway
Bước 1: Click chuột phải vào Firewall Object > Edit > Topology
Khoa Khoa Học Và Công Nghệ Trang 8
- Tìm hiểu Firewall trên Checkpoint
Bước 2: Edit cổng External, qua tab Topology, check vào ô Perform Anti-Spoofing
based on interface topology
Bước 3: Lưu lại cấu hình.
Khoa Khoa Học Và Công Nghệ Trang 9
- Tìm hiểu Firewall trên Checkpoint
II. Authentication
1. Vai trò của User Authentication
User Authentication đảm bảo việc xác thực người dùng trong các kết nối tới tài
nguyên của hệ thống công ty. Người dùng được cấp quyền truy cập đúng với chức
trách và nhiệm vụ của họ đối với hệ thống mạng.
2. Tổng quan về User Authentication của Check Point Firewall
Check Point Security Gateway xác thực người dùng thông qua nhiều cơ chế xác thực
khác nhau. Đa số các cơ chế xác thực đều dựa trên nguyên tắc yêu cầu cung cấp tên
người dùng và mật khẩu nhưng khác nhau ở vị trí lưu trữ thông tin xác thực, có cơ chế
thông tin được lưu ngay trên Security Gateway trong khi số còn lại lưu thông tin trên
các server chứng thực như RADIUS, TACACS …
3. Các phương thức xác thực của Check Point Firewall
User Authentication: người quản trị có thể cấp quyền cho một cá nhân truy cập khi
người đó ngồi trên bất kỳ một máy tính nào mà không ảnh hưởng đến các người dùng
khác sử dụng cùng máy tính. User Authentication hoạt động trên các giao thức Telnet,
FTP, HTTP và dịch vụ RLOGIN.
Session Authentication: là một phương thức xác thực được dùng cho bất kỳ dịch vụ
nào và phương thức này yêu cầu người dùng cung cấp thông tin xác thực cho một
phiên làm việc. Đối với phương thức xác thực này cần phải có một chương trình cài
riêng trên máy của người dùng, vì thế phương thức xác thực này thường được sử dụng
đối với máy cá nhân tức là chỉ có một user sử dụng máy tính đó.
Client Authentication: phương thức này cho phép nhiều user thực hiện kết nối thông
qua việc xác thực phân quyền cho một địa chỉ IP hay một máy xác định. Ưu điểm
chính của Client Authentication chính là phương thức này có thể được sử dụng cho
việc kết nối không hạn chế và không yêu cầu user phải nhập lại tên và mật khẩu trong
quá trình làm việc. Tương tự như Session Authentication, Client Authentication cũng
được triển khai trên máy đơn.
Khoa Khoa Học Và Công Nghệ Trang 10
- Tìm hiểu Firewall trên Checkpoint
4. Cấu hình phương thức xác thực trong Firewall Check Point
Lab 1: Cấu hình User Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Truy cập Web từ Client
Bước 3: Nhập thông tin xác thực
Khoa Khoa Học Và Công Nghệ Trang 11
- Tìm hiểu Firewall trên Checkpoint
Truy xuất trang Web www.google.com.vn thành công
Lab 2: Cấu hình Client Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Tùy chỉnh Client Authentication
Khoa Khoa Học Và Công Nghệ Trang 12
- Tìm hiểu Firewall trên Checkpoint
Bước 3: Từ Client truy cập vào địa chỉ http://[IPfwCP]:900
Bước 4: Nhập thông tin xác thực
Từ bây giờ có thể truy xuất Web không cần đăng nhập lại
Khoa Khoa Học Và Công Nghệ Trang 13
- Tìm hiểu Firewall trên Checkpoint
Lab 3: Cấu hình Session Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Tùy chỉnh Session Authentication
Bước 3: Cài đặt Client Session Agent ở máy Client
Khoa Khoa Học Và Công Nghệ Trang 14
- Tìm hiểu Firewall trên Checkpoint
Bước 4: Từ máy Client truy cập Web
Nhập thông tin xác thực và người dùng sẽ truy cập thành công website
5. Các cơ chế xác thực sử dụng trên Firewall Check Point
Cơ chế xác thực định nghĩa loại cơ sở dữ liệu xác thực cũng như giao thức cần để kết
nối với cơ sở dữ liệu. Sau đây là những cơ chế có hỗ trợ trong Firewall Check Point.
VPN-1 & Firewall-1 Password
OS Password
RADIUS
Khoa Khoa Học Và Công Nghệ Trang 15
- Tìm hiểu Firewall trên Checkpoint
TACACS
S/Key
SecurID
Trong danh sách nêu trên chỉ có VPN-1 & Firewall-1 Password và S/Key là có cơ sở
dữ liệu xác thực nằm trên Security Gateway, còn lại các cơ chế khác đều có cơ sở dữ
liệu nằm bên ngoài.
