Network Access
Access Control
1 Sự cần thiết của Access Control
Tài nguyên trong hệ thống mạng bao gồm nhiều thành phần như mạng, máy chủ, dịch vụ mạng và giao thức, điều này tạo ra nhu cầu cần có công cụ quản lý truy cập Access Control giúp xác định khu vực có thể truy cập và phân quyền cho người dùng trong vùng tài nguyên đó Ngoài ra, Access Control còn thực hiện việc xác thực người dùng để kiểm soát quyền truy cập hiệu quả.
2 Tổng quan về Access Control của Check Point Firewall
Check Point Security Gateway được lắp đặt tại khu vực biên của hệ thống để theo dõi và quản lý lưu lượng dữ liệu ra vào mạng Người quản trị hệ thống cần thiết lập các chính sách bảo mật nhằm bảo vệ an toàn cho hệ thống và quản lý quyền truy cập Những chính sách này được thực hiện thông qua một tập hợp quy tắc có thứ tự trong Security Rule Base, và một chính sách bảo mật hiệu quả là điều kiện cần thiết cho sự an toàn của hệ thống.
Nguyên lý cơ bản của Rule Base là chặn tất cả các hành động không được phép Rule Base bao gồm một tập hợp các quy tắc xác định luồng dữ liệu hợp lệ và luồng dữ liệu bị cấm.
3 Các thành phần của Rule
Source và Destination xác định vị trí xuất phát và đích đến của luồng dữ liệu Khi kết nối được thiết lập, các gói tin sẽ được truyền qua lại theo cả hai hướng trong kết nối đó.
VPN: chỉ định Rule được áp dụng cho mọi kết nối hay chỉ dành riêng cho kết nối VPN
Service: định ra giao thức, dịch vụ hay ứng dụng cần quản lý thông qua Rule
Action: hành động định ra cho kết nối được đề cập đến thông qua Rule
Track: những tùy chọn về việc ghi nhận lại hoạt động của Rule
Chức năng "Cài đặt trên" giúp người quản trị dễ dàng quản lý các quy tắc đã tạo ra Thành phần này xác định vị trí triển khai quy tắc, có thể là trên một Firewall cụ thể hoặc tất cả các Firewall trong hệ thống.
Time: định ra thời gian có hiệu lực của Rule
Ngoài các quy tắc do người quản trị thiết lập, Security Gateway cũng tự động tạo ra các quy tắc mặc định Những quy tắc này thường áp dụng cho các kết nối từ Security Gateway đến các dịch vụ điều khiển và cấu hình.
4 Công dụng đặc biệt của Access Control
Chống giả mạo địa chỉ: giả mạo địa chỉ là hiện tượng người tấn công thay đổi địa chỉ
Địa chỉ IP của gói tin có thể bị lợi dụng để xâm nhập trái phép vào hệ thống Cơ chế chống giả mạo địa chỉ đảm bảo rằng các gói tin được gửi và nhận đúng theo từng cổng trên Security Gateway Chẳng hạn, nếu một kẻ tấn công từ Internet gửi gói tin với địa chỉ của mạng nội bộ vào cổng external của Gateway, cơ chế chống giả mạo sẽ ngay lập tức chặn gói tin đó vì nó không xuất phát từ cổng nội bộ.
5 Cấu hình Access Control Lab 1: Tạo một Rule trong Firewall Check Point
Bước 1: Vào tab Firewall trong Smart Dashboard, vào menu Rule > Add Rule >
Bước 2: Tùy chỉnh các thành phần của Rule để thực hiện mục đích của người quản trị
Lab 2: Cấu hình chống giả mạo địa chỉ cho cổng External của Gateway
Bước 1: Click chuột phải vào Firewall Object > Edit > Topology
Bước 2: Edit cổng External, qua tab Topology, check vào ô Perform Anti-Spoofing based on interface topology
Authentication
1 Vai trò của User Authentication
Xác thực người dùng là quá trình quan trọng trong việc đảm bảo quyền truy cập an toàn vào tài nguyên của hệ thống công ty Qua đó, người dùng sẽ nhận được quyền truy cập phù hợp với vai trò và nhiệm vụ của họ trong mạng lưới, giúp bảo vệ thông tin và tài nguyên của tổ chức.
2 Tổng quan về User Authentication của Check Point Firewall
Check Point Security Gateway sử dụng nhiều cơ chế xác thực người dùng, chủ yếu dựa trên tên người dùng và mật khẩu Các cơ chế này khác nhau ở vị trí lưu trữ thông tin xác thực; một số lưu trữ trực tiếp trên Security Gateway, trong khi các cơ chế khác lưu trữ thông tin trên các máy chủ chứng thực như RADIUS và TACACS.
3 Các phương thức xác thực của Check Point Firewall
Xác thực người dùng cho phép quản trị viên cấp quyền truy cập cho cá nhân trên bất kỳ máy tính nào mà không làm ảnh hưởng đến những người dùng khác đang sử dụng cùng một thiết bị Tính năng này hoạt động thông qua các giao thức như Telnet, FTP, HTTP và dịch vụ RLOGIN.
Xác thực phiên (Session Authentication) là một phương thức xác thực yêu cầu người dùng cung cấp thông tin xác thực cho mỗi phiên làm việc Phương thức này thường được áp dụng cho các dịch vụ cá nhân, đòi hỏi người dùng cài đặt một chương trình riêng trên máy tính của họ, do đó, nó thường chỉ được sử dụng bởi một người dùng duy nhất trên một thiết bị.
