MÔ HÌNH BÀI LAB CHECK POINT SECURTIY ADMINISTRATOR
CHƯƠNG I: TỔNG QUAN VPN-1 NGX Check Point SVN ( Secure Virtual Network ) là một cấu trúc cung cấp tính năng bảo mật cho end -to-end network, giúp cho doanh nghiệp bảo vệ các luồng traffic trong trong intranet, intranet, extranet… VPN -1 NGX là một trong những thành phần chính của cấu trúc SVN. Nó làm cho network của enterprice được bảo mật và được quản lý bằng một Security Policy đơn cho toàn network. Mục đích của bài học •
Các thành phần của VPN -1 NGX như thế nào ?
•
Bằng cách nào Check Point SVN SVN Architecture bảo bảo vệ thông tin cho bạn • Dự đoán cách hoạt động của NGX khi được cấu hình. • Chọn ra Smart Console thích hợp để thực hiện công việc cấu hình. • Nhận dạng làm sao triển khai VPN-1 NGX một cách thích hợp nhất tùy theo tình hình cụ thể của bussiness. • Troubleshoot những lỗi thường gặp trong các thành phần của NGX.
Một số thuật ngữ • Stateful Inspection
• Security Gateway • Rule Base • Security Virtual Network Architecture • Smart Console • Smart Center Server • Security Gateway Communication • Secure Internal Communication
I. How VPN-1 NGX Work VPN-1 NGX
giúp ta tiết kiệm tài nguyên của hệ thống thống và thời gian xử xử lý bằng cách nó sẽ xử lý thông tin bên trong kernel của hệ điều hành. Những ứng dụng những trình xử lý ở phía trên kernel layer thường làm cho performance bị giảm. Như vậy bằng cách đặt đặt nó vào trong module module kernel ở giữa stack của NIC và TCP/IP, NGX giải quyết được vấn đề bảo vệ TCP/IP stack bằng chính nó. The Inspect Engine
Cấu trúc Check Point Firewall-1 Stateful Inspection là Inspect Engine khác thường, khéo léo. Ở đây nó sẽ ép Security Policy vào Security Gateway. Và đây là chỗ Security Policy được install vào. (VPN-1 NGX sẽ được install vào trong một Security Gateway mà chính bản thân nó là một firewall ). Inspect Engine sẽ nhìn vào nhìn vào các kết nối ở các layer, rút ra những data có liên quan, hiệu suất s uất hoạt động của nó cao, hỗ trợ nhiều protocol nhiều ứng dụng khác nhau, dễ dàng mở rộng thêm cho những ứng dụng mới. Khi install trên một Security Gateway thì Inspect Engine điều khiển traffic tryền qua lại giữa các network. Inspect Engine được load vào OS một cách tự động và nó sẽ hoạt động giữa layer 2 và layer 3. Ta có mô hình hoạt động của khi không có như sau:
Mô hình hoạt động khi có Firewall Inspect Engine như sau:
Sơ đồ luận lý bên trong như sau:
1. Paket được truyền qua NIC rồi được truyền vào NGX Inspection Module. Sau đó nó sẽ kiểm tra những packet và data bên trong nó. 2. Engine lần lượt kiểm tra xem có match những rule. Nếu như không có rule nào match thì packet đó bị drop. 3. Trong trường hợp rule đó match thì nó sẽ được ghi lại file log và cảnh báo nếu có sẽ được kích hoạt.
