SecuRemote/SecureClient là công cụ máy khách cung cấp chức năng truy cập VPN Check Point cho người dùng và bảo vệ các thông tin nhạy cảm khi giao tiếp với mạng nội bộ và các server qua đường hầm VPN. Người dùng VPN được quản lý bằng cơ sở dữ liệu bên trong của VPN-1 Pro Gateway hoặc bằng một máy chủ LDAP riêng.
SecureClient cải tiến hơn so với SecuRemote nhờ có thêm một số tính năng.
Bảo mật:
- Chính sách bảo mật desktop - Ghi log và thông báo
- Thẩm định cấu hình bảo mật Kếtnối: - Office Mode - Client Mode - Hub Mode Quản lý: - Phân phối phần mềm tự động
- Các tùy chọn phân phối và đóng gói nâng cao - Các công cụ chẩn đoán
Sau đây khóa luận sẽ hướng dẫn sử dụng SecureClient để kết nối đến VPN gateway thiết lập Office Mode.
Ứng dụng SecureClient khi cài đặt xong sẽ hiển thị một biểu tượng trên khay công cụ. Khởi động SecureClient. Nếu chưa có site nào được tạo, chương trình yêu cầu người dùng tạo một site mới. Nhập địa chỉ của VPN gateway vào ô Server Address or Name rồi nhấn Next.
Hình 19. Server Address
Tiếp theo là chọn phương thức xác thực. Đánh dấu vào tùy chọn User name and Password. Nhấn Next. Sau đó nhập tên và mật khẩu truy cập VPN.
Sau khi nhập tên và mật khẩu, bước tiếp theo chọn kiểu kết nối Advanced.
Hình 21. Connectivity Settings
Sau đó các tùy chọn nâng cao hiện ra. Chọn Perform IKE over TCP (tùy vào thiết lập tại VPN gateway).
SecureClient kết nối đến VPN gateway và nhận được một Certificate Authority để người dùng kiểm tra xem đã kết nối đến đúng site chưa.
Hình 23. Validate Site
Nếu tạo site thành công, chương trình sẽ hiển thị thông báo cho người dùng. Nhấn Finish để kết thúc. Sau đó chương trình hiển thị ra giao diện dùng để kết nối.
Nhập password rồi nhấn Connect. SecureClient giao tiếp với VPN gateway và thực hiện xác thực. Nếu xác thực thành công chương trình sẽ hiển thị thông báo cho người dùng đồng thời tải về các thông tin về tôpô mạng và các thiết lập Profile. Lúc này người dùng đã được phép truy cập vào mạng nội bộ giống như một máy nằm trong mạng.
Tạo Profile: Vào Option, chọn Setting. Cửa sổ cấu hình SecureClient hiện ra. Tại đây người dùng có thể tạo một Site, Profile mới, xóa hoặc sửa đổi thuộc tính của Site, Profile. Profile được tạo ra để sử dụng trong các điều kiện kết nối khác nhau. Để tạo một Profile mới, chọn New | Profile. Xuất hiện cửa sổ Profile Properties. Trong tab General, người dùng có thể đặt tên cho Profile, xác định địa chỉ site, gateway kết nối đến. Trong tab Advanced người dùng có thể cấu hình tùy chọn Office Mode, các tùy chọn cải thiện kết nối và cấu hình Hub Mode.
Cập nhật Site: Nếu VPN gateway đặt cấu hình tự động cập nhật thì sau một khoảng thời gian, SecureClient sẽ tự tải về các thông tin tôpô và Profile. Người dùng cũng có thể tự cập nhật Site bằng cách vào cửa sổ cấu hình, nhấn chuột phải lên Site và chọn Update Site.
CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP 7.1. Giới thiệu sơ lược về LDAP
LDAP (Lightweight Directory Access Protocol) là một giao thức tầng ứng dụng dùng để truy cập vào dịch vụ thư mục (Directory Services) chạy trên bộ giao thức TCP/IP.
