Network Access
Access Control
1 Sự cần thiết của Access Control
Tài nguyên của hệ thống mạng bao gồm nhiều thành phần như mạng, máy chủ, dịch vụ mạng và các giao thức, tạo ra nhu cầu cần thiết cho công cụ quản lý truy cập Access Control giúp xác định khu vực có thể truy cập và phân quyền cho người dùng trên các tài nguyên đó Ngoài ra, Access Control còn thực hiện xác thực người dùng để kiểm soát quyền truy cập.
2 Tổng quan về Access Control của Check Point Firewall
Check Point Security Gateway được triển khai tại khu vực biên của hệ thống để giám sát và quản lý luồng dữ liệu vào ra mạng Người quản trị hệ thống cần thiết lập các chính sách bảo mật nhằm bảo vệ an toàn cho hệ thống và kiểm soát quyền truy cập Những chính sách này được thực hiện thông qua một tập hợp các quy tắc có thứ tự trong Security Rule Base, và một chính sách bảo mật hiệu quả là yếu tố cần thiết cho sự an toàn của hệ thống.
Nguyên lý cơ bản của Rule Base là chặn tất cả các hành động không được phép Rule Base bao gồm một tập hợp các quy tắc xác định luồng dữ liệu nào được phép đi qua và luồng dữ liệu nào bị cấm.
3 Các thành phần của Rule
Source và Destination xác định vị trí xuất phát và đích đến của luồng dữ liệu Khi kết nối được thiết lập, các gói tin trong kết nối đó sẽ được truyền qua lại một cách linh hoạt giữa hai hướng.
VPN: chỉ định Rule được áp dụng cho mọi kết nối hay chỉ dành riêng cho kết nối VPN
Service: định ra giao thức, dịch vụ hay ứng dụng cần quản lý thông qua Rule
Action: hành động định ra cho kết nối được đề cập đến thông qua Rule
Track: những tùy chọn về việc ghi nhận lại hoạt động của Rule
Chức năng "Install On" giúp người quản trị dễ dàng quản lý bằng cách xác định nơi triển khai quy tắc mới, có thể trên một Firewall riêng lẻ hoặc tất cả Firewall trong hệ thống.
Time: định ra thời gian có hiệu lực của Rule
Ngoài các quy tắc do người quản trị thiết lập, Security Gateway còn tự động tạo ra những quy tắc mặc định Những quy tắc này chủ yếu phục vụ cho các kết nối từ Security Gateway đến các dịch vụ điều khiển và cấu hình.
4 Công dụng đặc biệt của Access Control
Chống giả mạo địa chỉ: giả mạo địa chỉ là hiện tượng người tấn công thay đổi địa chỉ
Địa chỉ IP của gói tin có thể được sử dụng để xâm nhập trái phép vào hệ thống Cơ chế chống giả mạo địa chỉ đảm bảo rằng các gói tin có nguồn gốc và đích đến chính xác tại mỗi cổng trên Security Gateway Ví dụ, khi một kẻ tấn công từ Internet gửi gói tin có địa chỉ nội bộ vào cổng external của Gateway, cơ chế chống giả mạo sẽ ngay lập tức chặn gói tin đó vì nó không xuất phát từ cổng bên trong mà từ bên ngoài.
5 Cấu hình Access Control Lab 1: Tạo một Rule trong Firewall Check Point
Bước 1: Vào tab Firewall trong Smart Dashboard, vào menu Rule > Add Rule >
Bước 2: Tùy chỉnh các thành phần của Rule để thực hiện mục đích của người quản trị
Lab 2: Cấu hình chống giả mạo địa chỉ cho cổng External của Gateway
Bước 1: Click chuột phải vào Firewall Object > Edit > Topology
Bước 2: Edit cổng External, qua tab Topology, check vào ô Perform Anti-Spoofing based on interface topology
Authentication
1 Vai trò của User Authentication
Xác thực người dùng là quá trình quan trọng trong việc đảm bảo an ninh cho các kết nối tới tài nguyên của hệ thống công ty Nó giúp cấp quyền truy cập phù hợp với chức trách và nhiệm vụ của từng người dùng trong hệ thống mạng.
2 Tổng quan về User Authentication của Check Point Firewall
Check Point Security Gateway cung cấp nhiều cơ chế xác thực người dùng, chủ yếu dựa trên việc yêu cầu tên người dùng và mật khẩu Tuy nhiên, các cơ chế này khác nhau ở vị trí lưu trữ thông tin xác thực; một số lưu trữ trực tiếp trên Security Gateway, trong khi những cái khác lưu trữ trên các server chứng thực như RADIUS và TACACS.
3 Các phương thức xác thực của Check Point Firewall
Xác thực người dùng cho phép quản trị viên cấp quyền truy cập cho cá nhân từ bất kỳ máy tính nào mà không làm ảnh hưởng đến những người dùng khác đang sử dụng cùng một máy Chức năng này hoạt động trên các giao thức như Telnet, FTP, HTTP và dịch vụ RLOGIN.
Xác thực phiên (Session Authentication) là một phương thức xác thực yêu cầu người dùng cung cấp thông tin xác thực cho mỗi phiên làm việc Phương thức này thường yêu cầu cài đặt một chương trình riêng trên máy của người dùng, do đó nó thường được áp dụng cho máy cá nhân, nơi chỉ có một người dùng sử dụng máy tính đó.
Xác thực khách hàng (Client Authentication) cho phép nhiều người dùng kết nối thông qua việc xác thực phân quyền cho một địa chỉ IP hoặc một thiết bị cụ thể Ưu điểm nổi bật của phương thức này là khả năng kết nối không giới hạn và không yêu cầu người dùng nhập lại tên và mật khẩu trong suốt quá trình làm việc Giống như xác thực phiên (Session Authentication), Client Authentication cũng mang lại sự tiện lợi cho người dùng.
