2. Giao diện quản lý:
4.3.4 Protocol Analysis-Based IPS
Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một hacker bắt đầu chạy một chương trình tấn công tới một Server. Trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể không chứa data trong payload. Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức.
Kiểm tra khảnăng của giao thức để xác định gói tin đó có hợp pháp hay không.
Kiểm tra nội dung trong Payload (pattern matching).
PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN
MÔ HÌNH CẤU TRÚC DNS:
Mô hình đề nghịđóng góp thiết lập có hỗ trợ của Firewall Checkpoint cho trường Đại Học Hoa Sen
Hình – Mô hình đề nghị cho trường Đại Học Hoa Sen Đặc điểm vềsơ đồ mạng kiến nghị
1. Có hai cách thiết lập vùng DMZ:
+ Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các luồng thông tin vào mạng cục bộ.
+ Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với mạng cục bộ.
Mục đích khi thiết lập một vùng DMZ để tránh sự tấn công từ bên ngoài và từ trong mạng nội bộ.
2. Cấu hình Firewall bên ngòai (External)
+ Trong trường hợp này, chúng ta có thể sử dụng 2 loại Firewall của 2 hãng khác nhau. External là Firewall Checkpoint, Internal là Firewall của 1 hãng khác.
+ Trên Firewall External, nên dùng 1 NIC nối với Switch, qua Switch kết nối với 2 line của 2 nhà cung cấp khác nhau để thiết lập cơ chế cân bằng tải, tăng sự linh hoạt và đảm bảo quy trình kết nối đến Trường Đại Học Hoa Sen, giữa các cơ sở Trường Hoa Sen, và người dùng có thể truy xuất Web của trường.
+ 1 NIC kết nối với vùng DMZ. Địa chỉ mạng IP của DMZ nên khác với mạng LAN, có thể quản lý truy cập bằng qui tắc (rule) Web and Server publishing.
Tổng quát, những yêu cầu (request) Internet và trả lời là của mạng cục bộ. Điều này giúp bảo vệ lưu lượng Internet được thực hiện tốt hơn.
Ngoài ra, việc quan trọng không thể thiếu là cấu hình IPS để phát hiện và ngăn chặn những đợt tấn công từ bên ngoài. Kích hoạt tính năng bảo vệ hệ thống bằng những rule
và tính năng được định nghĩa trong giao diện cấu hình tại Smart Console.
Kích hoạt những tính năng đã được đề cập trong phần IPS của đề án. Chúng ta có thể phát triển thêm nếu áp dụng vào mô hình thực tế.
Chú ý : Trên Firewall Checkpoint được đặt ở biên hệ thống là Firewall cứng. Trên Firewall Checkpoint chúng ta chỉ nên cấu hình những giao thức được cho phép ra vào mạng. Những vấn đề liên quan đến user sẽ do Firewall ISA đảm nhiệm.
3. Cấu hình Firewall bên trong (Internal)
- Cho phép DMZ truy cập mạng cục bộ. Chúng ta có thể cấu hình rule cho phép chỉ có Server Smart Console có quyền kết nối và cấu hình các server vùng DMZ. Trong trường hợp có WebServer trên DMZ, cần truy cập với SQL Server mạng cục bộ. Chúng ta nên
tạo range Client gồm những địa chỉ IP của Web Server và chỉ cho những địa chỉ client được thiết lập truy cập.
Hình – Cấu hình rule trên Firewall Internal
- Chúng ta cấu hình để các Client trong mạng chứng thực bằng Radius Server Lưu ý : Tôi xin phép được đề xuất 2 trường hợp chứng thực user
- Máy Firewall không join domain, nhiệm vụ chứng thực sẽđược gửi yêu cầu đến cho RADIUS Server đảm nhiệm.
- Máy Firewall join domain, dùng cơ sở dữ liệu trên domain để chứng thực user. Khi đó chúng ta không cần dựng thêm 1 Radius Server.
Ở mô hình này chúng tôi đề xuất phương án dựng thêm 1 Radius Serer đểtăng tính bảo mật vì Firewall được đặt ở biên hệ thống Internal, dù hacker có truy xuất đến được ISA nhưng vẫn không tìm được toàn vẹn cơ sở dữ liệu bên trong vì cơ sở dữ liệu user được đặt ở máy Domain Controller.
Chúng tôi xin phép được khái quát về áp dụng các tính năng bảo mật tối ưu của Firewall Checkpoint cho hệ thống mạng:
1) Thiết lập các Rule, Security Policy quản lý các mạng con trong hệ thống của trường. Bảo mật hơn cho mạng wifi bằng các tính năng ngăn chặn tru nhập những website độc, và giới hạn thời gian, quyền truy nhập của Users…
2) Tính năngđáng kể IPS (Instrusion prevention systems) cần được sử dụng bảo vệ các Server hệ thống, nhằm phát hiện và ngăn chặn sự tấn công của tội phạm an ninh mạng, những tác nhân có nguy cơ gây ảnh hưởng đến uy tính nhà trường cũngnhư lợi dụng Website Hoa Sen để phát tán mã độc hại.Chúng ta có thể thiết lập Module đặt trước WebSever, MailServer và một Module đặt tại biên hệ thống.
3) Sử dụng chức năng ISP Redundancy đểđảm bảo tính sẵn sàng của hệ thống
cũngnhưđảm bảo điều kiện kết nối Internet cho sinh viên và giảng viên nhằm tăng chất lượng dạy và học của trường.
4) Cơ chế Load Balancing cũng không kém phần quan trọng, cần được áp dụng triệt để đểtăngnăng suất làm việc cho các Server, đặt trưng là Server đăng ký môn học trực tuyến. Tránh tình trạng tắt nghẽn và quá tải lượng truy cập mạng.
5) Web nội bộ trường Đại Học Hoa Sen chỉ có thểđược truy cập đối với những cá nhân có chức trách. Sử dụng tính năng bảo mật của Firewall Checkpoint để luôn đảm bảo sự nghiêm ngặt trong mỗi lần truy cập.
PHẦN 6: TÀI LIỆU THAM KHẢO 1. CheckPoint_R70_ReleaseNotes, August 27, 2009. 2. CP_R70_Firewall_AdminGuide, March 5, 2009. 3. CP_R70_IPS_AdminGuide, 701682 March 8, 2009. 4. CP_R70_PerformancePack_AdminGuide, March 8, 2009. 5. CP_R70_Security_Management_AdminGuide, 701676 March 8, 2009. 6. CP_R70_UserAuthority_AdminGuide, March 8, 2009. Công cụ hỗ trợ: 1. Check_Point_SmartConsole_R75_Windows