CHƯƠNG 1 : TỔNG QUAN
3.1. Áp dụng CC đánh giá thiết bị FIREWALL/VPN của NOKIA sử dụng giả
dụng giải pháp CHECKPOINT VPN-1/FIREWALL-1
3.1.1. Khái quát chung về FireWall/VPN Nokia
1. Firewall/VPN
- Firewall Nokia là thiết bị an toàn sử dụng hệ điều hành IPSO (hiện nay có khá nhiều phiên bản đang sử dụng nhưng trong phần áp dụng này tác giả đánh giá sản phẩm với phiên bản là IP130, IP350, IP380), đây là hệ điều hành được viết dựa trên nền tảng UNIX. Với phần mềm Check Point được cài đặt trên đó, Nokia trở thành một thiết bị an toàn mạnh với các chức năng chính của 1 Firewall và VPN. Phần mềm Check Point gồm có nhiều module, mỗi module đảm nhiệm một chức năng:
+ Floodgate-1: Quản lý băng thông người dùng + UserAuthority: quản lý Group và User chung cho tất cả các module của Check Point
+ VPN-1 & Firewall-1: Module quản lý VPN và Firewall, Management.
+ Reporting module: kết hợp với Log module để xuất ra các báo cáo thống kê dưới dạng đồ họa.
+ Real time Monitor: giúp người giám sát thời gian thực firewall: throughput traffic , CPU…
+ Policy server: module quản lý các policy cho các remote client.
Ngoài các module trên còn nhiều module khác nữa, tùy thuộc vào từng ngữ cảnh cụ thể của các tổ chức mà mua các phiên bản với các module khác nhau.
2. Check Point VPN-1/Firewall-1
a. Giải pháp VPN-1 Power
tốc các module an toàn để đáp ứng với yêu cầu về tốc độ của môi trường mạng. VPN-1 Power là sự kết hợp giữa công nghệ firewall hàng đầu Firewall-1 với công nghệ VPN tinh vi để đáp ứng cho các nhu cầu kết nối VPN trên Internet, trong mạng nội bộ hay kết nối với các đối tác bằng cách cung cấp kết nối an toàn cho các mạng trung tâm, các chi nhánh, người dùng từ xa, các đối tác. VPN-1 Power sử dụng công nghệ Kiểm soát trạng thái Stateful Inspection và Ứng dụng thông minh Application Intelligent để chống lại các tấn công tầng ứng dụng cũng như tầng mạng. Khách hàng có thể lựa chọn giải pháp VPN-1 Power cài đặt trên máy chủ hoặc thiết bị chuyên dụng tùy theo khả năng cũng như nhu cầu của mình.
Các tính năng của VPN-1:
■ Tăng tốc các module an toàn.
■ Bảo vệ các kết nối VPN bằng cách tích hợp công nghệ firewall. ■ Bảo vệ cho mạng và các ứng dụng.
■ Tạo các kết nối an toàn sử dụng IPSec, L2TP, SSL và xác thực mạnh. ■ Quản trị tập trung, tích hợp.
Các lợi ích của VPN-1:
■ Cung cấp khả năng bảo vệ nâng cao cho các ứng dụng trước các nguy cơ đã biết và chưa biết.
■ Nhiều lựa chọn bảo vệ cho các chi nhánh cũng như người dùng từ xa. ■ Giải pháp tốc độ cao đáp ứng với các yêu cầu tốc độ của mạng.
CheckPoint VPN-1 Power tích hợp giải pháp kiểm soát truy cập, xác thực và mã hóa để bảo vệ cho các kết nối mạng, xác thực người dùng từ xa và người dùng nội bộ, đồng thời nó cũng tích hợp tính năng chống xâm nhập để bảo vệ cho các ứng dụng. VPN-1 Power cũng bao gồm thêm một firewall bảo vệ ứng dụng Web như một lựa chọn nâng cao.
