TÓM TẮT NỘI DUNG
Phần mở đầu của Khóa luận sẽ đặt ra các vấn đề làm cơ sở cho việc thực hiện Khóa luận. Các vấn đề được đặt ra dựa trên việc khảo sát thực tế hiện trạng hệ thống mạng trường Đại học Công Nghệ (xem chi tiết trong phụ lục B).
Tiếp đó, Khóa luận sẽ trình bày giải pháp sử dụng Nokia Check Point để nâng cao khả năng an ninh và hoạt động của hệ thống mạng. Các phần sau của khóa luận sẽ lần lượt trình bày về phương pháp cài đặt, triển khai thiết bị Nokia IP1220. Đầu tiên là tìm hiểu về HĐH IPSO sử dụng trên Nokia IP1220, các bước cài đặt, cấu hình HĐH IPSO. Tiếp đó là phần giới thiệu và cách cài đặt ứng dụng Firewall-1/VPN-1. Sau đó là cách cấu hình tường lửa, thiết lập các chính sách an ninh, cấu hình NAT, Routing , cấu hình mạng riêng ảo VPN tích hợp với máy chủ LDAP. Trước mỗi phần đều có nêu tóm tắt các kiến thức cơ bản được sử dụng.
Phần kết luận sẽ nêu lên kết quả triển khai thành công Nokia Check Point trên hệ thống mạng thực tế của trường Đại học Công Nghệ và các phương hướng, bổ sung cần thực hiện trong tương lai.
MỤC LỤC
BẢNG VIẾT TẮT 7
DANH SÁCH HÌNH VẼ 8
DANH SÁCH BẢNG 10
ĐẶT VẤN ĐỀ 11
CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 13
1.1. Giải pháp Nokia Check Point 13
1.2. Tổng quan Nokia Check Point 13
1.2.1. Hệ điều hành IPSO 14
1.2.2. Cài đặt HĐH IPSO và cấu hình ban đầu 14
1.2.2.1. Boot Manager 15
1.2.2.2. Cài đặt IPSO 16
1.2.2.3. Cài đặt ban đầu 19
CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 22
2.1. Giới thiệu 22
2.2. Cài đặt package 22
2.2.1. Cài đặt gói wrapper 23
2.2.1.1. Cài đặt với CLI 23
2.2.1.2. Cài đặt với Nokia Network Voyager 23
2.2.2. Cài đặt SmartConsole NGX R62 24
CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA 25
3.1. Thiết lập cấu hình ban đầu 25
3.2. Chính sách tường lửa mặc định 27
3.3. Thiết lập các luật tường lửa qua SmartDashboard 29
CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT 32
4.1. Ẩn giấu đối tượng mạng 32
4.2. Cấu hình luật NAT 33
CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE 35
5.1. Giới thiệu về SmartDefense 35
5.2. Network Security 36
5.2.1. Denial of Service 36
5.2.2. IP and ICMP 36
5.2.3. TCP 37
5.2.4. Fingerprint Scrambling 38
5.2.5. Successive Events 38
5.2.6. Dynamic Ports 38
5.3. Application Intelligence 39
5.3.1. HTTP Worm Catcher 39
5.3.2. Cross-Site Scripting 40
5.3.3. HTTP Protocol Inspection 40
5.3.4. File and Print Sharing Worm Catcher 42
CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN 43
6.1. Tổng quan về VPN 43
6.2. Giải pháp VPN Check Point cho truy cập từ xa 43
6.2.1. Cấu hình Office Mode sử dụng IP Pool 43
6.2.2. Truy cập VPN từ xa sử dụng SecuRemote/SecureClient 49
CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP 54
7.1. Giới thiệu sơ lược về LDAP 54
7.2. Cấu hình VPN tích hợp LDAP 56
7.2.1. Cấu hình máy chủ LDAP 56
7.2.2. Cài đặt và cấu hình VPN-1 57
7.2.2.1. Kích hoạt SmartDirectory trong Global Properties 57
7.2.2.2. Tạo một host object cho OpenLDAP server 57
7.2.2.3. Tạo một LDAP Account Unit 58
7.2.2.4. Tạo LDAP group 59
CHƯƠNG 8. TRIỂN KHAI THỰC TẾ 60
8.1. Phân tích và giải pháp 60
8.2. Cài đặt 62
8.2.1. Lắp đặt và cài đặt ban dầu 62
8.2.2. Thiết lập cấu hình 65
8.3. Giám sát và quản lý 80
KẾT LUẬN 86
PHỤ LỤC 87
Phụ lục A. fw1ng.schema 87
Phụ lục B: Hiện trạng mạng VNUNet 90
TÀI LIỆU THAM KHẢO 97
97 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 2506 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Khóa luận Nghiên cứu triển khai nokia firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ication Intelligence
Tính năng này kiểm tra tất cả các dịhc vụ tầng ứng dụng như HTTP, Mail, FTP, Microsoft Networks, DNS, và VoIP. SmartDefense có khả năng kiểm tra tất cả dữ liệu trong gói tin và nhận biết được những gói tin đáng nghi.
HTTP Worm Catcher
Một trong những tấn công HTTP phổ biến là HTTP Worm Catcher
Hình 10. General HTTP Worm Catcher
Vừa qua, một loạt những sâu độc HTTP đã được lan tràn trên Internet và phá huỷ tài nguyên của nhiều công ty. Những sâu này lợi dụng những lỗ hổng bảo mật từ cả 2 phía HTTP client và server để lây lan trên những máy trong mạng.
Bộ HTTP Worm Catcher, hoạt động trongVPN-1/FireWall-1, được cấu hình để nhận dạng những xâu kí tự xác định. Sau khi được xác định, những dữ liệu này có thể bị huỷ hoặc đánh dấu tùy theo yêu cầu người dùng.
Cross-Site Scripting
Mục này cho phép người dùng cấu hình tường lửa chống lại các tấn công ăn trộm thông tin bảo mật của người dùng bằng cách sử dụng cookies của Web server hay chạy những đoạn mã gửi thông tin cá nhân người dùng tới những tổ chức bên ngoài.
Tất cả những phương thức trên đều tạo ra một đoạn mã trên Web server để lưu lại cookies ngừời dùng hay gửi mẫu thông tin để người dùng điền vào sau đó gửi tới bên ngoài. Mặc dù Web Server cũng có những bản vá lỗ hổng bảo mật kiểu này nhưng SmartDefense cũng thêm một sự bảo vệ nữa bằng cách loại trừ những yêu cầu HTTP POST và URLs mà có mã bên trong.
HTTP Protocol Inspection
Tầng bảo vệ thứ 2 của giao thức HTTP
Hình 11. HTTP Protocol Inspection
Hai header của gói yêu cầu và trả lời phải ở dạng kí tự ASCII, vì nếu không sẽ làm tràn bộ đệm, điều này cũng tương tự như một tấn công kiểu DoS.
HTTP Format Sizes cho phép điều chỉnh những tham số của giao thức HTTP, đạt độ dài tối đa của URL với mặc định là 2048 bytes sẽ làm giảm khả năng người dùng vào những URL độc hại và khiến HTTP server ngừng hoạt động (mặc dù các server HTTP hiện nay đã có bản vá cho lỗi này).
Giới hạn header về độ dài và số, mặc định là 1000 bytes và 500 được sử dụng để ngăn chặn những kẻ phá hoại gửi lượng lớn HTTP header hay một số HTTP header lớn tới HTTP server và làm cho server ngừng hoạt động và sau đó từ chối những người dùng hợp pháp hoặc thậm chí là chiếm lấy quyền điều khiển. Trong trường hợp này, VPN-1/FireWall-1 loại bỏ tất cả những kết nối nghi ngờ trước khi nó tới được HTTP server.
Peer-to-Peer Blocking cho phép quản lý người dùng ở các mạng peer to peer hiện tại như Freenet, Gnuttela (có thể cho phép hay không cho phép sử dụng). Đồng thời cũng cho phép người dùng thêm mạng ngang hàng mới vào miễn là SmartDefense có thể quản lý được chúng.
