Đề tài Tìm hiểu firewall trên checkpoint

t địa chỉ IP của một trong các card interface kết nối ra internet. Như trong hình, internal_network sẽ được NAT thông qua địa chỉ IP là 199.1.1.1 4. Chọn OK để hoàn tất và Install rule. CSG tự động sinh ra 2 rule như trong hình, cho những kết nối của những máy trong internal_network lúc này sẽ không cần NAT, chỉ NAT khi những máy trong mạng internal network truy cập ra bên ngoài. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 41 3.2.3 Sử dụng chức năng Hide behind Gateway trong chức năng Automatic Hide NAT Khi cấu hình chức năng Automatic Hide NAT ta có 2 lựa chọn sau đây :  Hide behind Gateway  Hide behind IP Address Nếu chọn chức năng Hide behind IP Addresss lúc này ta phải điền vào một IP cụ thể và IP này có thể là:  Địa chỉ IP của một trong những interface phía ngoài của firewall  Bất cứ một địa chỉ IP Public nào đó Ngoài ra ta có thể chọn chức năng Hide behind Gateway, lúc này mạng nội bộ bên trong sẽ được NAT bằng địa chỉ IP của interface phía server side của firewall. Khi một host bất kì truy cập ra internet lúc này interface với IP 199.1.1.1 sẽ là interface phía server của Client, do đó địa chỉ IP 199.1.1.1 là IP của interface của firewall sẽ được dùng để NAT cho Internal Network. Đồng thời nếu một máy trong internal network truy cập đến một server trong vùng DMZ thì lúc này địa chỉ IP của interface trong dùng DMZ 198.1.1.1 sẽ được dùng để NAT cho Internal Network. Bằng cách dùng chức năng Hide behind Gateway lúc này NAT rule sẽ có sự linh hoạt hơn so với Hide behind Gateway và có một số thuận lợi sau đây :  Trong trường hợp IP interface của firewall bị đổi điều này không làm ảnh Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 42 hưởng đến NAT rule và ta cũng không cần sửa đổi lại.  Ngoài ra nếu hệ thống mạng của ta chia làm nhiều vùng và có tính phức tạp thì Hide behind Gateway là một sự lực chọn thích hợp. 3.2.4 Cấu hình NAT cho Address Range Object Trong sơ đồ trên mạng Internal lúc này gồm những máy có nhu cầu được truy cập từ bên ngoài, internal host gồm những máy có địa chỉ IP từ 10.1.1.2 đến 10.1.1.100 và mang tính liên tục. Vì nhu cầu truy cập từ bên ngoài do đó những máy này cần được cấu hình static NAT. 1. Định nghĩa một dãy các địa chỉ bằng cách vào ManageNetwork ObjectsNewAddress RangesAddress Range. Đặt tên cho range IP và First IP Address 10.1.1.2 và Last IP Address là 10.1.1.100 2. Chuyển qua tab NAT, bật chức năng Automatic và chọn chức năng Static NAT. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 43 3. Điền vào Translate to IP Address là 192.1.1.2 điều này có nghĩa là lúc này địa chỉ IP 192.1.1.2 sẽ là địa chỉ bắt đầu và được NAT cho IP 10.1.1.2, CSG sẽ tự động tính đến địa chỉ kết thúc là 192.1.1.100. Cụ thể như sau :  10.1.1.2  192.1.1.2  10.1.1.3  192.1.1.3  ………..  10.1.1.100  192.1.1.100 4. Chọn OK để kết thúc và Install rule. Lúc này CSG sinh ra cùng lúc 3 rule như hình sau. Internal_range sẽ được NAT lúc truy xuất và ngoài và lúc bên ngoài truy cập vào Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 44 3.3 Cấu hình Manual NAT Để chức năng Manual NAT có thể hoạt động, trước khi cấu hình Manual NAT ta cần cấu hình 2 chức năng sau :  Host route: dùng để route một địa chỉ IP Public đến một địa chỉ IP Private trong mạng. Host route được dùng trong trường hợp static destination NAT.  Proxy ARP: Automatic ARP chỉ được hổ trợ với Automatic NAT rule, do đó với Manual NAT rule ta cần phải cấu hình để reply ARP request cho địa chỉ đã NAT. Proxy ARP chỉ cần khi có cấu hình static destination NAT. Trong nhưng phiển bản trước của CheckPoint chức năng client side destination NAT không được hổ trợ nên host route cần phải được cấu hình trước để gói tin được route trước khi NAT. Nhưng để Manual static detination NAT có thể hoạt động thì Proxy ARP vẫn phải được cấu hình. IP 199.1.1.1 dùng để NAT cho internal network IP 199.1.1.2 dùng để NAT cho nyweb01 3.3.1 Cấu hình host route Chức năng host route chỉ được dùng khi firewall không hổ trợ chức năng client side destination NAT, nên lúc nào destination NAT sẻ diễn ra theo kiểu server side. Trên cả hệ điều hành windows ta sử dụng lệnh: route add Đối với hệ điều hành linux ta sử dụng lệnh như sau: Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 45 route add / Ví dụ ta có thể dùng lệnh như sau nếu firewall không có chức năng client side destination NAT: route add –p 199.1.1.2 192.168.10.2 Địa chỉ 199.1.1.2 cùa nyweb01 sẽ được route đến địa 192.168.10.2 trong vùng DMZ trước khi được NAT. Thông số -p cho biết rằng lệnh route sẽ tồn tại trong bảng route tabling của hệ điều hành cho đến khi được xóa và không ảnh hưởng gì khi ta khởi động lại hay tắt firewall. 3.3.2 Cấu hình Proxy ARP Đề cấu hình chức năng Proxy ARP trên cả windows và linux ta cần tạo file local.arp, trước khi cấu hình cần phải biết địa chỉ MAC của interface phía Client Side. Trên Windows ta đùng lệnh ipconfig /all để xem địa chỉ MAC của card mạng, đối với hệ điều hành linux và Unix dùng lệnh ifconfig để xem. Tạo file local.arp có nội dung như sau: 199.1.1.2 00:01:02:3C:88:7A Sao đó dùng chép file local.arp vào 2 nơi sau: $FWDIR/state/ và $FWDIR/conf/ Khởi động lại firewall bằng lệnh cpstop và cpstart, sau đó dùng lệnh fw ctl arp xem kiểm tra lại chức năng ARP Proxy. Như ví dụ ở trên, sau khi cấu hình hoàn tất, lúc này bất cứ ARP request nào tìm địa chỉ MAC của IP 199.1.1.2 sẽ được firewall trả lời với địa chỉ MAC là 00:01:02:3C:88:7A. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 46 3.3.3 Tạo Object cho Manual NAT rule Trước khi tạo Manual NAT rule ta cần tạo các network object cho rule. Theo sơ đồ ta tạo các ojbect sau đây, các object này là thành phần để tạo thành một NAT rule : Loại Object Name Node Host nyweb01 IP Address: 192.168.10.2 Node Host nyweb01_public_add IP Address :199.1.1.2 Network internal_lan Network address: 10.1.1.0 Subnet mask :255.255.255.0 3.3.4 Tạo Manual NAT Rule Dùng SmartDashboard vào menu RuleAdd RulesTop, sau đó CheckPoint firewall tạo ra một rule mặc định như sau hình. Để chỉnh lại rule, ta click phải lên từng phần của rule và chọn add, để add một Object hay Protocol. Cấu hình Manual Static NAT Theo sơ đồ trong hình, nyweb01 là một web server bên trong mạng, để Client bên ngoài truy cập vào và chỉ sử dụng dịch vụ web (HTTP) trên nyweb01 và không sử dụng bất kì dịch vụ nào khác, nên lúc này ta cấu hình static destination nat cho nyweb01 và chỉ cần chuyển đổi NAT khi Client request HTTP đến nyweb01. Theo đó ta tạo một rule như sau: Sau khi tạo một rule mặc định, ta thay đổi rule theo yêu cầu ở trên : 1. Original Packet:  Source : giữa nguyên theo mặc định là any Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 47  Destination : click phải chọn add và dẫn đến nyweb01_public_add  Service: click phải chọn add và chọn HTTP 2. Translated Packet  Source : giữa nguyên theo mặc định là Original  Destination : click phải chọn add và dẫn đến nyweb01  Service: giữa nguyên theo mặc định là Original 3. Sau khi hoàn tất ta có rule như sau Vào Policy Install để cài đặt rule. Cấu hình Manual Hide NAT Theo sơ đồ, internal_lan là mạng nội bộ bên trong chỉ có nhu cầu truy cập một số dịch vụ thông dụng ngoài internet, do đó ta chỉ cần thực hiện NAT cho một số dịch vụ cho internal_lan. Tạo một rule mặc định và theo yêu cầu phía trên ta, thực hiện thay đổi rule cho protocol HTTP như sau: Sau khi tạo một rule mặc định, ta thay đổi rule theo yêu cầu ở trên : 1. Original Packet:  Source : click phải chọn add và dẫn đến internal_lan  Destination : giữa nguyên theo mặc định là any  Service: click phải chọn add và chọn HTTP 2. Translated Packet Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 48  Source : click phải chọn add và chọn chọn đến nyfw01, ntfw01 là tên của Security Gateway. Lúc này một menu hiện ra và có 2 lực chọn:  Static : chuyển đổi theo dạng 1:1  Hide : chuyển đồi cho nhiều host Do ta NAT cho mạng internal_lan nên ta chọn là Hide. Chọn OK.  Destination : giữa nguyên theo mặc định là Original  Service : giữa nguyên theo mặc định là Original 3. Hoàn tất tạo rule và install rule. Sau khi tạo hoàn tất rule có dạng như hình, biểu tượng nyfw01 lúc này sẽ có biểu tưởng H phía dưới, tượng trưng cho Hide NAT. Security Gateway sẽ tự động dùng IP của interface để NAT tùy theo destination IP của gói tin. II. ISP Redundancy Hầu hết các hệ thống mạng hiện nay sử dụng nhiều đường internet từ nhiều nhà cung cấp dịch vụ khác nhau, nhằm đảm bảo rằng internet phải được duy trì ổn định và sẵn sàng 24/24 nhưng vấn đề là làm thế nào sử dụng nhiều đường truyền một cách nhiệu quả nhất. Check Point cung cấp giải pháp để giải quyết cho vấn đề này, với Check Point VPN-1 & Firewall-1 R70 ta có thể duy trì nhiều đường link internet đồng thời hoặc chỉ dùng một đường link có băng thông cao nhất và các đường link còn lại dùng làm dự phòng. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 49 1. Tổng quan ISP Rundundancy Chức năng ISP Redundancy cho phép kết nối internet được duy trì liên tục và có thể thực hiện trên Check Point Security Gateway khi lúc này ta có nhiều interface kết nối đến nhiều ISP khác nhau và chức năng ISP Redundancy là một chức năng có sẵn trên Security Gateway mà không cần phải mua thêm bất cứ thiết bị phần cứng chuyên dụng nào. ISP Redundancy hổ trợ trên các nền tảng sao đây :  Red Hat Enterprise Linux 7.2 hoặc cao hơn  SecurePlatform / SecurePlatform Pro  IPSO ISP Redundancy liên tục giám sát các đường link từ có có thể chuyển hướng các kết nối theo hướng tốt nhất. ISP Redundancy hoạt động ở 2 chế độ sau đây :  Load Sharing  Primary/Backup 2. Các chế động hoạt động của ISP Redundancy Chức năng ISP Redundancy hoạt động hiệu quả nhất cho kết nối từ phía ngoài vào, Security Gateway sẽ xử lí các kết nối từ mạng trong ra internet theo cách sau đây :  Primary/Backup: Kết nối bằng đường link chính và chuyển sang đường link dự phòng khi đường link chính xảy ra sự cố. Khi đường link chính phục hồi thì những kết nối mới sẽ theo hướng đường link chính và những kết nối hiện tại sẽ theo đường link phụ cho đến khi các kết nối này hoàn tất.  Load Sharing: Sử dụng đồng thời tất cả đường link, kết nối sẽ được phân phối ngẩu nhiên theo từng link. Khi một trong các link bị xảy ra sự cố thì các kết nối mới sẽ đi theo các đường link còn lại. Đối với đi từ mạng bên ngoài vào phía bên trong ISP Redundancy cũng được sử dụng hiệu quả, lúc này CSG sẽ trả lại gói tin theo đường link mà nó đã đi vào. Trong mode Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 50 Load Sharing thì kết nối vào hướng bên trong sẽ được chuyển hướng qua lại giữa các link bằng việc chuyển đổi kết quả query DNS từ bên ngoài. ISP Redundancy giám sát các đường link liên tục, để giám sát đường link CSG sẽ kiểm tra cổng giao tiếp hiện có đang hoạt động hay không và chuyển default route hướng ra ISP thích hợp. Một cách khác để giám sát tình trạng đường link là người dùng có thể cấu hình một danh sách các host ngoài internet phải trả lời gói tin ICMP echo từ firewall, nếu không nhận được gói tin ICMP reply thì đường link lúc này được xem như đã down. 3. Cách hoạt động của ISP Redundancy 3.1 Kết nối từ trong firewall ra internet Trong chế độ Load Sharing, những kết nối sẽ được phân phối ngẩu nhiên giữa các đường link internet. Trong chế độ Primary/Backup thì các kết nối chỉ đi ra theo đường link chính (active). Hide NAT sẽ được sử dụng để thay đổi địa chỉ source IP của gói tin, gói tin đi ra bằng