Endpoint security
SV1 : 08520234_Phạm Nhật Minh
SV2 : 08520358_Đỗ Công Thành
SV3 : 08520279_Lê Ngọc Phi
SV4 : 08520092_Lê Phước Đông
Mục lục:
1. Lý thuyết :
1.1 Sơ nét về checkpoint :
- CheckPoint là một trong những nhà cung cấp hàng đầu về các sản phẩm bảo mật
Internet.Đặc biệt là các dòng sản phẩm firewall cho các doanh nghiệp, cá nhân và các
công nghệ mạng riêng ảo VPN.
- Đặc biệt các sản phẩm của CheckPoint cho phép việc tích hợp với hàng lọat các dòng sản
phẩm của hơn 350 hãng sản xuất thiết bị bảo mật nổi tiếng trên thế giới.
- Checkpoint đưa ra khái niệm an toàn thông tin 3D Security được Check Point diễn giải
bao gồm 3 nhân tố:
 Con người (People)
 Chính sách bảo mật (Security Policies)
 Công cụ thực thi chính sách (Enforcement).
- Các chuyên gia của Check Point đã giới thiệu về các giải pháp bảo mật mới như :
 kiểm soát ứng dụng (Application Control)
 Ngăn chặn rò rỉ thông tin (Data Loss Prevention – DLP)
 Định danh người dùng (Identity Awareness)…
- Check Point cũng nhấn mạnh đến kiến trúc an ninh dạng phiến (Security Software Blade)
nhằm cung cấp cho khách hàng một giải pháp bảo mật tổng thể, có tính linh hoạt.
- Hiện nay, thông qua nhà phân phối sản phẩm Check Point có thể lựa chọn các thiết bị bảo
mật chuyên dụng của Check Point như UTM-1 Series, Power-1 Series… Các sản phẩm
này đã được cài đặt sẵn phiến bảo mật, đồng thời, khách hàng cũng có thể lựa chọn phiến
bảo mật phù hợp với nhu cầu thực tế.
- Đặc biệt, Check Point giới thiệu bộ sản phẩm R75 với những tính năng bảo mật mới, có
hàm chứa khái niệm 3D Security. Sản phẩm R75 sẽ có 4 phiến bảo mật mới là Kiểm soát
ứng dụng; Định danh người dùng; Ngăn chặn việc rò rỉ thông tin; Truy cập từ thiết bị di

động (Mobile Acess Software). Tính năng bảo mật đối với các truy cập từ thiết bị di động
của R75 sẽ cung cấp phương thức kết nối linh hoạt với các loại điện thoại thông minh,
máy tính bảng, máy tính xách tay…
1.2 Các tính năng bảo mật của checkpoint
1.2.1 Mã hóa đĩa :
- Mã hóa toàn bộ đĩa : Tự động mã hóa toàn bộ thông đĩa cứng, bao gồm dữ liệu người
dùng, mã hóa hệ điều hành, các tập tin tạm và các tập tin đã bị xóa để bảo vệ tối đa dữ
liệu. Các phân vùng vật lý được bảo vệ và được mã hóa đến từng sector(sector by sector).
- Xác thực trước khi boot : Đảm bảo chỉ người dùng được xác thực mới được phép truy
cập vào endpoint. Tất cả các thông tin đăng nhập phải được bảo vệ trước khi hệ điều hành
khởi động. Có nhiều cơ chế để xác thực như : chứng thực dựa trên thẻ thông
minh(smartcards), chứng thực người dùng …
- Giao diện người dùng : cung cấp giao diện cho người dùng được quản lý tập trung và dễ
dàng quan sát trạng thái bảo mật và các log files
- Remote Help : khi người dùng quên mật khẩu có thể lấy lại mật khảu dựa vào tính năng
remote help.
- Các thuật toán mã hóa đĩa có thể được dùng :
 AES (256-bit)
 Blowfish (256-bit)
 Cast (128-bit)
 3DES (168-bit)
- Các mức độ mã hóa đĩa :
Mức độ bảo vệ Chức năng chính
Custom - Do người quản trị cấu hình mức độ bảo mật
Low - Thêm thiết bị mới không bị mã hóa
- Mặc định, các đĩa cứng được mã hóa bằng giải thuật AES
- Bảo vệ các trước khi boot
Medium - Ngoài tính năng ở trên còn các tính năng như
- Mã hóa toàn bộ các thiết bị và đĩa cứng đang tồn tại
Hight - Ngoài tính năng ở trên còn các tính năng

