SmartDashboard là công cụ cho phép quản trị thiết bị một cách tập trung khi có nhiều thiết bị an ninh cùng được triển khai trên hệ thống. Nó sử dụng CA được tạo ra lúc cấu hình cpconfig để xác thực với checkpoint.
Sau khi đăng nhập vào SmartCenter Server bằng SmartDashboard, việc đầu tiên cần làm là chuyển thiết bị từ chế độ Host sang Gateway bằng cách nhấn chuột phải vào biểu tượng thiết bị trong mục Network Object – Check Point ở cây thư mục bên trái và chọn Convert to Gateway. Sau đó người dùng có thể thiết lập, cài đặt các luật tường lửa và các thực hiện các thiết lập khác như NAT hay VPN cho mạng.
Các luật tường lửa được hiển thị và thiết lập trong tab đầu tiên: Security.
Một luật gồm có các trường: địa chỉ nguồn, địa chỉ đích, các dịch vụ (giao thức), hành động áp dụng lên các gói tin thõa mãn luật và cách thức ghi nhớ (log hoặc track).
Các luật được xét theo thứ tự từ trên xuống dưới, nếu một gói tin thỏa mãn điều kiện của luật trên thì nó sẽ được thực hiện theo action đã định sẵn ở luật đó và không tiếp tục được xét đến ở các luật phía dưới.
Tạo một luật tường lửa bằng cách vào menu Rules chọn Add Rule | Top. Một luật mặc định được thêm vào trên cùng của danh sách luật; bất cứ gói tin dùng địa chỉ nguồn, đích nào hoặc sử dụng bất cứ dịch vụ nào cũng đều bị drop mà không được hệ thống ghi lại. Người dùng chỉ cần nhấn chuột phải lên một trường để thay đổi nó theo yêu cầu.
Sau khi thiết lập xong các luật, để áp dụng các luật đó lên hệ thống cần phải cài đặt (install) các luật bằng cách mở menu Policy, chọn Install. Nếu quá trình cài đặt bị lỗi thì hệ thống sẽ đưa ra báo lỗi cùng các thông tin cần thiết cho người dùng.
Hình 3. Thực thi cài đặt
Ngoài giao diện đồ họa SmartDashboard, để tối ưu điều khiển hệ thống tường lửa, người dùng cần biết một số câu lệnh sau đây (các lệnh này sử dụng trong môi trường console hoặc remote).
- cpstop: tạm dừng toàn bộ các sản phẩm của Checkpoint và SVN Foundation.
- cpstart: khởi động toàn bộ các sản phẩm của Checkpoint và SVN Foundation.
- cplic print: in ra licenses đã cài đặt. - cplic put: thêm license.
CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT 4.1. Ẩn giấu đối tượng mạng
Với sự phát triển mạnh mẽ của mạng Internet ngày nay, số lượng địa chỉ IPv4 ngày càng trở nên khan hiếm. Một trong những cách khá dễ dàng để khắc phục tình trạng khan hiếm địa chỉ IPv4 đó là sử dụng NAT. Chức năng Hide-mode NAT cho phép ẩn một dải địa chỉ sau một địa chỉ IP có khả năng định tuyến ra ngoài mạng. Ngoài ra, CheckPoint còn hỗ trợ tính năng Static NAT, tính năng này sẽ chuyển một địa chỉ ở dải trong thành một địa chỉ dải ngoài, tác dụng của nó là cho phép thiết bị có thể truy cập được từ cả bên trong mạng và ngoài Internet.
Một lợi ích nữa của hide-mode NAT là nó giúp các thiết bị trong mạng ít có khả năng bị tấn công hơn. Mặc dù các thiết bị là ẩn so với bên ngoài, chúng vẫn có thể hoạt động trên Internet bình thường do cơ chế chuyển dịch cả địa chỉ cổng nguồn và đích của FW-1. Tường lửa sẽ duy trì một bảng dịch chuyển, và nó sẽ biết được máy nào cần kết nối từ cổng nguồn trong bảng này.
Chú ý là cần có license để có thể hỗ trợ nhiều máy trạm bằng cơ chế DHCP trước khi NAT. Và để cho các máy trạm có thể kết nối tới các thiết bị khác, cần bật tính năng IP forwarding trong tường lửa. Bước tiếp theo là cấu hình NAT tại tab Address Translation trong Check Point SmartDashboard.
