Check point software technologies, công ty hàng đầu thế giới về an toàn an ninh internet. Check point dẫn đầu thị trường an ninh thông tin toàn cầu trong lĩnh vực tường lửa và mạng riêng ảo. Check Point cung cấp các giải pháp an ninh vành đai, an ninh nội và an ninh trang web nhằm bảo vệ các thông tin kinh doanh, tài nguyên của mạng doanh nghiệp cũng như các ứng dụng, các nhân viên làm việc từ xa, các chi nhánh. Với công nghệ Stateful Inspection được phát minh Check Point Technology làm trung tâm, OPSEC (Open Platform for Security) được hình thành và mở rộng thêm sức mạnh các giải pháp của Check Point. Các giải pháp của Check Point được bán, tích hợp và dịch vụ bởi hệ thống mạng lưới 1900 đối tác của Check Point ở 86 nước.
Trang 1KHOA KHOA HỌC VÀ CÔNG NGHỆ
BÁO CÁO
ĐỒ ÁN HƯỚNG NGÀNH
ĐỀ TÀI: TÌM HIỂU FIREWALL TRÊN CHECKPOINT
Người hướng dẫn : Thầy Đinh Ngọc Luyện
Sinh viên : Nguyễn Quỳnh; MSSV: 070073
Phù Sử Hùng; MSSV: 070156
HK09.2
Trang 2Lời Mở Đầu
Check point software technologies, công ty hàng đầu thế giới về an toàn an ninh internet Check point dẫn đầu thị trường an ninh thông tin toàn cầu trong lĩnh vực tường lửa và mạng riêng ảo Check Point cung cấp các giải pháp an ninh vành đai, an ninh nội và an ninh trang web nhằm bảo vệ các thông tin kinh doanh, tài nguyên của mạng doanh nghiệp cũng như các ứng dụng, các nhân viên làm việc từ xa, các chi nhánh Với công nghệ Stateful Inspection được phát minh Check Point Technology làm trung tâm, OPSEC (Open Platform for Security) được hình thành và mở rộng thêm sức mạnh các giải pháp của Check Point Các giải pháp của Check Point được bán, tích hợp và dịch vụ bởi hệ thống mạng lưới 1900 đối tác của Check Point ở 86 nước
Đề tài của chúng tôi, chúng tôi chỉ nghiên cứu những tính năng Network Access, Connectivity và CoreXL từ đó đưa ra một giải pháp bảo mật dựa trên Firewall CheckPoint và các vấn đề đã nghiên cứu
Trang 3Mục Lục
Lời Mở Đầu i
Mục Lục ii
Phần 1: Network Access 6
I Access Control 6
1 Sự cần thiết của Access Control 6
2 Tổng quan về Access Control của Check Point Firewall 6
3 Các thành phần của Rule 6
4 Công dụng đặc biệt của Access Control 7
5 Cấu hình Access Control 8
II Authentication 10
1 Vai trò của User Authentication 10
2 Tổng quan về User Authentication của Check Point Firewall 10
3 Các phương thức xác thực của Check Point Firewall 10
4 Cấu hình phương thức xác thực trong Firewall Check Point 11
5 Các cơ chế xác thực sử dụng trên Firewall Check Point 15
5.1 VPN-1 & Firewall-1 Password 16
5.2 OS Password 17
5.3 RADIUS 18
5.4 TACACS 19
5.5 S/Key 19
5.6 SecurID 21
6 Cấu hình các cơ chế xác thực 21
Phần 2 : Conectivity 26
I Network Address Tranlation 26
1 Địa Chỉ IP Private Và IP Public 26
2 NAT trong CheckPoint Security Gateway 27
2.1 Static NAT 27
2.2 Hide NAT 28
2.2.1 Automactic Hide NAT và Static NAT trên CheckPoint Firewall 30
Trang 42.2.2 NAT Table Expiration trong Hide NAT 30
2.3 NAT Rule Base 31
2.4 Destination NAT và vấn đề routing 32
2.4.1 Static Destination NAT on Server Side 33
2.4.2 Static Destination NAT on Client Side 34
2.5 Automatic Và Manual ARP Proxy 34
3 Cấu hình NAT trên Check Point Security Gateway 36
3.1 Cấu hình Global NAT 36
3.2 Cấu hình Automactic NAT 38
3.2.1 Automatic NAT cho Node Object 38
3.2.2 Automatic NAT cho một Network 39
3.2.3 Sử dụng chức năng Hide behind Gateway trong chức năng Automatic Hide NAT 41
3.2.4 Cấu hình NAT cho Address Range Object 42
3.3 Cấu hình Manual NAT 44
3.3.1 Cấu hình host route 44
3.3.2 Cấu hình Proxy ARP 45
3.3.3 Tạo Object cho Manual NAT rule 46
3.3.4 Tạo Manual NAT Rule 46
II ISP Redundancy 48
1 Tổng quan ISP Rundundancy 49
2 Các chế động hoạt động của ISP Redundancy 49
3 Cách hoạt động của ISP Redundancy 50
3.1 Kết nối từ trong firewall ra internet 50
3.2 Kết nối từ phía ngoài internet vào bên trong mạng 50
4 Đổi trạng thái link theo yêu cầu và ISP redundancy script 52
5 Triển khai ISP Redundancy 52
6 Cấu hình ISP Redundancy 53
6.1 Domain và Địa chỉ IP 53
Trang 5III ConnectControl – Server Load Balancing 56