Client Authentication là phương thức cho phép nhiều người dùng kết nối thông qua việc xác thực quyền truy cập cho một địa chỉ IP hoặc máy xác định Ưu điểm nổi bật của Client Authentication là khả năng kết nối không hạn chế mà không yêu cầu người dùng nhập lại tên và mật khẩu trong suốt quá trình làm việc Phương thức này cũng tương tự như Session Authentication và thường được triển khai trên máy đơn.
4 Cấu hình phương thức xác thực trong Firewall Check Point Lab 1: Cấu hình User Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Truy cập Web từ Client
Bước 3: Nhập thông tin xác thực
Truy xuất trang Web www.google.com.vn thành công
Lab 2: Cấu hình Client Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Tùy chỉnh Client Authentication
Bước 3: Từ Client truy cập vào địa chỉ http://[IPfwCP]:900
Bước 4: Nhập thông tin xác thực
Từ bây giờ có thể truy xuất Web không cần đăng nhập lại
Lab 3: Cấu hình Session Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Tùy chỉnh Session Authentication
Bước 3: Cài đặt Client Session Agent ở máy Client
Bước 4: Từ máy Client truy cập Web
Nhập thông tin xác thực và người dùng sẽ truy cập thành công website
5 Các cơ chế xác thực sử dụng trên Firewall Check Point
Cơ chế xác thực định nghĩa loại cơ sở dữ liệu và giao thức kết nối cần thiết với cơ sở dữ liệu Dưới đây là các cơ chế được hỗ trợ trong Firewall Check Point.
Trong danh sách nêu trên, chỉ có VPN-1 & Firewall-1 Password và S/Key là sử dụng cơ sở dữ liệu xác thực nằm trên Security Gateway, trong khi các cơ chế khác đều dựa vào cơ sở dữ liệu bên ngoài.
5.1 VPN-1 & Firewall-1 Password Đây là cơ chế xác thực do chính Firewall Check Point cung cấp Cơ chế này xác thực user dựa trên chính cơ sở dữ liệu được tạo ra trên Security Gateway Chiều dài tên user lên đến 100 ký tự số và chữ và mật khẩu phải có chiều dài nằm trong khoảng 4 tới 8 ký tự
Hệ thống xác thực người dùng không chỉ dựa vào máy chủ quản lý mà mỗi module đều lưu trữ một bản sao cơ sở dữ liệu xác thực Điều này cho phép các module tự xác thực người dùng mà không cần gửi yêu cầu về cơ sở dữ liệu chính, từ đó nâng cao hiệu suất hoạt động của hệ thống.
Cơ chế xác thực qua OS Password cho phép các Module xác thực sử dụng cơ sở dữ liệu xác thực của hệ điều hành để kiểm tra danh tính người dùng Chẳng hạn, nếu Module xác thực hoạt động trên hệ điều hành Windows Server, nó sẽ truy xuất thông tin người dùng thông qua Security Account Management (SAM).
Trên Management Server, cơ sở dữ liệu chính lưu trữ thông tin người dùng và chuyển cho các Module xác thực, tuy nhiên, phần mật khẩu không được hiển thị trên Management Server mà chỉ đề cập đến cơ chế sử dụng là OS Password.
Việc xác định cơ chế xác thực là OS Password khi người dùng kết nối với cơ sở dữ liệu của chính mình không được khuyến khích do hai lý do chính.
Cơ sở dữ liệu xác thực người dùng được lưu trữ trên hệ điều hành, điều này cho phép kết nối trực tiếp vào Module xác thực, gây ra nguy cơ tiềm ẩn cho hoạt động an toàn của hệ thống.
Một hệ thống có thể bao gồm nhiều Module xác thực, và khi sử dụng cơ chế OS Password, cần đảm bảo rằng dữ liệu người dùng trên tất cả các Module được đồng bộ Điều này có thể tạo ra khó khăn trong việc cấu hình cơ sở dữ liệu.
RADIUS là cơ chế xác thực tập trung, với cơ sở dữ liệu được lưu trữ trên một máy chủ riêng biệt (RADIUS Server), không nằm trong các Module xác thực Ưu điểm nổi bật của RADIUS là khả năng xác thực tập trung, cho phép quản trị viên chỉ cần cấu hình cơ sở dữ liệu người dùng trên RADIUS Server, trong khi các Module xác thực sẽ thực hiện việc xác thực người dùng dựa trên thông tin từ RADIUS Server.
Tương tự như OS Password, dữ liệu user vẫn xuất hiện trên cơ sở dữ liệu chính trên
Conectivity
Network Address Tranlation
Trong mạng máy tính, mỗi thiết bị được gán một địa chỉ IP, với hầu hết sử dụng địa chỉ IPv4 Private, không thường được dùng trong routing Mặc dù vậy, các máy tính này vẫn cần truy cập internet Việc gán địa chỉ IP Public cho từng máy tính là không khả thi do hạn chế về số lượng địa chỉ IP Public hiện có.
IPv4 hiện tại có chiều dài 32 bit, nhưng do nhu cầu ngày càng tăng của mạng máy tính, số lượng địa chỉ IPv4 đang trở nên hạn hẹp Thông thường, địa chỉ IPv4 công cộng chỉ được cấp phát cho các nhà cung cấp dịch vụ Internet (ISP) hoặc các tổ chức thương mại lớn.
