Chạy chương trình SmartDashboard. Đăng nhập vào SmartCenter Server. Mọi cấu hình tường lửa, SmartDefense, VPN, NAT,… đều được cấu hình qua SmartDashboard.
Cấu trúc mạng hiển thị qua Smartmap
Hình 36. Smartmap Cấu hình ban đầu
Kiểm tra nếu firewall còn ở dạng Host thì phải chuyển sang Gateway bằng cách nhấn chuột phải vào firewall chọn Convert to gateway…
Hình 37. General Properties
Trong phần IP Address, nếu sử dụng Get Address thì sẽ ra địa chỉ 192.168.0.71. Nhưng để thiết lập VPN ta phải sử dụng địa chỉ public của nó. Nhập vào 210.86.230.116.
Hình 38. Topology
Trong thẻ Topology, khi chọn Get | Interfaces with Topology, firewall sẽ tự phân ra các cổng Internal (This network) và External dựa vào default gateway được đặt.
Trong VPN Domain, chọn All IP Address… nếu muốn thiết lập VPN cho tất cả các địa chỉ phía sau tường lửa. Hoặc có thể chỉ thiết lập một số mạng nào đó bên trong làm VPN domain bằng cách chọn Manual defined.
Phần NAT để mặc định vì không yêu cầu firewall phải thực hiện chức năng NAT cho toàn bộ mạng.
Trong Smart Defense chọn Default Protection để sử dụng các thiết lập phòng thủ mặc định của SmartDefense.
Thiết lập các luật tường lửa
Hình 39. Các luật tường lửa
Luật đầu tiên có tác dụng cấm các máy nằm trong mạng 140.133.217.144/28 thực hiện bất kỳ một kết nối nào với mạng nội bộ bên trong firewall.
Hai luật kế tiếp dành cho VPN sẽ được trình bày trong phần sau.
Luật cuối cùng cho phép tất cả kết nối và không thực hiện bất kỳ một hạn chế nào. Nếu không có luật này thì firewall sẽ thực hiện luật mặc định là bỏ qua tất cả kết nối vào bên trong mạng.
Hình 40. Protection Overview Thiết lập cấu hình VPN
Cấu hình trong Check Point Gateway, thẻ Remote Access
Trong Office Mode, đặt tùy chọn Allow Office Mode to all users. Đặt giải IP pool là 192.168.10.0/24. Khi client kết nối VPN vào mạng thì VPN gateway sẽ gán cho client một địa chỉ thuộc dải này.
Trong VPN Manager, chọn Community Remote Access. Trong Remote Access Community Properties thêm Participating Gateway và Participant User Group.
Hình 42. Remote Access Community Properties
Chọn All Users để cho phép tất cả người dùng đều có thể tham gia vào VPN. Có thể thiết lập các Group để hạn chế số người dùng.
Thiết lập các tùy chọn khác trong Global Properties như phương thức xác thực, hỗ trợ IKE qua TCP, nén gói tin IP (VPN Basic), các giải thuật mã hóa và toàn vẹn dữ liệu (VPN – IKE, VPN - IPSec).
Hình 43. VPN Basic
Hình 45. VPN – IPSEC
Do khi kết nối VPN vào mạng, client sẽ được gán một địa chỉ thuộc dải 192.168.10.0. Các máy trong mạng không thể biết được địa chỉ này. Do vậy phải NAT điạ chỉ này sang địa chỉ của thiết bị để client có thể tham gia vào mạng một cách bình thường (nếu sử dụng DHCP để cấp địa chỉ thì không cần NAT). Thực hiện bằng cách mở đối tượng mạng 192.168.10.0, thiết lập cấu hình trong thẻ NAT. Luật NAT được tự động thêm trong Network Translation.
Hình 46. VPN NAT Tích hợp máy chủ LDAP để quản lý người dùng
Thiết lập cấu hình máy chủ LDAP 10.10.0.22 (xem phần 8.2.1) và thiết lập cấu hình cho Check Point.
Tạo Network Object của máy chủ LDAP trong Manage | Network Object chọn New | Node | Host… Trong phần IP Address điền địa chỉ IP của máy chủ LDAP.