4. Những packet nào thỏa mãn những điều kiện để truyền qua sẽ được tiếp theo luồng TCP traffic đi lên những layer cao hơn. 5. Những packet nào không thỏa mãn những điều kiện và bị reject bởi những rule đã được định nghĩa thì NGX sẽ gửi một acknowledgement (ACK) 6. Những packet nào không thỏa mãn những những điều kiện và bị bị drop bởi những rule đã được định nghĩa thì NGX sẽ drop packet đó và không có gửi về một negative acknowledgement (NACK)
II. VPN-1 NGX ARCHITECTURE • Kiến trúc Checkpoint SVN (Secure Virtual Network) tạo nên tính bảo mật cho mạng thông qua chính sách quản lý đơn giản cho một enterprice network . Kiến trúc SVN phân bổ end – to – end – end network security, bảo vệ các luồng dữ liệu dành cho công việc kinh doanh ngoài môi trường internet, luồng dữ liệu intranet, extranet. Kiến trúc của VPN -1 là sẽ kiến trúc ba tầng được kết hợp chặt chẽ với nhau tạo thành một khối thống nhất để nhằm định nghĩa, thực thi và quản lý tập trung các chính sách. • VPN-1 NGX bao gồm những thành phần chủ yếu sau: • Smart Console và Smart Dashboard • Smart Center Server • Security Gateway
• Smart Console Smart Console bao gồm nhiều client nhỏ để quản lý các thành phần của NGX. Các client của Smart Console bao gồm: + Smart Dashboard: được dùng bởi Security Administrator Administrator để định nghĩa và quản lý các chính sách bảo mật. Smart Dashboard cung cấp cho admin một giao diện đồ họa đơn giản. Chức năng của Smart Dashboard là định nghĩa và quản lý nhiều yếu tố của Secure Virtual Network. Ví dụ như Firewall P olicy, Network Address
Translation, Quality of Service, VPN client Security gateway. Quản lý tất cả các object như user, host, network, service…. mà nó được chia sẻ giữa các ứng dụng.
+ SmartView Tracker: được dùng để quản lý, theo dõi log, thực hiện cảnh báo. Nó có thể cung cấp quá trình kiểm tra theo thời gian thực, quá trình kiểm toán tất cả các connect vào. Ngoài ra thì SmartView Tracker cũng log lại các hành động của admin như vậy thì sẽ giúp cho quá trình troubleshoot nhanh hơn. Trong trường hợp có xảy ra attack hoặc ta đang nghi nghờ một kết nối nào đó thì Security Administrtor có thể dùng SmartView Tracker để tạm thời hoặc là cố định hủy session đó xuất phát từ một IP cụ thể. + SmartView Monitor: thường được dùng để theo dõi và tạo report về các traffic trên những interface của thiết bị.
+ Eventia Report: dùng để tạo report về traffic trong mạng theo nhiều hướng khác nhau. Để quản lý network một cách hiệu quả hay khi cần đưa ra một quyết định nào đó thì Security Administrator cần phải thu thập đầy đủ thông tin về hình dạng sơ đồ các traffic trong network. Eventia Report cung cấp cho người người dùng một giải pháp thân thiện cho cho việc theo dõi và thẩm định traffic. traffic. Người admin admin có thể dùng Eventia Report để tạo ra bảng tóm tắt các traffic với nhiều định dạng khác nhau trên NGX, VPN-1 Pro, Secure Client, Smart Defense.
+ SmartLSM: dùng để quản lý nhiều Security Gateway bằng cách dùng Smart Center Server.
+ SmartUpdate: dùng để quản lý và duy trì license. Ngoài ra nó còn giúp cho việc update các software của CheckPoint. b. Smart Center Server
Smart Center Server dùng để lưu trữ và phân phối Security Policy đến nhiều Security Gateway. Các Policy được định nghĩa bằng cách Smart Dashboard và được lưu trữ vào Smart Center Server. Sau đó Smart Center Server sẽ duy trì NGX database bao gồm các network object, định nghĩa user, Security Policy, log file cho Firewall Gateway. Khi cấu hình NGX được tích hợp tất cả vào Security Policy. Tất cả các
policy được tạo ra hay định dạng sau đó được phân phối đến Security Gateway. Việc quản lý chính sách nhóm một cách tập trung nâng cao hiệu quả. c. Security Gateway
• Security Gateway chính là firewall machine machine mà ở đó NGX được cài đặt v ào dựa trên Stateful Inspection. Smart Console và SmartCenter Server có thể triển khai trên một hay nhiều máy tính khác nhau theo mô hình client/server.