4 Cấu hình phương thức xác thực trong Firewall Check Point Lab 1: Cấu hình User Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Truy cập Web từ Client
Bước 3: Nhập thông tin xác thực
Truy xuất trang Web www.google.com.vn thành công
Lab 2: Cấu hình Client Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Tùy chỉnh Client Authentication
Bước 3: Từ Client truy cập vào địa chỉ http://[IPfwCP]:900
Bước 4: Nhập thông tin xác thực
Từ bây giờ có thể truy xuất Web không cần đăng nhập lại
Lab 3: Cấu hình Session Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Tùy chỉnh Session Authentication
Bước 3: Cài đặt Client Session Agent ở máy Client
Bước 4: Từ máy Client truy cập Web
Nhập thông tin xác thực và người dùng sẽ truy cập thành công website
5 Các cơ chế xác thực sử dụng trên Firewall Check Point
Cơ chế xác thực định nghĩa loại cơ sở dữ liệu xác thực và giao thức kết nối với cơ sở dữ liệu Dưới đây là những cơ chế được hỗ trợ trong Firewall Check Point.
Trong danh sách các cơ chế xác thực, chỉ có VPN-1 & Firewall-1 Password và S/Key có cơ sở dữ liệu xác thực được lưu trữ trên Security Gateway, trong khi các cơ chế khác đều sử dụng cơ sở dữ liệu bên ngoài.
5.1 VPN-1 & Firewall-1 Password Đây là cơ chế xác thực do chính Firewall Check Point cung cấp Cơ chế này xác thực user dựa trên chính cơ sở dữ liệu được tạo ra trên Security Gateway Chiều dài tên user lên đến 100 ký tự số và chữ và mật khẩu phải có chiều dài nằm trong khoảng 4 tới 8 ký tự
Hệ thống xác thực người dùng được thiết kế với cơ sở dữ liệu không chỉ lưu trữ trên Management Server mà còn có bản sao tại mỗi Module Điều này cho phép các Module tự xác thực người dùng mà không cần gửi yêu cầu về cơ sở dữ liệu chính, từ đó nâng cao hiệu suất hoạt động của toàn hệ thống.
Cơ chế xác thực OS Password cho phép các Module xác thực sử dụng cơ sở dữ liệu của hệ điều hành để xác minh danh tính người dùng Chẳng hạn, nếu Module xác thực hoạt động trên hệ điều hành Windows Server, nó sẽ truy xuất thông tin người dùng thông qua Security Account Management (SAM).
Trên Management Server, cơ sở dữ liệu chính lưu trữ thông tin về người dùng và chuyển tiếp cho các Module xác thực, tuy nhiên, phần mật khẩu không được hiển thị mà chỉ đề cập đến cơ chế sử dụng là OS Password.
Cơ chế xác thực OS Password cho phép người dùng kết nối với cơ sở dữ liệu của chính họ, nhưng không được khuyến khích do hai nguyên nhân chính.
Cơ sở dữ liệu xác thực người dùng được lưu trữ trên hệ điều hành, điều này có thể dẫn đến việc kết nối trực tiếp vào Module xác thực, gây ra rủi ro cho hoạt động của hệ thống.
Một hệ thống có thể tích hợp nhiều Module xác thực, tuy nhiên khi áp dụng cơ chế OS Password, cần đảm bảo rằng dữ liệu người dùng trên các Module được đồng bộ Việc này có thể tạo ra khó khăn trong quá trình cấu hình cơ sở dữ liệu.
RADIUS là một cơ chế xác thực tập trung, với cơ sở dữ liệu người dùng được lưu trữ trên một máy chủ riêng biệt (RADIUS Server) Ưu điểm nổi bật của RADIUS là khả năng xác thực tập trung, cho phép quản trị viên chỉ cần cấu hình cơ sở dữ liệu người dùng trên RADIUS Server, từ đó các Module xác thực có thể xác thực người dùng dựa trên thông tin từ máy chủ này.
Tương tự như OS Password, dữ liệu user vẫn xuất hiện trên cơ sở dữ liệu chính trên
Conectivity
Network Address Tranlation
Trong mạng máy tính, mỗi thiết bị được gán một địa chỉ IP, với phần lớn sử dụng địa chỉ IPv4 Private không phù hợp cho routing Tuy nhiên, các máy tính này vẫn cần truy cập Internet Việc cấp phát địa chỉ IP Public cho từng máy tính là không khả thi do hạn chế về số lượng địa chỉ IP Public có sẵn.
IPv4 hiện tại có độ dài 32 bit, nhưng do nhu cầu ngày càng tăng của mạng máy tính, số lượng địa chỉ IPv4 đang trở nên khan hiếm Thông thường, địa chỉ IPv4 công cộng chỉ được cấp phát cho các nhà cung cấp dịch vụ Internet (ISP) hoặc các tổ chức thương mại lớn.
Dù máy tính có địa chỉ private hay public, người quản trị vẫn thường muốn ẩn giấu địa chỉ của máy tính để đảm bảo an toàn bảo mật.
1 Địa Chỉ IP Private Và IP Public Địa chỉ IP Public là những địa chỉ duy nhất, được đăng kí sử dụng trên toàn thế giới và được sử dụng trong routing trên internet Tổ chức IANA là tổ chức chiệu trách nhiệm cấp phát địa chỉ IP, IANA chỉ cấp phát địa chỉ IP thông qua các Regional Internet Registry (RIR) từ một lượng các IP có sẵn và chưa được sử dụng IANA không trực tiếp cấp phát địa chỉ IP cho các ISP hoặc người dùng đầu cuối
IANA đã định nghĩa những địa chỉ sau đây là những Private – những địa chỉ IP không cần đăng kí và không phải là những địa chỉ duy nhất :
Lớp C : 192.168.0.0–192.168.255.255 Khi triển khai CheckPoint trong mạng, người dùng có thể quy định những địa chỉ IP nào là địa chỉ Private
2 NAT trong CheckPoint Security Gateway
NAT (Network Address Translation) là quá trình thay đổi địa chỉ IP, cho phép biến đổi cả địa chỉ Source IP lẫn Destination IP Khi một gói tin được gửi từ mạng nội bộ (Protected Side) ra bên ngoài (Unprotected Side), nó sẽ xuất hiện như thể đến từ một địa chỉ IP khác Khi gói tin này được gửi trả lại từ bên ngoài vào bên trong, NAT sẽ đảm bảo rằng nó được chuyển đến đúng địa chỉ IP đích.
