Tài liệu Khóa luận Nghiên cứu triển khai nokia firewall: ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Vũ Hồng Phong
NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
HÀ NỘI - 2009
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Vũ Hồng Phong
NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
Cán bộ hướng dẫn: ThS. Đoàn Minh Phương
Cán bộ đồng hướng dẫn: ThS. Nguyễn Nam Hải
HÀ NỘI - 2009
LỜI CẢM ƠN
Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới ThS. Nguyễn Nam Hải và
ThS. Đoàn Minh Phương. Hai thầy đã giúp đỡ em lựa chọn đề tài đồng thời trực tiếp
hướng dẫn và đưa ra những nhận xét quý giá trong suốt quá trình em thực hiện khóa
luận này. Em cũng xin gửi lời cảm ơn tới các thầy trong Trung Tâm Máy Tính – Đại
học Công Nghệ - ĐHQGHN đã hết sức tạo điều kiện để em nghiên cứu và hoàn thành
khóa luận.
Em xin được cảm ơn các thầy, các cô trong trường Đại học Công Nghệ, trong
suốt b...
97 trang |
Chia sẻ: haohao | Lượt xem: 1236 | Lượt tải: 0
Bạn đang xem trước 20 trang mẫu tài liệu Khóa luận Nghiên cứu triển khai nokia firewall, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Vũ Hồng Phong
NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
HÀ NỘI - 2009
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Vũ Hồng Phong
NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành: Công Nghệ Thông Tin
Cán bộ hướng dẫn: ThS. Đoàn Minh Phương
Cán bộ đồng hướng dẫn: ThS. Nguyễn Nam Hải
HÀ NỘI - 2009
LỜI CẢM ƠN
Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới ThS. Nguyễn Nam Hải và
ThS. Đoàn Minh Phương. Hai thầy đã giúp đỡ em lựa chọn đề tài đồng thời trực tiếp
hướng dẫn và đưa ra những nhận xét quý giá trong suốt quá trình em thực hiện khóa
luận này. Em cũng xin gửi lời cảm ơn tới các thầy trong Trung Tâm Máy Tính – Đại
học Công Nghệ - ĐHQGHN đã hết sức tạo điều kiện để em nghiên cứu và hoàn thành
khóa luận.
Em xin được cảm ơn các thầy, các cô trong trường Đại học Công Nghệ, trong
suốt bốn năm qua đã giảng dạy chúng em. Những kiến thức các thầy, các cô cung cấp
sẽ là hành trang vững chắc để em tiến bước trong tương lai.
Trong quá trình học tập, em đã nhận được rất nhiều sự giúp đỡ, động viên từ các
bạn trong lớp K50CA, K50MMT. Em xin được gửi lời cảm ơn tất cả các bạn.
Cuối cùng, em xin gửi lời cảm ơn sâu sắc nhất tới bố mẹ và gia đình em. Những
người luôn luôn cổ vũ, khích lệ và mang tới cho em những điều tốt đẹp nhất trong
cuộc sống.
TÓM TẮT NỘI DUNG
Phần mở đầu của Khóa luận sẽ đặt ra các vấn đề làm cơ sở cho việc thực hiện
Khóa luận. Các vấn đề được đặt ra dựa trên việc khảo sát thực tế hiện trạng hệ thống
mạng trường Đại học Công Nghệ (xem chi tiết trong phụ lục B).
Tiếp đó, Khóa luận sẽ trình bày giải pháp sử dụng Nokia Check Point để nâng
cao khả năng an ninh và hoạt động của hệ thống mạng. Các phần sau của khóa luận sẽ
lần lượt trình bày về phương pháp cài đặt, triển khai thiết bị Nokia IP1220. Đầu tiên là
tìm hiểu về HĐH IPSO sử dụng trên Nokia IP1220, các bước cài đặt, cấu hình HĐH
IPSO. Tiếp đó là phần giới thiệu và cách cài đặt ứng dụng Firewall-1/VPN-1. Sau đó
là cách cấu hình tường lửa, thiết lập các chính sách an ninh, cấu hình NAT, Routing ,
cấu hình mạng riêng ảo VPN tích hợp với máy chủ LDAP. Trước mỗi phần đều có nêu
tóm tắt các kiến thức cơ bản được sử dụng.
Phần kết luận sẽ nêu lên kết quả triển khai thành công Nokia Check Point trên hệ
thống mạng thực tế của trường Đại học Công Nghệ và các phương hướng, bổ sung cần
thực hiện trong tương lai.
MỤC LỤC
BẢNG VIẾT TẮT ................................................................................................................................................. 7
DANH SÁCH HÌNH VẼ ....................................................................................................................................... 8
DANH SÁCH BẢNG........................................................................................................................................... 10
ĐẶT VẤN ĐỀ ...................................................................................................................................................... 11
CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO...... 13
1.1. Giải pháp Nokia Check Point.................................................................................................................... 13
1.2. Tổng quan Nokia Check Point................................................................................................................... 13
1.2.1. Hệ điều hành IPSO............................................................................................................................ 14
1.2.2. Cài đặt HĐH IPSO và cấu hình ban đầu ........................................................................................... 14
1.2.2.1. Boot Manager............................................................................................................................ 15
1.2.2.2. Cài đặt IPSO ............................................................................................................................. 16
1.2.2.3. Cài đặt ban đầu.......................................................................................................................... 19
CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 ........................................................................................ 22
2.1. Giới thiệu................................................................................................................................................... 22
2.2. Cài đặt package......................................................................................................................................... 22
2.2.1. Cài đặt gói wrapper ........................................................................................................................... 23
2.2.1.1. Cài đặt với CLI ......................................................................................................................... 23
2.2.1.2. Cài đặt với Nokia Network Voyager......................................................................................... 23
2.2.2. Cài đặt SmartConsole NGX R62 ...................................................................................................... 24
CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA ................................................................................... 25
3.1. Thiết lập cấu hình ban đầu........................................................................................................................ 25
3.2. Chính sách tường lửa mặc định ................................................................................................................ 27
3.3. Thiết lập các luật tường lửa qua SmartDashboard................................................................................... 29
CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT.................................................................................................... 32
4.1. Ẩn giấu đối tượng mạng............................................................................................................................ 32
4.2. Cấu hình luật NAT..................................................................................................................................... 33
CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE.................................................................................................. 35
5.1. Giới thiệu về SmartDefense....................................................................................................................... 35
5.2. Network Security ....................................................................................................................................... 36
5.2.1. Denial of Service............................................................................................................................... 36
5.2.2. IP and ICMP...................................................................................................................................... 36
5.2.3. TCP ................................................................................................................................................... 37
5.2.4. Fingerprint Scrambling ..................................................................................................................... 38
5.2.5. Successive Events ............................................................................................................................. 38
5.2.6. Dynamic Ports................................................................................................................................... 38
5.3. Application Intelligence ............................................................................................................................ 39
5.3.1. HTTP Worm Catcher ........................................................................................................................ 39
5.3.2. Cross-Site Scripting .......................................................................................................................... 40
5.3.3. HTTP Protocol Inspection................................................................................................................. 40
5.3.4. File and Print Sharing Worm Catcher ............................................................................................... 42
CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN.................................................................................................... 43
6.1. Tổng quan về VPN..................................................................................................................................... 43
6.2. Giải pháp VPN Check Point cho truy cập từ xa........................................................................................ 43
6.2.1. Cấu hình Office Mode sử dụng IP Pool ............................................................................................ 43
6.2.2. Truy cập VPN từ xa sử dụng SecuRemote/SecureClient .................................................................. 49
CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP.......................................................................................... 54
7.1. Giới thiệu sơ lược về LDAP ...................................................................................................................... 54
7.2. Cấu hình VPN tích hợp LDAP................................................................................................................... 56
7.2.1. Cấu hình máy chủ LDAP .................................................................................................................. 56
7.2.2. Cài đặt và cấu hình VPN-1................................................................................................................ 57
7.2.2.1. Kích hoạt SmartDirectory trong Global Properties ................................................................... 57
7.2.2.2. Tạo một host object cho OpenLDAP server ............................................................................. 57
7.2.2.3. Tạo một LDAP Account Unit ................................................................................................... 58
7.2.2.4. Tạo LDAP group....................................................................................................................... 59
CHƯƠNG 8. TRIỂN KHAI THỰC TẾ ............................................................................................................ 60
8.1. Phân tích và giải pháp .............................................................................................................................. 60
8.2. Cài đặt....................................................................................................................................................... 62
8.2.1. Lắp đặt và cài đặt ban dầu................................................................................................................. 62
8.2.2. Thiết lập cấu hình.............................................................................................................................. 65
8.3. Giám sát và quản lý................................................................................................................................... 80
KẾT LUẬN .......................................................................................................................................................... 86
PHỤ LỤC............................................................................................................................................................. 87
Phụ lục A. fw1ng.schema............................................................................................................................ 87
Phụ lục B: Hiện trạng mạng VNUNet......................................................................................................... 90
TÀI LIỆU THAM KHẢO................................................................................................................................... 97
7
BẢNG VIẾT TẮT
BGP Border Gateway Protocol
CLISH Command Line Interface Shell
DHCP Dynamic Host Configuration Protocol
DNS Domain Name System
ĐHQGHN Đại Học Quốc Gia Hà Nội
FreeBSD Free Berkeley Software Distribution
FTP File Transfer Protocol
GUI Graphic User Interface
HTTP Hypertext Transfer Protocol
HTTPS Hypertext Transfer Protocol Secure
ICMP Internet Control Message Protocol
IGRP Interior Gateway Routing Protocol
IP Internet Protocol
IPSO IP Security Operating System
ISS Internet Security System
LDAP Lightweight Directory Access Protocol
NAT Network Address Translation
OSI Open Systems Interconnection
OSPF Open Shortest Path First
RIP Routing Information Protocol
SNMP Simple Network Management Protocol
SSH Secure Shell
TCP Tranmission Control Protocol
Telnet Telecomunication network
VNUNet Vietnam National University Network
VPN Virtual Private Network
8
DANH SÁCH HÌNH VẼ
Hình 1. Nokia IP1220 Platform.....................................................................................13
Hình 2. SmartDashboard – Security..............................................................................30
Hình 3. Thực thi cài đặt .................................................................................................31
Hình 4. SmartDashboard – Address Translation...........................................................32
Hình 5. Cấu hình luật NAT tự động ..............................................................................33
Hình 6. Các luật NAT....................................................................................................34
Hình 7. Global Properties - NAT ..................................................................................34
Hình 8. Network Quota .................................................................................................37
Hình 9. Dynamic Ports ..................................................................................................39
Hình 10. General HTTP Worm Catcher........................................................................40
Hình 11. HTTP Protocol Inspection..............................................................................41
Hình 12. File and Print Sharing.....................................................................................42
Hình 13. Check Point Gateway – General Properties ...................................................44
Hình 14. Tạo Network Object .......................................................................................45
Hình 15. Cấu hình Office Mode ....................................................................................46
Hình 16. Tạo User .........................................................................................................47
Hình 17. Remote Access Community Properties ..........................................................48
Hình 18. Remote Access Rule.......................................................................................48
Hình 19. Server Address................................................................................................50
Hình 20. Authentication Method...................................................................................50
Hình 21. Connectivity Settings......................................................................................51
Hình 22. Advanced Settings ..........................................................................................51
Hình 23. Validate Site ...................................................................................................52
Hình 24. Giao diện kết nối SecureClient.......................................................................52
Hình 25. Tạo Profile ......................................................................................................53
Hình 26. Hoạt động của giao thức LDAP .....................................................................54
Hình 27. Entry ..............................................................................................................54
Hình 28. Kích hoạt Smart Directory..............................................................................57
Hình 29. LDAP Server Properties .................................................................................58
Hình 30. Mô hình mạng cũ............................................................................................60
Hình 31. Mô hình mạng mới .........................................................................................61
Hình 32. Thông tin về hệ điều hành và các gói kích hoạt .............................................63
Hình 33. Cấu hình các cổng của thiết bị........................................................................64
Hình 34. Đặt gateway ....................................................................................................64
Hình 35. Cấu hình Host Name, SNMP .........................................................................65
Hình 36. Smartmap........................................................................................................65
Hình 37. General Properties ..........................................................................................66
Hình 38. Topology.........................................................................................................67
Hình 39. Các luật tường lửa ..........................................................................................68
Hình 40. Protection Overview.......................................................................................69
Hình 41. Remote Access ...............................................................................................69
9
Hình 42. Remote Access Community Properties ..........................................................70
Hình 43. VPN Basic ......................................................................................................71
Hình 44. VPN - IKE ......................................................................................................71
Hình 45. VPN – IPSEC .................................................................................................72
Hình 46. VPN NAT.......................................................................................................72
Hình 47. Tạo Host Node................................................................................................73
Hình 48. Thẻ General ....................................................................................................73
Hình 49. LDAP Server Properties .................................................................................74
Hình 50. Thẻ Server ......................................................................................................74
Hình 51. Thẻ Object Management ................................................................................75
Hình 52. Hiển thị tài khoản LDAP................................................................................75
Hình 53. LDAP Group ..................................................................................................76
Hình 54. Luật Remote Access .......................................................................................76
Hình 55. Chọn Visitor Mode .........................................................................................77
Hình 56. Màn hình đăng nhập .......................................................................................78
Hình 57. Thiết lập kết nối..............................................................................................78
Hình 58. Xác thực tài khoản..........................................................................................78
Hình 59. Kết nối thành công..........................................................................................79
Hình 60. Kiểm tra địa chỉ ..............................................................................................79
Hình 61. Kiểm tra bảng định tuyến ...............................................................................80
Hình 62. SmartView Tracker - Log...............................................................................81
Hình 63. Record Detail..................................................................................................81
Hình 64. SmartView Tracker – Active..........................................................................82
Hình 65. SmartView Tracker - Audit ............................................................................83
Hình 66. SmartView Monitor........................................................................................84
Hình 67. SmartView Monitor - System.........................................................................85
Hình 68. SmartView Monitor – Remote User...............................................................85
Hình 69. Mô hình logic hệ thống mạng VNUnet……………………………………..69
Hình 70. Mô hình logic hệ thống mạng CTnet……………………………………......94
10
DANH SÁCH BẢNG
Bảng 1. Các tham biến của Boot Manager ....................................................................15
Bảng 2. Các bộ lọc mặc định.........................................................................................28
11
ĐẶT VẤN ĐỀ
ĐHQGHN là một tổ chức đại học quy mô trung bình bao gồm nhiều đơn vị thành
viên và trực thuộc, với nhiều campus phân bố trên diện tích khá rộng trong nội thành
thủ đô Hà Nội.
