Khóa luận tốt nghiệp Xây dựng Firewall & IPS trên checkpoint PHIẾU GIAO ĐỀ TÀI KHÓA LUẬN TỐT NGHIỆP 1. M ỗ i s i nh viê n phả i viế t riê ng một báo c áo 2. P h iế u này phả i dán ở t r ang đầu t iê n c ủa báo c áo 1. Họ và tên sinh viên / nhòm sinh viên được giao đề tài (s ĩ số trong nhóm : 2) (1) Ngô Hiệp Toàn MSSV: 081652 khóa: 2008-2011 (2) Nguyễn Th ị Phương Ngọc MSSV: 081651 khóa: 2008-2011 Chuyên ngành : Mạng máy tính Khoa : Khoa Học - Công Nghệ 2. Tên đề tài : Xây dựng Firewall & IPS trên Checkpoint . 3. Các dữ li ệu ban đầu: Firewall và IPS là thành phần bảo mậ t không thể thiếu trong hệ thống mạng máy tính, Checkpoint là sản phẩm firewall hàng đầu được dùng rấ t nhiều trong các mạng máy tính mà yêu cầu bảo mậ t được ưu tiên hàng đầu như ngân hàng. 4. Các yêu cầu đặc b i ệt: Sinh viên ngành mạng máy tính, có k i ến thức bảo mật. 5. Kết quả tố i th i ểu phả i có: 1.Trình bày hoạt động Firewall & IPS 2.Đưa ra g i ải pháp xây dựng Firewall&IPS trường Hoasen Ngày giao đề tài:…… /………./……… Ngày nộp báo cáo: .…/……/…… Họ tên GV hướng dẫn 1: Đinh Ngọc Luyện…….……Chữ ký: ……………… Ngày …. tháng … năm Đinh Ngọc Luyện i TR ÍC H Y Ế U Trong đề án t ố t nghiệp về đề tài “Xây dựng Firewall & IPS trên Checkpoint”. Tôi đã nghiên cứu về sản phẩm Checkpoint, các tính năng quản lí cũng như bảo mậ t bằng IPS ( Intrusion Prevention Systems) . Khác vớ i phiên bản R65, phiên bản R70 đã có nhiều cả i ti ến trong giao diện cũng như tính năng nhằm cung cấp mộ t môi trường làm v i ệc hiệu quả hơn cho ngườ i quản tr ị hệ thống. Tr i ển khai các tính năng tăng cường bảo mậ t như “User Authentication”,”Client Authentication”,”Session Authentication”, hay sử dụng mộ t Module xác thực “Radius” chứng thực user. Cấu hình các rule để clien t trong mạng nộ i bộ có thể truy xuấ t dữ li ệu vùng DMZ và cho phép client t ruy xuấ t web, thông qua những chính sách mà ngườ i quản tr ị cấu hình trên giao diện Smar t Console. Sử dụng mộ t máy Window Server 2003 kế t nố i trực ti ếp vào Firewall dùng hệ điều hành Linux, mọ i dữ li ệu cấu hình thay đổ i diễn ra t ạ i giao diện Smart Console sẽ được t ự động cập nhậ t trực ti ếp lên Firewall Linux. Ngườ i quản tr ị cấu hình các chính sách(rule) nhằm hạn chế t ầm hoạ t động của ngườ i dùng mạng nộ i bộ. Sử dụng triệ t để chức năng Chechpoint cung cấp:“IPS”, thay v ì “SmartDefense” ở R65, thiế t l ập phát hiện và ngăn chặn những phương t hức t ấn công mạng như HPING, DDoS, LAND Attack v.v Theo dõi trạng thái cũng như những diến biến xảy ra trên Firewall thông qua giao diện SmartView Tracker, và SmartView Monitor. Để phát hiện k ị p thờ i những truy nhập trái phép hay diễn biến bấ t thường thông qua t ần suấ t truy nhập đến server. II M ỤC L ỤC TRÍCH YẾU II NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN 5 NHẬP ĐỀ 6 GIỚI THIỆU TỔNG QUAN 7 LỜI CẢM ƠN 8 CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT 9 1.1 Đ ị nh nghĩa bảo mậ t mạng 9 1.1.1 Các yếu t ố cần quan tâm khi phân tích bảo mậ t mạng 10 1.1.2 Các yếu t ố cần được bảo vệ 11 1.2 Các k i ểu t ấn công mạng 11 1.2.1 Thăm dò(reconnaissance) 11 1.2.2 Đánh cắp thống tin bằng Packet Sniffers 11 1.2.3 Đánh l ừa (IP spoofing) 12 1.2.4 Tấn công t ừ chố i d ị ch vụ (Denial of services) 13 1.2.5 Tấn công trực ti ếp password 13 