Check Point Security Gateway (CSG) hổ trợ 2 loại NAT sao đây :
Static NAT : Mỗi địa chỉ IP Private sẽ được chuyển thành một địa chỉ IP
Static NAT can convert a range of private IP addresses into a corresponding range of public IP addresses in a 1:1 mapping This process allows connections to initiate from either inside (Source NAT) or outside (Destination NAT) the firewall.
Hide NAT là một phương pháp chuyển đổi địa chỉ mạng, trong đó một địa chỉ IP công cộng đại diện cho nhiều địa chỉ IP riêng tư bên trong mạng (Protected Side) Điều này cho phép nhiều thiết bị trong mạng nội bộ chia sẻ một địa chỉ IP công cộng, giúp tiết kiệm địa chỉ IP và tăng cường bảo mật cho mạng.
IP Private thành một địa chỉ IP Public và kết nối chỉ có thể được bắt đầu từ phía trong của firewall
Check Point định nghĩa các đối tượng NAT trong mạng thông qua các khái niệm như Network, Node, Address Range và Dynamic Object NAT có thể được cấu hình tự động trên một Network Object (Automatic NAT), cho phép NAT Rules tự động phát sinh và thêm vào NAT Rule Base (bao gồm Automatic Hide NAT hoặc Static NAT) khi một Network Object được tạo ra Bên cạnh đó, người dùng cũng có khả năng tự tạo quy tắc NAT (Manual NAT).
User -defined NAT rules offer greater flexibility compared to automatically generated ones, allowing users to perform translations based on service or destination port numbers Port number translation is a form of Static NAT, where a port from one IP address is converted to a port of another IP address.
Source NAT: Source NAT là việc chuyển đổi địa chỉ IP chỉ diển ra ở địa chỉ
Source IP và còn được gọi tắt là SNAT
Destination NAT: Destination NAT là việc chuyển đổi địa chỉ IP chỉ diển ra ở địa chỉ Destination IP và được gọi tắt là DNAT
Static NAT thực hiện chuyển đổi địa chỉ IP theo tỷ lệ 1:1, trong đó mỗi địa chỉ IP sẽ được ánh xạ sang một địa chỉ IP khác Cụ thể, một dãy địa chỉ IP Private sẽ được chuyển đổi thành một dãy địa chỉ IP Public tương ứng.
Hide NAT cho phép nhiều máy tính trong mạng nội bộ sử dụng chung một địa chỉ IP Public, trong khi mỗi máy tính vẫn giữ địa chỉ IP Private riêng Phương thức này chỉ cho phép các kết nối được khởi tạo từ mạng bên trong của firewall, và còn được gọi là Dynamic NAT.
Các máy tính với IP Private trong mạng có thể được NAT theo 2 cách sao đây :
Chuyển đổi thành một IP Public, địa chỉ này một địa không được gán cho bất kì máy trong và ngoài mạng hay một interface nào của firewall
To convert to a public IP address, this address corresponds to one of the interfaces of the firewall, specifically those interfaces that connect to the internet.
Trong Hide NAT, không chỉ địa chỉ IP ở layer 3 được chuyển đổi mà cả source port ở layer 4 cũng được điều chỉnh cùng với địa chỉ IP Điều này giúp tăng cường tính bảo mật và ẩn danh cho người dùng.
Port Address Tranlation (PAT) Check Point duy trì một bảng chuyển đổi giữa IP và
Khi gói tin được trả về, port sẽ giúp chuyển đổi chúng một cách chính xác, đồng thời cung cấp thông tin cho firewall về port đang được sử dụng.
Check Point dùng những port từ 600 đến 1023 và 10.000 đến 60.00 cho việc chuyển đổi Hide NAT có thể chuyển đổi được 50.000 kết nối cùng một server đồng thời
2.2.1 Automactic Hide NAT và Static NAT trên CheckPoint Firewall
Check Point cung cấp tính năng Automatic Hide NAT, cho phép tự động cấu hình chức năng NAT cho các mạng nội bộ của firewall Tính năng này đảm bảo rằng mọi kết nối từ mạng bên trong đều được thực hiện NAT một cách tự động.
ISP Redundancy
Hiện nay, hầu hết các hệ thống mạng đều sử dụng nhiều kết nối internet từ các nhà cung cấp dịch vụ khác nhau để đảm bảo tính ổn định và sẵn sàng 24/7 Tuy nhiên, thách thức lớn nhất là làm thế nào để tối ưu hóa việc sử dụng nhiều đường truyền này một cách hiệu quả nhất.
Check Point cung cấp giải pháp để giải quyết cho vấn đề này, với Check Point VPN-1
Firewall-1 R70 có khả năng duy trì nhiều kết nối internet đồng thời, cho phép sử dụng một đường link có băng thông cao nhất, trong khi các đường link còn lại hoạt động như dự phòng.
Chức năng ISP Redundancy trên Check Point Security Gateway đảm bảo kết nối internet liên tục bằng cách hỗ trợ nhiều interface kết nối đến các ISP khác nhau Điều đặc biệt là tính năng này đã có sẵn trên Security Gateway mà không cần đầu tư thêm thiết bị phần cứng chuyên dụng nào.
ISP Redundancy hổ trợ trên các nền tảng sao đây :
Red Hat Enterprise Linux 7.2 hoặc cao hơn
ISP Redundancy liên tục theo dõi các kết nối mạng để chuyển hướng lưu lượng một cách hiệu quả nhất Hệ thống này hoạt động với hai chế độ chính, giúp đảm bảo kết nối luôn ổn định và tối ưu hóa hiệu suất mạng.
2 Các chế động hoạt động của ISP Redundancy
Chức năng ISP Redundancy hoạt động tối ưu cho các kết nối từ bên ngoài vào, trong khi Security Gateway xử lý các kết nối từ mạng nội bộ ra internet một cách hiệu quả.
Chế độ Primary/Backup cho phép kết nối bằng đường link chính và tự động chuyển sang đường link dự phòng khi đường link chính xảy ra sự cố Khi đường link chính được phục hồi, các kết nối mới sẽ được thiết lập theo đường link chính, trong khi các kết nối hiện tại vẫn tiếp tục sử dụng đường link dự phòng cho đến khi hoàn tất.
