BÁO cáo đồ án HƯỚNG NGÀNH đề tài tìm HIỂU FIREWALL TRÊN CHECKPOINT

KHOA KHOA HỌC VÀ CÔNG NGHỆ BÁO CÁO ĐỒ ÁN HƯỚNG NGÀNH ĐỀ TÀI: TÌM HIỂU FIREWALL TRÊN CHECKPOINT Người hướng dẫn : Thầy Đinh Ngọc Luyện Lớp : VT071 Sinh viên : Nguyễn Quỳnh; MSSV: 070073 Phù Sử Hùng; MSSV: 070156 HK09.2 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Tìm hiểu Firewall Checkpoint Lời Mở Đầu Check point software technologies, công ty hàng đầu giới an toàn an ninh internet Check point dẫn đầu thị trường an ninh thơng tin tồn cầu lĩnh vực tường lửa mạng riêng ảo Check Point cung cấp giải pháp an ninh vành đai, an ninh nội an ninh trang web nhằm bảo vệ thông tin kinh doanh, tài nguyên mạng doanh nghiệp ứng dụng, nhân viên làm việc từ xa, chi nhánh Với công nghệ Stateful Inspection phát minh Check Point Technology làm trung tâm, OPSEC (Open Platform for Security) hình thành mở rộng thêm sức mạnh giải pháp Check Point Các giải pháp Check Point bán, tích hợp dịch vụ hệ thống mạng lưới 1900 đối tác Check Point 86 nước Đề tài chúng tôi, chúng tơi nghiên cứu tính Network Access, Connectivity CoreXL từ đưa giải pháp bảo mật dựa Firewall CheckPoint vấn đề nghiên cứu Khoa Khoa Học Và Công Nghệ Trang i TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Tìm hiểu Firewall Checkpoint Mục Lục Lời Mở Đầu i Mục Lục ii Phần 1: Network Access I Access Control Sự cần thiết Access Control Tổng quan Access Control Check Point Firewall Các thành phần Rule Công dụng đặc biệt Access Control Cấu hình Access Control II Authentication 10 Vai trò User Authentication 10 Tổng quan User Authentication Check Point Firewall 10 Các phương thức xác thực Check Point Firewall 10 Cấu hình phương thức xác thực Firewall Check Point 11 Các chế xác thực sử dụng Firewall Check Point 15 5.1 VPN-1 & Firewall-1 Password 16 5.2 OS Password 17 5.3 RADIUS 18 5.4 TACACS 19 5.5 S/Key 19 5.6 SecurID 21 Cấu hình chế xác thực 21 Phần : Conectivity 26 I Network Address Tranlation 26 Địa Chỉ IP Private Và IP Public 26 NAT CheckPoint Security Gateway 27 2.1 Static NAT 27 2.2 Hide NAT 28 2.2.1 Automactic Hide NAT Static NAT CheckPoint Firewall 30 Khoa Khoa Học Và Công Nghệ Trang ii TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Tìm hiểu Firewall Checkpoint 2.2.2 NAT Table Expiration Hide NAT 30 2.3 NAT Rule Base 31 2.4 Destination NAT vấn đề routing 32 2.4.1 Static Destination NAT on Server Side 33 2.4.2 Static Destination NAT on Client Side 34 2.5 Automatic Và Manual ARP Proxy 34 Cấu hình NAT Check Point Security Gateway 36 3.1 Cấu hình Global NAT 36 3.2 Cấu hình Automactic NAT 38 3.2.1 Automatic NAT cho Node Object 38 3.2.2 Automatic NAT cho Network 39 3.2.3 Sử dụng chức Hide behind Gateway chức Automatic Hide NAT 41 3.2.4 Cấu hình NAT cho Address Range Object 42 3.3 Cấu hình Manual NAT 44 3.3.1 Cấu hình host route 44 3.3.2 Cấu hình Proxy ARP 45 3.3.3 Tạo Object cho Manual NAT rule 46 3.3.4 Tạo Manual NAT Rule 46 II ISP Redundancy 48 Tổng quan ISP Rundundancy 49 Các chế động hoạt động ISP Redundancy 49 Cách hoạt động ISP Redundancy 50 3.1 Kết nối từ firewall internet 50 3.2 Kết nối từ phía ngồi internet vào bên mạng 50 Đổi trạng thái link theo yêu cầu ISP