Nghiên cứu triển khai nokia firewall

Tài liệu tham khảo công nghệ thông tin Nghiên cứu triển khai nokia firewall

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Vũ Hồng Phong

NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công Nghệ Thông Tin

HÀ NỘI - 2009

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Vũ Hồng Phong

NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công Nghệ Thông Tin

Cán bộ hướng dẫn: ThS Đoàn Minh Phương

Cán bộ đồng hướng dẫn: ThS Nguyễn Nam Hải

HÀ NỘI - 2009

LỜI CẢM ƠN

Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới ThS Nguyễn Nam Hải và ThS Đoàn Minh Phương Hai thầy đã giúp đỡ em lựa chọn đề tài đồng thời trực tiếp hướng dẫn và đưa ra những nhận xét quý giá trong suốt quá trình em thực hiện khóa luận này

Em cũng xin gửi lời cảm ơn tới các thầy trong Trung Tâm Máy Tính – Đại học Công Nghệ - ĐHQGHN đã hết sức tạo điều kiện để em nghiên cứu và hoàn thành khóa luận

Em xin được cảm ơn các thầy, các cô trong trường Đại học Công Nghệ, trong suốt bốn năm qua đã giảng dạy chúng em Những kiến thức các thầy, các cô cung cấp sẽ là hành trang vững chắc để em tiến bước trong tương lai

Trong quá trình học tập, em đã nhận được rất nhiều sự giúp đỡ, động viên từ các bạn trong lớp K50CA, K50MMT Em xin được gửi lời cảm ơn tất cả các bạn

Cuối cùng, em xin gửi lời cảm ơn sâu sắc nhất tới bố mẹ và gia đình em Những người luôn luôn cổ vũ, khích lệ và mang tới cho em những điều tốt đẹp nhất trong cuộc sống

TÓM TẮT NỘI DUNG

Phần mở đầu của Khóa luận sẽ đặt ra các vấn đề làm cơ sở cho việc thực hiện Khóa luận Các vấn đề được đặt ra dựa trên việc khảo sát thực tế hiện trạng hệ thống mạng trường Đại học Công Nghệ (xem chi tiết trong phụ lục B)

Tiếp đó, Khóa luận sẽ trình bày giải pháp sử dụng Nokia Check Point để nâng cao khả năng an ninh và hoạt động của hệ thống mạng Các phần sau của khóa luận sẽ lần lượt trình bày về phương pháp cài đặt, triển khai thiết bị Nokia IP1220 Đầu tiên là tìm hiểu về HĐH IPSO sử dụng trên Nokia IP1220, các bước cài đặt, cấu hình HĐH IPSO Tiếp đó là phần giới thiệu và cách cài đặt ứng dụng Firewall-1/VPN-1 Sau đó là cách cấu hình tường lửa, thiết lập các chính sách an ninh, cấu hình NAT, Routing , cấu hình mạng riêng ảo VPN tích hợp với máy chủ LDAP Trước mỗi phần đều có nêu tóm tắt các kiến thức cơ bản được sử dụng

Phần kết luận sẽ nêu lên kết quả triển khai thành công Nokia Check Point trên hệ thống mạng thực tế của trường Đại học Công Nghệ và các phương hướng, bổ sung cần thực hiện trong tương lai