1 Tổng quan về ConnectControl 56
2 Các phương pháp dùng để cân bằng tải 57
3 Cách hoạt động của ConnectControl 58
3.1 Packet Flow 58
3.2 Các loại logical server 58
3.2.1 HTTP logical server 59
3.2.2 Logical server dành cho các dịch vụ khác 60
4 Persistent server mode 60
4.1 Persistent by server 60
4.2 Persistent by service 61
4.3 Persistent server timeout 61
4.4 Server Availability 61
5 Cấu hình ConnectControl 62
IV Brigde Mode 63
1 Tổng quan brigde mode 63
2 Cấu hình 64
3 Xem Interface được Brigde bằng Command Line 65
Phần 3 : CoreXL 66
1 Tổng quan về CoreXL 66
1.1 Tổng quan về phân phối các vi xử lý 66
1.2 Cấu hình mặc định của CoreXL 67
1.3 Xem cấu hình mặc định của CoreXL 68
2 Phân phối lại các vi xử lý 68
2.1 Phân phối thêm một vi xử lý cho SND 68
2.2 Giảm số lượng instance 69
2.3 Phân phối vi xử lý còn lại cho SND 70
2.3.1 Trong trường hợp có Performance Pack 70
2.3.2 Trong trường hợp không có Performance Pack 70
3 Phân phối vi xử lý cho việc ghi log 72
4 fw affinity Script 73
Trang 6Phần 4: Intrusion Prevention System – IPS 74
1 Tổng quan về IPS trong Firewall Check Point 74
2 Phương thức hoạt động của Check Point IPS 74
3 Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS 75
3.1 Port scan 75
3.2 DOS (Denial of Services) 78
Phần 5 : Giải pháp cho trường Đại học Hoa Sen 84
Trang 7Phần 1: Network Access
I Access Control
1 Sự cần thiết của Access Control
Tài nguyên của hệ thống mạng có thể có rất nhiều thành phần bên trong nó bao gồm networks, hosts, network services và các protocol Từ đó đặt ra vấn đề về sự cần thiết phải có một công cụ để người quản trị mạng có thể kiểm soát sự truy cập vào nguồn tài nguyên của hệ thống Access Control chỉ ra vùng nào có thể truy cập cũng như phân quyền cho người truy cập như thế nào trên vùng tài nguyên đó Đồng thời, Access Control còn có thể xác thực người dùng nhằm kiểm soát việc ai quyền truy cập
2 Tổng quan về Access Control của Check Point Firewall
Check Point Security Gateway thường được đặt ở khu vực biên của hệ thống cần bảo
vệ nhằm theo dõi và quản lý chặt chẽ mọi luồng dữ liệu đi ra và vào mạng Người quản trị hệ thống có nhiệm vụ đặt ra những chính sách bảo mật để bảo vệ an toàn cho
hệ thống cũng như quản lý sự truy cập trong mạng Chính sách bảo mật được triển khai bằng tập hợp có thứ tự những quy tắc (rules) trong Security Rule Base, một chính sách tốt là cơ sở tất yếu cho một hệ thống an toàn
Nguyên lý cơ bản của Rule Base là tất cả những hành động không được cho phép sẽ bị chặn Rule Base là tập hợp những quy tắc (rules) định ra luồng dữ liệu nào được phép
đi qua và luồng dữ liệu nào bị cấm
3 Các thành phần của Rule
Source và Destination: chỉ ra nơi xuất phát và nơi đến của luồng dữ liệu, một khi kết nối đã được cho phép thì các gói tin trong kết nối đó sẽ được cho qua ở cả hai hướng
đi và về
Trang 8VPN: chỉ định Rule được áp dụng cho mọi kết nối hay chỉ dành riêng cho kết nối VPN
Service: định ra giao thức, dịch vụ hay ứng dụng cần quản lý thông qua Rule
Action: hành động định ra cho kết nối được đề cập đến thông qua Rule
Track: những tùy chọn về việc ghi nhận lại hoạt động của Rule
Install On: đây là một chức năng nhằm tạo sự thuận lợi trong việc quản lý của người quản trị Thành phần này chỉ ra nơi người quản trị cần triển khai Rule vừa tạo ra, có thể chỉ trên một Firewall riêng biệt hay tất cả Firewall của hệ thống
Time: định ra thời gian có hiệu lực của Rule
Ngoài những Rule được tạo bởi người quản trị, Security Gateway cũng tạo ra những Rule mặc định Rule mặc định thường được dành cho những kết nối từ Security Gateway cho các dịch vụ điều khiển, cấu hình
4 Công dụng đặc biệt của Access Control
Chống giả mạo địa chỉ: giả mạo địa chỉ là hiện tượng người tấn công thay đổi địa chỉ
IP của gói tin nhằm mục đích xâm nhập trái phép vào bên trong hệ thống Cơ chế chống giả mạo địa chỉ bảo đảm các gói tin có nguồn và đích đến đúng với mỗi cổng trên Security Gateway Một ví dụ về giả mạo địa chỉ đó là người tấn công từ ngoài Internet, tức là cổng external của Gateway gửi vào một gói tin có địa chỉ là địa chỉ bên trong mạng nội bộ thì cơ chế chống giả địa chỉ sẽ ngay lập tức chặn gói tin vì nó không xuất phát từ cổng bên trong mà là bên ngoài