• NGX Security Gateway c ó thể triển khai trên một Internet Gateway và một điểm truy cập khác. Security Policy được định nghĩa bằng SmartDashboard và được lưu trữ vào SmartCenter Server. Sau đó một Inspection Script được tạo ra từ những policy. Inspection Code được biên dịch ra từ script và nạp k. vào Security Gateway để bảo vệ networ k.
III. DISTRIBUTED DEPLOYMENTS • NGX quản lý quá trình bảo mật thông qua kiến trúc ba tầng nhằm bảo đảm high performance, độ ổn định, tập trung hóa quá trình quản lý. Các thành phần của NGX phân bổ trên cùng một một máy tính hoặc là có thể thể linh động hơn cấu hình các thành phần này trên các thiết bị với hệ điều hành khác nhau. Ta xem xét mô hình Client/Server như sau:
Note: Smart Center Center Server có thể quản lý các router router mà ở đó các thành thành phần NGX được cài đặt vào. • Cấu hình bên trên, Security Administrator có thể cấu hình và theo dõi các hoạt động trong network ở các site khác nhau từ một máy desktop nào đó. Các chính sách bảo mật (Security Policy) được định nghĩa bằng cách dùng SmartDashboard, SmartDashboard, trong khi đó database của firewall được bảo trì trên Smart Center Server. Các chính sách được upload đến ba thành phần của NGX trên mỗi site. Các NGX này có thể hoạt động trên nền các hệ điều hành khác nhau và có nhiệm vụ bảo vệ network tại site đó. • Kết nối giữa Smart Console, Smart Center Server, các Security Gateway được, quá trình ta điều khiển từ xa cũng được bảo mật.
SVN FOUNDATION Nền tảng của CHECKPOINT CHECKPOINT SVN (CPSHARED) (CPSHARED) là một hệ điều điều hành của Checkpoint và CHECKPOINT SVN được tích hợp trong mỗi sản phẩm của Checkpoint. Nền tảng của SVN bao gồm những thành thành phần sau: • SIC ( Secure Internal Communication) • CheckPoint Registry • CPShared Daemon • Watch Dog dùng cho critical Service • Cpconfig • License Utilities • SNMP Daemon
Secure Internal Communication • Checkpoint Secure Internal Co mmunication mmunication là một tính năng nâng cao tính bảo mật cho network. network. Nó thực hiện bằng cách bảo mật quá quá trình quản trị trị giữa các thành phần trong Checkpoint NGX. Quá trình quản trị giữa các thành phần trong NGX bao gồm các yếu tố sau: • Smart Center Server • Smart Console • Security Gateway • Các ứng dụng OPSEC • Ngoài ra thì SIC SIC cũng góp phần làm làm cho quá trình quản trị đơn giản hơn, giảm bớt đi các tác vụ. Người admin chỉ cần làm một số thủ tục ban đầu đơn giản.
• Những lợi điểm về vấn đề bảo mật: mật: SIC cho phép người người Security Administrator xác nhận rằng một Smart Console nào đó đang connect đến Smart Center Server thì Smart Console đó được cho phép đã được thẩm định có quyền hạn connect đến Smart Center Server đó. Ngoài ra SIC cũng cho phép người administrator administrator có thể xác xác nhận những chính sách sách bảo mật được load trên Security Gateway là được một Smart Center Server đã được thẩm định chuyển đến. SIC cũng bảo đảm những yếu tố thông tin đi trên đường truyền không bị thay đổi và được bảo được bảo đảm toàn vẹn • SIC Certificate: Secure Internal Communication Communication được dùng trong các thành phần của Checkpoint Checkpoint SVN đều sử dụng dụng certificate cho quá trình chứng thực thực và quá trình mã hóa. SIC certificate được tạo ra bởi một engine của Checkpoint hay bởi những ứng dụng OPSEC và nó được truyền qua hệ thống Checkpoint NGX. Certificate được tạo bởi một Internal Certificate Authoriy (ICA) được cài đặt sẵn trên Smart Center Server. ICA có nhiệm vụ là tạo ra certificate phục vụ cho quá trình truyền dữ liệu giữa các thành t hành phần trong hệ thống Checkpoint và được quản lý bởi Smart Center Server. Mỗi một certificate sẽ được cấp cho một máy. VPN certificate ví dụ như certificate dùng cho IKE dùng trong kết nối VPN thì khác so với SIC certificate. Ta không nên nhầm lẫn giữa hai dạng certificate này. Tóm lại SIC certificate chỉ dùng để secure quá trình truyền thông giữa các thành phần thành phần phần bên trong internal internal mà thôi. Ta hãy xem xét quá trình trình hoạt động của nó theo sơ đồ bên dưới.