MỤC LỤC

BẢNG VIẾT TẮT 7

.7

DANH SÁCH HÌNH VẼ 8

DANH SÁCH BẢNG 11

ĐẶT VẤN ĐỀ 12

CHƯƠNG 1 GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 14

1.1 Giải pháp Nokia Check Point 14

1.2 Tổng quan Nokia Check Point [4] 14

1.2.1 Hệ điều hành IPSO 15

1.2.2 Cài đặt HĐH IPSO và cấu hình ban đầu 15

1.2.2.1 Boot Manager 16

1.2.2.2 Cài đặt IPSO 17

1.2.2.3 Cài đặt ban đầu 20

CHƯƠNG 2 CÀI ĐẶT CHECK POINT NGX R62 [6] 23

2.1 Giới thiệu 23

2.2 Cài đặt package 23

2.2.1 Cài đặt gói wrapper 24

2.2.1.1 Cài đặt với CLI 24

2.2.1.2 Cài đặt với Nokia Network Voyager 24

2.2.2 Cài đặt SmartConsole NGX R62 25

CHƯƠNG 3 THIẾT LẬP CẤU HÌNH TƯỜNG LỬA 26

3.1 Thiết lập cấu hình ban đầu 26

3.2 Chính sách tường lửa mặc định 28

3.3 Thiết lập các luật tường lửa qua SmartDashboard 30

CHƯƠNG 4 THIẾT LẬP CẤU HÌNH NAT 33

4.1 Ẩn giấu đối tượng mạng 33

4.2 Cấu hình luật NAT 34

CHƯƠNG 5 CẤU HÌNH SMARTDEFENSE [3] 36

5.1 Giới thiệu về SmartDefense 36

5.2 Network Security 37

5.2.1 Denial of Service 37

5.2.2 IP and ICMP 37

5.2.3 TCP 38

5.2.4 Fingerprint Scrambling 39

5.2.5 Successive Events 39

5.2.6 Dynamic Ports 39

5.3 Application Intelligence 40

5.3.1 HTTP Worm Catcher 40

5.3.2 Cross-Site Scripting 41

5.3.3 HTTP Protocol Inspection 41

5.3.4 File and Print Sharing Worm Catcher 43

CHƯƠNG 6 THIẾT LẬP CẤU HÌNH VPN 44

6.1 Tổng quan về VPN 44

6.2 Giải pháp VPN Check Point cho truy cập từ xa 44

6.2.1 Cấu hình Office Mode sử dụng IP Pool 44

6.2.2 Truy cập VPN từ xa sử dụng SecuRemote/SecureClient 50

CHƯƠNG 7 CẤU HÌNH VPN TÍCH HỢP LDAP 55

7.1 Giới thiệu sơ lược về LDAP 55

7.2 Cấu hình VPN tích hợp LDAP [6] 57

7.2.1 Cấu hình máy chủ LDAP 57

7.2.2 Cài đặt và cấu hình VPN-1 58

7.2.2.1 Kích hoạt SmartDirectory trong Global Properties 58

7.2.2.2 Tạo một host object cho OpenLDAP server 58

7.2.2.3 Tạo một LDAP Account Unit 59

7.2.2.4 Tạo LDAP group 60

CHƯƠNG 8 TRIỂN KHAI THỰC TẾ 61

8.1 Phân tích và giải pháp 61

8.2 Cài đặt 63

8.2.1 Lắp đặt và cài đặt ban dầu 63

8.2.2 Thiết lập cấu hình 66

8.3 Giám sát và quản lý 81

KẾT LUẬN 87

PHỤ LỤC 88

Phụ lục A fw1ng.schema 88

Phụ lục B: Hiện trạng mạng VNUNet [3] 91

TÀI LIỆU THAM KHẢO 98

BẢNG VIẾT TẮT

DANH SÁCH HÌNH VẼ

Hình 1 Nokia IP1220 Platform 14

Hình 2 SmartDashboard – Security 30

Hình 3 Thực thi cài đặt 31

Hình 4 SmartDashboard – Address Translation 33

Hình 5 Cấu hình luật NAT tự động 34

Hình 6 Các luật NAT 35

Hình 7 Global Properties - NAT 35

Hình 8 Network Quota 38

Hình 9 Dynamic Ports 40

Hình 10 General HTTP Worm Catcher 41

Hình 11 HTTP Protocol Inspection 42

Hình 12 File and Print Sharing 43

Hình 13 Check Point Gateway – General Properties 45

Hình 14 Tạo Network Object 46

Hình 15 Cấu hình Office Mode 47

Hình 16 Tạo User 48

Hình 17 Remote Access Community Properties 49

Hình 18 Remote Access Rule 49

Hình 19 Server Address 51

Hình 20 Authentication Method 51

Hình 21 Connectivity Settings 52

Hình 22 Advanced Settings 52

Hình 23 Validate Site 53

Hình 24 Giao diện kết nối SecureClient 53

Hình 25 Tạo Profile 54

Hình 26 Hoạt động của giao thức LDAP 55

Hình 27 Entry 55

Hình 28 Kích hoạt Smart Directory 58

Hình 29 LDAP Server Properties 59

Hình 30 Mô hình mạng cũ 61

Hình 31 Mô hình mạng mới 62

Hình 32 Thông tin về hệ điều hành và các gói kích hoạt 64

Hình 33 Cấu hình các cổng của thiết bị 65

Hình 34 Đặt gateway 65

Hình 35 Cấu hình Host Name, SNMP 66

Hình 36 Smartmap 66

Hình 37 General Properties 67

Hình 38 Topology 68

Hình 39 Các luật tường lửa 69

Hình 40 Protection Overview 70

Hình 41 Remote Access 70

Hình 42 Remote Access Community Properties 71

Hình 43 VPN Basic 72

Hình 44 VPN - IKE 72

Hình 45 VPN – IPSEC 73

Hình 46 VPN NAT 73

Hình 47 Tạo Host Node 74

Hình 48 Thẻ General 74

Hình 49 LDAP Server Properties 75

Hình 50 Thẻ Server 75

Hình 51 Thẻ Object Management 76

Hình 52 Hiển thị tài khoản LDAP 76

Hình 53 LDAP Group 77

Hình 54 Luật Remote Access 77

Hình 55 Chọn Visitor Mode 78

Hình 56 Màn hình đăng nhập 79

Hình 57 Thiết lập kết nối 79

Hình 58 Xác thực tài khoản 79

Hình 59 Kết nối thành công 80

Hình 60 Kiểm tra địa chỉ 80

Hình 61 Kiểm tra bảng định tuyến 81

Hình 62 SmartView Tracker - Log 82

Hình 63 Record Detail 82

Hình 64 SmartView Tracker – Active 83

Hình 65 SmartView Tracker - Audit 84

Hình 66 SmartView Monitor 85

Hình 67 SmartView Monitor - System 86

Hình 68 SmartView Monitor – Remote User 86

Hình 69 Mô hình logic hệ thống mạng VNUnet……… 69

Hình 70 Mô hình logic hệ thống mạng CTnet……… 94

DANH SÁCH BẢNG

Bảng 1 Các tham biến của Boot Manager 16 Bảng 2 Các bộ lọc mặc định 29

Sự ổn định, an toàn, an ninh của VNunet chịu ảnh hưởng trực tiếp từ các mạng thành viên Hiệu quả khai thác cài tài nguyên, dịch vụ của VNUnet cũng được xác định

từ chính những người dùng cuối trong các mạng thành viên

Hệ thống mạng hiện tại mới chỉ chủ yếu cung cấp tạm thời các đường truyền theo

mô hình mạng phẳng, không phân cấp, không có các giải pháp đảm bảo an ninh và quản trị và chỉ có thể cung cấp một số dịch vụ mạng hiệu quả hạn chế, không thể đáp ứng nhu cầu nghiên cứu, đào tạo hiện tại của Trường

Kế hoạch chiến lược phát triển của ĐHQGHN là phấn đấu đến năm 2020 trở thành đại học theo định hướng nghiên cứu, đa ngành đa lĩnh vực ngang tầm các đại học tiên tiến trong khu vực Châu Á; một số lĩnh vực và nhiều ngành, chuyên ngành đạt trình độ quốc tế

Trong giai đoạn phát triển mới ĐHQGHN đã xác định ưu tiên đầu tư phát triển VNUnet hiện đại, đồng bộ, đi trước một bước, với vai trò là một trong những công cụ

hỗ trợ công nghệ cao, phục vụ mục tiêu phát triển ĐHQGHN đạt tầm các đại học tiên tiến trong khu vực châu Á, trong tất cả các phạm vi hoạt động quản lý, nghiên cứu khoa học và đào tạo

Để khắc phục các hạn chế của hệ thống mạng hiện tại và đáp ứng mục tiêu phát triển hệ thống mạng VNUnet, đề án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển Hai trong số các mục tiêu đó là:

- Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động thông suốt, ổn định, hiệu quả

- Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy cập trái phép.

Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết Trong đó công việc quản trị

và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng đầu

Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển Đại học quốc gia

Hà Nội

CHƯƠNG 1 GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT

VÀ HỆ ĐIỀU HÀNH IPSO 1.1 Giải pháp Nokia Check Point

Hình 1 Nokia IP1220 Platform

Nokia IP1220 là một trong một loạt sản phẩm Nokia IP, dòng thiết bị phần cứng chuyên cung cấp các giải pháp mạnh mẽ và chuyên dụng về tường lửa/VPN cũng như tích hợp được rất nhiều tính năng được kỳ vọng khác

Nokia IP1220 giống như một tấm lá chắn bảo vệ hệ thống mạng bên trong, ngăn chặn các lưu thông bất hợp pháp vào bên trong mạng, kiểm soát tất cả các gói tin đi qua, thiết lập các chính sách phù hợp với yêu cầu đối với tất cả các đối tượng cả bên trong và bên ngoài mạng Thiết bị sẽ đóng vai trò lớp rào cản ban đầu vững chắc cho các hệ thống quan trọng như hệ thống Server, Data Center Ngoài ra nó còn có thể đóng vai trò của một VPN gateway, cung cấp giải pháp mạng riêng ảo cho mạng, có khả năng tích hợp với các hệ thống cung cấp dịch vụ thư mục để quản lý các tài khoản người dùng Trong bối cảnh hệ thống mạng hiện tại của trường Đại học Công Nghệ chưa có một thiết bị tường lửa và VPN thực sự chuyên dụng thì Nokia IP1220 là một sự bổ sung rất chính xác và hợp lý

1.2 Tổng quan Nokia Check Point [4]

Hệ điều hành dùng trong các sản phẩm Nokia IP có tên gọi là IPSO

1.2.1 Hệ điều hành IPSO

Hệ điều hành IPSO là lõi của nền tảng Nokia IP Security Nó là một hệ điều hành bảo mật và thu gọn dựa trên nền tảng UNIX có thể chạy hiệu quả trên các thiết bị phần cứng nhỏ hơn IPSO ban đầu là một nhánh của hệ điều hành FreeBSD 2.2.6 và đã được thay đổi đáng kể qua nhiều năm nên có thể xem nó như một họ hàng xa của FreeBSD