File and Print Sharing Worm Catcher
File and Print Sharing Worm Catcher đặt tại tab Microsoft Networks bên dưới File and Print Sharing làm tăng khả năng nhận biết worm cho SmartDefense với những file chia sẻ của Microsoft. Cũng giống như HTTP Worm Catcher, SmartDefense có những dạng worm khác nhau và người dùng có thể thêm dạng worm vào hoặc tắt một dạng worm khác đi. Bật tùy chọn này bảo vệ hệ thống windows trong mạng khỏi những NetBIOS worms từ lỗ hổng CIFS của Windows 2000.
Hình 12. File and Print Sharing
THIẾT LẬP CẤU HÌNH VPN
Tổng quan về VPN
VPN (Virtual Private Network) là công nghệ cho phép tạo ra một kết nối riêng tư, an toàn qua hệ thống mạng Internet công cộng, hoặc qua một môi trường mạng dùng chung nào đó.
Đặc trưng của VPN là nó tạo ra một đường hầm (tunnel) qua hệ thống mạng kết nối giữa hai thực thể bằng cách tạo ra một vỏ bọc cho gói tin IP được gửi đi. Các giao thức VPN được sử dụng để tạo ra vỏ bọc này. Khi bắt đầu đi vào đường ống, gói tin IP được đóng gói bởi các giao thức VPN như L2TP, IPSec.
Để đảm bảo một kết nối an toàn và bảo mật, các giao thức VPN có thể được trang bị các tính năng như mã hóa gói tin (DES, AES), cơ chế chứng thực để chống lại kiểu tấn công man-in-the-middle, sử dụng hàm băm để bảo đảm tính toàn vẹn của nội dung gói tin…
VPN được chia thành hai loại chính là VPN truy cập từ xa (Remote Access) và VPN mạng nối mạng (Site to Site).
VPN truy cập từ xa là kết nối giữa một thiết bị đơn người dùng như PC, Laptop tới một VPN gateway được đặt tại ISP hoặc tại mạng nội bộ của tổ chức.
VPN mạng nối mạng dùng để kết nối giữa hai mạng nằm cách xa nhau. Một đường hầm được tạo ra giữa hai VPN gateway của hai mạng.
Khóa luận này sẽ trình bày cách sử dụng Nokia IP1220 như một VPN gateway cho phép người dùng truy cập từ xa vào mạng.
Giải pháp VPN Check Point cho truy cập từ xa
Giải pháp truy cập từ xa của Check Point cho phép tạo một đường hầm giữa người dùng từ xa và mạng nội bộ của một tổ chức.
Cấu hình Office Mode sử dụng IP Pool
Khi người dùng từ xa kết nối đến VPN gateway sử dụng Office Mode, sau khi chứng thực thành công, gateway gán cho máy từ xa một địa chỉ IP. Địa chỉ IP này có thể từ một dải IP được cấu hình trước (IP Pool) hoặc được cấp phát từ một máy chủ DHCP. Tùy vào yêu cầu, có thể cấu hình để tất cả người dùng hoặc chỉ một nhóm nào đó mới có quyền sử dụng Office Mode để truy cập VPN.
Để bật chức năng VPN cho thiết bị người dùng phải mở cửa sổ CheckPoint Gateway bằng cách kích đúp vào biểu tượng thiết bị trong mục Network Objects - Check Point. Trong thẻ General Properties, mục Check Point Products, đánh dấu vào ô VPN.
Hình 13. Check Point Gateway – General Properties
Các bước cấu hình VPN truy cập từ xa qua chế độ Office sử dụng IP Pool được thực hiện như sau:
Trước tiên, tạo một đối tượng đại diện IP pool, bằng cách chọn Manage | Network Objects | New | Network.
Trong Network Properties, chọn tab General. Để thiết lập dải địa chỉ IP pool, nhập tên dải trong trường Name, nhập địa chỉ đầu tiên của dải trong trường Network Address sau đó nhập subnet mask tùy theo lượng địa chỉ muốn sử dụng trong trường Net Mask. Phần Broadcast Address và thẻ NAT không cần cấu hình.
Hình 14. Tạo Network Object
Mở cửa sổ Check Point Gateway, chọn thẻ Remote Access | Office Mode. Đánh dấu mục Allow Office Mode to all users.
Đánh dấu mục Using one of following method, chọn Manual (using IP Pool) và chọn dải IP Pool vừa tạo ở trên.
Mục Multiple Interfaces: hỗ trợ định tuyến gói tin khi thiết bị có nhiều cổng kết nối ra bên ngoài.
Chọn Anti-Spoofing cho phép thiết bị kiểm tra các gói Office Mode để tránh trường hợp giả mạo gói tin.
File ipassignment.conf được sử dụng để thực thi tính năng IP-per-user. Tính năng này cho phép người quản trị gán một địa chỉ cụ thể cho một người dùng xác định, hoặc một dải địa chỉ cho một nhóm khi kết nối với Office Mode.
Hình 15. Cấu hình Office Mode
Bước tiếp theo là tạo người dùng để truy cập VPN, phần này sẽ trình cách tạo người dùng VPN trong cơ sở dữ liệu của VPN gateway còn phần tích hợp với máy chủ LDAP sẽ trình bay ở phần sau.
Vào Manager | User and administrator…, chọn New.
Trong tab General, điền tên người dùng ở ô Login Name.
Trong tab Authentication, chọn CheckPoint Password, sau đó nhập mật khẩu và nhấn ok .
Hình 16. Tạo User
Vào tab VPN Manager, nhấn chuột vào biểu tượng RemoteAccess. Trong Participating Gateways, nhấn Add để thêm thiết bị vào. Trong Participant User Groups, có thể thêm người dùng, nhóm hoặc All Users để cho phép tất cả người dùng.
Hình 17. Remote Access Community Properties
Vào tab Security thiết lập một luật cho phép truy cập từ xa với các trường như sau (luật trên cùng):
Hình 18. Remote Access Rule
Bước cuối cùng là thực hiện Install để áp dụng các thiết lập lên thiết bị.
Ngoài ra còn có rất nhiều các tùy chọn khác để người dùng cấu hình. Như định nghĩa VPN Domain trong Check Point Gateway | Topology để giới hạn các đối tượng mạng tham gia vào VPN, người dùng từ xa sau khi kết nối VPN mạng chỉ có thể giao tiếp với các đối tượng thuộc VPN Domain. Hoặc các thiết lập trong Policy | Global Properties | Remote Access như các tùy chọn về cập nhật tôpô mạng, hỗ trợ IKE qua TCP…
Truy cập VPN từ xa sử dụng SecuRemote/SecureClient
SecuRemote/SecureClient là công cụ máy khách cung cấp chức năng truy cập VPN Check Point cho người dùng và bảo vệ các thông tin nhạy cảm khi giao tiếp với mạng nội bộ và các server qua đường hầm VPN. Người dùng VPN được quản lý bằng cơ sở dữ liệu bên trong của VPN-1 Pro Gateway hoặc bằng một máy chủ LDAP riêng.
SecureClient cải tiến hơn so với SecuRemote nhờ có thêm một số tính năng.
Bảo mật:
Chính sách bảo mật desktop
Ghi log và thông báo
Thẩm định cấu hình bảo mật
Kết nối:
Office Mode
Client Mode
Hub Mode
Quản lý:
Phân phối phần mềm tự động
Các tùy chọn phân phối và đóng gói nâng cao
Các công cụ chẩn đoán
Sau đây khóa luận sẽ hướng dẫn sử dụng SecureClient để kết nối đến VPN gateway thiết lập Office Mode.
Ứng dụng SecureClient khi cài đặt xong sẽ hiển thị một biểu tượng trên khay công cụ. Khởi động SecureClient. Nếu chưa có site nào được tạo, chương trình yêu cầu người dùng tạo một site mới. Nhập địa chỉ của VPN gateway vào ô Server Address or Name rồi nhấn Next.
Hình 19. Server Address
Tiếp theo là chọn phương thức xác thực. Đánh dấu vào tùy chọn User name and Password. Nhấn Next. Sau đó nhập tên và mật khẩu truy cập VPN.
Hình 20. Authentication Method
Sau khi nhập tên và mật khẩu, bước tiếp theo chọn kiểu kết nối Advanced.
Hình 21. Connectivity Settings
Sau đó các tùy chọn nâng cao hiện ra. Chọn Perform IKE over TCP (tùy vào thiết lập tại VPN gateway).
Hình 22. Advanced Settings
SecureClient kết nối đến VPN gateway và nhận được một Certificate Authority để người dùng kiểm tra xem đã kết nối đến đúng site chưa.
