Check Point được khẳng định là người dẫn đầu thị trường an ninh thông tin toàn cầu trong cả lĩnh vực Tường lửa và Mạng riêng ảo (VPN). Với dòng sản phẩm Next Generation, công ty cung cấp một dải rộng các giải pháp an ninh Vành đai ( Perimeter), an ninh Nội bộ (Internal) và an ninh trang Web nhằm bảo vệ các thông tin kinh doanh, tài nguyên của mạng doanh nghiệp cũng như các ứng dụng, các nhân viên làm việc từ xa, các chi nhánh và các mạng extranet đối tác.
Với công nghệ nổi tiếng Stateful Inspection được phát minh và đăng ký bản quyền bởi Check Point Technology làm trung tâm, OPSEC (Open Platform for Security) được hình thành và mở rộng thêm sức mạnh các giải pháp của Check Point. OPSEC là một tổ chức liên minh công nghiệp tích hợp và tạo tương thích các sản phẩm an toàn an ninh tốt nhất “best-of-breed” từ hơn 350 công ty dẫn đầu.
Nội dung tài liệu gồm :
I.Access Control
II.Authentication
III. Cau hinh NAT
IV.Cau hinh ISP redundancy
V.Cau hinh server load blancing
V.Cau hinh Firewall
VI.Cau hinh IPS
85 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 4784 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Đề tài Tìm hiểu firewall trên checkpoint, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
t địa chỉ IP của một trong các card interface kết nối ra internet.
Như trong hình, internal_network sẽ được NAT thông qua địa chỉ IP là
199.1.1.1
4. Chọn OK để hoàn tất và Install rule.
CSG tự động sinh ra 2 rule như trong hình, cho những kết nối của những máy
trong internal_network lúc này sẽ không cần NAT, chỉ NAT khi những máy
trong mạng internal network truy cập ra bên ngoài.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 41
3.2.3 Sử dụng chức năng Hide behind Gateway trong chức năng Automatic
Hide NAT
Khi cấu hình chức năng Automatic Hide NAT ta có 2 lựa chọn sau đây :
Hide behind Gateway
Hide behind IP Address
Nếu chọn chức năng Hide behind IP Addresss lúc này ta phải điền vào một IP cụ thể
và IP này có thể là:
Địa chỉ IP của một trong những interface phía ngoài của firewall
Bất cứ một địa chỉ IP Public nào đó
Ngoài ra ta có thể chọn chức năng Hide behind Gateway, lúc này mạng nội bộ bên
trong sẽ được NAT bằng địa chỉ IP của interface phía server side của firewall.
Khi một host bất kì truy cập ra internet lúc này interface với IP 199.1.1.1 sẽ là
interface phía server của Client, do đó địa chỉ IP 199.1.1.1 là IP của interface của
firewall sẽ được dùng để NAT cho Internal Network. Đồng thời nếu một máy trong
internal network truy cập đến một server trong vùng DMZ thì lúc này địa chỉ IP của
interface trong dùng DMZ 198.1.1.1 sẽ được dùng để NAT cho Internal Network.
Bằng cách dùng chức năng Hide behind Gateway lúc này NAT rule sẽ có sự linh
hoạt hơn so với Hide behind Gateway và có một số thuận lợi sau đây :
Trong trường hợp IP interface của firewall bị đổi điều này không làm ảnh
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 42
hưởng đến NAT rule và ta cũng không cần sửa đổi lại.
Ngoài ra nếu hệ thống mạng của ta chia làm nhiều vùng và có tính phức tạp
thì Hide behind Gateway là một sự lực chọn thích hợp.
3.2.4 Cấu hình NAT cho Address Range Object
Trong sơ đồ trên mạng Internal lúc này gồm những máy có nhu cầu được truy cập
từ bên ngoài, internal host gồm những máy có địa chỉ IP từ 10.1.1.2 đến 10.1.1.100
và mang tính liên tục. Vì nhu cầu truy cập từ bên ngoài do đó những máy này cần
được cấu hình static NAT.
1. Định nghĩa một dãy các địa chỉ bằng cách vào ManageNetwork
ObjectsNewAddress RangesAddress Range.
Đặt tên cho range IP và First IP Address 10.1.1.2 và Last IP Address là
10.1.1.100
2. Chuyển qua tab NAT, bật chức năng Automatic và chọn chức năng Static
NAT.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 43
3. Điền vào Translate to IP Address là 192.1.1.2 điều này có nghĩa là lúc
này địa chỉ IP 192.1.1.2 sẽ là địa chỉ bắt đầu và được NAT cho IP 10.1.1.2,
CSG sẽ tự động tính đến địa chỉ kết thúc là 192.1.1.100. Cụ thể như sau :
10.1.1.2 192.1.1.2
10.1.1.3 192.1.1.3
………..
10.1.1.100 192.1.1.100
4. Chọn OK để kết thúc và Install rule. Lúc này CSG sinh ra cùng lúc 3 rule
như hình sau.
Internal_range sẽ được NAT lúc truy xuất và ngoài và lúc bên ngoài truy cập
vào
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 44
3.3 Cấu hình Manual NAT
Để chức năng Manual NAT có thể hoạt động, trước khi cấu hình Manual NAT ta cần
cấu hình 2 chức năng sau :
Host route: dùng để route một địa chỉ IP Public đến một địa chỉ IP Private trong
mạng. Host route được dùng trong trường hợp static destination NAT.
Proxy ARP: Automatic ARP chỉ được hổ trợ với Automatic NAT rule, do đó
với Manual NAT rule ta cần phải cấu hình để reply ARP request cho địa chỉ đã
NAT. Proxy ARP chỉ cần khi có cấu hình static destination NAT.
Trong nhưng phiển bản trước của CheckPoint chức năng client side destination NAT
không được hổ trợ nên host route cần phải được cấu hình trước để gói tin được route
trước khi NAT. Nhưng để Manual static detination NAT có thể hoạt động thì Proxy
ARP vẫn phải được cấu hình.
IP 199.1.1.1 dùng để NAT cho internal network
IP 199.1.1.2 dùng để NAT cho nyweb01
3.3.1 Cấu hình host route
Chức năng host route chỉ được dùng khi firewall không hổ trợ chức năng client side
destination NAT, nên lúc nào destination NAT sẻ diễn ra theo kiểu server side. Trên
cả hệ điều hành windows ta sử dụng lệnh:
route add
Đối với hệ điều hành linux ta sử dụng lệnh như sau:
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 45
route add /
Ví dụ ta có thể dùng lệnh như sau nếu firewall không có chức năng client side
destination NAT:
route add –p 199.1.1.2 192.168.10.2
Địa chỉ 199.1.1.2 cùa nyweb01 sẽ được route đến địa 192.168.10.2 trong vùng DMZ
trước khi được NAT. Thông số -p cho biết rằng lệnh route sẽ tồn tại trong bảng route
tabling của hệ điều hành cho đến khi được xóa và không ảnh hưởng gì khi ta khởi
động lại hay tắt firewall.
3.3.2 Cấu hình Proxy ARP
Đề cấu hình chức năng Proxy ARP trên cả windows và linux ta cần tạo file local.arp,
trước khi cấu hình cần phải biết địa chỉ MAC của interface phía Client Side.
