Việc cấu hình bằng tay các luật NAT cũng giống như cấu hình các luật tường lửa. Tuy nhiên CheckPoint cho phép cấu hình tự động các luật này khi cần. Để cấu hình tự động, vào Manage | Network Objects, chọn tab NAT.
Hình 5. Cấu hình luật NAT tự động
Chọn Add Automatic Address Translation Rules. Chọn Hide trong Translation Mode. Để xác định IP để ẩn trên mạng, gõ địa chỉ vào trong trường Hide behind IP Address (gõ 0.0.0.0 để tường lửa sử dụng địa chỉ external của nó). Ngoài ra, có thể sử
dụng địa chỉ external của gateway bằng cách chọn Hide behind Gateway. Install On dùng để xác định tường lửa mà người dùng muốn áp dụng luật NAT này. Chọn All để áp dụng cho tất cả các tường lửa.
Hình 6. Các luật NAT
Như hình trên thì 2 luật phía trên là luật được tạo ra tự động.
Cấu hình static NAT cũng tương tự như trên, chỉ khác là thay vì một dải địa chỉ, giờ đây cả nguồn và đích đều là địa chỉ đơn lẻ.
Ngoài ra, ta có thể sử dụng một số tính năng của NAT như NAT 2 chiều hay NAT MAC, các tùy chọn này có thể được đặt trong Global Properties như trong hình dưới đây.
CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE [3] 5.1. Giới thiệu về SmartDefense
Tính năng chính của tường lửa là cho phép các truy cập hợp lệ đi qua và loại bỏ những truy cập không hợp lệ. Trong quá khứ, tường lửa đã hoạt động rất hiệu quả, tuy nhiên ngày nay rất nhiều lỗ hổng bảo mật trên các ứng dụng mạng có thể bị kẻ xấu khai thác và lợi dụng. Do đó mô hình “cho phép hoặc loại bỏ” đã không còn được sử dụng hiệu quả trên các hệ thống bảo mật thành công ngày nay. SmartDefense, một trong những thành phần chủ chốt trong bộ sản phẩm Check Point, là một giải pháp để giải quyết vấn đề này. Với cơ chế Application Intelligence, nó cho phép những truy cập hợp pháp tới các tài nguyên mạng trong khi vẫn bảo vệ được tài nguyên khỏi các tấn công.
Phương thức hoạt động của SmartDefense là giám sát dòng lưu thông mạng qua tường lửa, so sánh những đặc tính của các gói tin lưu thông với những đặc tính đã xác định trước của một hành động tấn công. Những hoạt động đáng nghi đều được lưu lại và được gửi tới người quản trị mạng để họ chuẩn bị các biện pháp chống tấn công. SmartDefense hỗ trợ phát hiện năm loại tấn công sau: Denial of Service (DoS), Transmission Control Protocol/Internet Protocol (TCP/IP), tấn công ứng dụng, dò cổng và IP, và sâu máy tính.
Với các tấn công ngày càng mới hiện nay, việc sử dụng một danh sách cố định các thuật toán phòng thủ sẽ không đảm bảo an toàn. Vì vậy SmartDefense cung cấp một dịch vụ cho phép cập nhật các thuật toán phòng thủ tấn công mới nhất.
SmartDefense có cách thức hoạt động khác so với hệ thống phát hiện thâm nhập. Nó không cố gắng chống lại các kiểu tấn công mới được phát hiện, thay vào đó nó bảo vệ mạng khỏi các tấn công bằng cách thực hiện kiểm tra kĩ càng và nghiêm ngặt các tiêu đề của gói tin cũng như phần dữ liệu của giao thức để ngăn ngừa các dữ liệu nguy hại xâm nhập vào mạng. Ví dụ, thay vì xem xét danh sách một loạt các kiểu tấn công có thể sử dụng để tấn công vào máy chủ DNS , SmartDefense sẽ kiểm tra gói tin DNS xem nó có đúng với chuẩn RFC cho gói tin DNS hay không. Điều này sẽ giúp bảo vệ chống lại rất nhiều các kiểu khai thác hiện tại và ngay cả trong tương lai mà không cần phải liên cập nhật các dấu hiệu. Tuy nhiên phương thức này không cho phép bảo vệ trước mọi cuộc tấn công, vì có nhiều tấn công rất khó phân biệt với dòng dữ liệu hợp lệ. Một số kiểm tra quá nghiêm ngặt có thể loại bỏ nhầm các gói tin hợp lệ. Vì vậy đòi hỏi ứng
dụng phải có sự linh động để cho phép người dùng có thể thay đổi độ nhạy cảm hoặc thậm chí là tắt bỏ hẳn sự bảo vệ.
