Khóa luận Nghiên cứu triển khai nokia firewall

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Hồng Phong NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin HÀ NỘI - 2009 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Vũ Hồng Phong NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công Nghệ Thông Tin Cán bộ hướng dẫn: ThS. Đoàn Minh Phương Cán bộ đồng hướng dẫn: ThS. Nguyễn Nam Hải HÀ NỘI - 2009 LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới ThS. Nguyễn Nam Hải và ThS. Đoàn Minh Phương. Hai thầy đã giúp đỡ em lựa chọn đề tài đồng thời trực tiếp hướng dẫn và đưa ra những nhận xét quý giá trong suốt quá trình em thực hiện khóa luận này. Em cũng xin gửi lời cảm ơn tới các thầy trong Trung Tâm Máy Tính – Đại học Công Nghệ - ĐHQGHN đã hết sức tạo điều kiện để em nghiên cứu và hoàn thành khóa luận. Em xin được cảm ơn các thầy, các cô trong trường Đại học Công Nghệ, trong suốt bốn năm qua đã giảng dạy chúng em. Những kiến thức các thầy, các cô cung cấp sẽ là hành trang vững chắc để em tiến bước trong tương lai. Trong quá trình học tập, em đã nhận được rất nhiều sự giúp đỡ, động viên từ các bạn trong lớp K50CA, K50MMT. Em xin được gửi lời cảm ơn tất cả các bạn. Cuối cùng, em xin gửi lời cảm ơn sâu sắc nhất tới bố mẹ và gia đình em. Những người luôn luôn cổ vũ, khích lệ và mang tới cho em những điều tốt đẹp nhất trong cuộc sống. TÓM TẮT NỘI DUNG Phần mở đầu của Khóa luận sẽ đặt ra các vấn đề làm cơ sở cho việc thực hiện Khóa luận. Các vấn đề được đặt ra dựa trên việc khảo sát thực tế hiện trạng hệ thống mạng trường Đại học Công Nghệ (xem chi tiết trong phụ lục B). Tiếp đó, Khóa luận sẽ trình bày giải pháp sử dụng Nokia Check Point để nâng cao khả năng an ninh và hoạt động của hệ thống mạng. Các phần sau của khóa luận sẽ lần lượt trình bày về phương pháp cài đặt, triển khai thiết bị Nokia IP1220. Đầu tiên là tìm hiểu về HĐH IPSO sử dụng trên Nokia IP1220, các bước cài đặt, cấu hình HĐH IPSO. Tiếp đó là phần giới thiệu và cách cài đặt ứng dụng Firewall-1/VPN-1. Sau đó là cách cấu hình tường lửa, thiết lập các chính sách an ninh, cấu hình NAT, Routing , cấu hình mạng riêng ảo VPN tích hợp với máy chủ LDAP. Trước mỗi phần đều có nêu tóm tắt các kiến thức cơ bản được sử dụng. Phần kết luận sẽ nêu lên kết quả triển khai thành công Nokia Check Point trên hệ thống mạng thực tế của trường Đại học Công Nghệ và các phương hướng, bổ sung cần thực hiện trong tương lai. MỤC LỤC BẢNG VIẾT TẮT ................................................................................................................................................. 7 DANH SÁCH HÌNH VẼ ....................................................................................................................................... 8 DANH SÁCH BẢNG........................................................................................................................................... 10 ĐẶT VẤN ĐỀ ...................................................................................................................................................... 11 CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO...... 13 1.1. Giải pháp Nokia Check Point.................................................................................................................... 13 1.2. Tổng quan Nokia Check Point................................................................................................................... 13 1.2.1. Hệ điều hành IPSO............................................................................................................................ 14 1.2.2. Cài đặt HĐH IPSO và cấu hình ban đầu ........................................................................................... 14 1.2.2.1. Boot Manager............................................................................................................................ 15 1.2.2.2. Cài đặt IPSO ............................................................................................................................. 16 1.2.2.3. Cài đặt ban đầu.......................................................................................................................... 19 CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 ........................................................................................ 22 2.1. Giới thiệu................................................................................................................................................... 22 2.2. Cài đặt package......................................................................................................................................... 22 2.2.1. Cài đặt gói wrapper ........................................................................................................................... 23 2.2.1.1. Cài đặt với CLI ......................................................................................................................... 23 2.2.1.2. Cài đặt với Nokia Network Voyager......................................................................................... 23 2.2.2. Cài đặt SmartConsole NGX R62 ...................................................................................................... 24 CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA ................................................................................... 25 3.1. Thiết lập cấu hình ban đầu........................................................................................................................ 25 3.2. Chính sách tường lửa mặc định ................................................................................................................ 27 3.3. Thiết lập các luật tường lửa qua SmartDashboard................................................................................... 29 CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT.................................................................................................... 32 4.1. Ẩn giấu đối tượng mạng............................................................................................................................ 32 4.2. Cấu hình luật NAT..................................................................................................................................... 33 CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE.................................................................................................. 35 5.1. Giới thiệu về SmartDefense....................................................................................................................... 35 5.2. Network Security ....................................................................................................................................... 36 5.2.1. Denial of Service............................................................................................................................... 36 5.2.2. IP and ICMP...................................................................................................................................... 36 5.2.3. TCP ................................................................................................................................................... 37 5.2.4. Fingerprint Scrambling ..................................................................................................................... 38 5.2.5. Successive Events ............................................................................................................................. 38 5.2.6. Dynamic Ports................................................................................................................................... 38 5.3. Application Intelligence ............................................................................................................................ 39 5.3.1. HTTP Worm Catcher ........................................................................................................................ 39 5.3.2. Cross-Site Scripting .......................................................................................................................... 40 5.3.3. HTTP Protocol Inspection................................................................................................................. 40 5.3.4. File and Print Sharing Worm Catcher ............................................................................................... 42 CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN.................................................................................................... 43 6.1. Tổng quan về VPN..................................................................................................................................... 43 6.2. Giải pháp VPN Check Point cho truy cập từ xa........................................................................................ 43 6.2.1. Cấu hình Office Mode sử dụng IP Pool ............................................................................................ 43 6.2.2. Truy cập VPN từ xa sử dụng SecuRemote/SecureClient .................................................................. 49 CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP.......................................................................................... 54 7.1. Giới thiệu sơ lược về LDAP ...................................................................................................................... 54 7.2. Cấu hình VPN tích hợp LDAP................................................................................................................... 56 7.2.1. Cấu hình máy chủ LDAP .................................................................................................................. 56 7.2.2. Cài đặt và cấu hình VPN-1................................................................................................................ 57 7.2.2.1. Kích hoạt SmartDirectory trong Global Properties ................................................................... 57 7.2.2.2. Tạo một host object cho OpenLDAP server ............................................................................. 57 7.2.2.3. Tạo một LDAP Account Unit ................................................................................................... 58 7.2.2.4. Tạo LDAP group....................................................................................................................... 59 CHƯƠNG 8. TRIỂN KHAI THỰC TẾ ............................................................................................................ 60 8.1. Phân tích và giải pháp .............................................................................................................................. 60 8.2. Cài đặt....................................................................................................................................................... 62 8.2.1. Lắp đặt và cài đặt ban dầu................................................................................................................. 62 8.2.2. Thiết lập cấu hình.............................................................................................................................. 65 8.3. Giám sát và quản lý................................................................................................................................... 80 KẾT LUẬN .......................................................................................................................................................... 86 PHỤ LỤC............................................................................................................................................................. 87 Phụ lục A. fw1ng.schema............................................................................................................................ 87 Phụ lục B: Hiện trạng mạng VNUNet......................................................................................................... 