redundancy script 52 Triển khai ISP Redundancy 52 Cấu hình ISP Redundancy 53 6.1 Domain Địa IP 53 6.2 Cấu hình Built-in mini DNS cho kết nối vào firewall 54 6.3 Cấu hình ISP Redundancy 55 Khoa Khoa Học Và Công Nghệ Trang iii TIEU LUAN MOI download : skknchat123@gmail.com moi nhat Tìm hiểu Firewall Checkpoint III ConnectControl – Server Load Balancing 56 Tổng quan ConnectControl 56 Các phương pháp dùng để cân tải 57 Cách hoạt động ConnectControl 58 3.1 Packet Flow 58 3.2 Các loại logical server 58 3.2.1 HTTP logical server 59 3.2.2 Logical server dành cho dịch vụ khác 60 IV Persistent server mode 60 4.1 Persistent by server 60 4.2 Persistent by service 61 4.3 Persistent server timeout 61 4.4 Server Availability 61 Cấu hình ConnectControl 62 Brigde Mode 63 Tổng quan brigde mode 63 Cấu hình 64 Xem Interface Brigde Command Line 65 Phần : CoreXL 66 Tổng quan CoreXL 66 1.1 Tổng quan phân phối vi xử lý 66 1.2 Cấu hình mặc định CoreXL 67 1.3 Xem cấu hình mặc định CoreXL 68 Phân phối lại vi xử lý 68 2.1 Phân phối thêm vi xử lý cho SND 68 2.2 Giảm số lượng instance 69 2.3 Phân phối vi xử lý lại cho SND 70 2.3.1 Trong trường hợp có Performance Pack 70 2.3.2 Trong trường hợp khơng có Performance Pack 70 Phân phối vi xử lý cho việc ghi log 72 fw affinity Script 73 Khoa Khoa Học Và Công Nghệ Trang iv TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Phần 4: Intrusion Prevention System – IPS 74 Tổng quan IPS Firewall Check Point 74 Phương thức hoạt động Check Point IPS 74 Mô cách thức công ghi nhận hoạt động IPS 75 3.1 Port scan 75 3.2 DOS (Denial of Services) 78 Phần : Giải pháp cho trường Đại học Hoa Sen 84 Khoa Khoa Học Và Công Nghệ Trang v TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Phần 1: Network Access I Access Control Sự cần thiết Access Control Tài nguyên hệ thống mạng có nhiều thành phần bên bao gồm networks, hosts, network services protocol Từ đặt vấn đề cần thiết phải có cơng cụ để người quản trị mạng kiểm sốt truy cập vào nguồn tài nguyên hệ thống Access Control vùng truy cập phân quyền cho người truy cập vùng tài nguyên Đồng thời, Access Control cịn xác thực người dùng nhằm kiểm sốt việc quyền truy cập Tổng quan Access Control Check Point Firewall Check Point Security Gateway thường đặt khu vực biên hệ thống cần bảo vệ nhằm theo dõi quản lý chặt chẽ luồng liệu vào mạng Người quản trị hệ thống có nhiệm vụ đặt sách bảo mật để bảo vệ an tồn cho hệ thống quản lý truy cập mạng Chính sách bảo mật triển khai tập hợp có thứ tự quy tắc (rules) Security Rule Base, sách tốt sở tất yếu cho hệ thống an toàn Nguyên lý Rule Base tất hành động không cho phép bị chặn Rule Base tập hợp quy tắc (rules) định luồng liệu phép qua luồng liệu bị cấm Các thành phần Rule Source Destination: nơi xuất phát nơi đến luồng liệu, kết nối cho phép gói tin kết nối cho qua hai hướng Khoa Khoa Học Và Công Nghệ Trang TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint VPN: định Rule áp dụng cho kết nối hay dành riêng cho kết nối VPN  Service: định giao thức, dịch vụ hay ứng dụng cần quản lý thông qua Rule  Action: hành động định cho kết nối đề cập đến thông qua Rule  Track: tùy chọn việc ghi nhận lại hoạt động