Tải bản đầy đủ (.pdf) (71 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên cứu triển khai hệ thống bảo mật dựa trên check point 12200

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.01 MB, 71 trang )

MỤC LỤC
LỜI CAM ĐOAN .................................................................................................. 5
DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT .......................................... 6
DANH MỤC HÌNH ............................................................................................... 8
CHƯƠNG 1 - TỔNG QUAN VỀ BẢO MẬT ..................................................... 11
1.1. Bảo mật hệ thống mạng ............................................................................... 11
1.2. Các kiểu tấn công mạng............................................................................... 11
1.2.1. Thăm dị (Reconnaissance).................................................................... 11
1.2.2. Đánh cắp thơng tin bằng Packet Sniffers ............................................... 12
1.2.3. Đánh lừa (IP Spoofing) ......................................................................... 12
1.2.4. Tấn công từ chối dịch vụ (Denial Of Services) ...................................... 13
1.2.5. Tấn cơng trực tiếp Password.................................................................. 13
1.2.6. Thám thính (Agent) ............................................................................... 14
1.2.7. Tấn công vào yếu tố con người.............................................................. 14
1.2.8. Các phương thức tấn công D.O.S thông thường..................................... 14
1.2.9. Phương thức tấn công bằng Mail Relay ................................................. 14
1.2.10. Phương thức tấn công hệ thống DNS................................................... 14
1.2.11. Phương thức tấn công Man-In-The-Middle Attack .............................. 15
1.2.12. Phương thức tấn công Trust Exploitation............................................. 15
1.2.13. Phương thức tấn công Port Redirection ............................................... 15
1.2.14. Phương thức tấn công lớp ứng dụng .................................................... 16
1.2.15. Phương thức tấn Virus và Trojan Horse............................................... 16
CHƯƠNG 2 – CHECK POINT .......................................................................... 17
2.1. Giới thiệu Check Point ................................................................................ 17
2.2. Giới thiệu các dòng thiết bị của Check Point ............................................... 17
2.3. Những tính năng nổi bật trên Check Point ................................................... 19
2.3.1. Firewall ................................................................................................. 19
2.3.2. Hỗ trợ phân tích Log ............................................................................. 19
2.3.3. VPN ...................................................................................................... 20

1




2.3.4. Tính năng quản lý (SmartCenter và GUI Client) ................................... 20
2.3.5. Tính năng quản lý Log .......................................................................... 20
2.3.6. Tính linh động ....................................................................................... 20
2.3.7. Tính năng nổi trội khác ......................................................................... 21
2.4. Các thành phần bảo mật của Check Point .................................................... 21
2.4.1. Eventia Analyzer ................................................................................... 21
2.4.2. Eventia Report ...................................................................................... 21
2.4.3. SmartCenter .......................................................................................... 21
2.4.4. SmartPortal ........................................................................................... 22
2.4.5. SmartView Monitor .............................................................................. 22
2.4.6. Smart Dashboard ................................................................................... 22
2.4.7. SmartView Tracker ............................................................................... 22
2.4.8. SmartLSM............................................................................................. 23
2.4.9. SmartUpdate ......................................................................................... 23
2.4.10. Security Gateway ................................................................................ 23
2.5. Check Point Firewall Gateway Security ...................................................... 23
2.5.1. Kiến trúc Check Point Software Blades ................................................. 23
2.5.2. Những lợi ích chính của Check Point Software Blade ........................... 24
2.5.3. Security Gateway Software Blades ........................................................ 24
2.5.4. Security Management Blades ................................................................ 25
CHƯƠNG 3 - KIỂM SOÁT TRUY CẬP VÀ XÁC THỰC TRÊN CHECK
POINT .................................................................................................................. 27
3.1. Kiểm soát truy cập mạng ............................................................................. 27
3.1.1. Các thành phần của Rule ....................................................................... 27
3.1.2. Chống giả mạo địa chỉ........................................................................... 28
3.2. Xác thực trên Check Point ........................................................................... 28
3.2.1. Phương thức xác thực trên Check Point ................................................. 28
3.2.2. Cơ chế xác thực trên Check Point.......................................................... 29

3.2.2.1. VPN-1 & Firewall-1 Password ........................................................ 29

2


3.2.2.2. OS Password ................................................................................... 29
3.2.2.3. Radius ............................................................................................. 29
3.2.2.4. Tacacs ............................................................................................. 29
3.2.2.5. SecurID........................................................................................... 30
CHƯƠNG 4 - PHƯƠNG THỨC KẾT NỐI TRÊN CHECK POINT ............... 31
4.1. Internet Service Provider ( ISP) Rundundancy............................................ 31
4.1.1. Hoạt động của ISP Redundancy ............................................................ 31
4.1.2. Kết nối từ trong Firewall ra Internet ...................................................... 32
4.1.3. Kết nối từ phía ngồi Internet vào bên trong mạng ................................ 32
4.2. NAT trong Check Point Security Gateway .................................................. 33
4.2.1. Automactic Hide NAT và Static NAT trên CheckPoint Firewall ........... 34
4.2.2. NAT Rule Base ..................................................................................... 34
4.2.3. Cấu hình NAT trên Check Point Security Gateway .............................. 35
4.2.3.1. Automatic NAT cho Node Object ................................................... 35
4.2.3.2. Cấu hình Manual Static NAT .......................................................... 37
4.3. VPN trên Check Point ................................................................................. 37
4.3.1. VPN Remote Access ............................................................................. 37
4.3.2. VPN Site-To-Site .................................................................................. 38
4.3.2.1. Intranet-based VPN ......................................................................... 38
4.3.2.2. Extranet-based VPN........................................................................ 39
4.3.3. Giải pháp VPN trên Check Point ........................................................... 40
4.3.4. Khái niệm đặc trưng VPN ..................................................................... 41
CHUƠNG 5 - NGĂN CHẶN XÂM NHẬP TRÊN CHECK POINT
(INTRUSION PREVENTION SYSTEM – IPS) ................................................ 43
5.1. Giới thiệu về IPS trong Firewall Check Point .............................................. 43