Trên Windows ta đùng lệnh ipconfig /all để xem địa chỉ MAC của card mạng, đối với
hệ điều hành linux và Unix dùng lệnh ifconfig để xem.
Tạo file local.arp có nội dung như sau: 199.1.1.2 00:01:02:3C:88:7A
Sao đó dùng chép file local.arp vào 2 nơi sau: $FWDIR/state/ và $FWDIR/conf/
Khởi động lại firewall bằng lệnh cpstop và cpstart, sau đó dùng lệnh fw ctl arp xem
kiểm tra lại chức năng ARP Proxy.
Như ví dụ ở trên, sau khi cấu hình hoàn tất, lúc này bất cứ ARP request nào tìm địa
chỉ MAC của IP 199.1.1.2 sẽ được firewall trả lời với địa chỉ MAC là
00:01:02:3C:88:7A.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 46
3.3.3 Tạo Object cho Manual NAT rule
Trước khi tạo Manual NAT rule ta cần tạo các network object cho rule. Theo sơ đồ ta
tạo các ojbect sau đây, các object này là thành phần để tạo thành một NAT rule :
Loại Object Name
Node Host nyweb01 IP Address: 192.168.10.2
Node Host nyweb01_public_add IP Address :199.1.1.2
Network internal_lan Network address: 10.1.1.0
Subnet mask :255.255.255.0
3.3.4 Tạo Manual NAT Rule
Dùng SmartDashboard vào menu RuleAdd RulesTop, sau đó CheckPoint
firewall tạo ra một rule mặc định như sau hình.
Để chỉnh lại rule, ta click phải lên từng phần của rule và chọn add, để add một Object
hay Protocol.
Cấu hình Manual Static NAT
Theo sơ đồ trong hình, nyweb01 là một web server bên trong mạng, để Client bên
ngoài truy cập vào và chỉ sử dụng dịch vụ web (HTTP) trên nyweb01 và không sử
dụng bất kì dịch vụ nào khác, nên lúc này ta cấu hình static destination nat cho
nyweb01 và chỉ cần chuyển đổi NAT khi Client request HTTP đến nyweb01.
Theo đó ta tạo một rule như sau:
Sau khi tạo một rule mặc định, ta thay đổi rule theo yêu cầu ở trên :
1. Original Packet:
Source : giữa nguyên theo mặc định là any
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 47
Destination : click phải chọn add và dẫn đến nyweb01_public_add
Service: click phải chọn add và chọn HTTP
2. Translated Packet
Source : giữa nguyên theo mặc định là Original
Destination : click phải chọn add và dẫn đến nyweb01
Service: giữa nguyên theo mặc định là Original
3. Sau khi hoàn tất ta có rule như sau
Vào Policy Install để cài đặt rule.
Cấu hình Manual Hide NAT
Theo sơ đồ, internal_lan là mạng nội bộ bên trong chỉ có nhu cầu truy cập một số
dịch vụ thông dụng ngoài internet, do đó ta chỉ cần thực hiện NAT cho một số dịch
vụ cho internal_lan.
Tạo một rule mặc định và theo yêu cầu phía trên ta, thực hiện thay đổi rule cho
protocol HTTP như sau:
Sau khi tạo một rule mặc định, ta thay đổi rule theo yêu cầu ở trên :
1. Original Packet:
Source : click phải chọn add và dẫn đến internal_lan
Destination : giữa nguyên theo mặc định là any
Service: click phải chọn add và chọn HTTP
2. Translated Packet
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 48
Source : click phải chọn add và chọn chọn đến nyfw01, ntfw01 là tên
của Security Gateway. Lúc này một menu hiện ra và có 2 lực chọn:
Static : chuyển đổi theo dạng 1:1
Hide : chuyển đồi cho nhiều host
Do ta NAT cho mạng internal_lan nên ta chọn là Hide. Chọn OK.
Destination : giữa nguyên theo mặc định là Original
Service : giữa nguyên theo mặc định là Original
3. Hoàn tất tạo rule và install rule.
Sau khi tạo hoàn tất rule có dạng như hình, biểu tượng nyfw01 lúc này sẽ có biểu
tưởng H phía dưới, tượng trưng cho Hide NAT. Security Gateway sẽ tự động dùng IP
của interface để NAT tùy theo destination IP của gói tin.
II. ISP Redundancy
Hầu hết các hệ thống mạng hiện nay sử dụng nhiều đường internet từ nhiều nhà cung
cấp dịch vụ khác nhau, nhằm đảm bảo rằng internet phải được duy trì ổn định và sẵn
sàng 24/24 nhưng vấn đề là làm thế nào sử dụng nhiều đường truyền một cách nhiệu
quả nhất.
Check Point cung cấp giải pháp để giải quyết cho vấn đề này, với Check Point VPN-1
& Firewall-1 R70 ta có thể duy trì nhiều đường link internet đồng thời hoặc chỉ dùng
một đường link có băng thông cao nhất và các đường link còn lại dùng làm dự phòng.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 49
1. Tổng quan ISP Rundundancy
Chức năng ISP Redundancy cho phép kết nối internet được duy trì liên tục và có thể
thực hiện trên Check Point Security Gateway khi lúc này ta có nhiều interface kết nối
đến nhiều ISP khác nhau và chức năng ISP Redundancy là một chức năng có sẵn trên
Security Gateway mà không cần phải mua thêm bất cứ thiết bị phần cứng chuyên
dụng nào.
ISP Redundancy hổ trợ trên các nền tảng sao đây :
Red Hat Enterprise Linux 7.2 hoặc cao hơn
SecurePlatform / SecurePlatform Pro
IPSO
ISP Redundancy liên tục giám sát các đường link từ có có thể chuyển hướng các kết
nối theo hướng tốt nhất. ISP Redundancy hoạt động ở 2 chế độ sau đây :
Load Sharing
Primary/Backup
2. Các chế động hoạt động của ISP Redundancy
Chức năng ISP Redundancy hoạt động hiệu quả nhất cho kết nối từ phía ngoài vào,
Security Gateway sẽ xử lí các kết nối từ mạng trong ra internet theo cách sau đây :
Primary/Backup: Kết nối bằng đường link chính và chuyển sang đường link
dự phòng khi đường link chính xảy ra sự cố. Khi đường link chính phục hồi thì
những kết nối mới sẽ theo hướng đường link chính và những kết nối hiện tại sẽ
theo đường link phụ cho đến khi các kết nối này hoàn tất.
Load Sharing: Sử dụng đồng thời tất cả đường link, kết nối sẽ được phân phối
ngẩu nhiên theo từng link. Khi một trong các link bị xảy ra sự cố thì các kết nối
mới sẽ đi theo các đường link còn lại.
Đối với đi từ mạng bên ngoài vào phía bên trong ISP Redundancy cũng được sử dụng
hiệu quả, lúc này CSG sẽ trả lại gói tin theo đường link mà nó đã đi vào. Trong mode
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 50
Load Sharing thì kết nối vào hướng bên trong sẽ được chuyển hướng qua lại giữa các
link bằng việc chuyển đổi kết quả query DNS từ bên ngoài.