Trang 95 Cấu hình Access Control
Lab 1: Tạo một Rule trong Firewall Check Point
Bước 1: Vào tab Firewall trong Smart Dashboard, vào menu Rule > Add Rule > Bottom/Top
Bước 2: Tùy chỉnh các thành phần của Rule để thực hiện mục đích của người quản trị
Lab 2: Cấu hình chống giả mạo địa chỉ cho cổng External của Gateway
Bước 1: Click chuột phải vào Firewall Object > Edit > Topology
Trang 10Bước 2: Edit cổng External, qua tab Topology, check vào ô Perform Anti-Spoofing based on interface topology
Trang 11II Authentication
1 Vai trò của User Authentication
User Authentication đảm bảo việc xác thực người dùng trong các kết nối tới tài nguyên của hệ thống công ty Người dùng được cấp quyền truy cập đúng với chức trách và nhiệm vụ của họ đối với hệ thống mạng
2 Tổng quan về User Authentication của Check Point Firewall
Check Point Security Gateway xác thực người dùng thông qua nhiều cơ chế xác thực khác nhau Đa số các cơ chế xác thực đều dựa trên nguyên tắc yêu cầu cung cấp tên người dùng và mật khẩu nhưng khác nhau ở vị trí lưu trữ thông tin xác thực, có cơ chế thông tin được lưu ngay trên Security Gateway trong khi số còn lại lưu thông tin trên các server chứng thực như RADIUS, TACACS …
3 Các phương thức xác thực của Check Point Firewall
User Authentication: người quản trị có thể cấp quyền cho một cá nhân truy cập khi người đó ngồi trên bất kỳ một máy tính nào mà không ảnh hưởng đến các người dùng khác sử dụng cùng máy tính User Authentication hoạt động trên các giao thức Telnet, FTP, HTTP và dịch vụ RLOGIN
Session Authentication: là một phương thức xác thực được dùng cho bất kỳ dịch vụ nào và phương thức này yêu cầu người dùng cung cấp thông tin xác thực cho một phiên làm việc Đối với phương thức xác thực này cần phải có một chương trình cài riêng trên máy của người dùng, vì thế phương thức xác thực này thường được sử dụng đối với máy cá nhân tức là chỉ có một user sử dụng máy tính đó
Client Authentication: phương thức này cho phép nhiều user thực hiện kết nối thông qua việc xác thực phân quyền cho một địa chỉ IP hay một máy xác định Ưu điểm chính của Client Authentication chính là phương thức này có thể được sử dụng cho việc kết nối không hạn chế và không yêu cầu user phải nhập lại tên và mật khẩu trong quá trình làm việc Tương tự như Session Authentication, Client Authentication cũng
Trang 124 Cấu hình phương thức xác thực trong Firewall Check Point
Lab 1: Cấu hình User Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Truy cập Web từ Client
Bước 3: Nhập thông tin xác thực
Trang 13Truy xuất trang Web www.google.com.vn thành công
Lab 2: Cấu hình Client Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Tùy chỉnh Client Authentication
Trang 14Bước 3: Từ Client truy cập vào địa chỉ http://[IPfwCP]:900
Bước 4: Nhập thông tin xác thực
Từ bây giờ có thể truy xuất Web không cần đăng nhập lại
Trang 15Lab 3: Cấu hình Session Authentication
Bước 1: Cấu hình Rule trong Firewall Check Point
Bước 2: Tùy chỉnh Session Authentication
Bước 3: Cài đặt Client Session Agent ở máy Client
Trang 16Bước 4: Từ máy Client truy cập Web
Nhập thông tin xác thực và người dùng sẽ truy cập thành công website
5 Các cơ chế xác thực sử dụng trên Firewall Check Point
Cơ chế xác thực định nghĩa loại cơ sở dữ liệu xác thực cũng như giao thức cần để kết nối với cơ sở dữ liệu Sau đây là những cơ chế có hỗ trợ trong Firewall Check Point
VPN-1 & Firewall-1 Password
Trang 17 TACACS
S/Key
SecurID
Trong danh sách nêu trên chỉ có VPN-1 & Firewall-1 Password và S/Key là có cơ sở
dữ liệu xác thực nằm trên Security Gateway, còn lại các cơ chế khác đều có cơ sở dữ liệu nằm bên ngoài
5.1 VPN-1 & Firewall-1 Password
Đây là cơ chế xác thực do chính Firewall Check Point cung cấp Cơ chế này xác thực user dựa trên chính cơ sở dữ liệu được tạo ra trên Security Gateway Chiều dài tên user lên đến 100 ký tự số và chữ và mật khẩu phải có chiều dài nằm trong khoảng 4 tới 8 ký tự