Rule  Install On: chức nhằm tạo thuận lợi việc quản lý người quản trị Thành phần nơi người quản trị cần triển khai Rule vừa tạo ra, Firewall riêng biệt hay tất Firewall hệ thống  Time: định thời gian có hiệu lực Rule Ngoài Rule tạo người quản trị, Security Gateway tạo Rule mặc định Rule mặc định thường dành cho kết nối từ Security Gateway cho dịch vụ điều khiển, cấu hình Cơng dụng đặc biệt Access Control Chống giả mạo địa chỉ: giả mạo địa tượng người công thay đổi địa IP gói tin nhằm mục đích xâm nhập trái phép vào bên hệ thống Cơ chế chống giả mạo địa bảo đảm gói tin có nguồn đích đến với cổng Security Gateway Một ví dụ giả mạo địa người cơng từ ngồi Internet, tức cổng external Gateway gửi vào gói tin có địa địa bên mạng nội chế chống giả địa chặn gói tin khơng xuất phát từ cổng bên mà bên ngồi Khoa Khoa Học Và Cơng Nghệ Trang TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Cấu hình Access Control Lab 1: Tạo Rule Firewall Check Point Bước 1: Vào tab Firewall Smart Dashboard, vào menu Rule > Add Rule > Bottom/Top Bước 2: Tùy chỉnh thành phần Rule để thực mục đích người quản trị Lab 2: Cấu hình chống giả mạo địa cho cổng External Gateway Bước 1: Click chuột phải vào Firewall Object > Edit > Topology Khoa Khoa Học Và Công Nghệ Trang TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Bước 2: Edit cổng External, qua tab Topology, check vào ô Perform Anti-Spoofing based on interface topology Bước 3: Lưu lại cấu hình Khoa Khoa Học Và Công Nghệ Trang TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Ngồi dùng cơng cụ cpconfig : Chạy lệnh cpconfig Chọn mục Cofigure Check Point CoreXL Nếu chức CoreXL bật, chọn mục Change the number of firewall instances thiết lập số instance Nếu chức CoreXL chưa bật, bật chức CoreXL chọn mục Change the number of firewall instances Reboot lại firewall 2.3 Phân phối vi xử lý cịn lại cho SND 2.3.1 Trong trường hợp có Performance Pack Khi có Performance Pack, gắn kết interface vi xử lý thực lệnh sim affinity Theo mặc định lệnh sim affinity tự động, điền có nghĩa Performance Pack chạy chế độ tự động gắn kết giửa interface vi xử lý lại tự động Performance Pack Trong hầu hết trường hợp khơng cần phải thay đổi thiết lập sim affinity 2.3.2 Trong trường hợp khơng có Performance Pack Khi khơng có Performance Pack gắn kết interface vi xử lý lấy từ file cấu hình tên fwafinity.conf lúc boot, file lưu giử thư mục $FWDIR/conf Trong file text này, kí tự i dịng đại điện cho liên kết giửa interface vi xử lý Nếu có Performance Pack dịng bỏ qua Nếu firewall có vi xử lý chạy SND lúc cách tốt để vi xử lý gắn kết với interface với chế độ tự động mặc định, lúc file cấu hình fwaffinity.conf có dạng sau : i default auto Khoa Khoa Học Và Công Nghệ Trang 70 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Nếu muốn cấu hình cho vi xử lý chạy SND lúc ta cần phải rỏ interface gắn kết với vi xử lý trường hợp firewall có nhiều interface Để thiết lập gắn kết interface Performance Pack không hoạt động ta làm sau : Thiết lập gắn kết interface vi xử lý cách chỉnh lại file cấu hình fwaffinity.conf Mỗi dịng file điều bắt đầu kí tự i theo cú pháp sau : i với :  interfacename: tên interface, ví