Tích hợp Firewall-1: Để bảo vệ hiệu quả cho mạng vành đai, bên trong và Web, các mạng VPN phải tích hợp tính năng firewall. VPN-1 Power bao gồm phần mềm hàng đầu trong lĩnh vực firewall đó là Firewall-1 bảo vệ cho tất cả các dịch vụ trên Internet sử dụng công nghệ kiểm soát trạng thái của hãng Check Point. VPN-1 Power hỗ trợ hơn 150 ứng dụng, dịch vụ, giao thức khác nhau, bao gồm cả các ứng dụng Web, truyền thông điệp, ngang hàng, Oracle SQL, RealAudio và các dịch vụ đa phương tiện.
Hình 3. 1: VPN-1 Power là giải pháp về an toàn và kết nối tốt nhất đã được minh chứng cho các doanh nghiệp với các chi nhánh từ xa
VPN-1 Power gồm nhiều sản phẩm và công nghệ khác nhau phục vụ cho các kết nối VPN từ xa, kết nối nội bộ hay kết nối đối tác như:
Công nghệ One-Click VPN
Với công nghệ One-Click VPN, các mạng VPN quy mô lớn có thể được tạo ra chỉ với một vài thao tác đơn giản. Bằng cách định nghĩa các thành phần tham gia mạng VPN thành các nhóm, một tổ chức có thể thiết lập các thông số an toàn cho toàn bộ một VPN như một intranet, extranet hoặc triển khai truy cập từ xa. Các thành phần trong một nhóm VPN tự động kết nối với nhau theo các thông số thiết lập cho từng nhóm VPN. Khi các site mới được bổ sung vào nhóm, chúng tự động được gán các thuộc tính của nhóm và tham gia mạng VPN như tất cả các thành viên khác trong nhóm.
Các khả năng thiết lập VPN site-to-site tiên tiến.
VPN-1 hỗ trợ mô hình truyền thống tạo các nhóm VPN với các địa chỉ IP tĩnh của các VPN gateway. Công nghệ mới của VPN-1 cho phép kết nối VPN dựa trên bảng định tuyến, mô hình kết nối VPN sẽ thay đổi tùy theo định tuyến trên mạng. Công nghệ này cho phép triển khai VPN mềm dẻo hơn và cho phép thiết đặt chính sách an toàn theo từng luồng VPN chứ không theo địa chỉ IP tĩnh như công nghệ cũ.
Xác thực mềm dẻo.
Các giải pháp của Check Point SecureVPN đưa ra nhiều lựa chọn xác thực bao gồm xác thực thẻ, RADIUS, và TACACS/TACACS. Ngoài ra, OpenPKI của VPN-1
cung cấp như Entrust, Verisign, và Baltimore Technologies tạo khả năng cho một tổ chức có thể quản lý những hệ thống IPSec VPN rất lớn. Với mô hình xác thực lai (Hybrid Mode Authentication), một tổ chức vẫn tận dụng được hệ thống xác thực mạnh đang dùng ví dụ như SecureID khi triển khai hệ thống IPSec. Những tổ chức muốn sử dụng phần mềm xác thực mạnh tích hợp sẵn "out of the box" có thể dụng Check Point One-Click Certificates. Với một Internal Certificate Authority có trong VPN-1 Power, các chứng thực số hoá X.509 được sinh ra và cấp cho các cổng VPN-1 và các máy trạm VPN-1 SecureClient. One-Click Certificate cung cấp tiêu chuẩn công nghiệp, sự xác nhận hai yếu tố mà không phức tạp và đắt như các hệ thống PKI khác.
Hỗ trợ nhiều công nghệ truy cập từ xa khác nhau.