1.2.6 Thám thính(agent) 13 1.2.7 Tấn công vào yếu t ố con ngườ i: 13 1.2.8 Các phương thức t ấn công D.O.S thông thường 14 1.2.9 Phương thức t ấn công bằng Mail Relay 16 1.2.10 Phương thức t ấn công hệ thống DNS 16 1.2.11 Phương thức t ấn công Man-in- t he-middle attack 17 1.2.12 Phương thức t ấn công Trust exploitation 17 1.2.13 Phương thức t ấn công Port redirection 17 1.2.14 Phương thức t ấn công l ớp ứng dụng 18 1.2.15 Phương thức t ấn Virus và Trojan Horse 18 1.3 Các mức độ bảo mậ t 19 1.3.1 Quyền truy nhập: 19 1.3.2 Đăng nhập/Mậ t khẩu(login/password) 19 1.3.3 Mã hóa dữ li ệu(Data encryption) 19 1.3.5 Bức tường l ửa (firewall) 20 1.4 Các biện pháp bảo vệ an toàn hệ thống 20 1.4.1 Quyền hạn t ố i thiểu (Least Privilege) 20 1.4.2 Bảo vệ theo chiều sâu (Defense in Depth) 20 1.4.3 Nút thắ t (choke point) 21 1.4.4 Điểm xung yếu nhấ t (Weakest point) 21 1.4.5 Hỏng trong an toàn (Fail–Safe Stance) 21 1.4.6 Sự tham gia toàn cầu 22 1.4.7 Kế t hợp nhiều biện pháp bảo vệ 22 1.4.8 Đơn g i ản hóa 22 1.5 Các chính sách bảo mậ t 22 1.5.1 Kế hoạch bảo mậ t mạng 23 1.5.2 Chính sách bảo mậ t nộ i bộ 23 1.5.3 Phương thức thiế t kế 24 1.6 Thiế t kế chính sách bảo mậ t mạng 24 1.6.1 Phân tích nguy cơ mấ t an ninh 24 1.6.2 Xác đ ị nh tài nguyên cần bảo vệ 24 1.6.3 Xác đ ị nh các mố i đe dọa bảo mậ t mạng 25 1.6.4 Xác đ ị nh trách nhiệm ngườ i sử dụng mạng 26 1.6.5 Kế hoạch hành động khi chính sách b ị v i phạm 27 1.6.6 Xác đ ị nh các l ỗ i an ninh 28 1.7 Secure Sockets Layer (SSL) 29 1.7.1 Mở đầu 29 1.7.2 Nhiệm vụ và cấu trúc của SSL 30 1.7.3 Phiên SSL và kế t nố i SSL 32 1.7.4 SSL Record Protocol 33 1.7.5 Alert Protocol 35 1.7.6 Change CipherSpec Protocol 35 1.7.7 Handshake Protocol 36 CHƯƠNG 2 : CHECKPOINT 37 2.1 Tổng quan về Checkpoint 37 2.2 Access Control của Checkpoint Firewall 38 2.3 Các thành phần của Rule 38 2.4 Công dụng đặc biệ t của Access Control 39 2.5 Authentication 39 2.5.1 Vai trò của User Authentication 39 2.5.2. Tổng quan về User Authentication của Check Point Firewall 39 2.5.3. Các phương thức xác thực của Check Point Firewall 40 2.5.4. Các cơ chế xác thực sử dụng trên Firewall Check Point 40 2.5.4.1 VPN-1 & Firewall-1 Password 41 2.5.4.2 Operating System Password (OS Password) 42 2.5.4.3 RADIUS 43 2.5.4.4 TACACS 45 2.5.4.5 S/Key 45 2.5.4.6 SecurID 47 CHƯƠNG 3 : FIREWALL 48 3.1 Công nghệ FIREWALL 48 a. Giả i pháp Firewall của Checkpoint 51 3.1.1 Smart Console : Bao gồm nhiều client nhỏ để quản lý các thành phần của NGX. Các client của Smart Console bao gồm : 53 3.1.2 Smart Center Server 54 3.1.3 Security Gateway 55 3.2 Firewall Inspect Engine 55 3.3 SVN FOUNDATION 56 3.3.1 Secure Internal Communication 56 3.4 SIC BETWEEN SMART CENTER SERVER AND CLIENTS 59 CHƯƠNG 4 : IPS 60 4.1 Hệ thống ngăn chăn xâm nhập(IPS): 60 4.1.1 Khái niệm IPS 60 4.1.2 Chức năng của IPS 61 4.2 Phân loạ i IPS 65 4.2.1 NIPS 65 4.2.1a Các khả năng của hệ thống xâm nhập mạng cơ sở 67 4.2.1b Các thành phần của hệ thống ngăn chặn xâm nhập mạng cơ sở NIPS 69 4.2.2 HIPS 69 4.2.2a Các khả năng của hệ thống ngăn chặn xâm nhập t ừ máy chủ(HIPS) 71 4.2.2b Các thành phần của HIPS : 72 4.2.2.1 Gói phần mềm để cài đặ t t ạ i điểm cuố i 73 4.2.2.2 Hạ t ầng quản lý để quản lý các agents này 74 1. Trung tâm quản lý: 74 2. Giao diện