Đồ án Tìm hiểu FireWall trên CheckPoint

KHOA KHOA HỌC VÀ CÔNG NGHỆ BÁO CÁO ĐỒ ÁN HƯỚNG NGÀNH ĐỀ TÀI: TÌM HIỂU FIREWALL TRÊN CHECKPOINT Người hướng dẫn : Thầy Đinh Ngọc Luyện Lớp : VT071 Sinh viên : Nguyễn Quỳnh; MSSV: 070073 Phù Sử Hùng; MSSV: 070156 HK09.2 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang i Lời Mở Đầu Check point software technologies, công ty hàng đầu thế giới về an toàn an ninh internet. Check point dẫn đầu thị trường an ninh thông tin toàn cầu trong lĩnh vực tường lửa và mạng riêng ảo. Check Point cung cấp các giải pháp an ninh vành đai, an ninh nội và an ninh trang web nhằm bảo vệ các thông tin kinh doanh, tài nguyên của mạng doanh nghiệp cũng như các ứng dụng, các nhân viên làm việc từ xa, các chi nhánh. Với công nghệ Stateful Inspection được phát minh Check Point Technology làm trung tâm, OPSEC (Open Platform for Security) được hình thành và mở rộng thêm sức mạnh các giải pháp của Check Point. Các giải pháp của Check Point được bán, tích hợp và dịch vụ bởi hệ thống mạng lưới 1900 đối tác của Check Point ở 86 nước. Đề tài của chúng tôi, chúng tôi chỉ nghiên cứu những tính năng Network Access, Connectivity và CoreXL từ đó đưa ra một giải pháp bảo mật dựa trên Firewall CheckPoint và các vấn đề đã nghiên cứu. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang ii Mục Lục Lời Mở Đầu ................................................................................................................. i Mục Lục ..................................................................................................................... ii Phần 1: Network Access ............................................................................................. 6 I. Access Control ................................................................................................ 6 1. Sự cần thiết của Access Control .................................................................. 6 2. Tổng quan về Access Control của Check Point Firewall ............................. 6 3. Các thành phần của Rule ............................................................................. 6 4. Công dụng đặc biệt của Access Control ...................................................... 7 5. Cấu hình Access Control ............................................................................. 8 II. Authentication .............................................................................................. 10 1. Vai trò của User Authentication ................................................................ 10 2. Tổng quan về User Authentication của Check Point Firewall .................... 10 3. Các phương thức xác thực của Check Point Firewall ................................. 10 4. Cấu hình phương thức xác thực trong Firewall Check Point ...................... 11 5. Các cơ chế xác thực sử dụng trên Firewall Check Point ............................ 15 5.1 VPN-1 & Firewall-1 Password .......................................................... 16 5.2 OS Password ..................................................................................... 17 5.3 RADIUS ............................................................................................ 18 5.4 TACACS ........................................................................................... 19 5.5 S/Key................................................................................................. 19 5.6 SecurID ............................................................................................. 21 6. Cấu hình các cơ chế xác thực .................................................................... 21 Phần 2 : Conectivity ................................................................................................. 26 I. Network Address Tranlation ......................................................................... 26 1. Địa Chỉ IP Private Và IP Public ................................................................ 26 2. NAT trong CheckPoint Security Gateway ................................................. 27 2.1 Static NAT ........................................................................................ 27 2.2 Hide NAT .......................................................................................... 28 2.2.1 Automactic Hide NAT và Static NAT trên CheckPoint Firewall .... 30 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang iii 2.2.2 NAT Table Expiration trong Hide NAT ......................................... 30 2.3 NAT Rule Base ................................................................................. 31 2.4 Destination NAT và vấn đề routing ................................................... 32 2.4.1 Static Destination NAT on Server Side .......................................... 