Load Sharing là phương pháp sử dụng đồng thời tất cả các đường link, trong đó kết nối được phân phối ngẫu nhiên giữa các link Khi một trong các link gặp sự cố, các kết nối mới sẽ tự động chuyển sang các đường link còn lại để duy trì tính liên tục và ổn định của hệ thống.
Load Sharing thì kết nối vào hướng bên trong sẽ được chuyển hướng qua lại giữa các link bằng việc chuyển đổi kết quả query DNS từ bên ngoài
ISP Redundancy giám sát liên tục các đường link, kiểm tra trạng thái cổng giao tiếp và tự động chuyển default route đến ISP phù hợp Người dùng cũng có thể cấu hình danh sách host bên ngoài để nhận gói tin ICMP echo từ firewall; nếu không nhận được phản hồi ICMP, đường link sẽ được xem là đã ngừng hoạt động.
3 Cách hoạt động của ISP Redundancy 3.1 Kết nối từ trong firewall ra internet
Trong chế độ Load Sharing, kết nối được phân phối ngẫu nhiên giữa các đường link internet, trong khi chế độ Primary/Backup chỉ cho phép kết nối đi qua đường link chính (active).
Hide NAT được sử dụng để thay đổi địa chỉ IP nguồn của gói tin, với việc gói tin sẽ được NAT bằng địa chỉ IP của interface mà nó đi ra Điều này đảm bảo rằng gói tin trả về sẽ đi qua cổng giao tiếp mà nó đã xuất phát Việc cấu hình Hide NAT cần được thực hiện bởi người dùng.
3.2 Kết nối từ phía ngoài internet vào bên trong mạng
When a client connects from an external network to an internal server, Static Destination NAT is configured by the user for the internal server's IP address If there are two internet links available, the internal server (such as an HTTP or FTP server) can be NATed simultaneously with two public IP addresses.
Khi khách hàng bên ngoài truy cập vào server thông qua một trong hai địa chỉ IP công cộng, khách hàng đầu tiên cần phân giải tên miền trước khi kết nối bằng địa chỉ IP Quá trình ISP Redundancy sẽ xử lý kết nối từ bên ngoài theo cách sau:
Khi khách hàng từ bên ngoài truy vấn tên miền www.testlab.com, DNS query sẽ được gửi đến CSG Tại CSG, có một mini-DNS sẵn có, sẽ giữ lại DNS query trước khi gửi đến DNS server và trả lời DNS cho khách hàng thay cho DNS server.
Nếu trong mini-DNS đã được cấu hình tên miền www.testlab.com, CSG sẽ trả lời lại DNS query như sau :
Primary/Backup : CSG sẽ trả lời lại với IP của đường Primary link (active link)
Load Sharing : CSG sẽ trả lại cùng lúc 2 địa chỉ IP (193.1.1.1; 193.1.2.1) và lần lượt hoán đổi chúng
Nếu trong trường hợp DNS không thể phân giải tên miền www.testlab.com thì nó sẽ chuyển DNS query đến DNS server 172.16.1.3
Khi Client nhận được địa chỉ IP sau khi phân giải tên miền, nó sẽ kết nối đến địa chỉ IP đó Để thực hiện điều này, trên CSG cần cấu hình Static Destination NAT cho IP 172.16.1.2.
4 Đổi trạng thái link theo yêu cầu và ISP redundancy script Lệnh fw isp_link
Lệnh fw isp_link được sử dụng để thay đổi trạng thái của đường link trên CSG, cho phép kiểm tra hoạt động của ISP Redundancy Lệnh này có thể được áp dụng để nâng hoặc hạ đường link trước khi CSG tự động nhận biết sự thay đổi và thực hiện chuyển đổi.
Lệnh có cú pháp như sau: fw isp_link [target] link-name up|down
tartget: tên của security gateway
link-name: tên của đường link đã được cấu hình trên CSG
up|down : Trạng thái đường link
ConnectControl – Server Load Balancing
Khi nhu cầu truy cập vào một server gia tăng, việc tối ưu hóa băng thông và tốc độ của server không phải là giải pháp hiệu quả, vì nó có thể làm giảm thời gian đáp ứng dịch vụ Thêm vào đó, việc bảo trì hoặc sự cố ngoài ý muốn có thể dẫn đến gián đoạn dịch vụ Do đó, chia sẻ kết nối đến một server với nhiều server khác sẽ giúp giảm thời gian đáp ứng dịch vụ và đảm bảo dịch vụ hoạt động liên tục 24/24.
ConnectControl là giải pháp của CheckPoint giúp cân bằng tải giữa nhiều server, phân chia traffic để giảm phụ thuộc vào một server duy nhất Điều này không chỉ giảm thời gian đáp ứng dịch vụ mà còn tăng cường sự ổn định cho dịch vụ.
Cân bằng tải cho server được thực hiện thông qua việc tạo ra một server logic với địa chỉ IP ảo, giúp khách hàng không nhận ra sự tồn tại của nhiều server phục vụ dịch vụ Server logic sẽ tiếp nhận yêu cầu từ khách hàng và chuyển tiếp đến các server vật lý khác để xử lý.
ConnectControl là tính năng tích hợp trong security gateway, không yêu cầu thêm bộ nhớ hay CPU Nó kiểm tra khả năng đáp ứng dịch vụ của từng server và tự động chuyển tiếp traffic đến các server hoạt động bình thường Trong trường hợp một server gặp sự cố, ConnectControl sẽ ngừng chuyển tiếp traffic đến server đó cho đến khi sự cố được khắc phục.
2 Các phương pháp dùng để cân bằng tải
ConnectControl sẽ điều chỉnh traffic đến các server khác nhau để cân bẳng tải giữa các server theo nhiều cách khác nhau bao gồm những cách sau đây:
ConnectControl sẽ theo dõi tải trọng của từng server nhằm xác định server nào có khả năng cung cấp dịch vụ tốt nhất Mỗi server sẽ chạy một chương trình để đo lường độ tải và gửi báo cáo về ConnectControl trên CSG.
To ensure that client requests are processed as quickly as possible, ConnectControl measures the response time of servers by pinging them three times by default It then calculates the average response time by dividing the total time by three and selects the server with the shortest response time Subsequently, ConnectControl directs the requests to that server for optimal performance.