Trang 18Hình minh họa trên cho thấy cơ sở dữ liệu xác thực user không chỉ nằm trên Management Server mà mỗi Module của hệ thống đều có lưu một bản sao của cơ sở
dữ liệu đó và có khả năng tự xác thực user mà không cần chuyển yêu cầu xác thực cho
cơ sở dữ liệu chính Điều này giúp tăng hiệu suất hoạt động của hệ thống khi xác thực user
5.2 OS Password
Cơ chế xác thực thông qua OS Password cho phép các Module xác thực sử dụng chính
cơ sở dữ liệu xác thực của hệ điều hành để xác thực cho user Một ví dụ đó là Module xác thực sẽ lấy dữ liệu về user thông qua Security Account Management (SAM) nếu Module đó đang hoạt động trên hệ điều hành Window Server
Ta có thể nhận thấy cơ sở dữ liệu chính trên Management Server vẫn có lưu thông tin
về user và được chuyển cho các Module xác thực nhưng phần Password không xuất hiện trên Management Server mà chỉ đề cập tới cơ chế được sử dụng là OS Password Thông qua việc xác định cơ chế xác thực là OS Password thì khi một user kết nối và
Trang 19trên cơ sở dữ liệu của chính nó Cơ chế này không được khuyến khích sử dụng vì hai nguyên nhân:
Cơ sở dữ liệu xác thực user nằm trên hệ điều hành nên có thể được sử dụng để kết nối thẳng vào Module xác thực gây nguy hiểm cho hoạt động của hệ thống
Một hệ thống có thể có nhiều Module xác thực và nếu ta sử dụng cơ chế OS Password thì phải đảm bảo dữ liệu user trên các Module đều phải đồng bộ, điều đó sẽ gây khó khăn trong việc cấu hình cơ sở dữ liệu
5.3 RADIUS
RADIUS là một cơ chế xác thực tập trung với cơ sở dữ liệu không nằm trên các Module xác thực mà nằm trên một Module riêng biệt (RADIUS Server) Ưu điểm chính của cơ chế RADIUS chính là xác thực tập trung khi hệ thống có nhiều Module xác thực, tức là người quản trị chỉ cần cấu hình cơ sở dữ liệu user trên RADIUS Server và các Module xác thực sẽ xác thực user dựa trên RADIUS Server
Tương tự như OS Password, dữ liệu user vẫn xuất hiện trên cơ sở dữ liệu chính trên
Trang 20RADIUS Khi một user kết nối với user name trùng với user name có cơ chế xác thực
là RADIUS thì các Module xác thực sẽ chuyển user name và password cho RADIUS Server thông qua các giao thức được định nghĩa trước và có sử dụng Shared Secret Key để bảo vệ thông tin chuyển qua
5.5 S/Key
S/Key là một cơ chế xác thực One-Time Password (OTP) tức là user sẽ sử dụng
Trang 21được gửi dưới dạng cleartext, nói cách khác OTP làm cho việc Sniffing trở nên vô nghĩa
Khi user kết nối tới một thiết bị có yêu cầu xác thực bằng cơ chế S/Key thì S/Key Server sẽ gửi lại một giá trị số và một nguyên liệu để thực hiện phép băm cùng với Secret Key Hai giá trị do S/Key Server gửi sẽ được đưa vào phần mềm tạo S/Key đặt
Trang 22trên máy người dùng đang kết nối Giá trị số định ra số lần thực hiện phép toán băm
và giá trị này sẽ luôn kém một đơn vị so với lần xác thực trước Còn nguyên liệu băm
sẽ được gộp chung với Secret Key nhập bởi người dùng để thực hiện phép băm
Ưu điểm của cơ chế S/Key dễ thấy chính là tính bảo mật cao hơn so với các cơ chế khác vì mật khẩu người dùng sẽ thay đổi sau mỗi lần xác thực Hơn thế nữa đây là cơ chế mà dữ liệu về password không nằm trong cơ sở dữ liệu xác thực nên nếu có xảy ra trục trặc gì với cơ sở dữ liệu thì cũng sẽ không ảnh hưởng đến secret key của người dùng Tuy nhiên thì S/Key vẫn có nhược điểm, đó là máy khách truy cập cần phải có một chương trình để tạo key (băm secret key và nguyên liệu)
5.6 SecurID
SecurID cũng là một cơ chế sử dụng One-Time Password (OTP) thế nhưng cơ chế này hoàn toàn khác với S/Key Cơ chế SecurID hoạt động dựa trên nguyên tắc là user phải cung cấp một thiết bị điện tử với mã PIN để SecurID Server có thể cung cấp OTP dùng cho xác thực Đây chính là cơ chế được xem là tối tân và rất bảo mật vì người dùng cần một thiết bị đặc biệt đồng thời phải cung cấp mã PIN để đăng nhập vào hệ thống
6 Cấu hình các cơ chế xác thực
Lab 1: Cấu hình cơ chế xác thực bằng Check Point Password
Bước 1: Tạo User cho cơ chế xác thực bằng Firewall Password Vào menu Manage > Users & Administrators > New > User By Template > Default Đặt tên cho User