5.2. Phương thức hoạt động của Check Point IPS .............................................. 44
5.3. Mô phỏng các cách thức tấn công và ghi nhận hoạt động của IPS............... 44
5.3.1 Port Scan ................................................................................................ 44
5.3.2. DOS (Denial of Services) ...................................................................... 45

3


CHUƠNG 6: TRIỂN KHAI MƠ HÌNH TRÊN CHECK POINT 12200 ......... 49
6.1. Bài tốn đặt ra ............................................................................................. 49
6.2. Mơ hình trong bài Lab ................................................................................. 50
6.3. Các bước thực hiện bài Lab ......................................................................... 50
6.3.1. Cài đặt cấu hình Check Point Security Gateway Cluster ........................ 50
6.3.2. Triển khai NAT và tạo Rule cho phép VLAN10 ra Internet................... 55
6.3.3. Cấu hình Application and URL Filtering trên Check Point .................... 56
6.3.3.1. Cấu hình chặn trang Facebook.com................................................. 56
6.3.3.2. Cấu hình chặn URL trên Check Point.............................................. 58
6.3.4. Triển khai VPN trên Check Point .......................................................... 60
6.3.4.1. Cấu hình VPN Remote Access ........................................................ 60
6.3.4.2. Cấu hình VPN Site-To-Site ............................................................. 63
KẾT LUẬN .......................................................................................................... 70
DANH MỤC TÀI LIỆU THAM KHẢO ............................................................ 71

4


LỜI CAM ĐOAN

Tôi xin cam đoan luận văn này là cơng trình nghiên cứu của riêng tơi trong
đó có sự giúp đỡ rất lớn của thầy hướng dẫn TS. Nguyễn Tuấn Dũng.

Các nội dung nghiên cứu, kết quả trong đề tài này là trung thực và chưa công
bố dưới bất kỳ hình thức nào trước đây
Trong luận văn, tơi có tham khảo đến một số tài liệu đã được liệt kê tại phần
Tài liệu tham khảo ở cuối luận văn. Các tài liệu tham khảo được trích dẫn trung
thực trong luận văn.

Hà Nội, ngày… tháng … năm 2016
Tác giả

Nguyễn Văn Hoan

5


DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT

Ký hiệu

Tiếng Anh

IP

Internet Protocol

DNS

Domain Name System

NIC


Network Interface Card

FTP

File Transfer Protocol

SMTP

Simple Mail Transfer Protocol

POP3

Post Office Protocol

WAN

Wide Area Networks

SSL

Secure Sockets Layer

SSH

Secure Shell

DMZ

Demilitarized Zone


HIDS

Host-Base IDS

IDS

Intrusion Detection System

OS

Operating System

VPN

Vitual Private Network

OSI

Open Systems Interconnection

RADIUS Remote Authentication Dial In User Service
DES

Data Encryption Standard

AES

Advanced Encryption Standard

GUI


Graphic User Interface

LAN

Local Area Network

L2TP

Layer 2 Tunneling Protocol

IPS

Intrusion Prevention System

QOS

Quality of Service

LDAP

Lightweight Directory Access Protocol

6


HTTP

HyperText Transfer Protocol


OTP

One-Time Password

PIN

Personal Identification Number

NAT

Network Address Translation

IPSec

IP Security

IKE

Internet Key Exchange

IDP

Intrusion Detection and Prevention

SYN

Synchronize

DOS


Denial of Services

ICMP

Internet control message Protocol

PKI

Publish Key Infrastructure

7


DANH MỤC HÌNH
Hình 2.1: Các dịng sản phẩm của Check Point ..................................................... 19
Hình 2.2: Check Point Software Blades ................................................................ 24
Hình 3.1: Các thành phàn của Rule........................................................................ 27
Hình 4.1: Mơ hình kết nối Internet qua Check Point .............................................. 32
Hình 4.2: NAT Rule Base trong Check Point Security Gateway ............................ 34
Hình:4.3 Mơ hình NAT Web ................................................................................. 36
Hình:4.4: Static NAT............................................................................................. 36
Hình:4.5: Manual Static NAT Web Server ............................................................ 37
Hình 4.6: Client từ xa tới Host đằng sau Gateway. ................................................ 38
Hình 4.7: Mơ hình VPN Site-To-Site (Intranet Based)........................................... 39
Hình 5.1: Hoạt động Port Scan .............................................................................. 44
Hình 5.2: Hình thức tấn cơng DoS ......................................................................... 45
Hình 5.3: Các gói tin SYN từ một địa chỉ khơng có thực gửi tới Web Server......... 47
Hình 5.4: Ghi nhận được trên Check Point IPS – Mode Detect. ............................. 47
Hình 6.1: Mơ hình tổng thể của bài LAB ............................................................... 50
Hình 6.2: Bảng địa chỉ Check Point CP-Node1 ..................................................... 50

Hình 6.3: Bảng địa chỉ Check Point 02 .................................................................. 51
Hình 6.2: Cấu hình Cluster cho 2 Check Point ....................................................... 51
Hình 6.3: Khai báo thơng tin cho Check Point Cluster ........................................... 52
Hình 6.4: Add 2 Check Point ................................................................................. 52
Hình 6.5: Chọn Network Synchronization giữa 2 Check Point............................... 53
Hình 6.6: Chọn Network Management cho Check Point ........................................ 53
Hình 6.7: Chọn Network Outside cho Check Point ................................................ 54
Hình 6.8: Chọn Network Outside cho Check Point ................................................ 54
Hình 6.9: Kiểm tra hoạt động Cluster của Check Point .......................................... 55
Hình 6.10: Tao Subnet và NAT Internal ................................................................ 55
Hình 6.11: Tao Rule .............................................................................................. 56

