SmartConsole là một tập hợp các chương trình máy khách. Gồm có:
- SmartDashboard: dùng bởi quản trị viên hệ thống để định nghĩa và quản lý các chính sách bảo mật.
- SmartView Tracker: sử dụng để quản lý và theo dõi log và alert thông qua hệ thống.
- SmartView Moniter: theo dõi và tạo các báo cáo về lưu thông trên các cổng, các module VPN-1 Power và QoS.
- SmartUpdate: quản lý và lưu trữ license.
- SecureClient Packaging Tool: định nghĩa hồ sơ người dùng cho chương trình SecuRemote/SecureClient.
- Eventia Reporter: tạo ra các báo cáo về hoạt động của mạng.
- SmartLSM: quản lý số lượng lớn ROBO gateway sử dụng SmartCenter server. SmartConsole được cài đặt trên nền tảng Windows. Sau khi tải phần mềm SmartConsole NGX R62 về, người dùng giải nén và chạy tiến trình cài đặt như đối với các phần mềm bình thường khác.
CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA 3.1. Thiết lập cấu hình ban đầu
Trước khi có thể thiết lập cấu hình tường lửa, NAT, VPN…, người dùng cần phải cấu hình module VPN-1 Power hoặc VPN-1 UTM bằng lệnh cpconfig. Quá trình cấu hình cpconfig diễn ra như sau.
Kết nối qua cổng Console hoặc kết nối từ xa tới thiết bị. Gõ lệnh cpconfig. Màn hình hiện ra văn bản licence. Nhấn phím Spacebar để cuộn màn hình xuống cuối cùng rồi nhập y để tiếp tục.
cpngx[admin]# cpconfig
Welcome to Check Point Configuration Program
========================================================= Please read the following license agreement.
Tiếp theo màn hình hiện ra hai tùy chọn cài đặt. Chọn tùy chọn 1 (có thể chọn khác tùy theo yêu cầu người dùng).
(1) Check Point Power. (2) Check Point UTM.
Enter your selection (1-2/a-abort) [1]: 1 Chọn loại cài đặt là độc lập hay phân tán.
Select installation type: ---
(1) Stand Alone - install VPN-1 Pro Gateway and SmartCenter Enterprise.
(2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or Log Server.
Enter your selection (1-2/a-abort) [1]: 1
Check Point sẽ hỏi người dùng có muốn thêm license không. Chọn y để thêm licence, chọn n để tiếp tục cấu hình còn license có thể được thêm vào sau.
Bước tiếp theo là thêm một tài khoản quản trị. Tài khoản này dùng để đăng nhập vào SmartCenter Server.
Do you want to add an administrator (y/n) [y] ? Administrator name: peter
Password:
Verify Password:
Administrator peter was added successfully and has
Read/Write Permission for all products with Permission to Manage Administrators
Sau đó, người dùng phải xác định máy khách SmartConsole nào được phép truy cập tới SmartCenter Server. Nhập xong nhấn tổ hợp phím Ctrl + D để tiếp tục.
Do you want to add a GUI Client (y/n) [y] ?
You can add GUI Clients using any of the following formats: 1. IP address. (adsbygoogle = window.adsbygoogle || []).push({});
2. Machine name.
3. “Any” - Any IP without restriction.
4. IP/Netmask - A range of addresses, for example 192.168.10.0/255.255.25
5. A range of addresses - for example 192.168.10.8-192.168.10.16 6. Wild cards (IP only) - for example 192.168.10.*
Please enter the list of hosts that will be GUI Clients.
Enter GUI Client one per line, terminating with CTRL-D or your EOF character.
Any
10.1.1.0/255.255.255.0
Warning: Every gui client can connect to this SmartCenter Server. Is this correct (y/n) [y] ? y
Check Point yêu cầu người dùng nhập vào một tên nhóm dùng để xác lập quyền. Confguring Group Permissions...
================================
Please specify group name [<RET> for super-user group]: No group permissions will be granted. Is this ok (y/n) [y] ?
Người dùng phải nhập vào một chuỗi ký tự ngẫu nhiên. Chuỗi ký tự này được dùng để tạo một chứng nhận quyền (Certificate Authority).
Please enter random text containing at least six different characters. You will see the ‘*’ symbol after keystrokes that are too fast or too similar to preceding keystrokes. These keystrokes will be ignored.
Please keep typing until you hear the beep and the bar is full. [...]
Thank you.
Và người dùng sẽ được hỏi là có muốn lưu lại file chứa chuỗi vừa nhập không. Nếu có thì tiếp tục nhập tên file.
Do you want to save it to a fle? (y/n) [n] ? y
Please enter the fle name [/opt/CPsuite-R61/svn/conf]: fngerprint.txt
The fngerprint will be saved as /opt/CPsuite- R61/svn/conf/fngerprint.txt.