33 2.4.2 Static Destination NAT on Client Side .......................................... 34 2.5 Automatic Và Manual ARP Proxy .................................................... 34 3. Cấu hình NAT trên Check Point Security Gateway ................................... 36 3.1 Cấu hình Global NAT ........................................................................ 36 3.2 Cấu hình Automactic NAT ................................................................ 38 3.2.1 Automatic NAT cho Node Object .................................................. 38 3.2.2 Automatic NAT cho một Network ................................................. 39 3.2.3 Sử dụng chức năng Hide behind Gateway trong chức năng Automatic Hide NAT ................................................................................ 41 3.2.4 Cấu hình NAT cho Address Range Object ..................................... 42 3.3 Cấu hình Manual NAT ...................................................................... 44 3.3.1 Cấu hình host route ........................................................................ 44 3.3.2 Cấu hình Proxy ARP ...................................................................... 45 3.3.3 Tạo Object cho Manual NAT rule .................................................. 46 3.3.4 Tạo Manual NAT Rule ................................................................... 46 II. ISP Redundancy............................................................................................ 48 1. Tổng quan ISP Rundundancy .................................................................... 49 2. Các chế động hoạt động của ISP Redundancy ........................................... 49 3. Cách hoạt động của ISP Redundancy ........................................................ 50 3.1 Kết nối từ trong firewall ra internet .................................................... 50 3.2 Kết nối từ phía ngoài internet vào bên trong mạng ............................. 50 4. Đổi trạng thái link theo yêu cầu và ISP redundancy script ......................... 52 5. Triển khai ISP Redundancy ....................................................................... 52 6. Cấu hình ISP Redundancy ......................................................................... 53 6.1 Domain và Địa chỉ IP ........................................................................ 53 6.2 Cấu hình Built-in mini DNS cho kết nối vào firewall ......................... 54 6.3 Cấu hình ISP Redundancy ................................................................. 55 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang iv III. ConnectControl – Server Load Balancing ................................................. 56 1. Tổng quan về ConnectControl ................................................................... 56 2. Các phương pháp dùng để cân bằng tải ..................................................... 57 3. Cách hoạt động của ConnectControl ......................................................... 58 3.1 Packet Flow ....................................................................................... 58 3.2 Các loại logical server ....................................................................... 58 3.2.1 HTTP logical server ....................................................................... 59 3.2.2 Logical server dành cho các dịch vụ khác ...................................... 60 4. Persistent server mode ............................................................................... 60 4.1 Persistent by server ............................................................................ 60 4.2 Persistent by service .......................................................................... 61 4.3 Persistent server timeout .................................................................... 61 4.4 Server Availability ............................................................................. 61 5. Cấu hình ConnectControl .......................................................................... 62 IV. Brigde Mode ............................................................................................. 63 1. Tổng quan brigde mode............................................................................. 63 2. Cấu hình.................................................................................................... 64 3. Xem Interface được Brigde bằng Command Line...................................... 65 Phần 3 : CoreXL ....................................................................................................... 66 1. Tổng quan về CoreXL ............................................................................... 66 1.1 Tổng quan về phân phối các vi xử lý.................................................. 66 1.2 Cấu hình mặc định của CoreXL ......................................................... 