Hình 23. Validate Site
Nếu tạo site thành công, chương trình sẽ hiển thị thông báo cho người dùng. Nhấn Finish để kết thúc. Sau đó chương trình hiển thị ra giao diện dùng để kết nối.
Hình 24. Giao diện kết nối SecureClient
Nhập password rồi nhấn Connect. SecureClient giao tiếp với VPN gateway và thực hiện xác thực. Nếu xác thực thành công chương trình sẽ hiển thị thông báo cho người dùng đồng thời tải về các thông tin về tôpô mạng và các thiết lập Profile. Lúc này người dùng đã được phép truy cập vào mạng nội bộ giống như một máy nằm trong mạng.
Tạo Profile: Vào Option, chọn Setting. Cửa sổ cấu hình SecureClient hiện ra. Tại đây người dùng có thể tạo một Site, Profile mới, xóa hoặc sửa đổi thuộc tính của Site, Profile. Profile được tạo ra để sử dụng trong các điều kiện kết nối khác nhau. Để tạo một Profile mới, chọn New | Profile. Xuất hiện cửa sổ Profile Properties. Trong tab General, người dùng có thể đặt tên cho Profile, xác định địa chỉ site, gateway kết nối đến. Trong tab Advanced người dùng có thể cấu hình tùy chọn Office Mode, các tùy chọn cải thiện kết nối và cấu hình Hub Mode.
Cập nhật Site: Nếu VPN gateway đặt cấu hình tự động cập nhật thì sau một khoảng thời gian, SecureClient sẽ tự tải về các thông tin tôpô và Profile. Người dùng cũng có thể tự cập nhật Site bằng cách vào cửa sổ cấu hình, nhấn chuột phải lên Site và chọn Update Site.
Hình 25. Tạo Profile
CẤU HÌNH VPN TÍCH HỢP LDAP
Giới thiệu sơ lược về LDAP
LDAP (Lightweight Directory Access Protocol) là một giao thức tầng ứng dụng dùng để truy cập vào dịch vụ thư mục (Directory Services) chạy trên bộ giao thức TCP/IP.
Thư mục là một tập các đối tượng với các thuộc tính được mô tả và tổ chức một cách logic và phân cấp giúp cho việc quản lý và tìm kiếm trở nên dễ dàng và nhanh chóng. Có rất nhiều ví dụ về thư mục như: danh bạ điện thoại, danh mục hàng hóa, Domain Name System…
Tương tự như các giao thức như FTP hay HTTP, LDAP hoạt động theo mô hình client-server. Và đương nhiên nó phải định nghĩa một tập các thông điệp request và response giữa LDAP client và LDAP server. LDAP server có nhiệm vụ tương tác với dữ liệu đã được lưu trữ để trả về cho client.
Hình 26. Hoạt động của giao thức LDAP
Trong mô hình LDAP dữ liệu được lưu trữ dưới dạng một cây thư mục.
Entry là đơn vị cơ bản của thông tin trong thư mục. Mỗi entry chứa một tập các thông tin về một đối tượng.
Hình 27. Entry
Mỗi entry có một DN (distinguished name) duy nhất, không trùng với bất kỳ một DN nào khác trong thư mục. Ví dụ trong hình trên DN của tổ chức là dc=example, dc=com. Mỗi entry gồm một tập các thuộc tính (attributes). Mỗi thuộc tính thuộc một loại (type) và chứa một hoặc nhiều giá trị (value).
Schema là một định nghĩa dữ liệu cho thư mục và cách máy chủ và máy khách xử lý các thao tác với thông tin như thế nào (ví dụ như tìm kiếm). Một schema chứa định nghĩa các loại thuộc tính (OID, tên, cú pháp, luật matching của thuộc tính) và các objectClass.
LDAP Interchange Format (LDIF) là một khuôn dạng tệp văn bản chuẩn để lưu thông tin cấu hình LDAP và nội dung thư mục. Một tệp LDIF gồm:
- Một tập entry tách biệt nhau bởi các dòng trắng
- Một ánh xạ tên thuộc tính sang giá trị
- Một tập các chỉ thị cho bộ phân tích cú pháp biết cách xử lý thông tin.
Tệp LDIF thường được dùng để nhập dữ liệu mới vào thư mục hoặc thay đổi dữ liệu đã tồn tại. Dữ liệu trong LDIF phải tuân theo luật schema của thư mục LDAP. Mỗi mục được thêm hoặc thay đổi trong thư mục sẽ được kiểm tra ngược lại schema. Một schema violation xảy ra nếu dữ liệu không phù hợp với các luật tồn tại.
Hình 2-1 thể hiện một cây thư mục đơn giản. Mỗi entry trong thư mục được biểu diễn bởi một entry trong tệp LDIF. Giả sử với entry trên cùng của cây với DN: dc=plainjoe, dc=org:
# LDIF listing for the entry dn: dc=example,dc=com
dn: dc=example,dc=com
objectClass: domain
dc: example
So sánh với tổ chức của một filesystem, DN tương tự như một đường dẫn tuyệt đối, còn RDN (Relative DN) giống như tên file. Nhưng khác với một tên file, RDN có thể được tạo nên từ nhiều thuộc tính. Ví dụ một RDN đa trị: cn=Jane Smith+ou=Sales, dấu “+” dùng để phân biệt hai thuộc tính.
Thuộc tính và cú pháp thuộc tính tương tự như biến và kiểu biển trong lập trình. Thuộc tính cũng như biến dùng để chưa giá trị. Còn cú pháp thuộc tính hay kiểu biến dùng để xác định loại thông tin nào có thể được lưu trữ trong biến. Thuộc tính khác biến ở chỗ nó có thể đa trị. Khi gán một giá trị mới cho một biến, giá trị cũ bị thay thế. Nhưng khi gán một giá trị mới cho thuộc tính, giá trị đó sẽ được thêm vào danh sách giá trị của thuộc tính. Một thuộc tính là đa trị hay đơn trị phụ thuộc vào định nghĩa của thuộc tính trong schema của máy chủ.
Matching Rule là các luật để tạo ra các sự so sánh. Ví dụ telephoneNumberMatch dùng để so sánh sự hai số điện thoại có khớp nhau hay không.
Object Identifiers (OIDs) là một chuỗi các số ngăn cách nhau bởi dấu chấm (.) dùng để xác định một thực thể duy nhất như thuộc tính, cú pháp, lớp đối tượng.
Tất cả các entry trong một thư mục LDAP phải có một thuộc tính objectClass, và thuộc tính này phải có ít nhất một giá trị (có thể nhiều hơn một). Mỗi giá trị objectClass đóng vai trò như một khuôn mẫu cho dữ liệu được lưu trong một entry. Nó định nghĩa một tập các thuộc tính phải và một tập thuộc tính tùy chọn. Thuộc tính phải là thuộc tính cần phải gán cho nó ít nhất một giá trị. Thuộc tính tùy chọn không bắt buộc phải gán giá trị. Hai objectClass có thể có cùng một số thuộc tính.
Định nghĩa objectClass
- Mỗi objectClass có một OID
- Từ khóa MUST chỉ ra một tập các thuộc tính phải
- Từ khóa MAY định nghĩa một tập các thuộc tính tùy chọn.
- Từ khóa SUP chỉ ra objectClass cha, đối tượng mà objectClass này kế thừa. Đối tượng kế thừa có tất cả các thuộc tính của objectClass cha..
Cấu hình VPN tích hợp LDAP [6]
Check Point VPN-1 NG có khả năng truy cập tới máy chủ thư mục LDAP để xác thực các tài khoản kết nối VPN đến thiết bị.
Máy chủ LDAP của trường Đại học Công Nghệ sử dụng OpenLDAP, một ứng dụng LDAP miễn phí, ổn định chạy trên nền UNIX.
Trong phần này, khóa luận sẽ trình bày các thao tác cấu hình cho phép sử dụng máy chủ OpenLDAP quản lý các tài khoản truy cập VPN cho thiết bị Check Point.
Cấu hình máy chủ LDAP
Mặc định OpenLDAP không có sẵn schema Check Point.
objectClass fw1person được định nghĩa như một kiểu hỗ trợ để giúp cho việc quản lý các user đã tồn tại qua dịch vụ LDAP.
