Đang tải... (xem toàn văn)
Nghiên cứu triển khai hệ thống bảo mật dựa trên check point 12200 Nghiên cứu triển khai hệ thống bảo mật dựa trên check point 12200 Nghiên cứu triển khai hệ thống bảo mật dựa trên check point 12200 luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
MỤC LỤC LỜI CAM ĐOAN DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT DANH MỤC HÌNH CHƯƠNG - TỔNG QUAN VỀ BẢO MẬT 11 1.1 Bảo mật hệ thống mạng 11 1.2 Các kiểu công mạng 11 1.2.1 Thăm dò (Reconnaissance) 11 1.2.2 Đánh cắp thông tin Packet Sniffers 12 1.2.3 Đánh lừa (IP Spoofing) 12 1.2.4 Tấn công từ chối dịch vụ (Denial Of Services) 13 1.2.5 Tấn công trực tiếp Password 13 1.2.6 Thám thính (Agent) 14 1.2.7 Tấn công vào yếu tố người 14 1.2.8 Các phương thức công D.O.S thông thường 14 1.2.9 Phương thức công Mail Relay 14 1.2.10 Phương thức công hệ thống DNS 14 1.2.11 Phương thức công Man-In-The-Middle Attack 15 1.2.12 Phương thức công Trust Exploitation 15 1.2.13 Phương thức công Port Redirection 15 1.2.14 Phương thức công lớp ứng dụng 16 1.2.15 Phương thức Virus Trojan Horse 16 CHƯƠNG – CHECK POINT 17 2.1 Giới thiệu Check Point 17 2.2 Giới thiệu dòng thiết bị Check Point 17 2.3 Những tính bật Check Point 19 2.3.1 Firewall 19 2.3.2 Hỗ trợ phân tích Log 19 2.3.3 VPN 20 2.3.4 Tính quản lý (SmartCenter GUI Client) 20 2.3.5 Tính quản lý Log 20 2.3.6 Tính linh động 20 2.3.7 Tính trội khác 21 2.4 Các thành phần bảo mật Check Point 21 2.4.1 Eventia Analyzer 21 2.4.2 Eventia Report 21 2.4.3 SmartCenter 21 2.4.4 SmartPortal 22 2.4.5 SmartView Monitor 22 2.4.6 Smart Dashboard 22 2.4.7 SmartView Tracker 22 2.4.8 SmartLSM 23 2.4.9 SmartUpdate 23 2.4.10 Security Gateway 23 2.5 Check Point Firewall Gateway Security 23 2.5.1 Kiến trúc Check Point Software Blades 23 2.5.2 Những lợi ích Check Point Software Blade 24 2.5.3 Security Gateway Software Blades 24 2.5.4 Security Management Blades 25 CHƯƠNG - KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC TRÊN CHECK POINT 27 3.1 Kiểm soát truy cập mạng 27 3.1.1 Các thành phần Rule 27 3.1.2 Chống giả mạo địa 28 3.2 Xác thực Check Point 28 3.2.1 Phương thức xác thực Check Point 28 3.2.2 Cơ chế xác thực Check Point 29 3.2.2.1 VPN-1 & Firewall-1 Password 29 3.2.2.2 OS Password 29 3.2.2.3 Radius 29 3.2.2.4 Tacacs 29 3.2.2.5 SecurID 30 CHƯƠNG - PHƯƠNG THỨC KẾT NỐI TRÊN CHECK POINT 31 4.1 Internet Service Provider ( ISP) Rundundancy 31 4.1.1 Hoạt động ISP Redundancy 31 4.1.2 Kết nối từ Firewall Internet 32 4.1.3 Kết nối từ phía ngồi Internet vào bên mạng 32 4.2 NAT Check Point Security Gateway 33 4.2.1 Automactic Hide NAT Static NAT CheckPoint Firewall 34 4.2.2 NAT Rule Base 34 4.2.3 Cấu hình NAT Check Point Security Gateway 35 4.2.3.1 Automatic NAT cho Node Object 35 4.2.3.2 Cấu hình Manual Static NAT 37 4.3 VPN Check Point 37 4.3.1 VPN Remote Access 37 4.3.2 VPN Site-To-Site 38 4.3.2.1 Intranet-based VPN 38 4.3.2.2 Extranet-based VPN 39 4.3.3 Giải pháp VPN Check Point 40 4.3.4 Khái niệm đặc trưng VPN 41 CHUƠNG - NGĂN CHẶN XÂM NHẬP TRÊN CHECK POINT (INTRUSION PREVENTION SYSTEM – IPS) 43 5.1 Giới thiệu IPS Firewall Check Point 43 5.2 Phương thức hoạt động