BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ Giảng viên hướng dẫn : Thầy Đinh Ngọc Luyện Nhóm sinh viên thực : Cao Hiệp Hưng MSSV : 070112 Lương Hữu Tân MSSV : 070057 Lớp : VT071 Tháng 12 /năm 2010 Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân TRÍCH YẾU Thơng qua Khóa Luận Tốt Nghiệp, nghiên cứu vấn đề sau  Xây dựng hệ thống Firewall sách bảo mật cho mạng  Thiết lập phương thức kết nối an toàn mạng Internet (IPsec VPN)  Xây dựng hệ thống quản lý truy xuất mạng đảm bảo người dùng truy xuất xác liệu theo quyền hạn vị trí họ Đồng thời tối ưu hóa tối độ truy cập tránh rủi ro mát liệu Và kết đạt có kiến thức thiết bị Checkpoint, hiểu quy tắc hoạt động, truyền thông thiết bị Checkpoint giao thức chạy thiết bị Nắm quy tắc cấu hình, quản lý bảo trì thiết bị Checkpoint Có kiến thức khả tương tác thiết bị Chekpoint với thiết bị, phần mềm hãng khác (Cisco, Microsoft, Juniper Network…) Tận dụng chức tương tác thiết bị đảm nhận vai trò khác (IPS Firewall, Switch Security Gateway…) Có kiến thức loại công hệ thống mạng hệ thống máy local (Worm, Trojan, Virus…) Hiểu ứng dụng công nghệ bảo mật tiên tiến Checkpoint vào trình xây dựng quản lý hệ thống Ngồi chúng tơi cịn có thêm kỹ làm việc nhóm, kỹ phân chia cơng việc, nhiệm vụ, thời gian hợp lý Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang i Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân MỤC LỤC TRÍCH YẾU i LỜI CÁM ƠN vi NHẬN XÉT CỦA GIẢNG VIÊN vii CHAPTER 01 – VPN A Cryptography Classic Cryptography 1.1 Substitution Cipher 1.2 Vigenère Cipher 1.3 Transposition Modern Cryptography 2.1 Hash 2.1.1 Hash Overview 2.1.2 HMAC – Hashed Message Authentication Code 2.2 Encryption 2.2.1 Encryption overview 2.2.2 Block and Stream cipher 2.2.3 Symmetric Encryption Algorithms 2.2.4 Asymmetric Encryption Algorithms 2.2.5 Digital Signature 13 Cryptanalysis 15 Cryptography Overview Chart 16 PKI – Public Key Infrastructure 16 5.1 Trusted Third-Party Protocol 16 5.2 PKI overview 17 5.2.1 Thuật ngữ 17 5.2.2 PKI Topologies 18 5.2.3 PKI standard 19 5.2.4 Certificate Authority - CA 21 5.2.5 Server Offload 25 B IPsec VPN 26 VPN Overview 26 1.1 History 26 1.2 Virtual Private Network - VPN 26 1.3 Benefits of VPN 26 IPsec VPN 27 2.1 Workflow 27 2.2 IPsec Functions 28 2.3 IPsec Security Protocol 28 2.3.1 Tunnel Mode Transport Mode 28 2.3.2 Authentication Header – AH 29 2.3.3 Encapsulating Security Payload – ESP 30 2.4 Security Association – SA 31 2.4.1 IKE SA 32 2.4.2 IPsec SA 32 2.5 Internet Key Exchange – IKE 33 2.5.1 Step : Interesting Traffic Initiates the IPsec Process 34 2.5.2 Step : IKE Phase I 34 2.5.3 Step : IKE Phase II 38 2.5.4 Step : Data Transfer 40 2.5.5 Step : IPsec Tunnel Termination 40 2.6 VPN Communities and Terminology 40 2.7 IKE DoS Attack and Protection 41 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang ii Trường Đại học Hoa Sen C Cao Hiệp Hưng – Lương Hữu Tân 2.7.1 IKE DoS Attack 41 2.7.2 Checkpoint Solution 41 2.8 Access Control and VPN Communities 43 Remote Access