Hình 4. SmartDashboard – Address Translation
Những luật trong tab này có thể được khởi tạo tự động hoặc bằng tay tùy vào mức độ của mạng. Một luật gồm 2 phần chính sau :
• Original packet • Translated packet
Khi một kết nối tới tường lửa, nó so sánh gói tin cho địa chỉ nguồn, đích và dịch vụ của gói tin. Nếu đúng với những thông tin đã lưu, tường lửa sẽ chỉnh sửa nguồn đích và dịch vụ của gói tin dựa trên các luật NAT. Cũng giống như các luật tường lửa, các luật NAT cũng được đọc theo thứ tự từ trên xuống dưới. Do đó, nên đặt các luật thường sử dụng nhất ở bên trên cùng.
Ngoài ra, người dùng cũng nên chú ý rằng tường lửa sẽ cho phép các gói tin có địa chỉ nguồn và đích sau khi NAT đi qua.
4.2. Cấu hình luật NAT
Việc cấu hình bằng tay các luật NAT cũng giống như cấu hình các luật tường lửa. Tuy nhiên CheckPoint cho phép cấu hình tự động các luật này khi cần. Để cấu hình tự động, vào Manage | Network Objects, chọn tab NAT.
Hình 5. Cấu hình luật NAT tự động
Chọn Add Automatic Address Translation Rules. Chọn Hide trong Translation Mode. Để xác định IP để ẩn trên mạng, gõ địa chỉ vào trong trường Hide behind IP Address (gõ 0.0.0.0 để tường lửa sử dụng địa chỉ external của nó). Ngoài ra, có thể sử
dụng địa chỉ external của gateway bằng cách chọn Hide behind Gateway. Install On dùng để xác định tường lửa mà người dùng muốn áp dụng luật NAT này. Chọn All để áp dụng cho tất cả các tường lửa.
Hình 6. Các luật NAT
Như hình trên thì 2 luật phía trên là luật được tạo ra tự động.
Cấu hình static NAT cũng tương tự như trên, chỉ khác là thay vì một dải địa chỉ, giờ đây cả nguồn và đích đều là địa chỉ đơn lẻ.
Ngoài ra, ta có thể sử dụng một số tính năng của NAT như NAT 2 chiều hay NAT MAC, các tùy chọn này có thể được đặt trong Global Properties như trong hình dưới đây.
CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE [3] 5.1. Giới thiệu về SmartDefense (adsbygoogle = window.adsbygoogle || []).push({});
Tính năng chính của tường lửa là cho phép các truy cập hợp lệ đi qua và loại bỏ những truy cập không hợp lệ. Trong quá khứ, tường lửa đã hoạt động rất hiệu quả, tuy nhiên ngày nay rất nhiều lỗ hổng bảo mật trên các ứng dụng mạng có thể bị kẻ xấu khai thác và lợi dụng. Do đó mô hình “cho phép hoặc loại bỏ” đã không còn được sử dụng hiệu quả trên các hệ thống bảo mật thành công ngày nay. SmartDefense, một trong những thành phần chủ chốt trong bộ sản phẩm Check Point, là một giải pháp để giải quyết vấn đề này. Với cơ chế Application Intelligence, nó cho phép những truy cập hợp pháp tới các tài nguyên mạng trong khi vẫn bảo vệ được tài nguyên khỏi các tấn công.
Phương thức hoạt động của SmartDefense là giám sát dòng lưu thông mạng qua tường lửa, so sánh những đặc tính của các gói tin lưu thông với những đặc tính đã xác định trước của một hành động tấn công. Những hoạt động đáng nghi đều được lưu lại và được gửi tới người quản trị mạng để họ chuẩn bị các biện pháp chống tấn công. SmartDefense hỗ trợ phát hiện năm loại tấn công sau: Denial of Service (DoS), Transmission Control Protocol/Internet Protocol (TCP/IP), tấn công ứng dụng, dò cổng và IP, và sâu máy tính.
Với các tấn công ngày càng mới hiện nay, việc sử dụng một danh sách cố định các thuật toán phòng thủ sẽ không đảm bảo an toàn. Vì vậy SmartDefense cung cấp một dịch vụ cho phép cập nhật các thuật toán phòng thủ tấn công mới nhất.
