Luận văn Xây dựng Firewall và IPS trên checkpoint

Khóa luận tốt nghiệp Xây dựng Firewall & IPS trên checkpoint PHIẾU GIAO ĐỀ TÀI KHÓA LUẬN TỐT NGHIỆP 1. Mỗi sinh viên phải viết riêng một báo cáo 2. Phiếu này phải dán ở trang đầu tiên của báo cáo 1. Họ và tên sinh viên/ nhòm sinh viên được giao đề tài (sĩ số trong nhóm: 2) (1) Ngô Hiệp Toàn ...................... MSSV: 081652 ................. khóa: 2008-2011 (2) Nguyễn Thị Phương Ngọc..... MSSV: 081651 ................. khóa: 2008-2011 Chuyên ngành : Mạng máy tính Khoa : Khoa Học - Công Nghệ......... 2. Tên đề tài : Xây dựng Firewall & IPS trên Checkpoint . 3. Các dữ liệu ban đầu: Firewall và IPS là thành phần bảo mật không thể thiếu trong hệ thống mạng máy tính, Checkpoint là sản phẩm firewall hàng đầu được dùng rất nhiều trong các mạng máy tính mà yêu cầu bảo mật được ưu tiên hàng đầu như ngân hàng. 4. Các yêu cầu đặc biệt: Sinh viên ngành mạng máy tính, có kiến thức bảo mật. 5. Kết quả tối thiểu phải có: 1.Trình bày hoạt động Firewall & IPS 2.Đưa ra giải pháp xây dựng Firewall&IPS trường Hoasen Ngày giao đề tài:……../………./……… Ngày nộp báo cáo: .…/……/…….. Họ tên GV hướng dẫn 1: Đinh Ngọc Luyện…….……Chữ ký: ……………… Ngày …. tháng … năm Đinh Ngọc Luyện i TRÍCH YẾU Trong đề án tốt nghiệp về đề tài “Xây dựng Firewall & IPS trên Checkpoint”. Tôi đã nghiên cứu về sản phẩm Checkpoint, các tính năng quản lí cũng như bảo mật bằng IPS (Intrusion Prevention Systems). Khác với phiên bản R65, phiên bản R70 đã có nhiều cải tiến trong giao diện cũng như tính năng nhằm cung cấp một môi trường làm việc hiệu quả hơn cho người quản trị hệ thống. Triển khai các tính năng tăng cường bảo mật như “User Authentication”,”Client Authentication”,”Session Authentication”, hay sử dụng một Module xác thực “Radius” chứng thực user. Cấu hình các rule để client trong mạng nội bộ có thể truy xuất dữ liệu vùng DMZ và cho phép client truy xuất web, thông qua những chính sách mà người quản trị cấu hình trên giao diện Smart Console. Sử dụng một máy Window Server 2003 kết nối trực tiếp vào Firewall dùng hệ điều hành Linux, mọi dữ liệu cấu hình thay đổi diễn ra tại giao diện Smart Console sẽ được tự động cập nhật trực tiếp lên Firewall Linux. Người quản trị cấu hình các chính sách(rule) nhằm hạn chế tầm hoạt động của người dùng mạng nội bộ. Sử dụng triệt để chức năng Chechpoint cung cấp:“IPS”, thay vì “SmartDefense” ở R65, thiết lập phát hiện và ngăn chặn những phương thức tấn công mạng như HPING, DDoS, LAND Attack ..v.v.. Theo dõi trạng thái cũng như những diến biến xảy ra trên Firewall thông qua giao diện SmartView Tracker, và SmartView Monitor. Để phát hiện kịp thời những truy nhập trái phép hay diễn biến bất thường thông qua tần suất truy nhập đến server. II MỤC LỤC TRÍCH YẾU ................................................................................................................... II NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN............................................................ 5 NHẬP ĐỀ ........................................................................................................................ 6 GIỚI THIỆU TỔNG QUAN ............................................................................................ 7 LỜI CẢM ƠN.................................................................................................................. 8 CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT ................................................................... 9 1.1 Định nghĩa bảo mật mạng.......................................................................................... 9 1.1.1 Các yếu tố cần quan tâm khi phân tích bảo mật mạng ...................................... 10 1.1.2 Các yếu tố cần được bảo vệ .............................................................................. 11 1.2 Các kiểu tấn công mạng .......................................................................................... 11 1.2.1 Thăm dò(reconnaissance) ................................................................................. 11 1.2.2 Đánh cắp thống tin bằng Packet Sniffers .......................................................... 11 1.2.3 Đánh lừa (IP spoofing) ..................................................................................... 12 1.2.4 Tấn công từ chối dịch vụ (Denial of services) .................................................. 13 1.2.5 Tấn công trực tiếp password............................................................................. 13 1.2.6 Thám thính(agent)............................................................................................ 13 1.2.7 Tấn công vào yếu tố con người: ....................................................................... 13 1.2.8 Các phương thức tấn công D.O.S thông thường ............................................... 14 1.2.9 Phương thức tấn công bằng Mail Relay ............................................................ 16 1.2.10 Phương thức tấn công hệ thống DNS .............................................................. 16 1.2.11 Phương thức tấn công Man-in-the-middle attack ............................................ 17 1.2.12 Phương thức tấn công Trust exploitation ........................................................ 17 1.2.13 Phương thức tấn công Port redirection ........................................................... 17 1.2.14 Phương thức tấn công lớp ứng dụng ............................................................... 18 1.2.15 Phương thức tấn Virus và Trojan Horse ......................................................... 18 1.3 Các mức độ bảo mật................................................................................................ 19 1.3.1 Quyền truy nhập:.............................................................................................. 