90 TÀI LIỆU THAM KHẢO................................................................................................................................... 97 7 BẢNG VIẾT TẮT BGP Border Gateway Protocol CLISH Command Line Interface Shell DHCP Dynamic Host Configuration Protocol DNS Domain Name System ĐHQGHN Đại Học Quốc Gia Hà Nội FreeBSD Free Berkeley Software Distribution FTP File Transfer Protocol GUI Graphic User Interface HTTP Hypertext Transfer Protocol HTTPS Hypertext Transfer Protocol Secure ICMP Internet Control Message Protocol IGRP Interior Gateway Routing Protocol IP Internet Protocol IPSO IP Security Operating System ISS Internet Security System LDAP Lightweight Directory Access Protocol NAT Network Address Translation OSI Open Systems Interconnection OSPF Open Shortest Path First RIP Routing Information Protocol SNMP Simple Network Management Protocol SSH Secure Shell TCP Tranmission Control Protocol Telnet Telecomunication network VNUNet Vietnam National University Network VPN Virtual Private Network 8 DANH SÁCH HÌNH VẼ Hình 1. Nokia IP1220 Platform.....................................................................................13 Hình 2. SmartDashboard – Security..............................................................................30 Hình 3. Thực thi cài đặt .................................................................................................31 Hình 4. SmartDashboard – Address Translation...........................................................32 Hình 5. Cấu hình luật NAT tự động ..............................................................................33 Hình 6. Các luật NAT....................................................................................................34 Hình 7. Global Properties - NAT ..................................................................................34 Hình 8. Network Quota .................................................................................................37 Hình 9. Dynamic Ports ..................................................................................................39 Hình 10. General HTTP Worm Catcher........................................................................40 Hình 11. HTTP Protocol Inspection..............................................................................41 Hình 12. File and Print Sharing.....................................................................................42 Hình 13. Check Point Gateway – General Properties ...................................................44 Hình 14. Tạo Network Object .......................................................................................45 Hình 15. Cấu hình Office Mode ....................................................................................46 Hình 16. Tạo User .........................................................................................................47 Hình 17. Remote Access Community Properties ..........................................................48 Hình 18. Remote Access Rule.......................................................................................48 Hình 19. Server Address................................................................................................50 Hình 20. Authentication Method...................................................................................50 Hình 21. Connectivity Settings......................................................................................51 Hình 22. Advanced Settings ..........................................................................................51 Hình 23. Validate Site ...................................................................................................52 Hình 24. Giao diện kết nối SecureClient.......................................................................52 Hình 25. Tạo Profile ......................................................................................................53 Hình 26. Hoạt động của giao thức LDAP .....................................................................54 Hình 27. Entry ..............................................................................................................54 Hình 28. Kích hoạt Smart Directory..............................................................................57 Hình 29. LDAP Server Properties .................................................................................58 Hình 30. Mô hình mạng cũ............................................................................................60 Hình 31. Mô hình mạng mới .........................................................................................61 Hình 32. Thông tin về hệ điều hành và các gói kích hoạt .............................................63 Hình 33. Cấu hình các cổng của thiết bị........................................................................64 Hình 34. Đặt gateway ....................................................................................................64 Hình 35. Cấu hình Host Name, SNMP .........................................................................65 Hình 36. Smartmap........................................................................................................65 Hình 37. General Properties ..........................................................................................66 Hình 38. Topology.........................................................................................................67 Hình 39. Các luật tường lửa ..........................................................................................68 Hình 40. Protection Overview.......................................................................................69 Hình 41. Remote Access ...............................................................................................69 9 Hình 42. Remote Access Community Properties ..........................................................70 Hình 43. VPN Basic ......................................................................................................71 Hình 44. VPN - IKE ......................................................................................................71 Hình 45. VPN – IPSEC .................................................................................................72 Hình 46. VPN NAT.......................................................................................................72 Hình 47. Tạo Host Node................................................................................................73 Hình 48. Thẻ General ....................................................................................................73 Hình 49. LDAP Server Properties .................................................................................74 Hình 50. Thẻ Server ......................................................................................................74 Hình 51. Thẻ Object Management ................................................................................75 Hình 52. Hiển thị tài khoản LDAP................................................................................75 Hình 53. LDAP Group ..................................................................................................76 Hình 54. Luật Remote Access .......................................................................................76 Hình 55. Chọn Visitor Mode .........................................................................................77 Hình 56. Màn hình đăng nhập .......................................................................................78 Hình 57. Thiết lập kết nối..............................................................................................78 Hình 58. Xác thực tài khoản..........................................................................................78 Hình 59. Kết nối thành công..........................................................................................79 Hình 60. Kiểm tra địa chỉ ..............................................................................................79 Hình 61. Kiểm tra bảng định tuyến ...............................................................................80 Hình 62. SmartView Tracker - Log...............................................................................81 Hình 63. Record Detail..................................................................................................81 Hình 64. SmartView Tracker – Active..........................................................................82 Hình 65. SmartView Tracker - Audit ............................................................................83 Hình 66. SmartView Monitor........................................................................................84 Hình 67. SmartView Monitor - System.........................................................................85 Hình 68. SmartView Monitor – Remote User...............................................................85 Hình 69. Mô hình logic hệ thống mạng VNUnet……………………………………..69 Hình 70. Mô hình logic hệ thống mạng CTnet……………………………………......94 10 DANH SÁCH BẢNG Bảng 1. Các tham biến của Boot Manager ....................................................................15 Bảng 2. Các bộ lọc mặc định.........................................................................................28 11 ĐẶT VẤN ĐỀ ĐHQGHN là một tổ chức đại học quy mô trung bình bao gồm nhiều đơn vị thành viên và trực thuộc, với nhiều campus phân bố trên diện tích khá rộng trong nội thành thủ đô Hà Nội. Trong quá khứ, VNUnet được xây dựng theo hướng tập hợp các mạng LAN sẵn có của các đơn vị thành viên và trực thuộc nên cơ sở hạ tầng truyền thông thuộc quyền quản lý của VNUnet chỉ bao gồm các đường cáp kết nối từ điểm trung tâm tại E3, 144 Xuân Thuỷ đến các điểm tập trung của các LAN thành viên (theo chuẩn Ethernet 100/1000 Mbps), các đường kết nối ra môi trường bên ngoài và các thiết bị ghép nối tập trung. Hệ thống LAN trong mỗi đơn vị thuộc quyền quản lý của chính đơn vị đó. Sự ổn định, an toàn, an ninh của VNunet chịu ảnh hưởng trực tiếp từ các mạng thành viên. Hiệu quả khai thác cài tài nguyên, dịch vụ của VNUnet cũng được xác định từ chính những người dùng cuối trong các mạng thành viên. Hệ thống mạng hiện tại mới chỉ chủ yếu cung cấp tạm thời các đường truyền theo mô hình mạng phẳng, không phân cấp, không có các giải pháp đảm bảo an ninh và quản trị và chỉ có thể cung cấp một số dịch vụ mạng hiệu quả hạn chế, không thể đáp ứng nhu cầu nghiên cứu, đào tạo hiện tại của Trường. Kế hoạch chiến lược phát triển của ĐHQGHN là phấn đấu đến năm 2020 trở thành đại học theo định hướng nghiên cứu, đa ngành đa lĩnh vực ngang tầm các đại học tiên tiến trong khu vực Châu Á; một số lĩnh vực và nhiều ngành, chuyên ngành đạt trình độ quốc tế. Trong giai đoạn phát triển mới ĐHQGHN đã xác định ưu tiên đầu tư phát triển VNUnet hiện đại, đồng bộ, đi trước một bước, với vai trò là một trong những công cụ hỗ trợ công nghệ cao, phục vụ mục tiêu phát triển ĐHQGHN đạt tầm các đại học tiên tiến trong khu vực châu Á, trong tất cả các phạm vi hoạt động quản lý, nghiên cứu khoa học và đào tạo. Để khắc phục các hạn chế của hệ thống mạng hiện tại và đáp ứng mục tiêu phát triển hệ thống mạng VNUnet, đề án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển. Hai trong số các mục tiêu đó là: - Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động thông suốt, ổn định, hiệu quả. 12 - Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy cập trái phép. Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết. Trong đó công việc quản trị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng đầu. Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển Đại học quốc gia Hà Nội. 13 CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 1.1. Giải pháp Nokia Check Point Hình 1. Nokia IP1220 Platform Nokia IP1220 là một trong một loạt sản phẩm Nokia IP, dòng thiết bị phần cứng chuyên cung cấp các giải pháp mạnh mẽ và chuyên dụng về tường lửa/VPN cũng như tích hợp được rất nhiều tính năng được kỳ vọng khác. Nokia IP1220 giống như một tấm lá chắn bảo vệ hệ thống mạng bên trong, ngăn chặn các lưu thông bất hợp pháp vào bên trong mạng, kiểm soát tất cả các gói tin đi qua, thiết lập các chính sách phù hợp với yêu cầu đối với tất cả các đối tượng cả bên trong và bên ngoài mạng. Thiết bị sẽ đóng vai trò lớp rào cản ban đầu vững chắc cho các hệ thống quan trọng như hệ thống Server, Data Center... Ngoài ra nó còn có thể đóng vai trò của một VPN gateway, cung cấp giải pháp mạng riêng ảo cho mạng, có khả năng tích hợp với các hệ thống cung cấp dịch vụ thư mục để quản lý các tài khoản người dùng. Trong bối cảnh hệ thống mạng hiện tại của trường Đại học Công Nghệ chưa có một thiết bị tường lửa và VPN thực sự chuyên dụng thì Nokia IP1220 là một sự bổ sung rất chính xác và hợp lý. 1.2. Tổng quan Nokia Check Point [4] Hệ điều hành dùng trong các sản phẩm Nokia IP có tên gọi là IPSO. 14 1.2.1.Hệ điều hành IPSO Hệ điều hành IPSO là lõi của nền tảng Nokia IP Security. Nó là một hệ điều hành bảo mật và thu gọn dựa trên nền tảng UNIX có thể chạy hiệu quả trên các thiết bị phần cứng nhỏ hơn. IPSO ban đầu là một nhánh của hệ điều hành FreeBSD 2.2.6 và đã được thay đổi đáng kể qua nhiều năm nên có thể xem nó như một họ hàng xa của FreeBSD. Và dần dần, nó trở thành hệ điều hành thích ứng với các ứng dụng như bộ sản phẩm Check Point VPN-1/Firewall-1 và phần mềm ISS RealSecure Network Intrusion Detection Sensor. Nhiều câu lệnh UNIX vẫn hoạt động bình thường trong giao diện dòng lệnh (CLI) của IPSO. Tuy nhiên chỉ có rất ít các thao tác quản trị sử dụng bộ lệnh UNIX chuẩn. Thay vào đó, IPSO cung cấp hai tiện ích biên soạn dòng lệnh mạnh mẽ là ipsctl và Command Line Interface Shell (CLISH). Lệnh ipsctl được sử dụng như một công cụ xử lý sự cố, còn CLISH được dùng để cấu hình tất cả các thiết lập cho HĐH IPSO. Mặc dù có thể cấu hình IPSO trực tiếp từ CLI, nhưng giống như hầu hết các hệ điều hành mạng khác, người dùng cũng được cung cấp một lựa chọn khác đó là cấu hình qua giao diện web. Nokia Network Voyager cho phép cấu hình thiết bị Nokia IP qua trình duyệt web. Nokia Network Voyager có thể dùng để cài đặt và theo dõi trong suốt quá trình hoạt động của thiết bị. Để thiết lập cấu hình cho IPSO, người dùng có thể truy cập trực tiếp tới thiết bị qua cổng Console. Ngoài ra, người dùng có thể truy cập từ xa tới thiết bị bằng cách sử dụng Telnet, FTP, SSH hoặc HTTP/HTTPS. 1.2.2.Cài đặt HĐH IPSO và cấu hình ban đầu Kết nối tới cổng Console của thiết bị. Có thể sử dụng một số phần mềm terminal emulator như HyperTerminal, SecureCRT… Thiết lập cấu hình cho terminal emulator như sau: • Bits/second (BPS): 9600 • Data bits: 8 • Parity: None • Stop bits: 1 • Flow control: None • Terminal emulation: Auto, VT100, hoặc VT102 15 1.2.2.1.Boot Manager Chương trình Boot Manager chạy khi hệ thống khởi động, trước khi nhân IPSO được đưa vào bộ nhớ. Boot Manager được đặt ở trong đĩa cứng hoặc bộ nhớ flash tùy theo từng phiên bản của thiết bị. Nếu không bị ngắt, Boot Manager sẽ khởi động hệ thống với nhân mặc định, còn nếu bị ngắt thì giao diện dòng lệnh sẽ được hiển thị. Chế độ này thường dùng cho mục đích quản trị: bảo trì hệ thống hoặc cài đặt lại các hệ điều hành. Để khởi động chương trình Boot Manager trước hết phải khởi động thiết bị. Sau khi hoàn thành quá trình kiểm tra bộ nhớ, thiết bị sẽ hiển thị ra hai lựa chọn, một là Boot Manager (1 Bootmgr) và hai là IPSO (2 IPSO). Lựa chọn 2 để bắt đầu khởi động vào hệ điều hành IPSO. Để vào chế độ Boot Manager sử dụng lựa chọn 1. 1 Bootmgr 2 IPSO Default: 1 Starting bootmgr Loading boot manager.. Boot manager loaded. Entering autoboot mode. Type any character to enter command mode. BOOTMGR[1]> Bảng dưới đây liệt kê các tham biến của Boot Manager mà người dùng có thể định nghĩa. Bảng 1. Các tham biến của Boot Manager Tên tham biến Ý nghĩa Giá trị mặc định autoboot Đợi quá trình bootwait hay không Có boot-device Nơi nạp file boot Wd0 boot-file Đường dẫn tới image của nhân /image/current/kernel boot-flags Cờ để truyền tới nhân -x -x Không nhận đĩa flash làm wd0 N/A -d Vào bộ sửa lỗi nhân ngay khi khởi động N/A -s Chế độ đơn người dùng. Có thể yêu cầu mật khẩu admin nếu đánh dấu “insecure” trong /etc/ttys N/A -v Chế độ hiển thị chi tiết N/A bootwait Thời gian đợi truy cập boot manager trước khi vào hệ điều hành 5 giây 16 Chú ý: Nếu chọn No cho tùy chọn autoboot, thiết bị sẽ không hiển thị menu nhắc truy cập vào Boot Manager trong khi khởi động. Trong trường hợp đó, cần vào lệnh boot từ kết nối console và khởi động thiết bị. Các lệnh sử dụng trong chế độ Boot Manager: - printenv: in tất cả các biến và giá trị của nó lên màn hình. - showalias: hiển thị tất cả các alias trong bộ nhớ. - sysinfo: hiển thị CPU, bộ nhớ và thông tin thiết bị. - ls: hiển thị nội dung của một thư mục đưa ra bởi đường dẫn trên thiết bị. Ví dụ: ls wdo /image/current hiển thị nội dung của thư mục hoạt động hiện tại. - setenv: sử dụng để thiết lập biến môi trường. Cú pháp là setenv tên giá trị. Ví dụ: setenv bootwait 10. - unsetenv: ngược lại của setenv. - set-default: gán giá trị mặc định cho tất cả các biến môi trường. - setalias: thiết lập các alias, cú pháp là setalias . - showalias: hiển thị danh sách các alias hiện tại đã định nghĩa. - unsetalias: hủy bỏ alias. - halt: tạm dừng hệ thống, đây là cách an toàn nhất để tắt thiết bị Nokia. - help: hiển thị trợ giúp cho các lệnh trong Boot Manager. - boot: khởi động hệ thống bằng tay. Cho phép chỉ định khởi động từ thiết bị nào, với một image nhân cụ thể, sử dụng các cờ nhân. Lệnh này được sử dụng để khôi phục lại hệ thống khi bị lỗi. - install: chạy tiến trình cài đặt. - passwd:thiết lập mật khẩu cài đặt (khi chạy lệnh install). 1.2.2.2.Cài đặt IPSO Các bước cấu hình gồm: - Khởi động thiết bị và vào chế độ Boot Manager - Khởi động tiến trình cài đặt - Lựa chọn các câu trả lời khi được hỏi - Khởi động lại thiết bị khi việc cài đặt ban đầu hoàn tất 17 - Tiếp tục với cấu hình ban đầu của thiết bị Khởi động thiết bị để vào chế độ Boot Manager bằng cách sử dụng tùy chọn 1 (như hướng dẫn trong phần Boot Manager). Để khởi động tiến trình cài đặt, tại dấu nhắc BOOTMGR[1]> gõ lệnh install BOOTMGR[1]> install Một cảnh báo hiện ra cho biết người dùng sẽ phải nhập các thông tin như địa chỉ IP máy khách, netmask, số serial hệ thống… trong suốt quá trình cài đặt và nếu tiếp tục cài đặt tất cả các tệp và dữ liệu tồn tại trên đĩa sẽ bị xóa. Để tiếp tục, nhập vào lựa chọn y. ################### IPSO Full Installation #################### You will need to supply the following information: Client IP address/netmask, FTP server IP address and flename, system serial number, and other license information. This process will DESTROY any existing fles and data on your disk. ################################################################# Continue? (y/n) [n] y Bước tiếp theo là nhập số serial của thiết bị. Số serial thường được ghi ở phía sau của thiết bị. Motherboard serial number is NONE. The chassis serial number can be found on a sticker on the back of the unit with the letters S/N in front of the serial number. Please enter the serial number: 12345678 Please answer the following licensing questions. Người dùng được hỏi là có sử dụng các giao thức định tuyến IRGP và BGP không. Để sử dụng các giao thức này cần phải mua licence. Việc lựa chọn hay không là tùy thuộc vào từng yêu cầu cụ thể. Will this node be using IGRP ? [y] n Will this node be using BGP ? [y] n Để cài đặt, thiết bị phải tải image của IPSO từ một máy chủ FPT. Tùy vào cấu hình của máy chủ FPT người dùng có thể chọn cài đặt từ một máy chủ anonymous FTP, hoặc từ một máy chủ FPT yêu cầu username và password. Tiếp đó người dùng phải nhập địa chỉ ip cho thiết bị Nokia IP, địa chỉ IP của máy chủ FTP, và nhập default gateway cho thiết bị 1. Install from anonymous FTP server. 18 2. Install from FTP server with user and password. Choose an installation method (1-2): 1 Enter IP address of this client (10.3.2.5/24): 192.168.200.10/24 Enter IP address of FTP server (0.0.0.0): 192.168.200.50 Enter IP address of the default gateway (0.0.0.0): 192.168.200.1 Sau đó, chọn cổng và nhập địa chỉ ip, subnet mask cho cổng sử dụng để kết nối với máy chủ FTP. Choose an interface from the following list: 1) eth1 2) eth2 3) eth3 4) eth4 Enter a number [1-4]: 4 Choose interface speed from the following list: 1) 10 Mbit/sec 2) 100 Mbit/sec Enter a number [1-2]: 2 Chọn chế độ duplex cho cổng. Half or full duplex? [h/f] [h] f Sau khi cấu hình cổng xong, người dùng phải cung cấp đường dẫn và tên của gói cài đặt IPSO trên máy chủ FTP. Nhập kí tự / nếu gói nằm tại thư mục gốc. Enter path to ipso image on FTP server [/]: / Enter ipso image flename on FTP server [ipso.tgz]: ipso.tgz Hệ thống sẽ hỏi người dùng có muốn nhận thêm các gói khác trên máy chủ FTP không, và lựa chọn cách thức nhận các gói. Nếu chỉ cần cài đặt IPSO thì sử dụng lựa chọn 3. 1. Retrieve all valid packages, with no further prompting. 2. Retrieve packages one-by-one, prompting for each. 3. Retrieve no packages. Enter choice [1-3] [1]: 3 Cuối cùng màn hình sẽ hiển thị các cấu hình vừa mới thực hiện để người dùng kiểm tra và xác nhận. Nhập y để bắt đầu cài đặt. Client IP address=192.168.200.10/24 Server IP address=192.168.200.50 Default gateway IP address=192.168.200.1 Network Interface=eth1, speed=100M, full-duplex Server download path=[//] Package install type=none Mirror set creation=no Are these values correct? [y] y 19 Nếu thiết bị kết nối thành công đến máy chủ FTP và tìm được gói cài đặt IPSO. Các thông báo về trạng thái các bước cài đặt được hiển thị. Downloading compressed tarfle(s) from 192.168.200.50 Hash mark printing on (1048576 bytes/hash mark). Interactive mode off. 100% 36760 KB 00:00 ETA Checking validity of image. . .done. Installing image. . .done. Image version tag: IPSO-4.2-BUILD069-10.27.2007-035617-1515. Checking if bootmgr upgrade is needed. . . Need to upgrade bootmgr. Proceeding.. Upgrading bootmgr. . . new bootmgr size is 2097152 old bootmgr size is 1474560 Saving old bootmgr. Installing new bootmgr. Verifying installation of bootmgr. Khi cài đặt xong, hệ thống sẽ gửi thông báo Installation completes cho người dùng, và yêu cầu gõ Enter để khởi động lại thiết bị. Installation completed. Reset system or hit to reboot. Sau khi cài đặt xong hệ điều hành IPSO, người dùng phải thực hiện một số cấu hình cho lần khởi động đầu tiên. 1.2.2.3.Cài đặt ban đầu Có thể sử dụng DHCP để cung cấp hostname, địa chỉ IP và gateway cho thiết bị. Tuy nhiên, người dùng thường sử dụng phương pháp cấu hình bằng tay qua kết nối console. Đầu tiên sau khi khởi động lên, màn hình sẽ hiện lên yêu cầu nhập hostname cho thiết bị, và yêu cầu xác nhận lại. Please choose the host name for this system. This name will be used in messages and usually corresponds with one of the network hostnames for the system. Note that only letters, numbers, dashes, and dots (.) are permitted in a hostname. Hostname? pint Hostname set to “pint”, OK? [y] y Nhập mật khẩu cho tài khoản admin dùng để xác thực khi truy cập vào chế độ CLI hoặc vào giao diện web Nokia Network Voyager. Please enter password for user admin: notpassword Please re-enter password for confrmation: notpassword 20 Sau khi cấu hình xong hostname và mật khẩu admin cho thiết bị, người dùng được hỏi là có muốn sử dụng Nokia Network Voyager để cấu hình cho thiết bị hay chỉ sử dụng giao diện dòng lệnh CLI. You can confgure your system in two ways: 1) confgure an interface and use our Web-based Voyager via a remote browser 2) confgure an interface by using the CLI Please enter a choice [ 1-2, q ]: 1 Chọn cổng sử dụng để cấu hình thiết bị và nhập vào địa chỉ IP, subnet mask cho cổng vừa chọn. Select an interface from the following for confguration: 1) eth1 2) eth2 3) eth3 4) eth4 5) quit this menu Enter choice [1-11]: 4 Enter the IP address to be used for eth4: 192.168.200.10 Enter the masklength: 24 Cấu hình default gateway cho thiết bị. Do you wish to set the default route [ y ] ? y Enter the default router to use with eth4: 192.168.200.1 Mặc định cổng được cấu hình chế độ full duplex và tốc độ 1000 mbs. Hệ thống sẽ hỏi người dùng có muốn giữ cấu hình này hay muốn thay đổi. This interface is configured as 1000 mbs by default. Do you wish to configure this interface for other speeds [ n ] ? n Sau đó màn hình sẽ hiển thị lại các cấu hình vừa thiết lập để người dùng kiểm tra và xác nhận lại. Nhập y để chấp nhận. You have entered the following parameters for the eth4 interface: IP address: 192.168.200.10 masklength: 24 Default route: 192.168.200.1 Speed: 1000M Duplex: full Is this information correct [ y ] ? y Cũng có thể cấu hình vlan cho cổng đã chọn. Thông thường lựa chọn là n. Do you want to configure Vlan for this interface[ n ] ? n You may now confgure your interfaces with the Web-based Voyager by typing in the IP address “192.168.200.10” at a remote browser. 