Bước 2: Qua Tab Authentication > Check Point Password Đặt Password cho user
Trang 23Bước 3: Lưu lại cấu hình bằng cách vào menu Policy > Install Database và Policy > Install
Lab 2: Cấu hình cơ chế xác thực bằng RADIUS hoặc TACACS (hai cơ chế này
có cách cấu hình tương tự nhau nên nhóm chúng tôi chỉ thực hiện một bài Lab) Bước 1: Tạo host RADIUS Server bằng cách vào menu Manage > Network Objects
> New > Node > Host Đặt tên, IP cho host RADIUS
Bước 2: Tạo biểu tượng đại diện cho RADIUS Server bằng cách vào menu Manage > Server and OPSEC Apllications > New > RADIUS Tùy chỉnh các giá trị
Trang 24Bước 3: Bật chức năng xác thực trên Firewall Check Point bằng cách click chuột phải
trên Gateway Object, chọn Edit > Authentication Check vào các cơ chế muốn dùng
Bước 4: Tạo User Group để xác thực bằng cơ chế RADIUS Vào menu Manage > Users & Administrators > New > User Group
Trang 25Bước 5: Cấu hình để group radius-user được xác thực bằng RADIUS Vào menu
Manage > Users & Administrators > New >External User Profile > Match All users
Ở đây generic* đại diện cho những user không nằm trong cơ sở dữ liệu của Firewall Check Point, hay nói cách khác khi user name không có trong cơ sở dữ liệu nội bộ thì sẽ sử dụng các cơ chế xác thực từ xa như RADIUS hay TACACS
Cấu hình cơ chế Authentication và Member của generic*
Trang 26Bước 6: Lưu lại cấu hình bằng cách vào menu Policy > Install Database và Policy > Install
Trang 27Phần 2 : Conectivity
I Network Address Tranlation
Trong mạng máy tính, mỗi máy tính được gán cho một địa chỉ IP, hiện nay hầu hết máy tính đều sử dụng địa chỉ IPv4 Private và là địa chỉ thường không được dùng trong routing, nhưng các máy tính này đều có nhu cầu truy cập internet Thông thường không thể gán cho mỗi máy tính một địa chỉ IP Public (Internet-routable IP address)
do sự hạn chế trong số lượng IP Public
IPv4 hiện nay có chiều dài 32 bit, trong quá trình sử dụng và do du cầu ngày càng tăng của mạng máy tính nên số lượng IPv4 ngày càng trở nên hạn hẹp Thông thường IPv4 Public chỉ được dùng cho những ISP hoặc những tổ chức thương mại lớn
Thậm chí khi máy tính có địa chỉ private hay public thì đôi khi người quản trị vẫn muốn che dấu địa chỉ của máy tính vì lý do bảo mật
1 Địa Chỉ IP Private Và IP Public
Địa chỉ IP Public là những địa chỉ duy nhất, được đăng kí sử dụng trên toàn thế giới
và được sử dụng trong routing trên internet Tổ chức IANA là tổ chức chiệu trách nhiệm cấp phát địa chỉ IP, IANA chỉ cấp phát địa chỉ IP thông qua các Regional Internet Registry (RIR) từ một lượng các IP có sẵn và chưa được sử dụng IANA không trực tiếp cấp phát địa chỉ IP cho các ISP hoặc người dùng đầu cuối
IANA đã định nghĩa những địa chỉ sau đây là những Private – những địa chỉ IP không cần đăng kí và không phải là những địa chỉ duy nhất :
Trang 282 NAT trong CheckPoint Security Gateway
NAT là sự thay đổi địa chỉ IP này bằng một địa chỉ IP khác, NAT có thể thay đổi cả địa chỉ Source IP lẫn Destination IP Điều này có nghĩa là khi một gói tin được gửi từ bên trong mạng (Protected Side) ra bên ngoài (Unprotected Side) đi đến đích như thể
nó đi từ một địa chỉ IP khác và khi gói tin được gửi trả lại từ phía bên ngoài của firewall vào bên trong thì nó sẽ được chuyển đến đúng IP đích
Check Point Security Gateway (CSG) hổ trợ 2 loại NAT sao đây :
Static NAT : Mỗi địa chỉ IP Private sẽ được chuyển thành một địa chỉ IP
Public Static NAT có thể chuyển đổi một dãy các địa chỉ IP Private thành một dãy các địa chỉ IP Public theo dạng chuyển đổi 1:1 và kết nối có thể bắt đầu từ bên trong (Source NAT) hay bên ngoài (Destination NAT) của firewall
Hide NAT : Một địa chỉ IP Public sẽ được dùng đại điện cho nhiều IP Private
bên trong mạng (Protected Side) Hide NAT là dạng chuyển đổi nhiều địa chỉ
IP Private thành một địa chỉ IP Public và kết nối chỉ có thể được bắt đầu từ phía trong của firewall