quản lý: 75 4.3 Công nghệ ngăn chặn xâm nhập IPS 78 4.3.1 Signature - Based IPS (Nhận diện dấu hiệu) 78 4.3.2 Anomaly-Based IPS (Nhận diện bấ t thường) 81 4.3.3 Policy-Based IPS 83 4.3.4 Protocol Analysis-Based IPS 83 PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN 84 PHẦN 6: TÀI LIỆU THAM KHẢO 89 N H ẬN X ÉT CỦA G IẢN G VI Ê N HƯỚ N G DẪN N H Ậ P Đ Ề Xã hộ i phát triển kéo theo sự ti ến bộ của khoa học k ĩ thuật. Những chiếc máy tính thông minh dần chiếm vai trò rấ t quan trọng trong cuộc sống ngày nay. Bấ t kỳ l ĩnh vực nào cũng cần đến máy tính, mộ t thiế t b ị xử lý và hơn thế nữa là không thể thiếu. Cùng vớ i sự ra đờ i và phát triển của máy tính và mạng máy tính là vấn đề bảo mậ t thông tin, ngăn chặn sự xâm nhập và đánh cắp thông tin qua mạng, thông tin cá nhân trực ti ếp và gián ti ếp. Phát hiện và ngăn chặn sự t ấn công của các Hacker nhằm đánh cắp dữ li ệu và phá hoạ i tư li ệu quan trọng là rấ t cần thiế t . Thông qua đề án : “Xây dựng Firewall & IPS trên Checkpoint “. Chúng tôi g i ớ i thiệu t ổng quan về xu hướng quản tr ị và bảo mậ t mạng hiện nay, cùng vớ i nộ i dung t ổng quan về Checkpoint, Firewall, IPS bằng các bước cấu hình và triển khai mô hình mạng. Giả i pháp an toàn chúng tôi g i ớ i thiệu đến trong đề tài này là mộ t sản phẩm của Checkpoint dựa trên nền t ảng NGX, NGX là mộ t cấu trúc cung cấp tính năng bảo mậ t cho end- to- end network, giúp cho doanh nghiệp bảo vệ các luồng traffic trong intranet, extranet… Ngoài ra còn làm cho network của enterprice được bảo mậ t và được quản lý bằng mộ t Security Policy đơn cho toàn network. G I Ớ I TH I Ệ U TỔ N G Q UAN  CHECKPOINT CheckPoint là mộ t trong những nhà cung cấp hàng đầu về các sản phẩm bảo mậ t Internet. Đặc biệ t là các dòng sản phẩm firewall cho các doanh nghiệp, cá nhân và các công nghệ mạng riêng ảo VPN. Vớ i nền t ảng NGX, CheckPoin t cung cấp mộ t k i ến trúc bảo mậ t thống nhấ t cho mộ t l ọat các g i ả i pháp bảo mậ t: bảo mậ t cho truy cập Internet, bảo mậ t mạng nộ i bộ, bảo mậ t Web, bảo mậ t ngườ i dùng nhằm bảo vệ các tài nguyên thông tin, quá trình truyền thông, các ứng dụng của doanh nghiệp.  FIREWALL Thuậ t ngữ Firewall có nguồn gốc t ừ mộ t kỹ t huậ t thiế t kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là mộ t kỹ thuậ t được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nộ i bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là mộ t cơ chế (mechanism) để bảo vệ mạng tin t ưởng (Trusted network) khỏ i các mạng không tin t ưởng (Untrusted network).  IPS Hệ thống IPS (intrusion prevention system) l à một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall vớ i hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và t ự động ngăn chặn các cuộc tấn công đó. IPS không dơn g i ản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành đai mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng. [...]