Trong quá khứ, VNUnet được xây dựng theo hướng tập hợp các mạng LAN sẵn
có của các đơn vị thành viên và trực thuộc nên cơ sở hạ tầng truyền thông thuộc quyền
quản lý của VNUnet chỉ bao gồm các đường cáp kết nối từ điểm trung tâm tại E3, 144
Xuân Thuỷ đến các điểm tập trung của các LAN thành viên (theo chuẩn Ethernet
100/1000 Mbps), các đường kết nối ra môi trường bên ngoài và các thiết bị ghép nối
tập trung. Hệ thống LAN trong mỗi đơn vị thuộc quyền quản lý của chính đơn vị đó.
Sự ổn định, an toàn, an ninh của VNunet chịu ảnh hưởng trực tiếp từ các mạng
thành viên. Hiệu quả khai thác cài tài nguyên, dịch vụ của VNUnet cũng được xác
định từ chính những người dùng cuối trong các mạng thành viên.
Hệ thống mạng hiện tại mới chỉ chủ yếu cung cấp tạm thời các đường truyền theo
mô hình mạng phẳng, không phân cấp, không có các giải pháp đảm bảo an ninh và
quản trị và chỉ có thể cung cấp một số dịch vụ mạng hiệu quả hạn chế, không thể đáp
ứng nhu cầu nghiên cứu, đào tạo hiện tại của Trường.
Kế hoạch chiến lược phát triển của ĐHQGHN là phấn đấu đến năm 2020 trở
thành đại học theo định hướng nghiên cứu, đa ngành đa lĩnh vực ngang tầm các đại
học tiên tiến trong khu vực Châu Á; một số lĩnh vực và nhiều ngành, chuyên ngành đạt
trình độ quốc tế.
Trong giai đoạn phát triển mới ĐHQGHN đã xác định ưu tiên đầu tư phát triển
VNUnet hiện đại, đồng bộ, đi trước một bước, với vai trò là một trong những công cụ
hỗ trợ công nghệ cao, phục vụ mục tiêu phát triển ĐHQGHN đạt tầm các đại học tiên
tiến trong khu vực châu Á, trong tất cả các phạm vi hoạt động quản lý, nghiên cứu
khoa học và đào tạo.
Để khắc phục các hạn chế của hệ thống mạng hiện tại và đáp ứng mục tiêu phát
triển hệ thống mạng VNUnet, đề án phát triển mạng VNUnet đã đưa ra các mục tiêu
cần phát triển. Hai trong số các mục tiêu đó là:
- Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động
thông suốt, ổn định, hiệu quả.
12
- Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống
truy cập trái phép.
Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công
nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết. Trong đó công việc quản
trị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng
đầu. Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển Đại học quốc
gia Hà Nội.
13
CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK
POINT VÀ HỆ ĐIỀU HÀNH IPSO
1.1. Giải pháp Nokia Check Point
Hình 1. Nokia IP1220 Platform
Nokia IP1220 là một trong một loạt sản phẩm Nokia IP, dòng thiết bị phần cứng
chuyên cung cấp các giải pháp mạnh mẽ và chuyên dụng về tường lửa/VPN cũng như
tích hợp được rất nhiều tính năng được kỳ vọng khác.
Nokia IP1220 giống như một tấm lá chắn bảo vệ hệ thống mạng bên trong, ngăn
chặn các lưu thông bất hợp pháp vào bên trong mạng, kiểm soát tất cả các gói tin đi
qua, thiết lập các chính sách phù hợp với yêu cầu đối với tất cả các đối tượng cả bên
trong và bên ngoài mạng. Thiết bị sẽ đóng vai trò lớp rào cản ban đầu vững chắc cho
các hệ thống quan trọng như hệ thống Server, Data Center... Ngoài ra nó còn có thể
đóng vai trò của một VPN gateway, cung cấp giải pháp mạng riêng ảo cho mạng, có
khả năng tích hợp với các hệ thống cung cấp dịch vụ thư mục để quản lý các tài khoản
người dùng. Trong bối cảnh hệ thống mạng hiện tại của trường Đại học Công Nghệ
chưa có một thiết bị tường lửa và VPN thực sự chuyên dụng thì Nokia IP1220 là một
sự bổ sung rất chính xác và hợp lý.
1.2. Tổng quan Nokia Check Point [4]
Hệ điều hành dùng trong các sản phẩm Nokia IP có tên gọi là IPSO.
14
1.2.1.Hệ điều hành IPSO
Hệ điều hành IPSO là lõi của nền tảng Nokia IP Security. Nó là một hệ điều hành
bảo mật và thu gọn dựa trên nền tảng UNIX có thể chạy hiệu quả trên các thiết bị phần
cứng nhỏ hơn. IPSO ban đầu là một nhánh của hệ điều hành FreeBSD 2.2.6 và đã
được thay đổi đáng kể qua nhiều năm nên có thể xem nó như một họ hàng xa của
FreeBSD. Và dần dần, nó trở thành hệ điều hành thích ứng với các ứng dụng như bộ
sản phẩm Check Point VPN-1/Firewall-1 và phần mềm ISS RealSecure Network
Intrusion Detection Sensor.
Nhiều câu lệnh UNIX vẫn hoạt động bình thường trong giao diện dòng lệnh
(CLI) của IPSO. Tuy nhiên chỉ có rất ít các thao tác quản trị sử dụng bộ lệnh UNIX
chuẩn. Thay vào đó, IPSO cung cấp hai tiện ích biên soạn dòng lệnh mạnh mẽ là ipsctl
và Command Line Interface Shell (CLISH). Lệnh ipsctl được sử dụng như một công
cụ xử lý sự cố, còn CLISH được dùng để cấu hình tất cả các thiết lập cho HĐH IPSO.
Mặc dù có thể cấu hình IPSO trực tiếp từ CLI, nhưng giống như hầu hết các hệ
điều hành mạng khác, người dùng cũng được cung cấp một lựa chọn khác đó là cấu
hình qua giao diện web. Nokia Network Voyager cho phép cấu hình thiết bị Nokia IP
qua trình duyệt web. Nokia Network Voyager có thể dùng để cài đặt và theo dõi trong
suốt quá trình hoạt động của thiết bị.
Để thiết lập cấu hình cho IPSO, người dùng có thể truy cập trực tiếp tới thiết bị
qua cổng Console. Ngoài ra, người dùng có thể truy cập từ xa tới thiết bị bằng cách sử
dụng Telnet, FTP, SSH hoặc HTTP/HTTPS.
1.2.2.Cài đặt HĐH IPSO và cấu hình ban đầu
Kết nối tới cổng Console của thiết bị. Có thể sử dụng một số phần mềm terminal
emulator như HyperTerminal, SecureCRT… Thiết lập cấu hình cho terminal emulator
như sau:
• Bits/second (BPS): 9600
• Data bits: 8
• Parity: None
• Stop bits: 1
• Flow control: None
• Terminal emulation: Auto, VT100, hoặc VT102
15
1.2.2.1.Boot Manager
Chương trình Boot Manager chạy khi hệ thống khởi động, trước khi nhân IPSO
được đưa vào bộ nhớ. Boot Manager được đặt ở trong đĩa cứng hoặc bộ nhớ flash tùy
theo từng phiên bản của thiết bị. Nếu không bị ngắt, Boot Manager sẽ khởi động hệ
thống với nhân mặc định, còn nếu bị ngắt thì giao diện dòng lệnh sẽ được hiển thị. Chế
độ này thường dùng cho mục đích quản trị: bảo trì hệ thống hoặc cài đặt lại các hệ điều
hành.
Để khởi động chương trình Boot Manager trước hết phải khởi động thiết bị. Sau
khi hoàn thành quá trình kiểm tra bộ nhớ, thiết bị sẽ hiển thị ra hai lựa chọn, một là
Boot Manager (1 Bootmgr) và hai là IPSO (2 IPSO). Lựa chọn 2 để bắt đầu khởi động
vào hệ điều hành IPSO. Để vào chế độ Boot Manager sử dụng lựa chọn 1.
1 Bootmgr
2 IPSO
Default: 1
Starting bootmgr
Loading boot manager..
Boot manager loaded.
Entering autoboot mode.
Type any character to enter command mode.
BOOTMGR[1]>
Bảng dưới đây liệt kê các tham biến của Boot Manager mà người dùng có thể
định nghĩa.
Bảng 1. Các tham biến của Boot Manager
Tên
tham biến Ý nghĩa Giá trị mặc định
autoboot Đợi quá trình bootwait hay không Có
boot-device Nơi nạp file boot Wd0
boot-file Đường dẫn tới image của nhân /image/current/kernel
boot-flags Cờ để truyền tới nhân -x
-x Không nhận đĩa flash làm wd0 N/A
-d Vào bộ sửa lỗi nhân ngay khi khởi động N/A
-s
Chế độ đơn người dùng. Có thể yêu cầu mật
khẩu admin nếu đánh dấu “insecure” trong
/etc/ttys
N/A
-v Chế độ hiển thị chi tiết N/A
bootwait Thời gian đợi truy cập boot manager trước khi vào hệ điều hành 5 giây
16
Chú ý: Nếu chọn No cho tùy chọn autoboot, thiết bị sẽ không hiển thị menu nhắc truy
cập vào Boot Manager trong khi khởi động. Trong trường hợp đó, cần vào lệnh boot từ
kết nối console và khởi động thiết bị.