Check Point IPS 44 5.3 Mô cách thức công ghi nhận hoạt động IPS 44 5.3.1 Port Scan 44 5.3.2 DOS (Denial of Services) 45 CHUƠNG 6: TRIỂN KHAI MƠ HÌNH TRÊN CHECK POINT 12200 49 6.1 Bài toán đặt 49 6.2 Mơ hình Lab 50 6.3 Các bước thực Lab 50 6.3.1 Cài đặt cấu hình Check Point Security Gateway Cluster 50 6.3.2 Triển khai NAT tạo Rule cho phép VLAN10 Internet 55 6.3.3 Cấu hình Application and URL Filtering Check Point 56 6.3.3.1 Cấu hình chặn trang Facebook.com 56 6.3.3.2 Cấu hình chặn URL Check Point 58 6.3.4 Triển khai VPN Check Point 60 6.3.4.1 Cấu hình VPN Remote Access 60 6.3.4.2 Cấu hình VPN Site-To-Site 63 KẾT LUẬN 70 DANH MỤC TÀI LIỆU THAM KHẢO 71 LỜI CAM ĐOAN Tôi xin cam đoan luận văn cơng trình nghiên cứu riêng tơi có giúp đỡ lớn thầy hướng dẫn TS Nguyễn Tuấn Dũng Các nội dung nghiên cứu, kết đề tài trung thực chưa cơng bố hình thức trước Trong luận văn, tơi có tham khảo đến số tài liệu liệt kê phần Tài liệu tham khảo cuối luận văn Các tài liệu tham khảo trích dẫn trung thực luận văn Hà Nội, ngày… tháng … năm 2016 Tác giả Nguyễn Văn Hoan DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Ký hiệu Tiếng Anh IP Internet Protocol DNS Domain Name System NIC Network Interface Card FTP File Transfer Protocol SMTP Simple Mail Transfer Protocol POP3 Post Office Protocol WAN Wide Area Networks SSL Secure Sockets Layer SSH Secure Shell DMZ Demilitarized Zone HIDS Host-Base IDS IDS Intrusion Detection System OS Operating System VPN Vitual Private Network OSI Open Systems Interconnection RADIUS Remote Authentication Dial In User Service DES Data Encryption Standard AES Advanced Encryption Standard GUI Graphic User Interface LAN Local Area Network L2TP Layer Tunneling Protocol IPS Intrusion Prevention System QOS Quality of Service LDAP Lightweight Directory Access Protocol HTTP HyperText Transfer Protocol OTP One-Time Password PIN Personal Identification Number NAT Network Address Translation IPSec IP Security IKE Internet Key Exchange IDP Intrusion Detection and Prevention SYN Synchronize DOS Denial of Services ICMP Internet control message Protocol PKI Publish Key Infrastructure DANH MỤC HÌNH Hình 2.1: Các dòng sản phẩm Check Point 19 Hình 2.2: Check Point Software Blades 24 Hình 3.1: Các thành phàn Rule 27 Hình 4.1: Mơ hình kết nối Internet qua Check Point 32 Hình 4.2: NAT Rule Base Check Point Security Gateway 34 Hình:4.3 Mơ hình NAT Web 36 Hình:4.4: Static NAT 36 Hình:4.5: Manual Static NAT Web Server 37 Hình 4.6: Client từ xa tới Host đằng sau Gateway 38 Hình 4.7: Mơ hình VPN Site-To-Site (Intranet Based) 39 Hình 5.1: Hoạt động Port Scan 44 Hình 5.2: Hình thức cơng DoS 45 Hình 5.3: Các gói tin SYN từ địa khơng có thực gửi tới Web Server 47 Hình 5.4: Ghi nhận Check Point IPS – Mode Detect 47 Hình 6.1: Mơ hình tổng thể LAB 50 Hình 6.2: Bảng địa Check Point CP-Node1 50 Hình 6.3: Bảng địa Check Point 02 51 Hình 6.2: Cấu hình Cluster cho Check Point 51 Hình 6.3: Khai báo thông tin cho Check Point Cluster 52 Hình 6.4: Add Check Point 52 Hình 6.5: Chọn Network Synchronization Check Point 53 Hình 6.6: Chọn Network Management cho Check Point 53 Hình 6.7: Chọn Network Outside