- Bảo vệ phần khởi động và mã hóa các phân vùng ẩn
- Single sign on : Khi mã hóa đĩa xong lúc mới khởi động thì checkpoint sẽ yêu cầu mật
khẩu người dùng của checkpoint, sau khi check point chứng thực xong thì người dùng lại
tiếp tục gặp phải màn hình login của windows. Điều này gây phieenf ohuwcs cho người
dùng, vì vậy checkpoint đưa ra tính năng single sign on tức là người dùng chỉ cần chứng
thực lần đầu tiên tại màn hình login của checkpoint, sau đó checkpoint sẽ tự chứng thực
người dùng với windows vì vậy người dùng chỉ cần login một lần để sử dụng máy tính.
1.2.2 Media Encrypt :
- Thiết lập mã hóa từ quản lý bảo mật tập trung : quản lý tập trung cho phép người quản trị
thiết lập các chính sách mã hóa cho các thiết bị lưu động.
- Khi mã hóa các thiết bị media thì checkpoint còn có khả năng phân quyền cho người
dùng. Tức là phân quyền cho ai được sử dụng thiết bị này.
- Ngoài ra checkpoint cung cấp mật khẩu mã hóa có quyền đọc,ghi, thực thi, hoặc toàn
quyền xử lý trên thiết bị đó
- Khi một thiết bị mới được gắn vào máy người dùng thị checkpoint sẽ thực hiện thống kê
chi tiết về thiết bị đó
- Việc mã hóa sử dụng thuật toán AES 256-bit để bảo vệ tối đa dữ liệu
- Giao diện thiết lập truy cập các thiết bị như : USB, máy tin, ổ đĩa mềm …
1.2.3 Firewall & Compliance Check :
- Bảo vệ thiết bị đầu cuối bằng cách kiểm soát các lưu lượng trong và ngoài mạng, đảm
bảo tuân thủ các chính sách bằng việc quản lý tập trung từ một giao diện điều khiển duy nhất
1.2.4 Các chính sách chống phần mềm độc hại và virus :
- Xác định và xóa các phần mềm độc hại đầu cuối hiệu quả, các virus, spyware, kelogger,
Trojans, rootkits được phát hiện dựa vào chữ ký, các hành vi và phân tích thông minh
heuristic.
- Check Point cung cấp các cơ chế quét định kỳ và thời gian khởi động nhanh, tốn ít bộ
nhớ và dung lượng đĩa
- Kiểm soát các chương trình, chỉ cho phép các chương trình hợp lệ. Các chương trình cần
phải kiểm chứng để ngăn chặn việc giả mạo, thay đổi ứng dụng.
1.2.5 Kiểm soát ứng dụng của người dùng :

- Kiểm soát ứng dụng của người dưới 3 trạng thái : allow, block, terminate.
- Các ứng dụng người dùng bị chặn theo cơ chế : theo tên thực thi ứng dụng, chữ ký của
ứng dụng Checkpoint kiểm soát ứng dụng người dùng rất chặt chẽ, các ứng dụng người
dùng có thể bị checkpoint chặn khá mạnh mẽ như : chặn theo phiên bản của ứng dụng,
chặn được cả các phần mềm dạng portable
- Server tự động phát hiện các ứng dụng có kết nối internet mà client chạy, các ứng dụng
này sẽ được checkpoint server lưu vào group ứng dụng, tại đây người quản trị có thể
thêm ứng dụng này để chặn người dùng. Checkpoint cập nhập phiên bản ứng dụng ngay
cả khi client chạy phần mềm với một phiên bản khác
1.2.6 webcheck :
- Bảo vệ máy tính trong mạng chống lại những trang web mạo danh
- Lưu lại các thao tác của người dùng trên các trang web
1.2.7 Theo dõi và thống kê :
- Hiển thị hình ảnh tổng quan về mạng và hiệu suất của mạng. Tạo điều kiện cho phản ứng nhanh
với những thay đổi trong hệ thống
- Kiểm tra giám sát các thiết bị và thông báo thay đổi đến các cổng vào, các thiết bị cuối, người
dùng từ xa, và các hoạt động an ninh
1.3 Download phần mềm :
- Vào trang chủ đăng ký tài khoản để tải ứng dụng xài thử 15 ngày
/>- Login vào trang web bằng khoản vừa tạo:
- Vào mục My Product  Try Our Order
-
2. Mô hình triển khai :
Địa chỉ IP Hệ điều hành Cài đặt
Server 192.168.1.200 Windows Server 2003 R2 AD và Endpoint
Security E80.30
Client – PC01 192.168.1.101 Windows XP Professtional
Sp3
Client – PC03 192.168.1.210 Windows XP Professtional