Các lệnh sử dụng trong chế độ Boot Manager:
- printenv: in tất cả các biến và giá trị của nó lên màn hình.
- showalias: hiển thị tất cả các alias trong bộ nhớ.
- sysinfo: hiển thị CPU, bộ nhớ và thông tin thiết bị.
- ls: hiển thị nội dung của một thư mục đưa ra bởi đường dẫn trên thiết bị. Ví
dụ: ls wdo /image/current hiển thị nội dung của thư mục hoạt động hiện tại.
- setenv: sử dụng để thiết lập biến môi trường. Cú pháp là setenv tên giá trị. Ví
dụ: setenv bootwait 10.
- unsetenv: ngược lại của setenv.
- set-default: gán giá trị mặc định cho tất cả các biến môi trường.
- setalias: thiết lập các alias, cú pháp là setalias .
- showalias: hiển thị danh sách các alias hiện tại đã định nghĩa.
- unsetalias: hủy bỏ alias.
- halt: tạm dừng hệ thống, đây là cách an toàn nhất để tắt thiết bị Nokia.
- help: hiển thị trợ giúp cho các lệnh trong Boot Manager.
- boot: khởi động hệ thống bằng tay. Cho phép chỉ định khởi động từ thiết bị
nào, với một image nhân cụ thể, sử dụng các cờ nhân. Lệnh này được sử dụng
để khôi phục lại hệ thống khi bị lỗi.
- install: chạy tiến trình cài đặt.
- passwd:thiết lập mật khẩu cài đặt (khi chạy lệnh install).
1.2.2.2.Cài đặt IPSO
Các bước cấu hình gồm:
- Khởi động thiết bị và vào chế độ Boot Manager
- Khởi động tiến trình cài đặt
- Lựa chọn các câu trả lời khi được hỏi
- Khởi động lại thiết bị khi việc cài đặt ban đầu hoàn tất
17
- Tiếp tục với cấu hình ban đầu của thiết bị
Khởi động thiết bị để vào chế độ Boot Manager bằng cách sử dụng tùy chọn 1
(như hướng dẫn trong phần Boot Manager).
Để khởi động tiến trình cài đặt, tại dấu nhắc BOOTMGR[1]> gõ lệnh install
BOOTMGR[1]> install
Một cảnh báo hiện ra cho biết người dùng sẽ phải nhập các thông tin như địa chỉ
IP máy khách, netmask, số serial hệ thống… trong suốt quá trình cài đặt và nếu tiếp
tục cài đặt tất cả các tệp và dữ liệu tồn tại trên đĩa sẽ bị xóa. Để tiếp tục, nhập vào lựa
chọn y.
################### IPSO Full Installation ####################
You will need to supply the following information:
Client IP address/netmask, FTP server IP address and flename,
system serial number, and other license information.
This process will DESTROY any existing fles and data on your disk.
#################################################################
Continue? (y/n) [n] y
Bước tiếp theo là nhập số serial của thiết bị. Số serial thường được ghi ở phía
sau của thiết bị.
Motherboard serial number is NONE.
The chassis serial number can be found on a
sticker on the back of the unit with the letters
S/N in front of the serial number.
Please enter the serial number: 12345678
Please answer the following licensing questions.
Người dùng được hỏi là có sử dụng các giao thức định tuyến IRGP và BGP
không. Để sử dụng các giao thức này cần phải mua licence. Việc lựa chọn hay không
là tùy thuộc vào từng yêu cầu cụ thể.
Will this node be using IGRP ? [y] n
Will this node be using BGP ? [y] n
Để cài đặt, thiết bị phải tải image của IPSO từ một máy chủ FPT. Tùy vào cấu
hình của máy chủ FPT người dùng có thể chọn cài đặt từ một máy chủ anonymous
FTP, hoặc từ một máy chủ FPT yêu cầu username và password. Tiếp đó người dùng
phải nhập địa chỉ ip cho thiết bị Nokia IP, địa chỉ IP của máy chủ FTP, và nhập default
gateway cho thiết bị
1. Install from anonymous FTP server.
18
2. Install from FTP server with user and password.
Choose an installation method (1-2): 1
Enter IP address of this client (10.3.2.5/24): 192.168.200.10/24
Enter IP address of FTP server (0.0.0.0): 192.168.200.50
Enter IP address of the default gateway (0.0.0.0): 192.168.200.1
Sau đó, chọn cổng và nhập địa chỉ ip, subnet mask cho cổng sử dụng để kết nối
với máy chủ FTP.
Choose an interface from the following list:
1) eth1
2) eth2
3) eth3
4) eth4
Enter a number [1-4]: 4
Choose interface speed from the following list:
1) 10 Mbit/sec
2) 100 Mbit/sec
Enter a number [1-2]: 2
Chọn chế độ duplex cho cổng.
Half or full duplex? [h/f] [h] f
Sau khi cấu hình cổng xong, người dùng phải cung cấp đường dẫn và tên của gói
cài đặt IPSO trên máy chủ FTP. Nhập kí tự / nếu gói nằm tại thư mục gốc.
Enter path to ipso image on FTP server [/]: /
Enter ipso image flename on FTP server [ipso.tgz]: ipso.tgz
Hệ thống sẽ hỏi người dùng có muốn nhận thêm các gói khác trên máy chủ FTP
không, và lựa chọn cách thức nhận các gói. Nếu chỉ cần cài đặt IPSO thì sử dụng lựa
chọn 3.
1. Retrieve all valid packages, with no further prompting.
2. Retrieve packages one-by-one, prompting for each.
3. Retrieve no packages.
Enter choice [1-3] [1]: 3
Cuối cùng màn hình sẽ hiển thị các cấu hình vừa mới thực hiện để người dùng
kiểm tra và xác nhận. Nhập y để bắt đầu cài đặt.
Client IP address=192.168.200.10/24
Server IP address=192.168.200.50
Default gateway IP address=192.168.200.1
Network Interface=eth1, speed=100M, full-duplex
Server download path=[//]
Package install type=none
Mirror set creation=no
Are these values correct? [y] y
19
Nếu thiết bị kết nối thành công đến máy chủ FTP và tìm được gói cài đặt IPSO.
Các thông báo về trạng thái các bước cài đặt được hiển thị.
Downloading compressed tarfle(s) from 192.168.200.50
Hash mark printing on (1048576 bytes/hash mark).
Interactive mode off.
100% 36760 KB 00:00 ETA
Checking validity of image. . .done.
Installing image. . .done.
Image version tag: IPSO-4.2-BUILD069-10.27.2007-035617-1515.
Checking if bootmgr upgrade is needed. . .
Need to upgrade bootmgr. Proceeding..
Upgrading bootmgr. . .
new bootmgr size is 2097152
old bootmgr size is 1474560
Saving old bootmgr.
Installing new bootmgr.
Verifying installation of bootmgr.
Khi cài đặt xong, hệ thống sẽ gửi thông báo Installation completes cho người
dùng, và yêu cầu gõ Enter để khởi động lại thiết bị.
Installation completed.
Reset system or hit to reboot.
Sau khi cài đặt xong hệ điều hành IPSO, người dùng phải thực hiện một số cấu
hình cho lần khởi động đầu tiên.
1.2.2.3.Cài đặt ban đầu
Có thể sử dụng DHCP để cung cấp hostname, địa chỉ IP và gateway cho thiết bị.
Tuy nhiên, người dùng thường sử dụng phương pháp cấu hình bằng tay qua kết
nối console. Đầu tiên sau khi khởi động lên, màn hình sẽ hiện lên yêu cầu nhập
hostname cho thiết bị, và yêu cầu xác nhận lại.
Please choose the host name for this system. This name will be
used in messages and usually corresponds with one of the network
hostnames for the system. Note that only letters, numbers, dashes,
and dots (.) are permitted in a hostname.
Hostname? pint
Hostname set to “pint”, OK? [y] y
Nhập mật khẩu cho tài khoản admin dùng để xác thực khi truy cập vào chế độ
CLI hoặc vào giao diện web Nokia Network Voyager.
Please enter password for user admin: notpassword
Please re-enter password for confrmation: notpassword
20
Sau khi cấu hình xong hostname và mật khẩu admin cho thiết bị, người dùng
được hỏi là có muốn sử dụng Nokia Network Voyager để cấu hình cho thiết bị hay chỉ
sử dụng giao diện dòng lệnh CLI.
You can confgure your system in two ways:
1) confgure an interface and use our Web-based Voyager via a
remote browser
2) confgure an interface by using the CLI
Please enter a choice [ 1-2, q ]: 1
Chọn cổng sử dụng để cấu hình thiết bị và nhập vào địa chỉ IP, subnet mask cho
cổng vừa chọn.
Select an interface from the following for confguration:
1) eth1
2) eth2
3) eth3
4) eth4
5) quit this menu
Enter choice [1-11]: 4
Enter the IP address to be used for eth4: 192.168.200.10
Enter the masklength: 24
Cấu hình default gateway cho thiết bị.
Do you wish to set the default route [ y ] ? y
Enter the default router to use with eth4: 192.168.200.1
Mặc định cổng được cấu hình chế độ full duplex và tốc độ 1000 mbs. Hệ thống
sẽ hỏi người dùng có muốn giữ cấu hình này hay muốn thay đổi.
This interface is configured as 1000 mbs by default.
Do you wish to configure this interface for other speeds [ n ] ? n
Sau đó màn hình sẽ hiển thị lại các cấu hình vừa thiết lập để người dùng kiểm tra
và xác nhận lại. Nhập y để chấp nhận.
You have entered the following parameters for the eth4 interface:
IP address: 192.168.200.10
masklength: 24
Default route: 192.168.200.1
Speed: 1000M
Duplex: full
Is this information correct [ y ] ? y
Cũng có thể cấu hình vlan cho cổng đã chọn. Thông thường lựa chọn là n.
Do you want to configure Vlan for this interface[ n ] ? n
You may now confgure your interfaces with the Web-based Voyager by
typing in the IP address “192.168.200.10” at a remote browser.
21
Bắt đầu từ thời điểm này, người dùng có thể kết nối tới thiết bị Nokia sử dụng
giao diện web Nokia Network Voyager từ trình duyệt
Tùy chọn cuối cùng trong lần cấu hình đầu tiên này đó là thay đổi chuỗi SNMP
comminity mặc định. Việc thay đổi này tùy thuộc vào yêu cầu thực tế.
Do you want to change SNMP Community string [ n ] ? n
Nếu thiết bị được đặt ở xa, người dùng phải sử dụng Telnet hoặc SSH để kết nối
đến và cấu hình cho thiết bị. Mặc định chỉ có SSH được bật. Nếu muốn sử dụng
Telnet, người dùng có thể kích hoạt bằng cách thực hiện các lệnh sau (ở giao diện
dòng lệnh CLI).
pint[admin]# clish
NokiaIP1220:9> set net-access telnet yes
NokiaIP1220:10> save confg
NokiaIP1220:11> quit
Cũng có thể kích hoạt dịch vụ Telnet dễ dàng bằng cách sử dụng giao diện web
Nokia Network Voyager.
22
CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 [6]
2.1. Giới thiệu
Sau khi cài đặt IPSO cho Nokia IP1220, thiết bị đã có một nền tảng để chạy
tường lửa, VPN hay các ứng dụng khác. Bước tiếp theo, người dùng phải cài gói ứng
dụng tường lửa, VPN lên thiết bị. Để làm điều này, có thể sử dụng ứng dụng Check
Point NGX R62.
Ứng dụng Check Point NGX R62 gồm các sản phẩm quản lý, sản phẩm gateway,
và phần mềm máy khách. Trong đó sản phẩm Check Point Power và Check Point
UTM là quan trọng nhất. Chúng gồm có ba thành phần chính sau:
- Enforcement module: là các module VPN-1 Power hoặc VPN-1 UTM.
- Management server: SmartCenter server lưu giữ cơ sở dữ liệu về các định
nghĩa đối tượng, định nghĩa người dùng, các chính sách và các tệp log.