Thư mục là một tập các đối tượng với các thuộc tính được mô tả và tổ chức một cách logic và phân cấp giúp cho việc quản lý và tìm kiếm trở nên dễ dàng và nhanh chóng. Có rất nhiều ví dụ về thư mục như: danh bạ điện thoại, danh mục hàng hóa, Domain Name System…
Tương tự như các giao thức như FTP hay HTTP, LDAP hoạt động theo mô hình client-server. Và đương nhiên nó phải định nghĩa một tập các thông điệp request và response giữa LDAP client và LDAP server. LDAP server có nhiệm vụ tương tác với dữ liệu đã được lưu trữ để trả về cho client.
Hình 26. Hoạt động của giao thức LDAP
Trong mô hình LDAP dữ liệu được lưu trữ dưới dạng một cây thư mục.
Entry là đơn vị cơ bản của thông tin trong thư mục. Mỗi entry chứa một tập các thông tin về một đối tượng.
Mỗi entry có một DN (distinguished name) duy nhất, không trùng với bất kỳ một DN nào khác trong thư mục. Ví dụ trong hình trên DN của tổ chức là dc=example, dc=com. Mỗi entry gồm một tập các thuộc tính (attributes). Mỗi thuộc tính thuộc một loại (type) và chứa một hoặc nhiều giá trị (value).
Schema là một định nghĩa dữ liệu cho thư mục và cách máy chủ và máy khách xử lý các thao tác với thông tin như thế nào (ví dụ như tìm kiếm). Một schema chứa định nghĩa các loại thuộc tính (OID, tên, cú pháp, luật matching của thuộc tính) và các objectClass.
LDAP Interchange Format (LDIF) là một khuôn dạng tệp văn bản chuẩn để lưu thông tin cấu hình LDAP và nội dung thư mục. Một tệp LDIF gồm:
- Một tập entry tách biệt nhau bởi các dòng trắng - Một ánh xạ tên thuộc tính sang giá trị
- Một tập các chỉ thị cho bộ phân tích cú pháp biết cách xử lý thông tin. (adsbygoogle = window.adsbygoogle || []).push({});
Tệp LDIF thường được dùng để nhập dữ liệu mới vào thư mục hoặc thay đổi dữ liệu đã tồn tại. Dữ liệu trong LDIF phải tuân theo luật schema của thư mục LDAP. Mỗi mục được thêm hoặc thay đổi trong thư mục sẽ được kiểm tra ngược lại schema. Một
schema violation xảy ra nếu dữ liệu không phù hợp với các luật tồn tại.
Hình 2-1 thể hiện một cây thư mục đơn giản. Mỗi entry trong thư mục được biểu diễn bởi một entry trong tệp LDIF. Giả sử với entry trên cùng của cây với DN: dc=plainjoe, dc=org:
# LDIF listing for the entry dn: dc=example,dc=com dn: dc=example,dc=com
objectClass: domain dc: example
So sánh với tổ chức của một filesystem, DN tương tự như một đường dẫn tuyệt đối, còn RDN (Relative DN) giống như tên file. Nhưng khác với một tên file, RDN có thể được tạo nên từ nhiều thuộc tính. Ví dụ một RDN đa trị: cn=Jane Smith+ou=Sales, dấu “+” dùng để phân biệt hai thuộc tính.
Thuộc tính và cú pháp thuộc tính tương tự như biến và kiểu biển trong lập trình. Thuộc tính cũng như biến dùng để chưa giá trị. Còn cú pháp thuộc tính hay kiểu biến dùng để xác định loại thông tin nào có thể được lưu trữ trong biến. Thuộc tính khác biến ở chỗ nó có thể đa trị. Khi gán một giá trị mới cho một biến, giá trị cũ bị thay thế. Nhưng khi gán một giá trị mới cho thuộc tính, giá trị đó sẽ được thêm vào danh sách giá
trị của thuộc tính. Một thuộc tính là đa trị hay đơn trị phụ thuộc vào định nghĩa của thuộc tính trong schema của máy chủ.