dụ eth0, eth1…  cpuid: số thứ tự vi xử lý Ví dụ firewall có interface, từ eth0 đến eth3 ta muốn thiết lập interface gắn kết với vi xử lý, lúc file cấu hình fwaffinity có dạng : i eth0 i eth1 i eth2 i eth3 Ngồi ta chọn interface để gắn kết với vi xử lý interface lại gắn kết với interface lại lúc ta sử dụng từ khoá default thay cho Ví dụ file cấu hình fwaffinity có dạng sau: i eth2 i default Reboot lại firewall để cập nhật cấu hình Khoa Khoa Học Và Công Nghệ Trang 71 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Phân phối vi xử lý cho việc ghi log Nếu firewall đòi hỏi cao cho việc ghi log ta hình riêng cho việc ghi log vi xử lý riêng việc gắn kết fwd daemon với vi xử lý Giống SND việc bắt buộc phải giảm bớt kernel để cấp cho fwd daemon Để phân phối cho fwd daemon vi xử lý ta tiến hành bước sau: Giảm số lượng kernel firewall Gắn kết fwd với vi xử lý lại Gắn kết fwd deamon với vi xử lý Việc gắn kết fwd daemon với vi xử lý tương tự SND, sau giảm số lượng kernel firewall, ta thêm vào file cấu hình fwaffinity.conf với cú pháp sau đây: n fwd Ví dụ, ta muốn gắn kết fwd với vi xử lý số sau giảm kernel, thêm vào file fwaffinity.conf dòng sau: n fwd Khoa Khoa Học Và Công Nghệ Trang 72 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Khởi động lại firewall để cập nhật cấu hình fw affinity Script fwaffinity_apply đoạn script dùng để cập nhật cấu hình cấu hình CoreXL mà không cần phải reboot lại firewall Script lưu giử $FWDIR/scripts có cú pháp sau: $FWDIR/scripts/fwaffinity_apply Với Option thông số sau đây: Option -p -t Mô tả Không cần in hình thơng báo, cần in lổi xảy Cập nhật cấu hình cho loại liên kết với:  i: interface  n: Check Point fwd daemon  k:kernel firewall Khoa Khoa Học Và Công Nghệ Trang 73 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Phần 4: Intrusion Prevention System – IPS Tổng quan IPS Firewall Check Point IPS gì: Một hệ thống chống xâm nhập ( Intrusion Prevention System –IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung IDP-Intrusion Detection and Prevention Trước hạn chế hệ thống IDS, sau xuất công ạt quy mô lớn Code Red, NIMDA, SQL Slammer, vấn đề đặt tự động ngăn chặn công không đưa cảnh báo nhằm giảm thiểu công việc người quản trị hệ thống Hệ thống IPS đời vào năm 2003 sau đó, năm 2004 phổ biến rộng rãi Kết hợp với việc nâng cấp thành phần quản trị, hệ thống IPS xuất dần thay cho IDS giảm bớt yêu cầu tác động người việc đáp trả lại nguy phát được, giảm bớt phần gánh nặng việc vận hành Hơn số trường hợp đặc biệt, IPS hoạt động IDS việc ngắt bỏ tính ngăn chặn xâm nhập Ngày hệ thống mạng hướng tới sử dụng giải pháp IPS thay hệ thống IDS cũ Check Point IPS R70 hệ thống ngăn ngừa xâm nhập tích hợp với Check Point Secutiry Gateway để tăng cường bảo vệ cho hệ thống Check Point IPS với kỹ thuật tiên tiến giúp tăng cường khả phòng thủ hệ thống cách kiểm soát luồng liệu so sánh nội dụng gói tin với 2000 định dạng kiểu công nhẳm xác định sức ảnh hưởng luồng liệu đến hệ thống đưa biện pháp ngăn chặn Check Point IPS bảo vệ Server lẫn Client cung cấp công cụ để điều khiển luồng liệu mạng, phát ngăn chặn hành vi gây nguy hiểm cho hệ thống Phương thức hoạt động Check