Khóa luận tốt nghiệp Firewall Checkpoint
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ Giảng viên hướng dẫn : Thầy Đinh Ngọc Luyện N hóm sinh viên thực hiện : Cao Hiệp Hưng MSSV : 070112 Lương Hữu Tân MSSV : 070057 Lớp : VT071 Tháng 12 /năm 2010 T r ư ờ n g Đ ạ i h ọ c H oa S e n C a o H i ệ p H ư n g – L ư ơ n g H ữ u T ân TRÍCH YẾU Thông qua Khóa Luận Tốt Nghiệp, về cơ bản chúng tôi đã nghiên cứu về những vấn đề sau Xây dựng hệ thống Firewall cùng chính sách bảo mật cho mạng. Thiết lập các phương thức kết nối an toàn trong mạng Internet (IPsec VPN). Xây dựng hệ thống quản lý sự truy xuất mạng và đảm bảo người dùng có thể truy xuất chính xác dữ liệu theo đúng quyền hạn và vị trí của họ. Đồng thời tối ưu hóa tối độ truy cập và tránh rủi ro mất mát dữ liệu. Và kết quả đạt được là có được kiến thức về các thiết bị Checkpoint, hiểu được quy tắc hoạt động, truyền thông của các thiết bị Checkpoint cùng những giao thức chạy trên chính các thiết bị đó. Nắm được quy tắc cấu hình, quản lý và bảo trì thiết bị Checkpoint. Có được kiến thức về khả năng tương tác giữa thiết bị của Chekpoint với thiết bị, phần mềm của những hãng khác (Cisco, Microsoft, Juniper Network…). Tận dụng được các chức năng tương tác giữa các thiết bị đảm nhận vai trò khác nhau (IPS cùng Firewall, Switch cùng Security Gateway…). Có được kiến thức về các loại tấn công đối với hệ thống mạng và hệ thống máy local (Worm, Trojan, Virus…). Hiểu và ứng dụng những công nghệ bảo mật tiên tiến của Checkpoint vào quá trình xây dựng và quản lý hệ thống. Ngoài ra chúng tôi còn có thêm được kỹ năng về làm việc nhóm, kỹ năng phân chia công việc, nhiệm vụ, thời gian hợp lý . Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang i T r ư ờ n g Đ ạ i h ọ c H oa S e n C a o H i ệ p H ư n g – L ư ơ n g H ữ u T ân MỤC LỤC TRÍCH YẾU i LỜI CÁM ƠN vi NHẬN XÉT CỦA GIẢNG VIÊN vii CHAPTER 01 – VPN 1 A . Cryptography 3 1 Classic Cryptography 3 1.1 Substitution Cipher 3 1.2 Vigenère Cipher 3 1.3 Transposition 3 2 Modern Cryptography 3 2.1 Hash 3 2.1.1 Hash Overview 3 2.1.2 HMAC – Hashed Message Authentication Code 5 2.2 Encryption 5 2.2.1 Encryption overview 5 2.2.2 Block and Stream cipher 6 2.2.3 Symmetric Encryption Algorithms 6 2.2.4 Asymmetric Encryption Algorithms 8 2.2.5 Digital Signature 13 3 Cryptanalysis 15 4 Cryptography Overview Chart 16 5 PKI – Public Key Infrastructure 16 5.1 Trusted Third-Party Protocol 16 5.2 PKI overview 17 5.2.1 Thuật ngữ 17 5.2.2 PKI Topologies 18 5.2.3 PKI standard 19 5.2.4 Certificate Authority - CA 21 5.2.5 Server Offload 25 B . IPsec VPN 26 1 VPN Overview 26 1.1 History 26 1.2 Virtual Private Network - VPN 26 1.3 Benefits of VPN 26 2 IPsec VPN 27 2.1 Workflow 27 2.2 IPsec Functions 28 2.3 IPsec Security Protocol 28 2.3.1 Tunnel Mode và Transport Mode 28 2.3.2 Authentication Header – AH 29 2.3.3 Encapsulating Security Payload – ESP 30 2.4 Security Association – SA 31 2.4.1 IKE SA 32 2.4.2 IPsec SA 32 2.5 Internet Key Exchange – IKE 33 2.5.1 Step 1 : Interesting Traffic Initiates the IPsec Process 34 2.5.2 Step 2 : IKE Phase I 34 2.5.3 Step 3 : IKE Phase II 38 2.5.4 Step 4 : Data Transfer 40 2.5.5 Step 5 : IPsec Tunnel Termination 40 2.6 VPN Communities and Terminology 40 2.7 IKE DoS Attack and Protection 41 