Hình 47. Tạo Host Node
Khai báo LDAP Account Unit trong Manage | Server and OPSEC Application… chọn New | LDAP Account Unit. Cấu hình như sau:
Hình 48. Thẻ General
Trong thẻ Server. Chọn Add. Nhập các thông tin cần thiết như tài khoản đăng nhập, mật khẩu…
Hình 49. LDAP Server Properties
Hình 50. Thẻ Server
Hình 51. Thẻ Object Management
Firewall sẽ kết nối đến máy chủ LDAP và lấy về danh sách tài khoản
Hình 52. Hiển thị tài khoản LDAP
Tạo LDAP Group trong Manage | User and Administrators chọn New LDAP Group… Trong phần Group’s Scope chọn phạm vi cho nhóm.
Hình 53. LDAP Group
Firewall cho phép tạo các group nhanh chóng bằng cách sử dụng các group sẵn có của máy chủ LDAP. Chỉ cần nhấn chuột phải lên group đó, chọn Define External Group.
Với việc tạo các LDAP group như vậy chúng ta có thể dễ dàng thiết lập các luật riêng cho từng group để quy định quyền hạn của các client khi truy cập VPN vào mạng.
Bước cuối cùng là ta định nghĩa các luật Remote Access.
Luật 2 và 3 là các luật dùng cho VPN Remote Access. Luật 2 có ý nghĩa là không cho phép tài khoản sinh viên truy cập vào mạng 192.168.0.0/24. Luật 3 là cho phép tất cả các tài khoản khi đăng nhập VPN Remote Access thì được quyền truy cập tới toàn bộ mạng. Với nguyên tắc làm việc từ trên xuống của firewall thì trong trường hợp này tài khoản sinh viên bị giới hạn quyền truy cập đến mạng 192.168.0.0 nhưng vẫn có thể truy cập tới phần còn lại trong mạng.
Kết nối VPN bằng SecureClient
Sau khi tạo Site có địa chỉ 210.86.230.116, vào Profile Properties chọn Visitor Mode.
Hình 55. Chọn Visitor Mode
Hình 56. Màn hình đăng nhập
Hình 57. Thiết lập kết nối
Hình 59. Kết nối thành công
Để kiểm tra kết nối VPN đã thành công. Vào Command Prompt. Gõ ipconfig /all. Xuất hiện một Ethernet adapter mới có địa chỉ IP là 192.168.10.1 như trong hình.
Ping thử tới một địa chỉ trong mạng VPN sẽ nhận được kết quả trả về.
Hình 60. Kiểm tra địa chỉ
Hình 61. Kiểm tra bảng định tuyến
8.3. Giám sát và quản lý
Việc giám sát và quản lý hoạt động của Nokia Check Point được thực hiện bằng chương trình SmartView Tracker R62 và SmartView Monitor R62. Cả hai ứng dụng này đều nằm trong gói phần mềm SmartConsole cùng với SmartDashboard. Từ cửa sổ của một trong các ứng dụng này, có thể mở các ứng dụng khác bằng cách vào menu Windows, chọn ứng dụng cần mở.
Khi một gói tin đi vào Nokia Check Point, nó sẽ được tường lửa kiểm tra, nếu gói tin tương ứng với một luật nào đó nó sẽ được ghi log lại (nếu trong luật cho phép ghi log). Ngoài ra các sự kiện xảy ra trên firewall cũng được ghi log như cài đặt luật, thay đổi cấu hình, đăng nhập hệ thống…
SmartView Tracker cung cấp một giao diện để hiển thị các file log. Qua đó người quản trị có thể giám sát được tất cả các kết nối qua thiết bị, cũng như có được rất nhiều thông tin cần thiết khác. SmartView Tracker gồm có ba chế độ khác nhau là: Log, Active, Audit.
Log hiển thị tất cả các bản ghi trong tệp fw.log gồm các sự kiện liên quan đến các
Hình 62. SmartView Tracker - Log
Để hiển thị chi tiết một bản ghi, nháy đúp vào bản ghi đó.