ISP Redundancy giám sát các đường link liên tục, để giám sát đường link CSG sẽ
kiểm tra cổng giao tiếp hiện có đang hoạt động hay không và chuyển default route
hướng ra ISP thích hợp. Một cách khác để giám sát tình trạng đường link là người
dùng có thể cấu hình một danh sách các host ngoài internet phải trả lời gói tin ICMP
echo từ firewall, nếu không nhận được gói tin ICMP reply thì đường link lúc này được
xem như đã down.
3. Cách hoạt động của ISP Redundancy
3.1 Kết nối từ trong firewall ra internet
Trong chế độ Load Sharing, những kết nối sẽ được phân phối ngẩu nhiên giữa các
đường link internet. Trong chế độ Primary/Backup thì các kết nối chỉ đi ra theo đường
link chính (active).
Hide NAT sẽ được sử dụng để thay đổi địa chỉ source IP của gói tin, gói tin đi ra bằng
interface nào thì sẽ được NAT bằng IP của interface đó, điều này sẽ làm cho gói tin trả
về sẽ đi theo cổng giao tiếp mà nó đã đi ra. Hide NAT lúc này phải được cấu hình bởi
người dùng.
3.2 Kết nối từ phía ngoài internet vào bên trong mạng
Khi Client kết nối từ phía bên ngoài vào một server bên trong mạng, lúc này Static
Destination NAT sẽ được cấu hình bởi người dùng cho IP của server bên trong. Nếu
có 2 đường link internet thì lúc này server (HTTP, FTP server… ) bên trong được
NAT cùng lúc với 2 địa chỉ IP Public.
Khi Client bên ngoài truy cập đến server bằng một trong 2 địa chỉ IP pubic, lúc này
Client đầu tiên phải phân giải tên miền trước khi truy cập bằng IP. Quá trình ISP
Redanduncy cho kết nối từ bên ngoài được xử lý nhu sau :
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 51
Client từ phía ngoài query tên miền www.testlab.com khi đó DNS query sẽ đi đến
CSG, trong CSG có sẵn một mini-DNS lúc này CSG sẽ giữa lại DNS query trước
khi nó đi đến DNS server và sẽ thay mặt DNS server trã lời DNS cho client.
Nếu trong mini-DNS đã được cấu hình tên miền www.testlab.com, CSG sẽ trả lời
lại DNS query như sau :
Primary/Backup : CSG sẽ trả lời lại với IP của đường Primary link (active
link).
Load Sharing : CSG sẽ trả lại cùng lúc 2 địa chỉ IP (193.1.1.1; 193.1.2.1) và
lần lượt hoán đổi chúng.
Nếu trong trường hợp DNS không thể phân giải tên miền www.testlab.com thì nó
sẽ chuyển DNS query đến DNS server 172.16.1.3.
Khi Client nhận được IP sau khi phân giải tên miền thì lúc nào nó sẽ tiến hành kết
nối đến địa chỉ IP mà nó nhận được. Trên CSG cần cấu hình Static Destination
NAT cho IP 172.16.1.2
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 52
4. Đổi trạng thái link theo yêu cầu và ISP redundancy script
Lệnh fw isp_link
Lệnh fw isp_link dùng để thay đổi trạng thái đường link trên CSG, lệnh có thể được
dùng đề kiểm tra hoạt động của ISP Redundancy hay để up hay down đường link
trước khi CSG nhận biết sự thay đổi trạng thái đường link và tự động chuyển đổi.
Lệnh có cú pháp như sau: fw isp_link [target] link-name up|down
tartget: tên của security gateway
link-name: tên của đường link đã được cấu hình trên CSG.
up|down : Trạng thái đường link
ISP Redundancy Script
Khi trạng thái của một đường link thay đổi thì một scipt sẽ chạy, tùy thuộc và trạng
thái đường link up hay down script sẽ tự động chạy và thay đổi default route của CSG.
Người dùng có thể xem và tùy chỉnh lại để chạy như theo như yêu cầu ở đường dẫn
$FWDIR/bin/cpisp_update.
5. Triển khai ISP Redundancy
Mô hình với hai interface ở phía ngoài
Giải pháp dễ triển khai nhất mà 2 đường link internet cùng kết nối đến CSG theo 2
interface khác nhau
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 53
Mô hình với một interface ở phía ngoài
Nếu chỉ có một giao tiếp với internet, ta dùng thêm 1 switch để kết nối với hai ISP.
Lúc này ta có thể cấu hình cấu hình 2 subnet khác nhau trên cùng một card mạng.
Nhưng CSG sẽ route về theo từng ISP khác nhau thông qua switch.
6. Cấu hình ISP Redundancy
ISP Redundancy cho phép kết nối internet được duy trì liên tục theo cả hai hướng, kết
nối từ phía ngoài và cả kết nối từ phía trong đi ra, để chức năng ISP Redundancy hoạt
động
6.1 Domain và Địa chỉ IP
Nếu trong hệ thống mạng có server và server này có nhu cầu truy cập từ bên ngoài ta
cần đăng kí domain cho server này và DNS server phân giải tên miền cho server này
cần đặt phía sao Security Gateway.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 54
Với mỗi ISP ta có một hoặc nhiều hơn một địa chỉ IP Pubic tùy theo yêu cầu và nhu
cầu của hệ thống mạng, các địa chỉ IP này sẽ được dùng cho server bên trong mạng.
Đối với tên miền (ví dụ www.testlab.com) ta phải trỏ về tất cả địa chỉ IP của server.
Điều này có nghĩa là khi Client query tên miền www.testlab.com thì lúc này Client sẽ
nhận cùng lúc nhiều địa chỉ IP tương ứng với tên miền.
6.2 Cấu hình Built-in mini DNS cho kết nối vào firewall
Đề chức năng ISP Resundancy có thể hoạt động cho những kết nối từ bên ngoài vào
trong ta có ta phải cấu hình chức năng Proxy DNS trên firewall. DNS này có chức
năng giữa lại query DNS từ Client và thay mặt DNS trả lời cho Client. Hướng kết nối
của Client sẽ phụ thuộc và kết quả trả lời tử DNS trên firewall.
Để cấu hình chức năng Proxy DNS trên firewall ta thực hiện các sau:
1. Vào menu ManageNetwork Object. Tìm đến Security Gateway và chọn
Edit. Vào Mục TopologyISP Redudancy, chọn Support ISP Redundancy.
2. Chọn Add để thêm vào hai interface kết nối với ISP, đặt tên cho các đường
link, sau đó chọn interface kết nối đến ISP và đánh vào địa chỉ IP Next Hop.
Chọn OK. Lần lượt làm cho đường link còn lại.
3. Chọn Enable DNS Proxy và chọn ConfigureAdd
Điền vào Host Name và địa chỉ IP của hai interface kết nối với ISP. Chọn OK
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 55
4. Chọn OK đề hoàn tất.
6.3 Cấu hình ISP Redundancy
Trước khi cấu hình, trong Security Rule Base cần tạo rule cho phép service DNS và
những service khác kết nối từ ngoài vào nếu những server (vùng DMZ) có nhu cầu
truy cập từ phía ngoài. Ngoài ra ta cũng cần tạo rule cho phía mạng bên trong truy cập
service ngoài internet.