interface nào thì sẽ được NAT bằng IP của interface đó, điều này sẽ làm cho gói tin trả về sẽ đi theo cổng giao tiếp mà nó đã đi ra. Hide NAT lúc này phải được cấu hình bởi người dùng. 3.2 Kết nối từ phía ngoài internet vào bên trong mạng Khi Client kết nối từ phía bên ngoài vào một server bên trong mạng, lúc này Static Destination NAT sẽ được cấu hình bởi người dùng cho IP của server bên trong. Nếu có 2 đường link internet thì lúc này server (HTTP, FTP server… ) bên trong được NAT cùng lúc với 2 địa chỉ IP Public. Khi Client bên ngoài truy cập đến server bằng một trong 2 địa chỉ IP pubic, lúc này Client đầu tiên phải phân giải tên miền trước khi truy cập bằng IP. Quá trình ISP Redanduncy cho kết nối từ bên ngoài được xử lý nhu sau : Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 51 Client từ phía ngoài query tên miền www.testlab.com khi đó DNS query sẽ đi đến CSG, trong CSG có sẵn một mini-DNS lúc này CSG sẽ giữa lại DNS query trước khi nó đi đến DNS server và sẽ thay mặt DNS server trã lời DNS cho client. Nếu trong mini-DNS đã được cấu hình tên miền www.testlab.com, CSG sẽ trả lời lại DNS query như sau :  Primary/Backup : CSG sẽ trả lời lại với IP của đường Primary link (active link).  Load Sharing : CSG sẽ trả lại cùng lúc 2 địa chỉ IP (193.1.1.1; 193.1.2.1) và lần lượt hoán đổi chúng. Nếu trong trường hợp DNS không thể phân giải tên miền www.testlab.com thì nó sẽ chuyển DNS query đến DNS server 172.16.1.3. Khi Client nhận được IP sau khi phân giải tên miền thì lúc nào nó sẽ tiến hành kết nối đến địa chỉ IP mà nó nhận được. Trên CSG cần cấu hình Static Destination NAT cho IP 172.16.1.2 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 52 4. Đổi trạng thái link theo yêu cầu và ISP redundancy script Lệnh fw isp_link Lệnh fw isp_link dùng để thay đổi trạng thái đường link trên CSG, lệnh có thể được dùng đề kiểm tra hoạt động của ISP Redundancy hay để up hay down đường link trước khi CSG nhận biết sự thay đổi trạng thái đường link và tự động chuyển đổi. Lệnh có cú pháp như sau: fw isp_link [target] link-name up|down  tartget: tên của security gateway  link-name: tên của đường link đã được cấu hình trên CSG.  up|down : Trạng thái đường link ISP Redundancy Script Khi trạng thái của một đường link thay đổi thì một scipt sẽ chạy, tùy thuộc và trạng thái đường link up hay down script sẽ tự động chạy và thay đổi default route của CSG. Người dùng có thể xem và tùy chỉnh lại để chạy như theo như yêu cầu ở đường dẫn $FWDIR/bin/cpisp_update. 5. Triển khai ISP Redundancy Mô hình với hai interface ở phía ngoài Giải pháp dễ triển khai nhất mà 2 đường link internet cùng kết nối đến CSG theo 2 interface khác nhau Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 53 Mô hình với một interface ở phía ngoài Nếu chỉ có một giao tiếp với internet, ta dùng thêm 1 switch để kết nối với hai ISP. Lúc này ta có thể cấu hình cấu hình 2 subnet khác nhau trên cùng một card mạng. Nhưng CSG sẽ route về theo từng ISP khác nhau thông qua switch. 6. Cấu hình ISP Redundancy ISP Redundancy cho phép kết nối internet được duy trì liên tục theo cả hai hướng, kết nối từ phía ngoài và cả kết nối từ phía trong đi ra, để chức năng ISP Redundancy hoạt động 6.1 Domain và Địa chỉ IP Nếu trong hệ thống mạng có server và server này có nhu cầu truy cập từ bên ngoài ta cần đăng kí domain cho server này và DNS server phân giải tên miền cho server này cần đặt phía sao Security Gateway. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 54 Với mỗi ISP ta có một hoặc nhiều hơn một địa chỉ IP Pubic tùy theo yêu cầu và nhu cầu của hệ thống mạng, các địa chỉ IP này sẽ được dùng cho server bên trong mạng. Đối với tên miền (ví dụ www.testlab.com) ta phải trỏ về tất cả địa chỉ IP của server. Điều này có nghĩa là khi Client query tên miền www.testlab.com thì lúc này Client sẽ nhận cùng lúc nhiều địa chỉ IP tương ứng với tên miền. 6.2 Cấu hình Built-in mini DNS cho kết nối vào firewall Đề chức năng ISP Resundancy có thể hoạt động cho những kết nối từ bên ngoài vào trong ta có ta phải cấu hình chức năng Proxy DNS trên firewall. DNS này có chức năng giữa lại query DNS từ Client và thay mặt DNS trả lời cho Client. Hướng kết nối của Client sẽ phụ thuộc và kết quả trả lời tử DNS trên firewall. Để cấu hình chức năng Proxy DNS trên firewall ta thực hiện các sau: 1. Vào menu ManageNetwork Object. Tìm đến Security Gateway và chọn Edit. Vào Mục TopologyISP Redudancy, chọn Support ISP Redundancy. 2. Chọn Add để thêm vào hai interface kết nối với ISP, đặt tên cho các đường link, sau đó chọn interface kết nối đến ISP và đánh vào địa chỉ IP Next Hop. Chọn OK. Lần lượt làm cho đường link còn lại. 3. Chọn Enable DNS Proxy và chọn ConfigureAdd Điền vào Host Name và địa chỉ IP của hai interface kết nối với ISP. Chọn OK Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 55 4. Chọn OK đề hoàn tất. 6.3 Cấu hình ISP Redundancy Trước khi cấu hình, trong Security Rule Base cần tạo rule cho phép service DNS và những service khác kết nối từ ngoài vào nếu những server (vùng DMZ) có nhu cầu truy cập từ phía ngoài. Ngoài ra ta cũng cần tạo rule cho phía mạng bên trong truy cập service ngoài internet. Sau khi đã hoàn tất hai bước ở trên, vào menu ManageNetwork Object. Tìm đến Security Gateway và chọn Edit, tiếp tục chọn TopologyISP Redundancy. Tại mục Redudancy Method ta có 2 lựa chọn :  Load Sharing mode  Primary/Backup mode Tùy theo mục đích và nhu cầu sử dụng ta chọn Redundancy Method. Ngoài ra ta để Client bên ngoài có thể kết nối đến server ta phải cấu cấu hình Destination NAT cho các server . Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 56 III. ConnectControl – Server Load Balancing Khi nhu cầu truy cập một server gia tăng, việc tối ưu hóa băng thông, tối ưu tốc độ của server không phải là một giải pháp hay và đó cũng là điều bất lợi khi tập trung vào một server, điều này sẽ làm giảm thời gian đáp ứng dịch vụ của server ngoài ra do việc bảo trì hoặc các sự cố ngoài ý muốn sẽ làm dịch vụ bị gián đoạn. Do đó chia sẽ kết đến một sever với nhiều server khác sẽ làm giúp giảm thời gian đáp ứng dịch vụ, giúp cho dịch luôn hoạt động 24/24. 1. Tổng quan về ConnectControl ConnectControl là một giải pháp của CheckPoint cho vấn đề cân bằng tải giửa nhiều server. ConnectControl sẽ phân chia traffic giữa các sever, điều này giảm việc phụ thuộc vào một server duy nhất, giảm thời gian đáp ứng dịch vụ và tăng sự ổn địch của dịch vụ. Cân bằng tải cho server được thực hiện bằng cách tạo ra một logical server và đại diện bằng một địa chỉ IP ảo, Client sẽ không nhận ra rằng có nhiều server đang đáp ứng dịch vụ. Logical server sẽ nhận yêu cầu từ Client và chuyển lại cho các server vật ly khác. ConnectControl là một chức năng có sẵn trong security gateway và không đòi hỏi thêm bộ nhớ hay CPU. ConnectControl kiểm tra khả năng đáp ứng dịch vụ trên từng server và chuyển tiếp traffic đến từng server, nếu trong trường hợp có một server xảy ra sự cố thì lúc này ConnectControl sẽ không chuyển tiếp traffic đến sever đó nữa cho đến khi sự cố được khắc phục. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 57 2. Các phương pháp dùng để cân bằng tải ConnectControl sẽ điều chỉnh traffic đến các server khác nhau để cân bẳng tải giữa các server theo nhiều cách khác nhau bao gồm những cách sau đây:  Server Load: ConnectControl sẽ đo tải trên từng server để quyết định xem server nào có khả năng đáp ứng dịch vụ tốt nhất. Mỗi server lúc này sẽ chạy một chương trình dùng để đo độ tải trên server và báo cáo về cho ConnectControl trên CSG.  Round Trip: để chắc rằng những request từ Client sẽ được đáp ứng với thời gian nhanh nhất. ConnectControl xác định thời gian đáp ứng của các server bằng cách ping các server 3 lần theo mặc định sao đó ConnectControl sẽ lấy tổng thời gian này chia cho 3 để lấy thời gian trung bình, ConnectControl sẽ chọn server nào có thời gian ngắn nhất. ConnectControl sau đó sẽ chuyển các request đến server đó.  Round Robin: ConnectControl sẽ chuyển tiếp các request đến server theo trình tự, phương pháp round robin sẽ tối ưu việc cân bằng tải giửa các server khi tất cả các server có cùng cấu hình như RAM và CPU và đặt trong dùng một đoạn mạng.  Random: ConnectControl sẽ chuyển tiếp đến các request đến các server một cách ngẩu nhiên, phương pháp này sẽ tối ưu việc cân bằng tải giửa các server Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 58 khi tất cả các server có cùng cấu hình như RAM và CPU và đặt trong dùng một đoạn mạng.  Domain: chuyển tiếp các request đến các server dựa theo domain. 3. Cách hoạt động của ConnectControl 3.1 Packet Flow Khi Client truy cập đến dịch vụ và dịch vụ đó đang được cân bằng tải bởi ConnectControl. 1. Client khởi tạo kết nối đến logical server bằng IP ảo 192.168.1.1 2. Tại security gateway, yêu cầu từ client thỏa mãn logical server rule trong firewall rule base, firewall sao đó sẽ chuyển request của client đến các server. 3. ConnectControl sẽ chuyển request đến server dựa theo phương pháp cân bằng tải đã được cấu hình. 3.2 Các loại logical server ConnectControl sẽ xử lý các request của Client theo những cách khác nhau tùy theo loại logical server (HTTP, FTP, Mail server…) Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 59 3.2.1 HTTP logical server HTTP logical server là loại server mà ConnectControl chuyên dùng để tiếp nhận các request HTTP từ client và chuyển tiếp đến server. HTTP logical server chỉ tiếp nhận duy nhất các HTTP request, việc chuyển tiếp phải chắc chắn rằng toàn bộ session của Client chỉ trao đổi với cùng một sever. Cơ chế chuyển đổi HTTP hoạt động trong sự kết hợp của phương pháp cân bằng tải của ConnectControl. Client đầu tiên khởi tạo mởi kết nối đến HTTP logical server. Lúc này ConnectControl sẽ báo cho Client rằng Client sẽ phải nối đến server nào tùy theo phương pháp cân bằng tải đã được cấu hình. Client tiến hành kết nối đến server theo địa chỉ IP của server mà ConnectControl đã báo về cho Client, những kết nối theo sau sẽ chuyển trực tiếp đến server và không cần sự can thiệp của ConnectControl. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 60 3.2.2 Logical server dành cho các dịch vụ khác Trên CSG cung cấp 2 loại logical server là HTTP logical server và một loại logical server dành cho tất cả các service khác bao gồm cả HTTP mà Check Point gọi là Other Logical Server. Other logical server sử dụng Destination NAT để chuyển kết nối của Client đến các server. Destination NAT sẽ thay đổi destination IP trong request của Client trong lúc đi vào và thay đổi địa chị source IP đi khi ra. 4. Persistent server mode 4.1 Persistent by server Persistent by server là một chức năng hửu ích dành cho HTTP logical server, trong trường hợp có nhiều server và chức năng Persistent by server được bật, lúc này ConnectControl sẽ chuyển kết nối HTTP của client đến một server cố định và những kết nối theo của Client này sẽ được chuyển đến cùng một server để tránh trường mất dữ liệu trong lúc trao đổi giữa server và client trong một session nếu Client được chuyển đến nhiều server trong cùng một session. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 61 4.2 Persistent by service Persistent by service là một chức năng hửu ích khi ta sử dụng nhiều dịch vụ trong cùng một server group, trong trường hợp ta chạy 2 dịch vụ FTP và HTTP trên cùng một server trong nhóm nhiều server cân bằng tải, sử dụng chức năng persistent by service lúc này cùng một Client nhưng dịch vụ HTTP và FTP sẽ được chuyển đến 2 server khác nhau để giảm tải cho server. 