cho Check Point 54 Hình 6.8: Chọn Network Outside cho Check Point 54 Hình 6.9: Kiểm tra hoạt động Cluster Check Point 55 Hình 6.10: Tao Subnet NAT Internal 55 Hình 6.11: Tao Rule 56 Hình 6.12: Tao Rule cho phép VLAN10 truy cập Internet 56 Hình 6.13: Rule cấm truy cập Facebook 56 Hình 6.14: Add Applications/Sites “Facebook” 57 Hình 6.15: Rule cấm Facebook chọn 57 Hình 6.15: Add User muốn cấm Facebook 57 Hình 6.16: Tạo Rule cấm URL mp3.zing.vn 58 Hình 6.17: Đặt tên URL cần cấm 59 Hình 6.18: Địa URL cần cấm 59 Hình 6.19: Tạo Object MP3 60 Hình 6.20: Mơ hình VPN Remote Access 60 Hình 6.21: Bật chức VPN Check Point 61 Hình 6.22: Dải địa tự hệ thống sinh bật chức VPN 61 Hình 6.23: Cấu hình Office Mode 62 Hình 6.24: Cấu hình xác thực Pre-Sharekey 62 Hình 6.25: Định nghĩa VPN Community Participants 63 Hình 6.26: Tạo luật kết nối VPN Client-To-Site 63 Hình 6.27: Enable IPSec VPN 64 Hình 6.28: Tạo Domain VPN 65 Hình 6.29: Tạo đối tượng mạng chi nhánh 65 Hình 6.30: Tạo tường lửa chi nhánh 66 Hình 6.31: Tạo Domain VPN chi nhánh 66 Hình 6.32: Tạo VPN Si-To-Site 67 Hình 6.33: Đặt tên VPN Site-To-Site 67 Hình 6.34: Add Gateways VPN Site-To-Site 68 Hình 6.35: Thiết lập Tunnel Management 68 Hình 6.36: Thiết lập Shared Secret 69 Hình 6.37: Tạo Rule kết nối VPN Site-To-Site 69 MỞ ĐẦU Check Point công ty hàng đầu giới lĩnh vực an ninh, bảo mật Internet công ty tiên phong, đổi thị trường tường lửa doanh nghiệp, an ninh liệu VPN Tiêu điểm mà Check Point nhắm tới An tồn thơng tin, Check Point phân phối kiến trúc an ninh hợp nhằm bảo vệ cho doanh nghiệp tài nguyên truyền thông, bao gồm hệ thống Mạng doanh nghiệp ứng dụng, nhân viên làm việc từ xa, văn phòng, chi nhánh mạng Extranets đối tác Các sản phẩm Check Point bảo vệ mã hóa thơng tin nhạy cảm doanh nghiệp máy tính thiết bị di động khác Giải pháp đươc giải thưởng Check Point ZoneAlarm bảo vệ cho hàng triệu người dùng thông thường khỏi Hackers, Spyware Các giải pháp Check Point bán, tích hợp dịch vụ mạng lưới đối tác Check Point toàn cầu Các khách hàng Check Point bao gồm hàng chục ngàn doanh nghiệp tổ chức có qui mơ khác Trong đề tài “Nghiên cứu, triển khai hệ thống bảo mật dựa Check Point 12200” nghiên cứu số tính quan trọng Check Point khả kết nối, quy tắc truy cập mạng, chế NAT, triển khai dịch vụ Cluster, VPN…từ đưa giải pháp bảo mật triển khai giả lập mô Lab trên Check Point 10 Hình 6.14: Add Applications/Sites “Facebook” Tại ta chặn theo giờ, ví dụ làm việc nhân viên khơng truy cập Facebook… cột Time Hình 6.15: Rule cấm Facebook chọn Ở phần Source Rule tiến hành Add User mà muốn cấm họ truy cập Facebook Hình 6.15: Add User muốn cấm Facebook Bước 3: Sau tạo Rule cấm Facebook xong cần tiến hành save & Install Policy để Rule có hiệu lực 57 Bước 4: Chúng ta sử dụng giao diện Smartview Tracker Click vào dòng Application and URL Filtering → all, để kiểm tra lại Log Firewall Ta thấy người dùng truy cập đến Facebook bị Block 6.3.3.2 Cấu hình chặn URL Check Point Bước 1: Chúng ta chặn trang Web đó, khơng cho người dùng truy cập đến Chẳng hạn tiến hành chặn trang mp3.zing.vn Tương tự Rule mà tạo tiến hành tạo Rule Hình 6.16: Tạo Rule