Sau khi đã hoàn tất hai bước ở trên, vào menu ManageNetwork Object. Tìm đến
Security Gateway và chọn Edit, tiếp tục chọn TopologyISP Redundancy.
Tại mục Redudancy Method ta có 2 lựa chọn :
Load Sharing mode
Primary/Backup mode
Tùy theo mục đích và nhu cầu sử dụng ta chọn Redundancy Method.
Ngoài ra ta để Client bên ngoài có thể kết nối đến server ta phải cấu cấu hình
Destination NAT cho các server .
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 56
III. ConnectControl – Server Load Balancing
Khi nhu cầu truy cập một server gia tăng, việc tối ưu hóa băng thông, tối ưu tốc độ của
server không phải là một giải pháp hay và đó cũng là điều bất lợi khi tập trung vào
một server, điều này sẽ làm giảm thời gian đáp ứng dịch vụ của server ngoài ra do
việc bảo trì hoặc các sự cố ngoài ý muốn sẽ làm dịch vụ bị gián đoạn. Do đó chia sẽ
kết đến một sever với nhiều server khác sẽ làm giúp giảm thời gian đáp ứng dịch vụ,
giúp cho dịch luôn hoạt động 24/24.
1. Tổng quan về ConnectControl
ConnectControl là một giải pháp của CheckPoint cho vấn đề cân bằng tải giửa nhiều
server. ConnectControl sẽ phân chia traffic giữa các sever, điều này giảm việc phụ
thuộc vào một server duy nhất, giảm thời gian đáp ứng dịch vụ và tăng sự ổn địch của
dịch vụ.
Cân bằng tải cho server được thực hiện bằng cách tạo ra một logical server và đại diện
bằng một địa chỉ IP ảo, Client sẽ không nhận ra rằng có nhiều server đang đáp ứng
dịch vụ. Logical server sẽ nhận yêu cầu từ Client và chuyển lại cho các server vật ly
khác.
ConnectControl là một chức năng có sẵn trong security gateway và không đòi hỏi
thêm bộ nhớ hay CPU. ConnectControl kiểm tra khả năng đáp ứng dịch vụ trên từng
server và chuyển tiếp traffic đến từng server, nếu trong trường hợp có một server xảy
ra sự cố thì lúc này ConnectControl sẽ không chuyển tiếp traffic đến sever đó nữa cho
đến khi sự cố được khắc phục.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 57
2. Các phương pháp dùng để cân bằng tải
ConnectControl sẽ điều chỉnh traffic đến các server khác nhau để cân bẳng tải giữa
các server theo nhiều cách khác nhau bao gồm những cách sau đây:
Server Load: ConnectControl sẽ đo tải trên từng server để quyết định xem
server nào có khả năng đáp ứng dịch vụ tốt nhất. Mỗi server lúc này sẽ chạy
một chương trình dùng để đo độ tải trên server và báo cáo về cho
ConnectControl trên CSG.
Round Trip: để chắc rằng những request từ Client sẽ được đáp ứng với thời
gian nhanh nhất. ConnectControl xác định thời gian đáp ứng của các server
bằng cách ping các server 3 lần theo mặc định sao đó ConnectControl sẽ lấy
tổng thời gian này chia cho 3 để lấy thời gian trung bình, ConnectControl sẽ
chọn server nào có thời gian ngắn nhất. ConnectControl sau đó sẽ chuyển các
request đến server đó.
Round Robin: ConnectControl sẽ chuyển tiếp các request đến server theo trình
tự, phương pháp round robin sẽ tối ưu việc cân bằng tải giửa các server khi tất
cả các server có cùng cấu hình như RAM và CPU và đặt trong dùng một đoạn
mạng.
Random: ConnectControl sẽ chuyển tiếp đến các request đến các server một
cách ngẩu nhiên, phương pháp này sẽ tối ưu việc cân bằng tải giửa các server
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 58
khi tất cả các server có cùng cấu hình như RAM và CPU và đặt trong dùng một
đoạn mạng.
Domain: chuyển tiếp các request đến các server dựa theo domain.
3. Cách hoạt động của ConnectControl
3.1 Packet Flow
Khi Client truy cập đến dịch vụ và dịch vụ đó đang được cân bằng tải bởi
ConnectControl.
1. Client khởi tạo kết nối đến logical server bằng IP ảo 192.168.1.1
2. Tại security gateway, yêu cầu từ client thỏa mãn logical server rule trong
firewall rule base, firewall sao đó sẽ chuyển request của client đến các
server.
3. ConnectControl sẽ chuyển request đến server dựa theo phương pháp cân
bằng tải đã được cấu hình.
3.2 Các loại logical server
ConnectControl sẽ xử lý các request của Client theo những cách khác nhau tùy theo
loại logical server (HTTP, FTP, Mail server…)
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 59
3.2.1 HTTP logical server
HTTP logical server là loại server mà ConnectControl chuyên dùng để tiếp nhận các
request HTTP từ client và chuyển tiếp đến server. HTTP logical server chỉ tiếp nhận
duy nhất các HTTP request, việc chuyển tiếp phải chắc chắn rằng toàn bộ session của
Client chỉ trao đổi với cùng một sever.
Cơ chế chuyển đổi HTTP hoạt động trong sự kết hợp của phương pháp cân bằng tải
của ConnectControl. Client đầu tiên khởi tạo mởi kết nối đến HTTP logical server.
Lúc này ConnectControl sẽ báo cho Client rằng Client sẽ phải nối đến server nào tùy
theo phương pháp cân bằng tải đã được cấu hình. Client tiến hành kết nối đến server
theo địa chỉ IP của server mà ConnectControl đã báo về cho Client, những kết nối
theo sau sẽ chuyển trực tiếp đến server và không cần sự can thiệp của ConnectControl.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 60
3.2.2 Logical server dành cho các dịch vụ khác
Trên CSG cung cấp 2 loại logical server là HTTP logical server và một loại logical
server dành cho tất cả các service khác bao gồm cả HTTP mà Check Point gọi là
Other Logical Server. Other logical server sử dụng Destination NAT để chuyển kết
nối của Client đến các server. Destination NAT sẽ thay đổi destination IP trong
request của Client trong lúc đi vào và thay đổi địa chị source IP đi khi ra.
4. Persistent server mode
4.1 Persistent by server
Persistent by server là một chức năng hửu ích dành cho HTTP logical server, trong
trường hợp có nhiều server và chức năng Persistent by server được bật, lúc này
ConnectControl sẽ chuyển kết nối HTTP của client đến một server cố định và những
kết nối theo của Client này sẽ được chuyển đến cùng một server để tránh trường mất
dữ liệu trong lúc trao đổi giữa server và client trong một session nếu Client được
chuyển đến nhiều server trong cùng một session.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 61
4.2 Persistent by service
Persistent by service là một chức năng hửu ích khi ta sử dụng nhiều dịch vụ trong
cùng một server group, trong trường hợp ta chạy 2 dịch vụ FTP và HTTP trên cùng
một server trong nhóm nhiều server cân bằng tải, sử dụng chức năng persistent by
service lúc này cùng một Client nhưng dịch vụ HTTP và FTP sẽ được chuyển đến 2
server khác nhau để giảm tải cho server.