• ICA ( Internal Certificate Authority) có nhiệm vụ tạo ra Certificate cho Smart Center Server trong quá trình Smart Center Server được cài đặt vào Smart Center Server trong quá trình cài đặt một cách tự động. • Những Certificate Certificate dùng cho các NGX NGX Security Gateway Gateway và bất kỳ quá trình trình trao đổi giữa các thành phần đều được tạo ra thông qua quá trình khởi tạo đơn giản lúc ban đầu từ Smart Console. Thông qua quá trình lúc ban đầu, ICA được tạo ra, được kí xác nhận và phân bổ một certificate đến các thành phần giao tiếp. Mỗi Mỗi module có thể thể thẩm định certificate certificate cho quá trình trình chứng thực. •
Quá trình liên lạc giữa Smart Center Server và các thành phần của nó được
chứng thực bằng cách sử dụng các certificate và nó còn tùy thuộc vào chính sách bảo mật được định rõ trong file chính sách bảo mật trong mỗi máy. Quá trình liên lạc có thể xảy ra giữa các thành phần bằng cách sử dụng Certificate thì ta phải dùng phiên bản thích hợp và phải chấp nhận phương pháp chứng thực và mã hóa. Smart Center Server và các thành phần của nó
được định dạng bởi tên SIC của chính nó, nó cũng được biết đến như là Distinguished Name (tên dùng để phân biệt)
SIC BETWEEN SMART CENTER SERVER AND CLIENTS • Để thực hiện quá trình truyền thông SIC giữa Smart Center Server và Smart Console, thì Smart Console phải được định nghĩa nghĩa giống như việc xác định thẩm quyền để sử dụng Smart Center Server. Khi có nhu cầu sử dụng Smart Dash Board trên Smart Console ta cần phải thông qua một số bước như sau: • Security Administrator được yêu cầu thẩm định chính bản thân mình.
• Administrator xác định địa chỉ IP của Smart Center Server. • Smart Console vào thời điểm kết nối lúc ban đầu kết nối Smart Center Server dựa trên SSL. • Smart Center Server thẩm định địa chỉ IP đó thuộc Smart Console có thẩm quyền. • Sau đó Smart Center Server sẽ gửi một Certificate. • Dựa trên quá trình chứng thực bằng Certificate của Smart Center Server, Secuirty Administrator Administrator bị yêu cầu thẩm định quyền hạn Smart Center Server mà Admin được connect connect đến. Quá trình thẩm thẩm định này được làm bằ ng cách sử dụng fingerprint của Smart Center Server. Nó thực chất là một chuỗi text, nó đại diện cho giá trị hash được tính toán từ Smart Center Server Certificate. Sau đó Administrator chấp nhận giá trị thẩm định của Smart Center Server, Administrator nam e và passrword được gửi về một cách bảo mật đến Smart Center Server. Username Administrator và password được dùng tiếp theo để nhận dạng và đê chứng thực user . Vào lần đầu tiên administrator tạo kết nối theo dạng SIC đến một network object nào đó thì sẽ được đệ trình một certificate và quá trình này chỉ được làm một lần. Administrator không thể thay đổi tên các network object.
IV. Lab 1 NGX Stand – alone Installation Trong bài Lab này ta sẽ cài đặt Smart Center Server và VPN -1 Security Gateway trên Secu re Platform Pro machine. Và cài đặt Smart Console trên một máy tính Window Server 2003.