Dù máy tính có địa chỉ private hay public, người quản trị vẫn thường muốn ẩn địa chỉ của máy tính để đảm bảo an toàn thông tin.
1 Địa Chỉ IP Private Và IP Public Địa chỉ IP Public là những địa chỉ duy nhất, được đăng kí sử dụng trên toàn thế giới và được sử dụng trong routing trên internet Tổ chức IANA là tổ chức chiệu trách nhiệm cấp phát địa chỉ IP, IANA chỉ cấp phát địa chỉ IP thông qua các Regional Internet Registry (RIR) từ một lượng các IP có sẵn và chưa được sử dụng IANA không trực tiếp cấp phát địa chỉ IP cho các ISP hoặc người dùng đầu cuối
IANA đã định nghĩa những địa chỉ sau đây là những Private – những địa chỉ IP không cần đăng kí và không phải là những địa chỉ duy nhất :
Lớp C : 192.168.0.0–192.168.255.255 Khi triển khai CheckPoint trong mạng, người dùng có thể quy định những địa chỉ IP nào là địa chỉ Private
2 NAT trong CheckPoint Security Gateway
NAT (Network Address Translation) là quá trình thay đổi địa chỉ IP, cho phép chuyển đổi giữa địa chỉ Source IP và Destination IP Khi một gói tin rời khỏi mạng nội bộ (Protected Side) để đến mạng bên ngoài (Unprotected Side), nó sẽ xuất hiện như thể được gửi từ một địa chỉ IP khác Khi gói tin trở lại từ bên ngoài vào mạng nội bộ, NAT đảm bảo rằng nó được chuyển đến đúng địa chỉ IP đích.
Check Point Security Gateway (CSG) hổ trợ 2 loại NAT sao đây :
Static NAT : Mỗi địa chỉ IP Private sẽ được chuyển thành một địa chỉ IP
Static NAT allows for the conversion of a range of private IP addresses to a corresponding range of public IP addresses in a one-to-one mapping This process can initiate connections from either the internal network (Source NAT) or the external network (Destination NAT) of a firewall.
Hide NAT là một phương pháp chuyển đổi địa chỉ mạng, cho phép một địa chỉ IP công cộng đại diện cho nhiều địa chỉ IP riêng trong mạng nội bộ (Protected Side).
IP Private thành một địa chỉ IP Public và kết nối chỉ có thể được bắt đầu từ phía trong của firewall
Check Point định nghĩa các đối tượng được NAT trong mạng thông qua các khái niệm như Network, Node, Address Range và Dynamic Object NAT có thể được cấu hình tự động trên một Network Object (Automatic NAT), nghĩa là khi một Network Object được tạo, NAT Rules sẽ tự động phát sinh và được thêm vào NAT Rule Base (bao gồm Automatic Hide NAT hoặc Static NAT) Bên cạnh đó, người dùng cũng có thể tự tạo quy tắc NAT theo cách thủ công (Manual NAT).
User -created NAT rules offer greater flexibility compared to automatically generated ones, allowing users to configure translations based on service or destination port numbers Port number translation is a form of Static NAT, where a port from one IP address is mapped to a port on another IP address.
Source NAT: Source NAT là việc chuyển đổi địa chỉ IP chỉ diển ra ở địa chỉ
Source IP và còn được gọi tắt là SNAT
Destination NAT: Destination NAT là việc chuyển đổi địa chỉ IP chỉ diển ra ở địa chỉ Destination IP và được gọi tắt là DNAT
Static NAT thực hiện chuyển đổi địa chỉ IP theo tỷ lệ 1:1, trong đó mỗi địa chỉ IP sẽ được thay thế bằng một địa chỉ IP khác Cụ thể, một dãy địa chỉ IP Private sẽ được chuyển đổi thành một dãy địa chỉ IP Public tương ứng.
Hide NAT cho phép nhiều máy tính trong mạng sử dụng chung một địa chỉ IP Public, trong khi vẫn giữ địa chỉ IP Private Phương pháp này chỉ cho phép các kết nối được khởi tạo từ bên trong firewall, và còn được gọi là Dynamic NAT.
Các máy tính với IP Private trong mạng có thể được NAT theo 2 cách sao đây :
Chuyển đổi thành một IP Public, địa chỉ này một địa không được gán cho bất kì máy trong và ngoài mạng hay một interface nào của firewall
Convert to a public IP address, which corresponds to one of the firewall's interfaces; these interfaces are the ones that connect to the internet.
Trong Hide NAT, quá trình không chỉ chuyển đổi địa chỉ IP ở layer 3 mà còn chuyển đổi cả source port ở layer 4 Điều này giúp bảo mật thông tin và quản lý lưu lượng mạng hiệu quả hơn.
Port Address Tranlation (PAT) Check Point duy trì một bảng chuyển đổi giữa IP và
Khi gói tin được trả về, port sẽ được chuyển đổi một cách chính xác, giúp firewall xác định được port nào đang được sử dụng.
Check Point dùng những port từ 600 đến 1023 và 10.000 đến 60.00 cho việc chuyển đổi Hide NAT có thể chuyển đổi được 50.000 kết nối cùng một server đồng thời
2.2.1 Automactic Hide NAT và Static NAT trên CheckPoint Firewall
Check Point cung cấp tính năng Automatic Hide NAT, cho phép tự động cấu hình NAT cho các mạng nội bộ của firewall Tính năng này đảm bảo rằng mọi kết nối từ bên trong mạng đều được thực hiện NAT một cách tự động.