21 Bắt đầu từ thời điểm này, người dùng có thể kết nối tới thiết bị Nokia sử dụng giao diện web Nokia Network Voyager từ trình duyệt Tùy chọn cuối cùng trong lần cấu hình đầu tiên này đó là thay đổi chuỗi SNMP comminity mặc định. Việc thay đổi này tùy thuộc vào yêu cầu thực tế. Do you want to change SNMP Community string [ n ] ? n Nếu thiết bị được đặt ở xa, người dùng phải sử dụng Telnet hoặc SSH để kết nối đến và cấu hình cho thiết bị. Mặc định chỉ có SSH được bật. Nếu muốn sử dụng Telnet, người dùng có thể kích hoạt bằng cách thực hiện các lệnh sau (ở giao diện dòng lệnh CLI). pint[admin]# clish NokiaIP1220:9> set net-access telnet yes NokiaIP1220:10> save confg NokiaIP1220:11> quit Cũng có thể kích hoạt dịch vụ Telnet dễ dàng bằng cách sử dụng giao diện web Nokia Network Voyager. 22 CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 [6] 2.1. Giới thiệu Sau khi cài đặt IPSO cho Nokia IP1220, thiết bị đã có một nền tảng để chạy tường lửa, VPN hay các ứng dụng khác. Bước tiếp theo, người dùng phải cài gói ứng dụng tường lửa, VPN lên thiết bị. Để làm điều này, có thể sử dụng ứng dụng Check Point NGX R62. Ứng dụng Check Point NGX R62 gồm các sản phẩm quản lý, sản phẩm gateway, và phần mềm máy khách. Trong đó sản phẩm Check Point Power và Check Point UTM là quan trọng nhất. Chúng gồm có ba thành phần chính sau: - Enforcement module: là các module VPN-1 Power hoặc VPN-1 UTM. - Management server: SmartCenter server lưu giữ cơ sở dữ liệu về các định nghĩa đối tượng, định nghĩa người dùng, các chính sách và các tệp log. - SmartConsole: chứa các ứng dụng GUI để quản lý các khía cạnh khác nhau của chính sách an ninh. SmartConsole chứa SmartDashboard, một ứng dụng cho người quản trị dùng để định nghĩa các đối tượng mạng, người dùng và các chính sách. Chúng ta sẽ triển khai SmartCenter server và Enforcement module trên thiết bị còn SmartConsole sẽ được triển khai trên các máy chạy HĐH Microsoft Windows. Cách triển khai này được gọi là triển khai độc lập. Để chạy NGX R62, phải có hệ điều hành Nokia IPSO 3.9, 4.1 hoặc 4.2 ( phiên bản HĐH IPSO có thể xem trong Nokia Network Voyager). Người dùng cũng cần kiểm tra xem ứng dụng Check Point đã được cài trên thiết bị chưa (xem trang Manage Packages của Nokia Network Voyager). Nếu đã cài đặt rồi thì có thể chuyển sang phần cấu hình. 2.2. Cài đặt package Trước hết cần tải NGX R62 về từ website Check Point (địa chỉ Các gói cài đặt cần tải gồm có: - R62 wrapper cho Nokia IPSO (IPSO_wrapper_R62.tgz) để cài đặt enforcement module và SmartCenter server. 23 - SmartConsole R62 (SmartConsole_R62_xxxxxxxxx_x_Win.zip). 2.2.1.Cài đặt gói wrapper Để cài đặt gói wrapper người dùng có thể sử dụng giao diện dòng lệnh CLI hoặc sử dụng Nokia Network Voyager. 2.2.1.1.Cài đặt với CLI Sao chép gói wrapper vào thư mục /opt/packages (sử dụng lệnh scp hoặc phần mềm WinSCP). Gõ lệnh newpkg –i. Xuất hiện các tùy chọn sau: 1. Install from CD-ROM. 2. Install from anonymous FTP server. 3. Install from FTP server with user and password. 4. Install from local filesystem. 5. Exit new package installation. Chọn lựa chọn số 4. Hệ thống sẽ hỏi về đường dẫn đến gói. Nhập vào /option/packages rồi nhấn Enter. Chương trình cài đặt sẽ tìm gói Check Point NGX giải nén các file cần cho quá trình cài đặt. Chương trình sẽ đưa ra bốn lựa chọn: cài đặt, nâng cấp, bỏ qua, và thoát. Nhập 1 để cài đặt. Sau khi cài đặt xong, người dùng phải đăng xuất sau đó đăng nhập lại. Việc này để đảm bảo việc thiết lập các biến môi trường vừa được tạo ra trong quá trình cài đặt. Sau đó người dùng có thể chạy lệnh cpconfig. 2.2.1.2.Cài đặt với Nokia Network Voyager Mở trang Install Packages theo đường dẫn Configuration | System Configuration | Packages | Install Package. Nhập tên hoặc địa chỉ IP của máy chủ FTP chứa gói wrapper. Nhập tên thư mục chứa gói wrapper trên máy chủ FTP. Nhập tên và mật khẩu để kết nối với máy chủ FTP. Chọn Apply. Một danh sách các tệp hiện ra. Chọn gói từ danh sách và nhấn Apply. Sau khi tải xong, gói sẽ xuất hiện trong ô Select a Package to Unpack. Chọn gói rồi nhấn Apply. Nhấn tiếp vào liên kết: Click here to install/upgrade /opt/packages/packagename. Chọn Yes để cài đặt và nhấn Apply. 24 Sau khi cài đặt xong, màn hình sẽ hiện ra liên kết đến trang Manage Installed Packages. Nhấn vào liên kết để xem các gói đã cài đặt. Người dùng có thể kích hoạt hoặc vô hiệu hóa một gói bất kỳ trong các gói đã cài đặt bằng cách vào trang Manage Installed Packages, chọn On để kích hoạt, Off để vô hiệu hóa. Chú ý: Để sử dụng tường lửa, VPN thì gói Check Point VPN-1 Power/UTM phải được kích hoạt (gói này được kích hoạt mặc định sau khi cài đặt). 2.2.2.Cài đặt SmartConsole NGX R62 SmartConsole là một tập hợp các chương trình máy khách. Gồm có: - SmartDashboard: dùng bởi quản trị viên hệ thống để định nghĩa và quản lý các chính sách bảo mật. - SmartView Tracker: sử dụng để quản lý và theo dõi log và alert thông qua hệ thống. - SmartView Moniter: theo dõi và tạo các báo cáo về lưu thông trên các cổng, các module VPN-1 Power và QoS. - SmartUpdate: quản lý và lưu trữ license. - SecureClient Packaging Tool: định nghĩa hồ sơ người dùng cho chương trình SecuRemote/SecureClient. - Eventia Reporter: tạo ra các báo cáo về hoạt động của mạng. - SmartLSM: quản lý số lượng lớn ROBO gateway sử dụng SmartCenter server. SmartConsole được cài đặt trên nền tảng Windows. Sau khi tải phần mềm SmartConsole NGX R62 về, người dùng giải nén và chạy tiến trình cài đặt như đối với các phần mềm bình thường khác. 25 CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA 3.1. Thiết lập cấu hình ban đầu Trước khi có thể thiết lập cấu hình tường lửa, NAT, VPN…, người dùng cần phải cấu hình module VPN-1 Power hoặc VPN-1 UTM bằng lệnh cpconfig. Quá trình cấu hình cpconfig diễn ra như sau. Kết nối qua cổng Console hoặc kết nối từ xa tới thiết bị. Gõ lệnh cpconfig. Màn hình hiện ra văn bản licence. Nhấn phím Spacebar để cuộn màn hình xuống cuối cùng rồi nhập y để tiếp tục. cpngx[admin]# cpconfig Welcome to Check Point Configuration Program ========================================================= Please read the following license agreement. Tiếp theo màn hình hiện ra hai tùy chọn cài đặt. Chọn tùy chọn 1 (có thể chọn khác tùy theo yêu cầu người dùng). (1) Check Point Power. (2) Check Point UTM. Enter your selection (1-2/a-abort) [1]: 1 Chọn loại cài đặt là độc lập hay phân tán. Select installation type: ------------------------- (1) Stand Alone - install VPN-1 Pro Gateway and SmartCenter Enterprise. (2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or Log Server. Enter your selection (1-2/a-abort) [1]: 1 Check Point sẽ hỏi người dùng có muốn thêm license không. Chọn y để thêm licence, chọn n để tiếp tục cấu hình còn license có thể được thêm vào sau. Bước tiếp theo là thêm một tài khoản quản trị. Tài khoản này dùng để đăng nhập vào SmartCenter Server. Do you want to add an administrator (y/n) [y] ? Administrator name: peter Password: Verify Password: Administrator peter was added successfully and has Read/Write Permission for all products with Permission to Manage Administrators 26 Sau đó, người dùng phải xác định máy khách SmartConsole nào được phép truy cập tới SmartCenter Server. Nhập xong nhấn tổ hợp phím Ctrl + D để tiếp tục. Do you want to add a GUI Client (y/n) [y] ? You can add GUI Clients using any of the following formats: 1. IP address. 2. Machine name. 3. “Any” - Any IP without restriction. 4. IP/Netmask - A range of addresses, for example 192.168.10.0/255.255.25 5. A range of addresses - for example 192.168.10.8-192.168.10.16 6. Wild cards (IP only) - for example 192.168.10.* Please enter the list of hosts that will be GUI Clients. Enter GUI Client one per line, terminating with CTRL-D or your EOF character. Any 10.1.1.0/255.255.255.0 Warning: Every gui client can connect to this SmartCenter Server. Is this correct (y/n) [y] ? y Check Point yêu cầu người dùng nhập vào một tên nhóm dùng để xác lập quyền. Confguring Group Permissions... ================================ Please specify group name [ for super-user group]: No group permissions will be granted. Is this ok (y/n) [y] ? Người dùng phải nhập vào một chuỗi ký tự ngẫu nhiên. Chuỗi ký tự này được dùng để tạo một chứng nhận quyền (Certificate Authority). Please enter random text containing at least six different characters. You will see the ‘*’ symbol after keystrokes that are too fast or too similar to preceding keystrokes. These keystrokes will be ignored. Please keep typing until you hear the beep and the bar is full. [.......................] Thank you. Và người dùng sẽ được hỏi là có muốn lưu lại file chứa chuỗi vừa nhập không. Nếu có thì tiếp tục nhập tên file. Do you want to save it to a fle? (y/n) [n] ? y Please enter the fle name [/opt/CPsuite-R61/svn/conf]: fngerprint.txt The fngerprint will be saved as /opt/CPsuite- R61/svn/conf/fngerprint.txt. Are you sure? (y/n) [n] ? y The fngerprint was successfully saved. Sau khi hoàn thành các thiết lập, người dùng phải khởi động lại thiết bị. In order to complete the installation 27 you must reboot the machine. Do you want to reboot? (y/n) [y] ? y Người dùng có thể sửa lại các cấu hình đã thiết lập bất cứ lúc nào bằng cách sử dụng lệnh cpconfig. Khác với lần cấu hình đầu tiên, trong các lần cấu hình cpconfig sau người dùng sẽ nhận được một danh sách các lựa chọn giúp cho việc cấu hình trở nên linh hoạt hơn. cpngx[admin]# cpconfg This program will let you re-confgure your Check Point products confguration Confguration Options: ---------------------- (1) Licenses (2) Administrator (3) GUI Clients (4) SNMP Extension (5) Group Permissions (6) PKCS#11 Token (7) Random Pool (8) Certifcate Authority (9) Certifcate’s Fingerprint (10) Enable Check Point SecureXL (11) Automatic start of Check Point Products (12) Exit Enter your choice (1-12): 3.2. Chính sách tường lửa mặc định Sau khi sử dụng cpconfig để cấu hình module VPN-1 hoặc VPN-1 UTM và khởi động lại thiết bị, hệ điều hành sẽ nạp một chính sách tường lửa mặc định. Chính sách này được nạp vào nhân trước khi các cổng của thiết bị được cấu hình xong. Điều này đảm bảo rằng cả trong quá trình boot của thiết bị, mạng vẫn được bảo vệ. Chính sách này sử dụng một bộ lọc để ngăn cản tất cả các truy cập vào mạng bên trong (mạng nằm phía sau thiết bị). Người dùng không thể sử dụng kết nối từ xa hoặc dùng Nokia Network Voyager để cấu hình thiết bị mà chỉ có máy khách SmartConsole là được phép truy cập vào thiết bị qua management server. Để thiết đặt lại quyền truy cập từ xa hoặc truy cập qua giao diện web có thể sử dụng một trong các cách sau: - Sử dụng SmartDashboard để tạo và cài đặt một chính sách cho phép kết nối từ xa vào thiết bị (khi SmartDashboard cũng không kết nối được thì phải dùng lệnh fw unloadlocal). 