cấm URL mp3.zing.vn Bước 2: Ở góc bên trái phía cuối cửa sổ tiến hành tạo Site, ta chọn New → New Application/ Site… Đặt tên cho Site mà ta muốn Block 58 Hình 6.17: Đặt tên URL cần cấm Bước 3: Nhập URL Site mà ta muốn cấm người dùng truy cập Hình 6.18: Địa URL cần cấm Bước 4: Tạo Object để cần dùng Search đống Object có sẵn 59 Hình 6.19: Tạo Object MP3 Bước 5: Save Install Policy Bây người dùng thử truy cập vào trang mp3.zing.vn báo Page Block bị chặn Firewall, Chúng ta xem rõ lại hành động Firewall Smartview Tracker 6.3.4 Triển khai VPN Check Point 6.3.4.1 Cấu hình VPN Remote Access + Mơ hình VPN Remote Access Hình 6.20: Mơ hình VPN Remote Access Phía Check Point Gateway: 60 Bước 1: Enable chức VPN tường lửa Checkpoint Hình 6.21: Bật chức VPN Check Point Khi Enable chức IPSec VPN tự động có lớp mạng sinh ra, sử dụng cho Office Mode nên sử dụng dải IP để cấp cho máy Client thiết lập VPN tới Gateway Hình 6.22: Dải địa tự hệ thống sinh bật chức VPN 61 Bước 2: Cấu hình cấp IP cho máy Client (Office Mode) Hình 6.23: Cấu hình Office Mode Bước 3: Tạo User VPN Gateway Sử dụng phương pháp xác thực PreSharekey (Pre Share key Password người dùng) Hình 6.24: Cấu hình xác thực Pre-Sharekey Bước 4: Tạo Group VPNS, Add người dùng VPN vào nhóm VPNS Bước 5: Định nghĩa VPN Community Participants 62 Hình 6.25: Định nghĩa VPN Community Participants Bước 6: Tạo Rule kết nối VPN Client-to-Site Hình 6.26: Tạo luật kết nối VPN Client-To-Site Bước 7: Phía Client cài dặt phần mềm Check Point Endpoint Connect để kết nối VPN qua Check point Gataway, lúc Client truy cập vào mạng Internal (172.16.10.0/24) 6.3.4.2 Cấu hình VPN Site-To-Site Trong mơ hình thổng thể Lab (hình 6.1) nêu Hiện cơng ty có hai chi nhánh đặt Hà Nội (Site 1) HCM (Site 2), hàng ngày nhân viên tồn cơng ty hai chi nhánh trao đổi, khai thác thông tin qua lại lẫn nhau, 63 đồng thời truy cập vào Website nội cơng ty đặt chi nhánh Để kết nối thông suốt phải đảm bảo mức độ an toàn, bảo mật chi nhánh Trên Check Point ta triển khai cấu hình VPN SiteTo-Site kết nối chi nhánh theo bước sau + Bước 1: Enable chức IPSec- VPN Check Point 01 Khi Enable chức IPSec VPN tự động có lớp mạng sinh ra, sử dụng cho Office Mode nên sử dụng dải IP để cấp cho máy Client thiết lập VPN tới Gateway Hình 6.27: Enable IPSec VPN + Bước 2: Tạo Domain cho VPN Kết nối VPN Site_To_Site phép truy nhập đến tài nguyên mạng LAN_VPN_HN (172.16.100.0/24) 64 Hình 6.28: Tạo Domain VPN + Bước 3: Tạo đối tượng mạng, Firewall chi nhánh (Site2) có LAN_VPN_HCM 172.16.10.0/24 Hình 6.29: Tạo đối tượng mạng chi nhánh + Bước 4: Tạo Firewall chi nhánh Trên giao diên SmartDashboard→ Phải chuột Check Point→ More → Externally Managed VPN Getway 65 Hình 6.30: Tạo tường lửa chi nhánh + Bước 5: Enable chức IPSec- VPN Check Point 02 + Bước 6: Tạo Domain cho VPN Kết nối VPN Site_To_Site phép truy nhập đến tài nguyên mạng LAN2 (172.16.10.0/24) Hình 6.31: Tạo Domain VPN chi nhánh 66 + Bước 7: Vào IPSec VPN → Tạo Site-To-Site kiểu (Meshed community….) Hình 6.32: Tạo VPN Si-To-Site + Bước 8: Đặt tên cho Site-To-Site Hình 6.33: Đặt tên VPN Site-To-Site + Bước 9: Ở phần Center Gateways → Chọn