- SmartConsole: chứa các ứng dụng GUI để quản lý các khía cạnh khác nhau
của chính sách an ninh. SmartConsole chứa SmartDashboard, một ứng dụng
cho người quản trị dùng để định nghĩa các đối tượng mạng, người dùng và
các chính sách.
Chúng ta sẽ triển khai SmartCenter server và Enforcement module trên thiết bị
còn SmartConsole sẽ được triển khai trên các máy chạy HĐH Microsoft Windows.
Cách triển khai này được gọi là triển khai độc lập.
Để chạy NGX R62, phải có hệ điều hành Nokia IPSO 3.9, 4.1 hoặc 4.2 ( phiên
bản HĐH IPSO có thể xem trong Nokia Network Voyager). Người dùng cũng cần
kiểm tra xem ứng dụng Check Point đã được cài trên thiết bị chưa (xem trang Manage
Packages của Nokia Network Voyager). Nếu đã cài đặt rồi thì có thể chuyển sang phần
cấu hình.
2.2. Cài đặt package
Trước hết cần tải NGX R62 về từ website Check Point (địa chỉ
Các gói cài đặt cần tải gồm có:
- R62 wrapper cho Nokia IPSO (IPSO_wrapper_R62.tgz) để cài đặt
enforcement module và SmartCenter server.
23
- SmartConsole R62 (SmartConsole_R62_xxxxxxxxx_x_Win.zip).
2.2.1.Cài đặt gói wrapper
Để cài đặt gói wrapper người dùng có thể sử dụng giao diện dòng lệnh CLI hoặc
sử dụng Nokia Network Voyager.
2.2.1.1.Cài đặt với CLI
Sao chép gói wrapper vào thư mục /opt/packages (sử dụng lệnh scp hoặc phần
mềm WinSCP).
Gõ lệnh newpkg –i. Xuất hiện các tùy chọn sau:
1. Install from CD-ROM.
2. Install from anonymous FTP server.
3. Install from FTP server with user and password.
4. Install from local filesystem.
5. Exit new package installation.
Chọn lựa chọn số 4. Hệ thống sẽ hỏi về đường dẫn đến gói. Nhập vào
/option/packages rồi nhấn Enter. Chương trình cài đặt sẽ tìm gói Check Point NGX
giải nén các file cần cho quá trình cài đặt. Chương trình sẽ đưa ra bốn lựa chọn: cài
đặt, nâng cấp, bỏ qua, và thoát. Nhập 1 để cài đặt. Sau khi cài đặt xong, người dùng
phải đăng xuất sau đó đăng nhập lại. Việc này để đảm bảo việc thiết lập các biến môi
trường vừa được tạo ra trong quá trình cài đặt. Sau đó người dùng có thể chạy lệnh
cpconfig.
2.2.1.2.Cài đặt với Nokia Network Voyager
Mở trang Install Packages theo đường dẫn Configuration | System Configuration
| Packages | Install Package.
Nhập tên hoặc địa chỉ IP của máy chủ FTP chứa gói wrapper.
Nhập tên thư mục chứa gói wrapper trên máy chủ FTP.
Nhập tên và mật khẩu để kết nối với máy chủ FTP.
Chọn Apply. Một danh sách các tệp hiện ra.
Chọn gói từ danh sách và nhấn Apply.
Sau khi tải xong, gói sẽ xuất hiện trong ô Select a Package to Unpack.
Chọn gói rồi nhấn Apply.
Nhấn tiếp vào liên kết: Click here to install/upgrade /opt/packages/packagename.
Chọn Yes để cài đặt và nhấn Apply.
24
Sau khi cài đặt xong, màn hình sẽ hiện ra liên kết đến trang Manage Installed
Packages. Nhấn vào liên kết để xem các gói đã cài đặt.
Người dùng có thể kích hoạt hoặc vô hiệu hóa một gói bất kỳ trong các gói đã cài
đặt bằng cách vào trang Manage Installed Packages, chọn On để kích hoạt, Off để vô
hiệu hóa.
Chú ý:
Để sử dụng tường lửa, VPN thì gói Check Point VPN-1 Power/UTM phải được
kích hoạt (gói này được kích hoạt mặc định sau khi cài đặt).
2.2.2.Cài đặt SmartConsole NGX R62
SmartConsole là một tập hợp các chương trình máy khách. Gồm có:
- SmartDashboard: dùng bởi quản trị viên hệ thống để định nghĩa và quản lý
các chính sách bảo mật.
- SmartView Tracker: sử dụng để quản lý và theo dõi log và alert thông qua hệ
thống.
- SmartView Moniter: theo dõi và tạo các báo cáo về lưu thông trên các cổng,
các module VPN-1 Power và QoS.
- SmartUpdate: quản lý và lưu trữ license.
- SecureClient Packaging Tool: định nghĩa hồ sơ người dùng cho chương trình
SecuRemote/SecureClient.
- Eventia Reporter: tạo ra các báo cáo về hoạt động của mạng.
- SmartLSM: quản lý số lượng lớn ROBO gateway sử dụng SmartCenter
server.
SmartConsole được cài đặt trên nền tảng Windows. Sau khi tải phần mềm
SmartConsole NGX R62 về, người dùng giải nén và chạy tiến trình cài đặt như đối với
các phần mềm bình thường khác.
25
CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA
3.1. Thiết lập cấu hình ban đầu
Trước khi có thể thiết lập cấu hình tường lửa, NAT, VPN…, người dùng cần phải
cấu hình module VPN-1 Power hoặc VPN-1 UTM bằng lệnh cpconfig. Quá trình cấu
hình cpconfig diễn ra như sau.
Kết nối qua cổng Console hoặc kết nối từ xa tới thiết bị. Gõ lệnh cpconfig. Màn
hình hiện ra văn bản licence. Nhấn phím Spacebar để cuộn màn hình xuống cuối cùng
rồi nhập y để tiếp tục.
cpngx[admin]# cpconfig
Welcome to Check Point Configuration Program
=========================================================
Please read the following license agreement.
Tiếp theo màn hình hiện ra hai tùy chọn cài đặt. Chọn tùy chọn 1 (có thể chọn
khác tùy theo yêu cầu người dùng).
(1) Check Point Power.
(2) Check Point UTM.
Enter your selection (1-2/a-abort) [1]: 1
Chọn loại cài đặt là độc lập hay phân tán.
Select installation type:
-------------------------
(1) Stand Alone - install VPN-1 Pro Gateway and SmartCenter
Enterprise.
(2) Distributed - install VPN-1 Pro Gateway, SmartCenter and/or
Log Server.
Enter your selection (1-2/a-abort) [1]: 1
Check Point sẽ hỏi người dùng có muốn thêm license không. Chọn y để thêm
licence, chọn n để tiếp tục cấu hình còn license có thể được thêm vào sau.
Bước tiếp theo là thêm một tài khoản quản trị. Tài khoản này dùng để đăng nhập
vào SmartCenter Server.
Do you want to add an administrator (y/n) [y] ?
Administrator name: peter
Password:
Verify Password:
Administrator peter was added successfully and has
Read/Write Permission for all products with Permission to Manage
Administrators
26
Sau đó, người dùng phải xác định máy khách SmartConsole nào được phép truy
cập tới SmartCenter Server. Nhập xong nhấn tổ hợp phím Ctrl + D để tiếp tục.
Do you want to add a GUI Client (y/n) [y] ?
You can add GUI Clients using any of the following formats:
1. IP address.
2. Machine name.
3. “Any” - Any IP without restriction.
4. IP/Netmask - A range of addresses, for example
192.168.10.0/255.255.25
5. A range of addresses - for example 192.168.10.8-192.168.10.16
6. Wild cards (IP only) - for example 192.168.10.*
Please enter the list of hosts that will be GUI Clients.
Enter GUI Client one per line, terminating with CTRL-D or your EOF
character.
Any
10.1.1.0/255.255.255.0
Warning: Every gui client can connect to this SmartCenter Server.
Is this correct (y/n) [y] ? y
Check Point yêu cầu người dùng nhập vào một tên nhóm dùng để xác lập quyền.
Confguring Group Permissions...
================================
Please specify group name [ for super-user group]:
No group permissions will be granted. Is this ok (y/n) [y] ?
Người dùng phải nhập vào một chuỗi ký tự ngẫu nhiên. Chuỗi ký tự này được
dùng để tạo một chứng nhận quyền (Certificate Authority).
Please enter random text containing at least six different
characters. You will see the ‘*’ symbol after keystrokes that
are too fast or too similar to preceding keystrokes. These
keystrokes will be ignored.
Please keep typing until you hear the beep and the bar is full.
[.......................]
Thank you.
Và người dùng sẽ được hỏi là có muốn lưu lại file chứa chuỗi vừa nhập không.
Nếu có thì tiếp tục nhập tên file.
Do you want to save it to a fle? (y/n) [n] ? y
Please enter the fle name [/opt/CPsuite-R61/svn/conf]:
fngerprint.txt
The fngerprint will be saved as /opt/CPsuite-
R61/svn/conf/fngerprint.txt.
Are you sure? (y/n) [n] ? y
The fngerprint was successfully saved.
Sau khi hoàn thành các thiết lập, người dùng phải khởi động lại thiết bị.
In order to complete the installation
27
you must reboot the machine.
Do you want to reboot? (y/n) [y] ? y
Người dùng có thể sửa lại các cấu hình đã thiết lập bất cứ lúc nào bằng cách sử
dụng lệnh cpconfig. Khác với lần cấu hình đầu tiên, trong các lần cấu hình cpconfig
sau người dùng sẽ nhận được một danh sách các lựa chọn giúp cho việc cấu hình trở
nên linh hoạt hơn.
cpngx[admin]# cpconfg
This program will let you re-confgure
your Check Point products confguration
Confguration Options:
----------------------
(1) Licenses
(2) Administrator
(3) GUI Clients
(4) SNMP Extension
(5) Group Permissions
(6) PKCS#11 Token
(7) Random Pool
(8) Certifcate Authority
(9) Certifcate’s Fingerprint
(10) Enable Check Point SecureXL
(11) Automatic start of Check Point Products
(12) Exit
Enter your choice (1-12):
3.2. Chính sách tường lửa mặc định
Sau khi sử dụng cpconfig để cấu hình module VPN-1 hoặc VPN-1 UTM và khởi
động lại thiết bị, hệ điều hành sẽ nạp một chính sách tường lửa mặc định. Chính sách
này được nạp vào nhân trước khi các cổng của thiết bị được cấu hình xong. Điều này
đảm bảo rằng cả trong quá trình boot của thiết bị, mạng vẫn được bảo vệ. Chính sách
này sử dụng một bộ lọc để ngăn cản tất cả các truy cập vào mạng bên trong (mạng nằm
phía sau thiết bị). Người dùng không thể sử dụng kết nối từ xa hoặc dùng Nokia
Network Voyager để cấu hình thiết bị mà chỉ có máy khách SmartConsole là được
phép truy cập vào thiết bị qua management server.
Để thiết đặt lại quyền truy cập từ xa hoặc truy cập qua giao diện web có thể sử
dụng một trong các cách sau:
- Sử dụng SmartDashboard để tạo và cài đặt một chính sách cho phép kết nối từ
xa vào thiết bị (khi SmartDashboard cũng không kết nối được thì phải dùng lệnh fw
unloadlocal).
28
- Kết nối console qua cổng COM, thực hiện lệnh cpstop. Lệnh này dùng để tạm
dừng dịch vụ tường lửa. Sau đó người dùng có thể kết nối từ xa vào thiết bị để thực
hiện các thao tác quản trị; khi thực hiện xong thì khởi động lại dịch vụ bằng lệnh
cpstart.
- Gỡ bỏ chính sách mặc định bằng lệnh fw unloadlocal hoặc fw unload localhost
(tùy thuộc từng version). Kiểm tra chính sách đang được nạp bằng lệnh fw stat.
gatekeeper[admin]# fw stat
HOST POLICY DATE
localhost InitialPolicy 25Sep2002 23:02:21 : [>eth-s3p1c0]
- Trước khi chạy lệnh cpconfig, thay đổi bộ lọc mặc định để cho phép kết nối qua
SSH hoặc HTTPS. Các bộ lọc mặc định được liệt kê trong bảng 2.