Và dần dần, nó trở thành hệ điều hành thích ứng với các ứng dụng như bộ sản phẩm Check Point VPN-1/Firewall-1 và phần mềm ISS RealSecure Network Intrusion Detection Sensor

Nhiều câu lệnh UNIX vẫn hoạt động bình thường trong giao diện dòng lệnh (CLI) của IPSO Tuy nhiên chỉ có rất ít các thao tác quản trị sử dụng bộ lệnh UNIX chuẩn Thay vào đó, IPSO cung cấp hai tiện ích biên soạn dòng lệnh mạnh mẽ là ipsctl và Command Line Interface Shell (CLISH) Lệnh ipsctl được sử dụng như một công cụ xử

lý sự cố, còn CLISH được dùng để cấu hình tất cả các thiết lập cho HĐH IPSO

Mặc dù có thể cấu hình IPSO trực tiếp từ CLI, nhưng giống như hầu hết các hệ điều hành mạng khác, người dùng cũng được cung cấp một lựa chọn khác đó là cấu hình qua giao diện web Nokia Network Voyager cho phép cấu hình thiết bị Nokia IP qua trình duyệt web Nokia Network Voyager có thể dùng để cài đặt và theo dõi trong suốt quá trình hoạt động của thiết bị

Để thiết lập cấu hình cho IPSO, người dùng có thể truy cập trực tiếp tới thiết bị qua cổng Console Ngoài ra, người dùng có thể truy cập từ xa tới thiết bị bằng cách sử dụng Telnet, FTP, SSH hoặc HTTP/HTTPS

1.2.2 Cài đặt HĐH IPSO và cấu hình ban đầu

Kết nối tới cổng Console của thiết bị Có thể sử dụng một số phần mềm terminal emulator như HyperTerminal, SecureCRT… Thiết lập cấu hình cho terminal emulator như sau:

1.2.2.1 Boot Manager

Chương trình Boot Manager chạy khi hệ thống khởi động, trước khi nhân IPSO được đưa vào bộ nhớ Boot Manager được đặt ở trong đĩa cứng hoặc bộ nhớ flash tùy theo từng phiên bản của thiết bị Nếu không bị ngắt, Boot Manager sẽ khởi động hệ thống với nhân mặc định, còn nếu bị ngắt thì giao diện dòng lệnh sẽ được hiển thị Chế

độ này thường dùng cho mục đích quản trị: bảo trì hệ thống hoặc cài đặt lại các hệ điều hành

Để khởi động chương trình Boot Manager trước hết phải khởi động thiết bị Sau khi hoàn thành quá trình kiểm tra bộ nhớ, thiết bị sẽ hiển thị ra hai lựa chọn, một là Boot Manager (1 Bootmgr) và hai là IPSO (2 IPSO) Lựa chọn 2 để bắt đầu khởi động vào hệ điều hành IPSO Để vào chế độ Boot Manager sử dụng lựa chọn 1

1 Bootmgr

2 IPSO

Default: 1

Starting bootmgr

Loading boot manager

Boot manager loaded.

Entering autoboot mode.

Type any character to enter command mode.

-s

Chế độ đơn người dùng Có thể yêu cầu mật khẩu admin nếu đánh dấu “insecure” trong /etc/ttys

N/A

Chú ý: Nếu chọn No cho tùy chọn autoboot, thiết bị sẽ không hiển thị menu nhắc truy

cập vào Boot Manager trong khi khởi động Trong trường hợp đó, cần vào lệnh boot từ kết nối console và khởi động thiết bị

Các lệnh sử dụng trong chế độ Boot Manager:

- printenv: in tất cả các biến và giá trị của nó lên màn hình.

- showalias: hiển thị tất cả các alias trong bộ nhớ.

- sysinfo: hiển thị CPU, bộ nhớ và thông tin thiết bị.

- ls: hiển thị nội dung của một thư mục đưa ra bởi đường dẫn trên thiết bị Ví dụ:

ls wdo /image/current hiển thị nội dung của thư mục hoạt động hiện tại

- setenv: sử dụng để thiết lập biến môi trường Cú pháp là setenv tên giá trị Ví

dụ: setenv bootwait 10

- unsetenv: ngược lại của setenv.

- set-default: gán giá trị mặc định cho tất cả các biến môi trường.

- setalias: thiết lập các alias, cú pháp là setalias <Tên thiết bị>.

- showalias: hiển thị danh sách các alias hiện tại đã định nghĩa.

- unsetalias: hủy bỏ alias.

- halt: tạm dừng hệ thống, đây là cách an toàn nhất để tắt thiết bị Nokia.

- help: hiển thị trợ giúp cho các lệnh trong Boot Manager.

- boot: khởi động hệ thống bằng tay Cho phép chỉ định khởi động từ thiết bị

nào, với một image nhân cụ thể, sử dụng các cờ nhân Lệnh này được sử dụng

để khôi phục lại hệ thống khi bị lỗi

- install: chạy tiến trình cài đặt.

- passwd:thiết lập mật khẩu cài đặt (khi chạy lệnh install).

1.2.2.2 Cài đặt IPSO

Các bước cấu hình gồm:

- Khởi động thiết bị và vào chế độ Boot Manager

- Khởi động tiến trình cài đặt

- Lựa chọn các câu trả lời khi được hỏi

- Khởi động lại thiết bị khi việc cài đặt ban đầu hoàn tất

- Tiếp tục với cấu hình ban đầu của thiết bị

Khởi động thiết bị để vào chế độ Boot Manager bằng cách sử dụng tùy chọn 1 (như hướng dẫn trong phần Boot Manager)

Để khởi động tiến trình cài đặt, tại dấu nhắc BOOTMGR[1]> gõ lệnh install

BOOTMGR[1]> install

Một cảnh báo hiện ra cho biết người dùng sẽ phải nhập các thông tin như địa chỉ

IP máy khách, netmask, số serial hệ thống… trong suốt quá trình cài đặt và nếu tiếp tục cài đặt tất cả các tệp và dữ liệu tồn tại trên đĩa sẽ bị xóa Để tiếp tục, nhập vào lựa chọn y

################### IPSO Full Installation #################### You will need to supply the following information:

Client IP address/netmask, FTP server IP address and flename, system serial number, and other license information.

This process will DESTROY any existing fles and data on your disk.

################################################################# Continue? (y/n) [n] y

Bước tiếp theo là nhập số serial của thiết bị Số serial thường được ghi ở phía sau của thiết bị

Motherboard serial number is NONE.

The chassis serial number can be found on a

sticker on the back of the unit with the letters

S/N in front of the serial number.

Please enter the serial number: 12345678

Please answer the following licensing questions.