Check Point dùng các khái niệm sau đây để định nghĩa cho các đối tượng được NAT trong mạng : Network , Node, Address Range, Dynamic Object NAT có thể được cấu hình để tự động trên một Network Object (Automatic NAT), điều này có nghĩa là khi một Network Object được tạo ra thì NAT Rules sẽ được tự động phát sinh và thêm vào NAT Rule Base (Automatic Hide NAT hoặc Static NAT) Ngoài ra, người dùng
có thể tự tạo rule (Manual NAT)
NAT Rule tạo bởi người dùng thì sẽ linh hoạt hơn so với việc tạo tự động Người dùng có thể thực hiện việc chuyển đổi theo service hoặc theo destination port numbers Port number tranlation là một dạng của Static NAT, trong đó một port của một địa chỉ IP này sẽ được chuyển đổi thành port của một địa chỉ IP khác
2.1 Static NAT
Trang 29 Source NAT: Source NAT là việc chuyển đổi địa chỉ IP chỉ diển ra ở địa chỉ
Source IP và còn được gọi tắt là SNAT
Destination NAT: Destination NAT là việc chuyển đổi địa chỉ IP chỉ diển ra ở
địa chỉ Destination IP và được gọi tắt là DNAT
Static NAT
Static NAT chuyển đổi theo từng địa chỉ IP theo dạng 1:1, trong static NAT mỗi địa chỉ IP sẽ được chuyển đổi thành 1 địa chỉ IP khác, 1 dãy các địa chỉ IP Private sẽ được chuyển đổi thành 1 dãy các địa chỉ IP Public
2.2 Hide NAT
Hide NAT cho phép nhiều máy tính bên trong mạng với địa chỉ IP Private cùng chia
sẽ với nhau một địa chỉ IP Public Hide NAT chỉ cho phép những kết nối khởi tạo từ mạng bên trong của firewall và còn được biết đến với tên gọi Dynamic NAT
Các máy tính với IP Private trong mạng có thể được NAT theo 2 cách sao đây :
Chuyển đổi thành một IP Public, địa chỉ này một địa không được gán cho bất kì máy trong và ngoài mạng hay một interface nào của firewall
Trang 30 Chuyển đổi thành địa chỉ IP Public mà địa chỉ này chính là địa chỉ của một trong những interface của firewall, những interface này là những interface kết nối ra internet
Hide NAT
Trong Hide NAT, ngoài việc chuyển đổi địa chỉ IP ở (layer 3), source port (layer 4) cũng sẽ được chuyển đổi cùng với địa chỉ IP, điều này được hay biết đến với tên gọi là
Port Address Tranlation (PAT) Check Point duy trì một bảng chuyển đổi giữa IP và
Port do đó khi gói tin được trả về chúng sẽ được chuyển đổi lại một cách chính xác, ngoài chúng còn có thể giúp cho firewall biết được port nào đang được sử dụng Check Point dùng những port từ 600 đến 1023 và 10.000 đến 60.00 cho việc chuyển đổi Hide NAT có thể chuyển đổi được 50.000 kết nối cùng một server đồng thời
Trang 312.2.1 Automactic Hide NAT và Static NAT trên CheckPoint Firewall
Check Point cung cấp cho người dùng chức năng Automatic Hide NAT cho phép tự động cấu hình chức năng NAT cho các mạng bên trong firewall Lúc nào bất kì kết nối nào từ phía bên trong mạng đều được động NAT
Check Point cho chép người dùng cấu hình NAT cho tất cả các mạng bên trong hoặc cho từng mạng riêng biệt và mổi mạng có thể chuyển đồi theo một địa chỉ public của interface của firewall nếu firewall có nhiều interface kết nối với internet
Ngoài ra Check Point cũng cung cấp chức năng Automatic Static Source và Static Destination NAT cho phép việc cấu hình static NAT trên từng host
2.2.2 NAT Table Expiration trong Hide NAT
Có thể thấy được rằng Hide NAT dùng một địa chỉ IP để chuyển đổi cho nhiều địa chỉ
IP khác cùng lúc Do đó NAT table được sử dụng trong việc quản lí các connection, NAT table quản lí tất cả các connection đã được chuyển đổi, nhưng số lượng connection mà CSG có thể đảm nhận tối đa là 25.000 và có thề mở rộng đến 50.000
Do giới hạn này mà CSG đã đính kèm một expiration timer cho mỗi connection mà nó chuyển đổi, điều này có nghĩa là nếu một connection trong trạng thái chời quá lâu thì connection đó sẽ được gở bỏ ra khỏi NAT Table Mặc định, NAT expiration timer dành cho TCP là 3600s và UDP là 330s CSG cho phép người dùng chỉnh expiration timer, tuy nhiên NAT expiration timer này không được nhỏ hơn session timeout, mặc
Trang 322.3 NAT Rule Base
Check Point quản lý NAT bằng rule, tập hợp tất cả các NAT Rule được gọi là NAT Rule Base
Hình 2.3 : NAT Rule Base trong Check Point Security Gateway
NAT Rule được chia làm 2 thành phần :