Bảng 2. Các bộ lọc mặc định
Bộ lọc Mô tả
defaultfilter.boot Cho phép lưu thông ra bên ngoài (xuất phát từ tường lửa).
defaultfilter.dag Cho phép lưu thông ra bên ngoài, lưu thông broadcast và
DHCP.
defaultfilter.drop Loại bỏ tất cả lưu thông vào trong hoặc ra ngoài gateway.
defaultfilter.ipso Cho phép tất cả các lưu thông ra bên ngoài và các lưu
thông SSH, HTTPS, ICMP vào trong.
defaultfilter.ipso_ssh Cho phép tất cả các lưu thông ra bên ngoài và các lưu
thông SSH, ICMP vào trong.
defaultfilter.ipso_ssl Cho phép tất cả các lưu thông ra bên ngoài và các lưu
thông HTTPS, ICMP vào trong
Ví dụ: Để thay đổi bộ lọc mặc định sang defaultfilter.ipso sử dụng các lệnh sau:
cp $FWDIR/lib/defaultfilter.ipso $FWDIR/conf/defaultfilter.pf
fw defaultgen
cp $FWDIR/state/default.bin $FWDIR/boot
Dưới đây là một số lệnh có thể dùng để điều khiển các thiết lập:
- fwstop –default: tắt tất cả tiến trình tường lửa và nạp luật mặc định.
29
- fwstop –proc: dừng tất cả các tiến trình nhưng vẫn giữ luật hiện tại
trong nhân.
- fwstart –f: khởi động dịch vụ FW-1.
- control_bootsec –r: gỡ bỏ chế độ an ninh lúc khởi động.
- control_bootsec –g: kích hoạt chế độ an ninh lúc khởi động.
- fwboot bootconf: thiết lập IP forwarding và cấu hình bộ lọc mặc định.
- comp_init_policy –u: vô hiệu hóa luật mặc định.
- comp_init_policy –g: kích hoạt luật mặc định.
3.3. Thiết lập các luật tường lửa qua SmartDashboard
SmartDashboard là công cụ cho phép quản trị thiết bị một cách tập trung khi có
nhiều thiết bị an ninh cùng được triển khai trên hệ thống. Nó sử dụng CA được tạo ra
lúc cấu hình cpconfig để xác thực với checkpoint.
Sau khi đăng nhập vào SmartCenter Server bằng SmartDashboard, việc đầu tiên
cần làm là chuyển thiết bị từ chế độ Host sang Gateway bằng cách nhấn chuột phải vào
biểu tượng thiết bị trong mục Network Object – Check Point ở cây thư mục bên trái và
chọn Convert to Gateway. Sau đó người dùng có thể thiết lập, cài đặt các luật tường
lửa và các thực hiện các thiết lập khác như NAT hay VPN cho mạng.
Các luật tường lửa được hiển thị và thiết lập trong tab đầu tiên: Security.
30
Hình 2. SmartDashboard – Security
Một luật gồm có các trường: địa chỉ nguồn, địa chỉ đích, các dịch vụ (giao thức),
hành động áp dụng lên các gói tin thõa mãn luật và cách thức ghi nhớ (log hoặc track).
Các luật được xét theo thứ tự từ trên xuống dưới, nếu một gói tin thỏa mãn điều
kiện của luật trên thì nó sẽ được thực hiện theo action đã định sẵn ở luật đó và không
tiếp tục được xét đến ở các luật phía dưới.
Tạo một luật tường lửa bằng cách vào menu Rules chọn Add Rule | Top. Một
luật mặc định được thêm vào trên cùng của danh sách luật; bất cứ gói tin dùng địa chỉ
nguồn, đích nào hoặc sử dụng bất cứ dịch vụ nào cũng đều bị drop mà không được hệ
thống ghi lại. Người dùng chỉ cần nhấn chuột phải lên một trường để thay đổi nó theo
yêu cầu.
Sau khi thiết lập xong các luật, để áp dụng các luật đó lên hệ thống cần phải cài
đặt (install) các luật bằng cách mở menu Policy, chọn Install. Nếu quá trình cài đặt bị
lỗi thì hệ thống sẽ đưa ra báo lỗi cùng các thông tin cần thiết cho người dùng.
31
Hình 3. Thực thi cài đặt
Ngoài giao diện đồ họa SmartDashboard, để tối ưu điều khiển hệ thống tường
lửa, người dùng cần biết một số câu lệnh sau đây (các lệnh này sử dụng trong môi
trường console hoặc remote).
- cpstop: tạm dừng toàn bộ các sản phẩm của Checkpoint và SVN
Foundation.
- cpstart: khởi động toàn bộ các sản phẩm của Checkpoint và SVN
Foundation.
- cplic print: in ra licenses đã cài đặt.
- cplic put: thêm license.
32
CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT
4.1. Ẩn giấu đối tượng mạng
Với sự phát triển mạnh mẽ của mạng Internet ngày nay, số lượng địa chỉ IPv4
ngày càng trở nên khan hiếm. Một trong những cách khá dễ dàng để khắc phục tình
trạng khan hiếm địa chỉ IPv4 đó là sử dụng NAT. Chức năng Hide-mode NAT cho
phép ẩn một dải địa chỉ sau một địa chỉ IP có khả năng định tuyến ra ngoài mạng.
Ngoài ra, CheckPoint còn hỗ trợ tính năng Static NAT, tính năng này sẽ chuyển một
địa chỉ ở dải trong thành một địa chỉ dải ngoài, tác dụng của nó là cho phép thiết bị có
thể truy cập được từ cả bên trong mạng và ngoài Internet.
Một lợi ích nữa của hide-mode NAT là nó giúp các thiết bị trong mạng ít có khả
năng bị tấn công hơn. Mặc dù các thiết bị là ẩn so với bên ngoài, chúng vẫn có thể hoạt
động trên Internet bình thường do cơ chế chuyển dịch cả địa chỉ cổng nguồn và đích
của FW-1. Tường lửa sẽ duy trì một bảng dịch chuyển, và nó sẽ biết được máy nào cần
kết nối từ cổng nguồn trong bảng này.
Chú ý là cần có license để có thể hỗ trợ nhiều máy trạm bằng cơ chế DHCP trước
khi NAT. Và để cho các máy trạm có thể kết nối tới các thiết bị khác, cần bật tính
năng IP forwarding trong tường lửa. Bước tiếp theo là cấu hình NAT tại tab Address
Translation trong Check Point SmartDashboard.
Hình 4. SmartDashboard – Address Translation
Những luật trong tab này có thể được khởi tạo tự động hoặc bằng tay tùy vào
mức độ của mạng. Một luật gồm 2 phần chính sau :
• Original packet
• Translated packet
33
Khi một kết nối tới tường lửa, nó so sánh gói tin cho địa chỉ nguồn, đích và dịch
vụ của gói tin. Nếu đúng với những thông tin đã lưu, tường lửa sẽ chỉnh sửa nguồn
đích và dịch vụ của gói tin dựa trên các luật NAT. Cũng giống như các luật tường lửa,
các luật NAT cũng được đọc theo thứ tự từ trên xuống dưới. Do đó, nên đặt các luật
thường sử dụng nhất ở bên trên cùng.
Ngoài ra, người dùng cũng nên chú ý rằng tường lửa sẽ cho phép các gói tin có
địa chỉ nguồn và đích sau khi NAT đi qua.
4.2. Cấu hình luật NAT
Việc cấu hình bằng tay các luật NAT cũng giống như cấu hình các luật tường
lửa. Tuy nhiên CheckPoint cho phép cấu hình tự động các luật này khi cần. Để cấu
hình tự động, vào Manage | Network Objects, chọn tab NAT.
Hình 5. Cấu hình luật NAT tự động
Chọn Add Automatic Address Translation Rules. Chọn Hide trong Translation
Mode. Để xác định IP để ẩn trên mạng, gõ địa chỉ vào trong trường Hide behind IP
Address (gõ 0.0.0.0 để tường lửa sử dụng địa chỉ external của nó). Ngoài ra, có thể sử
34
dụng địa chỉ external của gateway bằng cách chọn Hide behind Gateway. Install On
dùng để xác định tường lửa mà người dùng muốn áp dụng luật NAT này. Chọn All để
áp dụng cho tất cả các tường lửa.
Hình 6. Các luật NAT
Như hình trên thì 2 luật phía trên là luật được tạo ra tự động.
Cấu hình static NAT cũng tương tự như trên, chỉ khác là thay vì một dải địa chỉ,
giờ đây cả nguồn và đích đều là địa chỉ đơn lẻ.
Ngoài ra, ta có thể sử dụng một số tính năng của NAT như NAT 2 chiều hay
NAT MAC, các tùy chọn này có thể được đặt trong Global Properties như trong hình
dưới đây.
Hình 7. Global Properties - NAT
35
CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE [3]
5.1. Giới thiệu về SmartDefense
Tính năng chính của tường lửa là cho phép các truy cập hợp lệ đi qua và loại bỏ
những truy cập không hợp lệ. Trong quá khứ, tường lửa đã hoạt động rất hiệu quả, tuy
nhiên ngày nay rất nhiều lỗ hổng bảo mật trên các ứng dụng mạng có thể bị kẻ xấu
khai thác và lợi dụng. Do đó mô hình “cho phép hoặc loại bỏ” đã không còn được sử
dụng hiệu quả trên các hệ thống bảo mật thành công ngày nay. SmartDefense, một
trong những thành phần chủ chốt trong bộ sản phẩm Check Point, là một giải pháp để
giải quyết vấn đề này. Với cơ chế Application Intelligence, nó cho phép những truy
cập hợp pháp tới các tài nguyên mạng trong khi vẫn bảo vệ được tài nguyên khỏi các
tấn công.
Phương thức hoạt động của SmartDefense là giám sát dòng lưu thông mạng qua
tường lửa, so sánh những đặc tính của các gói tin lưu thông với những đặc tính đã xác
định trước của một hành động tấn công. Những hoạt động đáng nghi đều được lưu lại
và được gửi tới người quản trị mạng để họ chuẩn bị các biện pháp chống tấn công.
SmartDefense hỗ trợ phát hiện năm loại tấn công sau: Denial of Service (DoS),
Transmission Control Protocol/Internet Protocol (TCP/IP), tấn công ứng dụng, dò
cổng và IP, và sâu máy tính.
Với các tấn công ngày càng mới hiện nay, việc sử dụng một danh sách cố định
các thuật toán phòng thủ sẽ không đảm bảo an toàn. Vì vậy SmartDefense cung cấp
một dịch vụ cho phép cập nhật các thuật toán phòng thủ tấn công mới nhất.
SmartDefense có cách thức hoạt động khác so với hệ thống phát hiện thâm nhập.
Nó không cố gắng chống lại các kiểu tấn công mới được phát hiện, thay vào đó nó bảo
vệ mạng khỏi các tấn công bằng cách thực hiện kiểm tra kĩ càng và nghiêm ngặt các
tiêu đề của gói tin cũng như phần dữ liệu của giao thức để ngăn ngừa các dữ liệu nguy
hại xâm nhập vào mạng. Ví dụ, thay vì xem xét danh sách một loạt các kiểu tấn công
có thể sử dụng để tấn công vào máy chủ DNS , SmartDefense sẽ kiểm tra gói tin DNS
xem nó có đúng với chuẩn RFC cho gói tin DNS hay không. Điều này sẽ giúp bảo vệ
chống lại rất nhiều các kiểu khai thác hiện tại và ngay cả trong tương lai mà không cần
phải liên cập nhật các dấu hiệu. Tuy nhiên phương thức này không cho phép bảo vệ
trước mọi cuộc tấn công, vì có nhiều tấn công rất khó phân biệt với dòng dữ liệu hợp
lệ. Một số kiểm tra quá nghiêm ngặt có thể loại bỏ nhầm các gói tin hợp lệ. Vì vậy đòi
36
hỏi ứng dụng phải có sự linh động để cho phép người dùng có thể thay đổi độ nhạy
cảm hoặc thậm chí là tắt bỏ hẳn sự bảo vệ.