ISP Redundancy
Hầu hết các hệ thống mạng hiện nay sử dụng nhiều đường internet từ các nhà cung cấp dịch vụ khác nhau để đảm bảo kết nối ổn định và liên tục 24/7 Tuy nhiên, việc tối ưu hóa cách sử dụng nhiều đường truyền này vẫn là một thách thức lớn.
Check Point cung cấp giải pháp để giải quyết cho vấn đề này, với Check Point VPN-1
Firewall-1 R70 có khả năng duy trì nhiều kết nối internet đồng thời hoặc chỉ sử dụng một kết nối có băng thông cao nhất, trong khi các kết nối còn lại sẽ được sử dụng làm dự phòng.
Chức năng ISP Redundancy trên Check Point Security Gateway đảm bảo kết nối internet liên tục bằng cách sử dụng nhiều interface kết nối đến các nhà cung cấp dịch vụ internet khác nhau Điều đặc biệt là tính năng này đã có sẵn trên Security Gateway mà không cần phải đầu tư thêm thiết bị phần cứng chuyên dụng nào.
ISP Redundancy hổ trợ trên các nền tảng sao đây :
Red Hat Enterprise Linux 7.2 hoặc cao hơn
ISP Redundancy liên tục giám sát các kết nối mạng để chuyển hướng lưu lượng theo hướng tối ưu nhất Hệ thống này hoạt động dưới hai chế độ chính, đảm bảo tính ổn định và độ tin cậy cho người dùng.
2 Các chế động hoạt động của ISP Redundancy
Chức năng ISP Redundancy tối ưu hóa hiệu quả cho kết nối từ bên ngoài vào, trong khi Security Gateway quản lý các kết nối từ mạng nội bộ ra internet một cách hiệu quả.
Kết nối chính và phụ cho phép chuyển đổi linh hoạt giữa hai đường link; khi đường link chính gặp sự cố, hệ thống tự động chuyển sang đường link dự phòng Khi đường link chính phục hồi, các kết nối mới sẽ sử dụng đường link chính, trong khi các kết nối hiện tại tiếp tục qua đường link phụ cho đến khi hoàn tất.
Load Sharing là phương pháp sử dụng đồng thời tất cả các đường link, trong đó kết nối được phân phối ngẫu nhiên qua từng link Khi một trong các link gặp sự cố, các kết nối mới sẽ tự động chuyển sang các đường link còn lại để duy trì tính liên tục và ổn định trong quá trình truyền tải dữ liệu.
Load Sharing thì kết nối vào hướng bên trong sẽ được chuyển hướng qua lại giữa các link bằng việc chuyển đổi kết quả query DNS từ bên ngoài
ISP Redundancy giám sát liên tục các đường link bằng cách kiểm tra trạng thái của cổng giao tiếp hiện có và chuyển hướng default route đến ISP phù hợp Một phương pháp khác để theo dõi tình trạng đường link là cấu hình danh sách các host bên ngoài internet, yêu cầu chúng phản hồi gói tin ICMP echo từ firewall Nếu không nhận được gói tin ICMP reply, đường link sẽ được coi là đã ngừng hoạt động.
3 Cách hoạt động của ISP Redundancy 3.1 Kết nối từ trong firewall ra internet
Trong chế độ Load Sharing, các kết nối được phân phối ngẫu nhiên giữa các đường link internet, trong khi chế độ Primary/Backup chỉ cho phép các kết nối đi qua đường link chính (active).
Hide NAT được sử dụng để thay đổi địa chỉ IP nguồn của gói tin, với gói tin ra đi qua interface nào sẽ được NAT bằng địa chỉ IP của interface đó Điều này đảm bảo rằng gói tin trả về sẽ đi qua cổng giao tiếp mà nó đã ra Việc cấu hình Hide NAT cần được thực hiện bởi người dùng.
3.2 Kết nối từ phía ngoài internet vào bên trong mạng
When a client connects from an external network to an internal server, Static Destination NAT is configured by the user for the internal server's IP address If there are two internet links available, the internal server (such as an HTTP or FTP server) can be simultaneously NATed with two public IP addresses.
Khi khách hàng bên ngoài truy cập vào máy chủ thông qua một trong hai địa chỉ IP công, họ cần phân giải tên miền trước khi kết nối bằng IP Quá trình ISP Redundancy sẽ xử lý kết nối từ bên ngoài như sau:
Khi một khách hàng từ bên ngoài gửi truy vấn tên miền www.testlab.com, truy vấn DNS sẽ được chuyển đến CSG Tại CSG, có một mini-DNS sẵn có, nơi CSG sẽ giữ lại truy vấn DNS trước khi nó đến máy chủ DNS và sẽ trả lời truy vấn DNS cho khách hàng thay cho máy chủ DNS.
Nếu trong mini-DNS đã được cấu hình tên miền www.testlab.com, CSG sẽ trả lời lại DNS query như sau :
Primary/Backup : CSG sẽ trả lời lại với IP của đường Primary link (active link)
Load Sharing : CSG sẽ trả lại cùng lúc 2 địa chỉ IP (193.1.1.1; 193.1.2.1) và lần lượt hoán đổi chúng
Nếu trong trường hợp DNS không thể phân giải tên miền www.testlab.com thì nó sẽ chuyển DNS query đến DNS server 172.16.1.3
Khi Client nhận được địa chỉ IP sau khi phân giải tên miền, nó sẽ ngay lập tức kết nối đến địa chỉ IP đó Để thực hiện điều này, trên CSG cần cấu hình Static Destination NAT cho IP 172.16.1.2.