4.3 Persistent server timeout Persistent server timeout quy định khoảng thời gian mà Client duy trì kết nối đến cùng một server, do đó trong trường hợp server đó xảy ra sự cố Client có thể được chuyển đến server khác thậm chí khi chức năng persistent server mode vẫn đang hoạt động. 4.4 Server Availability Server Availity là chức năng cho phép CSG sẽ thường xuyên kiểm tra các server trong server group có còn hoạt động bình thường hay không. Người dùng có thể cấu hình lại khoảng thời gian và CSG sẽ ping để kiểm tra server đế chắc rằng server vẫn hoạt động tốt, trong trường hợp CSG không nhận được trã lời từ server thì ConnectControl sẽ không được chuyển đến server nữa. Đo tải trên server Load Agent Application là một chương trình của Check Point dùng để đo tải trên server và dựa vào khả năng chịu tải của server lúc nào ConnectControl sẽ chuyển kết nối đến cho server. Load Agent Application là một chương trình nhỏ gọn và dùng giao thức UDP để trao đổi với ConnectControl. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 62 5. Cấu hình ConnectControl Đề cấu hình ConnectControl, dùng SmartDashboard thực hiện các bước sau đây: 1. Vào ManageNetwork ObjectsNewNodeHost Lần lượt tạo các Object tương ứng với số Server hiện có mà tham gia vào cân bằng tải. 2. Tiếp tục vào NewGroupSimple Group. Tại đây ta tạo một server group gồm cá server sẽ tham gia vào nhóm cân bằng tải. Đặt tên cho server group và lần lượt chọn các server ở cột bên trái và chọn Move để di chuyển server vào group 3. Vào NewLogical Server, tại bước này ta tạo logical server đại diện cho các server tham gia vào cân bằng tải.  Chọn loại logical server và server group.  Có thể bật chức năng Peristent server mode và chọn loại Persistentcy by Server hay Persistency by Service  Chọn phương pháp cân bằng tải.  Bấm OK để hoàn tất 4. Tạo rule cho phép request từ Client đi đến Logical Server. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 63 5. Đối với HTTP Logical Server ta tạo rule cho phép Client kết nối đến các server sao khi đã được redirect bởi logical server 6. Vào PolicyGlobal PropertiesFirewall, bật chức năng Accept ICMP Request. 7. Từ menu PolicyGlobal Properties ConnectControl. Xem lại các thiết lập mặc định của ConnectControl. Server availability: quy định khoảng thời gian mà firewall sẽ ping các server nếu nó vẫn hoạt động, trong trường hợp server không trả lời thì server firewall sẽ quy định số lần ping lại. Server Persistency: Quy định khoảng thời gian mà kết nối của Client sẽ được đến cùng một server và sao khoảng thời gian này khì timer sẽ được reset cho kết nối mới Servers Load Balancing: quy định thời gian mà load measuring agent sẽ báo cáo đến firewall độ tải của nó và port mà agent sẻ dùng. IV. Brigde Mode 1. Tổng quan brigde mode Khi triển khai một firewall vào một hệ thống mạng đã có sẵn đòi hỏi lúc này phải cấu hình lại một số chức năng hoặc phải cấu hình lại toàn bộ hệ thống. Trong một số mạng có tính phức tạp cao thì đòi hỏi lúc này người quản trị phải cấu hình lại hệ thống để tương thích với hệ thống routing đã có sẵn. Check Point cung cấp một giải pháp cho phép người quản trị khi triển khai một firewall vào một hệ thống đã có sẵn mà không cần phải thay đổi địa chỉ IP của hệ thống hiện tại. Tuy nhiên lúc nào Check Point Security Gateway vẫn hoạt động như một firewall bình thường và không hạn chế bất kì chức năng nào của firewall. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 64 Brigde mode hoàn trong suốt đối với tất cả traffic của layer 3 và khi một traffic đi tới firewall, traffic sẽ được chuyển qua bình thường từ interface này sang interface khác mà không cần phải quan tâm gì đến vấn đề tại lớp 3. Bride mode hoạt động hoàn toàn tại lớp 2, brigde mode tạo ra một liên kết giữa 2 interface tại lớp 2, bất cứ traffic nào khi đi qua một trong nhiều interface sẽ luôn sao chép qua các interface khác. Lúc nào CSG có thể giám sát traffic bình thường mà không cần phải can thiệp vào vấn đề routing. Hạn chế của brigde mode  Chỉ hổ trợ từng cặp interface  Không hổ trợ khi sử dụng trong liên kết nhiều firewall (ClusterXL)  Hoạt động trên SecurePlatform 2. Cấu hình Brigde các interface Sử dụng giao diện WebUI cấu hình như sau: 1. Chọn Network Connection New Brigde Trước khi tạo một bridge connection thì các interface được bridge không được đặt địa chỉ IP. 2. Chọn interface để được Brigde, sau đó chọn Add. 3. Điền vào địa chỉ IP và Netmask sao cho cùng với Subnet hiện tại hoặc có thể điền 0.0.0.0. Bride Mode có thể hoạt động mà không cần địa chỉ IP. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 65 4. Chọn Apply. Sử dụng command line 1. Nhập lệnh sysconfig 2. Chọn NetworkAdd new connectionBridge 3. Chọn 2 interface cần bridge, chú ý hai interface này hiện tại không có địa chỉ IP. 4. Bấm phím N để tiếp tục. 5. Điền vào địa chỉ IP và Netmask hoặc để 0.0.0.0 3. Xem Interface được Brigde bằng Command Line Dùng lệnh brctl show để xem các interface đã được brigde. Lệnh brctl show phải được thực hiện trong mode Expert.  Bridde name : tên của card bridge  Bridge : địa chỉ MAC của card bridge, địa chỉ MAC này là địa chỉ MAC của 1 trong 2 card.  Interfaces : Các interface đã được bridge. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 66 Phần 3 : CoreXL 1. Tổng quan về CoreXL CoreXL là một công nghệ để tăng khả năng hoạt động của firewall bằng cách tận dụng khả năng cách tận dụng khả năng xử lý của nhiều vi xử lý để xử lý nhiều tiến trình cùng một lúc. Với công nghệ CoreXL thì số vi xử lý sẽ tỉ lệ thuận với khả năng xử lý của firewall, việc tăng khả năng xử lý của firewall chỉ thực hiện trên firewall mà không cần thay đổi bất cứ gì trên hệ thống mạng. Với công nghệ CoreXL thì kernel của firewall sẽ được sao chép tùy vào số lượng của vi xử lý, mỗi kernel hay instance của firewall sẽ được xử lý bởi một vi xử lý. CoreXL chỉ hổ trợ trên nền SecurePlatform, Nokia và Crossbeam. CoreXL không hổ trợ các tính năng sao đây :  Check Point QoS  Traffic view in SmartView Monitor  Firewall-1 GX  Route-based VPN  IP Pool NAT  IPv6  Overlaping NAT  SMTP resource 1.1 Tổng quan về phân phối các vi xử lý Phần chính trong kiến trúc của CoreXL là Secure Network Distributor (SND). SND trong CoreXL sẽ đãm nhiệm vai trò :  Xử lý những traffic đi vào các interface  Tăng tốc xử lý các gói tin trong trường hợp có Performance Pack Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 67  Phân phối các gói tin không được tăng tốc giữa các kernel Traffic khi đi vào các interface sẽ được chuyển hướng đến một vi xử lý và vi xử lý này chạy một SND. Việc liên kết một interface và một vi xử lý được gọi là interface’s affinity của vi xử lý đó. Việc gắn kết này sẽ làm cho traffic của interface được chuyển hướng đến vi xử lý và SND đang chạy trên vi xử lý đó. Ngoài ra, việc thiết lập một kernel hay một tiến trình (process) chạy trên một vi xử lý được gọi là kernel hay process’s affinity của vi xử lý đó. Mặc định, tất cả các interface sẽ liên kết với các vi xử lý không được gắn kết với kernel của firewall và cũng cùng với SND chạy trên vi xử lý đó. Mặc định sự gắn kết cho tất cả các interface với các vi xử lý là tự động. Sự gắn kết tự động có nghĩa là nếu có Performing Pack thì sự gắn kết của các interface sẽ được reset 60s một lần và cân bằng giữa các vi xử lý. Nếu không có Performing Pack thì tất cả các interface sẽ được gắn kết với các vi xử lý không được gắn kết với kernel của firewall. Khi một vi xử lý đã gắn kết với một kernel thì sẽ không gắn kết với một interface nào khác điều này đảm bảo cho CoreXL hoạt động hiệu quả nhất. 1.2 Cấu hình mặc định của CoreXL Trong cấu hình mặc định của CoreXL thì số lượng kernel sẽ tuân theo bảng sau đây: Cấu hình mặc định SND sẽ chạy trên các vi xử lý còn lại và số thứ tự các kernel sẽ được đánh số từ 0. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 68 1.3 Xem cấu hình mặc định của CoreXL Có thể xem được sự gắn kết của tất cả các interface, kernel của firewall với các vi xử lý bằng lệnh fw ctl affinity –l –a . Có thể xem chi tiết các kernel và sự gắn kết của nó bằng lệnh fw ctl multik stat. Nếu Perfoming Pack đang hoạt động thì lúc đó ta xem bằng lệnh sim affinity –l 2. Phân phối lại các vi xử lý 2.1 Phân phối thêm một vi xử lý cho SND Theo cấu hình mặc định của CoreXL thì tất cả các interface sẽ được gắn kết với các vi xử lý còn lại không gắn kết với kernel của firewall. Tuy nhiên trong một số trường hợp điều này là không tối ưu và sẽ làm cho SND hoạt động chậm, làm chậm khả năng xử lý traffic tại đầu vào. Do firewall có đủ vi xử lý để phân phối thêm cho một SND và giảm đi một vi xử lý cho một kernel. Để kiểm tra liệu SND có đang làm chậm traffic hay không ta thực hiện các bước sau: 1. Xác định vi xử lý nào hiện đang gắn kết với các interface : fw ctl affinity –l –r 2. Khi firewall trong tình trạng đang tải nặng, dùng lệnh top và kiểm tra giá trị idle trên các vi xử lý. Chỉ nên phân phối thêm một vi xử lý cho SND khi thoả các điều kiện sau: Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 69 1. Firewall có ít nhất 8 vi xử lý 2. Giá trị idle hiện tại của vi xử lý đang chạy SND từ 0%-5%. 3. Tổng giá trị các idle của các vi xử lý đang gắn kết với kernel lớn hơn 100%. Nếu khi không thoả các điều kiện ở trên thì cấu thì theo cấu hình mặc định thì một vi xử lý chạt SND là hiệu quả nhất và không cần phải cấu hình thay đổi bất cứ gì. Để phân phối thêm một vi xử lý cho SND ta tiến hành theo các bước sau : 1. Giảm số lượng kernel của firewall bằng công cụ cpconfig 2. Phân phối vi xử lý còn lại cho SND 3. Reboot lại firewall để cập nhật cấu hình mới 2.2 Giảm số lượng instance Để giảm số lượng kernel của ta thực hiện các bước sau : 1. Sử dụng lệnh /etc/fw/boot/fwboot bootconf set_kernnum k Với K là số lượng kernel muốn thiết lập 2. Reboot lại firewall để cập nhật cấu hình mới 3. Kiểm tra lại cấu hình bằng lệnh fw ctl multik stat Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 70 Ngoài ra có thể dùng công cụ cpconfig : 1. Chạy lệnh cpconfig 2. Chọn mục Cofigure Check Point CoreXL 3. Nếu chức năng CoreXL đã được bật, chọn mục Change the number of firewall instances và thiết lập số instance Nếu chức năng CoreXL chưa bật, bật chức năng CoreXL và chọn mục Change the number of firewall instances 4. Reboot lại firewall 2.3 Phân phối vi xử lý còn lại cho SND 2.3.1 Trong trường hợp có Performance Pack Khi có Performance Pack, sự gắn kết giữa các interface và vi xử lý sẽ được thực hiện bằng lệnh sim affinity Theo mặc định thì lệnh sim affinity sẽ được tự động, điền này có nghĩa là nếu Performance Pack chạy ở chế độ tự động thì sự gắn kết giửa các interface là vi xử lý còn lại sẽ được tự động bởi Performance Pack. Trong hầu hết các trường hợp thì không cần phải thay đổi thiết lập sim affinity. 