Tất cả các tùy chọn của SmartDefense được truy cập trong thẻ SmartDefense của
SmartDashboard.
Tùy chọn đầu tiên là Anti Spoofing Configuration Status cho phép xem chế độ
chống giả mạo đã được kích hoạt chưa. Cần kích hoạt chống giả mạo trên tất cả các
cổng của thiết bị để tránh trường hợp có kẻ giả mạo một IP hợp lệ để tấn công bằng
cách gán cho mỗi cổng một nhãn External hoặc Internal (trong Check Point Gateway |
Topology).
5.2. Network Security
Tính năng Network Security trong SmartDefense đưa ra rất nhiều bảo vệ chống
lại các tấn công mạng, cơ chế hoạt động của nó khác với Application Intelligence (dựa
trên sự nhận dạng gói tin).
5.2.1. Denial of Service
SmartDefense cung cấp khả năng phòng thủ chống lại ba kiểu tấn công DoS. Tấn
công DoS làm cho máy chủ không thể trả lời lại những yêu cầu của người dùng hợp lệ.
Bằng cách phát hiện ra hoạt động tấn công và chống lại kẻ tấn công, người có thể khôi
phục lại tính sẵn sàng của hệ thống.
Ba loại tấn công DoS có thể được phát hiện đó là:
- TearDrop: phát hiện gói tin IP trùng lặp.
- Ping of Death: phát hiện các gói tin ICMP quá kích cỡ.
- LAND: phát hiện các gói tin được bị thay đổi một cách không bình
thường.
5.2.2. IP and ICMP
Phần IP và ICMP cho phép bảo vệ mạng khỏi những điểm yếu ở tầng 3 và tầng 4.
Có một kiểm tra bắt buộc đối với từng gói tin để đảm bảo phần header, kích thước gói
tin và các cờ không có biểu hiện bất thường nào. Tùy chọn Max Ping Size cho phép
người dùng định nghĩa kích thước tối đa của gói tin ICMP để tránh những tấn công lợi
dụng ICMP để làm tắc nghẽn mạng.
37
Người dùng nên kích hoạt tùy chọn cho phép phân mảnh gói tin IP (Allow IP
Fragments) để cho những trường hợp mà kích thước gói tin vượt quá kích cỡ tối đa.
Tuy nhiên điều này nguy hiểm ở chỗ một người có thể giấu thông tin về hoạt động của
anh ta bằng cách phân mảnh các gói tin để SmartDefense không thể nhận ra. Cách giải
quyết đó là đặt giới hạn số gói tin chưa hoàn chỉnh và đặt tỉ lệ loại bỏ những gói tin
không hoàn chỉnh (ví dụ 1gói/1giây).
Phần Network Quota cho phép chống kiểu tấn công DoS bằng cách giới hạn lưu
lượng và số kết nối của từng người dùng. Mặc định 100 kết nối/1 giây là hợp lý, vì
người dùng hợp pháp sẽ không bao giờ đạt được số kết nối đó.
Hình 8. Network Quota
5.2.3. TCP
Giao thức TCP có một số điểm yếu khá lớn, một trong số đó tạo nên kiểu tấn
công SYN.
Timeout for SYN attack identification là khoảng thời gian mà SmartDefense đợi
trước khi coi một gói tin có phải là gói tấn công hay không. Switch to SYN Relay
Defense upon detection of at least… định ra số lượng gói SYN trên timeout nhận được
trước khi chuyển sang chế độ bảo vệ tấn công SYN. Chế độ này làm cho tường lửa trở
38
thành một thiết bị trung gian giữa server và host ngoài nên những gói tin tấn công
không đến được server, tầm khoảng 200 gói tin trên một timeout là một lựa chọn tốt.
Tiếp đó là lựa chọn đưa ra bảo vệ đối với tấn công gói tin có MTU nhỏ. Để
chống tấn công kiểu này, nên đặt kích cỡ gói tin nhỏ nhất (MTU) ít nhất là 350 bytes.
Cuối cùng là lựa chọn kiểm tra thứ tự gói tin. Những gói tin mặc dù của người
dùng hợp lệ nhưng vi phạm thứ tự cũng không được phép vào mạng.
5.2.4. Fingerprint Scrambling
Một máy từ xa có thể thu thập thông tin về máy bên trong mạng dựa trên những
phản hồi của máy đó. Quá trình này gọi là in dấu. Tùy chọn SmartDefense fingerprint-
scrambling giúp ngăn ngừa nguy cơ lộ thông tin cho phía bên kia.
Có 3 loại fingerprint-scrambling là: giả mạo ISN (spoofing), TTL, và IP ID. ISN
spoofing thay đổi thứ tự của bắt tay ba bước để làm cho hệ điều hành không nhận biết
được. TTL, (time to live), xóa bỏ khả năng người bên ngoài nhận biết được khoảng
cách giữa họ và mạng trong. IP ID chỉ dẫn tường lửa gán số hiệu của nó cho mỗi gói
tin IP, do đó làm cho người ngoài không biết được hệ điều hành đang dùng của mình
(vì từ số hiệu gói tin có thể suy ra được hệ điều hành đang sử dụng).
5.2.5. Successive Events
Tính năng này cho ta thấy một số sự kiện có thể là một tấn công mà người dùng
có thể theo dấu được:
- Address spoofing: Một host ngoài lặp lại liên tục rằng nó là một địa chỉ
từ khu vực cho phép truy cập vào mạng.
- Local interface spoofing: Một người dùng ngoài sử dụng địa chỉ hợp
pháp.
- Port scanning: Có người dùng ngoài quét cổng trên mạng.
- Successive alerts: Khi VPN-1/FireWall-1 tạo ra một số lượng cảnh báo
nhát định trong một khoảng thời gian.
- Successive multiple connections: Khi có một lương kết nối nhất định
từ máy ngoài tới máy trong mạng.
5.2.6.Dynamic Ports
Có một số dịch vụ sử dụng những cổng động để truyền tải dữ liệu (ví dụ FTP)…,
tuy nhiên cổng động cũng có thể là một trong những tấn công theo kiểu backdoor.
39
Hình 9. Dynamic Ports
5.3. Application Intelligence
Tính năng này kiểm tra tất cả các dịhc vụ tầng ứng dụng như HTTP, Mail, FTP,
Microsoft Networks, DNS, và VoIP. SmartDefense có khả năng kiểm tra tất cả dữ liệu
trong gói tin và nhận biết được những gói tin đáng nghi.
5.3.1.HTTP Worm Catcher
Một trong những tấn công HTTP phổ biến là HTTP Worm Catcher
40
Hình 10. General HTTP Worm Catcher
Vừa qua, một loạt những sâu độc HTTP đã được lan tràn trên Internet và phá huỷ
tài nguyên của nhiều công ty. Những sâu này lợi dụng những lỗ hổng bảo mật từ cả 2
phía HTTP client và server để lây lan trên những máy trong mạng.
Bộ HTTP Worm Catcher, hoạt động trongVPN-1/FireWall-1, được cấu hình để
nhận dạng những xâu kí tự xác định. Sau khi được xác định, những dữ liệu này có thể
bị huỷ hoặc đánh dấu tùy theo yêu cầu người dùng.
5.3.2.Cross-Site Scripting
Mục này cho phép người dùng cấu hình tường lửa chống lại các tấn công ăn trộm
thông tin bảo mật của người dùng bằng cách sử dụng cookies của Web server hay chạy
những đoạn mã gửi thông tin cá nhân người dùng tới những tổ chức bên ngoài.
Tất cả những phương thức trên đều tạo ra một đoạn mã trên Web server để lưu
lại cookies ngừời dùng hay gửi mẫu thông tin để người dùng điền vào sau đó gửi tới
bên ngoài. Mặc dù Web Server cũng có những bản vá lỗ hổng bảo mật kiểu này nhưng
SmartDefense cũng thêm một sự bảo vệ nữa bằng cách loại trừ những yêu cầu HTTP
POST và URLs mà có mã bên trong.
5.3.3.HTTP Protocol Inspection
Tầng bảo vệ thứ 2 của giao thức HTTP
41
Hình 11. HTTP Protocol Inspection
Hai header của gói yêu cầu và trả lời phải ở dạng kí tự ASCII, vì nếu không sẽ
làm tràn bộ đệm, điều này cũng tương tự như một tấn công kiểu DoS.
HTTP Format Sizes cho phép điều chỉnh những tham số của giao thức HTTP, đạt
độ dài tối đa của URL với mặc định là 2048 bytes sẽ làm giảm khả năng người dùng
vào những URL độc hại và khiến HTTP server ngừng hoạt động (mặc dù các server
HTTP hiện nay đã có bản vá cho lỗi này).
Giới hạn header về độ dài và số, mặc định là 1000 bytes và 500 được sử dụng để
ngăn chặn những kẻ phá hoại gửi lượng lớn HTTP header hay một số HTTP header
lớn tới HTTP server và làm cho server ngừng hoạt động và sau đó từ chối những người
dùng hợp pháp hoặc thậm chí là chiếm lấy quyền điều khiển. Trong trường hợp này,
VPN-1/FireWall-1 loại bỏ tất cả những kết nối nghi ngờ trước khi nó tới được HTTP
server.
Peer-to-Peer Blocking cho phép quản lý người dùng ở các mạng peer to peer hiện
tại như Freenet, Gnuttela (có thể cho phép hay không cho phép sử dụng). Đồng thời
cũng cho phép người dùng thêm mạng ngang hàng mới vào miễn là SmartDefense có
thể quản lý được chúng.
42
5.3.4.File and Print Sharing Worm Catcher
File and Print Sharing Worm Catcher đặt tại tab Microsoft Networks bên dưới
File and Print Sharing làm tăng khả năng nhận biết worm cho SmartDefense với
những file chia sẻ của Microsoft. Cũng giống như HTTP Worm Catcher,
SmartDefense có những dạng worm khác nhau và người dùng có thể thêm dạng worm
vào hoặc tắt một dạng worm khác đi. Bật tùy chọn này bảo vệ hệ thống windows trong
mạng khỏi những NetBIOS worms từ lỗ hổng CIFS của Windows 2000.
Hình 12. File and Print Sharing
43
CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN
6.1. Tổng quan về VPN
VPN (Virtual Private Network) là công nghệ cho phép tạo ra một kết nối riêng
tư, an toàn qua hệ thống mạng Internet công cộng, hoặc qua một môi trường mạng
dùng chung nào đó.
Đặc trưng của VPN là nó tạo ra một đường hầm (tunnel) qua hệ thống mạng kết
nối giữa hai thực thể bằng cách tạo ra một vỏ bọc cho gói tin IP được gửi đi. Các giao
thức VPN được sử dụng để tạo ra vỏ bọc này. Khi bắt đầu đi vào đường ống, gói tin IP
được đóng gói bởi các giao thức VPN như L2TP, IPSec.
Để đảm bảo một kết nối an toàn và bảo mật, các giao thức VPN có thể được
trang bị các tính năng như mã hóa gói tin (DES, AES), cơ chế chứng thực để chống lại
kiểu tấn công man-in-the-middle, sử dụng hàm băm để bảo đảm tính toàn vẹn của nội
dung gói tin…
VPN được chia thành hai loại chính là VPN truy cập từ xa (Remote Access) và
VPN mạng nối mạng (Site to Site).
VPN truy cập từ xa là kết nối giữa một thiết bị đơn người dùng như PC, Laptop
tới một VPN gateway được đặt tại ISP hoặc tại mạng nội bộ của tổ chức.
VPN mạng nối mạng dùng để kết nối giữa hai mạng nằm cách xa nhau. Một
đường hầm được tạo ra giữa hai VPN gateway của hai mạng.
Khóa luận này sẽ trình bày cách sử dụng Nokia IP1220 như một VPN gateway
cho phép người dùng truy cập từ xa vào mạng.
6.2. Giải pháp VPN Check Point cho truy cập từ xa
Giải pháp truy cập từ xa của Check Point cho phép tạo một đường hầm giữa
người dùng từ xa và mạng nội bộ của một tổ chức.