8


Hình 6.12: Tao Rule cho phép VLAN10 truy cập Internet ..................................... 56
Hình 6.13: Rule cấm truy cập Facebook ................................................................ 56
Hình 6.14: Add Applications/Sites “Facebook” ..................................................... 57
Hình 6.15: Rule cấm Facebook đã chọn ................................................................. 57
Hình 6.15: Add User muốn cấm Facebook ............................................................ 57
Hình 6.16: Tạo Rule cấm URL mp3.zing.vn .......................................................... 58
Hình 6.17: Đặt tên URL cần cấm ........................................................................... 59
Hình 6.18: Địa chỉ URL cần cấm ........................................................................... 59
Hình 6.19: Tạo một Object MP3 ............................................................................ 60
Hình 6.20: Mơ hình VPN Remote Access.............................................................. 60
Hình 6.21: Bật chức năng VPN trên Check Point .................................................. 61
Hình 6.22: Dải địa chỉ tự do hệ thống sinh ra khi bật chức năng VPN ................... 61
Hình 6.23: Cấu hình Office Mode.......................................................................... 62
Hình 6.24: Cấu hình xác thực Pre-Sharekey .......................................................... 62
Hình 6.25: Định nghĩa VPN Community và Participants ....................................... 63

Hình 6.26: Tạo luật kết nối VPN Client-To-Site .................................................... 63
Hình 6.27: Enable IPSec VPN ............................................................................... 64
Hình 6.28: Tạo Domain VPN ................................................................................ 65
Hình 6.29: Tạo đối tượng mạng chi nhánh ............................................................. 65
Hình 6.30: Tạo tường lửa chi nhánh ...................................................................... 66
Hình 6.31: Tạo Domain VPN chi nhánh ................................................................ 66
Hình 6.32: Tạo VPN Si-To-Site............................................................................. 67
Hình 6.33: Đặt tên VPN Site-To-Site..................................................................... 67
Hình 6.34: Add Gateways VPN Site-To-Site ........................................................ 68
Hình 6.35: Thiết lập Tunnel Management.............................................................. 68
Hình 6.36: Thiết lập Shared Secret ........................................................................ 69
Hình 6.37: Tạo Rule kết nối VPN Site-To-Site ...................................................... 69

9


MỞ ĐẦU

Check Point là công ty hàng đầu thế giới trong lĩnh vực an ninh, bảo mật trên
Internet và là một công ty tiên phong, đổi mới trên thị trường tường lửa doanh
nghiệp, an ninh dữ liệu và VPN.
Tiêu điểm duy nhất mà Check Point nhắm tới chỉ là An tồn thơng tin,
Check Point phân phối một kiến trúc an ninh hợp nhất nhằm bảo vệ cho doanh
nghiệp tài nguyên và truyền thông, bao gồm hệ thống Mạng doanh nghiệp và các
ứng dụng, các nhân viên làm việc từ xa, các văn phòng, chi nhánh và mạng
Extranets đối tác. Các sản phẩm Check Point bảo vệ và mã hóa các thơng tin nhạy
cảm của doanh nghiệp trên máy tính và các thiết bị di động khác. Giải pháp đươc
giải thưởng Check Point ZoneAlarm bảo vệ cho hàng triệu người dùng thông
thường khỏi Hackers, Spyware. Các giải pháp của Check Point được bán, tích hợp
và dịch vụ bởi mạng lưới các đối tác của Check Point trên toàn cầu .Các khách hàng

của Check Point bao gồm hàng chục ngàn doanh nghiệp và tổ chức có qui mơ khác
nhau.
Trong đề tài “Nghiên cứu, triển khai hệ thống bảo mật dựa trên Check Point
12200” này tơi chỉ nghiên cứu một số tính năng quan trọng trên Check Point như là
khả năng kết nối, các quy tắc truy cập mạng, cơ chế NAT, triển khai các dịch vụ
Cluster, VPN…từ đó đưa ra giải pháp bảo mật và triển khai giả lập mô phỏng bằng
các bài Lab trên trên Check Point.

10


CHƯƠNG 1 - TỔNG QUAN VỀ BẢO MẬT

1.1. Bảo mật hệ thống mạng
Bảo mật hệ thống mạng là sự đảm bảo an toàn cho toàn bộ hệ thống trước những
cuộc tấn công, xâm nhập và sử dụng trái phép nguồn tài nguyên, ăn cắp thông tin,
các hoạt động giả mạo nhằm phá hoại tài nguyên mạng và cơ sở dữ liệu của hệ
thống. Vấn đề bảo mật mạng luôn là một vấn đề bức thiết khi ta nghiên cứu một hệ
thống mạng. Hệ thống mạng càng phát triển thì vấn đề bảo mật mạng càng được đặt
lên hàng đầu.
Khi nguyên cứu một hệ thống mạng chúng ta cần phải kiểm soát vấn đề bảo mật
mạng ở các cấp độ sau:
 Mức mạng: Ngăn chặn xâm nhập bất hợp pháp vào hệ thống mạng.
 Mức Server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trình nhận
dạng người dùng, phân quyền truy cập, cho phép các tác vụ.
 Mức cơ sở dữ liệu: Kiểm soát, quyền sử dụng với mỗi cơ sở dữ liệu.
 Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗi trường
dữ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau có
quyền truy cập khác nhau.
 Mức mật mã: Mã hố tồn bộ File dữ liệu theo một phương pháp nào đó và

chỉ cho phép người có quyền mới có thể sử dụng được File dữ liệu.
1.2. Các kiểu tấn công mạng
Cùng với sự phát triển nhanh chóng của mạng thì nó cũng để lại nhiều lỗ
hổng để Hacker có thể tấn cơng. Các thủ đoạn tấn công ngày càng trở nên tinh vi
hơn. Các phương pháp tấn cơng thường gặp.
1.2.1. Thăm dị (Reconnaissance)
Là hình thức Hacker gửi vài thông tin truy vấn về địa chỉ IP hoặc Domain
Name để lấy được thông tin về địa chỉ IP và Domain Name từ đó thực hiện các biện
pháp tấn công khác. Khi một Hacker cố gắng xâm nhập vào mạng họ phải thu thập

