đồ án tốt nghiệp nghiên cứu triển khai nokia firewall

Nokia IP1220 giống như một tấm lá chắn bảo vệ hệ thống mạng bên trong, ngănchặn các lưu thông bất hợp pháp vào bên trong mạng, kiểm soát tất cả các gói tin điqua, thiết lập các chính sác

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Vũ Hồng Phong

NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công Nghệ Thông Tin

HÀ NỘI - 2009

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Vũ Hồng Phong

NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL

KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành: Công Nghệ Thông Tin

Cán bộ hướng dẫn: ThS Đoàn Minh Phương

Cán bộ đồng hướng dẫn: ThS Nguyễn Nam Hải

HÀ NỘI - 2009

LỜI CẢM ƠN

Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới ThS Nguyễn Nam Hải vàThS Đoàn Minh Phương Hai thầy đã giúp đỡ em lựa chọn đề tài đồng thời trực tiếphướng dẫn và đưa ra những nhận xét quý giá trong suốt quá trình em thực hiện khóaluận này Em cũng xin gửi lời cảm ơn tới các thầy trong Trung Tâm Máy Tính – Đạihọc Công Nghệ - ĐHQGHN đã hết sức tạo điều kiện để em nghiên cứu và hoàn thànhkhóa luận

Em xin được cảm ơn các thầy, các cô trong trường Đại học Công Nghệ, trongsuốt bốn năm qua đã giảng dạy chúng em Những kiến thức các thầy, các cô cung cấp

sẽ là hành trang vững chắc để em tiến bước trong tương lai

Trong quá trình học tập, em đã nhận được rất nhiều sự giúp đỡ, động viên từ cácbạn trong lớp K50CA, K50MMT Em xin được gửi lời cảm ơn tất cả các bạn

Cuối cùng, em xin gửi lời cảm ơn sâu sắc nhất tới bố mẹ và gia đình em Nhữngngười luôn luôn cổ vũ, khích lệ và mang tới cho em những điều tốt đẹp nhất trongcuộc sống

TÓM TẮT NỘI DUNG

Phần mở đầu của Khóa luận sẽ đặt ra các vấn đề làm cơ sở cho việc thực hiệnKhóa luận Các vấn đề được đặt ra dựa trên việc khảo sát thực tế hiện trạng hệ thốngmạng trường Đại học Công Nghệ (xem chi tiết trong phụ lục B)

Tiếp đó, Khóa luận sẽ trình bày giải pháp sử dụng Nokia Check Point để nângcao khả năng an ninh và hoạt động của hệ thống mạng Các phần sau của khóa luận sẽlần lượt trình bày về phương pháp cài đặt, triển khai thiết bị Nokia IP1220 Đầu tiên làtìm hiểu về HĐH IPSO sử dụng trên Nokia IP1220, các bước cài đặt, cấu hình HĐHIPSO Tiếp đó là phần giới thiệu và cách cài đặt ứng dụng Firewall-1/VPN-1 Sau đó

là cách cấu hình tường lửa, thiết lập các chính sách an ninh, cấu hình NAT, Routing ,cấu hình mạng riêng ảo VPN tích hợp với máy chủ LDAP Trước mỗi phần đều có nêutóm tắt các kiến thức cơ bản được sử dụng

Phần kết luận sẽ nêu lên kết quả triển khai thành công Nokia Check Point trên hệthống mạng thực tế của trường Đại học Công Nghệ và các phương hướng, bổ sung cầnthực hiện trong tương lai

MỤC LỤC

BẢNG VIẾT TẮT 7

7

DANH SÁCH HÌNH VẼ 8

DANH SÁCH BẢNG 11

ĐẶT VẤN ĐỀ 12

CHƯƠNG 1 GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 14

1.1 Giải pháp Nokia Check Point 14

1.2 Tổng quan Nokia Check Point [4] 14

1.2.1 Hệ điều hành IPSO 15

1.2.2 Cài đặt HĐH IPSO và cấu hình ban đầu 15

CHƯƠNG 2 CÀI ĐẶT CHECK POINT NGX R62 [6] 23

2.1 Giới thiệu 23

2.2 Cài đặt package 23

2.2.1 Cài đặt gói wrapper 24

2.2.2 Cài đặt SmartConsole NGX R62 25

CHƯƠNG 3 THIẾT LẬP CẤU HÌNH TƯỜNG LỬA 26

3.1 Thiết lập cấu hình ban đầu 26

3.2 Chính sách tường lửa mặc định 28

3.3 Thiết lập các luật tường lửa qua SmartDashboard 30

CHƯƠNG 4 THIẾT LẬP CẤU HÌNH NAT 33

4.1 Ẩn giấu đối tượng mạng 33

4.2 Cấu hình luật NAT 34

CHƯƠNG 5 CẤU HÌNH SMARTDEFENSE [3] 36

5.1 Giới thiệu về SmartDefense 36

5.2 Network Security 37

5.2.1 Denial of Service 37

5.2.2 IP and ICMP 37

5.2.3 TCP 38

5.2.4 Fingerprint Scrambling 39

5.2.5 Successive Events 39

5.2.6 Dynamic Ports 39

5.3 Application Intelligence 40

5.3.1 HTTP Worm Catcher 40

5.3.2 Cross-Site Scripting 41

5.3.3 HTTP Protocol Inspection 41

5.3.4 File and Print Sharing Worm Catcher 43

CHƯƠNG 6 THIẾT LẬP CẤU HÌNH VPN 44

6.1 Tổng quan về VPN 44

6.2 Giải pháp VPN Check Point cho truy cập từ xa 44

6.2.1 Cấu hình Office Mode sử dụng IP Pool 44

6.2.2 Truy cập VPN từ xa sử dụng SecuRemote/SecureClient 50

CHƯƠNG 7 CẤU HÌNH VPN TÍCH HỢP LDAP 55

7.1 Giới thiệu sơ lược về LDAP 55

7.2 Cấu hình VPN tích hợp LDAP [6] 57

7.2.1 Cấu hình máy chủ LDAP 57

7.2.2 Cài đặt và cấu hình VPN-1 58

CHƯƠNG 8 TRIỂN KHAI THỰC TẾ 61

8.1 Phân tích và giải pháp 61

8.2 Cài đặt 63

8.2.1 Lắp đặt và cài đặt ban dầu 63

8.2.2 Thiết lập cấu hình 66

8.3 Giám sát và quản lý 81

KẾT LUẬN 87

PHỤ LỤC 88

Phụ lục A fw1ng.schema 88

Phụ lục B: Hiện trạng mạng VNUNet [3] 91

TÀI LIỆU THAM KHẢO 98

BẢNG VIẾT TẮT

BGP Border Gateway Protocol

CLISH Command Line Interface Shell

DHCP Dynamic Host Configuration Protocol

ĐHQGHN Đại Học Quốc Gia Hà Nội

FreeBSD Free Berkeley Software DistributionFTP File Transfer Protocol

GUI Graphic User Interface

HTTP Hypertext Transfer Protocol

HTTPS Hypertext Transfer Protocol SecureICMP Internet Control Message ProtocolIGRP Interior Gateway Routing Protocol