Người dùng được hỏi là có sử dụng các giao thức định tuyến IRGP và BGP không

Để sử dụng các giao thức này cần phải mua licence Việc lựa chọn hay không là tùy thuộc vào từng yêu cầu cụ thể

Will this node be using IGRP ? [y] n

Will this node be using BGP ? [y] n

Để cài đặt, thiết bị phải tải image của IPSO từ một máy chủ FPT Tùy vào cấu hình của máy chủ FPT người dùng có thể chọn cài đặt từ một máy chủ anonymous FTP, hoặc từ một máy chủ FPT yêu cầu username và password Tiếp đó người dùng phải nhập địa chỉ ip cho thiết bị Nokia IP, địa chỉ IP của máy chủ FTP, và nhập default gateway cho thiết bị

1 Install from anonymous FTP server.

2 Install from FTP server with user and password.

Choose an installation method (1-2): 1

Enter IP address of this client (10.3.2.5/24): 192.168.200.10/24 Enter IP address of FTP server (0.0.0.0): 192.168.200.50

Enter IP address of the default gateway (0.0.0.0): 192.168.200.1

Sau đó, chọn cổng và nhập địa chỉ ip, subnet mask cho cổng sử dụng để kết nối với máy chủ FTP

Choose an interface from the following list:

Half or full duplex? [h/f] [h] f

Sau khi cấu hình cổng xong, người dùng phải cung cấp đường dẫn và tên của gói cài đặt IPSO trên máy chủ FTP Nhập kí tự / nếu gói nằm tại thư mục gốc

Enter path to ipso image on FTP server [/]: /

Enter ipso image flename on FTP server [ipso.tgz]: ipso.tgz

Hệ thống sẽ hỏi người dùng có muốn nhận thêm các gói khác trên máy chủ FTP không, và lựa chọn cách thức nhận các gói Nếu chỉ cần cài đặt IPSO thì sử dụng lựa chọn 3

1 Retrieve all valid packages, with no further prompting.

2 Retrieve packages one-by-one, prompting for each.

Default gateway IP address=192.168.200.1

Network Interface=eth1, speed=100M, full-duplex

Server download path=[//]

Package install type=none

Mirror set creation=no

Are these values correct? [y] y

Nếu thiết bị kết nối thành công đến máy chủ FTP và tìm được gói cài đặt IPSO Các thông báo về trạng thái các bước cài đặt được hiển thị.

Downloading compressed tarfle(s) from 192.168.200.50

Hash mark printing on (1048576 bytes/hash mark).

Interactive mode off.

100% 36760 KB 00:00 ETA

Checking validity of image .done.

Installing image .done.

Image version tag: IPSO-4.2-BUILD069-10.27.2007-035617-1515.

Checking if bootmgr upgrade is needed .

Need to upgrade bootmgr Proceeding

Upgrading bootmgr .

new bootmgr size is 2097152

old bootmgr size is 1474560

Saving old bootmgr.

Installing new bootmgr.

Verifying installation of bootmgr.

Khi cài đặt xong, hệ thống sẽ gửi thông báo Installation completes cho người dùng, và yêu cầu gõ Enter để khởi động lại thiết bị

Installation completed.

Reset system or hit <Enter> to reboot.

Sau khi cài đặt xong hệ điều hành IPSO, người dùng phải thực hiện một số cấu hình cho lần khởi động đầu tiên

1.2.2.3 Cài đặt ban đầu

Có thể sử dụng DHCP để cung cấp hostname, địa chỉ IP và gateway cho thiết bị Tuy nhiên, người dùng thường sử dụng phương pháp cấu hình bằng tay qua kết nối console Đầu tiên sau khi khởi động lên, màn hình sẽ hiện lên yêu cầu nhập hostname cho thiết bị, và yêu cầu xác nhận lại

Please choose the host name for this system This name will be used in messages and usually corresponds with one of the network hostnames for the system Note that only letters, numbers, dashes, and dots (.) are permitted in a hostname.

Hostname? pint

Hostname set to “pint”, OK? [y] y

Nhập mật khẩu cho tài khoản admin dùng để xác thực khi truy cập vào chế độ CLI hoặc vào giao diện web Nokia Network Voyager

Please enter password for user admin: notpassword

Please re-enter password for confrmation: notpassword

Sau khi cấu hình xong hostname và mật khẩu admin cho thiết bị, người dùng được hỏi là có muốn sử dụng Nokia Network Voyager để cấu hình cho thiết bị hay chỉ sử dụng giao diện dòng lệnh CLI

You can confgure your system in two ways:

1) confgure an interface and use our Web-based Voyager via a remote browser

2) confgure an interface by using the CLI

Please enter a choice [ 1-2, q ]: 1

Chọn cổng sử dụng để cấu hình thiết bị và nhập vào địa chỉ IP, subnet mask cho cổng vừa chọn

Select an interface from the following for confguration:

Enter the IP address to be used for eth4: 192.168.200.10

Enter the masklength: 24

Cấu hình default gateway cho thiết bị

Do you wish to set the default route [ y ] ? y

Enter the default router to use with eth4: 192.168.200.1

Mặc định cổng được cấu hình chế độ full duplex và tốc độ 1000 mbs Hệ thống sẽ hỏi người dùng có muốn giữ cấu hình này hay muốn thay đổi

This interface is configured as 1000 mbs by default.

Do you wish to configure this interface for other speeds [ n ] ? n

Sau đó màn hình sẽ hiển thị lại các cấu hình vừa thiết lập để người dùng kiểm tra

Is this information correct [ y ] ? y

Cũng có thể cấu hình vlan cho cổng đã chọn Thông thường lựa chọn là n

Do you want to configure Vlan for this interface[ n ] ? n

You may now confgure your interfaces with the Web-based Voyager by

typing in the IP address “192.168.200.10” at a remote browser.

Bắt đầu từ thời điểm này, người dùng có thể kết nối tới thiết bị Nokia sử dụng giao diện web Nokia Network Voyager từ trình duyệt

Tùy chọn cuối cùng trong lần cấu hình đầu tiên này đó là thay đổi chuỗi SNMP comminity mặc định Việc thay đổi này tùy thuộc vào yêu cầu thực tế

Do you want to change SNMP Community string [ n ] ? n

Nếu thiết bị được đặt ở xa, người dùng phải sử dụng Telnet hoặc SSH để kết nối đến và cấu hình cho thiết bị Mặc định chỉ có SSH được bật Nếu muốn sử dụng Telnet, người dùng có thể kích hoạt bằng cách thực hiện các lệnh sau (ở giao diện dòng lệnh CLI)

pint[admin]# clish

NokiaIP1220:9> set net-access telnet yes

NokiaIP1220:10> save confg

NokiaIP1220:11> quit

Cũng có thể kích hoạt dịch vụ Telnet dễ dàng bằng cách sử dụng giao diện web Nokia Network Voyager

CHƯƠNG 2 CÀI ĐẶT CHECK POINT NGX R62 [6]

2.1 Giới thiệu

Sau khi cài đặt IPSO cho Nokia IP1220, thiết bị đã có một nền tảng để chạy tường lửa, VPN hay các ứng dụng khác Bước tiếp theo, người dùng phải cài gói ứng dụng tường lửa, VPN lên thiết bị Để làm điều này, có thể sử dụng ứng dụng Check Point NGX R62