28 - Kết nối console qua cổng COM, thực hiện lệnh cpstop. Lệnh này dùng để tạm dừng dịch vụ tường lửa. Sau đó người dùng có thể kết nối từ xa vào thiết bị để thực hiện các thao tác quản trị; khi thực hiện xong thì khởi động lại dịch vụ bằng lệnh cpstart. - Gỡ bỏ chính sách mặc định bằng lệnh fw unloadlocal hoặc fw unload localhost (tùy thuộc từng version). Kiểm tra chính sách đang được nạp bằng lệnh fw stat. gatekeeper[admin]# fw stat HOST POLICY DATE localhost InitialPolicy 25Sep2002 23:02:21 : [>eth-s3p1c0] - Trước khi chạy lệnh cpconfig, thay đổi bộ lọc mặc định để cho phép kết nối qua SSH hoặc HTTPS. Các bộ lọc mặc định được liệt kê trong bảng 2. Bảng 2. Các bộ lọc mặc định Bộ lọc Mô tả defaultfilter.boot Cho phép lưu thông ra bên ngoài (xuất phát từ tường lửa). defaultfilter.dag Cho phép lưu thông ra bên ngoài, lưu thông broadcast và DHCP. defaultfilter.drop Loại bỏ tất cả lưu thông vào trong hoặc ra ngoài gateway. defaultfilter.ipso Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông SSH, HTTPS, ICMP vào trong. defaultfilter.ipso_ssh Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông SSH, ICMP vào trong. defaultfilter.ipso_ssl Cho phép tất cả các lưu thông ra bên ngoài và các lưu thông HTTPS, ICMP vào trong Ví dụ: Để thay đổi bộ lọc mặc định sang defaultfilter.ipso sử dụng các lệnh sau: cp $FWDIR/lib/defaultfilter.ipso $FWDIR/conf/defaultfilter.pf fw defaultgen cp $FWDIR/state/default.bin $FWDIR/boot Dưới đây là một số lệnh có thể dùng để điều khiển các thiết lập: - fwstop –default: tắt tất cả tiến trình tường lửa và nạp luật mặc định. 29 - fwstop –proc: dừng tất cả các tiến trình nhưng vẫn giữ luật hiện tại trong nhân. - fwstart –f: khởi động dịch vụ FW-1. - control_bootsec –r: gỡ bỏ chế độ an ninh lúc khởi động. - control_bootsec –g: kích hoạt chế độ an ninh lúc khởi động. - fwboot bootconf: thiết lập IP forwarding và cấu hình bộ lọc mặc định. - comp_init_policy –u: vô hiệu hóa luật mặc định. - comp_init_policy –g: kích hoạt luật mặc định. 3.3. Thiết lập các luật tường lửa qua SmartDashboard SmartDashboard là công cụ cho phép quản trị thiết bị một cách tập trung khi có nhiều thiết bị an ninh cùng được triển khai trên hệ thống. Nó sử dụng CA được tạo ra lúc cấu hình cpconfig để xác thực với checkpoint. Sau khi đăng nhập vào SmartCenter Server bằng SmartDashboard, việc đầu tiên cần làm là chuyển thiết bị từ chế độ Host sang Gateway bằng cách nhấn chuột phải vào biểu tượng thiết bị trong mục Network Object – Check Point ở cây thư mục bên trái và chọn Convert to Gateway. Sau đó người dùng có thể thiết lập, cài đặt các luật tường lửa và các thực hiện các thiết lập khác như NAT hay VPN cho mạng. Các luật tường lửa được hiển thị và thiết lập trong tab đầu tiên: Security. 30 Hình 2. SmartDashboard – Security Một luật gồm có các trường: địa chỉ nguồn, địa chỉ đích, các dịch vụ (giao thức), hành động áp dụng lên các gói tin thõa mãn luật và cách thức ghi nhớ (log hoặc track). Các luật được xét theo thứ tự từ trên xuống dưới, nếu một gói tin thỏa mãn điều kiện của luật trên thì nó sẽ được thực hiện theo action đã định sẵn ở luật đó và không tiếp tục được xét đến ở các luật phía dưới. Tạo một luật tường lửa bằng cách vào menu Rules chọn Add Rule | Top. Một luật mặc định được thêm vào trên cùng của danh sách luật; bất cứ gói tin dùng địa chỉ nguồn, đích nào hoặc sử dụng bất cứ dịch vụ nào cũng đều bị drop mà không được hệ thống ghi lại. Người dùng chỉ cần nhấn chuột phải lên một trường để thay đổi nó theo yêu cầu. Sau khi thiết lập xong các luật, để áp dụng các luật đó lên hệ thống cần phải cài đặt (install) các luật bằng cách mở menu Policy, chọn Install. Nếu quá trình cài đặt bị lỗi thì hệ thống sẽ đưa ra báo lỗi cùng các thông tin cần thiết cho người dùng. 31 Hình 3. Thực thi cài đặt Ngoài giao diện đồ họa SmartDashboard, để tối ưu điều khiển hệ thống tường lửa, người dùng cần biết một số câu lệnh sau đây (các lệnh này sử dụng trong môi trường console hoặc remote). - cpstop: tạm dừng toàn bộ các sản phẩm của Checkpoint và SVN Foundation. - cpstart: khởi động toàn bộ các sản phẩm của Checkpoint và SVN Foundation. - cplic print: in ra licenses đã cài đặt. - cplic put: thêm license. 32 CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT 4.1. Ẩn giấu đối tượng mạng Với sự phát triển mạnh mẽ của mạng Internet ngày nay, số lượng địa chỉ IPv4 ngày càng trở nên khan hiếm. Một trong những cách khá dễ dàng để khắc phục tình trạng khan hiếm địa chỉ IPv4 đó là sử dụng NAT. Chức năng Hide-mode NAT cho phép ẩn một dải địa chỉ sau một địa chỉ IP có khả năng định tuyến ra ngoài mạng. Ngoài ra, CheckPoint còn hỗ trợ tính năng Static NAT, tính năng này sẽ chuyển một địa chỉ ở dải trong thành một địa chỉ dải ngoài, tác dụng của nó là cho phép thiết bị có thể truy cập được từ cả bên trong mạng và ngoài Internet. Một lợi ích nữa của hide-mode NAT là nó giúp các thiết bị trong mạng ít có khả năng bị tấn công hơn. Mặc dù các thiết bị là ẩn so với bên ngoài, chúng vẫn có thể hoạt động trên Internet bình thường do cơ chế chuyển dịch cả địa chỉ cổng nguồn và đích của FW-1. Tường lửa sẽ duy trì một bảng dịch chuyển, và nó sẽ biết được máy nào cần kết nối từ cổng nguồn trong bảng này. Chú ý là cần có license để có thể hỗ trợ nhiều máy trạm bằng cơ chế DHCP trước khi NAT. Và để cho các máy trạm có thể kết nối tới các thiết bị khác, cần bật tính năng IP forwarding trong tường lửa. Bước tiếp theo là cấu hình NAT tại tab Address Translation trong Check Point SmartDashboard. Hình 4. SmartDashboard – Address Translation Những luật trong tab này có thể được khởi tạo tự động hoặc bằng tay tùy vào mức độ của mạng. Một luật gồm 2 phần chính sau : • Original packet • Translated packet 33 Khi một kết nối tới tường lửa, nó so sánh gói tin cho địa chỉ nguồn, đích và dịch vụ của gói tin. Nếu đúng với những thông tin đã lưu, tường lửa sẽ chỉnh sửa nguồn đích và dịch vụ của gói tin dựa trên các luật NAT. Cũng giống như các luật tường lửa, các luật NAT cũng được đọc theo thứ tự từ trên xuống dưới. Do đó, nên đặt các luật thường sử dụng nhất ở bên trên cùng. Ngoài ra, người dùng cũng nên chú ý rằng tường lửa sẽ cho phép các gói tin có địa chỉ nguồn và đích sau khi NAT đi qua. 4.2. Cấu hình luật NAT Việc cấu hình bằng tay các luật NAT cũng giống như cấu hình các luật tường lửa. Tuy nhiên CheckPoint cho phép cấu hình tự động các luật này khi cần. Để cấu hình tự động, vào Manage | Network Objects, chọn tab NAT. Hình 5. Cấu hình luật NAT tự động Chọn Add Automatic Address Translation Rules. Chọn Hide trong Translation Mode. Để xác định IP để ẩn trên mạng, gõ địa chỉ vào trong trường Hide behind IP Address (gõ 0.0.0.0 để tường lửa sử dụng địa chỉ external của nó). Ngoài ra, có thể sử 34 dụng địa chỉ external của gateway bằng cách chọn Hide behind Gateway. Install On dùng để xác định tường lửa mà người dùng muốn áp dụng luật NAT này. Chọn All để áp dụng cho tất cả các tường lửa. Hình 6. Các luật NAT Như hình trên thì 2 luật phía trên là luật được tạo ra tự động. Cấu hình static NAT cũng tương tự như trên, chỉ khác là thay vì một dải địa chỉ, giờ đây cả nguồn và đích đều là địa chỉ đơn lẻ. Ngoài ra, ta có thể sử dụng một số tính năng của NAT như NAT 2 chiều hay NAT MAC, các tùy chọn này có thể được đặt trong Global Properties như trong hình dưới đây. Hình 7. Global Properties - NAT 35 CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE [3] 5.1. Giới thiệu về SmartDefense Tính năng chính của tường lửa là cho phép các truy cập hợp lệ đi qua và loại bỏ những truy cập không hợp lệ. Trong quá khứ, tường lửa đã hoạt động rất hiệu quả, tuy nhiên ngày nay rất nhiều lỗ hổng bảo mật trên các ứng dụng mạng có thể bị kẻ xấu khai thác và lợi dụng. Do đó mô hình “cho phép hoặc loại bỏ” đã không còn được sử dụng hiệu quả trên các hệ thống bảo mật thành công ngày nay. SmartDefense, một trong những thành phần chủ chốt trong bộ sản phẩm Check Point, là một giải pháp để giải quyết vấn đề này. Với cơ chế Application Intelligence, nó cho phép những truy cập hợp pháp tới các tài nguyên mạng trong khi vẫn bảo vệ được tài nguyên khỏi các tấn công. Phương thức hoạt động của SmartDefense là giám sát dòng lưu thông mạng qua tường lửa, so sánh những đặc tính của các gói tin lưu thông với những đặc tính đã xác định trước của một hành động tấn công. Những hoạt động đáng nghi đều được lưu lại và được gửi tới người quản trị mạng để họ chuẩn bị các biện pháp chống tấn công. SmartDefense hỗ trợ phát hiện năm loại tấn công sau: Denial of Service (DoS), Transmission Control Protocol/Internet Protocol (TCP/IP), tấn công ứng dụng, dò cổng và IP, và sâu máy tính. Với các tấn công ngày càng mới hiện nay, việc sử dụng một danh sách cố định các thuật toán phòng thủ sẽ không đảm bảo an toàn. Vì vậy SmartDefense cung cấp một dịch vụ cho phép cập nhật các thuật toán phòng thủ tấn công mới nhất. SmartDefense có cách thức hoạt động khác so với hệ thống phát hiện thâm nhập. Nó không cố gắng chống lại các kiểu tấn công mới được phát hiện, thay vào đó nó bảo vệ mạng khỏi các tấn công bằng cách thực hiện kiểm tra kĩ càng và nghiêm ngặt các tiêu đề của gói tin cũng như phần dữ liệu của giao thức để ngăn ngừa các dữ liệu nguy hại xâm nhập vào mạng. Ví dụ, thay vì xem xét danh sách một loạt các kiểu tấn công có thể sử dụng để tấn công vào máy chủ DNS , SmartDefense sẽ kiểm tra gói tin DNS xem nó có đúng với chuẩn RFC cho gói tin DNS hay không. Điều này sẽ giúp bảo vệ chống lại rất nhiều các kiểu khai thác hiện tại và ngay cả trong tương lai mà không cần phải liên cập nhật các dấu hiệu. Tuy nhiên phương thức này không cho phép bảo vệ trước mọi cuộc tấn công, vì có nhiều tấn công rất khó phân biệt với dòng dữ liệu hợp lệ. Một số kiểm tra quá nghiêm ngặt có thể loại bỏ nhầm các gói tin hợp lệ. Vì vậy đòi 36 hỏi ứng dụng phải có sự linh động để cho phép người dùng có thể thay đổi độ nhạy cảm hoặc thậm chí là tắt bỏ hẳn sự bảo vệ. Tất cả các tùy chọn của SmartDefense được truy cập trong thẻ SmartDefense của SmartDashboard. Tùy chọn đầu tiên là Anti Spoofing Configuration Status cho phép xem chế độ chống giả mạo đã được kích hoạt chưa. Cần kích hoạt chống giả mạo trên tất cả các cổng của thiết bị để tránh trường hợp có kẻ giả mạo một IP hợp lệ để tấn công bằng cách gán cho mỗi cổng một nhãn External hoặc Internal (trong Check Point Gateway | Topology). 5.2. Network Security Tính năng Network Security trong SmartDefense đưa ra rất nhiều bảo vệ chống lại các tấn công mạng, cơ chế hoạt động của nó khác với Application Intelligence (dựa trên sự nhận dạng gói tin). 5.2.1. Denial of Service SmartDefense cung cấp khả năng phòng thủ chống lại ba kiểu tấn công DoS. Tấn công DoS làm cho máy chủ không thể trả lời lại những yêu cầu của người dùng hợp lệ. Bằng cách phát hiện ra hoạt động tấn công và chống lại kẻ tấn công, người có thể khôi phục lại tính sẵn sàng của hệ thống. Ba loại tấn công DoS có thể được phát hiện đó là: - TearDrop: phát hiện gói tin IP trùng lặp. - Ping of Death: phát hiện các gói tin ICMP quá kích cỡ. - LAND: phát hiện các gói tin được bị thay đổi một cách không bình thường. 5.2.2. IP and ICMP Phần IP và ICMP cho phép bảo vệ mạng khỏi những điểm yếu ở tầng 3 và tầng 4. Có một kiểm tra bắt buộc đối với từng gói tin để đảm bảo phần header, kích thước gói tin và các cờ không có biểu hiện bất thường nào. Tùy chọn Max Ping Size cho phép người dùng định nghĩa kích thước tối đa của gói tin ICMP để tránh những tấn công lợi dụng ICMP để làm tắc nghẽn mạng. 37 Người dùng nên kích hoạt tùy chọn cho phép phân mảnh gói tin IP (Allow IP Fragments) để cho những trường hợp mà kích thước gói tin vượt quá kích cỡ tối đa. Tuy nhiên điều này nguy hiểm ở chỗ một người có thể giấu thông tin về hoạt động của anh ta bằng cách phân mảnh các gói tin để SmartDefense không thể nhận ra. Cách giải quyết đó là đặt giới hạn số gói tin chưa hoàn chỉnh và đặt tỉ lệ loại bỏ những gói tin không hoàn chỉnh (ví dụ 1gói/1giây). Phần Network Quota cho phép chống kiểu tấn công DoS bằng cách giới hạn lưu lượng và số kết nối của từng người dùng. Mặc định 100 kết nối/1 giây là hợp lý, vì người dùng hợp pháp sẽ không bao giờ đạt được số kết nối đó. Hình 8. Network Quota 5.2.3. TCP Giao thức TCP có một số điểm yếu khá lớn, một trong số đó tạo nên kiểu tấn công SYN. Timeout for SYN attack identification là khoảng thời gian mà SmartDefense đợi trước khi coi một gói tin có phải là gói tấn công hay không. Switch to SYN Relay Defense upon detection of at least… định ra số lượng gói SYN trên timeout nhận được trước khi chuyển sang chế độ bảo vệ tấn công SYN. Chế độ này làm cho tường lửa trở 38 thành một thiết bị trung gian giữa server và host ngoài nên những gói tin tấn công không đến được server, tầm khoảng 200 gói tin trên một timeout là một lựa chọn tốt. Tiếp đó là lựa chọn đưa ra bảo vệ đối với tấn công gói tin có MTU nhỏ. Để chống tấn công kiểu này, nên đặt kích cỡ gói tin nhỏ nhất (MTU) ít nhất là 350 bytes. Cuối cùng là lựa chọn kiểm tra thứ tự gói tin. Những gói tin mặc dù của người dùng hợp lệ nhưng vi phạm thứ tự cũng không được phép vào mạng. 5.2.4. Fingerprint Scrambling Một máy từ xa có thể thu thập thông tin về máy bên trong mạng dựa trên những phản hồi của máy đó. Quá trình này gọi là in dấu. Tùy chọn SmartDefense fingerprint- scrambling giúp ngăn ngừa nguy cơ lộ thông tin cho phía bên kia. Có 3 loại fingerprint-scrambling là: giả mạo ISN (spoofing), TTL, và IP ID. ISN spoofing thay đổi thứ tự của bắt tay ba bước để làm cho hệ điều hành không nhận biết được. TTL, (time to live), xóa bỏ khả năng người bên ngoài nhận biết được khoảng cách giữa họ và mạng trong. IP ID chỉ dẫn tường lửa gán số hiệu của nó cho mỗi gói tin IP, do đó làm cho người ngoài không biết được hệ điều hành đang dùng của mình (vì từ số hiệu gói tin có thể suy ra được hệ điều hành đang sử dụng). 