Hướng dẫn triển khai tường lửa Nokia Check Point và hệ điều hành IPSO

Giải pháp Nokia Check Point

Nokia IP1220 là một trong một loạt sản phẩm Nokia IP, dòng thiết bị phần cứng chuyên cung cấp các giải pháp mạnh mẽ và chuyên dụng về tường lửa/VPN cũng như tích hợp được rất nhiều tính năng được kỳ vọng khác. Nokia IP1220 giống như một tấm lá chắn bảo vệ hệ thống mạng bên trong, ngăn chặn các lưu thông bất hợp pháp vào bên trong mạng, kiểm soát tất cả các gói tin đi qua, thiết lập các chính sách phù hợp với yêu cầu đối với tất cả các đối tượng cả bên trong và bên ngoài mạng.

Cài đặt package

Người dùng có thể kích hoạt hoặc vô hiệu hóa một gói bất kỳ trong các gói đã cài đặt bằng cách vào trang Manage Installed Packages, chọn On để kích hoạt, Off để vô hiệu hóa. Sau khi tải phần mềm SmartConsole NGX R62 về, người dùng giải nén và chạy tiến trình cài đặt như đối với các phần mềm bình thường khác.

Thiết lập cấu hình ban đầu

Sau đó, người dùng phải xác định máy khách SmartConsole nào được phép truy cập tới SmartCenter Server. Khác với lần cấu hình đầu tiên, trong các lần cấu hình cpconfig sau người dùng sẽ nhận được một danh sách các lựa chọn giúp cho việc cấu hình trở nên linh hoạt hơn.

Chính sách tường lửa mặc định

Sau đó người dùng có thể kết nối từ xa vào thiết bị để thực hiện các thao tác quản trị; khi thực hiện xong thì khởi động lại dịch vụ bằng lệnh cpstart. - Gỡ bỏ chính sách mặc định bằng lệnh fw unloadlocal hoặc fw unload localhost (tùy thuộc từng version).

Thiết lập các luật tường lửa qua SmartDashboard

Các luật được xét theo thứ tự từ trên xuống dưới, nếu một gói tin thỏa mãn điều kiện của luật trên thì nó sẽ được thực hiện theo action đã định sẵn ở luật đó và không tiếp tục được xét đến ở các luật phía dưới. Một luật mặc định được thêm vào trên cùng của danh sách luật; bất cứ gói tin dùng địa chỉ nguồn, đích nào hoặc sử dụng bất cứ dịch vụ nào cũng đều bị drop mà không được hệ thống ghi lại.

Ẩn giấu đối tượng mạng

Khi một kết nối tới tường lửa, nó so sánh gói tin cho địa chỉ nguồn, đích và dịch vụ của gói tin. Nếu đúng với những thông tin đã lưu, tường lửa sẽ chỉnh sửa nguồn đích và dịch vụ của gói tin dựa trên các luật NAT. Cũng giống như các luật tường lửa, các luật NAT cũng được đọc theo thứ tự từ trên xuống dưới.

Ngoài ra, người dùng cũng nên chú ý rằng tường lửa sẽ cho phép các gói tin có địa chỉ nguồn và đích sau khi NAT đi qua.

Cấu hình luật NAT

Install On dùng để xác định tường lửa mà người dùng muốn áp dụng luật NAT này. Cấu hình static NAT cũng tương tự như trên, chỉ khác là thay vì một dải địa chỉ, giờ đây cả nguồn và đích đều là địa chỉ đơn lẻ. Ngoài ra, ta có thể sử dụng một số tính năng của NAT như NAT 2 chiều hay NAT MAC, các tùy chọn này có thể được đặt trong Global Properties như trong hình dưới đây.

Giới thiệu về SmartDefense

Tất cả các tùy chọn của SmartDefense được truy cập trong thẻ SmartDefense của SmartDashboard. Tùy chọn đầu tiên là Anti Spoofing Configuration Status cho phép xem chế độ chống giả mạo đã được kích hoạt chưa. Cần kích hoạt chống giả mạo trên tất cả các cổng của thiết bị để tránh trường hợp có kẻ giả mạo một IP hợp lệ để tấn công bằng cách gán cho mỗi cổng một nhãn External hoặc Internal (trong Check Point Gateway | Topology).

Network Security

Người dùng nên kích hoạt tùy chọn cho phép phân mảnh gói tin IP (Allow IP Fragments) để cho những trường hợp mà kích thước gói tin vượt quá kích cỡ tối đa. Tuy nhiên điều này nguy hiểm ở chỗ một người có thể giấu thông tin về hoạt động của anh ta bằng cách phân mảnh các gói tin để SmartDefense không thể nhận ra. IP ID chỉ dẫn tường lửa gán số hiệu của nó cho mỗi gói tin IP, do đó làm cho người ngoài không biết được hệ điều hành đang dùng của mình (vì từ số hiệu gói tin có thể suy ra được hệ điều hành đang sử dụng).

Có một số dịch vụ sử dụng những cổng động để truyền tải dữ liệu (ví dụ FTP)…, tuy nhiên cổng động cũng có thể là một trong những tấn công theo kiểu backdoor.