19 1.3.2 Đăng nhập/Mật khẩu(login/password).............................................................. 19 1.3.3 Mã hóa dữ liệu(Data encryption)...................................................................... 19 1.3.5 Bức tường lửa (firewall)................................................................................... 20 1.4 Các biện pháp bảo vệ an toàn hệ thống.................................................................... 20 1.4.1 Quyền hạn tối thiểu (Least Privilege) ............................................................... 20 1.4.2 Bảo vệ theo chiều sâu (Defense in Depth) ....................................................... 20 1.4.3 Nút thắt (choke point) ..................................................................................... 21 1.4.4 Điểm xung yếu nhất (Weakest point) ............................................................... 21 1.4.5 Hỏng trong an toàn (Fail–Safe Stance) ............................................................. 21 1.4.6 Sự tham gia toàn cầu ........................................................................................ 22 1.4.7 Kết hợp nhiều biện pháp bảo vệ ....................................................................... 22 1.4.8 Đơn giản hóa.................................................................................................... 22 1.5 Các chính sách bảo mật ........................................................................................... 22 1.5.1 Kế hoạch bảo mật mạng ................................................................................... 23 1.5.2 Chính sách bảo mật nội bộ ............................................................................... 23 1.5.3 Phương thức thiết kế ........................................................................................ 24 1.6 Thiết kế chính sách bảo mật mạng........................................................................... 24 1.6.1 Phân tích nguy cơ mất an ninh ......................................................................... 24 1.6.2 Xác định tài nguyên cần bảo vệ ........................................................................ 24 1.6.3 Xác định các mối đe dọa bảo mật mạng ........................................................... 25 1.6.4 Xác định trách nhiệm người sử dụng mạng ...................................................... 26 1.6.5 Kế hoạch hành động khi chính sách bị vi phạm ................................................ 27 1.6.6 Xác định các lỗi an ninh ................................................................................... 28 1.7 Secure Sockets Layer (SSL) .................................................................................... 29 1.7.1 Mở đầu.............................................................................................................. 29 1.7.2 Nhiệm vụ và cấu trúc của SSL ......................................................................... 30 1.7.3 Phiên SSL và kết nối SSL ................................................................................. 32 1.7.4 SSL Record Protocol........................................................................................ 33 1.7.5 Alert Protocol.................................................................................................... 35 1.7.6 Change CipherSpec Protocol............................................................................ 35 1.7.7 Handshake Protocol ......................................................................................... 36 CHƯƠNG 2 : CHECKPOINT ....................................................................................... 37 2.1 Tổng quan về Checkpoint........................................................................................ 37 2.2 Access Control của Checkpoint Firewall ................................................................. 38 2.3 Các thành phần của Rule ......................................................................................... 38 2.4 Công dụng đặc biệt của Access Control .................................................................. 39 2.5 Authentication......................................................................................................... 39 2.5.1 Vai trò của User Authentication ........................................................................ 39 2.5.2. Tổng quan về User Authentication của Check Point Firewall ........................... 39 2.5.3. Các phương thức xác thực của Check Point Firewall........................................ 40 2.5.4. Các cơ chế xác thực sử dụng trên Firewall Check Point ................................... 40 2.5.4.1 VPN-1 & Firewall-1 Password.................................................................. 41 2.5.4.2 Operating System Password (OS Password).............................................. 42 2.5.4.3 RADIUS ................................................................................................... 43 2.5.4.4 TACACS .................................................................................................. 45 2.5.4.5 S/Key ........................................................................................................ 45 2.5.4.6 SecurID..................................................................................................... 47 CHƯƠNG 3 : FIREWALL ............................................................................................ 48 3.1 Công nghệ FIREWALL ......................................................................................... 48 a. Giải pháp Firewall của Checkpoint ....................................................................... 