5.2.5. Successive Events Tính năng này cho ta thấy một số sự kiện có thể là một tấn công mà người dùng có thể theo dấu được: - Address spoofing: Một host ngoài lặp lại liên tục rằng nó là một địa chỉ từ khu vực cho phép truy cập vào mạng. - Local interface spoofing: Một người dùng ngoài sử dụng địa chỉ hợp pháp. - Port scanning: Có người dùng ngoài quét cổng trên mạng. - Successive alerts: Khi VPN-1/FireWall-1 tạo ra một số lượng cảnh báo nhát định trong một khoảng thời gian. - Successive multiple connections: Khi có một lương kết nối nhất định từ máy ngoài tới máy trong mạng. 5.2.6.Dynamic Ports Có một số dịch vụ sử dụng những cổng động để truyền tải dữ liệu (ví dụ FTP)…, tuy nhiên cổng động cũng có thể là một trong những tấn công theo kiểu backdoor. 39 Hình 9. Dynamic Ports 5.3. Application Intelligence Tính năng này kiểm tra tất cả các dịhc vụ tầng ứng dụng như HTTP, Mail, FTP, Microsoft Networks, DNS, và VoIP. SmartDefense có khả năng kiểm tra tất cả dữ liệu trong gói tin và nhận biết được những gói tin đáng nghi. 5.3.1.HTTP Worm Catcher Một trong những tấn công HTTP phổ biến là HTTP Worm Catcher 40 Hình 10. General HTTP Worm Catcher Vừa qua, một loạt những sâu độc HTTP đã được lan tràn trên Internet và phá huỷ tài nguyên của nhiều công ty. Những sâu này lợi dụng những lỗ hổng bảo mật từ cả 2 phía HTTP client và server để lây lan trên những máy trong mạng. Bộ HTTP Worm Catcher, hoạt động trongVPN-1/FireWall-1, được cấu hình để nhận dạng những xâu kí tự xác định. Sau khi được xác định, những dữ liệu này có thể bị huỷ hoặc đánh dấu tùy theo yêu cầu người dùng. 5.3.2.Cross-Site Scripting Mục này cho phép người dùng cấu hình tường lửa chống lại các tấn công ăn trộm thông tin bảo mật của người dùng bằng cách sử dụng cookies của Web server hay chạy những đoạn mã gửi thông tin cá nhân người dùng tới những tổ chức bên ngoài. Tất cả những phương thức trên đều tạo ra một đoạn mã trên Web server để lưu lại cookies ngừời dùng hay gửi mẫu thông tin để người dùng điền vào sau đó gửi tới bên ngoài. Mặc dù Web Server cũng có những bản vá lỗ hổng bảo mật kiểu này nhưng SmartDefense cũng thêm một sự bảo vệ nữa bằng cách loại trừ những yêu cầu HTTP POST và URLs mà có mã bên trong. 5.3.3.HTTP Protocol Inspection Tầng bảo vệ thứ 2 của giao thức HTTP 41 Hình 11. HTTP Protocol Inspection Hai header của gói yêu cầu và trả lời phải ở dạng kí tự ASCII, vì nếu không sẽ làm tràn bộ đệm, điều này cũng tương tự như một tấn công kiểu DoS. HTTP Format Sizes cho phép điều chỉnh những tham số của giao thức HTTP, đạt độ dài tối đa của URL với mặc định là 2048 bytes sẽ làm giảm khả năng người dùng vào những URL độc hại và khiến HTTP server ngừng hoạt động (mặc dù các server HTTP hiện nay đã có bản vá cho lỗi này). Giới hạn header về độ dài và số, mặc định là 1000 bytes và 500 được sử dụng để ngăn chặn những kẻ phá hoại gửi lượng lớn HTTP header hay một số HTTP header lớn tới HTTP server và làm cho server ngừng hoạt động và sau đó từ chối những người dùng hợp pháp hoặc thậm chí là chiếm lấy quyền điều khiển. Trong trường hợp này, VPN-1/FireWall-1 loại bỏ tất cả những kết nối nghi ngờ trước khi nó tới được HTTP server. Peer-to-Peer Blocking cho phép quản lý người dùng ở các mạng peer to peer hiện tại như Freenet, Gnuttela (có thể cho phép hay không cho phép sử dụng). Đồng thời cũng cho phép người dùng thêm mạng ngang hàng mới vào miễn là SmartDefense có thể quản lý được chúng. 42 5.3.4.File and Print Sharing Worm Catcher File and Print Sharing Worm Catcher đặt tại tab Microsoft Networks bên dưới File and Print Sharing làm tăng khả năng nhận biết worm cho SmartDefense với những file chia sẻ của Microsoft. Cũng giống như HTTP Worm Catcher, SmartDefense có những dạng worm khác nhau và người dùng có thể thêm dạng worm vào hoặc tắt một dạng worm khác đi. Bật tùy chọn này bảo vệ hệ thống windows trong mạng khỏi những NetBIOS worms từ lỗ hổng CIFS của Windows 2000. Hình 12. File and Print Sharing 43 CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN 6.1. Tổng quan về VPN VPN (Virtual Private Network) là công nghệ cho phép tạo ra một kết nối riêng tư, an toàn qua hệ thống mạng Internet công cộng, hoặc qua một môi trường mạng dùng chung nào đó. Đặc trưng của VPN là nó tạo ra một đường hầm (tunnel) qua hệ thống mạng kết nối giữa hai thực thể bằng cách tạo ra một vỏ bọc cho gói tin IP được gửi đi. Các giao thức VPN được sử dụng để tạo ra vỏ bọc này. Khi bắt đầu đi vào đường ống, gói tin IP được đóng gói bởi các giao thức VPN như L2TP, IPSec. Để đảm bảo một kết nối an toàn và bảo mật, các giao thức VPN có thể được trang bị các tính năng như mã hóa gói tin (DES, AES), cơ chế chứng thực để chống lại kiểu tấn công man-in-the-middle, sử dụng hàm băm để bảo đảm tính toàn vẹn của nội dung gói tin… VPN được chia thành hai loại chính là VPN truy cập từ xa (Remote Access) và VPN mạng nối mạng (Site to Site). VPN truy cập từ xa là kết nối giữa một thiết bị đơn người dùng như PC, Laptop tới một VPN gateway được đặt tại ISP hoặc tại mạng nội bộ của tổ chức. VPN mạng nối mạng dùng để kết nối giữa hai mạng nằm cách xa nhau. Một đường hầm được tạo ra giữa hai VPN gateway của hai mạng. Khóa luận này sẽ trình bày cách sử dụng Nokia IP1220 như một VPN gateway cho phép người dùng truy cập từ xa vào mạng. 6.2. Giải pháp VPN Check Point cho truy cập từ xa Giải pháp truy cập từ xa của Check Point cho phép tạo một đường hầm giữa người dùng từ xa và mạng nội bộ của một tổ chức. 6.2.1. Cấu hình Office Mode sử dụng IP Pool Khi người dùng từ xa kết nối đến VPN gateway sử dụng Office Mode, sau khi chứng thực thành công, gateway gán cho máy từ xa một địa chỉ IP. Địa chỉ IP này có thể từ một dải IP được cấu hình trước (IP Pool) hoặc được cấp phát từ một máy chủ 44 DHCP. Tùy vào yêu cầu, có thể cấu hình để tất cả người dùng hoặc chỉ một nhóm nào đó mới có quyền sử dụng Office Mode để truy cập VPN. Để bật chức năng VPN cho thiết bị người dùng phải mở cửa sổ CheckPoint Gateway bằng cách kích đúp vào biểu tượng thiết bị trong mục Network Objects - Check Point. Trong thẻ General Properties, mục Check Point Products, đánh dấu vào ô VPN. Hình 13. Check Point Gateway – General Properties Các bước cấu hình VPN truy cập từ xa qua chế độ Office sử dụng IP Pool được thực hiện như sau: 45 Trước tiên, tạo một đối tượng đại diện IP pool, bằng cách chọn Manage | Network Objects | New | Network. Trong Network Properties, chọn tab General. Để thiết lập dải địa chỉ IP pool, nhập tên dải trong trường Name, nhập địa chỉ đầu tiên của dải trong trường Network Address sau đó nhập subnet mask tùy theo lượng địa chỉ muốn sử dụng trong trường Net Mask. Phần Broadcast Address và thẻ NAT không cần cấu hình. Hình 14. Tạo Network Object Mở cửa sổ Check Point Gateway, chọn thẻ Remote Access | Office Mode. Đánh dấu mục Allow Office Mode to all users. Đánh dấu mục Using one of following method, chọn Manual (using IP Pool) và chọn dải IP Pool vừa tạo ở trên. Mục Multiple Interfaces: hỗ trợ định tuyến gói tin khi thiết bị có nhiều cổng kết nối ra bên ngoài. Chọn Anti-Spoofing cho phép thiết bị kiểm tra các gói Office Mode để tránh trường hợp giả mạo gói tin. 46 File ipassignment.conf được sử dụng để thực thi tính năng IP-per-user. Tính năng này cho phép người quản trị gán một địa chỉ cụ thể cho một người dùng xác định, hoặc một dải địa chỉ cho một nhóm khi kết nối với Office Mode. Hình 15. Cấu hình Office Mode Bước tiếp theo là tạo người dùng để truy cập VPN, phần này sẽ trình cách tạo người dùng VPN trong cơ sở dữ liệu của VPN gateway còn phần tích hợp với máy chủ LDAP sẽ trình bay ở phần sau. Vào Manager | User and administrator…, chọn New. Trong tab General, điền tên người dùng ở ô Login Name. 47 Trong tab Authentication, chọn CheckPoint Password, sau đó nhập mật khẩu và nhấn ok . Hình 16. Tạo User Vào tab VPN Manager, nhấn chuột vào biểu tượng RemoteAccess. Trong Participating Gateways, nhấn Add để thêm thiết bị vào. Trong Participant User Groups, có thể thêm người dùng, nhóm hoặc All Users để cho phép tất cả người dùng. 48 Hình 17. Remote Access Community Properties Vào tab Security thiết lập một luật cho phép truy cập từ xa với các trường như sau (luật trên cùng): Hình 18. Remote Access Rule Bước cuối cùng là thực hiện Install để áp dụng các thiết lập lên thiết bị. Ngoài ra còn có rất nhiều các tùy chọn khác để người dùng cấu hình. Như định nghĩa VPN Domain trong Check Point Gateway | Topology để giới hạn các đối tượng mạng tham gia vào VPN, người dùng từ xa sau khi kết nối VPN mạng chỉ có thể giao tiếp với các đối tượng thuộc VPN Domain. Hoặc các thiết lập trong Policy | Global Properties | Remote Access như các tùy chọn về cập nhật tôpô mạng, hỗ trợ IKE qua TCP… 49 6.2.2.Truy cập VPN từ xa sử dụng SecuRemote/SecureClient SecuRemote/SecureClient là công cụ máy khách cung cấp chức năng truy cập VPN Check Point cho người dùng và bảo vệ các thông tin nhạy cảm khi giao tiếp với mạng nội bộ và các server qua đường hầm VPN. Người dùng VPN được quản lý bằng cơ sở dữ liệu bên trong của VPN-1 Pro Gateway hoặc bằng một máy chủ LDAP riêng. SecureClient cải tiến hơn so với SecuRemote nhờ có thêm một số tính năng. Bảo mật: - Chính sách bảo mật desktop - Ghi log và thông báo - Thẩm định cấu hình bảo mật Kết nối: - Office Mode - Client Mode - Hub Mode Quản lý: - Phân phối phần mềm tự động - Các tùy chọn phân phối và đóng gói nâng cao - Các công cụ chẩn đoán Sau đây khóa luận sẽ hướng dẫn sử dụng SecureClient để kết nối đến VPN gateway thiết lập Office Mode. Ứng dụng SecureClient khi cài đặt xong sẽ hiển thị một biểu tượng trên khay công cụ. Khởi động SecureClient. Nếu chưa có site nào được tạo, chương trình yêu cầu người dùng tạo một site mới. Nhập địa chỉ của VPN gateway vào ô Server Address or Name rồi nhấn Next. 50 Hình 19. Server Address Tiếp theo là chọn phương thức xác thực. Đánh dấu vào tùy chọn User name and Password. Nhấn Next. Sau đó nhập tên và mật khẩu truy cập VPN. Hình 20. Authentication Method 51 Sau khi nhập tên và mật khẩu, bước tiếp theo chọn kiểu kết nối Advanced. Hình 21. Connectivity Settings Sau đó các tùy chọn nâng cao hiện ra. Chọn Perform IKE over TCP (tùy vào thiết lập tại VPN gateway). Hình 22. Advanced Settings 52 SecureClient kết nối đến VPN gateway và nhận được một Certificate Authority để người dùng kiểm tra xem đã kết nối đến đúng site chưa. Hình 23. Validate Site Nếu tạo site thành công, chương trình sẽ hiển thị thông báo cho người dùng. Nhấn Finish để kết thúc. Sau đó chương trình hiển thị ra giao diện dùng để kết nối. Hình 24. Giao diện kết nối SecureClient 53 Nhập password rồi nhấn Connect. SecureClient giao tiếp với VPN gateway và thực hiện xác thực. Nếu xác thực thành công chương trình sẽ hiển thị thông báo cho người dùng đồng thời tải về các thông tin về tôpô mạng và các thiết lập Profile. Lúc này người dùng đã được phép truy cập vào mạng nội bộ giống như một máy nằm trong mạng. Tạo Profile: Vào Option, chọn Setting. Cửa sổ cấu hình SecureClient hiện ra. Tại đây người dùng có thể tạo một Site, Profile mới, xóa hoặc sửa đổi thuộc tính của Site, Profile. Profile được tạo ra để sử dụng trong các