Tất cả các tùy chọn của SmartDefense được truy cập trong thẻ SmartDefense của SmartDashboard.
Tùy chọn đầu tiên là Anti Spoofing Configuration Status cho phép xem chế độ
chống giả mạo đã được kích hoạt chưa. Cần kích hoạt chống giả mạo trên tất cả các cổng của thiết bị để tránh trường hợp có kẻ giả mạo một IP hợp lệ để tấn công bằng cách gán cho mỗi cổng một nhãn External hoặc Internal (trong Check Point Gateway | Topology).
5.2. Network Security
Tính năng Network Security trong SmartDefense đưa ra rất nhiều bảo vệ chống lại các tấn công mạng, cơ chế hoạt động của nó khác với Application Intelligence (dựa trên sự nhận dạng gói tin).
5.2.1. Denial of Service
SmartDefense cung cấp khả năng phòng thủ chống lại ba kiểu tấn công DoS. Tấn công DoS làm cho máy chủ không thể trả lời lại những yêu cầu của người dùng hợp lệ. Bằng cách phát hiện ra hoạt động tấn công và chống lại kẻ tấn công, người có thể khôi phục lại tính sẵn sàng của hệ thống.
Ba loại tấn công DoS có thể được phát hiện đó là: - TearDrop: phát hiện gói tin IP trùng lặp.
- Ping of Death: phát hiện các gói tin ICMP quá kích cỡ.
- LAND: phát hiện các gói tin được bị thay đổi một cách không bình
thường.
5.2.2. IP and ICMP
Phần IP và ICMP cho phép bảo vệ mạng khỏi những điểm yếu ở tầng 3 và tầng 4. Có một kiểm tra bắt buộc đối với từng gói tin để đảm bảo phần header, kích thước gói tin và các cờ không có biểu hiện bất thường nào. Tùy chọn Max Ping Size cho phép người dùng định nghĩa kích thước tối đa của gói tin ICMP để tránh những tấn công lợi dụng ICMP để làm tắc nghẽn mạng.
Người dùng nên kích hoạt tùy chọn cho phép phân mảnh gói tin IP (Allow IP Fragments) để cho những trường hợp mà kích thước gói tin vượt quá kích cỡ tối đa. Tuy nhiên điều này nguy hiểm ở chỗ một người có thể giấu thông tin về hoạt động của anh ta bằng cách phân mảnh các gói tin để SmartDefense không thể nhận ra. Cách giải quyết đó là đặt giới hạn số gói tin chưa hoàn chỉnh và đặt tỉ lệ loại bỏ những gói tin không hoàn chỉnh (ví dụ 1gói/1giây).
Phần Network Quota cho phép chống kiểu tấn công DoS bằng cách giới hạn lưu lượng và số kết nối của từng người dùng. Mặc định 100 kết nối/1 giây là hợp lý, vì người dùng hợp pháp sẽ không bao giờ đạt được số kết nối đó.
Hình 8. Network Quota
5.2.3. TCP (adsbygoogle = window.adsbygoogle || []).push({});
Giao thức TCP có một số điểm yếu khá lớn, một trong số đó tạo nên kiểu tấn công SYN.
Timeout for SYN attack identification là khoảng thời gian mà SmartDefense đợi trước khi coi một gói tin có phải là gói tấn công hay không. Switch to SYN Relay Defense upon detection of at least… định ra số lượng gói SYN trên timeout nhận được trước khi chuyển sang chế độ bảo vệ tấn công SYN. Chế độ này làm cho tường lửa trở
thành một thiết bị trung gian giữa server và host ngoài nên những gói tin tấn công không đến được server, tầm khoảng 200 gói tin trên một timeout là một lựa chọn tốt.
Tiếp đó là lựa chọn đưa ra bảo vệ đối với tấn công gói tin có MTU nhỏ. Để chống tấn công kiểu này, nên đặt kích cỡ gói tin nhỏ nhất (MTU) ít nhất là 350 bytes.
Cuối cùng là lựa chọn kiểm tra thứ tự gói tin. Những gói tin mặc dù của người dùng hợp lệ nhưng vi phạm thứ tự cũng không được phép vào mạng.
5.2.4. Fingerprint Scrambling
Một máy từ xa có thể thu thập thông tin về máy bên trong mạng dựa trên những phản hồi của máy đó. Quá trình này gọi là in dấu. Tùy chọn SmartDefense fingerprint- scrambling giúp ngăn ngừa nguy cơ lộ thông tin cho phía bên kia.