4 Đổi trạng thái link theo yêu cầu và ISP redundancy script Lệnh fw isp_link
Lệnh fw isp_link cho phép thay đổi trạng thái đường link trên CSG, giúp kiểm tra hoạt động của ISP Redundancy Lệnh này cũng có thể được sử dụng để kích hoạt hoặc hủy kích hoạt đường link trước khi CSG tự động nhận biết và chuyển đổi trạng thái.
Lệnh có cú pháp như sau: fw isp_link [target] link-name up|down
tartget: tên của security gateway
link-name: tên của đường link đã được cấu hình trên CSG
up|down : Trạng thái đường link
Brigde Mode
Khi triển khai firewall vào hệ thống mạng hiện có, cần phải điều chỉnh một số chức năng hoặc cấu hình lại toàn bộ hệ thống Đối với những mạng phức tạp, quản trị viên phải thực hiện cấu hình lại để đảm bảo tính tương thích với hệ thống routing đã có sẵn.
Check Point cung cấp một giải pháp cho phép người quản trị khi triển khai một
Chế độ bridge hoạt động hoàn toàn ở lớp 2, tạo ra liên kết giữa hai giao diện, cho phép tất cả traffic lớp 3 được truyền qua mà không cần quan tâm đến vấn đề routing Khi traffic đi qua firewall, nó sẽ được chuyển tiếp giữa các giao diện mà không bị gián đoạn Điều này giúp CSG giám sát traffic một cách hiệu quả mà không cần can thiệp vào quá trình định tuyến.
Hạn chế của brigde mode
Chỉ hổ trợ từng cặp interface
Không hổ trợ khi sử dụng trong liên kết nhiều firewall (ClusterXL)
Sử dụng giao diện WebUI cấu hình như sau:
1 Chọn Network Connection New Brigde Trước khi tạo một bridge connection thì các interface được bridge không được đặt địa chỉ IP
2 Chọn interface để được Brigde, sau đó chọn Add
3 Điền vào địa chỉ IP và Netmask sao cho cùng với Subnet hiện tại hoặc có thể điền 0.0.0.0 Bride Mode có thể hoạt động mà không cần địa chỉ IP
2 Chọn NetworkAdd new connectionBridge
3 Chọn 2 interface cần bridge, chú ý hai interface này hiện tại không có địa chỉ
4 Bấm phím N để tiếp tục
5 Điền vào địa chỉ IP và Netmask hoặc để 0.0.0.0
3 Xem Interface được Brigde bằng Command Line
Dùng lệnh brctl show để xem các interface đã được brigde Lệnh brctl show phải được thực hiện trong mode Expert
Bridde name : tên của card bridge
Bridge : địa chỉ MAC của card bridge, địa chỉ MAC này là địa chỉ MAC của 1
CoreXL
Tổng quan về CoreXL
CoreXL là công nghệ nâng cao hiệu suất của firewall, cho phép xử lý đồng thời nhiều tiến trình nhờ vào khả năng khai thác sức mạnh của nhiều vi xử lý.
Công nghệ CoreXL cho phép số lượng vi xử lý tăng lên tỉ lệ thuận với khả năng xử lý của firewall, giúp nâng cao hiệu suất mà không cần thay đổi cấu trúc hệ thống mạng.
Công nghệ CoreXL cho phép sao chép kernel của firewall dựa trên số lượng vi xử lý, với mỗi kernel hay instance của firewall được xử lý bởi một vi xử lý riêng biệt.
CoreXL chỉ hổ trợ trên nền SecurePlatform, Nokia và Crossbeam
CoreXL không hổ trợ các tính năng sao đây :
Traffic view in SmartView Monitor
1.1 Tổng quan về phân phối các vi xử lý
Phần chính trong kiến trúc của CoreXL là Secure Network Distributor (SND) SND trong CoreXL sẽ đãm nhiệm vai trò :
Xử lý những traffic đi vào các interface
Tăng tốc xử lý các gói tin trong trường hợp có Performance Pack
Phân phối các gói tin không được tăng tốc giữa các kernel
Khi traffic vào các interface, nó sẽ được chuyển hướng đến một vi xử lý đang chạy một SND Mối liên kết giữa interface và vi xử lý được gọi là affinity của interface đối với vi xử lý đó, giúp traffic được chuyển đến vi xử lý và SND tương ứng Thêm vào đó, việc thiết lập một kernel hoặc tiến trình chạy trên vi xử lý cũng được gọi là affinity của kernel hay process đối với vi xử lý.
Mặc định, tất cả các interface được liên kết với các vi xử lý không gắn kết với kernel của firewall, cùng với SND chạy trên vi xử lý đó Sự gắn kết này diễn ra tự động, có nghĩa là nếu có Performing Pack, gắn kết của các interface sẽ được reset mỗi 60 giây và cân bằng giữa các vi xử lý Ngược lại, nếu không có Performing Pack, tất cả các interface sẽ liên kết với các vi xử lý không gắn kết với kernel của firewall Khi một vi xử lý đã gắn kết với một kernel, nó sẽ không gắn kết với interface nào khác, điều này giúp đảm bảo CoreXL hoạt động hiệu quả nhất.