điều kiện kết nối khác nhau. Để tạo một Profile mới, chọn New | Profile. Xuất hiện cửa sổ Profile Properties. Trong tab General, người dùng có thể đặt tên cho Profile, xác định địa chỉ site, gateway kết nối đến. Trong tab Advanced người dùng có thể cấu hình tùy chọn Office Mode, các tùy chọn cải thiện kết nối và cấu hình Hub Mode. Cập nhật Site: Nếu VPN gateway đặt cấu hình tự động cập nhật thì sau một khoảng thời gian, SecureClient sẽ tự tải về các thông tin tôpô và Profile. Người dùng cũng có thể tự cập nhật Site bằng cách vào cửa sổ cấu hình, nhấn chuột phải lên Site và chọn Update Site. Hình 25. Tạo Profile 54 CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP 7.1. Giới thiệu sơ lược về LDAP LDAP (Lightweight Directory Access Protocol) là một giao thức tầng ứng dụng dùng để truy cập vào dịch vụ thư mục (Directory Services) chạy trên bộ giao thức TCP/IP. Thư mục là một tập các đối tượng với các thuộc tính được mô tả và tổ chức một cách logic và phân cấp giúp cho việc quản lý và tìm kiếm trở nên dễ dàng và nhanh chóng. Có rất nhiều ví dụ về thư mục như: danh bạ điện thoại, danh mục hàng hóa, Domain Name System… Tương tự như các giao thức như FTP hay HTTP, LDAP hoạt động theo mô hình client-server. Và đương nhiên nó phải định nghĩa một tập các thông điệp request và response giữa LDAP client và LDAP server. LDAP server có nhiệm vụ tương tác với dữ liệu đã được lưu trữ để trả về cho client. Hình 26. Hoạt động của giao thức LDAP Trong mô hình LDAP dữ liệu được lưu trữ dưới dạng một cây thư mục. Entry là đơn vị cơ bản của thông tin trong thư mục. Mỗi entry chứa một tập các thông tin về một đối tượng. Hình 27. Entry 55 Mỗi entry có một DN (distinguished name) duy nhất, không trùng với bất kỳ một DN nào khác trong thư mục. Ví dụ trong hình trên DN của tổ chức là dc=example, dc=com. Mỗi entry gồm một tập các thuộc tính (attributes). Mỗi thuộc tính thuộc một loại (type) và chứa một hoặc nhiều giá trị (value). Schema là một định nghĩa dữ liệu cho thư mục và cách máy chủ và máy khách xử lý các thao tác với thông tin như thế nào (ví dụ như tìm kiếm). Một schema chứa định nghĩa các loại thuộc tính (OID, tên, cú pháp, luật matching của thuộc tính) và các objectClass. LDAP Interchange Format (LDIF) là một khuôn dạng tệp văn bản chuẩn để lưu thông tin cấu hình LDAP và nội dung thư mục. Một tệp LDIF gồm: - Một tập entry tách biệt nhau bởi các dòng trắng - Một ánh xạ tên thuộc tính sang giá trị - Một tập các chỉ thị cho bộ phân tích cú pháp biết cách xử lý thông tin. Tệp LDIF thường được dùng để nhập dữ liệu mới vào thư mục hoặc thay đổi dữ liệu đã tồn tại. Dữ liệu trong LDIF phải tuân theo luật schema của thư mục LDAP. Mỗi mục được thêm hoặc thay đổi trong thư mục sẽ được kiểm tra ngược lại schema. Một schema violation xảy ra nếu dữ liệu không phù hợp với các luật tồn tại. Hình 2-1 thể hiện một cây thư mục đơn giản. Mỗi entry trong thư mục được biểu diễn bởi một entry trong tệp LDIF. Giả sử với entry trên cùng của cây với DN: dc=plainjoe, dc=org: # LDIF listing for the entry dn: dc=example,dc=com dn: dc=example,dc=com objectClass: domain dc: example So sánh với tổ chức của một filesystem, DN tương tự như một đường dẫn tuyệt đối, còn RDN (Relative DN) giống như tên file. Nhưng khác với một tên file, RDN có thể được tạo nên từ nhiều thuộc tính. Ví dụ một RDN đa trị: cn=Jane Smith+ou=Sales, dấu “+” dùng để phân biệt hai thuộc tính. Thuộc tính và cú pháp thuộc tính tương tự như biến và kiểu biển trong lập trình. Thuộc tính cũng như biến dùng để chưa giá trị. Còn cú pháp thuộc tính hay kiểu biến dùng để xác định loại thông tin nào có thể được lưu trữ trong biến. Thuộc tính khác biến ở chỗ nó có thể đa trị. Khi gán một giá trị mới cho một biến, giá trị cũ bị thay thế. Nhưng khi gán một giá trị mới cho thuộc tính, giá trị đó sẽ được thêm vào danh sách 56 giá trị của thuộc tính. Một thuộc tính là đa trị hay đơn trị phụ thuộc vào định nghĩa của thuộc tính trong schema của máy chủ. Matching Rule là các luật để tạo ra các sự so sánh. Ví dụ telephoneNumberMatch dùng để so sánh sự hai số điện thoại có khớp nhau hay không. Object Identifiers (OIDs) là một chuỗi các số ngăn cách nhau bởi dấu chấm (.) dùng để xác định một thực thể duy nhất như thuộc tính, cú pháp, lớp đối tượng. Tất cả các entry trong một thư mục LDAP phải có một thuộc tính objectClass, và thuộc tính này phải có ít nhất một giá trị (có thể nhiều hơn một). Mỗi giá trị objectClass đóng vai trò như một khuôn mẫu cho dữ liệu được lưu trong một entry. Nó định nghĩa một tập các thuộc tính phải và một tập thuộc tính tùy chọn. Thuộc tính phải là thuộc tính cần phải gán cho nó ít nhất một giá trị. Thuộc tính tùy chọn không bắt buộc phải gán giá trị. Hai objectClass có thể có cùng một số thuộc tính. Định nghĩa objectClass - Mỗi objectClass có một OID - Từ khóa MUST chỉ ra một tập các thuộc tính phải - Từ khóa MAY định nghĩa một tập các thuộc tính tùy chọn. - Từ khóa SUP chỉ ra objectClass cha, đối tượng mà objectClass này kế thừa. Đối tượng kế thừa có tất cả các thuộc tính của objectClass cha.. 7.2. Cấu hình VPN tích hợp LDAP [6] Check Point VPN-1 NG có khả năng truy cập tới máy chủ thư mục LDAP để xác thực các tài khoản kết nối VPN đến thiết bị. Máy chủ LDAP của trường Đại học Công Nghệ sử dụng OpenLDAP, một ứng dụng LDAP miễn phí, ổn định chạy trên nền UNIX. Trong phần này, khóa luận sẽ trình bày các thao tác cấu hình cho phép sử dụng máy chủ OpenLDAP quản lý các tài khoản truy cập VPN cho thiết bị Check Point. 7.2.1. Cấu hình máy chủ LDAP Mặc định OpenLDAP không có sẵn schema Check Point. objectClass fw1person được định nghĩa như một kiểu hỗ trợ để giúp cho việc quản lý các user đã tồn tại qua dịch vụ LDAP. 57 OpenLDAP sử dụng một khuôn dạng định nghĩa schema đơn giản, người dùng có thể tạo schema từ Netcapse Schema ($FWDIR/lib/ldap/schema.ldif) bằng cách sử dụng một shell script, hoặc có thể sử dụng một schema đã được tạo sẵn (xem phụ lục A). Sau đó copy file schema vào /etc/openldap/schema/fw1ng.schema đồng thời thêm khai báo vào file slapd.conf. include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/fw1ng.schema Bước tiếp theo, người dùng phải thêm objectClass fw1person cho các tài khoản trong thư mục LDAP. Do Check Point sử dụng một schema riêng nên nếu không thêm objectClass fw1person vào các tài khoản thì Check Point sẽ không thể sử dụng được các tài khoản này. 7.2.2. Cài đặt và cấu hình VPN-1 7.2.2.1. Kích hoạt SmartDirectory trong Global Properties Mặc định, tính năng quản lý người dùng bằng máy chủ LDAP không được kích hoạt. Để sử dụng tính năng này người dùng phải kích hoạt LDAP Account Management trong Global Properties bằng cách đánh dấu vào tùy chọn User SmartDirectory. Có thể truy cập vào Global Properties trên toolbar hoặc vào menu Policy/Global Properties. Hình 28. Kích hoạt Smart Directory 7.2.2.2. Tạo một host object cho OpenLDAP server Tạo một host object mới cho host chạy OpenLDAP server sử dụng: Manage/Network Objects/New… Node - Host. 58 7.2.2.3. Tạo một LDAP Account Unit Tạo một LDAP Account Unit mới sử dụng Manage/Servers/New… LDAP Account Unit. Cửa sổ LDAP Account Unit Properties gồm có các thẻ. Gõ tên và chọn một profile cho thư mục. - thẻ General định nghĩa các thiết lập chung của SmartDirectory (LDAP) Account Unit. Chọn User management và chọn một profile áp dụng cho Account Unit mới. Với OpenLDAP server sử dụng profile OPSEC_DS hoặc OpenLDAP_DS. - thẻ Servers, hiển thị LDAP servers được sử dụng bởi Account Unit. Thứ tự hiển thị cũng chính là thứ tự truy vấn mặc định. Thêm server vào danh sách hiển thị. Nháy đúp lên một SmartDirectory (LDAP) server trong danh sách để sửa đổi nó. Cửa sổ LDAP Server Properties được hiển thị. Hình 29. LDAP Server Properties Trong thẻ General, có thể thay đổi DN đăng nhập của LDAP server, ví dụ ”cn=Manager,dc=example,dc=com”. Xác định độ ưu tiên của LDAP server được chọn (độ ưu tiên được sử dụng khi có nhiều máy chủ LDAP). 59 Xác định mật khẩu dùng để xác thực. Chọn Read data from this server và Write data to this server sau đó nhấn OK. Trong thẻ Objects Management chọn LDAP server thích hợp. Branches của LDAP server có thể nhận được bằng cách chọn Fetch branches, hoặc thêm bằng tay. Branches sẽ được tìm kiếm khi LDAP server được truy vấn. Thẻ Authentication định nghĩa giới hạn và các thiết lập xác thực mặc định cho một user trên một Account Unit. Tùy chọn Allowed Authentication schemes giới hạn truy cập xác thực của user chỉ trong authentication schemes. Có thể cho phép vài authentication schemes áp dụng cho một user, hoặc có thể áp dụng một authentication schemes mặc định cho tất cả user. Các user được lấy về qua Account Unit, nhưng thiếu các định nghĩa liên quan đến xác thực, sẽ sử dụng authentication scheme mặc định, hoặc một template. 7.2.2.4. Tạo LDAP group - Nhấn chuột phải vào LDAP Groups. - Chọn New LDAP Groups. - Nhập tên cho group và chọn LDAP Account Unit đã tạo ở trên. Chọn All Branches, một Branch, hoặc một LDAP Group. - Chọn Apply. 60 CHƯƠNG 8. TRIỂN KHAI THỰC TẾ 8.1. Phân tích và giải pháp Hình 30. Mô hình mạng cũ Trên cơ sở khảo sát hiện trạng hệ thống mạng VNUnet và Coltechnet, dựa trên những đánh giá, phân tích về hạn chế của cả hai hệ thống mạng cũng như những yêu cầu thực tế, việc triển khai những thiết bị phần cứng chuyên về bảo mật như Nokia IP hay IPS Proventia G200 (thiết bị phát hiện và ngăn chặn xâm nhập) cũng như các phần mềm giám sát mạng như HP Openview, Nagios là cần thiết và có ý nghĩa rất quan trọng. Mục tiêu đặt ra là phải tạo ra một hệ thống bảo vệ, bảo mật vững chắc cho hệ thống mạng nội bộ và đặc biệt là hệ thống Server của trường. 61 Dựa trên tình hình thực tế và mục tiêu cụ thể, mô hình triển khai được đưa ra như sau. Hình 31. Mô hình mạng mới Thiết bị Nokia IP1220 có một vị trí rất quan trọng vì nó vừa là điểm cầu nối vào hệ thống Server, vừa là một gateway kết nối ra mạng Internet. Nokia Check Point là bức rào cản đầu tiên bảo vệ hệ thống mạng nội bộ, đặc biệt nó ngăn cách và bảo vệ hệ thống Server với mạng bên ngoài. Trên thiết bị Nokia hiện tại gồm có 8 cổng kết nối Ethernet. Có 5 cổng sẽ được sử dụng để kết nối vào mạng, còn lại ba cổng dự trữ được dùng cho mục đích sau này. Trong 5 cổng Ethernet được sử dụng: - Một cổng dùng để kết nối đến Router gateway để ra ngoài mạng Internet, cổng này có địa chỉ public là 210.86.230.x (địa chỉ này được sử dụng để kết nối VPN). 