Protocol Analysis-Based IPS

Một phần của tài liệu xây dựng firewall và ips trên checkpoint (Trang 88 - 94)

4.2 .1b Các thành phần của hệ thống ngăn chặn xâm nhập mạng cơ sở NIPS

2. Giao diện quản lý:

4.3 Công nghệ ngăn chặn xâm nhập IPS

4.3.4 Protocol Analysis-Based IPS

Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một hacker bắt đầu chạy một chương trình tấn cơng tới một Server. Trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể khơng chứa data trong payload. Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức.

 Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay không.  Kiểm tra nội dung trong Payload (pattern matching).

PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN

MƠ HÌNH CẤU TRÚC DNS:

Mơ hình đề nghị đóng góp thiết lập có hỗ trợ của Firewall Checkpoint cho trường Đại Học Hoa Sen

Hình – Mơ hình đề nghị cho trường Đại Học Hoa Sen Đặc điểm về sơ đồ mạng kiến nghị

1. Có hai cách thiết lập vùng DMZ:

+ Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các luồng thông tin vào mạng cục bộ.

+ Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với mạng cục bộ.

Mục đích khi thiết lập một vùng DMZ để tránh sự tấn công từ bên ngoài và từ trong mạng nội bộ.

2. Cấu hình Firewall bên ngịai (External)

+ Trong trường hợp này, chúng ta có thể sử dụng 2 loại Firewall của 2 hãng khác nhau. External là Firewall Checkpoint, Internal là Firewall của 1 hãng khác.

+ Trên Firewall External, nên dùng 1 NIC nối với Switch, qua Switch kết nối với 2 line của 2 nhà cung cấp khác nhau để thiết lập cơ chế cân bằng tải, tăng sự linh hoạt và đảm bảo quy trình kết nối đến Trường Đại Học Hoa Sen, giữa các cơ sở Trường Hoa Sen, và người dùng có thể truy xuất Web của trường.

+ 1 NIC kết nối với vùng DMZ. Địa chỉ mạng IP của DMZ nên khác với mạng LAN, có thể quản lý truy cập bằng qui tắc (rule) Web and Server publishing.

Tổng quát, những yêu cầu (request) Internet và trả lời là của mạng cục bộ. Điều này giúp bảo vệ lưu lượng Internet được thực hiện tốt hơn.

Ngoài ra, việc quan trọng không thể thiếu là cấu hình IPS để phát hiện và ngăn chặn những đợt tấn công từ bên ngồi. Kích hoạt tính năng bảo vệ hệ thống bằng những rule

và tính năng được định nghĩa trong giao diện cấu hình tại Smart Console.

Kích hoạt những tính năng đã được đề cập trong phần IPS của đề án. Chúng ta có thể phát triển thêm nếu áp dụng vào mơ hình thực tế.

Chú ý : Trên Firewall Checkpoint được đặt ở biên hệ thống là Firewall cứng. Trên Firewall Checkpoint chúng ta chỉ nên cấu hình những giao thức được cho phép ra vào mạng. Những vấn đề liên quan đến user sẽ do Firewall ISA đảm nhiệm.

3. Cấu hình Firewall bên trong (Internal)

- Cho phép DMZ truy cập mạng cục bộ. Chúng ta có thể cấu hình rule cho phép chỉ có Server Smart Console có quyền kết nối và cấu hình các server vùng DMZ. Trong trường hợp có WebServer trên DMZ, cần truy cập với SQL Server mạng cục bộ. Chúng ta nên

tạo range Client gồm những địa chỉ IP của Web Server và chỉ cho những địa chỉ client được thiết lập truy cập.

Hình – Cấu hình rule trên Firewall Internal

- Chúng ta cấu hình để các Client trong mạng chứng thực bằng Radius Server Lưu ý : Tôi xin phép được đề xuất 2 trường hợp chứng thực user

- Máy Firewall không join domain, nhiệm vụ chứng thực sẽ được gửi yêu cầu đến cho RADIUS Server đảm nhiệm.

- Máy Firewall join domain, dùng cơ sở dữ liệu trên domain để chứng thực user. Khi đó chúng ta khơng cần dựng thêm 1 Radius Server.

Ở mơ hình này chúng tôi đề xuất phương án dựng thêm 1 Radius Serer để tăng tính bảo mật vì Firewall được đặt ở biên hệ thống Internal, dù hacker có truy xuất đến được ISA nhưng vẫn khơng tìm được tồn vẹn cơ sở dữ liệu bên trong vì cơ sở dữ liệu user được đặt ở máy Domain Controller.

Chúng tôi xin phép được khái quát về áp dụng các tính năng bảo mật tối ưu của Firewall Checkpoint cho hệ thống mạng:

1) Thiết lập các Rule, Security Policy quản lý các mạng con trong hệ thống của trường. Bảo mật hơn cho mạng wifi bằng các tính năng ngăn chặn tru nhập những website độc, và giới hạn thời gian, quyền truy nhập của Users…

2) Tính năng đáng kể IPS (Instrusion prevention systems) cần được sử dụng bảo vệ các Server hệ thống, nhằm phát hiện và ngăn chặn sự tấn công của tội phạm an ninh mạng, những tác nhân có nguy cơ gây ảnh hưởng đến uy tính nhà trường cũng như lợi dụng Website Hoa Sen để phát tán mã độc hại.Chúng ta có thể thiết lập Module đặt trước WebSever, MailServer và một Module đặt tại biên hệ thống.

3) Sử dụng chức năng ISP Redundancy để đảm bảo tính sẵn sàng của hệ thống

cũng như đảm bảo điều kiện kết nối Internet cho sinh viên và giảng viên nhằm tăng chất lượng dạy và học của trường.

4) Cơ chế Load Balancing cũng không kém phần quan trọng, cần được áp dụng triệt để để tăng năng suất làm việc cho các Server, đặt trưng là Server đăng ký môn học trực tuyến. Tránh tình trạng tắt nghẽn và quá tải lượng truy cập mạng.

5) Web nội bộ trường Đại Học Hoa Sen chỉ có thể được truy cập đối với những cá nhân có chức trách. Sử dụng tính năng bảo mật của Firewall Checkpoint để luôn đảm bảo sự nghiêm ngặt trong mỗi lần truy cập.

PHẦN 6: TÀI LIỆU THAM KHẢO 1. CheckPoint_R70_ReleaseNotes, August 27, 2009. 2. CP_R70_Firewall_AdminGuide, March 5, 2009. 3. CP_R70_IPS_AdminGuide, 701682 March 8, 2009. 4. CP_R70_PerformancePack_AdminGuide, March 8, 2009. 5. CP_R70_Security_Management_AdminGuide, 701676 March 8, 2009. 6. CP_R70_UserAuthority_AdminGuide, March 8, 2009.  Công cụ hỗ trợ: 1. Check_Point_SmartConsole_R75_Windows

Một phần của tài liệu xây dựng firewall và ips trên checkpoint (Trang 88 - 94)

Tải bản đầy đủ (PDF)

(94 trang)