Alert Protocol được các bên sử dụng để mang các thông điệp của phiên liên quan tới việc trao đổi dữ liệu và hoạt động của các giao thức. Mỗi thông điệp của giao thức này gồm 2 byte. Byte thứ nhất chứa một trong hai giá trị là warning (1) và fatal (2) xác định tính nghiêm trọng của thông điệp. Khi một trong 2 bên gửi thông điệp có giá trị bít đầu tiên là fatal (2) thì phiên làm việc giữa 2 bên sẽ kết thúc ngay lập tức. Byte tiếp theo của thông điệp chứa mã lỗi xảy ra trong phiên giao dịch SSL.
1.7.6 Change CipherSpec Protocol
Đây là giao thức SSL đơn giản nhất. Nó chỉ chứa một thông điệp mang giá trị 1. Mục đích duy nhất của thông điệp này là làm chuyển trạng thái của một phiên từ “đang chờ” (pending) sang “bền vững” (fixed). Ví dụ khi 2 bên qui ước bộ giao thức nào sẽ sử dụng. Cả client và server đều phải gửi thông điệp loại này cho bên đối tác, sau khi đã trao đổi xong thì coi như hai bên đã đồng ý với nhau.
1.7.7 Handshake Protocol
Handshake protocol là bộ giao thức SSL phức tạp nhất. Giao thức này được sử dụng để khởi tạo phiên SSL giữa client và server. Thông điệp của giao thức này chứa rất nhiều loại thông tin, ví dụ các thuật toán mã hoá và các khoá mã mà 2 bên sẽ phải thoả thuận với nhau. Nhờ giao thức này các bên sẽ xác thực lẫn nhau và thoả thuận các tham số cho phiên làm việc sẽ được thiết lập. Quy trình thoả thuận giữa client và server được mô tả trong hình 4. Có thể chia quy trình này thành 4 pha.
Trong pha thứ nhất: một kết nối logic được thiết lập giữa client và server để thoả thuận các tham số của kết nối. Phía client gửi cho server một thông điệp client_hello chứa các dữ liệu như:
Version: phiên bản SSL cao nhất mà client có thể hỗ trợ, Random: dữ liệu chứa một tem thời gian 32 bít và một số ngẫu nhiên dài 28 byte.
Session ID: một giá trị số dùng làm định danh cho phiên. Nếu giá trị này khác 0 thể hiện client muốn cập nhật các thông số cho kết nối hiện tại hay muốn khởi tạo kết nối mới. Còn nếu bằng 0 thể hiện rằng client muốn khởi tạo một kết nối mới.
CipherSuite: danh sách các thuật toán mã hoá và phương pháp trao đổi khoá mà phía client hỗ trợ.
Phía server sẽ phản hồi lại bằng thông điệp server_hello có cấu trúc giống với thông điệp client_hello với các thông tin của server:
Version: phiên bản SSL thấp nhất mà server hỗ trợ.
Random: được sinh một cách độc lập với số ngẫu nhiên của client.
session ID: nếu session ID của client là khác 0 thì session ID của server sẽ giống của client. Nếu session ID của client bằng 0 thì trường session ID của server sẽ chứa định
CHƯƠNG 2 : CHECKPOINT
2.1 Tổng quan về Checkpoint
CheckPoint là một trong những nhà cung cấp hàng đầu về các sản phẩm bảo mật
Internet. Cung cấp một giải pháp toàn diện cho việc quản lý các thiết bị an toàn bảo mật với các tính năng: cấu hình các chính sách bảo mật, theo dõi các thiết bị, logging, quản lý các sự kiện và cung cấp cho nhà quản trị các báo cáo ở các mức độ khác nhau, đặc biệt là các dòng sản phẩm firewall dùng trong các doanh nghiệp, cá nhân và các công nghệ mạng riêng ảo VPN. Với nền tảng NGX, ngoài ra CheckPoint cung cấp một kiến trúc bảo mật thống nhất cho một lọat các giải pháp bảo mật: bảo mật cho truy cập Internet, bảo mật mạng nội bộ, bảo mật Web, bảo mật người dùng… nhằm bảo vệ các tài nguyên thông tin, quá trình truyền thông, các ứng dụng…của doanh nghiệp. Đặc biệt các sản phẩm của CheckPoint cho phép việc tích hợp với hàng lọat các dòng sản phẩm của hơn
350 hãng sản xuất thiết bị bảo mật nổi tiếng trên thế giới.
Tổng quan các sản phẩm bảo mật của CheckPoint.