Sp3
3. Triển khai ứng dụng :
3.1 Các yêu cầu hệ thống trước khi triển khai :
3.1.1 Đối với server :
- Phần cứng :
Thành phần Yêu cầu tối thiểu
CPU Intel Pentium Processor E2140 or 2GHz equivalent
processor
RAM 2GB
HDD(ổ đĩa để cài
đặt)
4GB
- Các hệ điều hành máy chủ được hỗ trợ :
Windows server :
 Hỗ trợ tất cả các phiên bản của Microsoft Windows server 2003 và 2008
 Nếu dùng bản windows server 2008 R2 thì cần phải cài đặt .NET 3.5.1
VMware :
 VMware ESX 3.5
 VMware vSphere 4.0, 4.1
 VMware ESXi 4.1.0
3.1.2 Đối với client :
- Phần cứng :
Hệ điều hành Yêu cầu
Windows XP 512 RAM và còn trống 1GB ổ cứng
Vista và Windows 7 1GB RAM và còn trống 1GB ổ đĩa cứng
- Các hệ điều hành client chủ được hỗ trợ :
 Microsoft Windows XP Professional 32 bit, SP3
 Microsoft Vista 32/64 bit
 Microsoft Windows 7 Enterprise, Professional, Ultimate editions 32/64 bit and
SP1

 Windows Server 2008 32/64 bit
 Windows Server 2008 R2
3.2 Cài đặt :
3.2.1 cài đặt Endpoint Security trên server quản lý :
- Máy server cài windows server 2003 R2
- Nâng cấp server 2003 lên domain
- Cài .NET 3.5.1
- Login vào tài khoản administrator để tiến hành cài đặt Endpoint Security.
- Cho đĩa CD cài đặt vào chương trình sẽ tự động cài đặt.
- Tiến hành cài đặt mới
- Check vào các phần cần cài đặt : Endpoint Security, SmartConsole(các ứng dụng để quản
lý endpoint)
- Chọn : primary Security Management dùng để cài cho máy chủ quản lý chính Endpoint
- Nếu cần một máy chủ Endpoint phụ để hỗ trợ cho máy chủ quản lý chính Endpoint
- Và lựa chọn cuối cùng là dùng cho máy Endpoint quản lý các Endpoint chi nhánh
- Các lựa chọn đã được cài đặt thành công
- Chọn nơi lưu trữ các cài đặt Checkpoint R70
- Cài đặt hoàn thành
- Chờ một thời gian để cài các SmartConsole
- Chọn khu vực lưu trữ cài đặt các công cụ quản lý Smart Console
- Tạo các tài khoản để quản lý và sử dụng Endpoint Security
- Endpoint sử dụng CA nội bộ để xác thức
- Như vậy Endpoint đã được triển khai thành công trên server.
3.2.2 Triển khai Endpoint Security cho client :
- Trên máy client cài đặt windows XP SP3
- Tiến hành join domain : uit.local cho các máy client
- Trên máy server cài đặt Endpoint tạo ra gói Agent để triển khai cài đặt cho máy client
4. Triển khai các tính năng :
4.1 Tính năng mã hóa đĩa :
4.1.1 Tạo chính sách trên server :