VPN 44 Overview 44 1.1 Need for Remote Access VPN 44 1.2 Checkpoint Solution 44 1.2.1 Remote Access and Components 44 1.2.2 Connectra and Deloyment 47 1.2.3 User Database 48 Resolving Connectivity Issues 49 2.1 NAT Related Issues 50 2.1.1 Packet Fragmentation 50 2.1.2 IKE Phase I Problem and Solutions 50 2.1.3 IKE Phase II Problem and Solutions 51 2.1.4 IPsec Data transfer Problem and Solutions 52 2.2 Restricted Internet Access Issues 53 2.2.1 Overview 53 2.2.2 Checkpoint Solution – Visitor Mode 54 Office Mode 55 3.1 Overview 55 3.2 Checkpoint Solution - Office Mode 55 3.3 How Office Mode Works 55 3.4 Workflow 56 3.5 IP Address Allocation 56 3.5.1 IP Pool 56 3.5.2 DHCP 57 3.5.3 RADIUS Server 57 3.5.4 IP Allocation Order 57 3.5.5 IP pool Versus DHCP 57 3.6 Optional Parameters 57 3.6.1 IP Address Lease duration 57 3.6.2 WINS and DNS 58 3.7 Office Mode Per Site 58 3.8 IP per user 59 3.8.1 DHCP Solution 59 3.8.2 Ipassignment conf Solution 59 3.9 Routing Table 60 3.9.1 Topology Overview 60 3.9.2 Routing Table 60 3.10 SSL Network Extender 61 3.10.1 Overview 61 3.10.2 Checkpoint Solution – SSL Network Extender 62 3.11 Clientless VPN 62 3.11.1 Overview 62 3.11.2 Checkpoint Solution – Clientless VPN 63 3.11.3 Workflow 63 3.11.4 Clientless VPN Consideration 63 Remote Access Routing 64 4.1 Overview 64 4.2 Checkpoint Solution – Hub Mode 64 4.3 Hub Mode Situation 64 4.3.1 Remote User to Another VPN Domain 64 4.3.2 Remote User to Remote User 65 4.3.3 Remote User to Internet Server 66 4.4 Hub Mode Routing Table 67 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang iii Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân CHAPTER 02 – IPS 68 A IPS Overview 69 Overview 69 1.1 IPS vs IDS 69 1.2 Terminology 70 Classification 70 2.1 NIPS – Network-based Intrusion Prevention System 70 2.2 HIPS – Host-based Intrusion Prevention System 71 2.3 Comparision 72 IPS Signature 73 3.1 Signature Definition 73 3.2 Phân loại Signature 73 3.2.1 Signature-based 73 3.2.2 Signature types 74 3.2.3 Signature trigger 75 3.2.4 Signature Action 80 B Checkpoint Solutions 81 Checkpoint IPS Protection 81 1.1 Network Security 81 1.2 Application Intelligent 81 1.3 Web Intelligent 81 IPS Optimization 82 2.1 Trouble Shooting 82 2.2 Protect Internal Host Only 82 2.3 Bypass Under Load 82 CHAPTER 03 – EPS 83 A EPS Overview 85 EPS System Architecture 85 Policy 86 2.1 Policy Overview 86 2.2 Policy Component Overview 86 Modes and Views 87 3.1 Multi-Domain Mode 87 3.2 Single Domain Mode 87 Managing Domain 87 4.1 Multi-Domain Administrators 87 4.2 System Domain Non-System Domain 87 4.2.1 System Domain 87 4.2.2 Non-System Domain 88 Managing Administrator Roles 88 B Managing Catalogs 90 User Catalogs 90 1.1 Custom Catalogs 90 1.2 LDAP Catalogs 90 1.3 RADIUS Catalogs 91 1.4 Synchronizing User Catalogs 91 1.5 Authenticating Users 91 1.6 Authentication Process 92 1.6.1 LDAP Catalog 92 1.6.2 RADIUS Catalog 93 IP Catalogs 94 C Managing Security Policy 95 Policy Type 95 1.1 Enterprise Policy 95 1.2 