- Eventia Analyzer: giúp đỡ người quản trị trong việc quản lý các sự kiện liên quan đến bảo mật. Eventia Analyzer cho phép quản lý tập trung, thời gian thực các thiết bị bảo mật Gateway của CheckPoint và sản phẩm của các đối tác của Checkpoint. Eventia tự động thu thập dữ liệu thông tin về các sự kiện, tình hình tấn công…, tối ưu hóa cách trình bày và cung cấp cho nhà quản trị một cái đầy đủ nhất về tình hình an ninh trên mạng.
- Eventia Report: Thu thập dữ liệu, thông tin từ các thiết bị bảo mật trên mạng sau đó trình bày một cách có hệ thống, dưới dạng báo cáo giúp cho tổ chức có thể sử dụng làm căn cứ đểđánh giá, xác định xem hiệu quả của chính sách bảo mật, tình hình an toàn bảo mật trên mạng …từ đó tối ưu hóa hiệu quả đầu tư. Eventia Reporter tập trung hóa việc báo cáo về các hoạt động của người dùng, các thiết bị bảo mật và thiết bị mạng.
- SmartCenter: Để đối phó với sự tấn công của tin tặc ngày càng phức tạp, chúng ta phải xây dụng hệ thống an ninh bảo mật theo chiều sâu bao gồm nhiều lớp: bảo mật vòng ngoài, bảo mật bên trong, bảo mật người dùng…CheckPoint đưa ra giải phép cho phép người quản trị có thể quản lý được môi trường phức tạp đó. Thông qua SmartCenter, nhà quản trị có thể thực hiện được tất cả các khía cạnh quản lý liên quan đến vấn đề bảo mật.
- SmartPortal: Cho phép người dùng, người kiểm tra… có thể xem được các chính sách bảo mật, tình trạng các thiết bị bảo mật và hoạt động quản lý của nhà quản trị.
- SmartView Monitor: Cho phép nhà quản trị có một cái nhìn tổng quan về hiệu năng hoạt động của các thiết bị mạng và thiết bị bảo mật từ đó, cho phép đưa ra những biện pháp kịp thời. Nó cho phép nhà quản trị xác định được tức thời những thay đổi lớn về traffic trên mạng, đặc biệt là những thay đổi nguy hiểm.
Các sản phẩm bảo mật vòng ngoài của CheckPoint, chủ yếu là các thiết bị VPN, cho phép kiểm soát việc truy cập vào các tài nguyên mạng nội bộ của doanh nghiệp từ bên ngoài. Đảm bảo chỉ những người được phép mới có quyền truy cập. Nổi bật nhất trong đó là dòng sản phẩm: Check Point VPN-1/firewall 1 Pro.
2.2 Access Control của Checkpoint Firewall
Check Point Security Gateway thường được đặt ở khu vực biên của hệ thống cần bảo vệ nhằm theo dõi và quản lý chặt chẽ mọi luồng dữ liệu đi ra và vào mạng. Người quản trị hệ thống có nhiệm vụđặt ra những chính sách bảo mật để bảo vệ an toàn cho hệ thống cũng như quản lý sự truy cập trong mạng. Chính sách bảo mật được triển khai bằng tập hợp có thứ tự những quy tắc (rules) trong Security Rule Base, một chính sách tốt là cơ sở tất yếu cho một hệ thống an toàn. Nguyên lý cơ bản của Rule Base là tất cả những hành động không được cho phép sẽ bị chặn. Rule Base là tập hợp những quy tắc (rules) định ra luồng dữ liệu nào được phép đi qua và luồng dữ liệu nào bị cấm.
2.3 Các thành phần của Rule
Source và Destination: chỉ ra nơi xuất phát và nơi đến của luồng dữ liệu, theo quy tắc của rule thì kết nối được thiết lập sẽ chấp nhận cả 2 chiều dữ liệu đi và về.
Service: đưa ra những giao thức, dịch vụ sẽ áp dụng thông qua Rule.
Action: hành động đưa ra cho kết nối được đề cập đến thông qua Rule.
Install On: đây là một chức năng nhằm tạo sự thuận lợi trong việc quản lý của người quản trị. Thành phần này chỉ ra nơi người quản trị cần triển khai Rule vừa tạo ra, có thể chỉ trên một Firewall riêng biệt hay tất cả Firewall của hệ thống.
Time: định ra thời gian có hiệu lực của Rule.