Phương pháp Round Robin trong ConnectControl chuyển tiếp các yêu cầu đến server theo thứ tự, giúp tối ưu hóa việc cân bằng tải giữa các server Điều này đặc biệt hiệu quả khi tất cả các server có cấu hình giống nhau về RAM và CPU và được đặt trong cùng một đoạn mạng.
Domain: chuyển tiếp các request đến các server dựa theo domain
3 Cách hoạt động của ConnectControl 3.1 Packet Flow
Khi Client truy cập đến dịch vụ và dịch vụ đó đang được cân bằng tải bởi ConnectControl
1 Client khởi tạo kết nối đến logical server bằng IP ảo 192.168.1.1
2 Tại security gateway, yêu cầu từ client thỏa mãn logical server rule trong firewall rule base, firewall sao đó sẽ chuyển request của client đến các server
3 ConnectControl sẽ chuyển request đến server dựa theo phương pháp cân bằng tải đã được cấu hình
ConnectControl sẽ xử lý các request của Client theo những cách khác nhau tùy theo loại logical server (HTTP, FTP, Mail server…)
The HTTP logical server, utilized by ConnectControl, is designed to receive HTTP requests from clients and forward them to the appropriate server It exclusively handles HTTP requests, ensuring that the entire session for each client is consistently routed to the same server.
Cơ chế chuyển đổi HTTP hoạt động kết hợp với phương pháp cân bằng tải của ConnectControl, trong đó client khởi tạo kết nối đến máy chủ HTTP logic đầu tiên.
ConnectControl thông báo cho Client về server mà Client cần kết nối, dựa trên phương pháp cân bằng tải đã được cấu hình Client sẽ kết nối đến server theo địa chỉ IP được cung cấp bởi ConnectControl, và các kết nối sau đó sẽ được chuyển trực tiếp đến server mà không cần sự can thiệp của ConnectControl.
3.2.2 Logical server dành cho các dịch vụ khác
CSG offers two types of logical servers: the HTTP logical server and the Other Logical Server, which accommodates all services including HTTP The Other Logical Server utilizes Destination NAT to route client connections to servers, modifying the destination IP in the client's request upon entry and altering the source IP upon exit.
4 Persistent server mode 4.1 Persistent by server
Persistent by server is a valuable feature for HTTP logical servers When multiple servers are involved and the Persistent by server function is enabled, ConnectControl directs the client's HTTP connection to a specific server This ensures that subsequent connections from the client are routed to the same server, minimizing the risk of data loss during exchanges between the server and client within a session, particularly if the client is switched between multiple servers.
Chức năng Persistent by Service rất hữu ích khi sử dụng nhiều dịch vụ trong cùng một nhóm máy chủ Khi chạy đồng thời hai dịch vụ FTP và HTTP trên cùng một máy chủ trong một nhóm cân bằng tải, tính năng này cho phép chuyển hướng yêu cầu từ một Client đến hai máy chủ khác nhau cho từng dịch vụ Điều này giúp giảm tải cho máy chủ, cải thiện hiệu suất và tối ưu hóa tài nguyên hệ thống.
Thời gian chờ kết nối của server liên tục (persistent server timeout) xác định khoảng thời gian mà Client giữ kết nối với một server Khi server gặp sự cố, Client có khả năng được chuyển sang một server khác, ngay cả khi chế độ server liên tục vẫn đang hoạt động.
Server Availity là tính năng cho phép CSG kiểm tra định kỳ trạng thái hoạt động của các server trong nhóm Người dùng có thể tùy chỉnh khoảng thời gian kiểm tra, và CSG sẽ thực hiện ping để đảm bảo server vẫn hoạt động tốt Nếu CSG không nhận được phản hồi từ server, ConnectControl sẽ không được chuyển đến server đó nữa, giúp đảm bảo hiệu suất và độ tin cậy của hệ thống.
Brigde Mode
Khi triển khai firewall vào một hệ thống mạng hiện có, cần phải cấu hình lại một số chức năng hoặc toàn bộ hệ thống Đối với các mạng phức tạp, người quản trị phải điều chỉnh cấu hình để đảm bảo tính tương thích với hệ thống định tuyến đã có.
Check Point cung cấp một giải pháp cho phép người quản trị khi triển khai một
Chế độ cầu (bridge mode) hoạt động hoàn toàn ở lớp 2, tạo ra liên kết giữa hai giao diện mà không cần quan tâm đến lớp 3 Tất cả lưu lượng (traffic) sẽ được truyền qua các giao diện mà không bị ảnh hưởng đến quá trình định tuyến Khi lưu lượng đi đến tường lửa, nó sẽ được chuyển tiếp từ giao diện này sang giao diện khác một cách bình thường Điều này cho phép CSG giám sát lưu lượng mà không cần can thiệp vào vấn đề định tuyến, đảm bảo tính minh bạch trong việc quản lý lưu lượng mạng.
Hạn chế của brigde mode
Chỉ hổ trợ từng cặp interface
Không hổ trợ khi sử dụng trong liên kết nhiều firewall (ClusterXL)
Sử dụng giao diện WebUI cấu hình như sau:
1 Chọn Network Connection New Brigde Trước khi tạo một bridge connection thì các interface được bridge không được đặt địa chỉ IP
2 Chọn interface để được Brigde, sau đó chọn Add
3 Điền vào địa chỉ IP và Netmask sao cho cùng với Subnet hiện tại hoặc có thể điền 0.0.0.0 Bride Mode có thể hoạt động mà không cần địa chỉ IP
2 Chọn NetworkAdd new connectionBridge
3 Chọn 2 interface cần bridge, chú ý hai interface này hiện tại không có địa chỉ
4 Bấm phím N để tiếp tục
5 Điền vào địa chỉ IP và Netmask hoặc để 0.0.0.0
3 Xem Interface được Brigde bằng Command Line
Dùng lệnh brctl show để xem các interface đã được brigde Lệnh brctl show phải được thực hiện trong mode Expert
Bridde name : tên của card bridge
CoreXL
Tổng quan về CoreXL
CoreXL là công nghệ nâng cao hiệu suất của firewall bằng cách khai thác khả năng xử lý đồng thời của nhiều vi xử lý, cho phép xử lý nhiều tiến trình cùng lúc.