Are you sure? (y/n) [n] ? y
The fngerprint was successfully saved.
Sau khi hoàn thành các thiết lập, người dùng phải khởi động lại thiết bị. In order to complete the installation
you must reboot the machine.
Do you want to reboot? (y/n) [y] ? y
Người dùng có thể sửa lại các cấu hình đã thiết lập bất cứ lúc nào bằng cách sử dụng lệnh cpconfig. Khác với lần cấu hình đầu tiên, trong các lần cấu hình cpconfig sau người dùng sẽ nhận được một danh sách các lựa chọn giúp cho việc cấu hình trở nên linh hoạt hơn.
cpngx[admin]# cpconfg
This program will let you re-confgure your Check Point products confguration Confguration Options: --- (1) Licenses (2) Administrator (3) GUI Clients (4) SNMP Extension (5) Group Permissions (6) PKCS#11 Token (7) Random Pool (8) Certifcate Authority (9) Certifcate’s Fingerprint (10) Enable Check Point SecureXL
(11) Automatic start of Check Point Products (12) Exit
Enter your choice (1-12): (adsbygoogle = window.adsbygoogle || []).push({});
3.2. Chính sách tường lửa mặc định
Sau khi sử dụng cpconfig để cấu hình module VPN-1 hoặc VPN-1 UTM và khởi động lại thiết bị, hệ điều hành sẽ nạp một chính sách tường lửa mặc định. Chính sách này được nạp vào nhân trước khi các cổng của thiết bị được cấu hình xong. Điều này đảm bảo rằng cả trong quá trình boot của thiết bị, mạng vẫn được bảo vệ. Chính sách này sử dụng một bộ lọc để ngăn cản tất cả các truy cập vào mạng bên trong (mạng nằm phía sau thiết bị). Người dùng không thể sử dụng kết nối từ xa hoặc dùng Nokia Network Voyager để cấu hình thiết bị mà chỉ có máy khách SmartConsole là được phép truy cập vào thiết bị qua management server.
Để thiết đặt lại quyền truy cập từ xa hoặc truy cập qua giao diện web có thể sử dụng một trong các cách sau:
- Sử dụng SmartDashboard để tạo và cài đặt một chính sách cho phép kết nối từ xa vào thiết bị (khi SmartDashboard cũng không kết nối được thì phải dùng lệnh fw unloadlocal).
- Kết nối console qua cổng COM, thực hiện lệnh cpstop. Lệnh này dùng để tạm dừng dịch vụ tường lửa. Sau đó người dùng có thể kết nối từ xa vào thiết bị để thực hiện các thao tác quản trị; khi thực hiện xong thì khởi động lại dịch vụ bằng lệnh cpstart.
- Gỡ bỏ chính sách mặc định bằng lệnh fw unloadlocal hoặc fw unload localhost (tùy thuộc từng version). Kiểm tra chính sách đang được nạp bằng lệnh fw stat.
gatekeeper[admin]# fw stat HOST POLICY DATE
localhost InitialPolicy 25Sep2002 23:02:21 : [>eth-s3p1c0]
- Trước khi chạy lệnh cpconfig, thay đổi bộ lọc mặc định để cho phép kết nối qua SSH hoặc HTTPS. Các bộ lọc mặc định được liệt kê trong bảng 2.
Bảng 2. Các bộ lọc mặc định
Bộ lọc Mô tả
defaultfilter.boot Cho phép lưu thông ra bên ngoài (xuất phát từ tường lửa). defaultfilter.dag Cho phép lưu thông ra bên ngoài, lưu thông broadcast và
DHCP.
defaultfilter.drop Loại bỏ tất cả lưu thông vào trong hoặc ra ngoài gateway. defaultfilter.ipso Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông
SSH, HTTPS, ICMP vào trong.
defaultfilter.ipso_ssh Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông SSH, ICMP vào trong.
defaultfilter.ipso_ssl Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông HTTPS, ICMP vào trong
Ví dụ: Để thay đổi bộ lọc mặc định sang defaultfilter.ipso sử dụng các lệnh sau: cp $FWDIR/lib/defaultfilter.ipso $FWDIR/conf/defaultfilter.pf fw defaultgen
cp $FWDIR/state/default.bin $FWDIR/boot
Dưới đây là một số lệnh có thể dùng để điều khiển các thiết lập:
- fwstop –default: tắt tất cả tiến trình tường lửa và nạp luật mặc định. - fwstop –proc: dừng tất cả các tiến trình nhưng vẫn giữ luật hiện tại trong
nhân.
- control_bootsec –r: gỡ bỏ chế độ an ninh lúc khởi động. - control_bootsec –g: kích hoạt chế độ an ninh lúc khởi động.