IPSO IP Security Operating System

ISS Internet Security System

LDAP Lightweight Directory Access ProtocolNAT Network Address Translation

OSI Open Systems Interconnection

OSPF Open Shortest Path First

RIP Routing Information Protocol

SNMP Simple Network Management Protocol

TCP Tranmission Control Protocol

Telnet Telecomunication network

VNUNet Vietnam National University NetworkVPN Virtual Private Network

DANH SÁCH HÌNH VẼ

Hình 1 Nokia IP1220 Platform 14

Hình 2 SmartDashboard – Security 31

Hình 3 Thực thi cài đặt 31

Hình 4 SmartDashboard – Address Translation 33

Hình 5 Cấu hình luật NAT tự động 34

Hình 6 Các luật NAT 35

Hình 7 Global Properties - NAT 35

Hình 8 Network Quota 38

Hình 9 Dynamic Ports 40

Hình 10 General HTTP Worm Catcher 41

Hình 11 HTTP Protocol Inspection 42

Hình 12 File and Print Sharing 43

Hình 13 Check Point Gateway – General Properties 45

Hình 14 Tạo Network Object 46

Hình 15 Cấu hình Office Mode 47

Hình 16 Tạo User 48

Hình 17 Remote Access Community Properties 49

Hình 18 Remote Access Rule 49

Hình 19 Server Address 51

Hình 20 Authentication Method 51

Hình 21 Connectivity Settings 52

Hình 22 Advanced Settings 52

Hình 23 Validate Site 53

Hình 24 Giao diện kết nối SecureClient 53

Hình 25 Tạo Profile 54

Hình 26 Hoạt động của giao thức LDAP 55

Hình 27 Entry 55

Hình 28 Kích hoạt Smart Directory 58

Hình 29 LDAP Server Properties 59

Hình 30 Mô hình mạng cũ 61

Hình 31 Mô hình mạng mới 62

Hình 32 Thông tin về hệ điều hành và các gói kích hoạt 64

Hình 33 Cấu hình các cổng của thiết bị 65

Hình 34 Đặt gateway 65

Hình 35 Cấu hình Host Name, SNMP 66

Hình 36 Smartmap 66

Hình 37 General Properties 67

Hình 38 Topology 68

Hình 39 Các luật tường lửa 69

Hình 40 Protection Overview 70

Hình 41 Remote Access 70

Hình 42 Remote Access Community Properties 71

Hình 43 VPN Basic 72

Hình 44 VPN - IKE 72

Hình 45 VPN – IPSEC 73

Hình 46 VPN NAT 73

Hình 47 Tạo Host Node 74

Hình 48 Thẻ General 74

Hình 49 LDAP Server Properties 75

Hình 50 Thẻ Server 75

Hình 51 Thẻ Object Management 76

Hình 52 Hiển thị tài khoản LDAP 76

Hình 53 LDAP Group 77

Hình 54 Luật Remote Access 77

Hình 55 Chọn Visitor Mode 78

Hình 56 Màn hình đăng nhập 79

Hình 57 Thiết lập kết nối 79

Hình 58 Xác thực tài khoản 79

Hình 59 Kết nối thành công 80

Hình 60 Kiểm tra địa chỉ 80

Hình 61 Kiểm tra bảng định tuyến 81

Hình 62 SmartView Tracker - Log 82

Hình 63 Record Detail 82

Hình 64 SmartView Tracker – Active 83

Hình 65 SmartView Tracker - Audit 84

Hình 66 SmartView Monitor 85

Hình 67 SmartView Monitor - System 86

Hình 68 SmartView Monitor – Remote User 86

Hình 69 Mô hình logic hệ thống mạng VNUnet……… 69

Hình 70 Mô hình logic hệ thống mạng CTnet……… 94

DANH SÁCH BẢNG

Bảng 1 Các tham biến của Boot Manager 16 Bảng 2 Các bộ lọc mặc định 29

ĐẶT VẤN ĐỀ

ĐHQGHN là một tổ chức đại học quy mô trung bình bao gồm nhiều đơn vị thànhviên và trực thuộc, với nhiều campus phân bố trên diện tích khá rộng trong nội thànhthủ đô Hà Nội

Trong quá khứ, VNUnet được xây dựng theo hướng tập hợp các mạng LAN sẵn

có của các đơn vị thành viên và trực thuộc nên cơ sở hạ tầng truyền thông thuộc quyềnquản lý của VNUnet chỉ bao gồm các đường cáp kết nối từ điểm trung tâm tại E3, 144Xuân Thuỷ đến các điểm tập trung của các LAN thành viên (theo chuẩn Ethernet100/1000 Mbps), các đường kết nối ra môi trường bên ngoài và các thiết bị ghép nốitập trung Hệ thống LAN trong mỗi đơn vị thuộc quyền quản lý của chính đơn vị đó

Sự ổn định, an toàn, an ninh của VNunet chịu ảnh hưởng trực tiếp từ các mạngthành viên Hiệu quả khai thác cài tài nguyên, dịch vụ của VNUnet cũng được xácđịnh từ chính những người dùng cuối trong các mạng thành viên

Hệ thống mạng hiện tại mới chỉ chủ yếu cung cấp tạm thời các đường truyền theo

mô hình mạng phẳng, không phân cấp, không có các giải pháp đảm bảo an ninh vàquản trị và chỉ có thể cung cấp một số dịch vụ mạng hiệu quả hạn chế, không thể đápứng nhu cầu nghiên cứu, đào tạo hiện tại của Trường

Kế hoạch chiến lược phát triển của ĐHQGHN là phấn đấu đến năm 2020 trởthành đại học theo định hướng nghiên cứu, đa ngành đa lĩnh vực ngang tầm các đạihọc tiên tiến trong khu vực Châu Á; một số lĩnh vực và nhiều ngành, chuyên ngành đạttrình độ quốc tế

Trong giai đoạn phát triển mới ĐHQGHN đã xác định ưu tiên đầu tư phát triểnVNUnet hiện đại, đồng bộ, đi trước một bước, với vai trò là một trong những công cụ

hỗ trợ công nghệ cao, phục vụ mục tiêu phát triển ĐHQGHN đạt tầm các đại học tiêntiến trong khu vực châu Á, trong tất cả các phạm vi hoạt động quản lý, nghiên cứukhoa học và đào tạo

Để khắc phục các hạn chế của hệ thống mạng hiện tại và đáp ứng mục tiêu pháttriển hệ thống mạng VNUnet, đề án phát triển mạng VNUnet đã đưa ra các mục tiêucần phát triển Hai trong số các mục tiêu đó là:

- Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt độngthông suốt, ổn định, hiệu quả

- Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chốngtruy cập trái phép.

Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các côngnghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết Trong đó công việc quảntrị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàngđầu Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển Đại học quốcgia Hà Nội

CHƯƠNG 1 GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK

POINT VÀ HỆ ĐIỀU HÀNH IPSO 1.1 Giải pháp Nokia Check Point

Hình 1 Nokia IP1220 Platform

Nokia IP1220 là một trong một loạt sản phẩm Nokia IP, dòng thiết bị phần cứngchuyên cung cấp các giải pháp mạnh mẽ và chuyên dụng về tường lửa/VPN cũng nhưtích hợp được rất nhiều tính năng được kỳ vọng khác

Nokia IP1220 giống như một tấm lá chắn bảo vệ hệ thống mạng bên trong, ngănchặn các lưu thông bất hợp pháp vào bên trong mạng, kiểm soát tất cả các gói tin điqua, thiết lập các chính sách phù hợp với yêu cầu đối với tất cả các đối tượng cả bêntrong và bên ngoài mạng Thiết bị sẽ đóng vai trò lớp rào cản ban đầu vững chắc chocác hệ thống quan trọng như hệ thống Server, Data Center Ngoài ra nó còn có thểđóng vai trò của một VPN gateway, cung cấp giải pháp mạng riêng ảo cho mạng, cókhả năng tích hợp với các hệ thống cung cấp dịch vụ thư mục để quản lý các tài khoảnngười dùng Trong bối cảnh hệ thống mạng hiện tại của trường Đại học Công Nghệchưa có một thiết bị tường lửa và VPN thực sự chuyên dụng thì Nokia IP1220 là một

sự bổ sung rất chính xác và hợp lý

1.2 Tổng quan Nokia Check Point [4]

Hệ điều hành dùng trong các sản phẩm Nokia IP có tên gọi là IPSO

1.2.1.Hệ điều hành IPSO

Hệ điều hành IPSO là lõi của nền tảng Nokia IP Security Nó là một hệ điều hànhbảo mật và thu gọn dựa trên nền tảng UNIX có thể chạy hiệu quả trên các thiết bị phầncứng nhỏ hơn IPSO ban đầu là một nhánh của hệ điều hành FreeBSD 2.2.6 và đãđược thay đổi đáng kể qua nhiều năm nên có thể xem nó như một họ hàng xa củaFreeBSD Và dần dần, nó trở thành hệ điều hành thích ứng với các ứng dụng như bộsản phẩm Check Point VPN-1/Firewall-1 và phần mềm ISS RealSecure NetworkIntrusion Detection Sensor

Nhiều câu lệnh UNIX vẫn hoạt động bình thường trong giao diện dòng lệnh(CLI) của IPSO Tuy nhiên chỉ có rất ít các thao tác quản trị sử dụng bộ lệnh UNIXchuẩn Thay vào đó, IPSO cung cấp hai tiện ích biên soạn dòng lệnh mạnh mẽ là ipsctl

và Command Line Interface Shell (CLISH) Lệnh ipsctl được sử dụng như một công

cụ xử lý sự cố, còn CLISH được dùng để cấu hình tất cả các thiết lập cho HĐH IPSO.Mặc dù có thể cấu hình IPSO trực tiếp từ CLI, nhưng giống như hầu hết các hệđiều hành mạng khác, người dùng cũng được cung cấp một lựa chọn khác đó là cấuhình qua giao diện web Nokia Network Voyager cho phép cấu hình thiết bị Nokia IPqua trình duyệt web Nokia Network Voyager có thể dùng để cài đặt và theo dõi trongsuốt quá trình hoạt động của thiết bị

Để thiết lập cấu hình cho IPSO, người dùng có thể truy cập trực tiếp tới thiết bịqua cổng Console Ngoài ra, người dùng có thể truy cập từ xa tới thiết bị bằng cách sửdụng Telnet, FTP, SSH hoặc HTTP/HTTPS

1.2.2.Cài đặt HĐH IPSO và cấu hình ban đầu

Kết nối tới cổng Console của thiết bị Có thể sử dụng một số phần mềm terminalemulator như HyperTerminal, SecureCRT… Thiết lập cấu hình cho terminal emulatornhư sau:

• Bits/second (BPS): 9600

• Data bits: 8

• Parity: None

• Stop bits: 1

• Flow control: None

• Terminal emulation: Auto, VT100, hoặc VT102

1.2.2.1.Boot Manager

Chương trình Boot Manager chạy khi hệ thống khởi động, trước khi nhân IPSOđược đưa vào bộ nhớ Boot Manager được đặt ở trong đĩa cứng hoặc bộ nhớ flash tùytheo từng phiên bản của thiết bị Nếu không bị ngắt, Boot Manager sẽ khởi động hệthống với nhân mặc định, còn nếu bị ngắt thì giao diện dòng lệnh sẽ được hiển thị Chế

độ này thường dùng cho mục đích quản trị: bảo trì hệ thống hoặc cài đặt lại các hệ điềuhành

Để khởi động chương trình Boot Manager trước hết phải khởi động thiết bị Saukhi hoàn thành quá trình kiểm tra bộ nhớ, thiết bị sẽ hiển thị ra hai lựa chọn, một làBoot Manager (1 Bootmgr) và hai là IPSO (2 IPSO) Lựa chọn 2 để bắt đầu khởi độngvào hệ điều hành IPSO Để vào chế độ Boot Manager sử dụng lựa chọn 1

1 Bootmgr

2 IPSO

Default: 1

Starting bootmgr

Loading boot manager

Boot manager loaded.

Entering autoboot mode.

Type any character to enter command mode.

autoboot Đợi quá trình bootwait hay không Có

boot-file Đường dẫn tới image của nhân /image/current/kernel

-d Vào bộ sửa lỗi nhân ngay khi khởi động N/A

-s

Chế độ đơn người dùng Có thể yêu cầu mật khẩu admin nếu đánh dấu “insecure” trong /etc/ttys

N/A

bootwait Thời gian đợi truy cập boot manager trước khi

Chú ý: Nếu chọn No cho tùy chọn autoboot, thiết bị sẽ không hiển thị menu nhắc truy

cập vào Boot Manager trong khi khởi động Trong trường hợp đó, cần vào lệnh boot từkết nối console và khởi động thiết bị

Các lệnh sử dụng trong chế độ Boot Manager:

- printenv: in tất cả các biến và giá trị của nó lên màn hình.

- showalias: hiển thị tất cả các alias trong bộ nhớ.

- sysinfo: hiển thị CPU, bộ nhớ và thông tin thiết bị.

- ls: hiển thị nội dung của một thư mục đưa ra bởi đường dẫn trên thiết bị Ví

dụ: ls wdo /image/current hiển thị nội dung của thư mục hoạt động hiện tại

- setenv: sử dụng để thiết lập biến môi trường Cú pháp là setenv tên giá trị Ví

dụ: setenv bootwait 10

- unsetenv: ngược lại của setenv.

- set-default: gán giá trị mặc định cho tất cả các biến môi trường.

- setalias: thiết lập các alias, cú pháp là setalias <Tên thiết bị>.

- showalias: hiển thị danh sách các alias hiện tại đã định nghĩa.

- unsetalias: hủy bỏ alias.

- halt: tạm dừng hệ thống, đây là cách an toàn nhất để tắt thiết bị Nokia.

- help: hiển thị trợ giúp cho các lệnh trong Boot Manager.

- boot: khởi động hệ thống bằng tay Cho phép chỉ định khởi động từ thiết bị

nào, với một image nhân cụ thể, sử dụng các cờ nhân Lệnh này được sử dụng

để khôi phục lại hệ thống khi bị lỗi

- install: chạy tiến trình cài đặt.

- passwd:thiết lập mật khẩu cài đặt (khi chạy lệnh install).

1.2.2.2.Cài đặt IPSO

Các bước cấu hình gồm:

- Khởi động thiết bị và vào chế độ Boot Manager

- Khởi động tiến trình cài đặt

- Lựa chọn các câu trả lời khi được hỏi

- Khởi động lại thiết bị khi việc cài đặt ban đầu hoàn tất

- Tiếp tục với cấu hình ban đầu của thiết bị

Khởi động thiết bị để vào chế độ Boot Manager bằng cách sử dụng tùy chọn 1(như hướng dẫn trong phần Boot Manager)

Để khởi động tiến trình cài đặt, tại dấu nhắc BOOTMGR[1]> gõ lệnh install

BOOTMGR[1]> install

Một cảnh báo hiện ra cho biết người dùng sẽ phải nhập các thông tin như địa chỉ

IP máy khách, netmask, số serial hệ thống… trong suốt quá trình cài đặt và nếu tiếptục cài đặt tất cả các tệp và dữ liệu tồn tại trên đĩa sẽ bị xóa Để tiếp tục, nhập vào lựachọn y

################### IPSO Full Installation #################### You will need to supply the following information:

Client IP address/netmask, FTP server IP address and flename, system serial number, and other license information.