11


được thông tin về mạng càng nhiều càng tốt trước khi tấn cơng. Điều này có thể
thực hiện bởi các công cụ như DNS Queries, Ping Sweep, hay Port Scan. Chúng ta
khơng thể ngăn chặn được hồn tồn các hoạt độ thăm dị kiểu như vậy.
1.2.2. Đánh cắp thơng tin bằng Packet Sniffers
Packet Sniffer là phần mềm sử dụng NIC Card để bắt tất cả các gói tin trong
cùng miền xung đột. Nó có thể khai thác thơng tin dưới dạng Clear Text. Đây là
một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng.
Sniffer thường được dùng cho Troubleshooting Network hoặc để phân tích Traffic.
Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng Clear Text (Telnet,
FTP, SMTP, POP3) nên Sniffer cũng là một công cụ cho Hacker để bắt các thông
tin nhạy cảm như là Username, Password, và từ đó có thể truy xuất vào các thành
phần khác của mạng.
Ta có thể cấm Packet Sniffer bằng một số cách như sau:
 Authentication
 Dùng Switch thay vì Bridge hay Hub: hạn chế được các gói Broadcast trong
mạng.
 Các cơng cụ Anti-Sniffer: Cơng cụ này phát hiện sự có mặt của Packet Siffer

trên mạng.
 Mã hóa: Tất cả các thơng tin lưu chuyển trên mạng đều được mã hóa. Khi đó
nếu Hacker dùng Packet Sniffer thì chỉ bắt được các gói dữ liệu đã được mã
hóa.
1.2.3. Đánh lừa (IP Spoofing)
Kỹ thuật này được sử dụng khi Hacker giả mạo địa chỉ IP tin cậy trong mạng
nhằm thực hiện việc chèn thông tin bất hợp pháp vào trong phiên làm việc hoặc
thay đổi bản tin định tuyến để thu nhận các gói tin cần thiết.
Anti Spoofing thẩm định các xem các Packet này đến từ đâu, đi đến đâu,
Gateway chính xác của nó sẽ là gì? Nó sẽ khẳng định rõ gói tin này mang IP là
Internal Network này thật sự xuất phát từ Internal Network. Nó cũng thẩm định cho
ta biết khi Packet này được Route thì nó sẽ đi thông qua cổng nào.

12


Để cấu hình Anti Spoofing, thì trước hết các Network phải có thể thấy được
nhau. Các Network được định nghĩa đúng theo sơ đồ. Anti Spoofing sẽ phát huy
hiệu quả tốt nhất khi ta cấu hình nó trên các Interface của Gateway. Sau khi kích
hoạt tính năng Spoofing xong ta nên tiếp tục cấu hình Spoofing Tracking trên cổng
đó ln nhằm mục đích giúp cho việc phát hiện xâm nhập và ghi lại File Log. Anti
Spoofing Rule được cấu hình trong phần Properties của đối tượng Firewall trong
Smartdashboard. Rule này sẽ được cưỡng ép thực thi trước bất kỳ rule nào được
định nghĩa trong phần Sercurity Policy Rule Base.
1.2.4. Tấn công từ chối dịch vụ (Denial Of Services)
Kiểu tấn công này nhằm tắc nghẽn mạng bằng cách Hacker gửi các gói tin
với tốc độ cao và liên tục tới hệ thống bảo mật nhằm làm tê liện hệ thống chiếm hết
băng thơng sử dụng.
1.2.5. Tấn cơng trực tiếp Password
Đó là kiểu tấn công trực tiếp vào Username và Password của người sử dụng

nhằm ăn cắp tài khoải sử dụng vào mục đích tấn cơng. Hacker dùng phần mềm để
tấn cơng (vị dụ như Dictionary Attacks). Các Hacker tấn công Password bằng một
số phương pháp như: Brute-Force Attack, chương trình Trojan Horse, IP Spoofing
và Acket Sniffer. Mặc dù dùng Packet Sniffer và IP Spoofing có thể lấy được
Username và Password, nhưng Hacker lại thường sử dụng và Brute-Force để lấy
Username hơn. Tấn công Brute-Force được thực hiện thực hiện bằng cách dùng một
chương trình chạy trên mạng, cố gắng Login vào các phần Share trên Server băng
phương pháp “thử và sai” Password.
Phương pháp giảm thiểu tấn công Password:
 Giới hạn số lần Login sai
 Đặt Password dài, phức tạp
 Cấm truy cập vào các thiết bị, Server từ xa thông qua các giao thức khơng an
tồn như: FTP, Telnet, Rlogin, Rtelnet… ứng dung SSL, SSH vào quản lý từ
xa.

13


1.2.6. Thám thính (Agent)
Hacker sử dụng các các phần mềm Vius, Trojan thường dùng để tấn công
vào máy trạm làm bước đệm để tấn công vào máy chủ và hệ thống. Kẻ tấn cơng có
thể nhận được các thơng tin hữu ích từ máy nạn nhân thơng qua các dịch vụ mạng.
1.2.7. Tấn cơng vào yếu tố con người
Hacker có thể tấn công vào các lỗ hổng do lỗi nhà quản trị hệ thống hoặc liên
lạc với nhà quản trị hệ thống giả mạo là người sủ dụng thay đổi Username và
Password.
1.2.8. Các phương thức tấn công D.O.S thông thường
Hacker sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các
máy tính trên mạng dựa vào một vài dịch vụ hoặc các lỗi bảo mật để phát sinh một
khối lượng dữ liệu lớn truyền đến hệ thống máy đích làm cạn kiệt tài nguyên và tê

liệt dịch vụ các hệ thống là nạn nhân bị tấn công. Các phương pháp tấn công dựa
trên việc phát sinh các gói dữ liệu từ hệ thống Email, Broadcast Echo Request …
1.2.9. Phương thức tấn công bằng Mail Relay
Đây là phương pháp phổ biến hiện nay. Email Server nếu cấu hình khơng
chuẩn hoặc Username/ Password của User sử dụng Mail bị lộ. Hacker có thể lợi
dụng Email Server để gửi Mail gây ngập mạng, phá hoại hệ thống Email khác.
Ngồi ra với hình thức gắn thêm các đoạn Script trong Mail Hacker có thể gây ra
các cuộc tấn cơng Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ
Database nội bộ hoặc các cuộc tấn cơng D.o.S vào một mục tiêu nào đó.
Phương pháp giảm thiểu:
 Giới hạn dung lương Mail box
 Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho
SMTP Server, đặt Password cho SMTP.
 Sử dụng Gateway SMTP riêng
1.2.10. Phương thức tấn công hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và
cũng là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm

14


quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan
đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.
 Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
 Cài đặt hệ thống IDS Host cho hệ thống DNS
 Ln cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.
1.2.11. Phương thức tấn cơng Man-In-The-Middle Attack
Dạng tấn cơng này địi hỏi Hacker phải truy nhập được các gói mạng của
mạng. Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tất
cả các gói mạng của cơng ty, khách hàng cũng như tất cả các gói mạng của các công

ty khác thuê Leased Line đến ISP đó để ăn cắp thơng tin hoặc tiếp tục Session truy
nhập vào mạng riêng của công ty khách hàng. Tấn công dạng này được thực hiện
nhờ một Packet Sniffer. Tấn cơng dạng này có thể hạng chế bằng cách mã hố dữ
liệu được gởi ra. Nếu các Hacker có bắt được các gói dữ liệu thì là các dữ liệu đã
được mã hóa.
1.2.12. Phương thức tấn cơng Trust Exploitation
Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin
cậy đối với mạng. Một ví dụ cho tấn cơng kiểu này là bên ngồi Firewall có một
quan hệ tin cậy với hệ thống bên trong Firewall. Khi bên ngồi hệ thống bị xâm hại,
các Hacker có thể lần heo quan hệ đó để tấn cơng vào bên trong Firewall. Có thể
giới hạn các tấn cơng kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào
mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên
nào của mạng.
1.2.13. Phương thức tấn công Port Redirection
Tấn công này là một loại của tấn công Trust Exploitation, lợi dụng một Host
đã đã bị đột nhập đi qua Firewall. Ví dụ, một Firewall có 3 Inerface, một Host ở
Outside có thể truy nhập được một Host trên DMZ, nhưng không thể vào được Host
ở Inside. Host ở DMZ có thể vào được Host ở Inside, cũng như Outside. Nếu
Hacker chọc thủng được Host trên DMZ, họ có thể cài phần mềm trêm Host của
DMZ để bẻ hướng traffic từ Host Outside đến Host Inside. Ta ngăn chặn tấn công

15


loại này bằng cách sử dụng HIDS cài trên mỗi Server. HIDS có thể giúp phát hiện
được các chường trình lạ hoạt động trên Server đó.
1.2.14. Phương thức tấn cơng lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một
trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như
Sendmail, HTTP, hay FTP. Nguyên nhân chủ yếu của các tấn công lớp ứng dụng

này là chúng sử dụng những Port cho qua bởi Firewall. Ví dụ các Hacker tấn công
Web Server bằng cách sử dụng TCP Port 80, Mail Server bằng TCP Port 25.
Một số phương cách để hạn chế tấn công lớp ứng dụng:
 Lưu lại File Log, và thường xn phân tích File Log
 Ln cập nhật các Patch cho OS và các ứng dụng
 Dùng IDS, có 2 loại IDS
Các IDS phát hiện các tấn công bằng cách dùng các Signature. Signature của
một tấn công là một Profile về loại tấn cơng đó. Khi IDS phát hiện thấy Traffic
giống như một Signature nào đó, nó sẽ phát cảnh báo.
1.2.15. Phương thức tấn Virus và Trojan Horse
Các nguy hiểm chính cho các Workstation và End User là các tấn công Virus
và Trojan Horse. Virus là một phần mềm có hại, được đính kèm vào một chương
trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan Horse thì
hoạt động khác hơn. Một ví dụ về Trojan Horse là một phần mềm ứng dụng để chạy
một Game đơn giản ở máy Workstation. Trong khi người dùng đang mãi mê chơi
Game, Trojan Horse sẽ gởi một bản Copy đến tất cả các User trong Address Book.
Khi User khác nhận và chơi trị chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả
các địa chỉ mail có trong Address Book của User đó. Có thể dùng các phần mềm
chống Virus để diệt các Virus và Trojan Horse và luôn luôn cập nhật chương trình
chống Virus mới.

16


CHƯƠNG 2 – CHECK POINT

2.1. Giới thiệu Check Point
Check Point là một trong những nhà cung cấp hàng đầu về các sản phẩm bảo
mật Internet. Cung cấp một giải pháp toàn diện cho việc quản lý các thiết bị an tồn
bảo mật với các tính năng vượt trội, các chính sách bảo mật, theo dõi các thiết bị,

Logging, quản lý các sự kiện và cung cấp cho nhà quản trị các báo cáo ở các mức
độ khác nhau, đặc biệt là các dòng sản phẩm Firewall dùng trong các doanh nghiệp,
cá nhân và các công nghệ mạng riêng ảo VPN. Ngoài ra Check Point cung cấp một
kiến trúc bảo mật thống nhất cho một lọat các giải pháp bảo mật, bảo mật cho truy
cập Internet, bảo mật mạng nội bộ, bảo mật Web, bảo mật người dùng…, nhằm bảo
vệ các tài ngun thơng tin, q trình truyền thơng, các ứng dụng của doanh nghiệp.
Đặc biệt các sản phẩm của Check Point cho phép việc tích hợp với hàng lọat các
dịng sản phẩm của hơn 350 hãng sản xuất thiết bị bảo mật nổi tiếng trên thế giới.
2.2. Giới thiệu các dòng thiết bị của Check Point
Dòng thiết bị của Check Point được thiết kế để chạy bất kỳ phiến bảo mật
nào của Check Point bao gồm: Firewall, VPN, Intrusion Prevention, Application
Control, Mobile Access, Data Loss Prevention, Identity Awareness, URL Filtering,
Anti-Spam, Antivirus, Advanced Networking, Acceleration, và hỗ trợ phiến bảo
mật mới Anti-Bot Software Blade. Với việc hợp nhất các khả năng bảo vệ trong
một thiết bị cho phép khách hàng linh hoạt trong việc tối ưu hóa hạ tầng an ninh bảo
mật dựa trên mức độ bảo vệ và hiệu năng cần thiết đáp ứng yêu an ninh bảo mật và
sự phát triển của doanh nghiệp…
Sự kết hợp giữa thiết bị có hiệu suất cao của Check Point và khả năng mở
rộng các phiến bảo mật là một giải pháp linh hoạt giúp các doanh nghiệp xây dựng
giải pháp an ninh/ bảo mật đáp ứng các nhu cầu trong tương lai.
Các đặc điểm và lợi ích với dịng thiết bị của Check Point:
 2200 Appliance: Giải pháp cho các văn phòng nhỏ, chi nhánh với hiệu năng
xử lý 3 Gbps Firewall và 2 Gbps IPS.