4.3 Persistent server timeout
Persistent server timeout quy định khoảng thời gian mà Client duy trì kết nối đến
cùng một server, do đó trong trường hợp server đó xảy ra sự cố Client có thể được
chuyển đến server khác thậm chí khi chức năng persistent server mode vẫn đang hoạt
động.
4.4 Server Availability
Server Availity là chức năng cho phép CSG sẽ thường xuyên kiểm tra các server
trong server group có còn hoạt động bình thường hay không. Người dùng có thể cấu
hình lại khoảng thời gian và CSG sẽ ping để kiểm tra server đế chắc rằng server vẫn
hoạt động tốt, trong trường hợp CSG không nhận được trã lời từ server thì
ConnectControl sẽ không được chuyển đến server nữa.
Đo tải trên server
Load Agent Application là một chương trình của Check Point dùng để đo tải
trên server và dựa vào khả năng chịu tải của server lúc nào ConnectControl
sẽ chuyển kết nối đến cho server. Load Agent Application là một chương
trình nhỏ gọn và dùng giao thức UDP để trao đổi với ConnectControl.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 62
5. Cấu hình ConnectControl
Đề cấu hình ConnectControl, dùng SmartDashboard thực hiện các bước sau đây:
1. Vào ManageNetwork ObjectsNewNodeHost
Lần lượt tạo các Object tương ứng với số Server hiện có mà tham gia vào cân
bằng tải.
2. Tiếp tục vào
NewGroupSimple Group.
Tại đây ta tạo một server group gồm
cá server sẽ tham gia vào nhóm cân
bằng tải. Đặt tên cho server group
và lần lượt chọn các server ở cột
bên trái và chọn Move để di chuyển
server vào group
3. Vào NewLogical Server, tại
bước này ta tạo logical server đại
diện cho các server tham gia vào cân
bằng tải.
Chọn loại logical server và server
group.
Có thể bật chức năng Peristent
server mode và chọn loại
Persistentcy by Server hay
Persistency by Service
Chọn phương pháp cân bằng tải.
Bấm OK để hoàn tất
4. Tạo rule cho phép request từ Client đi đến Logical Server.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 63
5. Đối với HTTP Logical Server ta tạo rule cho phép Client kết nối đến các server
sao khi đã được redirect bởi logical server
6. Vào PolicyGlobal PropertiesFirewall, bật chức năng Accept ICMP
Request.
7. Từ menu PolicyGlobal Properties ConnectControl. Xem lại các thiết lập
mặc định của ConnectControl.
Server availability: quy định khoảng thời gian mà firewall sẽ ping các server
nếu nó vẫn hoạt động, trong trường hợp server không trả lời thì server firewall
sẽ quy định số lần ping lại.
Server Persistency: Quy định khoảng thời gian mà kết nối của Client sẽ được
đến cùng một server và sao khoảng thời gian này khì timer sẽ được reset cho
kết nối mới
Servers Load Balancing: quy định thời gian mà load measuring agent sẽ báo
cáo đến firewall độ tải của nó và port mà agent sẻ dùng.
IV. Brigde Mode
1. Tổng quan brigde mode
Khi triển khai một firewall vào một hệ thống mạng đã có sẵn đòi hỏi lúc này phải cấu
hình lại một số chức năng hoặc phải cấu hình lại toàn bộ hệ thống. Trong một số mạng
có tính phức tạp cao thì đòi hỏi lúc này người quản trị phải cấu hình lại hệ thống để
tương thích với hệ thống routing đã có sẵn.
Check Point cung cấp một giải pháp cho phép người quản trị khi triển khai một
firewall vào một hệ thống đã có sẵn mà không cần phải thay đổi địa chỉ IP của hệ
thống hiện tại. Tuy nhiên lúc nào Check Point Security Gateway vẫn hoạt động như
một firewall bình thường và không hạn chế bất kì chức năng nào của firewall.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 64
Brigde mode hoàn trong suốt đối với tất cả traffic của layer 3 và khi một traffic đi tới
firewall, traffic sẽ được chuyển qua bình thường từ interface này sang interface khác
mà không cần phải quan tâm gì đến vấn đề tại lớp 3. Bride mode hoạt động hoàn toàn
tại lớp 2, brigde mode tạo ra một liên kết giữa 2 interface tại lớp 2, bất cứ traffic nào
khi đi qua một trong nhiều interface sẽ luôn sao chép qua các interface khác. Lúc nào
CSG có thể giám sát traffic bình thường mà không cần phải can thiệp vào vấn đề
routing.
Hạn chế của brigde mode
Chỉ hổ trợ từng cặp interface
Không hổ trợ khi sử dụng trong liên kết nhiều firewall (ClusterXL)
Hoạt động trên SecurePlatform
2. Cấu hình
Brigde các interface
Sử dụng giao diện WebUI cấu hình như sau:
1. Chọn Network Connection New Brigde
Trước khi tạo một bridge connection thì các interface được bridge không được
đặt địa chỉ IP.
2. Chọn interface để được Brigde, sau đó chọn Add.
3. Điền vào địa chỉ IP và Netmask sao cho cùng với Subnet hiện tại hoặc có thể
điền 0.0.0.0. Bride Mode có thể hoạt động mà không cần địa chỉ IP.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 65
4. Chọn Apply.
Sử dụng command line
1. Nhập lệnh sysconfig
2. Chọn NetworkAdd new connectionBridge
3. Chọn 2 interface cần bridge, chú ý hai interface này hiện tại không có địa chỉ
IP.
4. Bấm phím N để tiếp tục.
5. Điền vào địa chỉ IP và Netmask hoặc để 0.0.0.0
3. Xem Interface được Brigde bằng Command Line
Dùng lệnh brctl show để xem các interface đã được brigde. Lệnh brctl show phải
được thực hiện trong mode Expert.
Bridde name : tên của card bridge
Bridge : địa chỉ MAC của card bridge, địa chỉ MAC này là địa chỉ MAC của 1
trong 2 card.
Interfaces : Các interface đã được bridge.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 66
Phần 3 : CoreXL
1. Tổng quan về CoreXL
CoreXL là một công nghệ để tăng khả năng hoạt động của firewall bằng cách tận dụng
khả năng cách tận dụng khả năng xử lý của nhiều vi xử lý để xử lý nhiều tiến trình
cùng một lúc.
Với công nghệ CoreXL thì số vi xử lý sẽ tỉ lệ thuận với khả năng xử lý của firewall,
việc tăng khả năng xử lý của firewall chỉ thực hiện trên firewall mà không cần thay
đổi bất cứ gì trên hệ thống mạng.
Với công nghệ CoreXL thì kernel của firewall sẽ được sao chép tùy vào số lượng của
vi xử lý, mỗi kernel hay instance của firewall sẽ được xử lý bởi một vi xử lý.
CoreXL chỉ hổ trợ trên nền SecurePlatform, Nokia và Crossbeam.