- Trên máy server tạo chính sách mã hóa đĩa và áp đặt chính sách này xuống cho client
- Triển khai chính sách mã hóa toàn bộ ổ đĩa cho máy client PC03
- Máy PC03 sẽ bị áp đặt chính sách mã hóa đĩa này
- Ngoài chức năng mặc định là mã hóa toàn bộ ổ đĩa, người quản trị có thể chỉnh sửa chính
sách mã hóa đĩa như : lựa chọn phân vùng, lựa chọn ổ đĩa … để mã hóa.
- Thuật toán mã hóa mặc định là AES 256 bit nhưng có thể lựa chọn các thuật toán khác
4.1.2 Trên máy client :
- Sau khi mã hóa xong thì khi khởi động lại máy tính client PC03 màn hình đăng nhập của
checkpoint sẽ hiện ra yêu cầu username và password đăng nhập trước khi đi đến màn
hình đăng nhập của windows
4.2 Media Encrypt and port protect :
4.1.1 Tạo policy trên server :
- Trên server tiến hành tạo một rule mới cho client PC04
- Lựa chọn tính năng Media encryption and Port protection. Dùng để quản lý các thiết bị
media và các chức năng mã hóa, phân quyền … cho các thiết bị media như USB, ổ đĩa
CD&DVD…
- Policy sẽ đực áp đặt cho PC04
4.1.2 Trên máy client :
- Sau khi trên server triển khai chính sách Media encryption and port protection thì trên
máy client PC04 sẽ hiện bảng thông báo yêu cầu PC04 cài đặt policy trên
- Sau khi chính sách được triển khai thì nó bắt đầu quét các thiết bị media, ở đây trên máy
PC04 có cắm thiết bị Media là USB nên nó sẽ quét qua USB
- Đây là màn hình quản lý của client giúp cho PC04 có thể xem các thiết bị Media với các
tính năng như : tên thiết bị, dung lượng, quyền truy cập, trạng thái chứng thực, trạng thái
mã hóa …
- Ngoài ra còn cho phép client xem lại các log file.
- Như hình trên thì máy PC04 chưa được mã hóa, bây giờ em sẽ triển khai tính năng mã
hóa.
- Ở đây check point sẽ yêu cầu mật khẩu để mã hóa, mật khẩu này sẽ yêu cầu lúc chúng ta
mở USB chứa nơi mà chúng ta đã mã hóa.

- Ở đây, check point đưa ra các lựa chọn mã hóa bao nhiêu phần trăm của USB, từ đó
check point sẽ tạo ra một tập tin bị mã hóa trên USB để chứa các tài liệu yêu cầu bảo mật.
Những phần không bị hóa vẫn có thể truy cập bình thường mà không yêu cầu mật khẩu
đăng nhập.
- Với tính năng Advanced setting là những tùy chọn nâng cao chẳng hạn như check point
thiết lập những người dùng nào được sử dụng phần mã hóa trên USB, tạo ra mật khẩu
cho người dùng chỉ có quyền đọc …
4.1.3 Kiểm tra tính năng mã hóa USB :
- Sau khi mã hóa xong USB chúng ta sẽ mang USB ra một máy tính khác để kiểm tra khả
năng mã hóa USB.
- Ở đây em sử dụng máy thật cài windows 7 để kiểm tra. Khi mở USB chúng ta thấy có
một tập tin đã bị mã hóa. Trong tập tin mã hóa này chứa các tập tin mà chúng ta cần bảo
mật.
- Khi mở tập tin mã hóa của endpoint thì nó sẽ yêu cầu mật khẩu để chứng thực. Ở đây có
hai loại mật khẩu : một loại mật khẩu chỉ có quyền xem không có quyền ghi, xóa … và
một loại có toàn quyền do chúng ta cài đặt mã hóa lúc đầu.
- Chúng ta sẽ thử nhập mật khẩu với người dùng chỉ có quyền đọc
- Sau login thành công thì các tập tin bảo mật sẽ được hiện ra trong thư mục này. Tuy
nhiên chúng ta chỉ có thể đọc và không thể sửa, xóa …Bây giờ em sẽ tạo thử một thư
mục để kiểm chứng rằng chúng ta chỉ có quyền đọc.