Công nghệ CoreXL cho phép số lượng vi xử lý tỉ lệ thuận với khả năng xử lý của firewall, giúp tăng cường hiệu suất mà không cần thay đổi cấu trúc hệ thống mạng.
Công nghệ CoreXL cho phép sao chép kernel của firewall dựa trên số lượng vi xử lý, với mỗi kernel hay instance của firewall được xử lý bởi một vi xử lý riêng biệt.
CoreXL chỉ hổ trợ trên nền SecurePlatform, Nokia và Crossbeam
CoreXL không hổ trợ các tính năng sao đây :
Traffic view in SmartView Monitor
1.1 Tổng quan về phân phối các vi xử lý
Phần chính trong kiến trúc của CoreXL là Secure Network Distributor (SND) SND trong CoreXL sẽ đãm nhiệm vai trò :
Xử lý những traffic đi vào các interface
Tăng tốc xử lý các gói tin trong trường hợp có Performance Pack
Phân phối các gói tin không được tăng tốc giữa các kernel
Khi lưu lượng truy cập vào các giao diện, nó sẽ được chuyển hướng đến một vi xử lý đang chạy một SND Mối liên kết giữa giao diện và vi xử lý được gọi là affinity của giao diện đối với vi xử lý Sự gắn kết này giúp lưu lượng truy cập của giao diện được chuyển đến vi xử lý và SND tương ứng Thêm vào đó, việc thiết lập một kernel hoặc một tiến trình chạy trên vi xử lý được gọi là affinity của kernel hay process đối với vi xử lý đó.
Mặc định, tất cả các interface được liên kết với các vi xử lý không gắn kết với kernel của firewall và SND trên cùng vi xử lý đó Sự gắn kết này diễn ra tự động, với việc reset gắn kết mỗi 60 giây nếu có Performing Pack, nhằm cân bằng giữa các vi xử lý Ngược lại, nếu không có Performing Pack, các interface sẽ kết nối với các vi xử lý không gắn kết với kernel Khi một vi xử lý đã gắn kết với kernel, nó sẽ không gắn kết với interface khác, đảm bảo CoreXL hoạt động hiệu quả nhất.
1.2 Cấu hình mặc định của CoreXL
Trong cấu hình mặc định của CoreXL thì số lượng kernel sẽ tuân theo bảng sau đây:
SND sẽ chạy trên các vi xử lý còn lại và số thứ tự các kernel sẽ được đánh số từ 0
1.3 Xem cấu hình mặc định của CoreXL
Có thể xem được sự gắn kết của tất cả các interface, kernel của firewall với các vi xử lý bằng lệnh fw ctl affinity –l –a
Có thể xem chi tiết các kernel và sự gắn kết của nó bằng lệnh fw ctl multik stat
Nếu Perfoming Pack đang hoạt động thì lúc đó ta xem bằng lệnh sim affinity –l
Phân phối lại các vi xử lý
Theo cấu hình mặc định của CoreXL, tất cả các interface được gắn với các vi xử lý, trong khi kernel của firewall không được gắn kết Tuy nhiên, điều này có thể không tối ưu trong một số trường hợp, dẫn đến việc SND hoạt động chậm và làm giảm khả năng xử lý traffic đầu vào Firewall có đủ vi xử lý để phân phối thêm cho SND và giảm tải cho kernel Để kiểm tra xem SND có đang làm chậm traffic hay không, chúng ta cần thực hiện các bước xác định cụ thể.
1 Xác định vi xử lý nào hiện đang gắn kết với các interface : fw ctl affinity –l –r
2 Khi firewall trong tình trạng đang tải nặng, dùng lệnh top và kiểm tra giá trị idle trên các vi xử lý
Chỉ nên phân phối thêm một vi xử lý cho SND khi thoả các điều kiện sau:
1 Firewall có ít nhất 8 vi xử lý
2 Giá trị idle hiện tại của vi xử lý đang chạy SND từ 0%-5%
3 Tổng giá trị các idle của các vi xử lý đang gắn kết với kernel lớn hơn 100%
Nếu không đáp ứng các điều kiện đã nêu, cấu hình mặc định sẽ sử dụng vi xử lý chạt SND, là lựa chọn hiệu quả nhất mà không cần thay đổi cấu hình Để phân phối thêm một vi xử lý cho SND, hãy thực hiện theo các bước hướng dẫn sau đây.
1 Giảm số lượng kernel của firewall bằng công cụ cpconfig
2 Phân phối vi xử lý còn lại cho SND
3 Reboot lại firewall để cập nhật cấu hình mới
2.2 Giảm số lượng instance Để giảm số lượng kernel của ta thực hiện các bước sau :
1 Sử dụng lệnh /etc/fw/boot/fwboot bootconf set_kernnum k
Ngoài ra có thể dùng công cụ cpconfig :
2 Chọn mục Cofigure Check Point CoreXL
3 Nếu chức năng CoreXL đã được bật, chọn mục Change the number of firewall instances và thiết lập số instance
Nếu chức năng CoreXL chưa bật, bật chức năng CoreXL và chọn mục
Change the number of firewall instances
2.3 Phân phối vi xử lý còn lại cho SND 2.3.1 Trong trường hợp có Performance Pack
Khi có Performance Pack, sự gắn kết giữa các interface và vi xử lý sẽ được thực hiện bằng lệnh sim affinity
By default, the sim affinity command is set to automatic, meaning that when the Performance Pack operates in automatic mode, the binding between the interfaces and the remaining processors is managed automatically by the Performance Pack.
Trong hầu hết các trường hợp thì không cần phải thay đổi thiết lập sim affinity
2.3.2 Trong trường hợp không có Performance Pack
Khi không sử dụng Performance Pack, sự kết nối giữa giao diện và vi xử lý được thiết lập từ file cấu hình fwafinity.conf trong quá trình khởi động, và file này được lưu trữ trong thư mục $FWDIR/conf.
Trong tệp văn bản này, ký tự "i" ở dòng đầu tiên biểu thị sự kết nối giữa các giao diện và vi xử lý Nếu có Performance Pack, dòng này sẽ bị loại bỏ.
If a firewall has only one processor running SND, the best approach is to connect that processor to the interfaces in default automatic mode In this case, the configuration file fwaffinity.conf will be formatted as follows: i default auto.