Point IPS Khoa Khoa Học Và Công Nghệ Trang 74 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint  Phát ngăn chặn phương pháp khai thác biết  Phát ngăn chặn lỗ hỏng bảo mật hệ thống  Phát ngăn chặn việc lạm dụng giao thức mạng để công  Phát ngăn chặn việc kết nối bất hợp pháp  Phát ngăn chặn kiểu công thông dụng mà không cần nhận dạng trước Mô cách thức công ghi nhận hoạt động IPS 3.1 Port scan  Giới thiệu Phương pháp Scan Port thường thực trực tiếp host mạng nhằm mục đích nhận biết dịch vụ mà host cung cấp Vi dụ: Web server thường mở port 80, FTP server thường mở port 21 … Attacker dựa thơng tin thu nhận để tìm cách cơng, khai thác vào server  Ngun lý Dựa phương thức truyền thơng TCP ta scan xem server mở port đóng port  Sau hai phương pháp scan port phổ biến: SYN Scan: Máy attacker gửi hàng loạt gói tin TCP có port đích port cần scan server cần khai thác Đặc điểm gói tin TCP bật cờ SYN bước đầu trình bắt tay bước giao thức TCP Từ đó, server Khoa Khoa Học Và Cơng Nghệ Trang 75 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint nhận gói tin trả gói SYN ACK port có mở attacker biết dịch vụ bật server ACK Scan: phương pháp scan thường dung kết hợp với SYN Scan nhằm phát có mặt Firewall hệ thống Nguyên tắc ACK Scan attacker gửi gói TCP có bật cờ ACK lên Server nhận gói ACK trả gói RST, attacker nhận biết khơng có giám sát session hệ thống Cịn có xuất Firewall lớp Transport hay Multilayer Firewall gói tin ACK gửi vào chắn bị drop Khoa Khoa Học Và Công Nghệ Trang 76 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint  Lab mô Scan port mức độ không gọi nguy hiểm cho hệ thống lại có tính tương đồng với việc truy cập bình thường nên IPS hay IDS có tính phát không ngăn chặn hành động Check Point IPS phát báo cho người quản trị biết thông qua việc thống kê việc truy xuất port không mở server bên hệ thống Nếu việc truy xuất diễn liên tục tới hàng trăm đến hàng nghìn port xuất phát từ host thời gian ngắn IPS xác định hành động Scan Port Khoa Khoa Học Và Công Nghệ Trang 77 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint 3.2 DOS (Denial of Services)  Giới thiệu Một công từ chối dịch vụ (tấn công DoS) hay công từ chối dịch vụ phân tán (tấn công DDoS) cố gắng làm cho tài ngun máy tính khơng thể sử dụng nhằm vào người dùng Mặc dù phương tiện để tiến hành, động cơ, mục tiêu công từ chối dịch vụ khác nhau, nói chung gồm có phối hợp, cố gắng ác ý người hay nhiều người để chống lại Internet site service (dịch vụ Web) vận hành hiệu tất cả, tạm thời hay cách không xác định Thủ phạm tẩn công từ chối dịch vụ nhằm vào mục tiêu site hay server tiêu biểu ngân hàng, cổng toán thẻ tín dụng chí DNS root servers  Nguyên lý Sau vài phương pháp công từ chối dịch vụ phổ biến, chúng tơi chọn SYN Attack để thực phần mô viết Teardrop: Như ta biết , tất liệu chuyển mạng từ hệ thống nguồn đến hệ thống đích phải trải qua trình : liệu chia thành mảnh nhỏ hệ thống nguồn, mảnh phải có giá trị offset định để xác Khoa Khoa Học Và Công Nghệ Trang 78 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint định vị trí mảnh gói liệu chuyển Khi mảnh đến hệ thống đích, hệ thống đích dựa vào giá trị offset để xếp mảnh