Các bước làm bài Lab như sau. s au. Ta cần một máy tính có 2 card mạng. • Cho đĩa NGX – R65 – Cd1 – Cd1 vào ổ đĩa quang. Chỉnh cho máy tính Boot From CD
• Ta bắt đầu quá trình cài đặt Secure Platform. Platform. Giao diện màn hình sẽ như sau:
• Ta chọn phiên bản Secure Platform Pro.
• Chọn dạng bàn phím là US
• Ở phần cấu hình network device ta cấu hình IP Address External cho một trong những card mạng . Ví dụ ta nhập vào địa chỉ 192.168.1.1/24 và Default gateway là 192.168.1.254 hướng đến router.
• Sau khi cấu hình IP, SecurePlatform hỏi ta có kích hoạt tính năng “Web base configuration” configuration” không, mặc định hệ SecurePlatform sẽ dùng port 443. Ta chọn OK
• CheckPoint SecurePlatform SecurePlatform bắt đầu quá trình cài đặt.
• Sau khi cài đặt xong, username và password mặc định là admin và admin và ta có thể login thông giao thức https
• Ta thử login bằng username: admin và password: admin. Secure Platform yêu cầu ta thay đổi password. Lúc này ta đổi thành password 123abc!!! • Ta đổi username mặc định là admin thành fwadmin
• Để tắt firewall, ta dùng lệnh shutdown.
• CLI trong CheckPoint Secure Platform • Để thuận tiện trong quá trình cấu hình bằng giao diện dòng lệnh, ta cần tìm hiểu các tính năng trợ giúp của nó. • Dấu “?” dùng để liệt kê các lệnh. Ta có thể xem hình bên dưới d ưới
• Ví dụ ta dùng lệnh hosts. Nhưng ta không biết cú pháp để gõ gõ lệnh hosts như thế nào. Để hiển thị sự giúp đỡ ta nhập vào hosts – h hoặc hosts --help
• Giao Diện Cấu Hình Wizard • Ta bắt đầu cấu hình, nhập vào lệnh sysconfig. Secure Platform sẽ trả về giao diện như sau.
• Để tiếp tục ta nhập vào n để tiếp tục.
• Cấu hình Hostname Tại giao diện Network Configuration, Configuration, ta chọn số 1. Secure Plat form trả về màn hình giao diện như sau. Ta nhập vào số 1 để chọn mục “ Set host name ”
Nhập vào tên hostname hostname của firewall. firewall. Ví dụ ta nhập vào tên là fw_hochiminh. fw_hochiminh. Và Enter
Để kiểm tra hostname ta nhập vào số “2”
TIP: Để gán hostname cho Firewall ta dùng lệnh
hostname tên_firewall và
để kiểm tra lại ta dùng lệnh hostname.
• Cấu hình Domain Name Từ giao diện của sysconfig ta nhập số 2 để chọn cấu hình domain name.
Chọn số 1 cấu hình hình domain name name và số 2 để kiểm domain domain name
TIP: Tương tự như cấu hình hostname, ta dùng lệnh domain name để
hình domain name và kiểm tra domain name.
cấu
• Cấu hình IP cho Internal Internal Interface • Từ giao diện của sysconfig ta nhập số 4 để chọn cấu hình Network Connection
• Chọn số 2 Configure Connection
• Chọn cổng mà ta muốn cấu hình IP. Ở đây ta chọn cổng eth1
• Chọn 1 vào mục Change IP Settings
• Chương trình sẽ yêu cầu ta nhập vào địa chỉ IP, subnetmask, địa chỉ IP broadcast tương ứng. ứng.
TIP: Dùng lệnh
cấu hình IP cho các interface của SecurePlatform
• Để kiểm tra IP được cấu hình trên cổng, ta dùng lệnh ifconfig – a
• Cấu hình IP vào cổng eth0 ta dùng lệnh ifconfig eth0 để xem thông tin trên cổng đó. Lệnh ifconfig eth0 down để disable cổng. • Gán ip vào một cổng ta dùng lệnh ifconfig eth0 192.168.1.100/24 và enable cổng eth0 ta dùng lệnh ifconfig eth0 up
• Cấu hình Default Gateway • Từ giao diện dòng lệnh nhập vào sysconfig để đăng nhập vào giao diện cấu hình Wizard.