This process will DESTROY any existing fles and data on your disk.

################################################################# Continue? (y/n) [n] y

Bước tiếp theo là nhập số serial của thiết bị Số serial thường được ghi ở phíasau của thiết bị

Motherboard serial number is NONE.

The chassis serial number can be found on a

sticker on the back of the unit with the letters

S/N in front of the serial number.

Please enter the serial number: 12345678

Please answer the following licensing questions.

Người dùng được hỏi là có sử dụng các giao thức định tuyến IRGP và BGPkhông Để sử dụng các giao thức này cần phải mua licence Việc lựa chọn hay không

là tùy thuộc vào từng yêu cầu cụ thể

Will this node be using IGRP ? [y] n

Will this node be using BGP ? [y] n

Để cài đặt, thiết bị phải tải image của IPSO từ một máy chủ FPT Tùy vào cấuhình của máy chủ FPT người dùng có thể chọn cài đặt từ một máy chủ anonymousFTP, hoặc từ một máy chủ FPT yêu cầu username và password Tiếp đó người dùngphải nhập địa chỉ ip cho thiết bị Nokia IP, địa chỉ IP của máy chủ FTP, và nhập defaultgateway cho thiết bị

1 Install from anonymous FTP server.

2 Install from FTP server with user and password.

Choose an installation method (1-2): 1

Enter IP address of this client (10.3.2.5/24): 192.168.200.10/24 Enter IP address of FTP server (0.0.0.0): 192.168.200.50

Enter IP address of the default gateway (0.0.0.0): 192.168.200.1

Sau đó, chọn cổng và nhập địa chỉ ip, subnet mask cho cổng sử dụng để kết nốivới máy chủ FTP

Choose an interface from the following list:

Half or full duplex? [h/f] [h] f

Sau khi cấu hình cổng xong, người dùng phải cung cấp đường dẫn và tên của góicài đặt IPSO trên máy chủ FTP Nhập kí tự / nếu gói nằm tại thư mục gốc

Enter path to ipso image on FTP server [/]: /

Enter ipso image flename on FTP server [ipso.tgz]: ipso.tgz

Hệ thống sẽ hỏi người dùng có muốn nhận thêm các gói khác trên máy chủ FTPkhông, và lựa chọn cách thức nhận các gói Nếu chỉ cần cài đặt IPSO thì sử dụng lựachọn 3

1 Retrieve all valid packages, with no further prompting.

2 Retrieve packages one-by-one, prompting for each.

Default gateway IP address=192.168.200.1

Network Interface=eth1, speed=100M, full-duplex

Server download path=[//]

Package install type=none

Mirror set creation=no

Are these values correct? [y] y

Nếu thiết bị kết nối thành công đến máy chủ FTP và tìm được gói cài đặt IPSO.Các thông báo về trạng thái các bước cài đặt được hiển thị.

Downloading compressed tarfle(s) from 192.168.200.50

Hash mark printing on (1048576 bytes/hash mark).

Interactive mode off.

100% 36760 KB 00:00 ETA

Checking validity of image .done.

Installing image .done.

Image version tag: IPSO-4.2-BUILD069-10.27.2007-035617-1515 Checking if bootmgr upgrade is needed .

Need to upgrade bootmgr Proceeding

Upgrading bootmgr .

new bootmgr size is 2097152

old bootmgr size is 1474560

Saving old bootmgr.

Installing new bootmgr.

Verifying installation of bootmgr.

Khi cài đặt xong, hệ thống sẽ gửi thông báo Installation completes cho ngườidùng, và yêu cầu gõ Enter để khởi động lại thiết bị

Installation completed.

Reset system or hit <Enter> to reboot.

Sau khi cài đặt xong hệ điều hành IPSO, người dùng phải thực hiện một số cấuhình cho lần khởi động đầu tiên

1.2.2.3.Cài đặt ban đầu

Có thể sử dụng DHCP để cung cấp hostname, địa chỉ IP và gateway cho thiết bị Tuy nhiên, người dùng thường sử dụng phương pháp cấu hình bằng tay qua kếtnối console Đầu tiên sau khi khởi động lên, màn hình sẽ hiện lên yêu cầu nhậphostname cho thiết bị, và yêu cầu xác nhận lại

Please choose the host name for this system This name will be used in messages and usually corresponds with one of the network hostnames for the system Note that only letters, numbers, dashes, and dots (.) are permitted in a hostname.

Hostname? pint

Hostname set to “pint”, OK? [y] y

Nhập mật khẩu cho tài khoản admin dùng để xác thực khi truy cập vào chế độCLI hoặc vào giao diện web Nokia Network Voyager

Please enter password for user admin: notpassword

Please re-enter password for confrmation: notpassword

Sau khi cấu hình xong hostname và mật khẩu admin cho thiết bị, người dùngđược hỏi là có muốn sử dụng Nokia Network Voyager để cấu hình cho thiết bị hay chỉ

sử dụng giao diện dòng lệnh CLI

You can confgure your system in two ways:

1) confgure an interface and use our Web-based Voyager via a remote browser

2) confgure an interface by using the CLI

Please enter a choice [ 1-2, q ]: 1

Chọn cổng sử dụng để cấu hình thiết bị và nhập vào địa chỉ IP, subnet mask chocổng vừa chọn

Select an interface from the following for confguration:

Enter the IP address to be used for eth4: 192.168.200.10

Enter the masklength: 24

Cấu hình default gateway cho thiết bị

Do you wish to set the default route [ y ] ? y

Enter the default router to use with eth4: 192.168.200.1

Mặc định cổng được cấu hình chế độ full duplex và tốc độ 1000 mbs Hệ thống

sẽ hỏi người dùng có muốn giữ cấu hình này hay muốn thay đổi

This interface is configured as 1000 mbs by default.

Do you wish to configure this interface for other speeds [ n ] ? n

Sau đó màn hình sẽ hiển thị lại các cấu hình vừa thiết lập để người dùng kiểm tra

Is this information correct [ y ] ? y

Cũng có thể cấu hình vlan cho cổng đã chọn Thông thường lựa chọn là n

Do you want to configure Vlan for this interface[ n ] ? n

You may now confgure your interfaces with the Web-based Voyager by typing in the IP address “192.168.200.10” at a remote browser.