67 1.3 Xem cấu hình mặc định của CoreXL ................................................. 68 2. Phân phối lại các vi xử lý .......................................................................... 68 2.1 Phân phối thêm một vi xử lý cho SND ............................................... 68 2.2 Giảm số lượng instance ..................................................................... 69 2.3 Phân phối vi xử lý còn lại cho SND ................................................... 70 2.3.1 Trong trường hợp có Performance Pack ......................................... 70 2.3.2 Trong trường hợp không có Performance Pack .............................. 70 3. Phân phối vi xử lý cho việc ghi log ........................................................... 72 4. fw affinity Script ....................................................................................... 73 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang v Phần 4: Intrusion Prevention System – IPS ............................................................... 74 1. Tổng quan về IPS trong Firewall Check Point ........................................... 74 2. Phương thức hoạt động của Check Point IPS............................................. 74 3. Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS ............. 75 3.1 Port scan ............................................................................................ 75 3.2 DOS (Denial of Services) .................................................................. 78 Phần 5 : Giải pháp cho trường Đại học Hoa Sen ....................................................... 84 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 6 Phần 1: Network Access I. Access Control 1. Sự cần thiết của Access Control Tài nguyên của hệ thống mạng có thể có rất nhiều thành phần bên trong nó bao gồm networks, hosts, network services và các protocol. Từ đó đặt ra vấn đề về sự cần thiết phải có một công cụ để người quản trị mạng có thể kiểm soát sự truy cập vào nguồn tài nguyên của hệ thống. Access Control chỉ ra vùng nào có thể truy cập cũng như phân quyền cho người truy cập như thế nào trên vùng tài nguyên đó. Đồng thời, Access Control còn có thể xác thực người dùng nhằm kiểm soát việc ai quyền truy cập. 2. Tổng quan về Access Control của Check Point Firewall Check Point Security Gateway thường được đặt ở khu vực biên của hệ thống cần bảo vệ nhằm theo dõi và quản lý chặt chẽ mọi luồng dữ liệu đi ra và vào mạng. Người quản trị hệ thống có nhiệm vụ đặt ra những chính sách bảo mật để bảo vệ an toàn cho hệ thống cũng như quản lý sự truy cập trong mạng. Chính sách bảo mật được triển khai bằng tập hợp có thứ tự những quy tắc (rules) trong Security Rule Base, một chính sách tốt là cơ sở tất yếu cho một hệ thống an toàn. Nguyên lý cơ bản của Rule Base là tất cả những hành động không được cho phép sẽ bị chặn. Rule Base là tập hợp những quy tắc (rules) định ra luồng dữ liệu nào được phép đi qua và luồng dữ liệu nào bị cấm. 3. Các thành phần của Rule Source và Destination: chỉ ra nơi xuất phát và nơi đến của luồng dữ liệu, một khi kết nối đã được cho phép thì các gói tin trong kết nối đó sẽ được cho qua ở cả hai hướng đi và về. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 7 VPN: chỉ định Rule được áp dụng cho mọi kết nối hay chỉ dành riêng cho kết nối VPN.  Service: định ra giao thức, dịch vụ hay ứng dụng cần quản lý thông qua Rule.  Action: hành động định ra cho kết nối được đề cập đến thông qua Rule.  Track: những tùy chọn về việc ghi nhận lại hoạt động của Rule  Install On: đây là một chức năng nhằm tạo sự thuận lợi trong việc quản lý của người quản trị. Thành phần này chỉ ra nơi người quản trị cần triển khai Rule vừa tạo ra, có thể chỉ trên một Firewall riêng biệt hay tất cả Firewall của hệ thống.  Time: định ra thời gian có hiệu lực của Rule. Ngoài những Rule được tạo bởi người quản trị, Security Gateway cũng tạo ra những Rule mặc định. Rule mặc định thường được dành cho những kết nối từ Security Gateway cho các dịch vụ điều khiển, cấu hình. 4. Công dụng đặc biệt của Access Control Chống giả mạo địa chỉ: giả mạo địa chỉ là hiện tượng người tấn công thay đổi địa chỉ IP của gói tin nhằm mục đích xâm nhập trái phép vào bên trong hệ thống. Cơ chế chống giả mạo địa chỉ bảo đảm các gói tin có nguồn và đích đến đúng với mỗi cổng trên Security Gateway. Một ví dụ về giả mạo địa chỉ đó là người tấn công từ ngoài Internet, tức là cổng external của Gateway gửi vào một gói tin có địa chỉ là địa chỉ bên trong mạng nội bộ thì cơ chế chống giả địa chỉ sẽ ngay lập tức chặn gói tin vì nó không xuất phát từ cổng bên trong mà là bên ngoài. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 8 5. Cấu hình Access Control Lab 1: Tạo một Rule trong Firewall Check Point Bước 1: Vào tab Firewall trong Smart Dashboard, vào menu Rule > Add Rule > Bottom/Top Bước 2: Tùy chỉnh các thành phần của Rule để thực hiện mục đích của người quản trị Lab 2: Cấu hình chống giả mạo địa chỉ cho cổng External của Gateway Bước 1: Click chuột phải vào Firewall Object > Edit > Topology Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 9 Bước 2: Edit cổng External, qua tab Topology, check vào ô Perform Anti-Spoofing based on interface topology Bước 3: Lưu lại cấu hình. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 10 II. Authentication 1. Vai trò của User Authentication User Authentication đảm bảo việc xác thực người dùng trong các kết nối tới tài nguyên của hệ thống công ty. Người dùng được cấp quyền truy cập đúng với chức trách và nhiệm vụ của họ đối với hệ thống mạng. 2. Tổng quan về User Authentication của Check Point Firewall Check Point Security Gateway xác thực người dùng thông qua nhiều cơ chế xác thực khác nhau. Đa số các cơ chế xác thực đều dựa trên nguyên tắc yêu cầu cung cấp tên người dùng và mật khẩu nhưng khác nhau ở vị trí lưu trữ thông tin xác thực, có cơ chế thông tin được lưu ngay trên Security Gateway trong khi số còn lại lưu thông tin trên các server chứng thực như RADIUS, TACACS … 3. Các phương thức xác thực của Check Point Firewall User Authentication: người quản trị có thể cấp quyền cho một cá nhân truy cập khi người đó ngồi trên bất kỳ một máy tính nào mà không ảnh hưởng đến các người dùng khác sử dụng cùng máy tính. User Authentication hoạt động trên các giao thức Telnet, FTP, HTTP và dịch vụ RLOGIN. Session Authentication: là một phương thức xác thực được dùng cho bất kỳ dịch vụ nào và phương thức này yêu cầu người dùng cung cấp thông tin xác thực cho một phiên làm việc. Đối với phương thức xác thực này cần phải có một chương trình cài riêng trên máy của người dùng, vì thế phương thức xác thực này thường được sử dụng đối với máy cá nhân tức là chỉ có một user sử dụng máy tính đó. Client Authentication: phương thức này cho phép nhiều user thực hiện kết nối thông qua việc xác thực phân quyền cho một địa chỉ IP hay một máy xác định. Ưu điểm chính của Client Authentication chính là phương thức này có thể được sử dụng cho việc kết nối không hạn chế và không yêu cầu user phải nhập lại tên và mật khẩu trong quá trình làm việc. Tương tự như Session Authentication, Client Authentication cũng được triển khai trên máy đơn. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 11 4. Cấu hình phương thức xác thực trong Firewall Check Point Lab 1: Cấu hình User Authentication Bước 1: Cấu hình Rule trong Firewall Check Point Bước 2: Truy cập Web từ Client Bước 3: Nhập thông tin xác thực Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 12 Truy xuất trang Web www.google.com.vn thành công Lab 2: Cấu hình Client Authentication Bước 1: Cấu hình Rule trong Firewall Check Point Bước 2: Tùy chỉnh Client Authentication Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 13 Bước 3: Từ Client truy cập vào địa chỉ http://[IPfwCP]:900 Bước 4: Nhập thông tin xác thực Từ bây giờ có thể truy xuất Web không cần đăng nhập lại Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 14 Lab 3: Cấu hình Session Authentication Bước 1: Cấu hình Rule trong Firewall Check Point Bước 2: Tùy chỉnh Session Authentication Bước 3: Cài đặt Client Session Agent ở máy Client Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 15 Bước 4: Từ máy Client truy cập Web Nhập thông tin xác thực và người dùng sẽ truy cập thành công website 5. Các cơ chế xác thực sử dụng trên Firewall Check Point Cơ chế xác thực định nghĩa loại cơ sở dữ liệu xác thực cũng như giao thức cần để kết nối với cơ sở dữ liệu. Sau đây là những cơ chế có hỗ trợ trong Firewall Check Point.  VPN-1 & Firewall-1 Password  OS Password  RADIUS Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 16  TACACS  S/Key  SecurID Trong danh sách nêu trên chỉ có VPN-1 & Firewall-1 Password và S/Key là có cơ sở dữ liệu xác thực nằm trên Security Gateway, còn lại các cơ chế khác đều có cơ sở dữ liệu nằm bên ngoài. 5.1 VPN-1 & Firewall-1 Password Đây là cơ chế xác thực do chính Firewall Check Point cung cấp. Cơ chế này xác thực user dựa trên chính cơ sở dữ liệu được tạo ra trên Security Gateway. Chiều dài tên user lên đến 100 ký tự số và chữ và mật khẩu phải có chiều dài nằm trong khoảng 4 tới 8 ký tự. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 17 Hình minh họa trên cho thấy cơ sở dữ liệu xác thực user không chỉ nằm trên Management Server mà mỗi Module của hệ thống đều có lưu một bản sao của cơ sở dữ liệu đó và có khả năng tự xác thực user mà không cần chuyển yêu cầu xác thực cho cơ sở dữ liệu chính. Điều này giúp tăng hiệu suất hoạt động của hệ thống khi xác thực user. 5.2 OS Password Cơ chế xác thực thông qua OS Password cho phép các Module xác thực sử dụng chính cơ sở dữ liệu xác thực của hệ điều hành đ