Ngoài những Rule được tạo bởi người quản trị, Security Gateway cũng tạo ra những Rule mặc định. Rule mặc định thường được dành cho những kết nối từ Security Gateway cho các dịch vụđiều khiển, cấu hình.
2.4 Công dụng đặc biệt của Access Control
Chống giả mạo địa chỉ: giả mạo địa chỉ là hiện tượng người tấn công thay đổi địa chỉ IP của gói tin nhằm mục đích xâm nhập trái phép vào bên trong hệ thống. Cơ chế chống giả mạo địa chỉ bảo đảm các gói tin có nguồn và đíchđến đúng với mỗi cổng trên Security Gateway. Một ví dụ về giả mạo địa chỉđó là người tấn công từ ngoài Internet, tức là cổng external của Gateway gửi vào một gói tin có địa chỉ là địa chỉ bên trong mạng nội bộ thì cơ chế chống giảđịa chỉ sẽ ngay lập tức chặn gói tin vì nó không xuất phát từ cổng bên trong mà là bên ngoài.
2.5 Authentication
2.5.1 Vai trò của User Authentication
User Authentication đảm bảo việc xác thực người dùng trong các kết nối tới tài nguyên của hệ thống công ty. Người dùng được cấp quyền truy cập đúng với chức trách và nhiệm vụ của họđối với hệ thống mạng.
2.5.2. Tổng quan về User Authentication của Check Point Firewall
Check Point Security Gateway xác thực người dùng thông qua nhiều cơ chế xác thực khác nhau. Đa số các cơ chế xác thực đều dựa trên nguyên tắc yêu cầu cung cấp tên người dùng và mật khẩu nhưng khác nhau ở vị trí lưu trữ thông tin xác thực, có cơ chế hông tin được lưu ngay trên Security Gateway trong khi số còn lại lưu thông tin trên các server chứng thực như RADIUS, TACACS…
2.5.3. Các phương thức xác thực của Check Point Firewall
User Authentication: Quản trị viên có thể cấp quyền cho một người dung trong mạng nội bộ truy cập bất kể dử dụng trên một máy tính riêng lẻ nào mà không ảnh hưởng đến các người dùng khác sử dụng cùng máy tính. User Authentication hoạt động trên các giao thức Telnet, FTP, HTTP và dịch vụ RLOGIN.
Session Authentication: Cung cấp cơ chế xác thực cho bất cứ dịch vụ nào và yêu cầu người dùng cung cấp thông tin của họ trong mỗi phiên xác thực. Phương thức này đòi
hỏi trên máy riêng của người dùng phải cài đặt phần mềm hỗ trợ, do đó phương pháp này không thích hợp cho các dịch vụ chứng thực HTTP khi họ mở nhiều kết nối cho mỗi phiên. Cơ chế này chỉ thực hiện được trên những máy cá nhân, tức chỉ có một người sử dụng, có thể xác thực được 1 IP trong 1 thời điểm nhất định.
Client Authentication: phương thức này cho phép nhiều người dùng kết nối cùng lúc từ những IP được ủy quyền từ máy chủ. Việc ủy quyền được triển khai trên mỗi máy đơn. Ưuđiểm chính của phương thức này là không hạn chế kết nối trên bất kì dịch vụ nào và cơ chế xác thực được thiết lập trong một khoảng thời gian nhất định. Giống với
Session authentication, Client Authentication cũng được triển khai trên những máy đơn.
+ Những phương pháp xác thực này cũng có thể được sử dụng cho truyền thông không được mã hóa. Chứng thực là điều cần thiết cho truyền thông truy cập từ xa bằng cách sử dụng SecuRemote / SecureClient.
2.5.4. Các cơ chế xác thực sử dụng trên Firewall Check Point
Cơ chế xác thực định nghĩa loại cơ sở dữ liệu xác thực cũngnhư giao thức cần để kết nối với cơ sở dữ liệu. Sau đây là những cơ chế có hỗ trợ trong Firewall Check Point.
VPN-1 & Firewall-1 Password OS Password RADIUS TACACS S/Key SecurID
Trong danh sách nêu trên chỉ có VPN-1 & Firewall-1 Password và S/Key là có cơ sở dữ liệu xác thực nằm trên Security Gateway, còn lại các cơ chế khác đều có cơ sở dữ liệu nằm bên ngoài
2.5.4.1 VPN-1 & Firewall-1 Password
Đây là cơ chế xác thực do Firewall Check Point cung cấp, cơ chế này xác thực user dựa trên chính cơ sở dữ liệu được tạo ra trên Security Gateway. Chiều dài tên user lên đến 100 ký tự số và chữ và mật khẩu phải có chiều dài nằm trong khoảng 4 tới 8 ký tự.