OpenLDAP sử dụng một khuôn dạng định nghĩa schema đơn giản, người dùng có thể tạo schema từ Netcapse Schema ($FWDIR/lib/ldap/schema.ldif) bằng cách sử dụng một shell script, hoặc có thể sử dụng một schema đã được tạo sẵn (xem phụ lục A). Sau đó copy file schema vào /etc/openldap/schema/fw1ng.schema đồng thời thêm khai báo vào file slapd.conf.
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/fw1ng.schema
Bước tiếp theo, người dùng phải thêm objectClass fw1person cho các tài khoản trong thư mục LDAP. Do Check Point sử dụng một schema riêng nên nếu không thêm objectClass fw1person vào các tài khoản thì Check Point sẽ không thể sử dụng được các tài khoản này.
Cài đặt và cấu hình VPN-1
Kích hoạt SmartDirectory trong Global Properties
Mặc định, tính năng quản lý người dùng bằng máy chủ LDAP không được kích hoạt. Để sử dụng tính năng này người dùng phải kích hoạt LDAP Account Management trong Global Properties bằng cách đánh dấu vào tùy chọn User SmartDirectory. Có thể truy cập vào Global Properties trên toolbar hoặc vào menu Policy/Global Properties.
Hình 28. Kích hoạt Smart Directory
Tạo một host object cho OpenLDAP server
Tạo một host object mới cho host chạy OpenLDAP server sử dụng:
Manage/Network Objects/New… Node - Host.
Tạo một LDAP Account Unit
Tạo một LDAP Account Unit mới sử dụng Manage/Servers/New… LDAP Account Unit. Cửa sổ LDAP Account Unit Properties gồm có các thẻ. Gõ tên và chọn một profile cho thư mục.
- thẻ General định nghĩa các thiết lập chung của SmartDirectory (LDAP) Account Unit. Chọn User management và chọn một profile áp dụng cho Account Unit mới. Với OpenLDAP server sử dụng profile OPSEC_DS hoặc OpenLDAP_DS.
- thẻ Servers, hiển thị LDAP servers được sử dụng bởi Account Unit. Thứ tự hiển thị cũng chính là thứ tự truy vấn mặc định. Thêm server vào danh sách hiển thị.
Nháy đúp lên một SmartDirectory (LDAP) server trong danh sách để sửa đổi nó. Cửa sổ LDAP Server Properties được hiển thị.
Hình 29. LDAP Server Properties
Trong thẻ General, có thể thay đổi DN đăng nhập của LDAP server, ví dụ
”cn=Manager,dc=example,dc=com”. Xác định độ ưu tiên của LDAP server được chọn (độ ưu tiên được sử dụng khi có nhiều máy chủ LDAP).
Xác định mật khẩu dùng để xác thực. Chọn Read data from this server và Write data to this server sau đó nhấn OK.
Trong thẻ Objects Management chọn LDAP server thích hợp. Branches của LDAP server có thể nhận được bằng cách chọn Fetch branches, hoặc thêm bằng tay. Branches sẽ được tìm kiếm khi LDAP server được truy vấn.
Thẻ Authentication định nghĩa giới hạn và các thiết lập xác thực mặc định cho một user trên một Account Unit. Tùy chọn Allowed Authentication schemes giới hạn truy cập xác thực của user chỉ trong authentication schemes. Có thể cho phép vài authentication schemes áp dụng cho một user, hoặc có thể áp dụng một authentication schemes mặc định cho tất cả user. Các user được lấy về qua Account Unit, nhưng thiếu các định nghĩa liên quan đến xác thực, sẽ sử dụng authentication scheme mặc định, hoặc một template.
Tạo LDAP group
Nhấn chuột phải vào LDAP Groups.
Chọn New LDAP Groups.
Nhập tên cho group và chọn LDAP Account Unit đã tạo ở trên. Chọn All Branches, một Branch, hoặc một LDAP Group.
Chọn Apply.
TRIỂN KHAI THỰC TẾ
Phân tích và giải pháp
Hình 30. Mô hình mạng cũ
Trên cơ sở khảo sát hiện trạng hệ thống mạng VNUnet và Coltechnet, dựa trên những đánh giá, phân tích về hạn chế của cả hai hệ thống mạng cũng như những yêu cầu thực tế, việc triển khai những thiết bị phần cứng chuyên về bảo mật như Nokia IP hay IPS Proventia G200 (thiết bị phát hiện và ngăn chặn xâm nhập) cũng như các phần mềm giám sát mạng như HP Openview, Nagios là cần thiết và có ý nghĩa rất quan trọng.
Mục tiêu đặt ra là phải tạo ra một hệ thống bảo vệ, bảo mật vững chắc cho hệ thống mạng nội bộ và đặc biệt là hệ thống Server của trường.
Dựa trên tình hình thực tế và mục tiêu cụ thể, mô hình triển khai được đưa ra như sau.
Hình 31. Mô hình mạng mới
Thiết bị Nokia IP1220 có một vị trí rất quan trọng vì nó vừa là điểm cầu nối vào hệ thống Server, vừa là một gateway kết nối ra mạng Internet. Nokia Check Point là bức rào cản đầu tiên bảo vệ hệ thống mạng nội bộ, đặc biệt nó ngăn cách và bảo vệ hệ thống Server với mạng bên ngoài.
Trên thiết bị Nokia hiện tại gồm có 8 cổng kết nối Ethernet. Có 5 cổng sẽ được sử dụng để kết nối vào mạng, còn lại ba cổng dự trữ được dùng cho mục đích sau này. Trong 5 cổng Ethernet được sử dụng:
Một cổng dùng để kết nối đến Router gateway để ra ngoài mạng Internet, cổng này có địa chỉ public là 210.86.230.x (địa chỉ này được sử dụng để kết nối VPN).
Hai cổng kết nối đến hai thiết bị IPS Proventia G200, qua đó kết nối tới hệ thống Server. Với cách thiết kế này các Server sẽ có hai lớp bảo vệ. Lớp bảo vệ đầu tiên là hệ thống tường lửa, SmartDefense của Check Point Nokia. Nhiệm vụ của tường lửa thiết lập các luật quy định quyền truy cập cho các đối tượng. Nó ngăn chặn phần lớn các truy cập bất hợp pháp và cho phép các truy cập hợp pháp vào mạng. SmartDefense là hệ thống phòng thủ thông minh giúp phát hiện và ngăn chặn các xâm phạm, tấn công vào mạng. Lớp thứ hai là thiết bị phát hiện và ngăn chặn xâm nhập IPS Proventia G200. Thiết bị này chuyên dùng bảo vệ mạng khỏi các cuộc tấn công và thâm nhập. Với hai lớp bảo vệ này hệ thống Server sẽ là hệ thống được bảo vệ an toàn nhất trong mạng.
Một cổng nối tới các class room. Tường lửa sẽ quy định các chính sách truy cập cho class room, chỉ cho các class room quyền truy cập trong giới hạn được phép.
Cổng còn lại nối tới toàn bộ phần còn lại của mạng qua Switch tổng Catalys 6509.
Các cấu hình được thiết lập trên Nokia Check Point gồm có các chính sách tường lửa, NAT và cấu hình VPN Gateway. Chính sách tường lửa được áp dụng trên tất cả các cổng để hạn chế, cho phép các dịch vụ và phân quyền cho người dùng truy cập tới các Server. VPN gateway cấu hình truy cập từ xa sử dụng Office Mode. Người dùng có thẩm quyền sẽ được phép kết nối VPN tới mạng nội bộ qua địa chỉ public của thiết bị, sau đó người dùng có thể truy cập, sử dụng các tài nguyên như là một máy trong mạng. Việc quản lý người dùng VPN được thực hiện bởi máy chủ OpenLDAP. Trên thiết bị cũng được thiết lập các chính sách định tuyến cần thiết để hệ thống mạng hoạt động theo yêu cầu. Các thiết lập cài đặt chi tiết được trình bày trong phần 9.2 Cài đặt.
Cài đặt
Quá trình cài đặt trải qua hai bước. Bước một là lắp đặt và tiến hành các cài đặt cần thiết. Bước hai là thiết lập, cấu hình các chức năng.
Lắp đặt và cài đặt ban dầu
Tiến hành lắp thiết bị lên Rack, kết nối các cổng theo sơ đồ kết nối ở trên. Sau đó nối dây nguồn và khởi động thiết bị.