17


 4200 Appliance: Dòng thiết bị cho các doanh nghiệp vừa và nhỏ với hiệu
năng xử lý 3 Gbps Firewall, 2 Gbps IPS, cùng với khả năng bổ sung thêm
các giao diện kết nối mạng.

 4600 Appliance: Dòng thiết bị cho các doanh nghiệp với hiệu năng tổng thể
lên tới 9 Gbps Firewall, 4 Gbps IPS với chi phí rất hợp lý.
 4800 Appliance: Dòng thiết bị cho các doanh nghiệp với hiệu năng tổng thể
lên tới 11 Gbps Firewall, 6 Gbps IPS, hỗ trợ nhiều phiến bảo mật hiệu năng
cao (Multi-Blade Performance) và hỗ trợ chuẩn kết nối mạng Fiber lên tới 10
Gbps.
 12200 Appliance: Dòng thiết bị cho Data Center với thiết kế tiết kiệm không
gian 1U rack cung cấp hiệu năng lên tới 15 Gbps Firewall, 8 Gbps IPS với
tùy chọn dự phòng về nguồn và ổ cứng (Power Supply and Hard Drives).
Hơn nữa, 12200 hỗ trợ lên tới 10 Virtual Systems.
 12400 Appliance: Dòng thiết bị cho Data Center cung cấp hiệu năng lên tới
25 Gbps Firewall, 12 Gbps IPS, hỗ trợ đa dạng các loại chuẩn kết nối mạng
và hỗ trợ lên tới 50 Virtual Systems.
 12600 Appliance: Dòng thiết bị cho Data Center lớn hỗ trợ số lượng kết nối
đồng thời lớn và hiệu năng xử lý lên tới 30 Gbps Firewall, 17 Gbps IPS, hỗ
trợ lên tới 150 virtual Systems.
 21400 Appliance (ra mắt tháng 8/2011): Dòng thiết bị cho Data Center cực
lớn với hiệu năng lên tới 100 Gbps Firewall, 21 Gbps IPS. 21400 còn cung
cấp khả năng mở rộng lên tới 37 Ports GbE hoặc 12 Ports 10GbE, cho phép
khách hàng dễ dàng triển khai trong Data Center lớn, đồng thời thiết bị hỗ trợ
lên tới 250 Virtual Systems.

18


Hình 2.1: Các dịng sản phẩm của Check Point
2.3. Những tính năng nổi bật trên Check Point
Phần mềm Check Point với ưu thế cạnh tranh, là sản phẩm đáng tín cậy cho
bất kỳ doanh nghiệp nào. Bộ sản phẩm của Check Point gồm nhiều Module kết hợp
tạo nên một giải pháp Firewall an ninh hiệu quả cho các hình thức mạng khác nhau.

2.3.1. Firewall
 Sử dụng công nghệ “Stateful Inspection” bảo vệ được từ mức Network đến
mức ứng dụng trong mơ hình OSI.
 Kỹ thuật phịng chống thơng minh “SmartDefense” cho phép bảo vệ tấn công
ở mức ứng dụng.
 SmartDefense cho phép dễ dàng cập nhật và cấu hình các phương pháp tấn
công mới.
 Hỗ trợ phân quyền theo nhiều yếu tố Host, dịch vụ hay người truy cập.
2.3.2. Hỗ trợ phân tích Log
 Quản lý tập trung cho phép quản lý nhiều Firewall trên một máy tính.
 Quản lý thiết lập chính sách dễ dàng bằng các cơng cụ trực quan GUI.
 Hỗ trợ việc xác thực người sử dụng bằng nhiều phương pháp S/key, SecurID,
OS Password, RADIUS hay những phương pháp chứng thực khác.

19


2.3.3. VPN
 VPN hỗ trợ thuật tốn mã hóa 3DES, AES. VPN hỗ trợ Site-To-Site đảm bảo
kênh truyền an toàn giữa các mạng LAN và an toàn giữa các mạng LAN.
Site–To–Site tạo kênh truyền an toàn giữa các máy truy cập từ xa và trung
tâm. Module Secure Client cho phép bảo vệ máy truy cập từ xa tránh trường
hợp tạo “Backdoors” cho Hacker xâm nhập vào hệ thống
 Hỗ trợ truy cập VPN qua SSL hay Microsoft Windows L2TP/
IPSec VPN Client
2.3.4. Tính năng quản lý (SmartCenter và GUI Client)
 Quản lý tập trung với người quản trị bằng một giao diện đồ họa duy nhất.
 Tất cả dữ liệu Log sẽ được quản lý tập trung dễ dàng phân tích và theo dõi
bởi người quản trị hệ thống.
 Khả năng quản lý nhiều Firewall trên một giao diện đồ họa duy nhất.