62 - Hai cổng kết nối đến hai thiết bị IPS Proventia G200, qua đó kết nối tới hệ thống Server. Với cách thiết kế này các Server sẽ có hai lớp bảo vệ. Lớp bảo vệ đầu tiên là hệ thống tường lửa, SmartDefense của Check Point Nokia. Nhiệm vụ của tường lửa thiết lập các luật quy định quyền truy cập cho các đối tượng. Nó ngăn chặn phần lớn các truy cập bất hợp pháp và cho phép các truy cập hợp pháp vào mạng. SmartDefense là hệ thống phòng thủ thông minh giúp phát hiện và ngăn chặn các xâm phạm, tấn công vào mạng. Lớp thứ hai là thiết bị phát hiện và ngăn chặn xâm nhập IPS Proventia G200. Thiết bị này chuyên dùng bảo vệ mạng khỏi các cuộc tấn công và thâm nhập. Với hai lớp bảo vệ này hệ thống Server sẽ là hệ thống được bảo vệ an toàn nhất trong mạng. - Một cổng nối tới các class room. Tường lửa sẽ quy định các chính sách truy cập cho class room, chỉ cho các class room quyền truy cập trong giới hạn được phép. - Cổng còn lại nối tới toàn bộ phần còn lại của mạng qua Switch tổng Catalys 6509. Các cấu hình được thiết lập trên Nokia Check Point gồm có các chính sách tường lửa, NAT và cấu hình VPN Gateway. Chính sách tường lửa được áp dụng trên tất cả các cổng để hạn chế, cho phép các dịch vụ và phân quyền cho người dùng truy cập tới các Server. VPN gateway cấu hình truy cập từ xa sử dụng Office Mode. Người dùng có thẩm quyền sẽ được phép kết nối VPN tới mạng nội bộ qua địa chỉ public của thiết bị, sau đó người dùng có thể truy cập, sử dụng các tài nguyên như là một máy trong mạng. Việc quản lý người dùng VPN được thực hiện bởi máy chủ OpenLDAP. Trên thiết bị cũng được thiết lập các chính sách định tuyến cần thiết để hệ thống mạng hoạt động theo yêu cầu. Các thiết lập cài đặt chi tiết được trình bày trong phần 9.2 Cài đặt. 8.2.Cài đặt Quá trình cài đặt trải qua hai bước. Bước một là lắp đặt và tiến hành các cài đặt cần thiết. Bước hai là thiết lập, cấu hình các chức năng. 8.2.1. Lắp đặt và cài đặt ban dầu Tiến hành lắp thiết bị lên Rack, kết nối các cổng theo sơ đồ kết nối ở trên. Sau đó nối dây nguồn và khởi động thiết bị. 63 Nếu trên thiết bị chưa cài đặt hệ điều hành và các gói Firewall, VPN cần thiết, thì sau khi lắp đặt cần phải thực hiện các thao tác cài đặt hệ điều hành IPSO và bộ sản phẩm Check Point NGX. Thiết bị Nokia IP1220 được cài đặt hệ điều hành IPSO phiên bản 4.2 và bộ sản phẩm Check Point NGX R62. Có thể download bộ cài đặt hệ điều hành IPSO bản 4.2 trên trang chủ checkpoint.com (cần có tài khoản). Sau đó thiết lập một máy chủ FTP và sao chép bộ cài đặt HĐH IPSO vào thư mục gốc của máy chủ FTP. Sử dụng kết nối Ethernet nối từ một cổng của thiết bị đến máy chủ FTP. Truy cập vào cổng Console trên thiết bị. Khởi động thiết bị và tiến hành cài đặt như trong phần 2.2.2 của Khóa luận. Sau khi cài đặt xong hệ điều hành cho Nokia IP1220, tiếp tục cài đặt bộ sản phẩm Check Point NGX R62. Chúng ta sử dụng mô hình triển khai độc lập. Tức là cài đặt đồng thời hai thành phần Enforcement Module và Management Server lên thiết bị Nokia IP1220. SmartConsole được cài đặt lên một máy tính chạy HĐH Windows được sử dụng để thiết lập cấu hình và quản lý hoạt động của thiết bị. Các bước cài đặt NGX R62 và cách kích hoạt các gói được nêu trong chương 3 của Khóa luận. Sử dụng giao diện web Nokia Network Voyager để kiểm tra kết quả cài đặt. Hình 32. Thông tin về hệ điều hành và các gói kích hoạt 64 Để có thể sử dụng và thiết lập các luật lên tường lửa, trước hết phải tiến hành thiết lập cpconfig (xem phần 4.1) sau đó khởi động lại thiết bị. Tiếp đó phải kích hoạt, thiết lập cấu hình và địa chỉ IP cho các cổng sử dụng. Cách đơn giản nhất là vào giao diện web Nokia Network Voyager trong trang Configuration | Interface Configuration | Interfaces. Chọn cổng cần cấu hình và thiết lập các thông số cần thiết. Như trên hình Hình 33. Cấu hình các cổng của thiết bị Các cấu hình khác: - Vào Configuration | Routing | Static Routes. Thiết lập gateway routing. Hình 34. Đặt gateway - Vào Configuration | System Configuration | Host Address. Đặt hostname và host address. - Cấu hình SNMP trong Configuration | System Configuration | SNMP. 65 Hình 35. Cấu hình Host Name, SNMP Hoàn tất xong quá trình lắp đặt và cài đặt, chuyển sang bước kết tiếp là thiết lập các cấu hình tường lửa, VPN cho thiết bị. 8.2.2.Thiết lập cấu hình Chạy chương trình SmartDashboard. Đăng nhập vào SmartCenter Server. Mọi cấu hình tường lửa, SmartDefense, VPN, NAT,… đều được cấu hình qua SmartDashboard. Cấu trúc mạng hiển thị qua Smartmap Hình 36. Smartmap Cấu hình ban đầu Kiểm tra nếu firewall còn ở dạng Host thì phải chuyển sang Gateway bằng cách nhấn chuột phải vào firewall chọn Convert to gateway… Cấu hình trong Check Point Gateway | General Properties. 66 Hình 37. General Properties Trong phần IP Address, nếu sử dụng Get Address thì sẽ ra địa chỉ 192.168.0.71. Nhưng để thiết lập VPN ta phải sử dụng địa chỉ public của nó. Nhập vào 210.86.230.116. 67 Hình 38. Topology Trong thẻ Topology, khi chọn Get | Interfaces with Topology, firewall sẽ tự phân ra các cổng Internal (This network) và External dựa vào default gateway được đặt. Trong VPN Domain, chọn All IP Address… nếu muốn thiết lập VPN cho tất cả các địa chỉ phía sau tường lửa. Hoặc có thể chỉ thiết lập một số mạng nào đó bên trong làm VPN domain bằng cách chọn Manual defined. Phần NAT để mặc định vì không yêu cầu firewall phải thực hiện chức năng NAT cho toàn bộ mạng. Trong Smart Defense chọn Default Protection để sử dụng các thiết lập phòng thủ mặc định của SmartDefense. 68 Thiết lập các luật tường lửa Hình 39. Các luật tường lửa Luật đầu tiên có tác dụng cấm các máy nằm trong mạng 140.133.217.144/28 thực hiện bất kỳ một kết nối nào với mạng nội bộ bên trong firewall. Hai luật kế tiếp dành cho VPN sẽ được trình bày trong phần sau. Luật cuối cùng cho phép tất cả kết nối và không thực hiện bất kỳ một hạn chế nào. Nếu không có luật này thì firewall sẽ thực hiện luật mặc định là bỏ qua tất cả kết nối vào bên trong mạng. SmartDefense ở chế độ Default Protection 69 Hình 40. Protection Overview Thiết lập cấu hình VPN Cấu hình trong Check Point Gateway, thẻ Remote Access Hình 41. Remote Access 70 Trong Office Mode, đặt tùy chọn Allow Office Mode to all users. Đặt giải IP pool là 192.168.10.0/24. Khi client kết nối VPN vào mạng thì VPN gateway sẽ gán cho client một địa chỉ thuộc dải này. Trong VPN Manager, chọn Community Remote Access. Trong Remote Access Community Properties thêm Participating Gateway và Participant User Group. Hình 42. Remote Access Community Properties Chọn All Users để cho phép tất cả người dùng đều có thể tham gia vào VPN. Có thể thiết lập các Group để hạn chế số người dùng. Thiết lập các tùy chọn khác trong Global Properties như phương thức xác thực, hỗ trợ IKE qua TCP, nén gói tin IP (VPN Basic), các giải thuật mã hóa và toàn vẹn dữ liệu (VPN – IKE, VPN - IPSec). 71 Hình 43. VPN Basic Hình 44. VPN - IKE 72 Hình 45. VPN – IPSEC Do khi kết nối VPN vào mạng, client sẽ được gán một địa chỉ thuộc dải 192.168.10.0. Các máy trong mạng không thể biết được địa chỉ này. Do vậy phải NAT điạ chỉ này sang địa chỉ của thiết bị để client có thể tham gia vào mạng một cách bình thường (nếu sử dụng DHCP để cấp địa chỉ thì không cần NAT). Thực hiện bằng cách mở đối tượng mạng 192.168.10.0, thiết lập cấu hình trong thẻ NAT. Luật NAT được tự động thêm trong Network Translation. Hình 46. VPN NAT Tích hợp máy chủ LDAP để quản lý người dùng Thiết lập cấu hình máy chủ LDAP 10.10.0.22 (xem phần 8.2.1) và thiết lập cấu hình cho Check Point. Tạo Network Object của máy chủ LDAP trong Manage | Network Object chọn New | Node | Host… Trong phần IP Address điền địa chỉ IP của máy chủ LDAP. 73 Hình 47. Tạo Host Node Khai báo LDAP Account Unit trong Manage | Server and OPSEC Application… chọn New | LDAP Account Unit. Cấu hình như sau: Hình 48. Thẻ General Trong thẻ Server. Chọn Add. Nhập các thông tin cần thiết như tài khoản đăng nhập, mật khẩu… 74 Hình 49. LDAP Server Properties Hình 50. Thẻ Server Trong thẻ Object Management, nhấn Fetch branches 75 Hình 51. Thẻ Object Management Firewall sẽ kết nối đến máy chủ LDAP và lấy về danh sách tài khoản Hình 52. Hiển thị tài khoản LDAP Tạo LDAP Group trong Manage | User and Administrators chọn New LDAP Group… Trong phần Group’s Scope chọn phạm vi cho nhóm. 76 Hình 53. LDAP Group Firewall cho phép tạo các group nhanh chóng bằng cách sử dụng các group sẵn có của máy chủ LDAP. Chỉ cần nhấn chuột phải lên group đó, chọn Define External Group. Với việc tạo các LDAP group như vậy chúng ta có thể dễ dàng thiết lập các luật riêng cho từng group để quy định quyền hạn của các client khi truy cập VPN vào mạng. Bước cuối cùng là ta định nghĩa các luật Remote Access. Hình 54. Luật Remote Access 77 Luật 2 và 3 là các luật dùng cho VPN Remote Access. Luật 2 có ý nghĩa là không cho phép tài khoản sinh viên truy cập vào mạng 192.168.0.0/24. Luật 3 là cho phép tất cả các tài khoản khi đăng nhập VPN Remote Access thì được quyền truy cập tới toàn bộ mạng. Với nguyên tắc làm việc từ trên xuống của firewall thì trong trường hợp này tài khoản sinh viên bị giới hạn quyền truy cập đến mạng 192.168.0.0 nhưng vẫn có thể truy cập tới phần còn lại trong mạng. Kết nối VPN bằng SecureClient Sau khi tạo Site có địa chỉ 210.86.230.116, vào Profile Properties chọn Visitor Mode. Hình 55. Chọn Visitor Mode Nháy chuột vào biểu tượng của SecureClient để bắt đầu kết nối. 78 Hình 56. Màn hình đăng nhập Hình 57. Thiết lập kết nối Hình 58. Xác thực tài khoản 79 Hình 59. Kết nối thành công Để kiểm tra kết nối VPN đã thành công. Vào Command Prompt. Gõ ipconfig /all. Xuất hiện một Ethernet adapter mới có địa chỉ IP là 192.168.10.1 như trong hình. Ping thử tới một địa chỉ trong mạng VPN sẽ nhận được kết quả trả về. Hình 60. Kiểm tra địa chỉ Gõ route print để kiểm tra bảng định tuyến 80 Hình 61. Kiểm tra bảng định tuyến 8.3. Giám sát và quản lý Việc giám sát và quản lý hoạt động của Nokia Check Point được thực hiện bằng chương trình SmartView Tracker R62 và SmartView Monitor R62. Cả hai ứng dụng này đều nằm trong gói phần mềm SmartConsole cùng với SmartDashboard. Từ cửa sổ của một trong các ứng dụng này, có thể mở các ứng dụng khác bằng cách vào menu Windows, chọn ứng dụng cần mở. Khi một gói tin đi vào Nokia Check Point, nó sẽ được tường lửa kiểm tra, nếu gói tin tương ứng với một luật nào đó nó sẽ được ghi log lại (nếu trong luật cho phép ghi log). Ngoài ra các sự kiện xảy ra trên firewall cũng được ghi log như cài đặt luật, thay đổi cấu hình, đăng nhập hệ thống… SmartView Tracker cung cấp một giao diện để hiển thị các file log. Qua đó người quản trị có thể giám sát được tất cả các kết nối qua thiết bị, cũng như có được rất nhiều thông tin cần thiết khác. SmartView Tracker gồm có ba chế độ khác nhau là: Log, Active, Audit. Log hiển thị tất cả các bản ghi trong tệp fw.log gồm các sự kiện liên quan đến các luật và các chính sách an ninh. 81 Hình 62. SmartView Tracker - Log Để hiển thị chi tiết một bản ghi, nháy đúp vào bản ghi đó. Hình 63. Record Detail 82 Người quản trị có thể xem các thông tin của gói tin như thời gian gói tin đến, địa chỉ nguồn, đích, giao thức, dịch vụ, tài khoản gửi (nếu là gói tin VPN), hành động mà tường lửa áp dụng lên gói tin, … Active hiển thị các kết nối hiện tại đang được mở thông qua firewall. Hình 64. SmartView Tracker – Active Audit hiển thị các sự kiện liên quan đến cài đặt, thay đổi các luật và các thao tác của người quản trị. 83 Hình 65. SmartView Tracker - Audit Thời điểm hiện tai, thiết bị đã được lắp đặt trên mạng thực tế, và kết quả ban đầu cho thấy thiết bị hoạt động khá tốt và ổn định. SmartView Monitor cho phép người quản trị giám sát theo thời gian thực các hoạt động trên mạng, và hiển thị dưới nhiều dạng khác nhau như bảng, biểu đồ. 84 Hình 66. SmartView Monitor Người quản trị có thể giám sát các thông tin như network traffic, VPN Tunnel, Remote User, và hàng loạt thông tin cần thiết khác. 85 Hình 67. SmartView Monitor - System Hình 68. SmartView Monitor – Remote User 86 KẾT LUẬN Sau khi kết thúc thời gian làm khóa luận tốt nghiệp với đề tài “Nghiên cứu triển khai Nokia firewall”, em đã thực hiện triển khai thành công Nokia IP1220 trên hệ thống mạng trường Đại học Công Nghệ. Các chức năng triển khai trên Nokia IP1220 gồm có NAT, định tuyến, chức năng tường lửa và VPN. Đặc biệt chức năng VPN có khả năng tích hợp với máy chủ LDAP có sẵn của trường Đại học Công Nghệ giúp cho một người dùng chỉ cần sử dụng một account để truy cập được tất cả các dịch vụ khác nhau như mail, website môn học, VPN… Việc triển khai thành công Nokia IP1220 trên hệ thống mạng trường Đại học Công Nghệ sẽ giúp nâng cao khả năng bảo mật của mạng, cung cấp hệ thống tường lửa và khả năng truy cập từ xa qua mạng riêng ảo một cách an toàn, mạnh mẽ và chuyên nghiệp. Và khóa luận này sẽ là một tài liệu bổ ích dành cho mục đích tham khảo sau này. Các phương hướng phát triển trong tương lai gồm có: - Nghiên cứu thêm về cấu hình VPN mạng nối mạng trên Nokia Check Point. - Nghiên cứu thiết lập cấu hình VRRP và cấu hình Check Point Gateway Cluster. - Thiết lập các luật tường lửa cho phù hợp với từng điều kiện thay đổi của hệ thống mạng. - Cập nhật và cài đặt các phiên bản mới. Trong quá trình nghiên cứu và làm khóa luận này em cũng gặp phải khá nhiều khó khăn. Nokia IP1220 là một thiết bị phức tạp và đắt tiền nên em không có điều kiện để thực hành ở nhà. Nhưng bù lại em cũng được các thầy ở trung tâm máy tính hết sức tạo điều kiện trong thời gian thực hiện Khóa luận. Cũng bởi vì Nokia IP1220 là một thiết bị phức tạp, đắt tiền và chuyên dụng nên nó không được sử dụng phổ biến, do đó việc tìm hiểu, tìm kiếm tài liệu, tải các sản phẩm, phần mềm là rất khó. Tuy nhiên nhờ sự cố gắng, nỗ lực cùng sự hướng dẫn tận tình của các thầy em đã hoàn thành Khóa luận. Do là lần đầu tiên viết một tài liệu khoa học nên Khóa luận này không tránh khỏi còn rất nhiều thiếu sót, em rất mong nhận được sự chỉ bảo, hướng dẫn từ các thầ