Nếu trên thiết bị chưa cài đặt hệ điều hành và các gói Firewall, VPN cần thiết, thì sau khi lắp đặt cần phải thực hiện các thao tác cài đặt hệ điều hành IPSO và bộ sản phẩm Check Point NGX. Thiết bị Nokia IP1220 được cài đặt hệ điều hành IPSO phiên bản 4.2 và bộ sản phẩm Check Point NGX R62.
Có thể download bộ cài đặt hệ điều hành IPSO bản 4.2 trên trang chủ checkpoint.com (cần có tài khoản). Sau đó thiết lập một máy chủ FTP và sao chép bộ cài đặt HĐH IPSO vào thư mục gốc của máy chủ FTP. Sử dụng kết nối Ethernet nối từ một cổng của thiết bị đến máy chủ FTP.
Truy cập vào cổng Console trên thiết bị. Khởi động thiết bị và tiến hành cài đặt như trong phần 2.2.2 của Khóa luận.
Sau khi cài đặt xong hệ điều hành cho Nokia IP1220, tiếp tục cài đặt bộ sản phẩm Check Point NGX R62. Chúng ta sử dụng mô hình triển khai độc lập. Tức là cài đặt đồng thời hai thành phần Enforcement Module và Management Server lên thiết bị Nokia IP1220. SmartConsole được cài đặt lên một máy tính chạy HĐH Windows được sử dụng để thiết lập cấu hình và quản lý hoạt động của thiết bị. Các bước cài đặt NGX R62 và cách kích hoạt các gói được nêu trong chương 3 của Khóa luận. Sử dụng giao diện web Nokia Network Voyager để kiểm tra kết quả cài đặt.
Hình 32. Thông tin về hệ điều hành và các gói kích hoạt
Để có thể sử dụng và thiết lập các luật lên tường lửa, trước hết phải tiến hành thiết lập cpconfig (xem phần 4.1) sau đó khởi động lại thiết bị.
Tiếp đó phải kích hoạt, thiết lập cấu hình và địa chỉ IP cho các cổng sử dụng. Cách đơn giản nhất là vào giao diện web Nokia Network Voyager trong trang Configuration | Interface Configuration | Interfaces. Chọn cổng cần cấu hình và thiết lập các thông số cần thiết. Như trên hình
Hình 33. Cấu hình các cổng của thiết bị
Các cấu hình khác:
Vào Configuration | Routing | Static Routes. Thiết lập gateway routing.
Hình 34. Đặt gateway
Vào Configuration | System Configuration | Host Address. Đặt hostname và host address.
Cấu hình SNMP trong Configuration | System Configuration | SNMP.
Hình 35. Cấu hình Host Name, SNMP
Hoàn tất xong quá trình lắp đặt và cài đặt, chuyển sang bước kết tiếp là thiết lập các cấu hình tường lửa, VPN cho thiết bị.
Thiết lập cấu hình
Chạy chương trình SmartDashboard. Đăng nhập vào SmartCenter Server. Mọi cấu hình tường lửa, SmartDefense, VPN, NAT,… đều được cấu hình qua SmartDashboard.
Cấu trúc mạng hiển thị qua Smartmap
Hình 36. Smartmap
Cấu hình ban đầu
Kiểm tra nếu firewall còn ở dạng Host thì phải chuyển sang Gateway bằng cách nhấn chuột phải vào firewall chọn Convert to gateway…
Cấu hình trong Check Point Gateway | General Properties.
Hình 37. General Properties
Trong phần IP Address, nếu sử dụng Get Address thì sẽ ra địa chỉ 192.168.0.71. Nhưng để thiết lập VPN ta phải sử dụng địa chỉ public của nó. Nhập vào 210.86.230.116.
Hình 38. Topology
Trong thẻ Topology, khi chọn Get | Interfaces with Topology, firewall sẽ tự phân ra các cổng Internal (This network) và External dựa vào default gateway được đặt.
Trong VPN Domain, chọn All IP Address… nếu muốn thiết lập VPN cho tất cả các địa chỉ phía sau tường lửa. Hoặc có thể chỉ thiết lập một số mạng nào đó bên trong làm VPN domain bằng cách chọn Manual defined.
Phần NAT để mặc định vì không yêu cầu firewall phải thực hiện chức năng NAT cho toàn bộ mạng.
Trong Smart Defense chọn Default Protection để sử dụng các thiết lập phòng thủ mặc định của SmartDefense.
Thiết lập các luật tường lửa
Hình 39. Các luật tường lửa
Luật đầu tiên có tác dụng cấm các máy nằm trong mạng 140.133.217.144/28 thực hiện bất kỳ một kết nối nào với mạng nội bộ bên trong firewall.
Hai luật kế tiếp dành cho VPN sẽ được trình bày trong phần sau.
Luật cuối cùng cho phép tất cả kết nối và không thực hiện bất kỳ một hạn chế nào. Nếu không có luật này thì firewall sẽ thực hiện luật mặc định là bỏ qua tất cả kết nối vào bên trong mạng.
SmartDefense ở chế độ Default Protection
Hình 40. Protection Overview
Thiết lập cấu hình VPN
Cấu hình trong Check Point Gateway, thẻ Remote Access
Hình 41. Remote Access
Trong Office Mode, đặt tùy chọn Allow Office Mode to all users. Đặt giải IP pool là 192.168.10.0/24. Khi client kết nối VPN vào mạng thì VPN gateway sẽ gán cho client một địa chỉ thuộc dải này.
Trong VPN Manager, chọn Community Remote Access. Trong Remote Access Community Properties thêm Participating Gateway và Participant User Group.
Hình 42. Remote Access Community Properties
Chọn All Users để cho phép tất cả người dùng đều có thể tham gia vào VPN. Có thể thiết lập các Group để hạn chế số người dùng.
Thiết lập các tùy chọn khác trong Global Properties như phương thức xác thực, hỗ trợ IKE qua TCP, nén gói tin IP (VPN Basic), các giải thuật mã hóa và toàn vẹn dữ liệu (VPN – IKE, VPN - IPSec).
Hình 43. VPN Basic
Hình 44. VPN - IKE
Hình 45. VPN – IPSEC
Do khi kết nối VPN vào mạng, client sẽ được gán một địa chỉ thuộc dải 192.168.10.0. Các máy trong mạng không thể biết được địa chỉ này. Do vậy phải NAT điạ chỉ này sang địa chỉ của thiết bị để client có thể tham gia vào mạng một cách bình thường (nếu sử dụng DHCP để cấp địa chỉ thì không cần NAT). Thực hiện bằng cách mở đối tượng mạng 192.168.10.0, thiết lập cấu hình trong thẻ NAT. Luật NAT được tự động thêm trong Network Translation.
Hình 46. VPN NAT
Tích hợp máy chủ LDAP để quản lý người dùng
Thiết lập cấu hình máy chủ LDAP 10.10.0.22 (xem phần 8.2.1) và thiết lập cấu hình cho Check Point.
Tạo Network Object của máy chủ LDAP trong Manage | Network Object chọn New | Node | Host… Trong phần IP Address điền địa chỉ IP của máy chủ LDAP.
Hình 47. Tạo Host Node
Khai báo LDAP Account Unit trong Manage | Server and OPSEC Application… chọn New | LDAP Account Unit. Cấu hình như sau:
Hình 48. Thẻ General
Trong thẻ Server. Chọn Add. Nhập các thông tin cần thiết như tài khoản đăng nhập, mật khẩu…
Hình 49. LDAP Server Properties
Hình 50. Thẻ Server
Trong thẻ Object Management, nhấn Fetch branches
Hình 51. Thẻ Object Management
Firewall sẽ kết nối đến máy chủ LDAP và lấy về danh sách tài khoản
Hình 52. Hiển thị tài khoản LDAP
Tạo LDAP Group trong Manage | User and Administrators chọn New LDAP Group… Trong phần Group’s Scope chọn phạm vi cho nhóm.
Hình 53. LDAP Group
Firewall cho phép tạo các group nhanh chóng bằng cách sử dụng các group sẵn có của máy chủ LDAP. Chỉ cần nhấn chuột phải lên group đó, chọn Define External Group.
Với việc tạo các LDAP group như vậy chúng ta có thể dễ dàng thiết lập các luật riêng cho từng group để quy định quyền hạn của các client khi truy cập VPN vào mạng.