1.2 Cấu hình mặc định của CoreXL
Trong cấu hình mặc định của CoreXL thì số lượng kernel sẽ tuân theo bảng sau đây:
SND sẽ chạy trên các vi xử lý còn lại và số thứ tự các kernel sẽ được đánh số từ 0
1.3 Xem cấu hình mặc định của CoreXL
Có thể xem được sự gắn kết của tất cả các interface, kernel của firewall với các vi xử lý bằng lệnh fw ctl affinity –l –a
Có thể xem chi tiết các kernel và sự gắn kết của nó bằng lệnh fw ctl multik stat
Nếu Perfoming Pack đang hoạt động thì lúc đó ta xem bằng lệnh sim affinity –l
Phân phối lại các vi xử lý
Theo cấu hình mặc định của CoreXL, tất cả các interface được gán với các vi xử lý, trong khi kernel của firewall không gán với vi xử lý nào Tuy nhiên, trong một số trường hợp, cấu hình này có thể không tối ưu và làm chậm SND, ảnh hưởng đến khả năng xử lý traffic đầu vào Do firewall có đủ vi xử lý, việc phân phối thêm cho SND và giảm bớt một vi xử lý cho kernel có thể cải thiện hiệu suất Để kiểm tra xem SND có làm chậm traffic hay không, cần thực hiện một số bước kiểm tra cụ thể.
1 Xác định vi xử lý nào hiện đang gắn kết với các interface : fw ctl affinity –l –r
2 Khi firewall trong tình trạng đang tải nặng, dùng lệnh top và kiểm tra giá trị idle trên các vi xử lý
Chỉ nên phân phối thêm một vi xử lý cho SND khi thoả các điều kiện sau:
1 Firewall có ít nhất 8 vi xử lý
2 Giá trị idle hiện tại của vi xử lý đang chạy SND từ 0%-5%
3 Tổng giá trị các idle của các vi xử lý đang gắn kết với kernel lớn hơn 100%
Nếu không đáp ứng các điều kiện đã nêu, vi xử lý chặt SND với cấu hình mặc định sẽ hoạt động hiệu quả nhất mà không cần thay đổi Để thêm một vi xử lý cho SND, bạn cần thực hiện theo các bước hướng dẫn cụ thể.
1 Giảm số lượng kernel của firewall bằng công cụ cpconfig
2 Phân phối vi xử lý còn lại cho SND
3 Reboot lại firewall để cập nhật cấu hình mới
2.2 Giảm số lượng instance Để giảm số lượng kernel của ta thực hiện các bước sau :
1 Sử dụng lệnh /etc/fw/boot/fwboot bootconf set_kernnum k
Ngoài ra có thể dùng công cụ cpconfig :
2 Chọn mục Cofigure Check Point CoreXL
3 Nếu chức năng CoreXL đã được bật, chọn mục Change the number of firewall instances và thiết lập số instance
Nếu chức năng CoreXL chưa bật, bật chức năng CoreXL và chọn mục
Change the number of firewall instances
2.3 Phân phối vi xử lý còn lại cho SND 2.3.1 Trong trường hợp có Performance Pack
Khi có Performance Pack, sự gắn kết giữa các interface và vi xử lý sẽ được thực hiện bằng lệnh sim affinity
By default, the affinity command is set to automatic, meaning that when the Performance Pack operates in automatic mode, the binding between the interfaces and the remaining processors is managed automatically by the Performance Pack.
Trong hầu hết các trường hợp thì không cần phải thay đổi thiết lập sim affinity
2.3.2 Trong trường hợp không có Performance Pack
Khi không sử dụng Performance Pack, sự kết nối giữa giao diện và vi xử lý được thiết lập thông qua file cấu hình fwafinity.conf trong quá trình khởi động, và file này được lưu trữ trong thư mục $FWDIR/conf.
Trong tài liệu này, ký tự "i" ở dòng đầu tiên biểu thị sự kết nối giữa các giao diện và vi xử lý Nếu có Performance Pack, dòng này sẽ bị loại bỏ.
If a firewall operates with a single processor running SND, the optimal approach is to connect that processor to the interfaces using the default automatic mode In this case, the configuration file fwaffinity.conf will be formatted as follows: i default auto.
Để cấu hình cho hai vi xử lý chạy SND, cần xác định rõ interface nào sẽ kết nối với vi xử lý nào, đặc biệt khi firewall có nhiều interface Để thiết lập sự kết nối giữa các interface khi Performance Pack không hoạt động, ta thực hiện theo các bước cụ thể.
1 Thiết lập sự gắn kết giữa các interface và vi xử lý bằng cách chỉnh lại file cấu hình fwaffinity.conf Mỗi dòng trong file này điều được bắt đầu bằng kí tự i và theo cú pháp sau đây : i với :
interfacename: tên của interface, ví dụ eth0, eth1…
cpuid: số thứ tự của vi xử lý
For a firewall with four interfaces, ranging from eth0 to eth3, you can configure the system to link every two interfaces to a single processor The configuration file, fwaffinity, would be structured as follows: i eth0 0, i eth1 0, i eth2 1, i eth3 1.
Có thể lựa chọn một interface để kết nối với một vi xử lý, trong khi các interface còn lại sẽ kết nối với interface đã chọn Lúc này, từ khóa "default" sẽ được sử dụng thay cho các kết nối khác.