Original Packet : gồm các điều kiện dành cho gói tin, nếu gói tin thỏa các điều
kiện này thì Rule sẽ được sử dụng
Translated Packet : hành động sẽ thực hiện sau khi gói tin đã thỏa điều kiện ở
trên
Mỗi phần của một NAT Rule sẽ được chia làm các thành phần sao đây :
Source : IP source của gói tin ban đầu và IP source của gói tin sau khi chuyển
đổi
Destination : IP destination của gói tin ban đầu và IP destination của gói tin
sau khi chuyển dổi
Service : Service hoặc port của gói tin trước và sau khi chuyển đổi
Khi firewall nhận một gói tin, firewall sẽ tiến hành so sánh với rule đầu tiên trong NAT Rule Base, và cứ như thế firewall tiếp tục so sánh với các sau đó là rule thứ 2, 3
và đến hết Khi các điều kiện của một rule đã thõa thì firewall sẽ ngừng kiểm tra và sử dụng NAT Rule đó
Automatic Rule được xét theo độ ưu tiên sao đây :
Trang 332 NAT tại một host (Node) trong mạng được ưu tiên so với NAT một dãy IP hay
cả một Network
Bidirectional NAT
Bidirectional NAT chỉ được áp dụng cho Automatic NAT rules trong NAT Rule Base Bidirectional NAT cho phép một connection có thể thỏa đồng thời 2 Automatic NAT Rule Khi Automatic NAT được sử dụng cho một Network, Automatic NAT Rule sẽ được tự động phát sinh trong NAT Rule Base
Nếu địa chỉ Source thỏa một Automatic NAT Rule, firewall sẽ tiếp tục tìm tiếm trong NAT Rule Base xem có một Automatic NAT Rule nào thỏa địa chỉ Destination IP hay không Nếu có một Rule thứ 2 thỏa thì 2 Rule sẽ cùng được áp dụng, nghĩa là cả địa chỉ Source IP và Destination IP sẽ cùng được chuyển đổi
Nếu trong lúc bắt đầu kiểm tra rule nếu 1 Munual NAT Rule được thỏa thì firewall
sẽ không tiến hành kiểm tra nữa và sẽ áp dụng rule đó
2.4 Destination NAT và vấn đề routing
Trong những phiên bản trước của CSG khi cấu hình Destination NAT người dùng phải chú ý hai điều sao đây để đảm bảo NAT hoạt động đúng như yêu cầu :
Destination NAT đòi hỏi phải cấu hình chung với routing của hệ điều hành
Cần thiết phải cấu hình ARP Proxy cho IP được NAT
Trong những phiên bản Check Point mới đây đã có những cải tiến sau đây :
NAT diễn ra trực tiếp tại Client Side
Không cầu cấu hình ARP cho IP được NAT
Trang 342.4.1 Static Destination NAT on Server Side
Địa chỉ 199.1.1.1 là địa chỉ IP Public đã được NAT cho 10.1.1.1 dưới dạng Static Destination NAT Một truy cập bắt đầu từ phía Client Side và đi đến Enforcement Module Đối với NAT ở phía Server Side, hệ điều hành sẽ tiếp nhận gói tin và xét bảng routing table trước khi tiến hành NAT Do xét bảng routing table trước nên gói tin lúc này sẽ đi ngược ra cổng HPTX2, do mạng 199.1.1.0/24 là mạng kết nối trực tiếp với nó Để giải quyết vấn đề này cần một static route để chuyển gói tin đi đúng
hướng, ta có thể route theo dạng như sao route add 199.1.11./32 gw 10.1.1.1
Trang 352.4.2 Static Destination NAT on Client Side
Trong trường hợp này, kết nối cũng đi từ phía Client Side, nhưng trong trường hợp này NAT ở phía Client Side thì Enforcement Module sẽ tiến hành NAT trước sau đó
sẽ tiến hành bản xét bảng routing table của hệ điều hành
2.5 Automatic Và Manual ARP Proxy
ARP là giao thức cơ bản của mạng ethernet, chức năng của ARP là phương thức phân giải địa chỉ động giữa địa chỉ lớp network và địa chỉ lớp datalink Trong mạng ethernet giao tiếp giữa các host không chỉ sử dụng địa chỉ IP mà dựa vào địa chỉ MAC Do đó hai máy trong mạng muốn liên lạc với nhau bằng địa chỉ IP trước hết chúng phải biết địa chỉ MAC của nhau, lúc đó ARP là giao thức được sử dụng
Trang 36Trong CSG, đa số các card giao tiếp là card Ethernet, do đó giao thức ARP được sự dụng rất thường xuyên, do đó khi cấu hình NAT ta cần chú ý các vấn đề giửa ARP và NAT
1 Một gói tin được gửi từ ngoài mạng đến địa chỉ 199.1.1.1 – là một địa chỉ Public được NAT bởi Enforcement Module (CSG)
2 Border Router nhận được gói tin và dựa vào bảng routing table và sẽ chuyển gói tin ra cổng Ethernet0 đi đến Enforcement Module
3 Do là mạng Ethernet nên Border Router tiến hành request địa chỉ MAC của
IP 199.1.1.1