5.1 VPN-1 & Firewall-1 Password
Đây là cơ chế xác thực do chính Firewall Check Point cung cấp. Cơ chế này xác thực
user dựa trên chính cơ sở dữ liệu được tạo ra trên Security Gateway. Chiều dài tên
user lên đến 100 ký tự số và chữ và mật khẩu phải có chiều dài nằm trong khoảng 4
tới 8 ký tự.
Khoa Khoa Học Và Công Nghệ Trang 16
- Tìm hiểu Firewall trên Checkpoint
Hình minh họa trên cho thấy cơ sở dữ liệu xác thực user không chỉ nằm trên
Management Server mà mỗi Module của hệ thống đều có lưu một bản sao của cơ sở
dữ liệu đó và có khả năng tự xác thực user mà không cần chuyển yêu cầu xác thực cho
cơ sở dữ liệu chính. Điều này giúp tăng hiệu suất hoạt động của hệ thống khi xác thực
user.
5.2 OS Password
Cơ chế xác thực thông qua OS Password cho phép các Module xác thực sử dụng chính
cơ sở dữ liệu xác thực của hệ điều hành để xác thực cho user. Một ví dụ đó là Module
xác thực sẽ lấy dữ liệu về user thông qua Security Account Management (SAM) nếu
Module đó đang hoạt động trên hệ điều hành Window Server.
Ta có thể nhận thấy cơ sở dữ liệu chính trên Management Server vẫn có lưu thông tin
về user và được chuyển cho các Module xác thực nhưng phần Password không xuất
hiện trên Management Server mà chỉ đề cập tới cơ chế được sử dụng là OS Password.
Thông qua việc xác định cơ chế xác thực là OS Password thì khi một user kết nối và
đưa ra một user name trùng với user name có cơ chế OS Password thì các Module xác
thực sẽ chuyển user name và password của user đó cho hệ điều hành để xác thực dự
Khoa Khoa Học Và Công Nghệ Trang 17
- Tìm hiểu Firewall trên Checkpoint
trên cơ sở dữ liệu của chính nó. Cơ chế này không được khuyến khích sử dụng vì hai
nguyên nhân:
Cơ sở dữ liệu xác thực user nằm trên hệ điều hành nên có thể được sử dụng để kết nối
thẳng vào Module xác thực gây nguy hiểm cho hoạt động của hệ thống.
Một hệ thống có thể có nhiều Module xác thực và nếu ta sử dụng cơ chế OS Password
thì phải đảm bảo dữ liệu user trên các Module đều phải đồng bộ, điều đó sẽ gây khó
khăn trong việc cấu hình cơ sở dữ liệu.
5.3 RADIUS
RADIUS là một cơ chế xác thực tập trung với cơ sở dữ liệu không nằm trên các
Module xác thực mà nằm trên một Module riêng biệt (RADIUS Server). Ưu điểm
chính của cơ chế RADIUS chính là xác thực tập trung khi hệ thống có nhiều Module
xác thực, tức là người quản trị chỉ cần cấu hình cơ sở dữ liệu user trên RADIUS
Server và các Module xác thực sẽ xác thực user dựa trên RADIUS Server.
Tương tự như OS Password, dữ liệu user vẫn xuất hiện trên cơ sở dữ liệu chính trên
Management Server nhưng không có Password và chỉ đề cập đến cơ chế xác thực là
Khoa Khoa Học Và Công Nghệ Trang 18
- Tìm hiểu Firewall trên Checkpoint
RADIUS. Khi một user kết nối với user name trùng với user name có cơ chế xác thực
là RADIUS thì các Module xác thực sẽ chuyển user name và password cho RADIUS
Server thông qua các giao thức được định nghĩa trước và có sử dụng Shared Secret
Key để bảo vệ thông tin chuyển qua.
5.4 TACACS
Về cách xác thực user bằng cơ chế TACACS thì hoàn toàn tương tự với cơ chế
RADIUS như hình minh họa đã thể hiện. TACACS và RADIUS đều nằm trong dịch
vu AAA (Authentication Authorization Accounting) nhưng TACACS, ngoài khả năng
xác thực tập trung, còn có thể quản lý và phân quyền trên những câu lệnh mà người
dùng cấu hình các Server đầu cuối như kết nối Telnet đến các router Cisco.
5.5 S/Key
S/Key là một cơ chế xác thực One-Time Password (OTP) tức là user sẽ sử dụng
password khác nhau cho mỗi lần xác thực. OTP đảm bảo an toàn cho việc chuyển dữ
liệu trong qua trình xác thực đặc biệt là trong những môi trường broadcast và thông tin
Khoa Khoa Học Và Công Nghệ Trang 19
nguon tai.lieu . vn