Matching Rule là các luật để tạo ra các sự so sánh. Ví dụ telephoneNumberMatch dùng để so sánh sự hai số điện thoại có khớp nhau hay không.
Object Identifiers (OIDs) là một chuỗi các số ngăn cách nhau bởi dấu chấm (.) dùng để xác định một thực thể duy nhất như thuộc tính, cú pháp, lớp đối tượng.
Tất cả các entry trong một thư mục LDAP phải có một thuộc tính objectClass, và thuộc tính này phải có ít nhất một giá trị (có thể nhiều hơn một). Mỗi giá trị objectClass đóng vai trò như một khuôn mẫu cho dữ liệu được lưu trong một entry. Nó định nghĩa một tập các thuộc tính phải và một tập thuộc tính tùy chọn. Thuộc tính phải là thuộc tính cần phải gán cho nó ít nhất một giá trị. Thuộc tính tùy chọn không bắt buộc phải gán giá trị. Hai objectClass có thể có cùng một số thuộc tính.
Định nghĩa objectClass
- Mỗi objectClass có một OID
- Từ khóa MUST chỉ ra một tập các thuộc tính phải
- Từ khóa MAY định nghĩa một tập các thuộc tính tùy chọn.
- Từ khóa SUP chỉ ra objectClass cha, đối tượng mà objectClass này kế thừa. Đối tượng kế thừa có tất cả các thuộc tính của objectClass cha..
7.2. Cấu hình VPN tích hợp LDAP [6]
Check Point VPN-1 NG có khả năng truy cập tới máy chủ thư mục LDAP để xác thực các tài khoản kết nối VPN đến thiết bị.
Máy chủ LDAP của trường Đại học Công Nghệ sử dụng OpenLDAP, một ứng dụng LDAP miễn phí, ổn định chạy trên nền UNIX.
Trong phần này, khóa luận sẽ trình bày các thao tác cấu hình cho phép sử dụng máy chủ OpenLDAP quản lý các tài khoản truy cập VPN cho thiết bị Check Point.
7.2.1. Cấu hình máy chủ LDAP
Mặc định OpenLDAP không có sẵn schema Check Point.
objectClass fw1person được định nghĩa như một kiểu hỗ trợ để giúp cho việc quản lý các user đã tồn tại qua dịch vụ LDAP.
OpenLDAP sử dụng một khuôn dạng định nghĩa schema đơn giản, người dùng có thể tạo schema từ Netcapse Schema ($FWDIR/lib/ldap/schema.ldif) bằng cách sử dụng một shell script, hoặc có thể sử dụng một schema đã được tạo sẵn (xem phụ lục A). Sau đó copy file schema vào /etc/openldap/schema/fw1ng.schema đồng thời thêm khai báo vào file slapd.conf.
include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/fw1ng.schema
Bước tiếp theo, người dùng phải thêm objectClass fw1person cho các tài khoản trong thư mục LDAP. Do Check Point sử dụng một schema riêng nên nếu không thêm objectClass fw1person vào các tài khoản thì Check Point sẽ không thể sử dụng được các tài khoản này.
7.2.2. Cài đặt và cấu hình VPN-1
7.2.2.1. Kích hoạt SmartDirectory trong Global Properties
Mặc định, tính năng quản lý người dùng bằng máy chủ LDAP không được kích hoạt. Để sử dụng tính năng này người dùng phải kích hoạt LDAP Account Management trong Global Properties bằng cách đánh dấu vào tùy chọn User SmartDirectory. Có thể truy cập vào Global Properties trên toolbar hoặc vào menu Policy/Global Properties. (adsbygoogle = window.adsbygoogle || []).push({});
Hình 28. Kích hoạt Smart Directory
7.2.2.2. Tạo một host object cho OpenLDAP server
Tạo một host object mới cho host chạy OpenLDAP server sử dụng: Manage/Network Objects/New… Node - Host.