Ứng dụng Check Point NGX R62 gồm các sản phẩm quản lý, sản phẩm gateway,

và phần mềm máy khách Trong đó sản phẩm Check Point Power và Check Point UTM

là quan trọng nhất Chúng gồm có ba thành phần chính sau:

- Enforcement module: là các module VPN-1 Power hoặc VPN-1 UTM

- Management server: SmartCenter server lưu giữ cơ sở dữ liệu về các định nghĩa đối tượng, định nghĩa người dùng, các chính sách và các tệp log

- SmartConsole: chứa các ứng dụng GUI để quản lý các khía cạnh khác nhau của chính sách an ninh SmartConsole chứa SmartDashboard, một ứng dụng cho người quản trị dùng để định nghĩa các đối tượng mạng, người dùng và các chính sách

Chúng ta sẽ triển khai SmartCenter server và Enforcement module trên thiết bị còn SmartConsole sẽ được triển khai trên các máy chạy HĐH Microsoft Windows Cách triển khai này được gọi là triển khai độc lập

Để chạy NGX R62, phải có hệ điều hành Nokia IPSO 3.9, 4.1 hoặc 4.2 ( phiên bản HĐH IPSO có thể xem trong Nokia Network Voyager) Người dùng cũng cần kiểm tra xem ứng dụng Check Point đã được cài trên thiết bị chưa (xem trang Manage Packages của Nokia Network Voyager) Nếu đã cài đặt rồi thì có thể chuyển sang phần cấu hình

2.2 Cài đặt package

Trước hết cần tải NGX R62 về từ website Check Point (địa chỉ

http://checkpoint.com) Các gói cài đặt cần tải gồm có:

- R62 wrapper cho Nokia IPSO (IPSO_wrapper_R62.tgz) để cài đặt enforcement module và SmartCenter server

- SmartConsole R62 (SmartConsole_R62_xxxxxxxxx_x_Win.zip)

2.2.1 Cài đặt gói wrapper

Để cài đặt gói wrapper người dùng có thể sử dụng giao diện dòng lệnh CLI hoặc

sử dụng Nokia Network Voyager

2.2.1.1 Cài đặt với CLI

Sao chép gói wrapper vào thư mục /opt/packages (sử dụng lệnh scp hoặc phần mềm WinSCP)

Gõ lệnh newpkg –i Xuất hiện các tùy chọn sau:

1 Install from CD-ROM.

2 Install from anonymous FTP server.

3 Install from FTP server with user and password.

4 Install from local filesystem.

5 Exit new package installation.

Chọn lựa chọn số 4 Hệ thống sẽ hỏi về đường dẫn đến gói Nhập vào /option/packages rồi nhấn Enter Chương trình cài đặt sẽ tìm gói Check Point NGX giải nén các file cần cho quá trình cài đặt Chương trình sẽ đưa ra bốn lựa chọn: cài đặt, nâng cấp, bỏ qua, và thoát Nhập 1 để cài đặt Sau khi cài đặt xong, người dùng phải đăng xuất sau đó đăng nhập lại Việc này để đảm bảo việc thiết lập các biến môi trường vừa được tạo ra trong quá trình cài đặt Sau đó người dùng có thể chạy lệnh cpconfig

2.2.1.2 Cài đặt với Nokia Network Voyager

Mở trang Install Packages theo đường dẫn Configuration | System Configuration | Packages | Install Package

Nhập tên hoặc địa chỉ IP của máy chủ FTP chứa gói wrapper

Nhập tên thư mục chứa gói wrapper trên máy chủ FTP

Nhập tên và mật khẩu để kết nối với máy chủ FTP

Chọn Apply Một danh sách các tệp hiện ra

Chọn gói từ danh sách và nhấn Apply

Sau khi tải xong, gói sẽ xuất hiện trong ô Select a Package to Unpack

Chọn gói rồi nhấn Apply

Nhấn tiếp vào liên kết: Click here to install/upgrade /opt/packages/packagename.Chọn Yes để cài đặt và nhấn Apply

Sau khi cài đặt xong, màn hình sẽ hiện ra liên kết đến trang Manage Installed Packages Nhấn vào liên kết để xem các gói đã cài đặt

Người dùng có thể kích hoạt hoặc vô hiệu hóa một gói bất kỳ trong các gói đã cài đặt bằng cách vào trang Manage Installed Packages, chọn On để kích hoạt, Off để vô hiệu hóa

Chú ý:

Để sử dụng tường lửa, VPN thì gói Check Point VPN-1 Power/UTM phải được kích hoạt (gói này được kích hoạt mặc định sau khi cài đặt)

2.2.2 Cài đặt SmartConsole NGX R62

SmartConsole là một tập hợp các chương trình máy khách Gồm có:

- SmartDashboard: dùng bởi quản trị viên hệ thống để định nghĩa và quản lý các chính sách bảo mật

- SmartView Tracker: sử dụng để quản lý và theo dõi log và alert thông qua hệ thống

- SmartView Moniter: theo dõi và tạo các báo cáo về lưu thông trên các cổng, các module VPN-1 Power và QoS

- SmartUpdate: quản lý và lưu trữ license

- SecureClient Packaging Tool: định nghĩa hồ sơ người dùng cho chương trình SecuRemote/SecureClient

- Eventia Reporter: tạo ra các báo cáo về hoạt động của mạng

- SmartLSM: quản lý số lượng lớn ROBO gateway sử dụng SmartCenter server.SmartConsole được cài đặt trên nền tảng Windows Sau khi tải phần mềm SmartConsole NGX R62 về, người dùng giải nén và chạy tiến trình cài đặt như đối với các phần mềm bình thường khác

CHƯƠNG 3 THIẾT LẬP CẤU HÌNH TƯỜNG LỬA

3.1 Thiết lập cấu hình ban đầu

Trước khi có thể thiết lập cấu hình tường lửa, NAT, VPN…, người dùng cần phải cấu hình module VPN-1 Power hoặc VPN-1 UTM bằng lệnh cpconfig Quá trình cấu hình cpconfig diễn ra như sau

Kết nối qua cổng Console hoặc kết nối từ xa tới thiết bị Gõ lệnh cpconfig Màn hình hiện ra văn bản licence Nhấn phím Spacebar để cuộn màn hình xuống cuối cùng rồi nhập y để tiếp tục

cpngx[admin]# cpconfig

Welcome to Check Point Configuration Program

=========================================================

Please read the following license agreement.

Tiếp theo màn hình hiện ra hai tùy chọn cài đặt Chọn tùy chọn 1 (có thể chọn khác tùy theo yêu cầu người dùng)

(1) Check Point Power.

(2) Check Point UTM.

Enter your selection (1-2/a-abort) [1]: 1

Chọn loại cài đặt là độc lập hay phân tán

Select installation type:

Enter your selection (1-2/a-abort) [1]: 1

Check Point sẽ hỏi người dùng có muốn thêm license không Chọn y để thêm licence, chọn n để tiếp tục cấu hình còn license có thể được thêm vào sau

Bước tiếp theo là thêm một tài khoản quản trị Tài khoản này dùng để đăng nhập vào SmartCenter Server

Do you want to add an administrator (y/n) [y] ?