2.3.5. Tính năng quản lý Log
 Log sẽ được định hướng đến Server chuyên dụng xử lý Log.
 Log được cảnh báo khi ổ đĩa cứng trống còn thấp và sẽ Reset lại Log theo
những thông số do người quản trị định nghĩa.
 Đặt thời gian chuyển File Log đến Server xử lý log theo chu kỳ.
 Thông tin Log bao gồm người sử dụng dịch vụ, thời gian kết nối, đích đến,
độ dài phiên kết nối, hành động…
 Người quản trị có thể lọc File Log để định những sự kiện lưu tâm đến bảo
mật của hệ thống.
2.3.6. Tính linh động
 Người sử dụng có thể chọn lựa giải pháp của Check Point linh động dựa trên
hệ điều hành như WinNT, Linux, Solaris hay những thiết bị phần cứng
chuyên dụng của Celestix, Resilience, Nokia...
 Hỗ trợ cơ cấu mở (OPSEC) cho phép liên kết giải pháp Check Point với
những ứng dụng an ninh khác như TrendMicro. Raibow, Websense…

20


2.3.7. Tính năng nổi trội khác
 Tích hợp với phần mềm Check Point VPN-1/ Firewall-1 và các ứng dụng bảo
mật trên Gateway như Antivirus và các phần mềm bảo mật nội dung khác
 Tích hợp tính cân bằng tải cho hệ thống bảo mật
 Kỹ thuật thông minh để xử lý lỗi xảy ra cho Firewall và VPN Gateway đảm
bảo hệ thống hoạt động trong suốt.
2.4. Các thành phần bảo mật của Check Point
2.4.1. Eventia Analyzer
Giúp đỡ người quản trị trong việc quản lý các sự kiện liên quan đến bảo mật.
Eventia Analyzer cho phép quản lý tập trung, thời gian thực các thiết bị bảo mật
Gateway của Check Point và sản phẩm của các đối tác của Check Point. Eventia tự

động thu thập dữ liệu thông tin về các sự kiện, tình hình tấn cơng… Tối ưu hóa cách
trình bày và cung cấp cho nhà quản trị một cái đầy đủ nhất về tình hình an ninh trên
mạng.
2.4.2. Eventia Report
Thu thập dữ liệu, thông tin từ các thiết bị bảo mật trên mạng sau đó trình bày
một cách có hệ thống, dưới dạng báo cáo giúp cho tổ chức có thể sử dụng làm căn
cứ để đánh giá, xác định xem hiệu quả của chính sách bảo mật, tình hình an tồn
bảo mật trên mạng. Eventia Reporter tập trung hóa việc báo cáo về các hoạt động
của người dùng, các thiết bị bảo mật và thiết bị mạng. Ngoài ra Eventia Report cung
cấp cho người dùng một giải pháp thân thiện cho việc theo dõi và thẩm định Traffic.
Người quản trị có thể dùng Eventia Report để tạo ra bảng tóm tắt các Traffic với
nhiều định dạng khác nhau trên VPN-1 Pro, Secure Client, Smart Defense.
2.4.3. SmartCenter
Để đối phó với sự tấn công của tin tặc ngày càng phức tạp, chúng ta phải xây
dụng hệ thống an ninh bảo mật theo chiều sâu bao gồm nhiều lớp: Bảo mật vịng
ngồi, bảo mật bên trong, bảo mật người dùng… Check Point đưa ra giải pháp cho
phép người quản trị có thể quản lý được trong mơi trường phức tạp đó. Thơng qua
SmartCenter, người quản trị có thể thực hiện được tất cả các khía cạnh quản lý liên

21


quan đến vấn đề bảo mật. Smart Center còn dùng để lưu trữ và phân phối Security
Policy đến nhiều Security Gateway. Các Policy được định nghĩa bằng cách Smart
Dashboard và được lưu trữ vào Smart Center. Sau đó Smart Center sẽ duy trì
Database bao gồm các Network Object, định nghĩa User, Security Policy, Log File
cho Firewall Gateway. Khi cấu hình được tích hợp tất cả vào Security Policy. Tất cả
các policy được tạo ra hay định dạng sau đó được phân phối đến Security Gateway.
Việc quản lý chính sách nhóm một cách tập trung nâng cao hiệu quả.
2.4.4. SmartPortal

Cho phép người dùng, người kiểm tra có thể xem được các chính sách bảo
mật, tình trạng các thiết bị bảo mật và hoạt động quản lý của nhà quản trị.
2.4.5. SmartView Monitor
Cho phép người quản trị có một cái nhìn tổng quan về hiệu năng hoạt động
của các thiết bị mạng và thiết bị bảo mật từ đó, đưa ra những biện pháp kịp thời.
SmartView Monitor cũng cho phép người quản trị xác định được tức thời những
thay đổi lớn về Traffic trên mạng, đặc biệt là những thay đổi nguy hiểm. Các sản
phẩm bảo mật vịng ngồi của Check Point, chủ yếu là các thiết bị VPN, cho phép
kiểm soát việc truy cập vào các tài nguyên mạng nội bộ của doanh nghiệp từ bên
ngoài. Đảm bảo chỉ những người được phép mới có quyền truy cập. Nổi bật nhất
trong đó là dịng sản phẩm Check Point VPN-1/ Firewall 1 Pro.
2.4.6. Smart Dashboard
Được dùng để định nghĩa và quản lý các chính sách bảo mật với quyền
Security Administrator. Smart Dashboard cung cấp cho người quản trị một giao
diện đồ họa đơn giản, dễ dàng định nghĩa và quản lý nhiều yếu tố của Secure
Virtual Network. Ví dụ như Firewall Policy, VPN Client Security Gateway,
Network Address Translation, Quality of Service… Quản lý tất cả các object như
User, Host, Network, Service… mà nó được chia sẻ giữa các ứng dụng.
2.4.7. SmartView Tracker
Được dùng để quản lý, theo dõi log và thực hiện cảnh báo. Kiểm tra các quá
trình kết nối vào Server bằng thời gian thực. Ngoài ra, SmartView Tracker cũng ghi