lại với theo thứ tự ban đầu Lợi dụng sơ hở , ta cần gởi đến hệ thống đích loạt gói packets với giá trị offset chồng chéo lên Hệ thống đích khơng thể xếp lại packets này, khơng điều khiển bị crash, reboot ngừng hoạt động số lượng gói packets với giá trị offset chồng chéo lên lớn SYN Attack: Trong SYN Attack, hacker gởi đến hệ thống đích loạt SYN packets với địa ip nguồn khơng có thực Hệ thống đích nhận SYN packets trả lời gói SYN đồng thời lưu request vào nhớ để xử lý Với hàng loạt gói tin chờ xử lý làm cho hệ thống tải, reboot … đạt mục đích công DOS Land Attack : gần giống SYN Attack, thay dùng địa ip khơng có thực, hacker dùng địa ip hệ thống nạn nhân Điều tạo nên vịng lặp vơ tận hệ thống nạn nhân Attack : Trong Smurf Attack, cần có ba thành phần: hacker (người lệnh công), mạng khuếch đại (sẽ nghe lệnh hacker) hệ thống nạn nhân Hacker gởi gói tin ICMP đến địa broadcast mạng khuếch đại Điều đặc biệt gói tin ICMP packets có địa ip nguồn địa ip nạn nhân Khi packets đến địa broadcast mạng khuếch đại, máy tính mạng khuếch đại tưởng máy tính nạn nhân gởi gói tin ICMP packets đến chúng đồng loạt gởi trả lại hệ thống nạn nhân gói tin phản hồi ICMP packets Hệ thống máy nạn nhân không chịu khối lượng khổng lồ gói tin nhanh chóng bị ngừng hoạt động, crash reboot Mơ Trước hết nhóm chúng tơi thực SYN attack trang web tự tạo công cụ synflood.pl Backtrack Check Point IPS để Detect khơng Prevent ta có kết sau Khoa Khoa Học Và Công Nghệ Trang 79 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Hàng loạt gói tin SYN từ địa khơng có thực gửi tới Web server Web server hoàn toàn tê liệt truy cập Khoa Khoa Học Và Công Nghệ Trang 80 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Đây thông tin ghi nhận Check Point IPS – Mode Detect Nguyên tắc phát SYN flood IPS thường dựa đếm, số lượng gói tin SYN gửi tới server từ host khoảng thời gian bất thường IPS xác định cơng SYN flood Ví dụ: 300 gói tin vịng 10 giây Web server phải xử lý nhiều gói SYN gửi tới nên khơng cịn khả đáp ứng cho u cầu truy cập web khác Vấn đề giải sau chuyển từ Detect sang Prevent Check Point IPS Khoa Khoa Học Và Công Nghệ Trang 81 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Lúc Check Point IPS chuyển sang Prevent Trang web truy cập lại attacker SYN flood Và phương thức chống SYN Attack IPS Khoa Khoa Học Và Công Nghệ Trang 82 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT Tìm hiểu Firewall Checkpoint Dựa theo kêt ghi nhận ta thấy phát SYN Attack Check Point IPS thực công việc để ngăn chặn cơng IPS tự động gửi lại gói tin RST tức Reset cho attacker hay nói cách khác gói tin cơng DOS trả gói RST Web Server xử lý hàng loạt Request Đồng thời IPS gửi gói RST cho Web Server với mục đích kết thúc Session cịn lưu Web Server Ta nhận thấy vấn đề ngăn chặn DOS phụ thuộc vào khả xử lý IPS nên phương pháp để giảm tới mức tối thiểu thiệt hại bị công từ chối dịch vụ Khoa Khoa Học Và Công Nghệ Trang 83 TIEU LUAN MOI download : skknchat123@gmail.com moi nhat BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT BAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINTBAO.cao.do.an.HUONG.NGANH.de.tai.tim.HIEU.FIREWALL.TREN.CHECKPOINT