Bước cuối cùng là ta định nghĩa các luật Remote Access.
Hình 54. Luật Remote Access
Luật 2 và 3 là các luật dùng cho VPN Remote Access. Luật 2 có ý nghĩa là không cho phép tài khoản sinh viên truy cập vào mạng 192.168.0.0/24. Luật 3 là cho phép tất cả các tài khoản khi đăng nhập VPN Remote Access thì được quyền truy cập tới toàn bộ mạng. Với nguyên tắc làm việc từ trên xuống của firewall thì trong trường hợp này tài khoản sinh viên bị giới hạn quyền truy cập đến mạng 192.168.0.0 nhưng vẫn có thể truy cập tới phần còn lại trong mạng.
Kết nối VPN bằng SecureClient
Sau khi tạo Site có địa chỉ 210.86.230.116, vào Profile Properties chọn Visitor Mode.
Hình 55. Chọn Visitor Mode
Nháy chuột vào biểu tượng của SecureClient để bắt đầu kết nối.
Hình 56. Màn hình đăng nhập
Hình 57. Thiết lập kết nối
Hình 58. Xác thực tài khoản
Hình 59. Kết nối thành công
Để kiểm tra kết nối VPN đã thành công. Vào Command Prompt. Gõ ipconfig /all. Xuất hiện một Ethernet adapter mới có địa chỉ IP là 192.168.10.1 như trong hình.
Ping thử tới một địa chỉ trong mạng VPN sẽ nhận được kết quả trả về.
Hình 60. Kiểm tra địa chỉ
Gõ route print để kiểm tra bảng định tuyến
Hình 61. Kiểm tra bảng định tuyến
Giám sát và quản lý
Việc giám sát và quản lý hoạt động của Nokia Check Point được thực hiện bằng chương trình SmartView Tracker R62 và SmartView Monitor R62. Cả hai ứng dụng này đều nằm trong gói phần mềm SmartConsole cùng với SmartDashboard. Từ cửa sổ của một trong các ứng dụng này, có thể mở các ứng dụng khác bằng cách vào menu Windows, chọn ứng dụng cần mở.
Khi một gói tin đi vào Nokia Check Point, nó sẽ được tường lửa kiểm tra, nếu gói tin tương ứng với một luật nào đó nó sẽ được ghi log lại (nếu trong luật cho phép ghi log). Ngoài ra các sự kiện xảy ra trên firewall cũng được ghi log như cài đặt luật, thay đổi cấu hình, đăng nhập hệ thống…
SmartView Tracker cung cấp một giao diện để hiển thị các file log. Qua đó người quản trị có thể giám sát được tất cả các kết nối qua thiết bị, cũng như có được rất nhiều thông tin cần thiết khác. SmartView Tracker gồm có ba chế độ khác nhau là: Log, Active, Audit.
Log hiển thị tất cả các bản ghi trong tệp fw.log gồm các sự kiện liên quan đến các luật và các chính sách an ninh.
Hình 62. SmartView Tracker - Log
Để hiển thị chi tiết một bản ghi, nháy đúp vào bản ghi đó.
Hình 63. Record Detail
Người quản trị có thể xem các thông tin của gói tin như thời gian gói tin đến, địa chỉ nguồn, đích, giao thức, dịch vụ, tài khoản gửi (nếu là gói tin VPN), hành động mà tường lửa áp dụng lên gói tin, …
Active hiển thị các kết nối hiện tại đang được mở thông qua firewall.
Hình 64. SmartView Tracker – Active
Audit hiển thị các sự kiện liên quan đến cài đặt, thay đổi các luật và các thao tác của người quản trị.
Hình 65. SmartView Tracker - Audit
Thời điểm hiện tai, thiết bị đã được lắp đặt trên mạng thực tế, và kết quả ban đầu cho thấy thiết bị hoạt động khá tốt và ổn định.
SmartView Monitor cho phép người quản trị giám sát theo thời gian thực các hoạt động trên mạng, và hiển thị dưới nhiều dạng khác nhau như bảng, biểu đồ.
Hình 66. SmartView Monitor
Người quản trị có thể giám sát các thông tin như network traffic, VPN Tunnel, Remote User, và hàng loạt thông tin cần thiết khác.
Hình 67. SmartView Monitor - System
Hình 68. SmartView Monitor – Remote User
KẾT LUẬN
Sau khi kết thúc thời gian làm khóa luận tốt nghiệp với đề tài “Nghiên cứu triển khai Nokia firewall”, em đã thực hiện triển khai thành công Nokia IP1220 trên hệ thống mạng trường Đại học Công Nghệ. Các chức năng triển khai trên Nokia IP1220 gồm có NAT, định tuyến, chức năng tường lửa và VPN. Đặc biệt chức năng VPN có khả năng tích hợp với máy chủ LDAP có sẵn của trường Đại học Công Nghệ giúp cho một người dùng chỉ cần sử dụng một account để truy cập được tất cả các dịch vụ khác nhau như mail, website môn học, VPN… Việc triển khai thành công Nokia IP1220 trên hệ thống mạng trường Đại học Công Nghệ sẽ giúp nâng cao khả năng bảo mật của mạng, cung cấp hệ thống tường lửa và khả năng truy cập từ xa qua mạng riêng ảo một cách an toàn, mạnh mẽ và chuyên nghiệp. Và khóa luận này sẽ là một tài liệu bổ ích dành cho mục đích tham khảo sau này.
Các phương hướng phát triển trong tương lai gồm có:
Nghiên cứu thêm về cấu hình VPN mạng nối mạng trên Nokia Check Point.
Nghiên cứu thiết lập cấu hình VRRP và cấu hình Check Point Gateway Cluster.
Thiết lập các luật tường lửa cho phù hợp với từng điều kiện thay đổi của hệ thống mạng.
Cập nhật và cài đặt các phiên bản mới.
Trong quá trình nghiên cứu và làm khóa luận này em cũng gặp phải khá nhiều khó khăn. Nokia IP1220 là một thiết bị phức tạp và đắt tiền nên em không có điều kiện để thực hành ở nhà. Nhưng bù lại em cũng được các thầy ở trung tâm máy tính hết sức tạo điều kiện trong thời gian thực hiện Khóa luận. Cũng bởi vì Nokia IP1220 là một thiết bị phức tạp, đắt tiền và chuyên dụng nên nó không được sử dụng phổ biến, do đó việc tìm hiểu, tìm kiếm tài liệu, tải các sản phẩm, phần mềm là rất khó. Tuy nhiên nhờ sự cố gắng, nỗ lực cùng sự hướng dẫn tận tình của các thầy em đã hoàn thành Khóa luận. Do là lần đầu tiên viết một tài liệu khoa học nên Khóa luận này không tránh khỏi còn rất nhiều thiếu sót, em rất mong nhận được sự chỉ bảo, hướng dẫn từ các thầy cô.