Ví dụ file cấu hình fwaffinity có dạng như sau: i eth2 0 i default 0
2 Reboot lại firewall để cập nhật cấu hình mới.
Phân phối vi xử lý cho việc ghi log
Để tối ưu hóa việc ghi log cho firewall, có thể gán một vi xử lý riêng cho fwd daemon, tương tự như SND, điều này yêu cầu giảm bớt một kernel để cấp phát cho fwd daemon Các bước cần thực hiện để phân phối một vi xử lý cho fwd daemon bao gồm việc cấu hình và tối ưu hóa hệ thống.
1 Giảm số lượng của kernel của firewall
2 Gắn kết fwd với vi xử lý còn lại
Gắn kết fwd deamon với vi xử lý
Để gắn kết fwd daemon với vi xử lý tương tự như SND, sau khi giảm số lượng kernel của firewall, bạn cần thêm vào file cấu hình fwaffinity.conf với cú pháp: n fwd .
Ví dụ, ta muốn gắn kết fwd với vi xử lý số 2 sau khi giảm đi 1 kernel, thêm vào file fwaffinity.conf một dòng như sau: n fwd 2
Khởi động lại firewall để cập nhật cấu hình.
fw affinity Script
Fwaffinity_apply là một đoạn script giúp cập nhật cấu hình CoreXL mà không cần khởi động lại firewall Script này được lưu trữ tại thư mục $FWDIR/scripts và có cú pháp cụ thể để thực hiện các thay đổi cần thiết.
$FWDIR/scripts/fwaffinity_apply
Với Option là những thông số sau đây:
-p Không cần in màn hình thông báo, chỉ cần in lổi khi xảy ra -t Cập nhật cấu hình cho từng loại liên kết với:
Intrusion Prevention System – IPS
Tổng quan về IPS trong Firewall Check Point
IPS (Hệ thống chống xâm nhập) là phần mềm hoặc thiết bị chuyên dụng có khả năng phát hiện và ngăn chặn các mối đe dọa an ninh IPS và IDS có nhiều điểm tương đồng, do đó chúng thường được gọi chung là IDP (Hệ thống phát hiện và ngăn chặn xâm nhập).
Trước những hạn chế của hệ thống IDS, đặc biệt sau các cuộc tấn công quy mô lớn như Code Red, NIMDA và SQL Slammer, nhu cầu tự động ngăn chặn các cuộc tấn công thay vì chỉ đưa ra cảnh báo đã trở nên cấp bách Hệ thống IPS ra đời vào năm 2003 và nhanh chóng được phổ biến rộng rãi vào năm 2004, nhằm giảm thiểu gánh nặng cho người quản trị hệ thống.
Hệ thống IPS đang dần thay thế IDS nhờ vào việc giảm thiểu yêu cầu can thiệp của con người trong việc ứng phó với các nguy cơ phát hiện, đồng thời giảm bớt gánh nặng vận hành Trong một số trường hợp, IPS có thể hoạt động như IDS bằng cách tắt tính năng ngăn chặn xâm nhập Hiện nay, các mạng lưới đều ưu tiên sử dụng giải pháp IPS thay vì hệ thống IDS cũ.
Check Point IPS R70 là hệ thống ngăn ngừa xâm nhập tích hợp với Check Point Security Gateway, cung cấp bảo vệ mạnh mẽ cho hệ thống Với các kỹ thuật tiên tiến, Check Point IPS kiểm soát luồng dữ liệu và so sánh nội dung gói tin với hơn 2000 định dạng tấn công, giúp xác định tác động của dữ liệu đến hệ thống và đưa ra biện pháp ngăn chặn kịp thời Hệ thống này bảo vệ cả Server và Client, đồng thời cung cấp công cụ quản lý luồng dữ liệu, phát hiện và ngăn chặn các hành vi gây nguy hiểm cho hệ thống.
Phương thức hoạt động của Check Point IPS
Phát hiện và ngăn chặn các phương pháp khai thác đã được biết
Phát hiện và ngăn chặn các lỗ hỏng bảo mật trong hệ thống
Phát hiện và ngăn chặn việc lạm dụng các giao thức mạng để tấn công
Phát hiện và ngăn chặn việc kết nối bất hợp pháp
Phát hiện và ngăn chặn những kiểu tấn công thông dụng mà không cần nhận dạng trước.
Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS
Phương pháp Scan Port được sử dụng để xác định các dịch vụ mà một host hoặc mạng cung cấp Chẳng hạn, máy chủ web thường mở port 80, trong khi máy chủ FTP thường mở port 21 Thông tin thu thập được từ việc quét cổng này có thể giúp kẻ tấn công tìm ra cách khai thác và tấn công vào server.
Dựa trên phương thức truyền thông TCP ta có thể scan xem server mở port nào cũng như đóng port nào
Hai phương pháp quét cổng phổ biến là gửi gói tin SYN để kiểm tra trạng thái cổng Nếu cổng mở, server sẽ trả về gói SYN ACK, giúp kẻ tấn công xác định dịch vụ đang hoạt động trên server đó.
ACK Scan là phương pháp quét thường được kết hợp với SYN Scan để phát hiện sự hiện diện của Firewall trong hệ thống Nguyên tắc hoạt động của ACK Scan là kẻ tấn công gửi các gói TCP có cờ ACK Nếu server nhận được gói ACK, nó sẽ phản hồi bằng gói RST, cho phép kẻ tấn công xác định rằng không có sự giám sát về session trong hệ thống Ngược lại, nếu có Firewall lớp Transport hoặc Multilayer, các gói tin ACK sẽ bị chặn lại.