CoreXL không hổ trợ các tính năng sao đây :
Check Point QoS
Traffic view in SmartView Monitor
Firewall-1 GX
Route-based VPN
IP Pool NAT
IPv6
Overlaping NAT
SMTP resource
1.1 Tổng quan về phân phối các vi xử lý
Phần chính trong kiến trúc của CoreXL là Secure Network Distributor (SND). SND
trong CoreXL sẽ đãm nhiệm vai trò :
Xử lý những traffic đi vào các interface
Tăng tốc xử lý các gói tin trong trường hợp có Performance Pack
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 67
Phân phối các gói tin không được tăng tốc giữa các kernel
Traffic khi đi vào các interface sẽ được chuyển hướng đến một vi xử lý và vi xử lý
này chạy một SND. Việc liên kết một interface và một vi xử lý được gọi là
interface’s affinity của vi xử lý đó. Việc gắn kết này sẽ làm cho traffic của interface
được chuyển hướng đến vi xử lý và SND đang chạy trên vi xử lý đó. Ngoài ra, việc
thiết lập một kernel hay một tiến trình (process) chạy trên một vi xử lý được gọi là
kernel hay process’s affinity của vi xử lý đó.
Mặc định, tất cả các interface sẽ liên kết với các vi xử lý không được gắn kết với
kernel của firewall và cũng cùng với SND chạy trên vi xử lý đó. Mặc định sự gắn kết
cho tất cả các interface với các vi xử lý là tự động. Sự gắn kết tự động có nghĩa là nếu
có Performing Pack thì sự gắn kết của các interface sẽ được reset 60s một lần và cân
bằng giữa các vi xử lý. Nếu không có Performing Pack thì tất cả các interface sẽ
được gắn kết với các vi xử lý không được gắn kết với kernel của firewall. Khi một vi
xử lý đã gắn kết với một kernel thì sẽ không gắn kết với một interface nào khác điều
này đảm bảo cho CoreXL hoạt động hiệu quả nhất.
1.2 Cấu hình mặc định của CoreXL
Trong cấu hình mặc định của CoreXL thì số lượng kernel sẽ tuân theo bảng sau đây:
Cấu hình mặc định
SND sẽ chạy trên các vi xử lý còn lại và số thứ tự các kernel sẽ được đánh số từ 0.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 68
1.3 Xem cấu hình mặc định của CoreXL
Có thể xem được sự gắn kết của tất cả các interface, kernel của firewall với các vi xử
lý bằng lệnh fw ctl affinity –l –a .
Có thể xem chi tiết các kernel và sự gắn kết của nó bằng lệnh fw ctl multik stat.
Nếu Perfoming Pack đang hoạt động thì lúc đó ta xem bằng lệnh sim affinity –l
2. Phân phối lại các vi xử lý
2.1 Phân phối thêm một vi xử lý cho SND
Theo cấu hình mặc định của CoreXL thì tất cả các interface sẽ được gắn kết với các vi
xử lý còn lại không gắn kết với kernel của firewall. Tuy nhiên trong một số trường
hợp điều này là không tối ưu và sẽ làm cho SND hoạt động chậm, làm chậm khả năng
xử lý traffic tại đầu vào. Do firewall có đủ vi xử lý để phân phối thêm cho một SND
và giảm đi một vi xử lý cho một kernel.
Để kiểm tra liệu SND có đang làm chậm traffic hay không ta thực hiện các bước sau:
1. Xác định vi xử lý nào hiện đang gắn kết với các interface : fw ctl affinity –l –r
2. Khi firewall trong tình trạng đang tải nặng, dùng lệnh top và kiểm tra giá trị
idle trên các vi xử lý.
Chỉ nên phân phối thêm một vi xử lý cho SND khi thoả các điều kiện sau:
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 69
1. Firewall có ít nhất 8 vi xử lý
2. Giá trị idle hiện tại của vi xử lý đang chạy SND từ 0%-5%.
3. Tổng giá trị các idle của các vi xử lý đang gắn kết với kernel lớn hơn 100%.
Nếu khi không thoả các điều kiện ở trên thì cấu thì theo cấu hình mặc định thì một vi
xử lý chạt SND là hiệu quả nhất và không cần phải cấu hình thay đổi bất cứ gì.
Để phân phối thêm một vi xử lý cho SND ta tiến hành theo các bước sau :
1. Giảm số lượng kernel của firewall bằng công cụ cpconfig
2. Phân phối vi xử lý còn lại cho SND
3. Reboot lại firewall để cập nhật cấu hình mới
2.2 Giảm số lượng instance
Để giảm số lượng kernel của ta thực hiện các bước sau :
1. Sử dụng lệnh /etc/fw/boot/fwboot bootconf set_kernnum k
Với K là số lượng kernel muốn thiết lập
2. Reboot lại firewall để cập nhật cấu hình mới
3. Kiểm tra lại cấu hình bằng lệnh fw ctl multik stat
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 70
Ngoài ra có thể dùng công cụ cpconfig :
1. Chạy lệnh cpconfig
2. Chọn mục Cofigure Check Point CoreXL
3. Nếu chức năng CoreXL đã được bật, chọn mục Change the number of
firewall instances và thiết lập số instance
Nếu chức năng CoreXL chưa bật, bật chức năng CoreXL và chọn mục
Change the number of firewall instances
4. Reboot lại firewall
2.3 Phân phối vi xử lý còn lại cho SND
2.3.1 Trong trường hợp có Performance Pack
Khi có Performance Pack, sự gắn kết giữa các interface và vi xử lý sẽ được thực hiện
bằng lệnh sim affinity
Theo mặc định thì lệnh sim affinity sẽ được tự động, điền này có nghĩa là nếu
Performance Pack chạy ở chế độ tự động thì sự gắn kết giửa các interface là vi xử lý
còn lại sẽ được tự động bởi Performance Pack.
Trong hầu hết các trường hợp thì không cần phải thay đổi thiết lập sim affinity.
2.3.2 Trong trường hợp không có Performance Pack
Khi không có Performance Pack thì sự gắn kết giữa interface và vi xử lý sẽ được lấy
từ file cấu hình tên là fwafinity.conf trong lúc boot, file này được lưu giử trong thư
mục $FWDIR/conf.
Trong file text này, kí tự i ở dòng đầu tiên đại điện cho sự liên kết giửa các interface
và vi xử lý. Nếu có Performance Pack thì dòng này sẽ được bỏ qua.
Nếu firewall chỉ có một vi xử lý chạy SND thì lúc này cách tốt nhất là để vi xử lý đó
gắn kết với các interface với chế độ tự động mặc định, lúc này file cấu hình
fwaffinity.conf sẽ có dạng như sau :
i default auto
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 71
Nếu muốn cấu hình cho 2 vi xử lý chạy SND thì lúc này ta cần phải chỉ rỏ interface
nào sẽ được gắn kết với vi xử lý nào trong trường hợp firewall có nhiều interface.