VPN-1 Power cung cấp nhiều giải pháp kết nối từ xa khác nhau cho các máy trạm. SecureRemote cho phép người dùng tạo các kết nối an toàn VPN cơ bản. SecureClient cung cấp thêm tính năng firewall cá nhân bảo vệ cho các máy trạm với các chính sách an toàn tập trung. Integrity SecureClient cung cấp giải pháp toàn diện kết nối VPN và bảo vệ cho các máy trạm. SSL Network Extender, một thành phần Web plug-in, cung cấp giải pháp kết nối VPN SSL. VPN-1 Power cũng hỗ trợ Windown L2TP và các máy trạm Symbian.
Khi hệ thống firewall/VPN phát triển thì vấn đề tốc độ xử lý càng trở lên quan trọng. Check Point cung cấp framework SecureXL và công nghệ luồng cho phép các đối tác xây dựng các giải pháp VPN-1 tốc độ cao với giá thành hợp lý.
Tích hợp phân chia đường truyền QoS cho kết nối VPN
QoS là một yêu cầu cho tất cả các triển khai VPN yêu cầu tốc độ cao. Floodgate- 1 cho phép khách hàng ưu tiên băng thông dành cho các ứng dụng quan trọng.
Khả năng sẵn sàng cao và phân chia tải
ClusterXL cho phép nhiều gateway VPN-1 cùng xử lý dữ liệu. Nếu một gateway bị lỗi, tất cả các kết nối sẽ được tự động chuyển sang các gateway còn lại để xử lý. Tốc độ của hệ thống tăng gần như tuyến tính khi lắp đặt thêm các gateway mới.
Không dừng
Tích hợp với các giao thức định tuyến động như OSPF, BGP, ClusterXL cung cấp giải pháp sẵn sàng cao toàn diện hơn.
Cân bằng tải VPN
Cân bằng tải VPN là giải pháp sẵn sàng cao và chia tải cho các kết nối VPN từ xa. Các kết nối VPN từ xa sẽ được phân phối giữa nhiều VPN gateway đặt tại nhiều vị trí địa lý khác nhau. Khi một VPN gateway bị lỗi, các máy trạm VPN sẽ tự động chuyển sang kết nối đến các VPN gateway còn lại.
b. Mô hình lab cài đặt
Phần mềm Check Point cài đặt trên Firewall Nokia theo 2 kiểu: Standalone và Distributed
Setup Standalone: Phần mềm Check Point với tất cả các module theo phiên bản của nó tất cả được cài đặt trên Firewall Nokia bao gồm Management module
Hình 3. 2: Mô hình Firewall Nokia Setup Standalone
Setup Distributed: Checkpoint software với tất cả các module VPN-1/Firewall-1
với các module kèm theo cài đặt trên Nokia Firewall, không bao gồm Management module. Management module được cài đặt trên máy windows server 2003.
Hình 3. 3: Mô hình Firewall Nokia Setup Distributed
3.1.2. Áp dụng CC vào đánh giá thiết bị Firewall/VPN của Nokia
3.1.2.1. Giới thiệu ST (Security Target)
a. Định nghĩa ST
Tiêu đề: Đánh giá mức EAL 4 của CC, thiết bị Firewall/VPN NOKIA phiên bản IP130, IP350, IP380 sử dụng Check Point VPN-
1/FireWall-1
Đích đánh giá TOE Thiết bị Firewall/VPN NOKIA Hệ điều hành Nokia IPSO 3.5, 3.5.1
Windows 2000
Phần cứng IP130, IP350, IP380 Security Platforms Yêu cầu
Tài liệu này sử dụng đích an toàn (ST) cho mức đảm bảo đánh giá EAL4 của CC để đánh giá thiết bị Firewall/VPN Nokia phiên bản IP130, IP350, IP380 sử dụng phần mềm Check Point VPN-1/ Firewall-1, từ các phần sau trở đi sẽ sử dụng thuật ngữ “sản phẩm” để chỉ thiết bị này. Đồng thời khi thuật ngữ “VPN-1” và “Firewall - 1” được dùng (riêng lẻ hoặc kết hợp) thì cũng coi như “sản phẩm”.
b. Tổng quan ST
Giới thiệu
Người đọc được coi như là đã biết về an toàn máy tính nói chung và các khái niệm và điều kiện đánh giá, đặc biệt những điều này được mô tả trong CC và CEM
Người đọc cũng coi như là biết các khái niệm và điều kiện về mạng cơ bản, Internet, TCP/IP, UNIX và Windows.