Người quản trị có thể xem các thông tin của gói tin như thời gian gói tin đến, địa chỉ nguồn, đích, giao thức, dịch vụ, tài khoản gửi (nếu là gói tin VPN), hành động mà tường lửa áp dụng lên gói tin, …
Active hiển thị các kết nối hiện tại đang được mở thông qua firewall.
Hình 64. SmartView Tracker – Active
Audit hiển thị các sự kiện liên quan đến cài đặt, thay đổi các luật và các thao tác của người quản trị.
Hình 65. SmartView Tracker - Audit
Thời điểm hiện tai, thiết bị đã được lắp đặt trên mạng thực tế, và kết quả ban đầu cho thấy thiết bị hoạt động khá tốt và ổn định.
SmartView Monitor cho phép người quản trị giám sát theo thời gian thực các hoạt động trên mạng, và hiển thị dưới nhiều dạng khác nhau như bảng, biểu đồ.
Hình 66. SmartView Monitor
Người quản trị có thể giám sát các thông tin như network traffic, VPN Tunnel, Remote User, và hàng loạt thông tin cần thiết khác.
Hình 67. SmartView Monitor - System
KẾT LUẬN
Sau khi kết thúc thời gian làm khóa luận tốt nghiệp với đề tài “Nghiên cứu triển khai Nokia firewall”, em đã thực hiện triển khai thành công Nokia IP1220 trên hệ thống mạng trường Đại học Công Nghệ. Các chức năng triển khai trên Nokia IP1220 gồm có NAT, định tuyến, chức năng tường lửa và VPN. Đặc biệt chức năng VPN có khả năng tích hợp với máy chủ LDAP có sẵn của trường Đại học Công Nghệ giúp cho một người dùng chỉ cần sử dụng một account để truy cập được tất cả các dịch vụ khác nhau như mail, website môn học, VPN… Việc triển khai thành công Nokia IP1220 trên hệ thống mạng trường Đại học Công Nghệ sẽ giúp nâng cao khả năng bảo mật của mạng, cung cấp hệ thống tường lửa và khả năng truy cập từ xa qua mạng riêng ảo một cách an toàn, mạnh mẽ và chuyên nghiệp. Và khóa luận này sẽ là một tài liệu bổ ích dành cho mục đích tham khảo sau này.
Các phương hướng phát triển trong tương lai gồm có:
- Nghiên cứu thêm về cấu hình VPN mạng nối mạng trên Nokia Check Point. - Nghiên cứu thiết lập cấu hình VRRP và cấu hình Check Point Gateway
Cluster.
- Thiết lập các luật tường lửa cho phù hợp với từng điều kiện thay đổi của hệ thống mạng.
- Cập nhật và cài đặt các phiên bản mới.
Trong quá trình nghiên cứu và làm khóa luận này em cũng gặp phải khá nhiều khó khăn. Nokia IP1220 là một thiết bị phức tạp và đắt tiền nên em không có điều kiện để thực hành ở nhà. Nhưng bù lại em cũng được các thầy ở trung tâm máy tính hết sức tạo điều kiện trong thời gian thực hiện Khóa luận. Cũng bởi vì Nokia IP1220 là một thiết bị phức tạp, đắt tiền và chuyên dụng nên nó không được sử dụng phổ biến, do đó việc tìm hiểu, tìm kiếm tài liệu, tải các sản phẩm, phần mềm là rất khó. Tuy nhiên nhờ sự cố gắng, nỗ lực cùng sự hướng dẫn tận tình của các thầy em đã hoàn thành Khóa luận. Do là lần đầu tiên viết một tài liệu khoa học nên Khóa luận này không tránh khỏi còn rất nhiều thiếu sót, em rất mong nhận được sự chỉ bảo, hướng dẫn từ các thầy cô.