6.2.1. Cấu hình Office Mode sử dụng IP Pool
Khi người dùng từ xa kết nối đến VPN gateway sử dụng Office Mode, sau khi
chứng thực thành công, gateway gán cho máy từ xa một địa chỉ IP. Địa chỉ IP này có
thể từ một dải IP được cấu hình trước (IP Pool) hoặc được cấp phát từ một máy chủ
44
DHCP. Tùy vào yêu cầu, có thể cấu hình để tất cả người dùng hoặc chỉ một nhóm nào
đó mới có quyền sử dụng Office Mode để truy cập VPN.
Để bật chức năng VPN cho thiết bị người dùng phải mở cửa sổ CheckPoint
Gateway bằng cách kích đúp vào biểu tượng thiết bị trong mục Network Objects -
Check Point. Trong thẻ General Properties, mục Check Point Products, đánh dấu vào ô
VPN.
Hình 13. Check Point Gateway – General Properties
Các bước cấu hình VPN truy cập từ xa qua chế độ Office sử dụng IP Pool được
thực hiện như sau:
45
Trước tiên, tạo một đối tượng đại diện IP pool, bằng cách chọn Manage |
Network Objects | New | Network.
Trong Network Properties, chọn tab General. Để thiết lập dải địa chỉ IP pool,
nhập tên dải trong trường Name, nhập địa chỉ đầu tiên của dải trong trường Network
Address sau đó nhập subnet mask tùy theo lượng địa chỉ muốn sử dụng trong trường
Net Mask. Phần Broadcast Address và thẻ NAT không cần cấu hình.
Hình 14. Tạo Network Object
Mở cửa sổ Check Point Gateway, chọn thẻ Remote Access | Office Mode. Đánh
dấu mục Allow Office Mode to all users.
Đánh dấu mục Using one of following method, chọn Manual (using IP Pool) và
chọn dải IP Pool vừa tạo ở trên.
Mục Multiple Interfaces: hỗ trợ định tuyến gói tin khi thiết bị có nhiều cổng kết
nối ra bên ngoài.
Chọn Anti-Spoofing cho phép thiết bị kiểm tra các gói Office Mode để tránh
trường hợp giả mạo gói tin.
46
File ipassignment.conf được sử dụng để thực thi tính năng IP-per-user. Tính năng
này cho phép người quản trị gán một địa chỉ cụ thể cho một người dùng xác định, hoặc
một dải địa chỉ cho một nhóm khi kết nối với Office Mode.
Hình 15. Cấu hình Office Mode
Bước tiếp theo là tạo người dùng để truy cập VPN, phần này sẽ trình cách tạo
người dùng VPN trong cơ sở dữ liệu của VPN gateway còn phần tích hợp với máy chủ
LDAP sẽ trình bay ở phần sau.
Vào Manager | User and administrator…, chọn New.
Trong tab General, điền tên người dùng ở ô Login Name.
47
Trong tab Authentication, chọn CheckPoint Password, sau đó nhập mật khẩu và
nhấn ok .
Hình 16. Tạo User
Vào tab VPN Manager, nhấn chuột vào biểu tượng RemoteAccess. Trong
Participating Gateways, nhấn Add để thêm thiết bị vào. Trong Participant User
Groups, có thể thêm người dùng, nhóm hoặc All Users để cho phép tất cả người dùng.
48
Hình 17. Remote Access Community Properties
Vào tab Security thiết lập một luật cho phép truy cập từ xa với các trường như
sau (luật trên cùng):
Hình 18. Remote Access Rule
Bước cuối cùng là thực hiện Install để áp dụng các thiết lập lên thiết bị.
Ngoài ra còn có rất nhiều các tùy chọn khác để người dùng cấu hình. Như định
nghĩa VPN Domain trong Check Point Gateway | Topology để giới hạn các đối tượng
mạng tham gia vào VPN, người dùng từ xa sau khi kết nối VPN mạng chỉ có thể giao
tiếp với các đối tượng thuộc VPN Domain. Hoặc các thiết lập trong Policy | Global
Properties | Remote Access như các tùy chọn về cập nhật tôpô mạng, hỗ trợ IKE qua
TCP…
49
6.2.2.Truy cập VPN từ xa sử dụng SecuRemote/SecureClient
SecuRemote/SecureClient là công cụ máy khách cung cấp chức năng truy cập
VPN Check Point cho người dùng và bảo vệ các thông tin nhạy cảm khi giao tiếp với
mạng nội bộ và các server qua đường hầm VPN. Người dùng VPN được quản lý bằng
cơ sở dữ liệu bên trong của VPN-1 Pro Gateway hoặc bằng một máy chủ LDAP riêng.
SecureClient cải tiến hơn so với SecuRemote nhờ có thêm một số tính năng.
Bảo mật:
- Chính sách bảo mật desktop
- Ghi log và thông báo
- Thẩm định cấu hình bảo mật
Kết nối:
- Office Mode
- Client Mode
- Hub Mode
Quản lý:
- Phân phối phần mềm tự động
- Các tùy chọn phân phối và đóng gói nâng cao
- Các công cụ chẩn đoán
Sau đây khóa luận sẽ hướng dẫn sử dụng SecureClient để kết nối đến VPN
gateway thiết lập Office Mode.
Ứng dụng SecureClient khi cài đặt xong sẽ hiển thị một biểu tượng trên khay
công cụ. Khởi động SecureClient. Nếu chưa có site nào được tạo, chương trình yêu
cầu người dùng tạo một site mới. Nhập địa chỉ của VPN gateway vào ô Server
Address or Name rồi nhấn Next.
50
Hình 19. Server Address
Tiếp theo là chọn phương thức xác thực. Đánh dấu vào tùy chọn User name and
Password. Nhấn Next. Sau đó nhập tên và mật khẩu truy cập VPN.
Hình 20. Authentication Method
51
Sau khi nhập tên và mật khẩu, bước tiếp theo chọn kiểu kết nối Advanced.
Hình 21. Connectivity Settings
Sau đó các tùy chọn nâng cao hiện ra. Chọn Perform IKE over TCP (tùy vào thiết
lập tại VPN gateway).
Hình 22. Advanced Settings
52
SecureClient kết nối đến VPN gateway và nhận được một Certificate Authority
để người dùng kiểm tra xem đã kết nối đến đúng site chưa.
Hình 23. Validate Site
Nếu tạo site thành công, chương trình sẽ hiển thị thông báo cho người dùng.
Nhấn Finish để kết thúc. Sau đó chương trình hiển thị ra giao diện dùng để kết nối.
Hình 24. Giao diện kết nối SecureClient
53
Nhập password rồi nhấn Connect. SecureClient giao tiếp với VPN gateway và
thực hiện xác thực. Nếu xác thực thành công chương trình sẽ hiển thị thông báo cho
người dùng đồng thời tải về các thông tin về tôpô mạng và các thiết lập Profile. Lúc
này người dùng đã được phép truy cập vào mạng nội bộ giống như một máy nằm trong
mạng.
Tạo Profile: Vào Option, chọn Setting. Cửa sổ cấu hình SecureClient hiện ra.
Tại đây người dùng có thể tạo một Site, Profile mới, xóa hoặc sửa đổi thuộc tính của
Site, Profile. Profile được tạo ra để sử dụng trong các điều kiện kết nối khác nhau. Để
tạo một Profile mới, chọn New | Profile. Xuất hiện cửa sổ Profile Properties. Trong tab
General, người dùng có thể đặt tên cho Profile, xác định địa chỉ site, gateway kết nối
đến. Trong tab Advanced người dùng có thể cấu hình tùy chọn Office Mode, các tùy
chọn cải thiện kết nối và cấu hình Hub Mode.
Cập nhật Site: Nếu VPN gateway đặt cấu hình tự động cập nhật thì sau một
khoảng thời gian, SecureClient sẽ tự tải về các thông tin tôpô và Profile. Người dùng
cũng có thể tự cập nhật Site bằng cách vào cửa sổ cấu hình, nhấn chuột phải lên Site
và chọn Update Site.
Hình 25. Tạo Profile
54
CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP
7.1. Giới thiệu sơ lược về LDAP
LDAP (Lightweight Directory Access Protocol) là một giao thức tầng ứng dụng
dùng để truy cập vào dịch vụ thư mục (Directory Services) chạy trên bộ giao thức
TCP/IP.
Thư mục là một tập các đối tượng với các thuộc tính được mô tả và tổ chức một
cách logic và phân cấp giúp cho việc quản lý và tìm kiếm trở nên dễ dàng và nhanh
chóng. Có rất nhiều ví dụ về thư mục như: danh bạ điện thoại, danh mục hàng hóa,
Domain Name System…
Tương tự như các giao thức như FTP hay HTTP, LDAP hoạt động theo mô hình
client-server. Và đương nhiên nó phải định nghĩa một tập các thông điệp request và
response giữa LDAP client và LDAP server. LDAP server có nhiệm vụ tương tác với
dữ liệu đã được lưu trữ để trả về cho client.
Hình 26. Hoạt động của giao thức LDAP
Trong mô hình LDAP dữ liệu được lưu trữ dưới dạng một cây thư mục.
Entry là đơn vị cơ bản của thông tin trong thư mục. Mỗi entry chứa một tập các
thông tin về một đối tượng.
Hình 27. Entry
55
Mỗi entry có một DN (distinguished name) duy nhất, không trùng với bất kỳ một
DN nào khác trong thư mục. Ví dụ trong hình trên DN của tổ chức là dc=example,
dc=com. Mỗi entry gồm một tập các thuộc tính (attributes). Mỗi thuộc tính thuộc một
loại (type) và chứa một hoặc nhiều giá trị (value).
Schema là một định nghĩa dữ liệu cho thư mục và cách máy chủ và máy khách
xử lý các thao tác với thông tin như thế nào (ví dụ như tìm kiếm). Một schema chứa
định nghĩa các loại thuộc tính (OID, tên, cú pháp, luật matching của thuộc tính) và các
objectClass.
LDAP Interchange Format (LDIF) là một khuôn dạng tệp văn bản chuẩn để lưu
thông tin cấu hình LDAP và nội dung thư mục. Một tệp LDIF gồm:
- Một tập entry tách biệt nhau bởi các dòng trắng
- Một ánh xạ tên thuộc tính sang giá trị
- Một tập các chỉ thị cho bộ phân tích cú pháp biết cách xử lý thông tin.
Tệp LDIF thường được dùng để nhập dữ liệu mới vào thư mục hoặc thay đổi dữ
liệu đã tồn tại. Dữ liệu trong LDIF phải tuân theo luật schema của thư mục LDAP.
Mỗi mục được thêm hoặc thay đổi trong thư mục sẽ được kiểm tra ngược lại schema.
Một schema violation xảy ra nếu dữ liệu không phù hợp với các luật tồn tại.
Hình 2-1 thể hiện một cây thư mục đơn giản. Mỗi entry trong thư mục được biểu
diễn bởi một entry trong tệp LDIF. Giả sử với entry trên cùng của cây với DN:
dc=plainjoe, dc=org:
# LDIF listing for the entry dn: dc=example,dc=com
dn: dc=example,dc=com
objectClass: domain
dc: example
So sánh với tổ chức của một filesystem, DN tương tự như một đường dẫn tuyệt
đối, còn RDN (Relative DN) giống như tên file. Nhưng khác với một tên file, RDN có
thể được tạo nên từ nhiều thuộc tính. Ví dụ một RDN đa trị: cn=Jane Smith+ou=Sales,
dấu “+” dùng để phân biệt hai thuộc tính.
Thuộc tính và cú pháp thuộc tính tương tự như biến và kiểu biển trong lập trình.
Thuộc tính cũng như biến dùng để chưa giá trị. Còn cú pháp thuộc tính hay kiểu biến
dùng để xác định loại thông tin nào có thể được lưu trữ trong biến. Thuộc tính khác
biến ở chỗ nó có thể đa trị. Khi gán một giá trị mới cho một biến, giá trị cũ bị thay thế.