Để thiết lập sự gắn kết giữa các interface khi Performance Pack không hoạt động ta
làm như sau :
1. Thiết lập sự gắn kết giữa các interface và vi xử lý bằng cách chỉnh lại file cấu
hình fwaffinity.conf. Mỗi dòng trong file này điều được bắt đầu bằng kí tự i và
theo cú pháp sau đây :
i
với :
interfacename: tên của interface, ví dụ eth0, eth1…
cpuid: số thứ tự của vi xử lý
Ví dụ firewall có 4 interface, từ eth0 đến eth3 và ta muốn thiết lập cứ 2
interface sẽ gắn kết với 1 vi xử lý, lúc đó file cấu hình fwaffinity có dạng :
i eth0 0
i eth1 0
i eth2 1
i eth3 1
Ngoài ta có thể chọn một interface để gắn kết với 1 vi xử lý các interface còn
lại sẽ gắn kết với interface còn lại lúc này ta sử dụng từ khoá default thay cho
. Ví dụ file cấu hình fwaffinity có dạng như sau:
i eth2 0
i default 0
2. Reboot lại firewall để cập nhật cấu hình mới.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 72
3. Phân phối vi xử lý cho việc ghi log
Nếu firewall đòi hỏi cao cho việc ghi log ta có thể hình riêng cho việc ghi log một vi
xử lý riêng bằng việc gắn kết fwd daemon với một vi xử lý. Giống như SND việc này
bắt buộc phải giảm bớt một kernel để cấp cho fwd daemon.
Để phân phối cho fwd daemon một vi xử lý ta tiến hành các bước sau:
1. Giảm số lượng của kernel của firewall
2. Gắn kết fwd với vi xử lý còn lại
Gắn kết fwd deamon với vi xử lý
Việc gắn kết fwd daemon với vi xử lý tương tự như SND, sau khi giảm số lượng
kernel của firewall, ta thêm vào file cấu hình fwaffinity.conf với cú pháp sau đây:
n fwd
Ví dụ, ta muốn gắn kết fwd với vi xử lý số 2 sau khi giảm đi 1 kernel, thêm vào file
fwaffinity.conf một dòng như sau:
n fwd 2
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 73
Khởi động lại firewall để cập nhật cấu hình.
4. fw affinity Script
fwaffinity_apply là một đoạn script dùng để cập nhật cấu hình khi cấu hình CoreXL
mà không cần phải reboot lại firewall. Script này được lưu giử tại $FWDIR/scripts và
có cú pháp như sau:
$FWDIR/scripts/fwaffinity_apply
Với Option là những thông số sau đây:
Option Mô tả
-p Không cần in màn hình thông báo, chỉ cần in lổi khi xảy ra
-t Cập nhật cấu hình cho từng loại liên kết với:
i: interface
n: Check Point fwd daemon
k:kernel của firewall
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 74
Phần 4: Intrusion Prevention System – IPS
1. Tổng quan về IPS trong Firewall Check Point
IPS là gì: Một hệ thống chống xâm nhập ( Intrusion Prevention System –IPS) được
định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện
xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. IDS và IPS có rất nhiều
điểm chung, do đó hệ thống IDS và IPS có thể được gọi chung là IDP-Intrusion
Detection and Prevention.
Trước các hạn chế của hệ thống IDS, nhất là sau khi xuất hiện các cuộc tấn công ồ ạt
trên quy mô lớn như Code Red, NIMDA, SQL Slammer, một vấn đề được đặt ra là
làm sao có thể tự động ngăn chặn được các tấn công chứ không chỉ đưa ra các cảnh
báo nhằm giảm thiểu công việc của người quản trị hệ thống. Hệ thống IPS được ra đời
vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi.
Kết hợp với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay
thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong việc đáp
trả lại các nguy cơ phát hiện được, cũng như giảm bớt được phần nào gánh nặng của
việc vận hành. Hơn nữa trong một số trường hợp đặc biệt, một IPS có thể hoạt động
như một IDS bằng việc ngắt bỏ tính năng ngăn chặn xâm nhập. Ngày nay các hệ thống
mạng đều hướng tới sử dụng các giải pháp IPS thay vì hệ thống IDS cũ.
Check Point IPS R70 là một hệ thống ngăn ngừa xâm nhập được tích hợp với Check
Point Secutiry Gateway để tăng cường bảo vệ cho hệ thống. Check Point IPS với các
kỹ thuật tiên tiến giúp tăng cường khả năng phòng thủ của hệ thống bằng cách kiểm
soát luồng dữ liệu và so sánh nội dụng các gói tin với hơn 2000 định dạng của các
kiểu tấn công nhẳm xác định sức ảnh hưởng của luồng dữ liệu đó đến hệ thống và đưa
ra biện pháp ngăn chặn. Check Point IPS bảo vệ cả Server lẫn Client và cung cấp công
cụ để điều khiển luồng dữ liệu trong mạng, phát hiện và ngăn chặn những hành vi gây
nguy hiểm cho hệ thống.
2. Phương thức hoạt động của Check Point IPS
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 75
Phát hiện và ngăn chặn các phương pháp khai thác đã được biết.
Phát hiện và ngăn chặn các lỗ hỏng bảo mật trong hệ thống
Phát hiện và ngăn chặn việc lạm dụng các giao thức mạng để tấn công.
Phát hiện và ngăn chặn việc kết nối bất hợp pháp.
Phát hiện và ngăn chặn những kiểu tấn công thông dụng mà không cần nhận
dạng trước.
3. Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS
3.1 Port scan
Giới thiệu
Phương pháp Scan Port thường được thực hiện trực tiếp trên một host hoặc một mạng
nhằm mục đích nhận biết các dịch vụ mà host đó cung cấp. Vi dụ: Web server thường
mở port 80, FTP server thường mở port 21 … Attacker có thể dựa trên thông tin thu
nhận được để tìm cách tấn công, khai thác vào server đó.
Nguyên lý
Dựa trên phương thức truyền thông TCP ta có thể scan xem server mở port nào cũng
như đóng port nào.
Sau đây là hai phương pháp scan port khá phổ biến:
SYN Scan: Máy attacker sẽ gửi hàng loạt các gói tin TCP có port đích lần lượt là các
port cần scan của server cần khai thác. Đặc điểm của các gói tin TCP này là chỉ bật cờ
SYN như bước đầu trong quá trình bắt tay 3 bước của giao thức TCP. Từ đó, server
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 76
khi nhận được những gói tin này thì sẽ trả về gói SYN ACK nếu port đó có mở và
attacker sẽ biết được dịch vụ nào đang được bật ở server đó.
ACK Scan: đây là phương pháp scan thường được dung kết hợp với SYN Scan nhằm
phát hiện sự có mặt của Firewall trong hệ thống. Nguyên tắc của ACK Scan là
attacker sẽ gửi các gói TCP có bật cờ ACK lên. Server nhận được gói ACK sẽ trả về
gói RST, khi đó attacker sẽ nhận biết được không có sự giám sát về session trong hệ
thống. Còn khi có sự xuất hiện của một Firewall lớp Transport hay Multilayer
Firewall thì những gói tin ACK gửi vào như thế chắc chắn sẽ bị drop.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 77
Lab mô phỏng
Scan port về mức độ không gọi là nguy hiểm cho hệ thống và lại có tính tương đồng
với việc truy cập bình thường nên hầu như các IPS hay IDS chỉ có tính năng phát hiện
chứ không ngăn chặn hành động này. Check Point IPS cũng chỉ phát hiện và báo cho
người quản trị biết thông qua việc thống kê việc truy xuất các port không mở trên
server bên trong hệ thống. Nếu như việc truy xuất này diễn ra liên tục tới hàng trăm
đến hàng nghìn port và đều xuất phát từ một host trong thời gian ngắn thì IPS sẽ xác
định đây là hành động Scan Port
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 78
3.2 DOS (Denial of Services)
Giới thiệu
Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ phân
tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính không thể sử
dụng được nhằm vào những người dùng của nó. Mặc dù phương tiện để tiến hành,
động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau, nhưng nói chung nó gồm
có sự phối hợp, sự cố gắng ác ý của một người hay nhiều người để chống lại Internet
site hoặc service (dịch vụ Web) vận hành hiệu quả hoặc trong tất cả, tạm thời hay một
cách không xác định. Thủ phạm tẩn công từ chối dịch vụ nhằm vào các mục tiêu site
hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS
root servers.