Administrator name: peter

Password:

Verify Password:

Administrator peter was added successfully and has

Read/Write Permission for all products with Permission to Manage Administrators

Sau đó, người dùng phải xác định máy khách SmartConsole nào được phép truy cập tới SmartCenter Server Nhập xong nhấn tổ hợp phím Ctrl + D để tiếp tục.

Do you want to add a GUI Client (y/n) [y] ?

You can add GUI Clients using any of the following formats:

1 IP address.

2 Machine name.

3 “Any” - Any IP without restriction.

4 IP/Netmask - A range of addresses, for example

192.168.10.0/255.255.25

5 A range of addresses - for example 192.168.10.8-192.168.10.16

6 Wild cards (IP only) - for example 192.168.10.*

Please enter the list of hosts that will be GUI Clients.

Enter GUI Client one per line, terminating with CTRL-D or your EOF character.

Any

10.1.1.0/255.255.255.0

Warning: Every gui client can connect to this SmartCenter Server.

Is this correct (y/n) [y] ? y

Check Point yêu cầu người dùng nhập vào một tên nhóm dùng để xác lập quyền

Confguring Group Permissions

================================

Please specify group name [<RET> for super-user group]:

No group permissions will be granted Is this ok (y/n) [y] ?

Người dùng phải nhập vào một chuỗi ký tự ngẫu nhiên Chuỗi ký tự này được dùng để tạo một chứng nhận quyền (Certificate Authority)

Please enter random text containing at least six different

characters You will see the ‘*’ symbol after keystrokes that

are too fast or too similar to preceding keystrokes These

keystrokes will be ignored.

Please keep typing until you hear the beep and the bar is full [ ]

Thank you.

Và người dùng sẽ được hỏi là có muốn lưu lại file chứa chuỗi vừa nhập không Nếu có thì tiếp tục nhập tên file

Do you want to save it to a fle? (y/n) [n] ? y

Please enter the fle name [/opt/CPsuite-R61/svn/conf]:

fngerprint.txt

The fngerprint will be saved as

/opt/CPsuite-R61/svn/conf/fngerprint.txt.

Are you sure? (y/n) [n] ? y

The fngerprint was successfully saved.

Sau khi hoàn thành các thiết lập, người dùng phải khởi động lại thiết bị

In order to complete the installation

you must reboot the machine.

Do you want to reboot? (y/n) [y] ? y

Người dùng có thể sửa lại các cấu hình đã thiết lập bất cứ lúc nào bằng cách sử dụng lệnh cpconfig Khác với lần cấu hình đầu tiên, trong các lần cấu hình cpconfig sau người dùng sẽ nhận được một danh sách các lựa chọn giúp cho việc cấu hình trở nên linh hoạt hơn

cpngx[admin]# cpconfg

This program will let you re-confgure

your Check Point products confguration

(10) Enable Check Point SecureXL

(11) Automatic start of Check Point Products

Để thiết đặt lại quyền truy cập từ xa hoặc truy cập qua giao diện web có thể sử dụng một trong các cách sau:

- Sử dụng SmartDashboard để tạo và cài đặt một chính sách cho phép kết nối từ xa vào thiết bị (khi SmartDashboard cũng không kết nối được thì phải dùng lệnh fw unloadlocal)

- Kết nối console qua cổng COM, thực hiện lệnh cpstop Lệnh này dùng để tạm dừng dịch vụ tường lửa Sau đó người dùng có thể kết nối từ xa vào thiết bị để thực hiện các thao tác quản trị; khi thực hiện xong thì khởi động lại dịch vụ bằng lệnh cpstart.

- Gỡ bỏ chính sách mặc định bằng lệnh fw unloadlocal hoặc fw unload localhost (tùy thuộc từng version) Kiểm tra chính sách đang được nạp bằng lệnh fw stat

gatekeeper[admin]# fw stat

HOST POLICY DATE

localhost InitialPolicy 25Sep2002 23:02:21 : [>eth-s3p1c0]

- Trước khi chạy lệnh cpconfig, thay đổi bộ lọc mặc định để cho phép kết nối qua SSH hoặc HTTPS Các bộ lọc mặc định được liệt kê trong bảng 2

Bảng 2 Các bộ lọc mặc định

defaultfilter.boot Cho phép lưu thông ra bên ngoài (xuất phát từ tường lửa)

defaultfilter.dag Cho phép lưu thông ra bên ngoài, lưu thông broadcast và

DHCP

defaultfilter.drop Loại bỏ tất cả lưu thông vào trong hoặc ra ngoài gateway

defaultfilter.ipso Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông

SSH, HTTPS, ICMP vào trong

defaultfilter.ipso_ssh Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông

SSH, ICMP vào trong

defaultfilter.ipso_ssl Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông

HTTPS, ICMP vào trong

Ví dụ: Để thay đổi bộ lọc mặc định sang defaultfilter.ipso sử dụng các lệnh sau:

cp $FWDIR/lib/defaultfilter.ipso $FWDIR/conf/defaultfilter.pf

fw defaultgen

cp $FWDIR/state/default.bin $FWDIR/boot

Dưới đây là một số lệnh có thể dùng để điều khiển các thiết lập:

- fwstop –default: tắt tất cả tiến trình tường lửa và nạp luật mặc định.

- fwstop –proc: dừng tất cả các tiến trình nhưng vẫn giữ luật hiện tại trong

nhân

- fwstart –f: khởi động dịch vụ FW-1.

- control_bootsec –r: gỡ bỏ chế độ an ninh lúc khởi động.

- control_bootsec –g: kích hoạt chế độ an ninh lúc khởi động.

- fwboot bootconf: thiết lập IP forwarding và cấu hình bộ lọc mặc định.

- comp_init_policy –u: vô hiệu hóa luật mặc định.

- comp_init_policy –g: kích hoạt luật mặc định.

3.3 Thiết lập các luật tường lửa qua SmartDashboard

SmartDashboard là công cụ cho phép quản trị thiết bị một cách tập trung khi có nhiều thiết bị an ninh cùng được triển khai trên hệ thống Nó sử dụng CA được tạo ra lúc cấu hình cpconfig để xác thực với checkpoint

Sau khi đăng nhập vào SmartCenter Server bằng SmartDashboard, việc đầu tiên cần làm là chuyển thiết bị từ chế độ Host sang Gateway bằng cách nhấn chuột phải vào biểu tượng thiết bị trong mục Network Object – Check Point ở cây thư mục bên trái và chọn Convert to Gateway Sau đó người dùng có thể thiết lập, cài đặt các luật tường lửa

và các thực hiện các thiết lập khác như NAT hay VPN cho mạng

Các luật tường lửa được hiển thị và thiết lập trong tab đầu tiên: Security

Hình 2 SmartDashboard – Security

Một luật gồm có các trường: địa chỉ nguồn, địa chỉ đích, các dịch vụ (giao thức), hành động áp dụng lên các gói tin thõa mãn luật và cách thức ghi nhớ (log hoặc track).Các luật được xét theo thứ tự từ trên xuống dưới, nếu một gói tin thỏa mãn điều kiện của luật trên thì nó sẽ được thực hiện theo action đã định sẵn ở luật đó và không tiếp tục được xét đến ở các luật phía dưới.