Hình trên cho thấy mỗi Module của hệ thống đều có lưu một bản sao của cơ sở dữ liệu và có khả năng tự xác thực user mà không cần chuyển yêu cầu xác thực cho cơ sở dữ liệu chính, điều đó cho thấy cơ sở dữ liệu xác thực user không chỉ nằm trên Management Server. Điều này giúp tăng hiệu suất hoạt động của hệ thống khi xác thực user.
2.5.4.2 Operating System Password (OS Password)
CheckPoint Security Gateway có thể xác thực bằng cách sử dụng tên người dùng và mật khẩu được lưu trữ trên hệ điều hành của máy mà trên đó Check Point Security Gateway được cài đặt. User cũng có thể sử dụng mật khẩu được lưu trữ trong một miền Windows. Không có phần mềm bổ sung.
Cơ chế xác thực thông qua OS Password cho phép các Module xác thực sử dụng chính cơ sở dữ liệu xác thực của hệđiều hành để xác thực cho user. Một ví dụđó là Module xác thực sẽ lấy dữ liệu về user thông qua Security Account Management (SAM) nếu Module đóđang hoạt động trên hệđiều hành Window Server.
Ta có thể thấy thông tin về user được lưu trên Management Server nhưng phần
password chỉ hiển hiện cơ chế là OS Password. Thông qua việc sử dụng cơ chế xác thực là OS Password thì khi một user kết nối và khai báo một user name trùng với user name có cơ chế OS Password thì các Module xác thực sẽ chuyển user name và password của user đó cho hệđiều hành để xác thực dựa trên cơ sở dữ liệu của chính nó.
Cơ chế này không được khuyến khích sử dụng vì hai nguyên nhân:
+ Cơ sở dữ liệu xác thực của user nằm trên hệđiều hành nên có thểđược sử dụng để kết nối thẳng vào Module xác thực gây nguy hiểm cho hoạt động của hệ thống.
+ Việc đồng bộ dữ liệu user trên các Module nếu hệ thống có nhiều Module sẽ gây khó khăn trong việc cấu hình triển khai cơ chế này, gây bất lợi cho người quản trị.
2.5.4.3 RADIUS
RADIUS là một cơ chế xác thực tập trung với cơ sở dữ liệu không nằm trên các Module xác thực mà nằm trên một Module riêng biệt (RADIUS Server). Ưu điểm chính của cơ chế
người quản trị chỉ cần cấu hình cơ sở dữ liệu user trên RADIUS Server và các Module xác thực sẽ xác thực user dựa trên RADIUS Server.
Tương tự như cơ chế OS Password, dữ liệu user vẫn xuất hiện trên cơ sở dữ liệu chính trên Management Server nhưng phần Password và chỉ đề cập đến cơ chế xác thực là RADIUS. Khi một user kết nối với user name trùng với user name có cơ chế xác thực là RADIUS thì các Module xác thực sẽ chuyển user name và password cho RADIUS Server thông qua các giao thức được định nghĩa trước và có sử dụng Shared Secret Key để bảo
2.5.4.4 TACACS
Xác thực user bằng cơ chế TACACS hoàn toàn tương tự với cơ chế RADIUS như.
TACACS và RADIUS đều nằm trong dịch vu AAA (Authentication Authorization Accounting) nhưng TACACS, ngoài khả năng xác thực tập trung, còn có thể quản lý và phân quyền trên những câu lệnh mà người dùng cấu hình các Server đầu cuối như kết nối Telnet đến các router Cisco.
2.5.4.5 S/Key
S/Key là một cơ chế xác thực One-Time Password (OTP), là “Mật khẩu dùng một lần” nhằm hạn chế những rủi ro có thể xảy đối với tài khoản. Người dùng sẽ sử dụng password khác nhau cho mỗi lần xác thực. OTP đảm bảo an toàn cho việc chuyển
dữ liệu trong qua trình xác thực đặc biệt là trong những môi trường broadcast và thông tin được gửi dưới dạng cleartext, nói cách khác OTP làm cho việc Sniffing trở nên vô nghĩa.
Khi user kết nối tới một thiết bị có yêu cầu xác thực bằng cơ chế S/Key thì S/Key Server sẽ gửi lại một giá trị số và một nguyên liệu để thực hiện phép băm cùng với Secret