Nguyên lý
Sau đây là một vài những phương pháp tấn công từ chối dịch vụ khá phổ biến, trong
đó chúng tôi chọn SYN Attack để thực hiện phần mô phỏng của bài viết này.
Teardrop: Như ta đã biết , tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn
đến hệ thống đích đều phải trải qua 2 quá trình : dữ liệu sẽ được chia ra thành các
mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để xác
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 79
định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh này đến hệ
thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau
theo thứ tự đúng như ban đầu . Lợi dụng sơ hở đó , ta chỉ cần gởi đến hệ thống đích
một loạt gói packets với giá trị offset chồng chéo lên nhau. Hệ thống đích sẽ không
thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash,
reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo
lên nhau quá lớn.
SYN Attack: Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN
packets với địa chỉ ip nguồn không có thực. Hệ thống đích khi nhận được các SYN
packets này sẽ trả lời các gói SYN này đồng thời lưu các request này vào bộ nhớ để
xử lý. Với hàng loạt gói tin như thế được chờ xử lý sẽ làm cho hệ thống quá tải, reboot
… đạt được mục đích của tấn công DOS.
Land Attack : cũng gần giống như SYN Attack, nhưng thay vì dùng các địa chỉ ip
không có thực, hacker sẽ dùng chính địa chỉ ip của hệ thống nạn nhân. Điều này sẽ tạo
nên một vòng lặp vô tận giữa trong chính hệ thống nạn nhân đó.
Attack : Trong Smurf Attack, cần có ba thành phần: hacker (người ra lệnh tấn công),
mạng khuếch đại (sẽ nghe lệnh của hacker) và hệ thống của nạn nhân. Hacker sẽ gởi
các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại. Điều đặc biệt là các gói
tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ ip của nạn nhân . Khi các
packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng
khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến và
chúng sẽ đồng loạt gởi trả lại hệ thống nạn nhân các gói tin phản hồi ICMP packets.
Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và
nhanh chóng bị ngừng hoạt động, crash hoặc reboot.
Mô phỏng
Trước hết nhóm chúng tôi thực hiện SYN attack trang web tự tạo bằng công cụ
synflood.pl trên Backtrack và trên Check Point IPS chỉ để Detect chứ không Prevent
ta sẽ có được kết quả như sau.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 80
Hàng loạt gói tin SYN từ một địa chỉ không có thực được gửi tới Web server
Web server hoàn toàn tê liệt và không thể truy cập được
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 81
Đây là thông tin ghi nhận được trên Check Point IPS – Mode Detect
Nguyên tắc phát hiện SYN flood của IPS thường dựa trên một bộ đếm, khi số lượng
gói tin SYN gửi tới server từ cùng một host trong một khoảng thời gian là bất thường
thì IPS sẽ xác định đó là tấn công SYN flood. Ví dụ: 300 gói tin trong vòng 10 giây.
Web server đã phải xử lý quá nhiều gói SYN được gửi tới nên không còn khả năng
đáp ứng cho các yêu cầu truy cập web khác nữa. Vấn đề sẽ được giải quyết sau khi
chúng ta chuyển từ Detect sang Prevent trên Check Point IPS.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 82
Lúc này Check Point IPS đã chuyển sang Prevent
Trang web đã có thể truy cập lại trong khi attacker vẫn đang SYN flood
Và đây là phương thức chống SYN Attack của IPS
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 83
Dựa theo kêt quả ghi nhận được ta có thể thấy được nếu phát hiện SYN Attack Check
Point IPS sẽ thực hiện một công việc để ngăn chặn tấn công đó là IPS sẽ tự động gửi
lại gói tin RST tức Reset cho attacker hay nói cách khác mọi gói tin trong cuộc tấn
công DOS này sẽ được trả về gói RST và Web Server sẽ không phải xử lý hàng loạt
Request như thế nữa. Đồng thời IPS cũng sẽ gửi gói RST về cho Web Server với mục
đích kết thúc những Session còn lưu của Web Server. Ta có thể nhận thấy vấn đề ngăn
chặn DOS vẫn còn phụ thuộc vào khả năng xử lý của IPS nên đây chỉ là một phương
pháp để giảm tới mức tối thiểu thiệt hại khi bị tấn công từ chối dịch vụ.
Tìm hiểu Firewall trên Checkpoint
Khoa Khoa Học Và Công Nghệ Trang 84
Phần 5 : Giải pháp cho trường Đại học Hoa Sen
Do không nắm rõ về cấu trúc hệ thống của trường đại học Hoa Sen nên nhóm chúng
tôi xin được đề xuất một vài ý kiến khái quát về việc sử dụng những tính năng của
Firewall Check Point trong hệ thống mạng của Đại học Hoa Sen.
1) Sử dụng IPS để tăng cường khả năng bảo vệ cho các Server trong hệ thống
trước những làn sóng tấn công của tội phạm mạng ngày càng tăng cao. Tuy chỉ
là trang Web của trường học, mang tính chất giáo dục nhưng vẫn không thể
không đề phòng những cuộc tấn công nhằm hạ thấp uy tín của trường cũng như
lợi dụng Website của trường để phát tán mã độc. Kiến trúc IPS có thể bao gồm
nhiều Module đặt trước những Server quan trọng như Web, Mail và một
Module đặt ngay biên của hệ thống.
2) Sử dụng chức năng ISP Redundancy để bảo đảm tính sẵn sàng của hệ thống
cũng như đảm bảo điều kiện kết nối Internet cho sinh viên nhằm tăng chất
lượng dạy và học của trường.
3) Vận dụng các cơ chế Load Balancing cho các Server trường, đặc biệt là các
Server đăng ký môn học để tăng năng suất hoạt động của hệ thống, tránh tình
trạng tắt nghẽn hay Server hoạt động quá tải.
4) Vận dụng các Rule, Security Policy để quản lý các mạng con trong hệ thống
của trường. Cụ thể là trong việc quản lý việc sử dụng mạng Wifi trường của
sinh viên. Ví dụ như dùng Rule để chặn sinh viên truy cập vào những trang
web không lành mạnh, giới hạn giờ truy cập Internet của sinh viên …
5) Cuối cùng và cũng không kém phần quan trọng đó là vận dụng các cơ chế bảo
mật của Firewall Check Point trong việc xác thực người dùng vào các trang
Web nội bộ của trường.
Các file đính kèm theo tài liệu này:
- Tài liệu hướng dẫn cấu hình Firewall Checkpoint - tiếng việt.PDF