Tổng quan
Sản phẩm này cung cấp chức năng tường lửa và mạng riêng ảo để bảo đảm thông tin liên lạc giữa các mạng, và quản lý sản phẩm riêng.
Sản phẩm này giám sát liên lạc ngẫu nhiên giữa các mạng vật lý được kết nối tới hệ thống máy tính của sản phẩm và thuộc vào họ giao thức IP hoàn chỉnh. Sự giám sát này dựa vào thông tin chứa trong các tiêu đề giao thức và hệ thống máy tính của sản phẩm, bao gồm thông tin chung xuất phát từ một hoặc nhiều gói liên quan.
Việc giám sát cung cấp bởi sản phẩm bao gồm khả năng mã hóa, xác thực và xác nhận dữ liệu được đưa ra giữa việc lựa chọn một địa chỉ IP Internet trên mạng được bảo vệ bởi VPN-1/Firewall-1 cũng như các giao tiếp được thành lập với các thực thể xác thực. Nếu khả năng đó là cần thiết, tính an toàn của dữ liệu được duy trì để ngăn ngừa sự tiết lộ trái phép và tính đảm bảo an toàn của dữ liệu được áp dụng thông qua việc áp dụng vào một thông điệp mã hóa ngắn gọn chứa nội dung của mỗi gói dữ liệu
Sản phẩm cho phép các nhà quản trị tương tác với VPN/Firewall sử dụng quản lý giao diện đồ họa GUI của VPN-1/Firewall-1. Người dùng của sản phẩm trong trường hợp này được đăng ký giao tiếp thông qua tường lửa. Trong trường hợp Secureclient VPN-1, TOE cũng chấp nhận việc đăng ký từ xa để giao tiếp thông qua VPN/Firewall.
Lưu ý rằng TOE CC bao gồm chức năng tường lửa của sản phẩm và yêu cầu chức năng VPN của sản phẩm. Chức năng mật mã được bao phủ bởi một xác nhận FIPS (trong phạm vi này đã được giải quyết bằng cách xác nhận).
c. Sự tương thích CC
ST là mở rộng phần 2 với các yêu cầu chức năng trong mục 5 và là tương hợp phần 3 với các yêu cầu đảm bảo (EAL4) được xác định trong CC phần 3. Cấu trúc ST này phù hợp với CC qua các điểm sau:
a) Mục 1 là giới thiệu. b) Mục 2 mô tả TOE.
c) Mục 3 mô tả môi trường an toàn TOE. d) Mục 4 cung cấp các mục tiêu an toàn.
e) Mục 5 cung cấp các yêu cầu an toàn Công nghệ thông tin (IT). f) Mục 6 cung cấp các đặc tả sơ lược về TOE.
g) Mục 7 quy định cụ thể bất kỳ các khiếu nại Hồ sơ bảo vệ (PP). h) Mục 8 cung cấp lý do TOE.
3.1.2.2. Mô tả TOE (Target Of Evaluation)
a. Cấu hình tin cậy
Sản phẩm đã được sử dụng trong một “cấu hình đáng tin cậy” (được định nghĩa trong đoạn sau). Một số chức năng an toàn được yêu cầu riêng nhưng yêu cầu truyền thông của sản phẩm phải thực thi được trên các máy chủ và máy trạm riêng biệt.