22


lại các hành động của người quản trị để giúp cho q trình Troubleshoot nhanh hơn.
Nếu có sự tấn cơng mạng từ mơi trường bên ngồi hay bên trong thì người quản trị
có thể dùng SmartView Tracker để hủy hoặc tạm dừng các tiến trình này để theo
dõi.
2.4.8. SmartLSM

Dùng để quản lý nhiều Security Gateway bằng cách dùng Smart Center
Server.
2.4.9. SmartUpdate
Dùng để quản lý và duy trì License. Ngồi ra nó cịn giúp cho việc Update
các Software của Check Point.
2.4.10. Security Gateway
Security Gateway chính là Firewall Machine mà ở đó được cài đặt vào dựa
trên Stateful Inspection. SmartConsole và SmartCenter có thể triển khai trên một
hay nhiều máy tính khác nhau theo mơ hình Client /Server. Có thể triển khai trên
một Internet Gateway và một điểm truy cập khác. Security Policy được định nghĩa
bằng SmartDashboard và được lưu trữ vào SmartCenter Server. Sau đó một
Inspection Script được tạo ra từ những Policy. Inspection Code được biên dịch ra từ
Script và nạp vào Security Gateway để bảo vệ Network.
2.5. Check Point Firewall Gateway Security
2.5.1. Kiến trúc Check Point Software Blades
 Software Blade là một khối kiến trúc an ninh Logic có tính độc lập, Modull
hóa và quản lý tập trung.
 Software Blades có thể sẵn sàng và cấu hình theo một giải pháp dựa trên
những nhu cụ thể. Và khi có nhu cầu, các Blades bổ sung có thể được kích
hoạt để mở rộng an ninh cho cấu hình sẵn có bên trong cùng một cơ sở phần
cứng.
 Kiến trúc Software Blade của Check Point đề xuất một cách thức tốt hơn
trong vấn đề an ninh, cho phép các tổ chức nhìn nhận một cách hiệu quả các
giải pháp mục tiêu, phù hợp các nhu cầu an ninh doanh nghiệp đề ra.

23


 Toàn bộ các giải pháp được quản lý tập trung thông qua SmartCenter duy
nhất nhằm hạn chế sự phức tạp và quá tải vận hành.

 Ứng cứu khẩn cấp các mối đe dọa: kiến trúc Software Blade của Check Point
mở rộng các dịch vụ một cách nhanh chóng và linh hoạt khi cần thiết mà
không cần bổ sung phần cứng hay tăng độ phức tạp.
2.5.2. Những lợi ích chính của Check Point Software Blade
 Tính linh hoạt: Cung cấp một mức độ an ninh phù hợp với mức độ đầu tư
 Khả năng điều khiển: Cho phép triển khai nhanh các dịch vụ an ninh. Tăng
cường hiệu suất làm việc thông qua quản trị Blade tập trung.
 An ninh toàn diện: Cung cấp mức độ an ninh phù hợp, trên tất cả các điểm
thực thi, và toàn bộ các lớp mạng.
 Tổng giá thành thấp: Bảo vệ sự đầu tư thông qua củng cố và sử dụng hạ tầng
phần cứng đang có.
 Năng suất đảm bảo: Cho phép dự phòng tài nguyên nhằm bảo đảm các mức
độ dịch vụ.
2.5.3. Security Gateway Software Blades
Check Point Software Blades cung cấp cơ chế an ninh mạng một cách linh
hoạt, quản trị tập trung với các quy mô khác nhau cho các doanh nghiệp. Check
Point Software Blades với giá thành hợp lý đồng thời vẫn có thế đáp ứng bất kỳ nhu
cầu an ninh mạng nào ngay cả hiện tại và trong tương lai.

Hình 2.2: Check Point Software Blades

24


 Firewall: Trường lửa được thử thách nhất bảo vệ cho hơn 200 ứng dụng, giao
thức và dịch vụ với tính năng cơng nghệ kiểm sốt thích ứng và thơng minh
nhất.
 IPsec VPN: Kết nối an tồn cho văn phịng và người dùng cuối thông qua
VPN Site-To-Site được quản lý truy cập từ xa mềm dẻo.
 IPS: Giải pháp phòng chống xâm nhập IPS tích hợp hiệu năng cao nhất với

tầm bao phủ các nguy cơ tốt nhất
 Web Security: Bảo vệ tiên tiến cho tồn bộ mơi trường Web đặc trưng bởi sự
bảo vệ mạnh nhất chống lại các tấn công tràn bộ đệm.
 URL Filtering: Bộ lọc Web thuộc hạng tốt nhất bao phủ hơn 20 triệu URLs,
bảo vệ người dùng và doanh nghiệp bằng cách cấm truy cập tới các trang
Web nguy hiểm.
 Antivirus & Anti-Malware: Bảo vệ diệt Virus hàng đầu bao gồm phân tích,
ngăn chặn Virus và các Malware khác tại cổng.
 Anti-Spam & Email Security: Bảo vệ đa hướng cho hạ tầng thư tín, ngăn
chặn Spam, bảo vệ các Servers và hạn chế tấn công qua Email.
 Advanced Networking: Bổ sung định tuyến động, hỗ trợ Multicast và Quality
of Service (QOS) cho các cổng an ninh.
 Acceleration & Clustering: Cung cấp sự kiểm soát Packet nhanh như chớp,
tính sẵn sàng cao và cân bằng tải.
 Voice Over IP: Có hơn 60 phịng thủ ứng dụng VoIP và các phương pháp
QoS tiên tiến bảo vệ hạ tầng VoIP khỏi các cuộc tấn công như dạng tấn công
từ chối dịch vụ trong khi cung cấp thoại chất lượng cao.
2.5.4. Security Management Blades
 Network Policy Management: Quản lý chính sách an ninh mạng tồn diện
cho các cổng Check Point và Blades thông qua SmartDashboard
 Endpoint Policy Management: Triển khai, quản trị, giám sát tập trung và ép
buộc chính sách an ninh cho tồn bộ các thiết bị đầu cuối trên tồn tổ chức
qui mơ bất kỳ.

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×