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang ii T r ư ờ n g Đ ạ i h ọ c H oa S e n C a o H i ệ p H ư n g – L ư ơ n g H ữ u T ân 2.7.1 IKE DoS Attack 41 2.7.2 Checkpoint Solution 41 2.8 Access Control and VPN Communities 43 C . Remote Access VPN 44 1 Overview 44 1.1 Need for Remote Access VPN 44 1.2 Checkpoint Solution 44 1.2.1 Remote Access and Components 44 1.2.2 Connectra and Deloyment 47 1.2.3 User Database 48 2 Resolving Connectivity Issues 49 2.1 NAT Related Issues 50 2.1.1 Packet Fragmentation 50 2.1.2 IKE Phase I Problem and Solutions 50 2.1.3 IKE Phase II Problem and Solutions 51 2.1.4 IPsec Data transfer Problem and Solutions 52 2.2 Restricted Internet Access Issues 53 2.2.1 Overview 53 2.2.2 Checkpoint Solution – Visitor Mode 54 3 Office Mode 55 3.1 Overview 55 3.2 Checkpoint Solution - Office Mode 55 3.3 How Office Mode Works 55 3.4 Workflow 56 3.5 IP Address Allocation 56 3.5.1 IP Pool 56 3.5.2 DHCP 57 3.5.3 RADIUS Server 57 3.5.4 IP Allocation Order 57 3.5.5 IP pool Versus DHCP 57 3.6 Optional Parameters 57 3.6.1 IP Address Lease duration 57 3.6.2 WINS and DNS 58 3.7 Office Mode Per Site 58 3.8 IP per user 59 3.8.1 DHCP Solution 59 3.8.2 Ipassignment. conf Solution 59 3.9 Routing Table 60 3.9.1 Topology Overview 60 3.9.2 Routing Table 60 3.10 SSL Network Extender 61 3.10.1 Overview 61 3.10.2 Checkpoint Solution – SSL Network Extender 62 3.11 Clientless VPN 62 3.11.1 Overview 62 3.11.2 Checkpoint Solution – Clientless VPN 63 3.11.3 Workflow 63 3.11.4 Clientless VPN Consideration 63 4 Remote Access Routing 64 4.1 Overview 64 4.2 Checkpoint Solution – Hub Mode 64 4.3 Hub Mode Situation 64 4.3.1 Remote User to Another VPN Domain 64 4.3.2 Remote User to Remote User 65 4.3.3 Remote User to Internet Server 66 4.4 Hub Mode Routing Table 67 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang iii T r ư ờ n g Đ ạ i h ọ c H oa S e n C a o H i ệ p H ư n g – L ư ơ n g H ữ u T ân CHAPTER 02 – IPS 68 A . IPS Overview 69 1 Overview 69 1.1 IPS vs IDS 69 1.2 Terminology 70 2 Classification 70 2.1 NIPS – Network-based Intrusion Prevention System 70 2.2 HIPS – Host-based Intrusion Prevention System 71 2.3 Comparision 72 3 IPS Signature 73 3.1 Signature Definition 73 3.2 Phân loại Signature 73 3.2.1 Signature-based 73 3.2.2 Signature types 74 3.2.3 Signature trigger 75 3.2.4 Signature Action 80 B . Checkpoint Solutions 81 1 Checkpoint IPS Protection 81 1.1 Network Security 81 1.2 Application Intelligent 81 1.3 Web Intelligent 81 2 IPS Optimization 82 2.1 Trouble Shooting 82 2.2 Protect Internal Host Only 82 2.3 Bypass Under Load 82 CHAPTER 03 – EPS 83 A . EPS Overview 85 1 EPS System Architecture 85 2 Policy 86 2.1 Policy Overview 86 2.2 Policy Component Overview 86 3 Modes and Views 87 3.1 Multi-Domain Mode 87 3.2 Single Domain Mode 87 4 Managing Domain 87 4.1 Multi-Domain Administrators 87 4.2 System Domain và Non-System Domain 87 4.2.1 System Domain 87 4.2.2 Non-System Domain 88 5 Managing Administrator Roles 88 B . Managing Catalogs 90 1 User Catalogs 90 1.1 Custom Catalogs 90 1.2 LDAP Catalogs 90 1.3 RADIUS Catalogs 91 1.4 Synchronizing User Catalogs 91 1.5 Authenticating Users 91 1.6 Authentication Process 92 1.6.1 LDAP Catalog 92 1.6.2 RADIUS Catalog 93 2 IP Catalogs 94 C . Managing Security Policy 95 1 Policy Type 95 1.1 