Tạo một luật tường lửa bằng cách vào menu Rules chọn Add Rule | Top Một luật mặc định được thêm vào trên cùng của danh sách luật; bất cứ gói tin dùng địa chỉ nguồn, đích nào hoặc sử dụng bất cứ dịch vụ nào cũng đều bị drop mà không được hệ thống ghi lại Người dùng chỉ cần nhấn chuột phải lên một trường để thay đổi nó theo yêu cầu

Sau khi thiết lập xong các luật, để áp dụng các luật đó lên hệ thống cần phải cài đặt (install) các luật bằng cách mở menu Policy, chọn Install Nếu quá trình cài đặt bị lỗi thì hệ thống sẽ đưa ra báo lỗi cùng các thông tin cần thiết cho người dùng

Hình 3 Thực thi cài đặt

Ngoài giao diện đồ họa SmartDashboard, để tối ưu điều khiển hệ thống tường lửa, người dùng cần biết một số câu lệnh sau đây (các lệnh này sử dụng trong môi trường console hoặc remote)

- cpstop: tạm dừng toàn bộ các sản phẩm của Checkpoint và SVN

Foundation

- cpstart: khởi động toàn bộ các sản phẩm của Checkpoint và SVN

Foundation

- cplic print: in ra licenses đã cài đặt.

- cplic put: thêm license

CHƯƠNG 4 THIẾT LẬP CẤU HÌNH NAT 4.1 Ẩn giấu đối tượng mạng

Với sự phát triển mạnh mẽ của mạng Internet ngày nay, số lượng địa chỉ IPv4 ngày càng trở nên khan hiếm Một trong những cách khá dễ dàng để khắc phục tình trạng khan hiếm địa chỉ IPv4 đó là sử dụng NAT Chức năng Hide-mode NAT cho phép

ẩn một dải địa chỉ sau một địa chỉ IP có khả năng định tuyến ra ngoài mạng Ngoài ra, CheckPoint còn hỗ trợ tính năng Static NAT, tính năng này sẽ chuyển một địa chỉ ở dải trong thành một địa chỉ dải ngoài, tác dụng của nó là cho phép thiết bị có thể truy cập được từ cả bên trong mạng và ngoài Internet

Một lợi ích nữa của hide-mode NAT là nó giúp các thiết bị trong mạng ít có khả năng bị tấn công hơn Mặc dù các thiết bị là ẩn so với bên ngoài, chúng vẫn có thể hoạt động trên Internet bình thường do cơ chế chuyển dịch cả địa chỉ cổng nguồn và đích của FW-1 Tường lửa sẽ duy trì một bảng dịch chuyển, và nó sẽ biết được máy nào cần kết nối từ cổng nguồn trong bảng này

Chú ý là cần có license để có thể hỗ trợ nhiều máy trạm bằng cơ chế DHCP trước khi NAT Và để cho các máy trạm có thể kết nối tới các thiết bị khác, cần bật tính năng

IP forwarding trong tường lửa Bước tiếp theo là cấu hình NAT tại tab Address Translation trong Check Point SmartDashboard

Hình 4 SmartDashboard – Address Translation

Những luật trong tab này có thể được khởi tạo tự động hoặc bằng tay tùy vào mức

độ của mạng Một luật gồm 2 phần chính sau :

• Original packet

• Translated packet

Khi một kết nối tới tường lửa, nó so sánh gói tin cho địa chỉ nguồn, đích và dịch

vụ của gói tin Nếu đúng với những thông tin đã lưu, tường lửa sẽ chỉnh sửa nguồn đích

và dịch vụ của gói tin dựa trên các luật NAT Cũng giống như các luật tường lửa, các luật NAT cũng được đọc theo thứ tự từ trên xuống dưới Do đó, nên đặt các luật thường

sử dụng nhất ở bên trên cùng

Ngoài ra, người dùng cũng nên chú ý rằng tường lửa sẽ cho phép các gói tin có địa chỉ nguồn và đích sau khi NAT đi qua

4.2 Cấu hình luật NAT

Việc cấu hình bằng tay các luật NAT cũng giống như cấu hình các luật tường lửa Tuy nhiên CheckPoint cho phép cấu hình tự động các luật này khi cần Để cấu hình tự động, vào Manage | Network Objects, chọn tab NAT

Hình 5 Cấu hình luật NAT tự động

Chọn Add Automatic Address Translation Rules Chọn Hide trong Translation Mode Để xác định IP để ẩn trên mạng, gõ địa chỉ vào trong trường Hide behind IP Address (gõ 0.0.0.0 để tường lửa sử dụng địa chỉ external của nó) Ngoài ra, có thể sử

dụng địa chỉ external của gateway bằng cách chọn Hide behind Gateway Install On dùng để xác định tường lửa mà người dùng muốn áp dụng luật NAT này Chọn All để

áp dụng cho tất cả các tường lửa

Hình 6 Các luật NAT

Như hình trên thì 2 luật phía trên là luật được tạo ra tự động

Cấu hình static NAT cũng tương tự như trên, chỉ khác là thay vì một dải địa chỉ, giờ đây cả nguồn và đích đều là địa chỉ đơn lẻ

Ngoài ra, ta có thể sử dụng một số tính năng của NAT như NAT 2 chiều hay NAT MAC, các tùy chọn này có thể được đặt trong Global Properties như trong hình dưới đây

Hình 7 Global Properties - NAT

CHƯƠNG 5 CẤU HÌNH SMARTDEFENSE [3]

5.1 Giới thiệu về SmartDefense

Tính năng chính của tường lửa là cho phép các truy cập hợp lệ đi qua và loại bỏ những truy cập không hợp lệ Trong quá khứ, tường lửa đã hoạt động rất hiệu quả, tuy nhiên ngày nay rất nhiều lỗ hổng bảo mật trên các ứng dụng mạng có thể bị kẻ xấu khai thác và lợi dụng Do đó mô hình “cho phép hoặc loại bỏ” đã không còn được sử dụng hiệu quả trên các hệ thống bảo mật thành công ngày nay SmartDefense, một trong những thành phần chủ chốt trong bộ sản phẩm Check Point, là một giải pháp để giải quyết vấn đề này Với cơ chế Application Intelligence, nó cho phép những truy cập hợp pháp tới các tài nguyên mạng trong khi vẫn bảo vệ được tài nguyên khỏi các tấn công.Phương thức hoạt động của SmartDefense là giám sát dòng lưu thông mạng qua tường lửa, so sánh những đặc tính của các gói tin lưu thông với những đặc tính đã xác định trước của một hành động tấn công Những hoạt động đáng nghi đều được lưu lại và được gửi tới người quản trị mạng để họ chuẩn bị các biện pháp chống tấn công SmartDefense hỗ trợ phát hiện năm loại tấn công sau: Denial of Service (DoS), Transmission Control Protocol/Internet Protocol (TCP/IP), tấn công ứng dụng, dò cổng

và IP, và sâu máy tính

Với các tấn công ngày càng mới hiện nay, việc sử dụng một danh sách cố định các thuật toán phòng thủ sẽ không đảm bảo an toàn Vì vậy SmartDefense cung cấp một dịch vụ cho phép cập nhật các thuật toán phòng thủ tấn công mới nhất