7.2.2.3. Tạo một LDAP Account Unit
Tạo một LDAP Account Unit mới sử dụng Manage/Servers/New… LDAP Account Unit. Cửa sổ LDAP Account Unit Properties gồm có các thẻ. Gõ tên và chọn một profile cho thư mục.
- thẻ General định nghĩa các thiết lập chung của SmartDirectory (LDAP) Account Unit. Chọn User management và chọn một profile áp dụng cho Account Unit mới. Với OpenLDAP server sử dụng profile OPSEC_DS hoặc OpenLDAP_DS.
- thẻ Servers, hiển thị LDAP servers được sử dụng bởi Account Unit. Thứ tự hiển thị cũng chính là thứ tự truy vấn mặc định. Thêm server vào danh sách hiển thị.
Nháy đúp lên một SmartDirectory (LDAP) server trong danh sách để sửa đổi nó. Cửa sổ LDAP Server Properties được hiển thị.
Hình 29. LDAP Server Properties
Trong thẻ General, có thể thay đổi DN đăng nhập của LDAP server, ví dụ
”cn=Manager,dc=example,dc=com”. Xác định độ ưu tiên của LDAP server được chọn (độ ưu tiên được sử dụng khi có nhiều máy chủ LDAP).
Xác định mật khẩu dùng để xác thực. Chọn Read data from this server và Write data to this server sau đó nhấn OK.
Trong thẻ Objects Management chọn LDAP server thích hợp. Branches của LDAP server có thể nhận được bằng cách chọn Fetch branches, hoặc thêm bằng tay. Branches sẽ được tìm kiếm khi LDAP server được truy vấn.
Thẻ Authentication định nghĩa giới hạn và các thiết lập xác thực mặc định cho một user trên một Account Unit. Tùy chọn Allowed Authentication schemes giới hạn truy cập xác thực của user chỉ trong authentication schemes. Có thể cho phép vài authentication schemes áp dụng cho một user, hoặc có thể áp dụng một authentication schemes mặc định cho tất cả user. Các user được lấy về qua Account Unit, nhưng thiếu các định nghĩa liên quan đến xác thực, sẽ sử dụng authentication scheme mặc định, hoặc một template.
7.2.2.4. Tạo LDAP group
- Nhấn chuột phải vào LDAP Groups. - Chọn New LDAP Groups.
- Nhập tên cho group và chọn LDAP Account Unit đã tạo ở trên. Chọn All Branches, một Branch, hoặc một LDAP Group.
CHƯƠNG 8. TRIỂN KHAI THỰC TẾ 8.1. Phân tích và giải pháp
Hình 30. Mô hình mạng cũ
Trên cơ sở khảo sát hiện trạng hệ thống mạng VNUnet và Coltechnet, dựa trên những đánh giá, phân tích về hạn chế của cả hai hệ thống mạng cũng như những yêu cầu thực tế, việc triển khai những thiết bị phần cứng chuyên về bảo mật như Nokia IP hay IPS Proventia G200 (thiết bị phát hiện và ngăn chặn xâm nhập) cũng như các phần mềm giám sát mạng như HP Openview, Nagios là cần thiết và có ý nghĩa rất quan trọng.
Mục tiêu đặt ra là phải tạo ra một hệ thống bảo vệ, bảo mật vững chắc cho hệ thống mạng nội bộ và đặc biệt là hệ thống Server của trường.
Dựa trên tình hình thực tế và mục tiêu cụ thể, mô hình triển khai được đưa ra như sau.
Hình 31. Mô hình mạng mới
Thiết bị Nokia IP1220 có một vị trí rất quan trọng vì nó vừa là điểm cầu nối vào hệ thống Server, vừa là một gateway kết nối ra mạng Internet. Nokia Check Point là bức rào cản đầu tiên bảo vệ hệ thống mạng nội bộ, đặc biệt nó ngăn cách và bảo vệ hệ thống Server với mạng bên ngoài.