Enterprise Policy 95 1.2 Personal Policy 95 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang iv T r ư ờ n g Đ ạ i h ọ c H oa S e n C a o H i ệ p H ư n g – L ư ơ n g H ữ u T ân 1.3 Policy Arbitration 96 1.4 Policy Package 96 1.5 Rule Evaluation and Precedence 96 1.5.1 Hard-Cored Rule 96 1.5.2 Security Rules 96 2 Creating Policy 97 2.1 Creating Policy Using Template 97 2.2 Creating Policy Using File 98 3 Policy Object 99 3.1 Access Zone 99 3.2 Firewall Rule 100 3.2.1 Firewall Rule Overview 100 3.2.2 Firewall Rule Rank 100 3.2.3 Firewall Rule Parameter 101 3.3 Enforcement Rule 101 3.3.1 Enforcement Rule Types Overview 101 3.3.2 Remediation Resource and Sandbox 103 3.3.3 Enforcement Rule Parameter 104 3.3.4 Anti-virus Enforcement Rule Parameter 104 3.4 Anti-virus and Anti-spyware Rules 105 3.5 Program Control Rules 105 3.5.1 Program Observation 105 3.5.2 Program Permission 106 3.5.3 Program Advisor 106 3.6 Smart-Defense 109 D . Gateway and Cooperative Enforcement 110 1 Cooperative Enforcement Overview 110 2 Network Access Server Integration 110 2.1 Cooperative Enforcement Architecture 110 2.2 Cooperative Enforcement Workflow 111 KINH NGHIỆM VÀ KHÓ KHĂN 113 PHỤ LỤC 114 A . Bảng giá đề nghị 114 Trường hợp 1 : Sử dụng Appliances 114 Trường hợp 2 : Sử dụng Sotfware 114 Chi tiết các thiết bị 114 B . Sơ đồ mạng Hoa Sen đề nghị 116 C . Tổng hợp Rule 117 1 Firewall Rule 117 2 NAT Rule 118 3 Endpoint Security Rule 119 3.1 “Public” Policy Public 119 3.2 “Networking Computer Lab”Policy 120 3.3 “Networking Computer Lab – Switch” Policy 120 3.4 “Computer Lab” Policy 121 3.5 “Computer Lab – Switch” Policy 122 3.6 “Staff” Policy 123 3.7 “Examination” Policy 124 D . Tài liệu tham khảo 126 E . Website tham khảo 128 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang v T r ư ờ n g Đ ạ i h ọ c H oa S e n C a o H i ệ p H ư n g – L ư ơ n g H ữ u T ân LỜI CÁM ƠN Đầu tiên, chúng tôi xin cám ơn trường Đại học Hoa Sen đã tạo cơ hội cho chúng tôi thực hiện Khóa Luận Tốt Nghiệp này để chúng tôi có cơ hội tìm hiểu thêm nhiều kiến thức mới, có ích cho công việc chúng tôi sau khi tốt nghiệp. Và chúng tôi cũng xin cám ơn thầy Đinh Ngọc Luyện đã tạo cơ hội cho chúng tôi thực hiện Khóa Luận Tốt Nghiệp này, thầy đã hướng dẫn, cung cấp tài liệu, hỗ trợ về mặt tinh thần để chúng tôi có thể hoàn thành tốt Khóa Luận Tốt Nghiệp, giúp chúng tôi có nhiều kinh nghiệm thực tế hơn về phương diện làm việc nhóm và những kiến thức cấu hình thiết bị trong thực tiễn. Xin cám ơn các thầy cô ở phòng Đào tạo đã hỗ trợ chúng tôi về những thông tin cần thiết về Khóa Luận Tốt Nghiệp. Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang vi T r ư ờ n g Đ ạ i h ọ c H oa S e n C a o H i ệ p H ư n g – L ư ơ n g H ữ u T ân NHẬN XÉT CỦA GIẢNG VIÊN …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang vii K h ó a L u ậ n T ố t N g h i ệ p – F i r e w a l l C he c kp o i n t T r a n g 1 CHAPTER 01 – VPN VIRTUAL PRIVATE NETWORK Trong c hapt e r này t a s ẽ nói về V i r t ual Pr iv at e N et wor k v à những v ấn đề liê n quan. Chapt e r 01 – V i r t ual Pr iv at e N et wor k bao gồm ba phần Cr y ptography IPs ec VPN and IPs ec Si te - t o-Si te VPN IPs ec R e mot e A cce ss VPN Cryptography Phần Cr y ptography s ẽ những t huật t oán mã hóa c ổ đi ể n, những t huật t