SmartDefense có cách thức hoạt động khác so với hệ thống phát hiện thâm nhập. Nó không cố gắng chống lại các kiểu tấn công mới được phát hiện, thay vào đó nó bảo vệ mạng khỏi các tấn công bằng cách thực hiện kiểm tra kĩ càng và nghiêm ngặt các tiêu đề của gói tin cũng như phần dữ liệu của giao thức để ngăn ngừa các dữ liệu nguy hại xâm nhập vào mạng. Ví dụ, thay vì xem xét danh sách một loạt các kiểu tấn công có thể sử dụng để tấn công vào máy chủ DNS , SmartDefense sẽ kiểm tra gói tin DNS xem nó có đúng với chuẩn RFC cho gói tin DNS hay không. Điều này sẽ giúp bảo vệ chống lại rất nhiều các kiểu khai thác hiện tại và ngay cả trong tương lai mà không cần phải liên cập nhật các dấu hiệu. Tuy nhiên phương thức này không cho phép bảo vệ trước mọi cuộc tấn công, vì có nhiều tấn công rất khó phân biệt với dòng dữ liệu hợp lệ. Một số kiểm tra quá nghiêm ngặt có thể loại bỏ nhầm các gói tin hợp lệ. Vì vậy đòi hỏi ứng
dụng phải có sự linh động để cho phép người dùng có thể thay đổi độ nhạy cảm hoặc thậm chí là tắt bỏ hẳn sự bảo vệ.
Tất cả các tùy chọn của SmartDefense được truy cập trong thẻ SmartDefense của SmartDashboard.
Tùy chọn đầu tiên là Anti Spoofing Configuration Status cho phép xem chế độ
chống giả mạo đã được kích hoạt chưa. Cần kích hoạt chống giả mạo trên tất cả các cổng của thiết bị để tránh trường hợp có kẻ giả mạo một IP hợp lệ để tấn công bằng cách gán cho mỗi cổng một nhãn External hoặc Internal (trong Check Point Gateway | Topology).
5.2. Network Security
Tính năng Network Security trong SmartDefense đưa ra rất nhiều bảo vệ chống lại các tấn công mạng, cơ chế hoạt động của nó khác với Application Intelligence (dựa trên sự nhận dạng gói tin).
5.2.1. Denial of Service
SmartDefense cung cấp khả năng phòng thủ chống lại ba kiểu tấn công DoS. Tấn công DoS làm cho máy chủ không thể trả lời lại những yêu cầu của người dùng hợp lệ. Bằng cách phát hiện ra hoạt động tấn công và chống lại kẻ tấn công, người có thể khôi phục lại tính sẵn sàng của hệ thống.
Ba loại tấn công DoS có thể được phát hiện đó là: - TearDrop: phát hiện gói tin IP trùng lặp.
- Ping of Death: phát hiện các gói tin ICMP quá kích cỡ.
- LAND: phát hiện các gói tin được bị thay đổi một cách không bình
thường.
5.2.2. IP and ICMP
Phần IP và ICMP cho phép bảo vệ mạng khỏi những điểm yếu ở tầng 3 và tầng 4. Có một kiểm tra bắt buộc đối với từng gói tin để đảm bảo phần header, kích thước gói tin và các cờ không có biểu hiện bất thường nào. Tùy chọn Max Ping Size cho phép người dùng định nghĩa kích thước tối đa của gói tin ICMP để tránh những tấn công lợi dụng ICMP để làm tắc nghẽn mạng.
Người dùng nên kích hoạt tùy chọn cho phép phân mảnh gói tin IP (Allow IP Fragments) để cho những trường hợp mà kích thước gói tin vượt quá kích cỡ tối đa. Tuy nhiên điều này nguy hiểm ở chỗ một người có thể giấu thông tin về hoạt động của anh ta bằng cách phân mảnh các gói tin để SmartDefense không thể nhận ra. Cách giải quyết đó là đặt giới hạn số gói tin chưa hoàn chỉnh và đặt tỉ lệ loại bỏ những gói tin không hoàn chỉnh (ví dụ 1gói/1giây).
Phần Network Quota cho phép chống kiểu tấn công DoS bằng cách giới hạn lưu lượng và số kết nối của từng người dùng. Mặc định 100 kết nối/1 giây là hợp lý, vì người dùng hợp pháp sẽ không bao giờ đạt được số kết nối đó.
Hình 8. Network Quota
5.2.3. TCP
Giao thức TCP có một số điểm yếu khá lớn, một trong số đó tạo nên kiểu tấn công SYN.
Timeout for SYN attack identification là khoảng thời gian mà SmartDefense đợi trước khi coi một gói tin có phải là gói tấn công hay không. Switch to SYN Relay Defense upon detection of at least… định ra số lượng gói SYN trên timeout nhận được trước khi chuyển sang chế độ bảo vệ tấn công SYN. Chế độ này làm cho tường lửa trở
thành một thiết bị trung gian giữa server và host ngoài nên những gói tin tấn công không đến được server, tầm khoảng 200 gói tin trên một timeout là một lựa chọn tốt.
Tiếp đó là lựa chọn đưa ra bảo vệ đối với tấn công gói tin có MTU nhỏ. Để chống tấn công kiểu này, nên đặt kích cỡ gói tin nhỏ nhất (MTU) ít nhất là 350 bytes.