Application Intelligence

Mục này cho phép người dùng cấu hình tường lửa chống lại các tấn công ăn trộm thông tin bảo mật của người dùng bằng cách sử dụng cookies của Web server hay chạy những đoạn mã gửi thông tin cá nhân người dùng tới những tổ chức bên ngoài. HTTP Format Sizes cho phép điều chỉnh những tham số của giao thức HTTP, đạt độ dài tối đa của URL với mặc định là 2048 bytes sẽ làm giảm khả năng người dùng vào những URL độc hại và khiến HTTP server ngừng hoạt động (mặc dù các server HTTP hiện nay đã có bản vá cho lỗi này). Giới hạn header về độ dài và số, mặc định là 1000 bytes và 500 được sử dụng để ngăn chặn những kẻ phá hoại gửi lượng lớn HTTP header hay một số HTTP header lớn tới HTTP server và làm cho server ngừng hoạt động và sau đó từ chối những người dùng hợp pháp hoặc thậm chí là chiếm lấy quyền điều khiển.

File and Print Sharing Worm Catcher đặt tại tab Microsoft Networks bên dưới File and Print Sharing làm tăng khả năng nhận biết worm cho SmartDefense với những file chia sẻ của Microsoft.

Giải pháp VPN Check Point cho truy cập từ xa

Để thiết lập dải địa chỉ IP pool, nhập tên dải trong trường Name, nhập địa chỉ đầu tiên của dải trong trường Network Address sau đó nhập subnet mask tùy theo lượng địa chỉ muốn sử dụng trong trường Net Mask. Bước tiếp theo là tạo người dùng để truy cập VPN, phần này sẽ trình cách tạo người dùng VPN trong cơ sở dữ liệu của VPN gateway còn phần tích hợp với máy chủ LDAP sẽ trình bay ở phần sau. Như định nghĩa VPN Domain trong Check Point Gateway | Topology để giới hạn các đối tượng mạng tham gia vào VPN, người dùng từ xa sau khi kết nối VPN mạng chỉ có thể giao tiếp với các đối tượng thuộc VPN Domain.

SecuRemote/SecureClient là công cụ máy khách cung cấp chức năng truy cập VPN Check Point cho người dùng và bảo vệ các thông tin nhạy cảm khi giao tiếp với mạng nội bộ và các server qua đường hầm VPN.

Giới thiệu sơ lược về LDAP

Schema là một định nghĩa dữ liệu cho thư mục và cách máy chủ và máy khách xử lý các thao tác với thông tin như thế nào (ví dụ như tìm kiếm). So sánh với tổ chức của một filesystem, DN tương tự như một đường dẫn tuyệt đối, còn RDN (Relative DN) giống như tên file. Object Identifiers (OIDs) là một chuỗi các số ngăn cách nhau bởi dấu chấm (.) dùng để xác định một thực thể duy nhất như thuộc tính, cú pháp, lớp đối tượng.

Tất cả các entry trong một thư mục LDAP phải có một thuộc tính objectClass, và thuộc tính này phải có ít nhất một giá trị (có thể nhiều hơn một).

Cấu hình VPN tích hợp LDAP [6]

OpenLDAP sử dụng một khuôn dạng định nghĩa schema đơn giản, người dùng có thể tạo schema từ Netcapse Schema ($FWDIR/lib/ldap/schema.ldif) bằng cách sử dụng một shell script, hoặc có thể sử dụng một schema đã được tạo sẵn (xem phụ lục A). Do Check Point sử dụng một schema riêng nên nếu không thêm objectClass fw1person vào các tài khoản thì Check Point sẽ không thể sử dụng được các tài khoản này. Để sử dụng tính năng này người dùng phải kích hoạt LDAP Account Management trong Global Properties bằng cách đánh dấu vào tùy chọn User SmartDirectory.

Các user được lấy về qua Account Unit, nhưng thiếu các định nghĩa liên quan đến xác thực, sẽ sử dụng authentication scheme mặc định, hoặc một template.

Cài đặt

Nếu trên thiết bị chưa cài đặt hệ điều hành và các gói Firewall, VPN cần thiết, thì sau khi lắp đặt cần phải thực hiện các thao tác cài đặt hệ điều hành IPSO và bộ sản phẩm Check Point NGX. Thiết lập các tùy chọn khác trong Global Properties như phương thức xác thực, hỗ trợ IKE qua TCP, nén gói tin IP (VPN Basic), các giải thuật mã hóa và toàn vẹn dữ liệu (VPN – IKE, VPN - IPSec). Với việc tạo các LDAP group như vậy chúng ta có thể dễ dàng thiết lập các luật riêng cho từng group để quy định quyền hạn của các client khi truy cập VPN vào mạng.

Với nguyên tắc làm việc từ trên xuống của firewall thì trong trường hợp này tài khoản sinh viên bị giới hạn quyền truy cập đến mạng 192.168.0.0 nhưng vẫn có thể truy cập tới phần còn lại trong mạng.

Giám sát và quản lý

Người quản trị có thể xem các thông tin của gói tin như thời gian gói tin đến, địa chỉ nguồn, đích, giao thức, dịch vụ, tài khoản gửi (nếu là gói tin VPN), hành động mà tường lửa áp dụng lên gói tin, …. Thời điểm hiện tai, thiết bị đã được lắp đặt trên mạng thực tế, và kết quả ban đầu cho thấy thiết bị hoạt động khá tốt và ổn định. SmartView Monitor cho phép người quản trị giám sát theo thời gian thực các hoạt động trên mạng, và hiển thị dưới nhiều dạng khác nhau như bảng, biểu đồ.

Người quản trị có thể giám sát các thông tin như network traffic, VPN Tunnel, Remote User, và hàng loạt thông tin cần thiết khác.