Personal Policy 95 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang iv Trường Đại học Hoa Sen D Cao Hiệp Hưng – Lương Hữu Tân 1.3 Policy Arbitration 96 1.4 Policy Package 96 1.5 Rule Evaluation and Precedence 96 1.5.1 Hard-Cored Rule 96 1.5.2 Security Rules 96 Creating Policy 97 2.1 Creating Policy Using Template 97 2.2 Creating Policy Using File 98 Policy Object 99 3.1 Access Zone 99 3.2 Firewall Rule 100 3.2.1 Firewall Rule Overview 100 3.2.2 Firewall Rule Rank 100 3.2.3 Firewall Rule Parameter 101 3.3 Enforcement Rule 101 3.3.1 Enforcement Rule Types Overview 101 3.3.2 Remediation Resource and Sandbox 103 3.3.3 Enforcement Rule Parameter 104 3.3.4 Anti-virus Enforcement Rule Parameter 104 3.4 Anti-virus and Anti-spyware Rules 105 3.5 Program Control Rules 105 3.5.1 Program Observation 105 3.5.2 Program Permission 106 3.5.3 Program Advisor 106 3.6 Smart-Defense 109 Gateway and Cooperative Enforcement 110 Cooperative Enforcement Overview 110 Network Access Server Integration 110 2.1 Cooperative Enforcement Architecture 110 2.2 Cooperative Enforcement Workflow 111 KINH NGHIỆM VÀ KHÓ KHĂN 113 PHỤ LỤC 114 A Bảng giá đề nghị 114 Trường hợp : Sử dụng Appliances 114 Trường hợp : Sử dụng Sotfware 114 Chi tiết thiết bị 114 B Sơ đồ mạng Hoa Sen đề nghị 116 C Tổng hợp Rule 117 Firewall Rule 117 NAT Rule 118 Endpoint Security Rule 119 3.1 “Public” Policy Public 119 3.2 “Networking Computer Lab”Policy 120 3.3 “Networking Computer Lab – Switch” Policy 120 3.4 “Computer Lab” Policy 121 3.5 “Computer Lab – Switch” Policy 122 3.6 “Staff” Policy 123 3.7 “Examination” Policy 124 D Tài liệu tham khảo 126 E Website tham khảo 128 Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang v Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân LỜI CÁM ƠN Đầu tiên, xin cám ơn trường Đại học Hoa Sen tạo hội cho chúng tơi thực Khóa Luận Tốt Nghiệp để chúng tơi có hội tìm hiểu thêm nhiều kiến thức mới, có ích cho cơng việc chúng tơi sau tốt nghiệp Và xin cám ơn thầy Đinh Ngọc Luyện tạo hội cho chúng tơi thực Khóa Luận Tốt Nghiệp này, thầy hướng dẫn, cung cấp tài liệu, hỗ trợ mặt tinh thần để chúng tơi hồn thành tốt Khóa Luận Tốt Nghiệp, giúp chúng tơi có nhiều kinh nghiệm thực tế phương diện làm việc nhóm kiến thức cấu hình thiết bị thực tiễn Xin cám ơn thầy phịng Đào tạo hỗ trợ thông tin cần thiết Khóa Luận Tốt Nghiệp Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang vi Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân NHẬN XÉT CỦA GIẢNG VIÊN …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang vii CHAPTER 01 – VPN VIRTUAL PRIVATE NETWORK Trong chapter ta nói Virtual Private Network vấn đề liên quan Chapter 01 – Virtual Private Network bao gồm ba phần  Cryptography  IPsec VPN and IPsec Site-to-Site VPN  IPsec Remote Access VPN  Cryptography Phần Cryptography thuật tốn mã hóa cổ điển, thuật tốn mã hóa đại phương pháp bẻ gãy mã Đặc điểm mục đích sử dụng thuật tốn HASH Đặc điểm mục đích sử dụng thuật tốn mã hóa Cuối chữ ký số kiến trúc PKI  