Bắt đầu từ thời điểm này, người dùng có thể kết nối tới thiết bị Nokia sử dụnggiao diện web Nokia Network Voyager từ trình duyệt

Tùy chọn cuối cùng trong lần cấu hình đầu tiên này đó là thay đổi chuỗi SNMPcomminity mặc định Việc thay đổi này tùy thuộc vào yêu cầu thực tế

Do you want to change SNMP Community string [ n ] ? n

Nếu thiết bị được đặt ở xa, người dùng phải sử dụng Telnet hoặc SSH để kết nốiđến và cấu hình cho thiết bị Mặc định chỉ có SSH được bật Nếu muốn sử dụngTelnet, người dùng có thể kích hoạt bằng cách thực hiện các lệnh sau (ở giao diệndòng lệnh CLI)

pint[admin]# clish

NokiaIP1220:9> set net-access telnet yes

NokiaIP1220:10> save confg

NokiaIP1220:11> quit

Cũng có thể kích hoạt dịch vụ Telnet dễ dàng bằng cách sử dụng giao diện webNokia Network Voyager

CHƯƠNG 2 CÀI ĐẶT CHECK POINT NGX R62 [6]

2.1 Giới thiệu

Sau khi cài đặt IPSO cho Nokia IP1220, thiết bị đã có một nền tảng để chạytường lửa, VPN hay các ứng dụng khác Bước tiếp theo, người dùng phải cài gói ứngdụng tường lửa, VPN lên thiết bị Để làm điều này, có thể sử dụng ứng dụng CheckPoint NGX R62

Ứng dụng Check Point NGX R62 gồm các sản phẩm quản lý, sản phẩm gateway,

và phần mềm máy khách Trong đó sản phẩm Check Point Power và Check PointUTM là quan trọng nhất Chúng gồm có ba thành phần chính sau:

- Enforcement module: là các module VPN-1 Power hoặc VPN-1 UTM

- Management server: SmartCenter server lưu giữ cơ sở dữ liệu về các địnhnghĩa đối tượng, định nghĩa người dùng, các chính sách và các tệp log

- SmartConsole: chứa các ứng dụng GUI để quản lý các khía cạnh khác nhaucủa chính sách an ninh SmartConsole chứa SmartDashboard, một ứng dụngcho người quản trị dùng để định nghĩa các đối tượng mạng, người dùng vàcác chính sách

Chúng ta sẽ triển khai SmartCenter server và Enforcement module trên thiết bịcòn SmartConsole sẽ được triển khai trên các máy chạy HĐH Microsoft Windows.Cách triển khai này được gọi là triển khai độc lập

Để chạy NGX R62, phải có hệ điều hành Nokia IPSO 3.9, 4.1 hoặc 4.2 ( phiênbản HĐH IPSO có thể xem trong Nokia Network Voyager) Người dùng cũng cầnkiểm tra xem ứng dụng Check Point đã được cài trên thiết bị chưa (xem trang ManagePackages của Nokia Network Voyager) Nếu đã cài đặt rồi thì có thể chuyển sang phầncấu hình

2.2 Cài đặt package

Trước hết cần tải NGX R62 về từ website Check Point (địa chỉ

http://checkpoint.com) Các gói cài đặt cần tải gồm có:

- R62 wrapper cho Nokia IPSO (IPSO_wrapper_R62.tgz) để cài đặtenforcement module và SmartCenter server

- SmartConsole R62 (SmartConsole_R62_xxxxxxxxx_x_Win.zip).

2.2.1.Cài đặt gói wrapper

Để cài đặt gói wrapper người dùng có thể sử dụng giao diện dòng lệnh CLI hoặc

sử dụng Nokia Network Voyager

2.2.1.1.Cài đặt với CLI

Sao chép gói wrapper vào thư mục /opt/packages (sử dụng lệnh scp hoặc phầnmềm WinSCP)

Gõ lệnh newpkg –i Xuất hiện các tùy chọn sau:

1 Install from CD-ROM.

2 Install from anonymous FTP server.

3 Install from FTP server with user and password.

4 Install from local filesystem.

5 Exit new package installation.

Chọn lựa chọn số 4 Hệ thống sẽ hỏi về đường dẫn đến gói Nhập vào/option/packages rồi nhấn Enter Chương trình cài đặt sẽ tìm gói Check Point NGXgiải nén các file cần cho quá trình cài đặt Chương trình sẽ đưa ra bốn lựa chọn: càiđặt, nâng cấp, bỏ qua, và thoát Nhập 1 để cài đặt Sau khi cài đặt xong, người dùngphải đăng xuất sau đó đăng nhập lại Việc này để đảm bảo việc thiết lập các biến môitrường vừa được tạo ra trong quá trình cài đặt Sau đó người dùng có thể chạy lệnhcpconfig

2.2.1.2.Cài đặt với Nokia Network Voyager

Mở trang Install Packages theo đường dẫn Configuration | System Configuration

| Packages | Install Package

Nhập tên hoặc địa chỉ IP của máy chủ FTP chứa gói wrapper

Nhập tên thư mục chứa gói wrapper trên máy chủ FTP

Nhập tên và mật khẩu để kết nối với máy chủ FTP

Chọn Apply Một danh sách các tệp hiện ra

Chọn gói từ danh sách và nhấn Apply

Sau khi tải xong, gói sẽ xuất hiện trong ô Select a Package to Unpack

Chọn gói rồi nhấn Apply

Nhấn tiếp vào liên kết: Click here to install/upgrade /opt/packages/packagename.Chọn Yes để cài đặt và nhấn Apply

Sau khi cài đặt xong, màn hình sẽ hiện ra liên kết đến trang Manage InstalledPackages Nhấn vào liên kết để xem các gói đã cài đặt.

Người dùng có thể kích hoạt hoặc vô hiệu hóa một gói bất kỳ trong các gói đã càiđặt bằng cách vào trang Manage Installed Packages, chọn On để kích hoạt, Off để vôhiệu hóa

Chú ý:

Để sử dụng tường lửa, VPN thì gói Check Point VPN-1 Power/UTM phải đượckích hoạt (gói này được kích hoạt mặc định sau khi cài đặt)

2.2.2.Cài đặt SmartConsole NGX R62

SmartConsole là một tập hợp các chương trình máy khách Gồm có:

- SmartDashboard: dùng bởi quản trị viên hệ thống để định nghĩa và quản lýcác chính sách bảo mật

- SmartView Tracker: sử dụng để quản lý và theo dõi log và alert thông qua hệthống

- SmartView Moniter: theo dõi và tạo các báo cáo về lưu thông trên các cổng,các module VPN-1 Power và QoS

- SmartUpdate: quản lý và lưu trữ license

- SecureClient Packaging Tool: định nghĩa hồ sơ người dùng cho chương trìnhSecuRemote/SecureClient

- Eventia Reporter: tạo ra các báo cáo về hoạt động của mạng

- SmartLSM: quản lý số lượng lớn ROBO gateway sử dụng SmartCenterserver

SmartConsole được cài đặt trên nền tảng Windows Sau khi tải phần mềmSmartConsole NGX R62 về, người dùng giải nén và chạy tiến trình cài đặt như đối vớicác phần mềm bình thường khác

CHƯƠNG 3 THIẾT LẬP CẤU HÌNH TƯỜNG LỬA

3.1 Thiết lập cấu hình ban đầu

Trước khi có thể thiết lập cấu hình tường lửa, NAT, VPN…, người dùng cần phảicấu hình module VPN-1 Power hoặc VPN-1 UTM bằng lệnh cpconfig Quá trình cấuhình cpconfig diễn ra như sau

Kết nối qua cổng Console hoặc kết nối từ xa tới thiết bị Gõ lệnh cpconfig Mànhình hiện ra văn bản licence Nhấn phím Spacebar để cuộn màn hình xuống cuối cùngrồi nhập y để tiếp tục

cpngx[admin]# cpconfig

Welcome to Check Point Configuration Program

=========================================================

Please read the following license agreement.