... cứu hiện trạng mạng khi xây dựng và nâng cấp mạng đưa ra các kiểu kiến trúc mạng phù hợp với hiện trạng và cơ sở hạ tầng ở nơi mình đang định xây dựng + Phần cứng & phần mềm: Mạng được thiết kế như thế nào Nó bao gồm những phần cứng và phần mềm nào và tác dụng của chúng Xây dựng một hệ thống phần cứng và phần mềm phù hợp với hệ thống mạng cũng là vấn đề cần quan tâm khi xây dựng hệ thống mạng Xem xét...LỜI CẢM ƠN Chúng tôi xin cảm ơn Thầy Đinh Ngọc Luyện đã hướng dẫn chúng tôi trong suốt quá trình thực hiện đề án: Xây dựng Firewall & IPS trên Checkpoint Đề án trình bày những vấn đề tổng quan về bảo mật mạng, firewall, giới thiệu IPS - Hai hệ thống bảo vệ mạng hiệu quả hiện nay CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT 1.1 Định nghĩa bảo mật mạng Bảo mật mạng là sự đảm bảo an toàn... chương trình Trojan Horse, IP spoofing, và packet sniffer Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường sử dụng brute- force để lấy user account hơn Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork Phương pháp giảm thiểu tấn... mạng 1.2.7 Tấn công vào yếu tố con người: Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên lạc với nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi username và password 1.2.8 Các phương thức tấn công D.O.S thông thường a Phương pháp tấn công: Tin tặc sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các máy tính trên mạng dựa vào một vài dịch vụ hoặc các... ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với hệ thống bên trong firewall Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng 1.2.13 Phương... qua firewall Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside Host ở DMZ có thể vào được host ở inside, cũng như outside Nếu hacker chọc thủng được host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên. .. cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng ổ khoá máy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống 1.3.5 Bức tường lửa (firewall) Đây là hình thức ngăn chặn sự xâm nhập bất hợp pháp vào mạng nội bộ thông qua firewall ) Chức năng của tường lửa là ngăn chặn các truy nhập trái phép (theo danh sách truy nhập đã xác định trước) và thậm chí có thể lọc các gói tin... trên nguyên tắc này, người ta đưa ra hai quy tắc để áp dụng vào hệ thống an toàn: - Default deny Stance: Chú trọng vào những cái được phép và ngăn chặn tất cả những cái còn lại - Default permit Stance: Chú trọng vào những cái bị ngăn cấm và cho phép tất cả những cái còn lại Những gì không bị ngăn cấm thì được phép Theo quan điểm về vấn đề an toàn trên thì nên dùng quy tắc thứ nhất, còn theo quan điểm của... gia toàn cầu Để đạt được hiệu quả an toàn cao, tất cả các hệ thống trên mạng toàn cầu phải tham gia vào giải pháp an toàn Nếu tồn tại một hệ thống có cơ chế an toàn kém, người truy nhập bất hợp pháp có thể truy nhập vào hệ thống này và sau đó dùng chính hệ thống này để truy nhập vào các hệ thống khác 1.4.7 Kết hợp nhiều biện pháp bảo vệ Trên liên mạng, có nhiều loại hệ thống khác nhau được sử dụng, do... đến các nguy cơ từ bên ngoài và từ trong nội bộ, đồng thời phải kết hợp cả các biện pháp kỹ thuật và các biện pháp quản lý Sau đây là các bước cần tiến hành:  Xác định các yêu cầu và chính sách an toàn thông tin: Bước đầu tiên trong kế hoạch an toàn thông tin là xác định các yêu cầu truy nhập và tập hợp những dịch vụ cung cấp cho người sử dụng trong và ngoài cơ quan, trên cơ sở đó có được các chính . đề tài : Xây dựng Firewall & IPS trên Checkpoint . 3. Các dữ li ệu ban đầu: Firewall và IPS là thành . nghiệp về đề tài Xây dựng Firewall & IPS trên Checkpoint . Tôi đã nghiên cứu về sản phẩm Checkpoint, các tính