• Chọn n để tiếp tụcvào giao diện “Network Configuration”
• Tiếp tục ta chọn 5 để vào mục routing
• Đến đây ta có thể tiếp tục cấu hình Default Gateway IP hoặc kiểm tra thông tin Default Gateway bằng các option 1 và 2. Ví dụ ta chọn option 2 để kiểm tra thông tin default gateway
• Chương trình trả về cho ta IP Default Gateway là 192.168.1.254 như hình bên dưới
Tip: Cấu hình bằng dòng lệnh
• Cấu hình Default Gateway 192.168.1.254 cho cổng eth0. Đầu tiên ta dùng lệnh route để kiểm tra thông tin “Kernel IP Routing Table”. • Trên màn hình ta thấy có hàng “ default 192.168.1.254 0.0.0.0 ” là default gateway mà ta đã cấu hình.
• Ta xóa hàng đó đi bằng lệnh route del default gw 192.168.1.254 • Kiểm tra lại bằng lệnh route
• Cấu hình default gateway hướng đến 192.168.1.254 ta dùng lệnh route add default gw 192.168.1.254 và dùng lệnh route để kiểm tra lại
• Kiểm Tra Cấu Hình Các Cổng • Ta cũng nhập vào lện sysconfig để vào wizard. Ta chọn số 5 để kiểm tra thông tin các kết nối.
• Ta nhập vào con số tương ứng đối với cổng trên firewall. Ví dụ ở đây ta nhập vào số 2 ứng với cổng internal của SecurePlatform
• Cấu Hình Time – Zone và Date • Nhập vào sysconfig. sysconfig. Nhập vào n hai lần. SecurePlatform SecurePlatform cho ta giao diện cấu hình
• Ta chọn số 1 để cấu hình Time – zone. – zone. Nhập vào số 5 ứng với chọn chọn khu vực Asia
• Tiếp tục ta nhập vào số 49 để chọn nước Việt Nam
• Secure Platform sẽ xác nhận lại xem ta có dùng thông tin đó không ? Ta nhập vào số 1
• Ta tiếp tục cấu hình Date ta có thể dùng giao diện sysconfig. Mặt khác ta cũng có thể dùng dòng lệnh date 10 -12-2009
• Cài đặt Smart Center Server vào SecurePlatform
• Ta login vào Secure Platform và nhập vào sysconfig để đăng nhập v ào Wizard
• Ta đăng nhập vào giao diện như bên dưới và chọn Next
• Tiếp đến ta sẽ gặp màn hình về License Agreement
• Secure Platform yêu cầu ta chọn dạng CheckPoint Power hoặc là CheckPoint UTM . Ví dụ ở đây ta chọn dạng CheckPoint Power.
• Ta chọn kiểu cài đặt là New Installation ứng với số 1
• Ta chọn số 3 để install Smart Center Server
• Tiếp tục ta chọn Primary SmartCenter
• Ta chọn Next
• Ta chọn Next
• Quá trình Cài đặt bắt đầu.
• Sau khi quá trình cài đặt, SecurePlatform yêu cầu nhập License. Do ta đang dùng bảng evaluation nên ở đây ta nhập vào no
• Sau giai đoạn này SecurePlatform yêu cầu ta tạo thêm vào một administrator. Ta chọn yes.
• Ta tạo ra một username password cho Smart Center Server là admin_smartcenter admin_smartcenter và password 123abc!!!
• Tiếp tục ta cấu hình GUI Client. Hệ điều hành hỏi ta có muốn thêm vào GUI Client không. Ta có 6 kiểu nhập liệu như hình bên dưới
Ví dụ ta cho phép phép những IP thuộc đường mạng mạng 192.168.1.0/24 192.168.1.0/24 thì ta sẽ nhập vào một hàng 192.168.1.0/255.255.255.0. 192.168.1.0/255.255.255.0.