Tiếp theo màn hình hiện ra hai tùy chọn cài đặt Chọn tùy chọn 1 (có thể chọnkhác tùy theo yêu cầu người dùng)

(1) Check Point Power.

(2) Check Point UTM.

Enter your selection (1-2/a-abort) [1]: 1

Chọn loại cài đặt là độc lập hay phân tán

Select installation type:

Enter your selection (1-2/a-abort) [1]: 1

Check Point sẽ hỏi người dùng có muốn thêm license không Chọn y để thêmlicence, chọn n để tiếp tục cấu hình còn license có thể được thêm vào sau

Bước tiếp theo là thêm một tài khoản quản trị Tài khoản này dùng để đăng nhậpvào SmartCenter Server

Do you want to add an administrator (y/n) [y] ?

Administrator name: peter

Password:

Verify Password:

Administrator peter was added successfully and has

Read/Write Permission for all products with Permission to Manage Administrators

Sau đó, người dùng phải xác định máy khách SmartConsole nào được phép truycập tới SmartCenter Server Nhập xong nhấn tổ hợp phím Ctrl + D để tiếp tục.

Do you want to add a GUI Client (y/n) [y] ?

You can add GUI Clients using any of the following formats:

1 IP address.

2 Machine name.

3 “Any” - Any IP without restriction.

4 IP/Netmask - A range of addresses, for example

192.168.10.0/255.255.25

5 A range of addresses - for example 192.168.10.8-192.168.10.16

6 Wild cards (IP only) - for example 192.168.10.*

Please enter the list of hosts that will be GUI Clients.

Enter GUI Client one per line, terminating with CTRL-D or your EOF character.

Any

10.1.1.0/255.255.255.0

Warning: Every gui client can connect to this SmartCenter Server.

Is this correct (y/n) [y] ? y

Check Point yêu cầu người dùng nhập vào một tên nhóm dùng để xác lập quyền

Confguring Group Permissions

================================

Please specify group name [<RET> for super-user group]:

No group permissions will be granted Is this ok (y/n) [y] ?

Người dùng phải nhập vào một chuỗi ký tự ngẫu nhiên Chuỗi ký tự này đượcdùng để tạo một chứng nhận quyền (Certificate Authority)

Please enter random text containing at least six different

characters You will see the ‘*’ symbol after keystrokes that are too fast or too similar to preceding keystrokes These

keystrokes will be ignored.

Please keep typing until you hear the beep and the bar is full [ ]

Thank you.

Và người dùng sẽ được hỏi là có muốn lưu lại file chứa chuỗi vừa nhập không.Nếu có thì tiếp tục nhập tên file

Do you want to save it to a fle? (y/n) [n] ? y

Please enter the fle name [/opt/CPsuite-R61/svn/conf]:

fngerprint.txt

The fngerprint will be saved as

/opt/CPsuite-R61/svn/conf/fngerprint.txt.

Are you sure? (y/n) [n] ? y

The fngerprint was successfully saved.

Sau khi hoàn thành các thiết lập, người dùng phải khởi động lại thiết bị

In order to complete the installation

you must reboot the machine.

Do you want to reboot? (y/n) [y] ? y

Người dùng có thể sửa lại các cấu hình đã thiết lập bất cứ lúc nào bằng cách sửdụng lệnh cpconfig Khác với lần cấu hình đầu tiên, trong các lần cấu hình cpconfigsau người dùng sẽ nhận được một danh sách các lựa chọn giúp cho việc cấu hình trởnên linh hoạt hơn

cpngx[admin]# cpconfg

This program will let you re-confgure

your Check Point products confguration

(10) Enable Check Point SecureXL

(11) Automatic start of Check Point Products

Để thiết đặt lại quyền truy cập từ xa hoặc truy cập qua giao diện web có thể sửdụng một trong các cách sau:

- Sử dụng SmartDashboard để tạo và cài đặt một chính sách cho phép kết nối từ

xa vào thiết bị (khi SmartDashboard cũng không kết nối được thì phải dùng lệnh fwunloadlocal)

- Kết nối console qua cổng COM, thực hiện lệnh cpstop Lệnh này dùng để tạmdừng dịch vụ tường lửa Sau đó người dùng có thể kết nối từ xa vào thiết bị để thựchiện các thao tác quản trị; khi thực hiện xong thì khởi động lại dịch vụ bằng lệnhcpstart.

- Gỡ bỏ chính sách mặc định bằng lệnh fw unloadlocal hoặc fw unload localhost(tùy thuộc từng version) Kiểm tra chính sách đang được nạp bằng lệnh fw stat

gatekeeper[admin]# fw stat

HOST POLICY DATE

localhost InitialPolicy 25Sep2002 23:02:21 : [>eth-s3p1c0]

- Trước khi chạy lệnh cpconfig, thay đổi bộ lọc mặc định để cho phép kết nối quaSSH hoặc HTTPS Các bộ lọc mặc định được liệt kê trong bảng 2

thông SSH, HTTPS, ICMP vào trong

defaultfilter.ipso_ssh Cho phép tất cả các lưu thông ra bên ngoài và các lưu

thông SSH, ICMP vào trong

defaultfilter.ipso_ssl Cho phép tất cả các lưu thông ra bên ngoài và các lưu

thông HTTPS, ICMP vào trong

Ví dụ: Để thay đổi bộ lọc mặc định sang defaultfilter.ipso sử dụng các lệnh sau:

cp $FWDIR/lib/defaultfilter.ipso $FWDIR/conf/defaultfilter.pf

fw defaultgen

cp $FWDIR/state/default.bin $FWDIR/boot

Dưới đây là một số lệnh có thể dùng để điều khiển các thiết lập:

- fwstop –default: tắt tất cả tiến trình tường lửa và nạp luật mặc định.

- fwstop –proc: dừng tất cả các tiến trình nhưng vẫn giữ luật hiện tại

trong nhân

- fwstart –f: khởi động dịch vụ FW-1.

- control_bootsec –r: gỡ bỏ chế độ an ninh lúc khởi động.

- control_bootsec –g: kích hoạt chế độ an ninh lúc khởi động.

- fwboot bootconf: thiết lập IP forwarding và cấu hình bộ lọc mặc định.

- comp_init_policy –u: vô hiệu hóa luật mặc định.

- comp_init_policy –g: kích hoạt luật mặc định.

3.3 Thiết lập các luật tường lửa qua SmartDashboard

SmartDashboard là công cụ cho phép quản trị thiết bị một cách tập trung khi cónhiều thiết bị an ninh cùng được triển khai trên hệ thống Nó sử dụng CA được tạo ralúc cấu hình cpconfig để xác thực với checkpoint

Sau khi đăng nhập vào SmartCenter Server bằng SmartDashboard, việc đầu tiêncần làm là chuyển thiết bị từ chế độ Host sang Gateway bằng cách nhấn chuột phảivào biểu tượng thiết bị trong mục Network Object – Check Point ở cây thư mục bêntrái và chọn Convert to Gateway Sau đó người dùng có thể thiết lập, cài đặt các luậttường lửa và các thực hiện các thiết lập khác như NAT hay VPN cho mạng

Các luật tường lửa được hiển thị và thiết lập trong tab đầu tiên: Security

Hình 2 SmartDashboard – Security

Một luật gồm có các trường: địa chỉ nguồn, địa chỉ đích, các dịch vụ (giao thức),hành động áp dụng lên các gói tin thõa mãn luật và cách thức ghi nhớ (log hoặc track).Các luật được xét theo thứ tự từ trên xuống dưới, nếu một gói tin thỏa mãn điềukiện của luật trên thì nó sẽ được thực hiện theo action đã định sẵn ở luật đó và khôngtiếp tục được xét đến ở các luật phía dưới