CheckPoint Getway 67 Hình 6.34: Add Gateways VPN Site-To-Site Trong Tab Tunel Management → Check Set Permanent Tunels để thiết lập Tunels Trong Tab VPN Tunels Sharing → Chọn One NPN Tunel Per Subnet Pais để kết nối Subnet chi nhánh với Hình 6.35: Thiết lập Tunnel Management Trong Tab Shared Secret Thiết lập pass cho CheckPoint GateWay 68 Hình 6.36: Thiết lập Shared Secret + Bước 10: Tạo Rule cho kết nối VPN Site-To-Site Hình 6.37: Tạo Rule kết nối VPN Site-To-Site Tương tự bước ta cấu hình CheckPoint_02 (trên Site 2) 69 KẾT LUẬN Để hoàn thành Luận văn em xin bày tỏ lòng biết ơn sâu sắc đến Thầy giáo TS Nguyễn Tuấn Dũng giúp em suốt thời gian qua Luận văn tốt nghiệp tác giả với đề tài: “Nghiên cứu, triển khai hệ thống bảo mật dựa Check Point 1200” hoàn thành Trong luận văn đề cập đến vấn đề quan tâm vấn đề đảm bảo an tồn thơng tin, an ninh mạng cho doanh nghiệp Luận văn giải vấn đề sau: Nghiên cứu tổng quan bảo mật hệ thống mạng cho doanh nghiệp, kiểu công mạng Nghiên cứu hệ thống Firewall, đặc biệt nghiên cứu hệ thống Checkpoint Security Gateway Nghiên cứu tính bật thành phần bảo mật Checkpoint Security Gateway Nghiên cứu sách kiểm soát truy câp người dùng kiểu xác thự Check Point Các phương thức kết nối, cách triển khai VPN Check Point Nghiên cứu giải pháp Check Point nhằm ngăn chặn tối đa xâm nhập bất hợp pháp hệ thống mạng Triển khai mơ hình thực tế Check Point áp dụng cho doanh nghiệp Dù cố gắng hạn chế thời gian trình độ nên luận văn khơng tránh khỏi thiếu sót hạn chế định, luận văn cịn có phần chưa nghiên cứu hết được, kính mong Thầy, Cơ đóng góp ý kiến để luận văn hồn thiện Trong tương lai, với mong muốn tiếp tục phát triển đề tài thành sản phẩm Firewall hữu ích hơn, ứng dụng rộng dãi, phục vụ cho việc đảm bảo an ninh mạng, an toàn thơng tin Việt Nam nói chung tổ chức, doanh nghiệp nói riêng Một lần em xin chân thành cảm ơn! 70 DANH MỤC TÀI LIỆU THAM KHẢO [1] Firewall R77 Versions Administration Guide, December 2015 [2] Check Point IPS R77 Versions Administration Guide, May 2015 [3] Mobile Access Administration Guide R77 Versions, May 2015 [4] Installation and Upgrade Guide for Non-Gaia Platforms for SecurePlatform, 26 August 2015 [5] Security Gateway R77 Versions Technical Administration Guide, 10 August 2015 [6] Threat Prevention R77 Versions Administration Guide, January 2016 [7] Application Control and URL Filtering R77 Versions Administration Guide, 17 May 2015 [8] VPN R77 Versions Administration Guide, March 2016 [9] Trang web: https://www.checkpoint.com 71 ... đưa giải pháp bảo mật triển khai giả lập mô Lab trên Check Point 10 CHƯƠNG - TỔNG QUAN VỀ BẢO MẬT 1.1 Bảo mật hệ thống mạng Bảo mật hệ thống mạng đảm bảo an toàn cho toàn hệ thống trước công, xâm... triển khai hệ thống bảo mật dựa Check Point 12200? ?? tơi nghiên cứu số tính quan trọng Check Point khả kết nối, quy tắc truy cập mạng, chế NAT, triển khai dịch vụ Cluster, VPN…từ đưa giải pháp bảo mật. .. liệu hệ thống Vấn đề bảo mật mạng vấn đề thiết ta nghiên cứu hệ thống mạng Hệ thống mạng phát triển vấn đề bảo mật mạng đặt lên hàng đầu Khi nguyên cứu hệ thống mạng cần phải kiểm soát vấn đề bảo