• Nếu như ta muốn bất kỳ máy nào cũng cũng có thể connect đến Smart Center Server ta dùng c hỉ Any. • Tiếp tục nhấn phím Ctrl + D và chọn yes • Secure Platform sẽ thực hiện quá trình cài đặt ICA (Internal Certificate Authority) và trả cho ta một chuỗi số fingerprint như hình bên dưới.
• Ta chọn no và reboot lại SecurePlatfo rm. Chú ý: Chỉ có một trong năm loại địa chỉ được
phép kết nối đến đến Smart Center Server.
định nghĩa ở trên sẽ được
CHƯƠNG II: SECURITY POLICY - Security Policy là một thành phần cốt yếu hết sức quan trọng trong việc quản trị
NGX R65. Nếu như ta ta định nghĩa không tốt Security Policy thì sẽ làm giảm đi hiệu quả của các giải pháp bảo mật. - Ta sẽ định nghĩa ra khi
nào network traffic nào ở trong vùng inbound và cái nào ở vùng outbound. Traffic nào được phép dẫn sang vùng DMZ, traffic nào được p hép qua lại giữa các partner trong một tập đoàn...
- Những phần ta cần quan tâm trong mục mục này là:
• Security Policy Properties • Rule Base • Các field trong Global Properties
I. SECURITY POLICY a. Định nghĩa Security Policy - Security Policy là một thiết lập những rule. Và các rule này được tạo
nên dựa theo chính sách bảo mật mạng. Trong R65 thì Security Policy được định nghĩa bằng cách sử dụng Rule Rule Base. Thực chất Security Security Policy chỉ chỉ là sự tập hợp các rule. - Rule bao gồm các đối tượng mạng như user, group, se rvice, resource. Sau khi
Rule được thiết lập thì NGX R65 sẽ phân phân phối nó đến Security Gateway - Trước khi tạo ra Security Policy cho hệ thống của mình, ta nên xem xét hệ
thống mạng của mình và trả lời một số câu hỏi: • Những dịch vụ và session nào sẽ được phép đi đi ngang qua môi môi trường mạng • Quyền hạn của user và phương pháp chứng thực
• Các Object bên trong network là gì ?
b. Định nghĩa Rule Base - Rule Base là sự thiết
lập các rule theo một thứ tự nhằm mục đích kiểm tra từng session đi ngang qua thiết bị
- Mỗi một rule xác session
định source, destionation, service, action ứng với mỗi một
- Ngoài ra rule cũng cũng xác định bằng bằng cách nào một communication communication được theo dõi
và ghi lại file log và sau đó gửi cảnh báo. Một Rule Base sẽ có giao diện như sau
II. INSTALL SMART CONSOLE VÀ DÙNG SMARTDASHBOARD SMARTDASHBOARD a. Install Smart Console trên PC - Ta cho đĩa NGX – R65 – CD2 – CD2 vào trong ổ đĩa quang - Chọn Setup ta sẽ có giao diện màn hình như
bình thường
sau. Ta thực hiện quá trình cài đặt
• Ví dụ Smart Center Server ta chọn thuộc phiên bản CheckPoint Power nên ở đây ta cũng chọn như vậy.
• Chọn New Installation
• Ta chỉ chọn Smart Console và chọn Next tiếp tục
• Ta để mặc định, chọn hết các thành phần của Smart Console như hình bên dưới.
Cách Install khác
b. Dùng Smart DashBoard login vào Smart Center Server
Ta kích hoạt Smart Dashboard. Nhập vào username và password của Smart Center Server và địa chỉ IP của Smart Center Server đã được định nghĩa trong GUI Client. Ta Click Ok
-
• Lúc này ta thấy Smart Center Server trả về cho ta một số Fingerprint. Fingerprint. Ta kiểm tra nếu giống thì Click Approve.