Tạo một luật tường lửa bằng cách vào menu Rules chọn Add Rule | Top Mộtluật mặc định được thêm vào trên cùng của danh sách luật; bất cứ gói tin dùng địa chỉnguồn, đích nào hoặc sử dụng bất cứ dịch vụ nào cũng đều bị drop mà không được hệthống ghi lại Người dùng chỉ cần nhấn chuột phải lên một trường để thay đổi nó theoyêu cầu

Sau khi thiết lập xong các luật, để áp dụng các luật đó lên hệ thống cần phải càiđặt (install) các luật bằng cách mở menu Policy, chọn Install Nếu quá trình cài đặt bịlỗi thì hệ thống sẽ đưa ra báo lỗi cùng các thông tin cần thiết cho người dùng

Hình 3 Thực thi cài đặt

Ngoài giao diện đồ họa SmartDashboard, để tối ưu điều khiển hệ thống tườnglửa, người dùng cần biết một số câu lệnh sau đây (các lệnh này sử dụng trong môitrường console hoặc remote)

- cpstop: tạm dừng toàn bộ các sản phẩm của Checkpoint và SVN

Foundation

- cpstart: khởi động toàn bộ các sản phẩm của Checkpoint và SVN

Foundation

- cplic print: in ra licenses đã cài đặt.

- cplic put: thêm license

CHƯƠNG 4 THIẾT LẬP CẤU HÌNH NAT 4.1 Ẩn giấu đối tượng mạng

Với sự phát triển mạnh mẽ của mạng Internet ngày nay, số lượng địa chỉ IPv4ngày càng trở nên khan hiếm Một trong những cách khá dễ dàng để khắc phục tìnhtrạng khan hiếm địa chỉ IPv4 đó là sử dụng NAT Chức năng Hide-mode NAT chophép ẩn một dải địa chỉ sau một địa chỉ IP có khả năng định tuyến ra ngoài mạng.Ngoài ra, CheckPoint còn hỗ trợ tính năng Static NAT, tính năng này sẽ chuyển mộtđịa chỉ ở dải trong thành một địa chỉ dải ngoài, tác dụng của nó là cho phép thiết bị cóthể truy cập được từ cả bên trong mạng và ngoài Internet

Một lợi ích nữa của hide-mode NAT là nó giúp các thiết bị trong mạng ít có khảnăng bị tấn công hơn Mặc dù các thiết bị là ẩn so với bên ngoài, chúng vẫn có thểhoạt động trên Internet bình thường do cơ chế chuyển dịch cả địa chỉ cổng nguồn vàđích của FW-1 Tường lửa sẽ duy trì một bảng dịch chuyển, và nó sẽ biết được máynào cần kết nối từ cổng nguồn trong bảng này

Chú ý là cần có license để có thể hỗ trợ nhiều máy trạm bằng cơ chế DHCP trướckhi NAT Và để cho các máy trạm có thể kết nối tới các thiết bị khác, cần bật tínhnăng IP forwarding trong tường lửa Bước tiếp theo là cấu hình NAT tại tab AddressTranslation trong Check Point SmartDashboard

Hình 4 SmartDashboard – Address Translation

Những luật trong tab này có thể được khởi tạo tự động hoặc bằng tay tùy vàomức độ của mạng Một luật gồm 2 phần chính sau :

• Original packet

• Translated packet

Khi một kết nối tới tường lửa, nó so sánh gói tin cho địa chỉ nguồn, đích và dịch

vụ của gói tin Nếu đúng với những thông tin đã lưu, tường lửa sẽ chỉnh sửa nguồnđích và dịch vụ của gói tin dựa trên các luật NAT Cũng giống như các luật tường lửa,các luật NAT cũng được đọc theo thứ tự từ trên xuống dưới Do đó, nên đặt các luậtthường sử dụng nhất ở bên trên cùng

Ngoài ra, người dùng cũng nên chú ý rằng tường lửa sẽ cho phép các gói tin cóđịa chỉ nguồn và đích sau khi NAT đi qua

4.2 Cấu hình luật NAT

Việc cấu hình bằng tay các luật NAT cũng giống như cấu hình các luật tườnglửa Tuy nhiên CheckPoint cho phép cấu hình tự động các luật này khi cần Để cấuhình tự động, vào Manage | Network Objects, chọn tab NAT

Hình 5 Cấu hình luật NAT tự động

Chọn Add Automatic Address Translation Rules Chọn Hide trong TranslationMode Để xác định IP để ẩn trên mạng, gõ địa chỉ vào trong trường Hide behind IPAddress (gõ 0.0.0.0 để tường lửa sử dụng địa chỉ external của nó) Ngoài ra, có thể sử

dụng địa chỉ external của gateway bằng cách chọn Hide behind Gateway Install Ondùng để xác định tường lửa mà người dùng muốn áp dụng luật NAT này Chọn All để

áp dụng cho tất cả các tường lửa

Hình 6 Các luật NAT

Như hình trên thì 2 luật phía trên là luật được tạo ra tự động

Cấu hình static NAT cũng tương tự như trên, chỉ khác là thay vì một dải địa chỉ,giờ đây cả nguồn và đích đều là địa chỉ đơn lẻ

Ngoài ra, ta có thể sử dụng một số tính năng của NAT như NAT 2 chiều hayNAT MAC, các tùy chọn này có thể được đặt trong Global Properties như trong hìnhdưới đây

Hình 7 Global Properties - NAT

CHƯƠNG 5 CẤU HÌNH SMARTDEFENSE [3]

5.1 Giới thiệu về SmartDefense

Tính năng chính của tường lửa là cho phép các truy cập hợp lệ đi qua và loại bỏnhững truy cập không hợp lệ Trong quá khứ, tường lửa đã hoạt động rất hiệu quả, tuynhiên ngày nay rất nhiều lỗ hổng bảo mật trên các ứng dụng mạng có thể bị kẻ xấukhai thác và lợi dụng Do đó mô hình “cho phép hoặc loại bỏ” đã không còn được sửdụng hiệu quả trên các hệ thống bảo mật thành công ngày nay SmartDefense, mộttrong những thành phần chủ chốt trong bộ sản phẩm Check Point, là một giải pháp đểgiải quyết vấn đề này Với cơ chế Application Intelligence, nó cho phép những truycập hợp pháp tới các tài nguyên mạng trong khi vẫn bảo vệ được tài nguyên khỏi cáctấn công

Phương thức hoạt động của SmartDefense là giám sát dòng lưu thông mạng quatường lửa, so sánh những đặc tính của các gói tin lưu thông với những đặc tính đã xácđịnh trước của một hành động tấn công Những hoạt động đáng nghi đều được lưu lại

và được gửi tới người quản trị mạng để họ chuẩn bị các biện pháp chống tấn công.SmartDefense hỗ trợ phát hiện năm loại tấn công sau: Denial of Service (DoS),Transmission Control Protocol/Internet Protocol (TCP/IP), tấn công ứng dụng, dòcổng và IP, và sâu máy tính

Với các tấn công ngày càng mới hiện nay, việc sử dụng một danh sách cố địnhcác thuật toán phòng thủ sẽ không đảm bảo an toàn Vì vậy SmartDefense cung cấpmột dịch vụ cho phép cập nhật các thuật toán phòng thủ tấn công mới nhất