Để cấu hình cho hai vi xử lý chạy SND, cần xác định rõ interface nào sẽ kết nối với vi xử lý nào, đặc biệt khi firewall có nhiều interface Để thiết lập sự kết nối giữa các interface khi Performance Pack không hoạt động, bạn cần thực hiện các bước cụ thể.
1 Thiết lập sự gắn kết giữa các interface và vi xử lý bằng cách chỉnh lại file cấu hình fwaffinity.conf Mỗi dòng trong file này điều được bắt đầu bằng kí tự i và theo cú pháp sau đây : i với :
interfacename: tên của interface, ví dụ eth0, eth1…
cpuid: số thứ tự của vi xử lý
For a firewall with four interfaces, ranging from eth0 to eth3, you can configure the system to associate every two interfaces with a single processor The configuration file, fwaffinity, would then be structured as follows: i eth0 0, i eth1 0, i eth2 1, i eth3 1.
Chúng ta có thể chọn một interface để kết nối với một vi xử lý, trong khi các interface còn lại sẽ kết nối với interface khác Lúc này, chúng ta sử dụng từ khóa "default" thay cho việc xác định cụ thể từng interface.
Ví dụ file cấu hình fwaffinity có dạng như sau: i eth2 0 i default 0
2 Reboot lại firewall để cập nhật cấu hình mới.
Phân phối vi xử lý cho việc ghi log
Nếu firewall yêu cầu ghi log cao, có thể tạo một vi xử lý riêng cho việc này bằng cách gắn kết fwd daemon với một vi xử lý Tương tự như SND, việc này cần giảm bớt một kernel để cấp cho fwd daemon Để phân phối một vi xử lý cho fwd daemon, cần thực hiện các bước cụ thể.
1 Giảm số lượng của kernel của firewall
2 Gắn kết fwd với vi xử lý còn lại
Gắn kết fwd deamon với vi xử lý
Để gắn kết fwd daemon với vi xử lý tương tự như SND, sau khi giảm số lượng kernel của firewall, bạn cần thêm vào file cấu hình fwaffinity.conf với cú pháp: n fwd .
Ví dụ, ta muốn gắn kết fwd với vi xử lý số 2 sau khi giảm đi 1 kernel, thêm vào file fwaffinity.conf một dòng như sau: n fwd 2
Khởi động lại firewall để cập nhật cấu hình.
fw affinity Script
fwaffinity_apply là một script được thiết kế để cập nhật cấu hình CoreXL mà không cần khởi động lại firewall Script này được lưu trữ tại thư mục $FWDIR/scripts và có cú pháp cụ thể.
$FWDIR/scripts/fwaffinity_apply
Với Option là những thông số sau đây:
-p Không cần in màn hình thông báo, chỉ cần in lổi khi xảy ra -t Cập nhật cấu hình cho từng loại liên kết với:
Intrusion Prevention System – IPS
Tổng quan về IPS trong Firewall Check Point
IPS, hay Hệ thống chống xâm nhập (Intrusion Prevention System), là phần mềm hoặc thiết bị chuyên dụng có khả năng phát hiện và ngăn chặn các mối đe dọa an ninh Do có nhiều điểm tương đồng, hệ thống IDS (Hệ thống phát hiện xâm nhập) và IPS thường được gọi chung là IDP (Phát hiện và Ngăn chặn xâm nhập).
Trước sự xuất hiện của các cuộc tấn công quy mô lớn như Code Red, NIMDA và SQL Slammer, hệ thống IDS gặp nhiều hạn chế trong việc chỉ đưa ra cảnh báo mà không thể tự động ngăn chặn các cuộc tấn công Để giải quyết vấn đề này, hệ thống IPS đã được phát triển vào năm 2003 và nhanh chóng trở nên phổ biến vào năm 2004, giúp giảm thiểu công việc cho người quản trị hệ thống bằng khả năng tự động ngăn chặn các mối đe dọa.
Hệ thống IPS đang dần thay thế IDS nhờ vào việc giảm thiểu yêu cầu can thiệp của con người trong việc phản ứng với các mối đe dọa, đồng thời giảm bớt gánh nặng vận hành Trong một số trường hợp đặc biệt, IPS có thể hoạt động như IDS bằng cách tắt tính năng ngăn chặn xâm nhập Hiện nay, các mạng lưới đều hướng tới việc sử dụng giải pháp IPS thay cho hệ thống IDS cũ.
Check Point IPS R70 là một hệ thống ngăn ngừa xâm nhập tích hợp với Check Point Security Gateway, giúp tăng cường bảo vệ cho hệ thống Với các kỹ thuật tiên tiến, Check Point IPS kiểm soát luồng dữ liệu và so sánh nội dung gói tin với hơn 2000 định dạng tấn công, nhằm xác định ảnh hưởng của luồng dữ liệu đến hệ thống và đưa ra biện pháp ngăn chặn Hệ thống này bảo vệ cả Server và Client, đồng thời cung cấp công cụ để điều khiển luồng dữ liệu trong mạng, phát hiện và ngăn chặn các hành vi gây nguy hiểm cho hệ thống.
Phương thức hoạt động của Check Point IPS
Phát hiện và ngăn chặn các phương pháp khai thác đã được biết
Phát hiện và ngăn chặn các lỗ hỏng bảo mật trong hệ thống
Phát hiện và ngăn chặn việc lạm dụng các giao thức mạng để tấn công
Phát hiện và ngăn chặn việc kết nối bất hợp pháp
Phát hiện và ngăn chặn những kiểu tấn công thông dụng mà không cần nhận dạng trước.
Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS
Phương pháp Scan Port được sử dụng để xác định các dịch vụ mà một host hoặc mạng cung cấp, như web server thường mở cổng 80 và FTP server mở cổng 21 Thông tin thu thập được từ quá trình quét cổng có thể giúp kẻ tấn công xác định cách thức tấn công và khai thác vào server.
Dựa trên phương thức truyền thông TCP ta có thể scan xem server mở port nào cũng như đóng port nào
Hai phương pháp quét cổng phổ biến là gửi gói tin SYN để kiểm tra trạng thái của cổng Nếu cổng mở, server sẽ phản hồi bằng gói SYN ACK, giúp kẻ tấn công xác định dịch vụ đang hoạt động trên server đó.