Lab mô phỏng cho thấy rằng việc quét port không được coi là nguy hiểm cho hệ thống, mà thường tương đồng với truy cập bình thường Hầu hết các hệ thống IPS và IDS chỉ có khả năng phát hiện mà không ngăn chặn hành động này Check Point IPS chỉ phát hiện và thông báo cho quản trị viên thông qua việc thống kê các port không mở trên server nội bộ Nếu việc truy xuất diễn ra liên tục từ hàng trăm đến hàng nghìn port trong thời gian ngắn từ một host, IPS sẽ xác định đây là hành động quét port.
Cuộc tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) là những nỗ lực nhằm làm cho tài nguyên của máy tính không thể sử dụng được cho người dùng Mặc dù có nhiều phương thức, động cơ và mục tiêu khác nhau, các cuộc tấn công này thường liên quan đến hành động phối hợp và ác ý của một hoặc nhiều kẻ tấn công nhằm vào các trang web hoặc dịch vụ trực tuyến Những mục tiêu phổ biến của các cuộc tấn công này bao gồm ngân hàng, cổng thanh toán thẻ tín dụng và các máy chủ DNS root.
Một số phương pháp tấn công từ chối dịch vụ phổ biến hiện nay bao gồm SYN Attack, mà chúng tôi sẽ chọn để mô phỏng trong bài viết này.
Teardrop là một kỹ thuật tấn công mạng, trong đó dữ liệu được chia thành các mảnh nhỏ tại hệ thống nguồn, mỗi mảnh có giá trị offset xác định vị trí trong gói dữ liệu Khi các mảnh này đến hệ thống đích, chúng được sắp xếp lại dựa trên giá trị offset Tuy nhiên, nếu kẻ tấn công gửi một loạt gói packets với giá trị offset chồng chéo, hệ thống đích sẽ gặp khó khăn trong việc sắp xếp, dẫn đến tình trạng crash, reboot hoặc ngừng hoạt động nếu số lượng gói quá lớn.
SYN Attack là một phương thức tấn công mạng, trong đó hacker gửi một loạt gói SYN đến hệ thống mục tiêu với địa chỉ IP nguồn giả mạo Khi hệ thống nhận các gói SYN này, nó sẽ phản hồi và lưu trữ các yêu cầu vào bộ nhớ để xử lý Sự gia tăng đột ngột của các gói tin chờ xử lý sẽ khiến hệ thống bị quá tải và dẫn đến việc khởi động lại.
… đạt được mục đích của tấn công DOS
Cuộc tấn công Land Attack tương tự như SYN Attack, nhưng thay vì sử dụng địa chỉ IP giả mạo, hacker lại sử dụng chính địa chỉ IP của nạn nhân Hành động này tạo ra một vòng lặp vô tận trong hệ thống của nạn nhân, gây ra sự cố và ảnh hưởng nghiêm trọng đến hoạt động của hệ thống.
Trong cuộc tấn công Smurf, có ba thành phần chính: hacker, mạng khuếch đại và hệ thống nạn nhân Hacker gửi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại, với địa chỉ IP nguồn là của nạn nhân Khi các gói tin này đến mạng khuếch đại, các máy tính trong mạng sẽ nhầm tưởng rằng nạn nhân đã gửi gói tin và sẽ đồng loạt phản hồi bằng các gói tin ICMP trở lại hệ thống nạn nhân.
Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot
Trước hết nhóm chúng tôi thực hiện SYN attack trang web tự tạo bằng công cụ
Hàng loạt gói tin SYN từ một địa chỉ không có thực được gửi tới Web server
Web server hoàn toàn tê liệt và không thể truy cập được Đây là thông tin ghi nhận được trên Check Point IPS – Mode Detect
Nguyên tắc phát hiện tấn công SYN flood của IPS dựa vào việc theo dõi số lượng gói tin SYN gửi tới server từ một địa chỉ host trong khoảng thời gian nhất định Khi số lượng gói tin này vượt quá ngưỡng bình thường, chẳng hạn như 300 gói tin trong 10 giây, IPS sẽ nhận diện đó là một cuộc tấn công SYN flood.
Web server gặp phải tình trạng quá tải khi phải xử lý nhiều gói SYN, dẫn đến việc không thể đáp ứng các yêu cầu truy cập web khác Giải pháp cho vấn đề này là chuyển từ chế độ Detect sang Prevent trên Check Point IPS.
Lúc này Check Point IPS đã chuyển sang Prevent
Trang web đã có thể truy cập lại trong khi attacker vẫn đang SYN flood
Và đây là phương thức chống SYN Attack của IPS
Dựa trên kết quả ghi nhận, khi phát hiện SYN Attack, Check Point IPS sẽ tự động gửi gói tin RST (Reset) cho attacker, giúp ngăn chặn cuộc tấn công DOS bằng cách trả lại mọi gói tin trong cuộc tấn công Điều này giúp Web Server không phải xử lý hàng loạt Request không cần thiết Đồng thời, IPS cũng gửi gói RST về cho Web Server để kết thúc các Session còn lưu Tuy nhiên, việc ngăn chặn DOS vẫn phụ thuộc vào khả năng xử lý của IPS, do đó đây chỉ là một phương pháp nhằm giảm thiểu thiệt hại khi bị tấn công từ chối dịch vụ.