SmartDefense có cách thức hoạt động khác so với hệ thống phát hiện thâm nhập

Nó không cố gắng chống lại các kiểu tấn công mới được phát hiện, thay vào đó nó bảo

vệ mạng khỏi các tấn công bằng cách thực hiện kiểm tra kĩ càng và nghiêm ngặt cáctiêu đề của gói tin cũng như phần dữ liệu của giao thức để ngăn ngừa các dữ liệu nguyhại xâm nhập vào mạng Ví dụ, thay vì xem xét danh sách một loạt các kiểu tấn công

có thể sử dụng để tấn công vào máy chủ DNS , SmartDefense sẽ kiểm tra gói tin DNSxem nó có đúng với chuẩn RFC cho gói tin DNS hay không Điều này sẽ giúp bảo vệchống lại rất nhiều các kiểu khai thác hiện tại và ngay cả trong tương lai mà không cầnphải liên cập nhật các dấu hiệu Tuy nhiên phương thức này không cho phép bảo vệtrước mọi cuộc tấn công, vì có nhiều tấn công rất khó phân biệt với dòng dữ liệu hợp

lệ Một số kiểm tra quá nghiêm ngặt có thể loại bỏ nhầm các gói tin hợp lệ Vì vậy đòi

hỏi ứng dụng phải có sự linh động để cho phép người dùng có thể thay đổi độ nhạycảm hoặc thậm chí là tắt bỏ hẳn sự bảo vệ.

Tất cả các tùy chọn của SmartDefense được truy cập trong thẻ SmartDefense củaSmartDashboard

Tùy chọn đầu tiên là Anti Spoofing Configuration Status cho phép xem chế độ

chống giả mạo đã được kích hoạt chưa Cần kích hoạt chống giả mạo trên tất cả cáccổng của thiết bị để tránh trường hợp có kẻ giả mạo một IP hợp lệ để tấn công bằngcách gán cho mỗi cổng một nhãn External hoặc Internal (trong Check Point Gateway |Topology)

5.2 Network Security

Tính năng Network Security trong SmartDefense đưa ra rất nhiều bảo vệ chốnglại các tấn công mạng, cơ chế hoạt động của nó khác với Application Intelligence (dựatrên sự nhận dạng gói tin)

5.2.1 Denial of Service

SmartDefense cung cấp khả năng phòng thủ chống lại ba kiểu tấn công DoS Tấncông DoS làm cho máy chủ không thể trả lời lại những yêu cầu của người dùng hợp lệ.Bằng cách phát hiện ra hoạt động tấn công và chống lại kẻ tấn công, người có thể khôiphục lại tính sẵn sàng của hệ thống

Ba loại tấn công DoS có thể được phát hiện đó là:

- TearDrop: phát hiện gói tin IP trùng lặp

- Ping of Death: phát hiện các gói tin ICMP quá kích cỡ.

- LAND: phát hiện các gói tin được bị thay đổi một cách không bình

thường

5.2.2 IP and ICMP

Phần IP và ICMP cho phép bảo vệ mạng khỏi những điểm yếu ở tầng 3 và tầng

4 Có một kiểm tra bắt buộc đối với từng gói tin để đảm bảo phần header, kích thướcgói tin và các cờ không có biểu hiện bất thường nào Tùy chọn Max Ping Size chophép người dùng định nghĩa kích thước tối đa của gói tin ICMP để tránh những tấncông lợi dụng ICMP để làm tắc nghẽn mạng

Người dùng nên kích hoạt tùy chọn cho phép phân mảnh gói tin IP (Allow IPFragments) để cho những trường hợp mà kích thước gói tin vượt quá kích cỡ tối đa.Tuy nhiên điều này nguy hiểm ở chỗ một người có thể giấu thông tin về hoạt động củaanh ta bằng cách phân mảnh các gói tin để SmartDefense không thể nhận ra Cách giảiquyết đó là đặt giới hạn số gói tin chưa hoàn chỉnh và đặt tỉ lệ loại bỏ những gói tinkhông hoàn chỉnh (ví dụ 1gói/1giây).

Phần Network Quota cho phép chống kiểu tấn công DoS bằng cách giới hạn lưulượng và số kết nối của từng người dùng Mặc định 100 kết nối/1 giây là hợp lý, vìngười dùng hợp pháp sẽ không bao giờ đạt được số kết nối đó

thành một thiết bị trung gian giữa server và host ngoài nên những gói tin tấn côngkhông đến được server, tầm khoảng 200 gói tin trên một timeout là một lựa chọn tốt.Tiếp đó là lựa chọn đưa ra bảo vệ đối với tấn công gói tin có MTU nhỏ Đểchống tấn công kiểu này, nên đặt kích cỡ gói tin nhỏ nhất (MTU) ít nhất là 350 bytes.Cuối cùng là lựa chọn kiểm tra thứ tự gói tin Những gói tin mặc dù của ngườidùng hợp lệ nhưng vi phạm thứ tự cũng không được phép vào mạng.

5.2.4 Fingerprint Scrambling

Một máy từ xa có thể thu thập thông tin về máy bên trong mạng dựa trên nhữngphản hồi của máy đó Quá trình này gọi là in dấu Tùy chọn SmartDefense fingerprint-scrambling giúp ngăn ngừa nguy cơ lộ thông tin cho phía bên kia

Có 3 loại fingerprint-scrambling là: giả mạo ISN (spoofing), TTL, và IP ID ISNspoofing thay đổi thứ tự của bắt tay ba bước để làm cho hệ điều hành không nhận biếtđược TTL, (time to live), xóa bỏ khả năng người bên ngoài nhận biết được khoảngcách giữa họ và mạng trong IP ID chỉ dẫn tường lửa gán số hiệu của nó cho mỗi góitin IP, do đó làm cho người ngoài không biết được hệ điều hành đang dùng của mình(vì từ số hiệu gói tin có thể suy ra được hệ điều hành đang sử dụng)

5.2.5 Successive Events

Tính năng này cho ta thấy một số sự kiện có thể là một tấn công mà người dùng

có thể theo dấu được:

- Address spoofing: Một host ngoài lặp lại liên tục rằng nó là một địa chỉ

từ khu vực cho phép truy cập vào mạng

- Local interface spoofing: Một người dùng ngoài sử dụng địa chỉ hợp

pháp

- Port scanning: Có người dùng ngoài quét cổng trên mạng.

- Successive alerts: Khi VPN-1/FireWall-1 tạo ra một số lượng cảnh báo

nhát định trong một khoảng thời gian

- Successive multiple connections: Khi có một lương kết nối nhất định

từ máy ngoài tới máy trong mạng

5.2.6.Dynamic Ports

Có một số dịch vụ sử dụng những cổng động để truyền tải dữ liệu (ví dụ FTP)…,tuy nhiên cổng động cũng có thể là một trong những tấn công theo kiểu backdoor

Hình 9 Dynamic Ports

5.3 Application Intelligence

Tính năng này kiểm tra tất cả các dịhc vụ tầng ứng dụng như HTTP, Mail, FTP,Microsoft Networks, DNS, và VoIP SmartDefense có khả năng kiểm tra tất cả dữ liệutrong gói tin và nhận biết được những gói tin đáng nghi

5.3.1.HTTP Worm Catcher

Một trong những tấn công HTTP phổ biến là HTTP Worm Catcher