ACK Scan là phương pháp quét thường được sử dụng kết hợp với SYN Scan để phát hiện sự hiện diện của Firewall trong hệ thống Nguyên tắc hoạt động của ACK Scan là kẻ tấn công gửi các gói TCP có cờ ACK Nếu server nhận được gói ACK, nó sẽ phản hồi bằng gói RST, cho phép kẻ tấn công nhận biết rằng không có sự giám sát về session trong hệ thống Ngược lại, nếu có sự xuất hiện của Firewall lớp Transport hoặc Multilayer Firewall, các gói tin ACK sẽ bị chặn.
Lab mô phỏng cho thấy rằng việc quét port không được coi là nguy hiểm cho hệ thống, mà thường tương tự như truy cập bình thường Do đó, hầu hết các hệ thống IPS và IDS chỉ có khả năng phát hiện mà không ngăn chặn hành động này Check Point IPS chỉ phát hiện và thông báo cho quản trị viên qua việc thống kê các port không mở trên server nội bộ Nếu việc truy xuất diễn ra liên tục từ hàng trăm đến hàng nghìn port trong thời gian ngắn từ một host, IPS sẽ xác định đây là hành động quét port.
Cuộc tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) là những nỗ lực nhằm làm cho tài nguyên của một máy tính không còn khả dụng cho người dùng Mặc dù có nhiều phương thức, động cơ và mục tiêu khác nhau, nhưng các cuộc tấn công này thường bao gồm sự phối hợp và ý định xấu từ một hoặc nhiều cá nhân nhằm vào các trang web hoặc dịch vụ trực tuyến, làm gián đoạn hoạt động của chúng, có thể là tạm thời hoặc kéo dài không xác định Các mục tiêu phổ biến của những cuộc tấn công này bao gồm ngân hàng, cổng thanh toán thẻ tín dụng và máy chủ DNS gốc.
Nguyên lý tấn công từ chối dịch vụ (DoS) thường sử dụng nhiều phương pháp khác nhau, trong đó SYN Attack là một trong những hình thức phổ biến nhất Bài viết này sẽ tập trung vào việc mô phỏng phương pháp tấn công SYN để minh họa cho nguyên lý hoạt động của nó.
Teardrop là một lỗ hổng bảo mật trong quá trình truyền dữ liệu qua mạng, nơi dữ liệu từ hệ thống nguồn được chia thành các mảnh nhỏ có giá trị offset để xác định vị trí trong gói dữ liệu Khi các mảnh này đến hệ thống đích, chúng được sắp xếp lại dựa trên giá trị offset Tuy nhiên, bằng cách gửi một loạt gói packets với giá trị offset chồng chéo, hệ thống đích sẽ không thể sắp xếp chúng đúng cách, dẫn đến tình trạng không kiểm soát, có thể gây ra crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets quá lớn.
SYN Attack là một phương thức tấn công mạng trong đó hacker gửi hàng loạt gói SYN đến hệ thống đích với địa chỉ IP nguồn giả mạo Khi hệ thống nhận các gói SYN này, nó sẽ phản hồi và lưu trữ các yêu cầu để xử lý Sự gia tăng đột ngột của các gói tin chờ xử lý sẽ khiến hệ thống bị quá tải và có thể dẫn đến việc khởi động lại.
… đạt được mục đích của tấn công DOS
Cuộc tấn công Land Attack tương tự như cuộc tấn công SYN Attack, nhưng thay vì sử dụng các địa chỉ IP giả mạo, hacker lại sử dụng chính địa chỉ IP của hệ thống nạn nhân Hành động này tạo ra một vòng lặp vô tận ngay trong hệ thống của nạn nhân, gây ra sự cố nghiêm trọng cho hoạt động của mạng.
Trong cuộc tấn công Smurf Attack, ba thành phần chính bao gồm hacker, mạng khuếch đại và hệ thống nạn nhân Hacker gửi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại, với địa chỉ IP nguồn là của nạn nhân Khi các gói tin này đến mạng khuếch đại, các máy tính trong mạng sẽ nhầm tưởng rằng nạn nhân đã gửi gói tin ICMP và đồng loạt phản hồi lại nạn nhân bằng các gói tin ICMP phản hồi.
Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot
Trước hết nhóm chúng tôi thực hiện SYN attack trang web tự tạo bằng công cụ
Hàng loạt gói tin SYN từ một địa chỉ không có thực được gửi tới Web server
Web server hoàn toàn tê liệt và không thể truy cập được Đây là thông tin ghi nhận được trên Check Point IPS – Mode Detect
Nguyên tắc phát hiện tấn công SYN flood của hệ thống IPS dựa vào việc theo dõi số lượng gói tin SYN được gửi đến server từ một địa chỉ host trong một khoảng thời gian nhất định Khi số lượng gói tin vượt quá mức bình thường, chẳng hạn như 300 gói trong vòng 10 giây, IPS sẽ xác định đây là một cuộc tấn công SYN flood.
Web server gặp khó khăn trong việc xử lý quá nhiều gói SYN, dẫn đến việc không thể đáp ứng các yêu cầu truy cập web khác Giải pháp cho vấn đề này là chuyển từ chế độ Detect sang chế độ Prevent trên Check Point IPS.
Lúc này Check Point IPS đã chuyển sang Prevent
Trang web đã có thể truy cập lại trong khi attacker vẫn đang SYN flood
Và đây là phương thức chống SYN Attack của IPS
Dựa trên kết quả ghi nhận, khi phát hiện SYN Attack, Check Point IPS sẽ tự động gửi gói tin RST (Reset) đến kẻ tấn công, giúp ngăn chặn cuộc tấn công DOS Điều này có nghĩa là mọi gói tin trong cuộc tấn công sẽ được trả về gói RST, giảm thiểu số lượng Request mà Web Server phải xử lý Đồng thời, IPS cũng gửi gói RST đến Web Server để kết thúc các Session còn lại Tuy nhiên, việc ngăn chặn DOS vẫn phụ thuộc vào khả năng xử lý của IPS, do đó đây chỉ là một phương pháp nhằm giảm thiểu thiệt hại khi bị tấn công từ chối dịch vụ.