51 3.1.1 Smart Console : Bao gồm nhiều client nhỏ để quản lý các thành phần của NGX. Các client của Smart Console bao gồm: ..................................................................... 53 3.1.2 Smart Center Server ......................................................................................... 54 3.1.3 Security Gateway ............................................................................................. 55 3.2 Firewall Inspect Engine ........................................................................................... 55 3.3 SVN FOUNDATION.............................................................................................. 56 3.3.1 Secure Internal Communication ....................................................................... 56 3.4 SIC BETWEEN SMART CENTER SERVER AND CLIENTS .............................. 59 CHƯƠNG 4 : IPS .......................................................................................................... 60 4.1 Hệ thống ngăn chăn xâm nhập(IPS): ....................................................................... 60 4.1.1 Khái niệm IPS .................................................................................................. 60 4.1.2 Chức năng của IPS ........................................................................................... 61 4.2 Phân loại IPS.......................................................................................................... 65 4.2.1 NIPS ................................................................................................................ 65 4.2.1a Các khả năng của hệ thống xâm nhập mạng cơ sở ...................................... 67 4.2.1b Các thành phần của hệ thống ngăn chặn xâm nhập mạng cơ sở NIPS......... 69 4.2.2 HIPS ................................................................................................................ 69 4.2.2a Các khả năng của hệ thống ngăn chặn xâm nhập từ máy chủ(HIPS)........... 71 4.2.2b Các thành phần của HIPS:.......................................................................... 72 4.2.2.1 Gói phần mềm để cài đặt tại điểm cuối...................................................... 73 4.2.2.2 Hạ tầng quản lý để quản lý các agents này ................................................ 74 1. Trung tâm quản lý: ....................................................................................... 74 2. Giao diện quản lý: ........................................................................................ 75 4.3 Công nghệ ngăn chặn xâm nhập IPS ....................................................................... 78 4.3.1 Signature - Based IPS (Nhận diện dấu hiệu)...................................................... 78 4.3.2 Anomaly-Based IPS (Nhận diện bất thường)..................................................... 81 4.3.3 Policy-Based IPS .............................................................................................. 83 4.3.4 Protocol Analysis-Based IPS............................................................................ 83 PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN ...................................... 84 PHẦN 6: TÀI LIỆU THAM KHẢO .............................................................................. 89 NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... ................................................................................................... NHẬP ĐỀ Xã hội phát triển kéo theo sự tiến bộ của khoa học kĩ thuật. Những chiếc máy tính thông minh dần chiếm vai trò rất quan trọng trong cuộc sống ngày nay. Bất kỳ lĩnh vực nào cũng cần đến máy tính, một thiết bị xử lý và hơn thế nữa là không thể thiếu. Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn chặn sự xâm nhập và đánh cắp thông tin qua mạng, thông tin cá nhân trực tiếp và gián tiếp. Phát hiện và ngăn chặn sự tấn công của các Hacker nhằm đánh cắp dữ liệu và phá hoại tư liệu quan trọng là rất cần thiết. Thông qua đề án : “Xây dựng Firewall & IPS trên Checkpoint “. Chúng tôi giới thiệu tổng quan về xu hướng quản trị và bảo mật mạng hiện nay, cùng với nội dung tổng quan về Checkpoint, Firewall, IPS bằng các bước cấu hình và triển khai mô hình mạng. Giải pháp an toàn chúng tôi giới thiệu đến trong đề tài này là một sản phẩm của Checkpoint dựa trên nền tảng NGX, NGX là một cấu trúc cung cấp tính năng bảo mật cho end- to- end network, giúp cho doanh nghiệp bảo vệ các luồng traffic trong intranet, extranet… Ngoài ra còn làm cho network của enterprice được bảo mật và được quản lý bằng một Security Policy đơn cho toàn network. GIỚI THIỆU TỔNG QUAN  CHECKPOINT CheckPoint là một trong những nhà cung cấp hàng đầu về các sản phẩm bảo mật Internet. Đặc biệt là các dòng sản phẩm firewall cho các doanh nghiệp, cá nhân và các công nghệ mạng riêng ảo VPN. Với nền tảng NGX, CheckPoint cung cấp một kiến trúc bảo mật thống nhất cho một lọat các giải pháp bảo mật: bảo mật cho truy cập Internet, bảo mật mạng nội bộ, bảo mật Web, bảo mật người dùng nhằm bảo vệ các tài nguyên thông tin, quá trình truyền thông, các ứng dụng của doanh nghiệp.  FIREWALL Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống. Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network).  IPS Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó. IPS không dơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành đai mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng. LỜI CẢM ƠN Chúng tôi xin cảm ơn Thầy Đinh Ngọc Luyện đã hướng dẫn chúng tôi trong suốt quá trình thực hiện đề án: “Xây dựng Firewall & IPS trên Checkpoint”. Đề án trình bày những vấn đề tổng quan về bảo mật mạng, firewall, giới thiệu IPS - Hai hệ thống bảo vệ mạng hiệu quả hiện nay. CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT 1.1 Định nghĩa bảo mật mạng Bảo mật mạng là sự đảm bảo an toàn của toàn bộ hệ thống mạng tr