Có 3 loại fingerprint-scrambling là: giả mạo ISN (spoofing), TTL, và IP ID. ISN spoofing thay đổi thứ tự của bắt tay ba bước để làm cho hệ điều hành không nhận biết được. TTL, (time to live), xóa bỏ khả năng người bên ngoài nhận biết được khoảng cách giữa họ và mạng trong. IP ID chỉ dẫn tường lửa gán số hiệu của nó cho mỗi gói tin IP, do đó làm cho người ngoài không biết được hệ điều hành đang dùng của mình (vì từ số hiệu gói tin có thể suy ra được hệ điều hành đang sử dụng).
5.2.5. Successive Events
Tính năng này cho ta thấy một số sự kiện có thể là một tấn công mà người dùng có thể theo dấu được:
- Address spoofing: Một host ngoài lặp lại liên tục rằng nó là một địa chỉ từ khu vực cho phép truy cập vào mạng.
- Local interface spoofing: Một người dùng ngoài sử dụng địa chỉ hợp pháp.
- Port scanning: Có người dùng ngoài quét cổng trên mạng.
- Successive alerts: Khi VPN-1/FireWall-1 tạo ra một số lượng cảnh báo nhát định trong một khoảng thời gian.
- Successive multiple connections: Khi có một lương kết nối nhất định từ máy ngoài tới máy trong mạng.
5.2.6. Dynamic Ports
Có một số dịch vụ sử dụng những cổng động để truyền tải dữ liệu (ví dụ FTP)…, tuy nhiên cổng động cũng có thể là một trong những tấn công theo kiểu backdoor.
Hình 9. Dynamic Ports
5.3. Application Intelligence
Tính năng này kiểm tra tất cả các dịhc vụ tầng ứng dụng như HTTP, Mail, FTP, Microsoft Networks, DNS, và VoIP. SmartDefense có khả năng kiểm tra tất cả dữ liệu trong gói tin và nhận biết được những gói tin đáng nghi.
5.3.1. HTTP Worm Catcher
Hình 10. General HTTP Worm Catcher
Vừa qua, một loạt những sâu độc HTTP đã được lan tràn trên Internet và phá huỷ tài nguyên của nhiều công ty. Những sâu này lợi dụng những lỗ hổng bảo mật từ cả 2 phía HTTP client và server để lây lan trên những máy trong mạng.
Bộ HTTP Worm Catcher, hoạt động trongVPN-1/FireWall-1, được cấu hình để nhận dạng những xâu kí tự xác định. Sau khi được xác định, những dữ liệu này có thể bị huỷ hoặc đánh dấu tùy theo yêu cầu người dùng.
5.3.2. Cross-Site Scripting
Mục này cho phép người dùng cấu hình tường lửa chống lại các tấn công ăn trộm thông tin bảo mật của người dùng bằng cách sử dụng cookies của Web server hay chạy những đoạn mã gửi thông tin cá nhân người dùng tới những tổ chức bên ngoài.
Tất cả những phương thức trên đều tạo ra một đoạn mã trên Web server để lưu lại cookies ngừời dùng hay gửi mẫu thông tin để người dùng điền vào sau đó gửi tới bên ngoài. Mặc dù Web Server cũng có những bản vá lỗ hổng bảo mật kiểu này nhưng SmartDefense cũng thêm một sự bảo vệ nữa bằng cách loại trừ những yêu cầu HTTP POST và URLs mà có mã bên trong.
5.3.3. HTTP Protocol Inspection
Hình 11. HTTP Protocol Inspection
Hai header của gói yêu cầu và trả lời phải ở dạng kí tự ASCII, vì nếu không sẽ làm tràn bộ đệm, điều này cũng tương tự như một tấn công kiểu DoS. (adsbygoogle = window.adsbygoogle || []).push({});
HTTP Format Sizes cho phép điều chỉnh những tham số của giao thức HTTP, đạt độ dài tối đa của URL với mặc định là 2048 bytes sẽ làm giảm khả năng người dùng vào những URL độc hại và khiến HTTP server ngừng hoạt động (mặc dù các server HTTP hiện nay đã có bản vá cho lỗi này).
Giới hạn header về độ dài và số, mặc định là 1000 bytes và 500 được sử dụng để ngăn chặn những kẻ phá hoại gửi lượng lớn HTTP header hay một số HTTP header lớn tới HTTP server và làm cho server ngừng hoạt động và sau đó từ chối những người dùng hợp pháp hoặc thậm chí là chiếm lấy quyền điều khiển. Trong trường hợp này, VPN-1/FireWall-1 loại bỏ tất cả những kết nối nghi ngờ trước khi nó tới được HTTP server.
Peer-to-Peer Blocking cho phép quản lý người dùng ở các mạng peer to peer hiện tại như Freenet, Gnuttela (có thể cho phép hay không cho phép sử dụng). Đồng thời cũng cho phép người dùng thêm mạng ngang hàng mới vào miễn là SmartDefense có thể quản lý được chúng.