PHỤ LỤC
Phụ lục A. fw1ng.schema
Nội dung tệp fw1ng.schema cho OpenLDAP
attributetype ( 1.3.114.7.4.2.0.1
NAME 'fw1auth-method'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.2
NAME 'fw1auth-server'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.3
NAME 'fw1pwdlastmod'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.4
NAME 'fw1skey-number'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.5
NAME 'fw1skey-seed'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.6
NAME 'fw1skey-passwd'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.7
NAME 'fw1skey-mdm'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.8
NAME 'fw1expiration-date'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.9
NAME 'fw1hour-range-from'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.10
NAME 'fw1hour-range-to'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.11
NAME 'fw1day'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.12
NAME 'fw1allowed-src'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.13
NAME 'fw1allowed-dst'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.14
NAME 'fw1allowed-vlan'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.15
NAME 'fw1SR-keym'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.16
NAME 'fw1SR-datam'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.17
NAME 'fw1SR-mdm'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.18
NAME 'fw1enc-fwz-expiration'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.19
NAME 'fw1sr-auth-track'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.20
NAME 'fw1grouptemplate'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.21
NAME 'fw1ISAKMP-EncMethod'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.22
NAME 'fw1ISAKMP-AuthMethods'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.23
NAME 'fw1ISAKMP-HashMethods'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.24
NAME 'fw1ISAKMP-Transform'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.25
NAME 'fw1ISAKMP-DataIntegrityMethod'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.26
NAME 'fw1ISAKMP-SharedSecret'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.27
NAME 'fw1ISAKMP-DataEncMethod'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.28
NAME 'fw1enc-methods'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.29
NAME 'fw1userPwdPolicy'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.30
NAME 'fw1badPwdCount'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.31
NAME 'fw1lastLoginFailure'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.32
NAME 'memberoftemplate'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
attributetype ( 1.3.114.7.4.2.0.33
NAME 'memberOf'
SYNTAX '1.3.6.1.4.1.1466.115.121.1.26' )
objectclass ( 1.3.114.7.3.2.0.1
NAME 'fw1template'
SUP 'top'
MUST ( cn )
MAY ( member $ description $ fw1auth-method $ fw1auth-server $ fw1pwdlastmod $ fw1skey-number $ fw1skey-seed $ fw1skey-passwd $ fw1skey-mdm $ fw1expiration-date $ fw1hour-range-from $ fw1hour-range-to $ fw1day $ fw1allowed-src $ fw1allowed-dst $ fw1allowed-vlan $ fw1SR-keym $ fw1SR-datam $ fw1SR-mdm $ fw1enc-fwz-expiration $ fw1sr-auth-track $ fw1grouptemplate $ fw1ISAKMP-EncMethod $ fw1ISAKMP-AuthMethods $ fw1ISAKMP-HashMethods $ fw1ISAKMP-Transform $ fw1ISAKMP-DataIntegrityMethod $ fw1ISAKMP-SharedSecret $ fw1ISAKMP-DataEncMethod $ fw1enc-methods $ fw1userPwdPolicy $ memberOf) )
objectclass ( 1.3.114.7.3.2.0.2
NAME 'fw1person'
SUP top AUXILIARY
MUST ( cn $ sn )
MAY ( description $ userpassword $ mail $ uid $ fw1auth-method $ fw1auth-server $ fw1pwdlastmod $ fw1skey-number $ fw1skey-seed $ fw1skey-passwd $ fw1skey-mdm $ fw1expiration-date $ fw1hour-range-from $ fw1hour-range-to $ fw1day $ fw1allowed-src $ fw1allowed-dst $ fw1allowed-vlan $ fw1SR-keym $ fw1SR-datam $
fw1SR-mdm $ fw1enc-fwz-expiration $ fw1sr-auth-track $ fw1grouptemplate $ fw1ISAKMP-EncMethod $ fw1ISAKMP-AuthMethods $ fw1ISAKMP-HashMethods $ fw1ISAKMP-Transform $ fw1ISAKMP-DataIntegrityMethod $ fw1ISAKMP-SharedSecret $ fw1ISAKMP-DataEncMethod $ fw1enc-methods $ fw1userPwdPolicy $ fw1badPwdCount $ fw1lastLoginFailure $ memberoftemplate $ memberOf) )
Phụ lục B: Hiện trạng mạng VNUNet [3]
B.1. Khái quát về hiện trạng VNUNet
B.1.1. Mô hình tổ chức
Đại học quốc gia Hà Nội có tổng cộng 28 đơn vị với 2.503 cán bộ và 23.628 sinh viên, học viên các hệ tập trung (26.131 cán bộ và học viên, sinh viên các hệ tập trung), 26.000 sinh viên các hệ không tập trung.
Gần như 100% cán bộ đã có máy tính làm việc. Số lượng máy tính trong các phòng thí nghiệm và phòng thực hành phục vụ công tác giảng dạy và trong các ký túc xá có khoảng 1.500 chiếc, tổng cộng hiện có khoảng 4.000 máy tính kết nối vào VNunet.
Tỷ lệ sinh viên có máy tính ở nhà ước tính khoảng 20%, số lượng sinh viên có các thiết bị xử lý thông tin di động hiện còn rất thấp, chỉ khoảng 2%, các thiết bị di động hiện chưa có khả năng kết nối di động vào VNUnet.
B.1.2. Cơ sở hạ tầng truyền thông của VNUNet
Hệ thống cáp quang: hiện đã có các đường kết nối từ điểm trung tâm tới
Các đơn vị tại 144 Xuân Thuỷ: Cơ quan ĐHQGHN, Trường ĐHNN, Trường ĐHCN, Trường ĐHKT, Khoa Quản trị kinh doanh, Trung tâm Thông tin Thư viện.
Các đơn vị tại 334-336 Nguyễn Trãi: Trường ĐHKHTN, Trường ĐHKHXH-NV
Ký túc xá Mễ trì
Mở rộng hệ thống cáp quang nói trên là hệ thống các đường kết nối bằng cáp đồng đến hầu khắp các đơn vị của ĐHQGHN.
Bốn địa điểm, năm đơn vị chưa được kết nối vào VNUnet gồm có
Địa điểm 19 Lê Thánh Tông: Khoa Hóa.
Địa điểm 16 Hàng Chuối: Nhà xuất bản, Nhà in.
Khoa Quốc tế
Ban Quản lý dự án Hoà Lạc tại Hoà Lạc.
Các đường kết nối ra bên ngoài
Lease line 10 Mbps tới Viettel vào Internet
Lease line 100 Mbps tới Netnam vào VINAren – mạng khoa học giáo dục Việt Nam và qua đó vào TEIN2, APAN.
Lease line tới mạng hành chính của chính phủ (chưa hoạt động).
Hệ thống thiết bị ghép nối
Tại điểm tập trung của VNUnet có
Cisco Router 2800.
Switch trung tâm Catalyst 4507 (2005) với 8 cổng quang và 48 cổng Giga Ethernet RJ45.
Switch phân đoạn Catalyst 2950, 4 chiếc (2003), Catalyst 1900, 2 chiếc (2001).
Fire wall Cisco Pix 515e (2001, hỏng).
Kiến trúc ghép nối
Hệ thống truyền thông được xây dựng theo kiến trúc Ethernet, ở mức mỗi đơn vị thành viên, trực thuộc là một subnet/VLAN, sử dụng không gian địa chỉ IP giả lập (10.0.0.0 và 172.16.0.0). Các kết nối ra bên ngoài với tên miền vnu.edu.vn và vnu.vn được thực hiện qua một số lượng IP được cấp phát hạn chế (32 địa chỉ).
Tại các đơn vị thành viên, trực thuộc, việc phân chia subnet/VLAN mới chỉ được thực hiện ở Trường ĐHCN, chưa được thực hiện ở tất cả các đơn vị còn lại, vì vậy mỗi đơn vị, dù lớn, dù nhỏ đều là một miền broadcast, với tỷ lệ các gói tin broadcast rất lớn, tỷ lệ truyền tin hữu ích rất thấp (chỉ xung quanh 30%). Hơn nữa chất lượng thi công và quản lý kết nối cả ở mức logic và vật lý đều không được quan tâm nên tỷ lệ lỗi thực tế rất cao; làm giảm sút nghiêm trọng hiệu suất hoạt động của hệ thống – gây nên lãng phí không nhỏ các đầu tư của ĐHQGHN. Một số đơn vị đã tự thực hiện các kết nối ra bên ngoài qua ADSL, đặt website ra ngoài.
Router
3600
INTERNET
TEIN2
VINAren
CPNET
112
Catalyst
2950
Catalyst
4507
203.113.130.192/27
172.16.0.0/16
ĐH Ngoại ngữ
ĐH Kinh tế, Khoa Luật, Viện CNSH
Vện CNTT
ĐH KHTN
ĐH KHXH-NV
Thư viện TĐ
KTX Mễ Trì
Khoa QTKD
TTPT Hệ thống, Khoa SP, Khoa SĐH
VP ĐHQGHN
TRƯỜNG ĐH CÔNG NGHỆ Với hệ thống thiết bị ghép nối mạng riêng
Trung tâm TTTV
10.1.0.0/16
10.10.0.0/16
Cáp quang
TT Đào tạo từ xa
Proxy
Web
Mail
Hình 69. Mô hình logic hệ thống mạng VNUnet
B.1.3. Hệ thống các server các dịch vụ
Hệ thống server hiện tại có 15 chiếc, trong đó có 12 chiếc được trang bị năm 2004, một chiếc có 2 GB, 11 chiếc có 1 GB RAM, số còn lại đã được trang bị từ năm 2000. Dung lượng đĩa cứng lưu trữ rất hạn chế, chỉ một server có đĩa cứng dung lượng 150 GB, số còn lại chỉ có tối đa 80 GB.