Classic Cryptography  Modern Cryptography  Cryptanalysis  PKI – Public Key Infrastructure  IPsec VPN Trong phần ta nói VPN lợi ích VPN so với kiểu kết nối cũ Giới thiệu IPsec VPN chức IPsec VPN Bên cạnh giới thiệu giao thức bảo mật IPsec Đi sâu vào phân tích q trình đàm phán IKE Phase I IKE Phase II Cuối vấn đề khác thiết lập đường IPsec Site-to-Site VPN  VPN Overview  IPsec VPN  VPN Communities and Terminology Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang  IKE DoS Attack and Checkpoint Solution  VPN Topologies  Access Control Policy and VPN Communities  IPsec Remote Access VPN Trong phần ta nói IPsec Remote Access VPN chức IPsec Remote Acces VPN Bên cạnh vấn đề phát sinh Remote User dùng IPsec Remote Access Cuối các chế độ làm việc Remote Access VPN  Overview  Resolving Connectivity Issues  Office Mode  Remote Access Routing Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang   Software Blade : Firewall, VPN, IPS, Anti-Spam & Email Security, URL Filtering, Anti-Virus & Anti-Malware Management Blade : Network Policy Management, Endpoint Policy Management, Logging & Status  Connectra : Check Point Connectra 9072 appliance for 2500 Concurrent Users  SKU : CPWS-CRA-M9072-2500 : 73,391.68 $  Price : 95,000 $  MSRP : 2,500  Concurrent Users : Unlimited  Licensed User  Storage : 160GBx2 : 2U  Enclosure  Security Bundle CPSG-P405-CPSM-P1003  SKU : CPSG-P405-CPSM-P1003 : 14,161.75 $  Price : 19,000 $  MSRP : SG405 and SM1003  Including : Including Firewall, IPSec VPN, Advanced Networking,  SG405 Including Acceleration & Clustering and IPS  SM1003 : Network Policy Management, Endpoint Policy Management, Logging & Status  Connectra : Check Point Connectra software for 2500 Concurrent Users  SKU : CPWS-CRS-2500 : 60,078.77 $  Price : 85,000 $  MSRP  EP Server Licences CPEP-SA-1-100TO4999  SKU : CPEP-SA-1-100TO4999 : 37.27 $  Price : 50 $  MSRP  EP    On Demand 2500User (Optional) CPWS-CCV-2500 SKU : CPEP-SA-1-100TO4999 Price : 11,182.91 $ MSRP : 15,000 $ Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 137 B Sơ đồ mạng Hoa Sen đề nghị Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 138 C Tổng hợp Rule Firewall Rule Hình E5 – : Firewall Rule : Cho phép Remote Users truy cập vào Connectra Bao gồm Services    HTTPS (TCP 443) CP_SSL_Network_Extender (TCP 444) IKE_NAT_TRAVERSAL (UDP 4500) Rule : Cho phép Users (LAN, Internet) truy cập vào vùng DMZ Rule : Stealth Rule ngăn chặn việc truy cập trực tiếp vào Security Gateway Rule : DNS cho phép mạng Quang Trung truy vấn DNS, bao gồm     Rule : LAN_QT Management DMZ Security Gateway Cho phép Users sử dụng Clientless VPN Rule : Cho phép Connectra kết nối tới Authentication Server (RADIUS, TACACS+, ADAM, AD…) Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 139 Rule : Cho phép Connectra kết nối tới Internal Server     Rule : Web Application : HTTP (TCP 80) Fileshare Application : Microsoft-ds (TCP/UDP 445) Mail Exchange : IMAP (TCP 143), SMTP (TCP 25) Native Application : Telnet (TCP 23), Remote