SmartDefense có cách thức hoạt động khác so với hệ thống phát hiện thâm nhập

Nó không cố gắng chống lại các kiểu tấn công mới được phát hiện, thay vào đó nó bảo

vệ mạng khỏi các tấn công bằng cách thực hiện kiểm tra kĩ càng và nghiêm ngặt các tiêu

đề của gói tin cũng như phần dữ liệu của giao thức để ngăn ngừa các dữ liệu nguy hại xâm nhập vào mạng Ví dụ, thay vì xem xét danh sách một loạt các kiểu tấn công có thể

sử dụng để tấn công vào máy chủ DNS , SmartDefense sẽ kiểm tra gói tin DNS xem nó

có đúng với chuẩn RFC cho gói tin DNS hay không Điều này sẽ giúp bảo vệ chống lại rất nhiều các kiểu khai thác hiện tại và ngay cả trong tương lai mà không cần phải liên cập nhật các dấu hiệu Tuy nhiên phương thức này không cho phép bảo vệ trước mọi cuộc tấn công, vì có nhiều tấn công rất khó phân biệt với dòng dữ liệu hợp lệ Một số kiểm tra quá nghiêm ngặt có thể loại bỏ nhầm các gói tin hợp lệ Vì vậy đòi hỏi ứng

dụng phải có sự linh động để cho phép người dùng có thể thay đổi độ nhạy cảm hoặc thậm chí là tắt bỏ hẳn sự bảo vệ.

Tất cả các tùy chọn của SmartDefense được truy cập trong thẻ SmartDefense của SmartDashboard

Tùy chọn đầu tiên là Anti Spoofing Configuration Status cho phép xem chế độ

chống giả mạo đã được kích hoạt chưa Cần kích hoạt chống giả mạo trên tất cả các cổng của thiết bị để tránh trường hợp có kẻ giả mạo một IP hợp lệ để tấn công bằng cách gán cho mỗi cổng một nhãn External hoặc Internal (trong Check Point Gateway | Topology)

Ba loại tấn công DoS có thể được phát hiện đó là:

- TearDrop: phát hiện gói tin IP trùng lặp

- Ping of Death: phát hiện các gói tin ICMP quá kích cỡ.

- LAND: phát hiện các gói tin được bị thay đổi một cách không bình

thường

5.2.2 IP and ICMP

Phần IP và ICMP cho phép bảo vệ mạng khỏi những điểm yếu ở tầng 3 và tầng 4

Có một kiểm tra bắt buộc đối với từng gói tin để đảm bảo phần header, kích thước gói tin và các cờ không có biểu hiện bất thường nào Tùy chọn Max Ping Size cho phép người dùng định nghĩa kích thước tối đa của gói tin ICMP để tránh những tấn công lợi dụng ICMP để làm tắc nghẽn mạng

Người dùng nên kích hoạt tùy chọn cho phép phân mảnh gói tin IP (Allow IP Fragments) để cho những trường hợp mà kích thước gói tin vượt quá kích cỡ tối đa Tuy nhiên điều này nguy hiểm ở chỗ một người có thể giấu thông tin về hoạt động của anh ta bằng cách phân mảnh các gói tin để SmartDefense không thể nhận ra Cách giải quyết

đó là đặt giới hạn số gói tin chưa hoàn chỉnh và đặt tỉ lệ loại bỏ những gói tin không hoàn chỉnh (ví dụ 1gói/1giây)

Phần Network Quota cho phép chống kiểu tấn công DoS bằng cách giới hạn lưu lượng và số kết nối của từng người dùng Mặc định 100 kết nối/1 giây là hợp lý, vì người dùng hợp pháp sẽ không bao giờ đạt được số kết nối đó

thành một thiết bị trung gian giữa server và host ngoài nên những gói tin tấn công không đến được server, tầm khoảng 200 gói tin trên một timeout là một lựa chọn tốt.

Tiếp đó là lựa chọn đưa ra bảo vệ đối với tấn công gói tin có MTU nhỏ Để chống tấn công kiểu này, nên đặt kích cỡ gói tin nhỏ nhất (MTU) ít nhất là 350 bytes

Cuối cùng là lựa chọn kiểm tra thứ tự gói tin Những gói tin mặc dù của người dùng hợp lệ nhưng vi phạm thứ tự cũng không được phép vào mạng

5.2.4 Fingerprint Scrambling

Một máy từ xa có thể thu thập thông tin về máy bên trong mạng dựa trên những phản hồi của máy đó Quá trình này gọi là in dấu Tùy chọn SmartDefense fingerprint-scrambling giúp ngăn ngừa nguy cơ lộ thông tin cho phía bên kia

Có 3 loại fingerprint-scrambling là: giả mạo ISN (spoofing), TTL, và IP ID ISN spoofing thay đổi thứ tự của bắt tay ba bước để làm cho hệ điều hành không nhận biết được TTL, (time to live), xóa bỏ khả năng người bên ngoài nhận biết được khoảng cách giữa họ và mạng trong IP ID chỉ dẫn tường lửa gán số hiệu của nó cho mỗi gói tin IP,

do đó làm cho người ngoài không biết được hệ điều hành đang dùng của mình (vì từ số hiệu gói tin có thể suy ra được hệ điều hành đang sử dụng)

5.2.5 Successive Events

Tính năng này cho ta thấy một số sự kiện có thể là một tấn công mà người dùng có thể theo dấu được:

- Address spoofing: Một host ngoài lặp lại liên tục rằng nó là một địa chỉ

từ khu vực cho phép truy cập vào mạng

- Local interface spoofing: Một người dùng ngoài sử dụng địa chỉ hợp

pháp

- Port scanning: Có người dùng ngoài quét cổng trên mạng.

- Successive alerts: Khi VPN-1/FireWall-1 tạo ra một số lượng cảnh báo

nhát định trong một khoảng thời gian

- Successive multiple connections: Khi có một lương kết nối nhất định từ

máy ngoài tới máy trong mạng

5.2.6 Dynamic Ports

Có một số dịch vụ sử dụng những cổng động để truyền tải dữ liệu (ví dụ FTP)…, tuy nhiên cổng động cũng có thể là một trong những tấn công theo kiểu backdoor

Hình 9 Dynamic Ports

5.3 Application Intelligence

Tính năng này kiểm tra tất cả các dịhc vụ tầng ứng dụng như HTTP, Mail, FTP, Microsoft Networks, DNS, và VoIP SmartDefense có khả năng kiểm tra tất cả dữ liệu trong gói tin và nhận biết được những gói tin đáng nghi

5.3.1 HTTP Worm Catcher

Một trong những tấn công HTTP phổ biến là HTTP Worm Catcher