Cuối cùng là lựa chọn kiểm tra thứ tự gói tin. Những gói tin mặc dù của người dùng hợp lệ nhưng vi phạm thứ tự cũng không được phép vào mạng.
5.2.4. Fingerprint Scrambling
Một máy từ xa có thể thu thập thông tin về máy bên trong mạng dựa trên những phản hồi của máy đó. Quá trình này gọi là in dấu. Tùy chọn SmartDefense fingerprint- scrambling giúp ngăn ngừa nguy cơ lộ thông tin cho phía bên kia.
Có 3 loại fingerprint-scrambling là: giả mạo ISN (spoofing), TTL, và IP ID. ISN spoofing thay đổi thứ tự của bắt tay ba bước để làm cho hệ điều hành không nhận biết được. TTL, (time to live), xóa bỏ khả năng người bên ngoài nhận biết được khoảng cách giữa họ và mạng trong. IP ID chỉ dẫn tường lửa gán số hiệu của nó cho mỗi gói tin IP, do đó làm cho người ngoài không biết được hệ điều hành đang dùng của mình (vì từ số hiệu gói tin có thể suy ra được hệ điều hành đang sử dụng). (adsbygoogle = window.adsbygoogle || []).push({});
5.2.5. Successive Events
Tính năng này cho ta thấy một số sự kiện có thể là một tấn công mà người dùng có thể theo dấu được:
- Address spoofing: Một host ngoài lặp lại liên tục rằng nó là một địa chỉ từ khu vực cho phép truy cập vào mạng.
- Local interface spoofing: Một người dùng ngoài sử dụng địa chỉ hợp pháp.
- Port scanning: Có người dùng ngoài quét cổng trên mạng.
- Successive alerts: Khi VPN-1/FireWall-1 tạo ra một số lượng cảnh báo nhát định trong một khoảng thời gian.
- Successive multiple connections: Khi có một lương kết nối nhất định từ máy ngoài tới máy trong mạng.
5.2.6. Dynamic Ports
Có một số dịch vụ sử dụng những cổng động để truyền tải dữ liệu (ví dụ FTP)…, tuy nhiên cổng động cũng có thể là một trong những tấn công theo kiểu backdoor.
Hình 9. Dynamic Ports
5.3. Application Intelligence
Tính năng này kiểm tra tất cả các dịhc vụ tầng ứng dụng như HTTP, Mail, FTP, Microsoft Networks, DNS, và VoIP. SmartDefense có khả năng kiểm tra tất cả dữ liệu trong gói tin và nhận biết được những gói tin đáng nghi.
5.3.1. HTTP Worm Catcher
Hình 10. General HTTP Worm Catcher
Vừa qua, một loạt những sâu độc HTTP đã được lan tràn trên Internet và phá huỷ tài nguyên của nhiều công ty. Những sâu này lợi dụng những lỗ hổng bảo mật từ cả 2 phía HTTP client và server để lây lan trên những máy trong mạng.
Bộ HTTP Worm Catcher, hoạt động trongVPN-1/FireWall-1, được cấu hình để nhận dạng những xâu kí tự xác định. Sau khi được xác định, những dữ liệu này có thể bị huỷ hoặc đánh dấu tùy theo yêu cầu người dùng.
5.3.2. Cross-Site Scripting
Mục này cho phép người dùng cấu hình tường lửa chống lại các tấn công ăn trộm thông tin bảo mật của người dùng bằng cách sử dụng cookies của Web server hay chạy những đoạn mã gửi thông tin cá nhân người dùng tới những tổ chức bên ngoài.
Tất cả những phương thức trên đều tạo ra một đoạn mã trên Web server để lưu lại cookies ngừời dùng hay gửi mẫu thông tin để người dùng điền vào sau đó gửi tới bên ngoài. Mặc dù Web Server cũng có những bản vá lỗ hổng bảo mật kiểu này nhưng SmartDefense cũng thêm một sự bảo vệ nữa bằng cách loại trừ những yêu cầu HTTP POST và URLs mà có mã bên trong.
5.3.3. HTTP Protocol Inspection
Hình 11. HTTP Protocol Inspection
Hai header của gói yêu cầu và trả lời phải ở dạng kí tự ASCII, vì nếu không sẽ làm tràn bộ đệm, điều này cũng tương tự như một tấn công kiểu DoS.
HTTP Format Sizes cho phép điều chỉnh những tham số của giao thức HTTP, đạt độ dài tối đa của URL với mặc định là 2048 bytes sẽ làm giảm khả năng người dùng vào những URL độc hại và khiến HTTP server ngừng hoạt động (mặc dù các server HTTP hiện nay đã có bản vá cho lỗi này).