2.3.2 Trong trường hợp không có Performance Pack Khi không có Performance Pack thì sự gắn kết giữa interface và vi xử lý sẽ được lấy từ file cấu hình tên là fwafinity.conf trong lúc boot, file này được lưu giử trong thư mục $FWDIR/conf. Trong file text này, kí tự i ở dòng đầu tiên đại điện cho sự liên kết giửa các interface và vi xử lý. Nếu có Performance Pack thì dòng này sẽ được bỏ qua. Nếu firewall chỉ có một vi xử lý chạy SND thì lúc này cách tốt nhất là để vi xử lý đó gắn kết với các interface với chế độ tự động mặc định, lúc này file cấu hình fwaffinity.conf sẽ có dạng như sau : i default auto Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 71 Nếu muốn cấu hình cho 2 vi xử lý chạy SND thì lúc này ta cần phải chỉ rỏ interface nào sẽ được gắn kết với vi xử lý nào trong trường hợp firewall có nhiều interface. Để thiết lập sự gắn kết giữa các interface khi Performance Pack không hoạt động ta làm như sau : 1. Thiết lập sự gắn kết giữa các interface và vi xử lý bằng cách chỉnh lại file cấu hình fwaffinity.conf. Mỗi dòng trong file này điều được bắt đầu bằng kí tự i và theo cú pháp sau đây : i với :  interfacename: tên của interface, ví dụ eth0, eth1…  cpuid: số thứ tự của vi xử lý Ví dụ firewall có 4 interface, từ eth0 đến eth3 và ta muốn thiết lập cứ 2 interface sẽ gắn kết với 1 vi xử lý, lúc đó file cấu hình fwaffinity có dạng : i eth0 0 i eth1 0 i eth2 1 i eth3 1 Ngoài ta có thể chọn một interface để gắn kết với 1 vi xử lý các interface còn lại sẽ gắn kết với interface còn lại lúc này ta sử dụng từ khoá default thay cho . Ví dụ file cấu hình fwaffinity có dạng như sau: i eth2 0 i default 0 2. Reboot lại firewall để cập nhật cấu hình mới. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 72 3. Phân phối vi xử lý cho việc ghi log Nếu firewall đòi hỏi cao cho việc ghi log ta có thể hình riêng cho việc ghi log một vi xử lý riêng bằng việc gắn kết fwd daemon với một vi xử lý. Giống như SND việc này bắt buộc phải giảm bớt một kernel để cấp cho fwd daemon. Để phân phối cho fwd daemon một vi xử lý ta tiến hành các bước sau: 1. Giảm số lượng của kernel của firewall 2. Gắn kết fwd với vi xử lý còn lại Gắn kết fwd deamon với vi xử lý Việc gắn kết fwd daemon với vi xử lý tương tự như SND, sau khi giảm số lượng kernel của firewall, ta thêm vào file cấu hình fwaffinity.conf với cú pháp sau đây: n fwd Ví dụ, ta muốn gắn kết fwd với vi xử lý số 2 sau khi giảm đi 1 kernel, thêm vào file fwaffinity.conf một dòng như sau: n fwd 2 Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 73 Khởi động lại firewall để cập nhật cấu hình. 4. fw affinity Script fwaffinity_apply là một đoạn script dùng để cập nhật cấu hình khi cấu hình CoreXL mà không cần phải reboot lại firewall. Script này được lưu giử tại $FWDIR/scripts và có cú pháp như sau: $FWDIR/scripts/fwaffinity_apply Với Option là những thông số sau đây: Option Mô tả -p Không cần in màn hình thông báo, chỉ cần in lổi khi xảy ra -t Cập nhật cấu hình cho từng loại liên kết với:  i: interface  n: Check Point fwd daemon  k:kernel của firewall Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 74 Phần 4: Intrusion Prevention System – IPS 1. Tổng quan về IPS trong Firewall Check Point IPS là gì: Một hệ thống chống xâm nhập ( Intrusion Prevention System –IPS) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP-Intrusion Detection and Prevention. Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh báo nhằm giảm thiểu công việc của người quản trị hệ thống. Hệ thống IPS được ra đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi. Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng của việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt động như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập. Ngày nay các hệ thống mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS cũ. Check Point IPS R70 là một hệ thống ngăn ngừa xâm nhập được tích hợp với Check Point Secutiry Gateway để tăng cường bảo vệ cho hệ thống. Check Point IPS với các kỹ thuật tiên tiến giúp tăng cường khả năng phòng thủ của hệ thống bằng cách kiểm soát luồng dữ liệu và so sánh nội dụng các gói tin với hơn 2000 định dạng của các kiểu tấn công nhẳm xác định sức ảnh hưởng của luồng dữ liệu đó đến hệ thống và đưa ra biện pháp ngăn chặn. Check Point IPS bảo vệ cả Server lẫn Client và cung cấp công cụ để điều khiển luồng dữ liệu trong mạng, phát hiện và ngăn chặn những hành vi gây nguy hiểm cho hệ thống. 2. Phương thức hoạt động của Check Point IPS Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 75  Phát hiện và ngăn chặn các phương pháp khai thác đã được biết.  Phát hiện và ngăn chặn các lỗ hỏng bảo mật trong hệ thống  Phát hiện và ngăn chặn việc lạm dụng các giao thức mạng để tấn công.  Phát hiện và ngăn chặn việc kết nối bất hợp pháp.  Phát hiện và ngăn chặn những kiểu tấn công thông dụng mà không cần nhận dạng trước. 3. Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS 3.1 Port scan  Giới thiệu Phương pháp Scan Port thường được thực hiện trực tiếp trên một host hoặc một mạng nhằm mục đích nhận biết các dịch vụ mà host đó cung cấp. Vi dụ: Web server thường mở port 80, FTP server thường mở port 21 … Attacker có thể dựa trên thông tin thu nhận được để tìm cách tấn công, khai thác vào server đó.  Nguyên lý Dựa trên phương thức truyền thông TCP ta có thể scan xem server mở port nào cũng như đóng port nào.  Sau đây là hai phương pháp scan port khá phổ biến: SYN Scan: Máy attacker sẽ gửi hàng loạt các gói tin TCP có port đích lần lượt là các port cần scan của server cần khai thác. Đặc điểm của các gói tin TCP này là chỉ bật cờ SYN như bước đầu trong quá trình bắt tay 3 bước của giao thức TCP. Từ đó, server Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 76 khi nhận được những gói tin này thì sẽ trả về gói SYN ACK nếu port đó có mở và attacker sẽ biết được dịch vụ nào đang được bật ở server đó. ACK Scan: đây là phương pháp scan thường được dung kết hợp với SYN Scan nhằm phát hiện sự có mặt của Firewall trong hệ thống. Nguyên tắc của ACK Scan là attacker sẽ gửi các gói TCP có bật cờ ACK lên. Server nhận được gói ACK sẽ trả về gói RST, khi đó attacker sẽ nhận biết được không có sự giám sát về session trong hệ thống. Còn khi có sự xuất hiện của một Firewall lớp Transport hay Multilayer Firewall thì những gói tin ACK gửi vào như thế chắc chắn sẽ bị drop. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 77  Lab mô phỏng Scan port về mức độ không gọi là nguy hiểm cho hệ thống và lại có tính tương đồng với việc truy cập bình thường nên hầu như các IPS hay IDS chỉ có tính năng phát hiện chứ không ngăn chặn hành động này. Check Point IPS cũng chỉ phát hiện và báo cho người quản trị biết thông qua việc thống kê việc truy xuất các port không mở trên server bên trong hệ thống. Nếu như việc truy xuất này diễn ra liên tục tới hàng trăm đến hàng nghìn port và đều xuất phát từ một host trong thời gian ngắn thì IPS sẽ xác định đây là hành động Scan Port Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 78 3.2 DOS (Denial of Services)  Giới thiệu Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính không thể sử dụng được nhằm vào những người dùng của nó. Mặc dù phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một cách không xác định. Thủ phạm tẩn công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.  Nguyên lý Sau đây là một vài những phương pháp tấn công từ chối dịch vụ khá phổ biến, trong đó chúng tôi chọn SYN Attack để thực hiện phần mô phỏng của bài viết này. Teardrop: Như ta đã biết , tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 79 định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu . Lợi dụng sơ hở đó , ta chỉ cần gởi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn. SYN Attack: Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ ip nguồn không có thực. Hệ thống đích khi nhận được các SYN packets này sẽ trả lời các gói SYN này đồng thời lưu các request này vào bộ nhớ để xử lý. Với hàng loạt gói tin như thế được chờ xử lý sẽ làm cho hệ thống quá tải, reboot … đạt được mục đích của tấn công DOS. Land Attack : cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ ip không có thực, hacker sẽ dùng chính địa chỉ ip của hệ thống nạn nhân. Điều này sẽ tạo nên một vòng lặp vô tận giữa trong chính hệ thống nạn nhân đó. Attack : Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công), mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân . Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets. Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot. Mô phỏng Trước hết nhóm chúng tôi thực hiện SYN attack trang web tự tạo bằng công cụ synflood.pl trên Backtrack và trên Check Point IPS chỉ để Detect chứ không Prevent ta sẽ có được kết quả như sau. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 80 Hàng loạt gói tin SYN từ một địa chỉ không có thực được gửi tới Web server Web server hoàn toàn tê liệt và không thể truy cập được Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 81 Đây là thông tin ghi nhận được trên Check Point IPS – Mode Detect Nguyên tắc phát hiện SYN flood của IPS thường dựa trên một bộ đếm, khi số lượng gói tin SYN gửi tới server từ cùng một host trong một khoảng thời gian là bất thường thì IPS sẽ xác định đó là tấn công SYN flood. Ví dụ: 300 gói tin trong vòng 10 giây. Web server đã phải xử lý quá nhiều gói SYN được gửi tới nên không còn khả năng đáp ứng cho các yêu cầu truy cập web khác nữa. Vấn đề sẽ được giải quyết sau khi chúng ta chuyển từ Detect sang Prevent trên Check Point IPS. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 82 Lúc này Check Point IPS đã chuyển sang Prevent Trang web đã có thể truy cập lại trong khi attacker vẫn đang SYN flood Và đây là phương thức chống SYN Attack của IPS Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 83 Dựa theo kêt quả ghi nhận được ta có thể thấy được nếu phát hiện SYN Attack Check Point IPS sẽ thực hiện một công việc để ngăn chặn tấn công đó là IPS sẽ tự động gửi lại gói tin RST tức Reset cho attacker hay nói cách khác mọi gói tin trong cuộc tấn công DOS này sẽ được trả về gói RST và Web Server sẽ không phải xử lý hàng loạt Request như thế nữa. Đồng thời IPS cũng sẽ gửi gói RST về cho Web Server với mục đích kết thúc những Session còn lưu của Web Server. Ta có thể nhận thấy vấn đề ngăn chặn DOS vẫn còn phụ thuộc vào khả năng xử lý của IPS nên đây chỉ là một phương pháp để giảm tới mức tối thiểu thiệt hại khi bị tấn công từ chối dịch vụ. Tìm hiểu Firewall trên Checkpoint Khoa Khoa Học Và Công Nghệ Trang 84 Phần 5 : Giải pháp cho trường Đại học Hoa Sen Do không nắm rõ về cấu trúc hệ thống của trường đại học Hoa Sen nên nhóm chúng tôi xin được đề xuất một vài ý kiến khái quát về việc sử dụng những tính năng của Firewall Check Point trong hệ thống mạng của Đại học Hoa Sen. 1) Sử dụng IPS để tăng cường khả năng bảo vệ cho các Server trong hệ thống trước những làn sóng tấn công của tội phạm mạng ngày càng tăng cao. Tuy chỉ là trang Web của trường học, mang tính chất giáo dục nhưng vẫn không thể không đề phòng những cuộc tấn công nhằm hạ thấp uy tín của trường cũng như lợi dụng Website của trường để phát tán mã độc. Kiến trúc IPS có thể bao gồm nhiều Module đặt trước những Server quan trọng như Web, Mail và một Module đặt ngay biên của hệ thống. 2) Sử dụng chức năng ISP Redundancy để bảo đảm tính sẵn sàng của hệ thống cũng như đảm bảo điều kiện kết nối Internet cho sinh viên nhằm tăng chất lượng dạy và học của trường. 3) Vận dụng các cơ chế Load Balancing cho các Server trường, đặc biệt là các Server đăng ký môn học để tăng năng suất hoạt động của hệ thống, tránh tình trạng tắt nghẽn hay Server hoạt động quá tải. 4) Vận dụng các Rule, Security Policy để quản lý các mạng con trong hệ thống của trường. Cụ thể là trong việc quản lý việc sử dụng mạng Wifi trường của sinh viên. Ví dụ như dùng Rule để chặn sinh viên truy cập vào những trang web không lành mạnh, giới hạn giờ truy cập Internet của sinh viên … 5) Cuối cùng và cũng không kém phần quan trọng đó là vận dụng các cơ chế bảo mật của Firewall Check Point trong việc xác thực người dùng vào các trang Web nội bộ của trường.