Desktop (TCP 3389), … Cho phép Users LAN_QT Join Domain Rule : Cho phép EP_Server kết nối tới Authentication Server (RADIUS, TACACS+, ADAM, AD…) Rule 10 : Cho phép Remote Users trao đổi thơng tin với EP_Server Rule 11 : Cho phép Remote Users hợp lệ truy cập đến mạng Internal Rule 12 : Quang Quản lý kết nối IPsec Site-to-Site VPN từ Nguyễn Văn Tráng tới Trung Rule 13 + 14 : Cho phép Users vùng LAN_QT truy cập Internet Tuy nhiên hạn chế truy cập bất hợp pháp vào vùng Management Rule 15 : Cho phép log lại truy cập không cho phép Rule NAT Rule Hình E5 – : NAT Firewall Rule : Cho phép Public Internal Server vùng DMZ Internet (Static NAT) Rule + : Cho phép Remote Connectra (Automatic NAT) Users Internet truy cập vào Rule + : Cho phép Users LAN_QT truy cập Internet (Automatic NAT) Rule + : Cho phép Remote Users sử dụng IPsec Remote Access VPN (Office Mode Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 140 Hub Mode) truy cập Internet (Automatic NAT) Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 141 Endpoint Security Rule Quy tắc đặt Rule : Action Source Destination : Service 3.1 “Public” Policy Public  Đối tượng : Desktop PC Laptop  Phương pháp xác thực : Join Domain 802.1x  Quản lý User Catalog  Software : Endpoint Agent Client Package (Tích hợp Antivirus, Spyware)  IP Range : 10.0.1.1  10.0.5.254  Firewall Rule  Permit User  Active_Directory : Join_Domain_Protocol  Deny User  Active_Directory : Any  Permit User  FTP_Server : FTP, HTTP  Deny User  FTP_Server : Any  Permit User  EP_Server : Endpoint_Client_Protocol  Deny User  EP_Server : Any  Deny User  Authentication_Server : Any  Access Zone (Medium Security)  Trusted Zone : 10.0.1.1  10.0.5.255  Blocked Zone : 10.0.0.1  10.0.1.255  Blocked Zone : 10.0.6.1  10.255.255.255  Blocked Zone : VPN Group  Internet Zone  Program Advisor  Không cho sử dụng Torrent, Garena,…  Enforcement Rule  Antivirus Requirement : Group Program (Kaspersky, AVG,…)  Enforcemence Rule o Win XP : XPSP3(KB936929)  Restricted Rule o Permit User  kaspersky.nts.com.vn, AVG.com… : Any o Permit User  Microsoft.com : Any o Permit User  EP_Server : Endpoint_Client_Protocol o Permit User  FTP : FTP, HTTP o Deny Any  Any : Any  Client Setting  Không cho phép User tắt Endpoint Software  Tắt tường lửa Windows  Tắt Wireless adapter cổng LAN kết nối vào mạng LAN Khóa Luận Tốt Nghiệp – Firewall Checkpoint Trang 142 3.2 “Networking Computer Lab”Policy  Đối tượng : Desktop PC  Quản lý Custom Build-in Package Policy  Software : Endpoint Agent Client Package (Khơng tích hợp Antivirus, Spyware)  IP Range : 10.0.6.1  10.0.10.254 (4 Phòng)  Firewall Rule  Deny User  Active_Directory : Any  Deny User  FTP_Server : Any  Permit User  EP_Server : Endpoint_Client_Protocol  Deny User  EP_Server : Any  Deny User  Authentication_Server : Any  Access Zone (Medium Security)  Trusted Zone : 10.0.X.1  10.0.X.255  Blocked Zone : 10.0.1.1  10.0.(X-1).255  Blocked Zone : 10.0.(X+1).1  10.255.255.255  Blocked Zone : VPN Group  Internet Zone  5