PHỤ LỤC Phụ lục A. fw1ng.schema
Nội dung tệp fw1ng.schema cho OpenLDAP attributetype ( 1.3.114.7.4.2.0.1 NAME 'fw1auth-method' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.2 NAME 'fw1auth-server' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.3 NAME 'fw1pwdlastmod' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.4 NAME 'fw1skey-number' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.5 NAME 'fw1skey-seed' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.6 NAME 'fw1skey-passwd' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.7 NAME 'fw1skey-mdm' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.8 NAME 'fw1expiration-date' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.9 NAME 'fw1hour-range-from' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.10 NAME 'fw1hour-range-to' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.11 NAME 'fw1day' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.12 NAME 'fw1allowed-src' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.13 NAME 'fw1allowed-dst' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.14 NAME 'fw1allowed-vlan' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.15 NAME 'fw1SR-keym' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.16 NAME 'fw1SR-datam' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.17 NAME 'fw1SR-mdm' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.18 NAME 'fw1enc-fwz-expiration' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.19 NAME 'fw1sr-auth-track' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.20 NAME 'fw1grouptemplate' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.21 NAME 'fw1ISAKMP-EncMethod' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.22 NAME 'fw1ISAKMP-AuthMethods' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.23 NAME 'fw1ISAKMP-HashMethods' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.24 NAME 'fw1ISAKMP-Transform' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.25 NAME 'fw1ISAKMP-DataIntegrityMethod' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.26 NAME 'fw1ISAKMP-SharedSecret' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.27 NAME 'fw1ISAKMP-DataEncMethod' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.28 NAME 'fw1enc-methods' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.29 NAME 'fw1userPwdPolicy' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.30 NAME 'fw1badPwdCount' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.31 NAME 'fw1lastLoginFailure' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.32 NAME 'memberoftemplate' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) attributetype ( 1.3.114.7.4.2.0.33 NAME 'memberOf' SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' ) objectclass ( 1.3.114.7.3.2.0.1 NAME 'fw1template' SUP 'top' MUST ( cn )
MAY ( member $ description $ fw1auth-method $ fw1auth- server $ fw1pwdlastmod $ fw1skey-number $ fw1skey-seed $ fw1skey-passwd $ fw1skey-mdm $ fw1expiration-date $ fw1hour- range-from $ fw1hour-range-to $ fw1day $ fw1allowed-src $ fw1allowed-dst $ fw1allowed-vlan $ fw1SR-keym $ fw1SR-datam $ fw1SR-mdm $ fw1enc-fwz-expiration $ fw1sr-auth-track $
fw1grouptemplate $ fw1ISAKMP-EncMethod $ fw1ISAKMP-AuthMethods $ fw1ISAKMP-HashMethods $ fw1ISAKMP-Transform $ fw1ISAKMP-
DataIntegrityMethod $ fw1ISAKMP-SharedSecret $ fw1ISAKMP-
DataEncMethod $ fw1enc-methods $ fw1userPwdPolicy $ memberOf) ) objectclass ( 1.3.114.7.3.2.0.2
NAME 'fw1person' SUP top AUXILIARY MUST ( cn $ sn )
MAY ( description $ userpassword $ mail $ uid $ fw1auth- method $ fw1auth-server $ fw1pwdlastmod $ fw1skey-number $
fw1skey-seed $ fw1skey-passwd $ fw1skey-mdm $ fw1expiration-date $ fw1hour-range-from $ fw1hour-range-to $ fw1day $ fw1allowed- src $ fw1allowed-dst $ fw1allowed-vlan $ fw1SR-keym $ fw1SR- datam $
fw1SR-mdm $ fw1enc-fwz-expiration $ fw1sr-auth-track $
fw1grouptemplate $ fw1ISAKMP-EncMethod $ fw1ISAKMP-AuthMethods $ fw1ISAKMP-HashMethods $ fw1ISAKMP-Transform $ fw1ISAKMP-
DataIntegrityMethod $ fw1ISAKMP-SharedSecret $ fw1ISAKMP- DataEncMethod $ fw1enc-methods $ fw1userPwdPolicy $
fw1badPwdCount $ fw1lastLoginFailure $ memberoftemplate $ memberOf) )
Phụ lục B: Hiện trạng mạng VNUNet [3] B.1. Khái quát về hiện trạng VNUNet
B.1.1. Mô hình tổ chức
Đại học quốc gia Hà Nội có tổng cộng 28 đơn vị với 2.503 cán bộ và 23.628 sinh viên, học viên các hệ tập trung (26.131 cán bộ và học viên, sinh viên các hệ tập trung), 26.000 sinh viên các hệ không tập trung.