- fwboot bootconf: thiết lập IP forwarding và cấu hình bộ lọc mặc định. - comp_init_policy –u: vô hiệu hóa luật mặc định.
- comp_init_policy –g: kích hoạt luật mặc định.
3.3. Thiết lập các luật tường lửa qua SmartDashboard
SmartDashboard là công cụ cho phép quản trị thiết bị một cách tập trung khi có nhiều thiết bị an ninh cùng được triển khai trên hệ thống. Nó sử dụng CA được tạo ra lúc cấu hình cpconfig để xác thực với checkpoint.
Sau khi đăng nhập vào SmartCenter Server bằng SmartDashboard, việc đầu tiên cần làm là chuyển thiết bị từ chế độ Host sang Gateway bằng cách nhấn chuột phải vào biểu tượng thiết bị trong mục Network Object – Check Point ở cây thư mục bên trái và chọn Convert to Gateway. Sau đó người dùng có thể thiết lập, cài đặt các luật tường lửa và các thực hiện các thiết lập khác như NAT hay VPN cho mạng.
Các luật tường lửa được hiển thị và thiết lập trong tab đầu tiên: Security.
Một luật gồm có các trường: địa chỉ nguồn, địa chỉ đích, các dịch vụ (giao thức), hành động áp dụng lên các gói tin thõa mãn luật và cách thức ghi nhớ (log hoặc track). (adsbygoogle = window.adsbygoogle || []).push({});
Các luật được xét theo thứ tự từ trên xuống dưới, nếu một gói tin thỏa mãn điều kiện của luật trên thì nó sẽ được thực hiện theo action đã định sẵn ở luật đó và không tiếp tục được xét đến ở các luật phía dưới.
Tạo một luật tường lửa bằng cách vào menu Rules chọn Add Rule | Top. Một luật mặc định được thêm vào trên cùng của danh sách luật; bất cứ gói tin dùng địa chỉ nguồn, đích nào hoặc sử dụng bất cứ dịch vụ nào cũng đều bị drop mà không được hệ thống ghi lại. Người dùng chỉ cần nhấn chuột phải lên một trường để thay đổi nó theo yêu cầu.
Sau khi thiết lập xong các luật, để áp dụng các luật đó lên hệ thống cần phải cài đặt (install) các luật bằng cách mở menu Policy, chọn Install. Nếu quá trình cài đặt bị lỗi thì hệ thống sẽ đưa ra báo lỗi cùng các thông tin cần thiết cho người dùng.
Hình 3. Thực thi cài đặt
Ngoài giao diện đồ họa SmartDashboard, để tối ưu điều khiển hệ thống tường lửa, người dùng cần biết một số câu lệnh sau đây (các lệnh này sử dụng trong môi trường console hoặc remote).
- cpstop: tạm dừng toàn bộ các sản phẩm của Checkpoint và SVN Foundation.
- cpstart: khởi động toàn bộ các sản phẩm của Checkpoint và SVN Foundation.
- cplic print: in ra licenses đã cài đặt. - cplic put: thêm license.
CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT 4.1. Ẩn giấu đối tượng mạng
Với sự phát triển mạnh mẽ của mạng Internet ngày nay, số lượng địa chỉ IPv4 ngày càng trở nên khan hiếm. Một trong những cách khá dễ dàng để khắc phục tình trạng khan hiếm địa chỉ IPv4 đó là sử dụng NAT. Chức năng Hide-mode NAT cho phép ẩn một dải địa chỉ sau một địa chỉ IP có khả năng định tuyến ra ngoài mạng. Ngoài ra, CheckPoint còn hỗ trợ tính năng Static NAT, tính năng này sẽ chuyển một địa chỉ ở dải trong thành một địa chỉ dải ngoài, tác dụng của nó là cho phép thiết bị có thể truy cập được từ cả bên trong mạng và ngoài Internet.
Một lợi ích nữa của hide-mode NAT là nó giúp các thiết bị trong mạng ít có khả năng bị tấn công hơn. Mặc dù các thiết bị là ẩn so với bên ngoài, chúng vẫn có thể hoạt động trên Internet bình thường do cơ chế chuyển dịch cả địa chỉ cổng nguồn và đích của FW-1. Tường lửa sẽ duy trì một bảng dịch chuyển, và nó sẽ biết được máy nào cần kết nối từ cổng nguồn trong bảng này.
Chú ý là cần có license để có thể hỗ trợ nhiều máy trạm bằng cơ chế DHCP trước khi NAT. Và để cho các máy trạm có thể kết nối tới các thiết bị khác, cần bật tính năng IP forwarding trong tường lửa. Bước tiếp theo là cấu hình NAT tại tab Address Translation trong Check Point SmartDashboard.