4 Trong trường hợp này đúng ra máy mang IP 199.1.1.1 sẽ trả lời địa chỉ MAC, nhưng do IP này là IP được NAT bởi Enforcement Module, nên lúc này Enforcement Module sẽ reply lại với MAC của chính nó
5 Border router nhận được gói tin ARP reply, nó sẽ dùng địa chỉ MAC của Enforcement Module để làm destination MAC gửi đến địa chỉ 199.1.1.1
Việc trả lời ARP request cho một địa chỉ đã NAT là do chức năng Proxy ARP của CheckPoint R70 Với những trường hợp NAT rule là Manual thì người dùng phải cấu hình bằng tay địa chỉ ARP cho những địa chỉ đã NAT theo đường dẫn
Trang 37Khi người dùng sử đụng chức automatic NAT rule thì chức Enforcement Module thì chức năng automatic ARP sẽ được sử dụng để reply địa chỉ MAC cho IP được NAT
3 Cấu hình NAT trên Check Point Security Gateway
Automatic NAT là phương pháp dễ cấu hình nhất và dễ triển khai và thường ít bị lỗi khi cấu hình, đồng thời Check Point cũng hổ trợ chức năng Automatic ARP cho Automatic Static NAT
Manual NAT có tính phức tạp và thường khó cấu hình hơn nhưng có tính linh hoạt cao Những chức năng sau đây chỉ có thể thực hiện được khi sử dụng Manual NAT
Kiểm soát được sự chuyển đổi địa chỉ source IP và destination IP
Chuyển đổi cả source IP và destination IP cùng lúc
Static destination NAT có để chuyển đổi theo service cụ thể và theo 1 hướng
3.1 Cấu hình Global NAT
Check Point Security Gateway định nghĩa nhiều thông số khác nhau và có hiệu lực trên toàn Security Gateway Các thông số này được cấu hình thông qua
SmartDashboard: Policy Global Properties sau chọn NAT-Network Address Transtaltion
Trang 38Allow bi-directional NAT: Khi CSG nhận được gói tin có cả phần source IP thỏa
một Automatic Rule và destination IP thỏa một Automatic Rule khác thì cả phần phần source và destination IP đều được chuyển đổi
Translate destination on client side: Khi chức năng này được bật thì khi CSG nhận
được một gói tin kết nối từ phía ngoài, lúc này destination nat sẽ được thực hiện sau
đó gói tin sẽ được route theo bảng routing table của hệ điều hành Điều này trái ngược với destination NAT ở phía server side (gói tin sẽ được route trước khi NAT)
Automatic ARP configuration: Chức này cho phép Security Gateway sẽ tự động trả
lời những gói ARP request để tìm địa chỉ MAC của những địa chỉ đã NAT Chức năng Automatic ARP chỉ thực hiện với các Automactic NAT rule, với Manual rule thì
người dùng phải tự cấu hình trong file local.arp
Trang 393.2 Cấu hình Automactic NAT
3.2.1 Automatic NAT cho Node Object
Ở phần này, theo sơ đồ trên ta sẽ minh hoạt chức năng Automatic Static NAT
Nyweb01 là một web server được đặt trong vùng DMZ với địa chỉ IP là địa chỉ private
để Client bên ngoài có thể truy cập vào và nyweb01 có thể truy cập ra internet ta cần phải cấu hình static NAT cho nyweb01 với địa chỉ IP là 199.1.1.2
ObjectsNewNodeHost Trong hộp thoại Host Node Properties điền
vào tên nyweb01 và địa chỉ IP là 192.168.10.2
2 Chuyển vào mục NAT đề cấu hình static NAT cho nyweb01
3 Click chọn Add Automatic Address Translation rules để CSG tự tạo rule NAT Trong mục Tranlate method gồm 2 lựa chọn là Static NAT và Hide
NAT
Chọn Static NAT
Trang 404 Nhập IP NAT 199.1.1.2 vào mục Translate to IP Address, điều này có nghĩa
là địa chỉ 192.168.10.2 sẽ được NAT thành địa chỉ 199.1.1.2 khi kết nối ra ngoài và ngược lại cho những kết nối từ Client từ bên ngoài vào nyweb01
5 Install On Gateway : nếu có nhiều Gateway được quản lý tập trung ta có thể
cài đặt NAT rule trên từng Gateway cụ thể hoặc cài lên tất cả các gateway
6 Chon OK đề hoàn tất, tiếp tục vào Policy Install để cài đặt rule, CSG sẽ tự
động phát sinh hai NAT rule như hình
Nyweb01(Valid Address) là địa chỉ IP đã NAT 199.1.1.2
Dựa vào hình kế quả ta thấy CSG tự động tạo ra cả Source NAT rule và Destination NAT rule
3.2.2 Automatic NAT cho một Network
Trong hình Internal Host là tập các máy của mạng nội bộ mang IP Private có địa chỉ mạng là 192.168.10.0/24, các máy này chỉ có nhu cầu truy cập internet và các máy này không chạy bất ki dịch vụ nào Do đó ta chỉ cần cấu hình Hide NAT cho những máy này đề có thể truy xuất ra ngoài