oán mã hóa hi ệ n đại v à c ác phương pháp b ẻ gãy mã. Đặc đi ể m v à mục đí c h sử dụng c ủa c ác t huật t oán HASH. Đặc đi ể m v à mục đí c h sử dụng c ủa c ác t huật t oán mã hóa. Cuối c ùng l à c hữ ký số v à kiế n t rúc PKI. C la ss ic Cryptogr a phy Modern Cryptogr a phy Crypt a n al ys i s PKI – Publ ic K e y Infr a s t ruc t ur e IPsec VPN Trong phần này t a s ẽ nói về VPN v à những l ợ i íc h c ủa VPN so v ớ i c ác kiể u kết nối c ũ. Giớ i t hi ệ u về IPs ec VPN v à c ác c hứ c năng c ủa IPs ec VPN. B ê n c ạnh đó l à giớ i t hi ệ u c ác giao t hứ c bảo mật c ủa IPs ec . Đi sâu v ào phân tíc h quá t r ì nh đàm phán ở IKE Phas e I v à IKE Phas e II. Cuối c ùng l à c ác v ấn đề k hác k hi t hi ết l ập đường IPs ec Si te - t o-Si te VPN. VPN Ov e rvi e w IPs ec VPN VPN Communi tie s a nd T e rm i no l ogy K h ó a L u ậ n T ố t N g h i ệ p – F i r e w a l l C he c kp o i n t T r a n g 2 IKE DoS A ttac k a nd Ch ec kpo i n t So l ut i on VPN Topo l og ie s A cce ss Con t ro l Po lic y a nd VPN Communi tie s IPsec Remote Access VPN Trong phần này t a s ẽ nói về IPs ec R e mot e A cce ss VPN c ùng c ác c hứ c năng c ủa IPs ec R e mot e A cce s VPN. B ê n c ạnh đó l à những v ấn đề c ó t hể phát s i nh c ủa R e mot e Us e r k hi dùng IPs ec R e mot e A cce ss. Cuối c ùng c ác c ác c h ế độ l àm việc c ủa R e mot e A cce ss VPN. Ov e rvi e w R e so l ving Conn ecti vi t y Issues Off ice Mode R e mo te A cce ss Rou ti ng [...]... CA để tạo ra Digital Signature Bước 3 : Digital Signature được đính vào Certificate ở bước 1 để tạo ra một Certificate hoàn chỉnh đã được ký Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 23 Hình A1 – 19 : Certificate Signing Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 24 5.2.4.5 Hoàn tất thủ tục xin Certificate Sau khi certificate được tạo và ký bởi CA, certificate sẽ được trả cho người dùng... của Tân có trong Certificate vừa nhận để encrypted Share Secret key ra chuỗi ciphetext rồi gửi phần ciphertext đó cho Tân Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 26 Tân nhận được phần ciphertext sẽ lấy Private key của Tân để decrypted Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 27 5.2.5 Như vậy Hưng đã gửi thành công Share Secret key cho Tân một cách an toàn và bí mật Server Offload... như RSA, thì DH dựa trên những khó khăn trong việc giải mã hiện tại để tránh khóa bị giải mã Mục đích sử dụng Mã hóa dữ liệu, đặc biệt cho các loại dữ liệu có kích thước nhỏ, private key của thuật toán mã hóa đồng bộ, key dùng cho HMAC Cơ chế tạo khóa Hưng và Tân tham gia vào quá trình tạo khóa Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 13 Hưng và Tân sẽ thỏa thuận cặp số public gồm số nguyên tố... Mã hóa dữ liệu, đặc biệt cho các loại dữ liệu có kích thước nhỏ, private key của thuật toán mã hóa đồng bộ, key dùng cho HMAC Dùng để xác thực Tạo cơ chế Non-Repudiation Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 12 Cơ chế tạo khóa Private key/Public key Chọn hai số nguyên tố p và q phân biệt Tính n=p.q Tính hàm số Euler φ(p.q)=(p-1).(q-1) Chọn e sao cho 1 . Khóa Luận Tốt Nghiệp. Khóa Luận Tốt Nghiệp – Firewall Checkpoint. Terminology 40 2.7 IKE DoS Attack and Protection 41 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang ii T r ư ờ n g Đ ạ i h ọ c H oa S e n