5.3.4. File and Print Sharing Worm Catcher
File and Print Sharing Worm Catcher đặt tại tab Microsoft Networks bên dưới File and Print Sharing làm tăng khả năng nhận biết worm cho SmartDefense với những file chia sẻ của Microsoft. Cũng giống như HTTP Worm Catcher, SmartDefense có những dạng worm khác nhau và người dùng có thể thêm dạng worm vào hoặc tắt một dạng worm khác đi. Bật tùy chọn này bảo vệ hệ thống windows trong mạng khỏi những NetBIOS worms từ lỗ hổng CIFS của Windows 2000.
CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN 6.1. Tổng quan về VPN
VPN (Virtual Private Network) là công nghệ cho phép tạo ra một kết nối riêng tư, an toàn qua hệ thống mạng Internet công cộng, hoặc qua một môi trường mạng dùng chung nào đó.
Đặc trưng của VPN là nó tạo ra một đường hầm (tunnel) qua hệ thống mạng kết nối giữa hai thực thể bằng cách tạo ra một vỏ bọc cho gói tin IP được gửi đi. Các giao thức VPN được sử dụng để tạo ra vỏ bọc này. Khi bắt đầu đi vào đường ống, gói tin IP được đóng gói bởi các giao thức VPN như L2TP, IPSec.
Để đảm bảo một kết nối an toàn và bảo mật, các giao thức VPN có thể được trang bị các tính năng như mã hóa gói tin (DES, AES), cơ chế chứng thực để chống lại kiểu tấn công man-in-the-middle, sử dụng hàm băm để bảo đảm tính toàn vẹn của nội dung gói tin…
VPN được chia thành hai loại chính là VPN truy cập từ xa (Remote Access) và VPN mạng nối mạng (Site to Site).
VPN truy cập từ xa là kết nối giữa một thiết bị đơn người dùng như PC, Laptop tới một VPN gateway được đặt tại ISP hoặc tại mạng nội bộ của tổ chức.
VPN mạng nối mạng dùng để kết nối giữa hai mạng nằm cách xa nhau. Một đường hầm được tạo ra giữa hai VPN gateway của hai mạng.
Khóa luận này sẽ trình bày cách sử dụng Nokia IP1220 như một VPN gateway cho phép người dùng truy cập từ xa vào mạng.
6.2. Giải pháp VPN Check Point cho truy cập từ xa
Giải pháp truy cập từ xa của Check Point cho phép tạo một đường hầm giữa người dùng từ xa và mạng nội bộ của một tổ chức.
6.2.1. Cấu hình Office Mode sử dụng IP Pool
Khi người dùng từ xa kết nối đến VPN gateway sử dụng Office Mode, sau khi chứng thực thành công, gateway gán cho máy từ xa một địa chỉ IP. Địa chỉ IP này có thể từ một dải IP được cấu hình trước (IP Pool) hoặc được cấp phát từ một máy chủ DHCP.
Tùy vào yêu cầu, có thể cấu hình để tất cả người dùng hoặc chỉ một nhóm nào đó mới có quyền sử dụng Office Mode để truy cập VPN.
Để bật chức năng VPN cho thiết bị người dùng phải mở cửa sổ CheckPoint Gateway bằng cách kích đúp vào biểu tượng thiết bị trong mục Network Objects - Check Point. Trong thẻ General Properties, mục Check Point Products, đánh dấu vào ô VPN.
Hình 13. Check Point Gateway – General Properties
Các bước cấu hình VPN truy cập từ xa qua chế độ Office sử dụng IP Pool được thực hiện như sau:
Trước tiên, tạo một đối tượng đại diện IP pool, bằng cách chọn Manage | Network Objects | New | Network.
Trong Network Properties, chọn tab General. Để thiết lập dải địa chỉ IP pool, nhập tên dải trong trường Name, nhập địa chỉ đầu tiên của dải trong trường Network Address sau đó nhập subnet mask tùy theo lượng địa chỉ muốn sử dụng trong trường Net Mask. Phần Broadcast Address và thẻ NAT không cần cấu hình.
Hình 14. Tạo Network Object
Mở cửa sổ Check Point Gateway, chọn thẻ Remote Access | Office Mode. Đánh dấu mục Allow Office Mode to all users.
Đánh dấu mục Using one of following method, chọn Manual (using IP Pool) và chọn dải IP Pool vừa tạo ở trên.
Mục Multiple Interfaces: hỗ trợ định tuyến gói tin khi thiết bị có nhiều cổng kết nối ra bên ngoài.
Chọn Anti-Spoofing cho phép thiết bị kiểm tra các gói Office Mode để tránh