Gần như 100% cán bộ đã có máy tính làm việc. Số lượng máy tính trong các phòng thí nghiệm và phòng thực hành phục vụ công tác giảng dạy và trong các ký túc xá có khoảng 1.500 chiếc, tổng cộng hiện có khoảng 4.000 máy tính kết nối vào VNunet.
Tỷ lệ sinh viên có máy tính ở nhà ước tính khoảng 20%, số lượng sinh viên có các thiết bị xử lý thông tin di động hiện còn rất thấp, chỉ khoảng 2%, các thiết bị di động hiện chưa có khả năng kết nối di động vào VNUnet.
B.1.2. Cơ sở hạ tầng truyền thông của VNUNet
Hệ thống cáp quang: hiện đã có các đường kết nối từ điểm trung tâm tới
- Các đơn vị tại 144 Xuân Thuỷ: Cơ quan ĐHQGHN, Trường ĐHNN, Trường ĐHCN, Trường ĐHKT, Khoa Quản trị kinh doanh, Trung tâm Thông tin Thư viện.
- Các đơn vị tại 334-336 Nguyễn Trãi: Trường ĐHKHTN, Trường ĐHKHXH-NV
- Ký túc xá Mễ trì
Mở rộng hệ thống cáp quang nói trên là hệ thống các đường kết nối bằng cáp đồng đến hầu khắp các đơn vị của ĐHQGHN.
Bốn địa điểm, năm đơn vị chưa được kết nối vào VNUnet gồm có - Địa điểm 19 Lê Thánh Tông: Khoa Hóa.
- Địa điểm 16 Hàng Chuối: Nhà xuất bản, Nhà in. - Khoa Quốc tế
- Ban Quản lý dự án Hoà Lạc tại Hoà Lạc. Các đường kết nối ra bên ngoài
- Lease line 100 Mbps tới Netnam vào VINAren – mạng khoa học giáo dục Việt Nam và qua đó vào TEIN2, APAN.
- Lease line tới mạng hành chính của chính phủ (chưa hoạt động).
Hệ thống thiết bị ghép nối
Tại điểm tập trung của VNUnet có - Cisco Router 2800.
- Switch trung tâm Catalyst 4507 (2005) với 8 cổng quang và 48 cổng Giga Ethernet RJ45.
- Switch phân đoạn Catalyst 2950, 4 chiếc (2003), Catalyst 1900, 2 chiếc (2001).
- Fire wall Cisco Pix 515e (2001, hỏng).
Kiến trúc ghép nối
Hệ thống truyền thông được xây dựng theo kiến trúc Ethernet, ở mức mỗi đơn vị thành viên, trực thuộc là một subnet/VLAN, sử dụng không gian địa chỉ IP giả lập (10.0.0.0 và 172.16.0.0). Các kết nối ra bên ngoài với tên miền vnu.edu.vn và vnu.vn được thực hiện qua một số lượng IP được cấp phát hạn chế (32 địa chỉ).
Tại các đơn vị thành viên, trực thuộc, việc phân chia subnet/VLAN mới chỉ được thực hiện ở Trường ĐHCN, chưa được thực hiện ở tất cả các đơn vị còn lại, vì vậy mỗi đơn vị, dù lớn, dù nhỏ đều là một miền broadcast, với tỷ lệ các gói tin broadcast rất lớn, tỷ lệ truyền tin hữu ích rất thấp (chỉ xung quanh 30%). Hơn nữa chất lượng thi công và quản lý kết nối cả ở mức logic và vật lý đều không được quan tâm nên tỷ lệ lỗi thực tế rất cao; làm giảm sút nghiêm trọng hiệu suất hoạt động của hệ thống – gây nên lãng phí