VNU hiện cung cấp các dịch vụ:
Tài khoản truy cập Internet cho khoảng 3000 tài khoản là cán bộ, giảng viên của ĐHQGHN.
Thư tín điện tử cho cán bộ, giảng viên của ĐHQGHN với dung lượng hộp thư rất hạn chế, chỉ 10MB/account.
Dịch vụ văn thư điện tử cho Cơ quan ĐHQGHN.
Duy trì kỹ thuật hoạt động của Website ĐHQGHN và Website của ba khoa trực thuộc là: khoa sau đại học, khoa Sư phạm, khoa Quốc tế.
Từ những số liệu thống kê trên, ta có thể thấy ĐHQGHN là một tổ chức đại học quy mô trung bình bao gồm nhiều đơn vị thành viên và trực thuộc, với nhiều campus phân bố trên diện tích khá rộng trong nội thành thủ đô Hà Nội. Một trong trong những thế mạnh, cũng là tiêu chí xây dựng phát triển ĐHQGHN chính là việc xác lập những cơ chế mới để tập hợp và cùng chia sẻ hiệu quả các tài nguyên tri thức, con người, ... từ những đơn vị thành viên và trực thuộc.
VNUnet có ý nghĩa quan trọng trong ĐHQGHN, như là giải pháp ICT tất yếu cần có không những trong việc tổ chức tập hợp và chia sẻ các tài nguyên trong môi trường ĐHQGHN mà còn là tổ chức cung cấp các dịch vụ hữu ích của ĐHQGHN cho các đơn vị thành viên, trực thuộc; Một thể hiện vai trò cũng như ý nghĩa của mô hình ĐHQGHN.
B.2. Hiện trạng mạng CTNet
Trường Đại học Công nghệ hiện triển khai các hoạt động của mình trên mặt bằng rộng gồm 4 địa điểm cách xa nhau từ 3 đến 5 km, trong đó địa điểm tại 144 Xuân Thủy là địa điểm chính, một địa điểm khác có các phòng máy thực hành và truy cập Internet của sinh viên cách xa 5 km.
Sơ đồ mặt bằng tại địa điểm chính gồm các tòa nhà E3, E4, G2, G3, G2B, G5 và G6 được trình bày trên hình vẽ. Trong năm 2007, được sự cho phép của ĐHQGHN, Trường ĐHCN đang triển khai kế hoạch xây dựng nâng tầng nhà G2 để có thêm 1000 m2 mặt bằng để chuyển dần sinh viên về học tại khu vực 144 Xuân Thủy, trong đó định hướng ưu tiên cho hệ đào tạo chất lượng cao và chương trình đào tạo trình độ quốc tế.
B.2.1. Mô hình tổ chức
Hệ thống hiện có 01 Swicth trung tâm Catalyst 6509 đặt trung tâm máy tinh tầng 1 nhà G2B. Từ đây có các đường cáp UTP đến wallplace tại từng phòng (của Khoa Công nghệ cũ; khi thành lập Trường ĐHCN, các phòng này đã được thay đổi thiết kế, thay đổi đơn vị sử dụng, những điều chỉnh, nối tiếp thêm không quản lý được). Kết nối Switch
Các phòng làm việc và phòng máy tính trong tòa nhà E3
Các phòng làm việc và phòng máy tính trong tòa nhà E4
Các phòng làm việc và phòng máy tính trong tòa nhà G2
Internet
VNUnet Router
Các trường Thành viên và các đơn vị trực thuộc ĐHQG
Phần mạng Trường ĐHCN
từ mỗi phòng đến máy tính được thực hiện qua các HUB.
Hình 70. Mô hình logic mạng CTNet
B.2.2. Server và các dịch vụ hệ thống
Có 04 server với cấu hình như sau
Server Web, 1 CPU P.4, 1 GB RAM, 2 ổ cứng 36 GB (từ phòng HCQT)
Server quản lý người dùng, 1 CPU P.4, 1 GB RAM, 1 ổ cứng 36 GB
Server phục vụ tệp, 1 CPU P.4, 512 MB RAM, 3 ổ cứng 36 GB
Server phục vụ các tiện ích, 1 CPU P.4, 512 MB RAM, 1 ổ cứng 36 GB
Những dịch vụ hệ thống
Hệ thống hiện tại chỉ cung cấp những dịch cụ tối thiểu, trong đó có Website môn học, các tư liệu điện tử của MIT và các nhà cung cấp khác. Dịch vụ tệp dù đã được cung cấp cho sinh viên nhưng vì dung lượng đĩa cứng quá hạn chế nên không hiệu quả.
B.3. Nhận xét
VNUnet và CTNet đã có hệ thống đường truyền thông khá tốt: kết nối ra bên ngoài mạnh, hệ thống đường truyền nội bộ đã phủ được ba khu vực chính.
Hạn chế:
Kết nối Internet ra bên ngoài là kết nối đơn, không có dự phòng, mỗi khi có sự cố đường truyền, liên lạc với bên ngoài bị gián đoạn.
Sử dụng không gian địa chỉ giả lập với thiết bị Proxy. Hệ thống an ninh và an toàn rất yếu kém.
Còn 4 địa điểm chưa được kết nối vào VNUnet, trong đó có 2 địa điểm cần được quan tâm kết nối sớm là 19 Lê Thánh Tông và Khoa Quốc tế.
Tốc độ truyền thông trên các đường trục cáp quang phần lớn mới chỉ hạn chế ở tốc độ 100 Mbps theo cấu trúc đơn, halfduplex, không đảm bảo được kết nối liên lục khi có sự cố.
Kiến trúc phân tầng của mạng còn đơn giản, không ổn định làm giảm hiệu suất mạng, gây lãng phí lớn các đầu tư tài nguyên của ĐHQGHN, gây ức chế tâm lý người dùng, làm xuất hiện tư tưởng kết nối phân tán ra bên ngoài, đặt website ra bên ngoài.
Hệ thống server dường như không ít về số lượng nhưng cấu hình kỹ thuật, đặc biệt là dung lượng lưu trữ quá hạn chế, không đủ sức mạnh để triển khai các dịch vụ trên phạm vi rộng toàn ĐHQGHN.
Quá nghèo nàn về dịch vụ.
B.4. Mục tiêu phát triển hệ thống mạng VNUnet và CTNet
Để án phát triển mạng VNUnet và CTNet đã đưa ra các mục tiêu cần phát triển như sau:
Tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, e-Document, ...), voice, DVD video, ...
Cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực tuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo. Làm giảm kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia sẻ của cá nhân, tập thể trên toàn hệ thống.
Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng.
Có trung tâm dữ liệu mạnh.
Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến người dùng cuối 1Gbps.
Hệ thống kết nối không dây phục vụ các thiết bị xử lý thông tin di động phủ khắp môi trường làm việc, học tập của ĐHQGHN, kể cả các ký túc xá.
Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa và tiếp nhận bài giảng từ xa.
Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh, đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng như trên một desktop ảo.
Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả.
Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động thông suốt, ổn định, hiệu quả.
Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy cập trái phép.
Hỗ trợ cán bộ, giảng viên có thể truy cập vào mạng nội bộ từ xa.
Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết.
TÀI LIỆU THAM KHẢO
[1] Brian Arkills. LDAP Directories Explained: An Introduction and Analysis. Addison Wesley, February 21, 2003.
[2] Gerald Carter. LDAP System Administration. O'Reilly. March 2003.
[3] Chris Tobkin &Daniel Kligerman. Check Point NG/AI: Next Generation with Application Intelligence Security Administration. Syngress Publishing © 2004, Chapter 13.
[4] Warren Verbanec, Andrew Hay, Peter Giannouslis, Keli Hay. Nokia Firewall, VPN, and IPSO Configuration Guide, Syngress Publishing, Inc. Elsevier, Inc. 2009.
[5] Nokia. Check Point for Nokia IPSO Getting Started Guide, January 2007
[6] OPSEC Engineering. How To Configure OpenLDAP to work with Check Point Devices.
[7] akbkhome.
[8] The Academypro.
[9] ThS. Nguyễn Nam Hải. Đề án phát triển VNUnet.
Các file đính kèm theo tài liệu này:
- Nghiên cứu triển khai nokia firewall.doc