Trên thiết bị Nokia hiện tại gồm có 8 cổng kết nối Ethernet. Có 5 cổng sẽ được sử dụng để kết nối vào mạng, còn lại ba cổng dự trữ được dùng cho mục đích sau này. Trong 5 cổng Ethernet được sử dụng:
- Một cổng dùng để kết nối đến Router gateway để ra ngoài mạng Internet, cổng này có địa chỉ public là 210.86.230.x (địa chỉ này được sử dụng để kết nối VPN).
- Hai cổng kết nối đến hai thiết bị IPS Proventia G200, qua đó kết nối tới hệ thống Server. Với cách thiết kế này các Server sẽ có hai lớp bảo vệ. Lớp bảo vệ đầu tiên là hệ thống tường lửa, SmartDefense của Check Point Nokia. Nhiệm vụ của tường lửa thiết lập các luật quy định quyền truy cập cho các đối tượng. Nó ngăn chặn phần lớn các truy cập bất hợp pháp và cho phép các truy cập hợp pháp vào mạng. SmartDefense là hệ thống phòng thủ thông minh giúp phát hiện và ngăn chặn các xâm phạm, tấn công vào mạng. Lớp thứ hai là thiết bị phát hiện và ngăn chặn xâm nhập IPS Proventia G200. Thiết bị này chuyên dùng bảo vệ mạng khỏi các cuộc tấn công và thâm nhập. Với hai lớp bảo vệ này hệ thống Server sẽ là hệ thống được bảo vệ an toàn nhất trong mạng.
- Một cổng nối tới các class room. Tường lửa sẽ quy định các chính sách truy cập cho class room, chỉ cho các class room quyền truy cập trong giới hạn được phép.
- Cổng còn lại nối tới toàn bộ phần còn lại của mạng qua Switch tổng Catalys 6509.
Các cấu hình được thiết lập trên Nokia Check Point gồm có các chính sách tường lửa, NAT và cấu hình VPN Gateway. Chính sách tường lửa được áp dụng trên tất cả các cổng để hạn chế, cho phép các dịch vụ và phân quyền cho người dùng truy cập tới các Server. VPN gateway cấu hình truy cập từ xa sử dụng Office Mode. Người dùng có thẩm quyền sẽ được phép kết nối VPN tới mạng nội bộ qua địa chỉ public của thiết bị, sau đó người dùng có thể truy cập, sử dụng các tài nguyên như là một máy trong mạng. Việc quản lý người dùng VPN được thực hiện bởi máy chủ OpenLDAP. Trên thiết bị cũng được thiết lập các chính sách định tuyến cần thiết để hệ thống mạng hoạt động theo yêu cầu. Các thiết lập cài đặt chi tiết được trình bày trong phần 9.2 Cài đặt. (adsbygoogle = window.adsbygoogle || []).push({});
8.2.Cài đặt
Quá trình cài đặt trải qua hai bước. Bước một là lắp đặt và tiến hành các cài đặt cần thiết. Bước hai là thiết lập, cấu hình các chức năng.
8.2.1. Lắp đặt và cài đặt ban dầu
Tiến hành lắp thiết bị lên Rack, kết nối các cổng theo sơ đồ kết nối ở trên. Sau đó nối dây nguồn và khởi động thiết bị.
Nếu trên thiết bị chưa cài đặt hệ điều hành và các gói Firewall, VPN cần thiết, thì sau khi lắp đặt cần phải thực hiện các thao tác cài đặt hệ điều hành IPSO và bộ sản phẩm Check Point NGX. Thiết bị Nokia IP1220 được cài đặt hệ điều hành IPSO phiên bản 4.2 và bộ sản phẩm Check Point NGX R62.
Có thể download bộ cài đặt hệ điều hành IPSO bản 4.2 trên trang chủ