• Ta đã login vào Smart Dash Board thành công
III. ĐỊNH NGHĨA CÁC OBJECT MỨC CƠ BẢN • Security Policy được tạo nên bởi các cấu cấu hình được thiết thiết lập trong Security Gateway, các rule tường minh và hàm ẩn. Mỗi một rule được cấu thành bởi các object và action tương ứng do ta định nghĩa nhằm xem xét từng kết nối khi đi qua Firewall. • Để định nghĩa được Security Gateway trước tiên ta phải định nghĩa ra các object nó đại diện cho các thành phần bên trong sơ đồ mạng • Trong bài Lab ta đã làm ở trên bao b ao gồm có các thành phần là Security Gateway và Smart Center Server được cài đặt trên một thiết bị phần cứng. Như vậy object Smart Smart Center Server mặc định là fw_hochiminh fw_hochiminh được được tạo ra sau khi cài đặt.
• Ta sẽ thực hiện bài Lab kế tiếp theo mô hình sau
• Tạo ra Security Gateway Object • Object này đã có sẵn ta chỉ cần hiệu chỉnh nó lại theo đúng sơ đồ mạng • Ta vào mục Network Network Object và tiếp tục tục chọn mục Check Point. Point.
• Dectect IP Spoofing • Spoofing là một kỹ thuật mà các hacker thường dùng để nâng quyền truy cập bằng cách thay đổi IP address. Việc thay đổi địa chỉ IP IP là cho các packet packet của từ máy hacker giống như là gói tin xuất phát từ một phần network với quyền truy cập cấp cao hơn. • NGX R65 phát triển một một cơ chế để giám sát các packet bằng cách yêu yêu cầu các interface mà các packet phải đi qua cho biết IP tương ứng với cổng của nó.
• Anti spoofing thẩm định các xem các packet này đến từ đâu, đi đến đâu, gateway chính xác của nó sẽ là gì ? Nó sẽ khẳng định rõ gói tin này mang IP
là internal network này thật sự xuất phát từ internal network. Nó cũng thẩm định cho ta biết khi packet này được route thì nó sẽ đi thông qua cổng nào. • Để cấu hình anti spoofing, thì trước hết các network phải có thể thấy được nhau. Các network được định nghĩa đúng theo sơ đồ. Anti spoofing sẽ phát huy hiệu quả tốt nhất khi ta cấu hình nó trên các interface của gateway. Sau khi kích hoạt tính năng spoofing xong ta nên tiếp tục cấu hình spoofing tracking trên cổng đó luôn nhằm mục đích giúp cho việc phát hiện xâm nhập và ghi lại file log. • Anti spoofing rule được cấu hình trong phần properties của đối tượng firewall trong smartdashboard. Rule này sẽ được cưỡng ép thực thi trước bất kỳ rule nào được định nghĩa trong phần Securi ty Policy Rule Base. • Ta sẽ cấu hình như sau. s au. Chọn Edit trong Firwall Object. Tiếp tục ta chọn Topology
• Ta chọn vào một trong các cổng của Firewall. Và chọn Edit
• Tiếp tục ta check vào mục “ Perform Anti Spoofing based on interface topology ”
Trong mục Spoofing Tracking ta có những chọn lựa • None: không làm thêm bất kỳ hành động động gì • Log: Những hành động spoofing sẽ được ghi log file log • Alert: Một action cụ thể trong mục Popup Alert Command được thực hiện
Ghi Chú: Khi mà Anti Spoofing được cấu hình, một implicit rule based được tạo ra. Và nó sẽ là Rule Base đầu tiên được thực thi trước tiên.
• Multicasting • Quá trình truyền theo dạng multicast nghĩa là một message sẽ được đến một group các người nhận đã được chọn. Multicast thường được dùng cho các ứng dụng real – time – time audio và video. video. Các gói tin trong trong ứng dụng multicast multicast chỉ cần gửi một lần đến group các máy tính mà có nhu cầu nhận nó. Một địa chỉ multicast được gán cho các thiết bị thay vì một unicast address. Và các router trong network chỉ forward packet đến các router hay các host muốn nhận thông tin • Cấu hình Multicast Access Control: Tab Multicast Restriction trong mục Interface Prope rties sẽ drop các gói tin multicast theo yêu cầu. Security Administrator có thể cấu hình một list các địa chỉ không được phép hoặc chấp nhận. • Để cấu hình ta vào mục