Một “cấu hình đáng tin cậy” của sản phẩm là:
a) Chạy được trên bất kỳ nền tảng thiết bị an toàn (Security Appliance Platforms) và hệ thống máy tính từ các hệ thống máy trạm, máy chủ và hỗ trợ một trong các hệ điều hành sau:
i. Nokia IPSO 3.5, 3.5.1 ii. Windows 2000
b) Chạy trên một hệ thống máy tính hỗ trợ trên 128 cổng kết nối (lưu ý rằng sản phẩm sử dụng khái niệm về quản lý cổng và không sử dụng thuật ngữ tường lửa truyền thống của các mạng nội bộ và mạng bên ngoài).
c) Bao gồm:
i. Máy chủ quản lý chạy HĐH Windows 2000 trên mạng LAN an toàn ii. Giao diện người dùng đồ họa (GUI) nằm trên một máy trạm riêng biệt
chạy HĐH Windows 2000 cũng là một phần của mạng LAN an toàn giống như máy chủ.
iii. Một SecureClient VPN-1 nằm trên một máy từ xa bên ngoài mạng LAN an toàn nhưng vẫn là một phần của mạng chung. Thì máy có SecureClient VPN-1 cũng phải chạy HĐH Windows 2000.
iv. Một số mô-đun VPN-1/FireWall-1 chạy trên một trong những Secure Platform như trên, có thể hoặc không nằm trên cùng một mạng LAN an toàn như máy chủ; mô-đun VPN-1/FireWall-1 có thể được cấu hình sao cho hai mô-đun tạo thành một cặp sẵn sàng cao bằng cách sử dụng giao thức dự phòng định tuyến ảo (VRRP – Virtual Router Redundancy Protocol) thực hiện trong IPSO.
v. Một máy chủ thực thi cài đặt Firewall-1/VPN-1 trong cùng một mạng LAN an toàn và máy chủ quản lý
d) Được cấu hình, điều khiển và theo dõi bằng giao diện đồ họa liên lạc với máy chủ quản lý; máy chủ quản lý sau đó sẽ cấu hình mô-đun tường lửa và thông qua máy chủ Policy tải các Desktop Policy cho các máy trạm.
e) Đã được cài đặt, cấu hình và bắt đầu giống như mô tả trong bắt đầu với VPN- 1/FireWall-1 [GET_START] và [OP_DOC].
Sản phẩm này hoạt động ở hai chế độ:
a) Giống như một tường lửa sử dụng “Công nghệ kiểm soát trạng thái” (Stateful Inspection Technology) để kiểm tra tất cả các gói dữ liệu (hỗ trợ cả họ giao thức IP hoàn chỉnh) thông qua kết nối giữa mạng và sản phẩm, nhanh chóng chặn tất cả các giao tiếp không mong muốn.
b) Như một mạng riêng ảo (VPN) được sử dụng để thiết lập một kênh liên lạc an toàn qua một mạng không an toàn (như Internet) bằng cách sử dụng hai Check Point Firewall hoặc một Check Point Firewall và một a SecureClient
Hai chế độ là đồng thời, sản phẩm có thể sử dụng cả hai chức năng đối với việc giao tiếp khác nhau cùng/hoặc không cùng ở hai giai đoạn khác nhau của quá trình xử lý một giao tiếp đơn lẻ.
Thực thi các quyền truy cập và kiểm soát giao tiếp là một phần của sản phẩm được thực hiện tại các mô-đun Firewall-1/VPN-1 và tại SecureClients VPN-1. Việc Quản lý và giám sát của sản phẩm được hỗ trợ bởi các thành phần còn lại tức là GUI, máy chủ quản lý (Management Server) và máy chủ chính sách (Policy Server). Tóm lại, việc quản lý đòi hỏi định nghĩa và phân phối Firewall một cách thích hợp hoặc Desktop Security Policy cho các mô-đun thực thi, trong khi giám sát đòi hỏi việc thu thập và kiểm tra/phân tích thông tin trạng thái và đăng nhập tạo ra ở các mô-đun thực thi.
Việc đánh giá sản phẩm bao gồm tính an ninh hoặc các tính năng an toàn liên