Hình 4. SmartDashboard – Address Translation
Những luật trong tab này có thể được khởi tạo tự động hoặc bằng tay tùy vào mức độ của mạng. Một luật gồm 2 phần chính sau :
• Original packet • Translated packet
Khi một kết nối tới tường lửa, nó so sánh gói tin cho địa chỉ nguồn, đích và dịch vụ của gói tin. Nếu đúng với những thông tin đã lưu, tường lửa sẽ chỉnh sửa nguồn đích và dịch vụ của gói tin dựa trên các luật NAT. Cũng giống như các luật tường lửa, các luật NAT cũng được đọc theo thứ tự từ trên xuống dưới. Do đó, nên đặt các luật thường sử dụng nhất ở bên trên cùng.
Ngoài ra, người dùng cũng nên chú ý rằng tường lửa sẽ cho phép các gói tin có địa chỉ nguồn và đích sau khi NAT đi qua.
4.2. Cấu hình luật NAT
Việc cấu hình bằng tay các luật NAT cũng giống như cấu hình các luật tường lửa. Tuy nhiên CheckPoint cho phép cấu hình tự động các luật này khi cần. Để cấu hình tự động, vào Manage | Network Objects, chọn tab NAT.
Hình 5. Cấu hình luật NAT tự động
Chọn Add Automatic Address Translation Rules. Chọn Hide trong Translation Mode. Để xác định IP để ẩn trên mạng, gõ địa chỉ vào trong trường Hide behind IP Address (gõ 0.0.0.0 để tường lửa sử dụng địa chỉ external của nó). Ngoài ra, có thể sử
dụng địa chỉ external của gateway bằng cách chọn Hide behind Gateway. Install On dùng để xác định tường lửa mà người dùng muốn áp dụng luật NAT này. Chọn All để áp dụng cho tất cả các tường lửa.
Hình 6. Các luật NAT
Như hình trên thì 2 luật phía trên là luật được tạo ra tự động.
Cấu hình static NAT cũng tương tự như trên, chỉ khác là thay vì một dải địa chỉ, giờ đây cả nguồn và đích đều là địa chỉ đơn lẻ.
Ngoài ra, ta có thể sử dụng một số tính năng của NAT như NAT 2 chiều hay NAT MAC, các tùy chọn này có thể được đặt trong Global Properties như trong hình dưới đây.
CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE [3] 5.1. Giới thiệu về SmartDefense
Tính năng chính của tường lửa là cho phép các truy cập hợp lệ đi qua và loại bỏ những truy cập không hợp lệ. Trong quá khứ, tường lửa đã hoạt động rất hiệu quả, tuy nhiên ngày nay rất nhiều lỗ hổng bảo mật trên các ứng dụng mạng có thể bị kẻ xấu khai thác và lợi dụng. Do đó mô hình “cho phép hoặc loại bỏ” đã không còn được sử dụng hiệu quả trên các hệ thống bảo mật thành công ngày nay. SmartDefense, một trong những thành phần chủ chốt trong bộ sản phẩm Check Point, là một giải pháp để giải quyết vấn đề này. Với cơ chế Application Intelligence, nó cho phép những truy cập hợp pháp tới các tài nguyên mạng trong khi vẫn bảo vệ được tài nguyên khỏi các tấn công.
Phương thức hoạt động của SmartDefense là giám sát dòng lưu thông mạng qua tường lửa, so sánh những đặc tính của các gói tin lưu thông với những đặc tính đã xác định trước của một hành động tấn công. Những hoạt động đáng nghi đều được lưu lại và được gửi tới người quản trị mạng để họ chuẩn bị các biện pháp chống tấn công. SmartDefense hỗ trợ phát hiện năm loại tấn công sau: Denial of Service (DoS), Transmission Control Protocol/Internet Protocol (TCP/IP), tấn công ứng dụng, dò cổng và IP, và sâu máy tính.
Với các tấn công ngày càng mới hiện nay, việc sử dụng một danh sách cố định các thuật toán phòng thủ sẽ không đảm bảo an toàn. Vì vậy SmartDefense cung cấp một dịch vụ cho phép cập nhật các thuật toán phòng thủ tấn công mới nhất. (adsbygoogle = window.adsbygoogle || []).push({});
SmartDefense có cách thức hoạt động khác so với hệ thống phát hiện thâm nhập. Nó không cố gắng chống lại các kiểu tấn công mới được phát hiện, thay vào đó nó bảo vệ mạng khỏi các tấn công bằng cách thực hiện kiểm tra kĩ càng và nghiêm ngặt các tiêu đề của gói tin cũng như phần dữ liệu của giao thức để ngăn ngừa các dữ liệu nguy hại xâm nhập vào mạng. Ví dụ, thay vì xem xét danh sách một loạt các kiểu tấn công có thể sử dụng để tấn công vào máy chủ DNS , SmartDefense sẽ kiểm tra gói tin DNS xem nó