Nhưng khi gán một giá trị mới cho thuộc tính, giá trị đó sẽ được thêm vào danh sách
56
giá trị của thuộc tính. Một thuộc tính là đa trị hay đơn trị phụ thuộc vào định nghĩa của
thuộc tính trong schema của máy chủ.
Matching Rule là các luật để tạo ra các sự so sánh. Ví dụ telephoneNumberMatch
dùng để so sánh sự hai số điện thoại có khớp nhau hay không.
Object Identifiers (OIDs) là một chuỗi các số ngăn cách nhau bởi dấu chấm (.)
dùng để xác định một thực thể duy nhất như thuộc tính, cú pháp, lớp đối tượng.
Tất cả các entry trong một thư mục LDAP phải có một thuộc tính objectClass, và
thuộc tính này phải có ít nhất một giá trị (có thể nhiều hơn một). Mỗi giá trị
objectClass đóng vai trò như một khuôn mẫu cho dữ liệu được lưu trong một entry. Nó
định nghĩa một tập các thuộc tính phải và một tập thuộc tính tùy chọn. Thuộc tính phải
là thuộc tính cần phải gán cho nó ít nhất một giá trị. Thuộc tính tùy chọn không bắt
buộc phải gán giá trị. Hai objectClass có thể có cùng một số thuộc tính.
Định nghĩa objectClass
- Mỗi objectClass có một OID
- Từ khóa MUST chỉ ra một tập các thuộc tính phải
- Từ khóa MAY định nghĩa một tập các thuộc tính tùy chọn.
- Từ khóa SUP chỉ ra objectClass cha, đối tượng mà objectClass này kế thừa. Đối
tượng kế thừa có tất cả các thuộc tính của objectClass cha..
7.2. Cấu hình VPN tích hợp LDAP [6]
Check Point VPN-1 NG có khả năng truy cập tới máy chủ thư mục LDAP để xác
thực các tài khoản kết nối VPN đến thiết bị.
Máy chủ LDAP của trường Đại học Công Nghệ sử dụng OpenLDAP, một ứng
dụng LDAP miễn phí, ổn định chạy trên nền UNIX.
Trong phần này, khóa luận sẽ trình bày các thao tác cấu hình cho phép sử dụng
máy chủ OpenLDAP quản lý các tài khoản truy cập VPN cho thiết bị Check Point.
7.2.1. Cấu hình máy chủ LDAP
Mặc định OpenLDAP không có sẵn schema Check Point.
objectClass fw1person được định nghĩa như một kiểu hỗ trợ để giúp cho việc
quản lý các user đã tồn tại qua dịch vụ LDAP.
57
OpenLDAP sử dụng một khuôn dạng định nghĩa schema đơn giản, người dùng
có thể tạo schema từ Netcapse Schema ($FWDIR/lib/ldap/schema.ldif) bằng cách sử
dụng một shell script, hoặc có thể sử dụng một schema đã được tạo sẵn (xem phụ lục
A). Sau đó copy file schema vào /etc/openldap/schema/fw1ng.schema đồng thời thêm
khai báo vào file slapd.conf.
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/fw1ng.schema
Bước tiếp theo, người dùng phải thêm objectClass fw1person cho các tài khoản
trong thư mục LDAP. Do Check Point sử dụng một schema riêng nên nếu không thêm
objectClass fw1person vào các tài khoản thì Check Point sẽ không thể sử dụng được
các tài khoản này.
7.2.2. Cài đặt và cấu hình VPN-1
7.2.2.1. Kích hoạt SmartDirectory trong Global Properties
Mặc định, tính năng quản lý người dùng bằng máy chủ LDAP không được kích
hoạt. Để sử dụng tính năng này người dùng phải kích hoạt LDAP Account
Management trong Global Properties bằng cách đánh dấu vào tùy chọn User
SmartDirectory. Có thể truy cập vào Global Properties trên toolbar hoặc vào menu
Policy/Global Properties.
Hình 28. Kích hoạt Smart Directory
7.2.2.2. Tạo một host object cho OpenLDAP server
Tạo một host object mới cho host chạy OpenLDAP server sử dụng:
Manage/Network Objects/New… Node - Host.
58
7.2.2.3. Tạo một LDAP Account Unit
Tạo một LDAP Account Unit mới sử dụng Manage/Servers/New… LDAP
Account Unit. Cửa sổ LDAP Account Unit Properties gồm có các thẻ. Gõ tên và chọn
một profile cho thư mục.
- thẻ General định nghĩa các thiết lập chung của SmartDirectory (LDAP)
Account Unit. Chọn User management và chọn một profile áp dụng cho Account Unit
mới. Với OpenLDAP server sử dụng profile OPSEC_DS hoặc OpenLDAP_DS.
- thẻ Servers, hiển thị LDAP servers được sử dụng bởi Account Unit. Thứ tự
hiển thị cũng chính là thứ tự truy vấn mặc định. Thêm server vào danh sách hiển thị.
Nháy đúp lên một SmartDirectory (LDAP) server trong danh sách để sửa đổi nó.
Cửa sổ LDAP Server Properties được hiển thị.
Hình 29. LDAP Server Properties
Trong thẻ General, có thể thay đổi DN đăng nhập của LDAP server, ví dụ
”cn=Manager,dc=example,dc=com”. Xác định độ ưu tiên của LDAP server được
chọn (độ ưu tiên được sử dụng khi có nhiều máy chủ LDAP).
59
Xác định mật khẩu dùng để xác thực. Chọn Read data from this server và Write
data to this server sau đó nhấn OK.
Trong thẻ Objects Management chọn LDAP server thích hợp. Branches của
LDAP server có thể nhận được bằng cách chọn Fetch branches, hoặc thêm bằng tay.
Branches sẽ được tìm kiếm khi LDAP server được truy vấn.
Thẻ Authentication định nghĩa giới hạn và các thiết lập xác thực mặc định cho
một user trên một Account Unit. Tùy chọn Allowed Authentication schemes giới hạn
truy cập xác thực của user chỉ trong authentication schemes. Có thể cho phép vài
authentication schemes áp dụng cho một user, hoặc có thể áp dụng một authentication
schemes mặc định cho tất cả user. Các user được lấy về qua Account Unit, nhưng thiếu
các định nghĩa liên quan đến xác thực, sẽ sử dụng authentication scheme mặc định,
hoặc một template.
7.2.2.4. Tạo LDAP group
- Nhấn chuột phải vào LDAP Groups.
- Chọn New LDAP Groups.
- Nhập tên cho group và chọn LDAP Account Unit đã tạo ở trên. Chọn
All Branches, một Branch, hoặc một LDAP Group.
- Chọn Apply.
60
CHƯƠNG 8. TRIỂN KHAI THỰC TẾ
8.1. Phân tích và giải pháp
Hình 30. Mô hình mạng cũ
Trên cơ sở khảo sát hiện trạng hệ thống mạng VNUnet và Coltechnet, dựa trên
những đánh giá, phân tích về hạn chế của cả hai hệ thống mạng cũng như những yêu
cầu thực tế, việc triển khai những thiết bị phần cứng chuyên về bảo mật như Nokia IP
hay IPS Proventia G200 (thiết bị phát hiện và ngăn chặn xâm nhập) cũng như các phần
mềm giám sát mạng như HP Openview, Nagios là cần thiết và có ý nghĩa rất quan
trọng.
Mục tiêu đặt ra là phải tạo ra một hệ thống bảo vệ, bảo mật vững chắc cho hệ
thống mạng nội bộ và đặc biệt là hệ thống Server của trường.
61
Dựa trên tình hình thực tế và mục tiêu cụ thể, mô hình triển khai được đưa ra như
sau.
Hình 31. Mô hình mạng mới
Thiết bị Nokia IP1220 có một vị trí rất quan trọng vì nó vừa là điểm cầu nối vào
hệ thống Server, vừa là một gateway kết nối ra mạng Internet. Nokia Check Point là
bức rào cản đầu tiên bảo vệ hệ thống mạng nội bộ, đặc biệt nó ngăn cách và bảo vệ hệ
thống Server với mạng bên ngoài.
Trên thiết bị Nokia hiện tại gồm có 8 cổng kết nối Ethernet. Có 5 cổng sẽ được
sử dụng để kết nối vào mạng, còn lại ba cổng dự trữ được dùng cho mục đích sau này.
Trong 5 cổng Ethernet được sử dụng:
- Một cổng dùng để kết nối đến Router gateway để ra ngoài mạng Internet,
cổng này có địa chỉ public là 210.86.230.x (địa chỉ này được sử dụng để
kết nối VPN).
62
- Hai cổng kết nối đến hai thiết bị IPS Proventia G200, qua đó kết nối tới hệ
thống Server. Với cách thiết kế này các Server sẽ có hai lớp bảo vệ. Lớp
bảo vệ đầu tiên là hệ thống tường lửa, SmartDefense của Check Point
Nokia. Nhiệm vụ của tường lửa thiết lập các luật quy định quyền truy cập
cho các đối tượng. Nó ngăn chặn phần lớn các truy cập bất hợp pháp và
cho phép các truy cập hợp pháp vào mạng. SmartDefense là hệ thống
phòng thủ thông minh giúp phát hiện và ngăn chặn các xâm phạm, tấn
công vào mạng. Lớp thứ hai là thiết bị phát hiện và ngăn chặn xâm nhập
IPS Proventia G200. Thiết bị này chuyên dùng bảo vệ mạng khỏi các cuộc
tấn công và thâm nhập. Với hai lớp bảo vệ này hệ thống Server sẽ là hệ
thống được bảo vệ an toàn nhất trong mạng.
- Một cổng nối tới các class room. Tường lửa sẽ quy định các chính sách
truy cập cho class room, chỉ cho các class room quyền truy cập trong giới
hạn được phép.
- Cổng còn lại nối tới toàn bộ phần còn lại của mạng qua Switch tổng
Catalys 6509.
Các cấu hình được thiết lập trên Nokia Check Point gồm có các chính sách tường
lửa, NAT và cấu hình VPN Gateway. Chính sách tường lửa được áp dụng trên tất cả
các cổng để hạn chế, cho phép các dịch vụ và phân quyền cho người dùng truy cập tới
các Server. VPN gateway cấu hình truy cập từ xa sử dụng Office Mode. Người dùng
có thẩm quyền sẽ được phép kết nối VPN tới mạng nội bộ qua địa chỉ public của thiết
bị, sau đó người dùng có thể truy cập, sử dụng các tài nguyên như là một máy trong
mạng. Việc quản lý người dùng VPN được thực hiện bởi máy chủ OpenLDAP. Trên
thiết bị cũng được thiết lập các chính sách định tuyến cần thiết để hệ thống mạng hoạt
động theo yêu cầu. Các thiết lập cài đặt chi tiết được trình bày trong phần 9.2 Cài đặt.
8.2.Cài đặt
Quá trình cài đặt trải qua hai bước. Bước một là lắp đặt và tiến hành các cài đặt
cần thiết. Bước hai là thiết lập, cấu hình các chức năng.
8.2.1. Lắp đặt và cài đặt ban dầu
Tiến hành lắp thiết bị lên Rack, kết nối các cổng theo sơ đồ kết nối ở trên. Sau đó
nối dây nguồn và khởi động thiết bị.
63
Nếu trên thiết bị chưa cài đặt hệ điều hành và các gói Firewall, VPN cần thiết, thì
sau khi lắp đặt cần phải thực hiện các thao tác cài đặt hệ điều hành IPSO và bộ sản
phẩm Check Point NGX. Thiết bị Nokia IP1220 được cài đặt hệ điều hành IPSO phiên
bản 4.2 và bộ sản phẩm Check Point NGX R62.
Có thể download bộ cài đặt hệ điều hành IPSO bản 4.2 trên trang chủ
checkpoint.com (cần có tài khoản). Sau đó thiết lập một máy chủ FTP và sao chép bộ
cài đặt HĐH IPSO vào thư mục gốc của máy chủ FTP. Sử dụng kết nối Ethernet nối từ
một cổng của thiết bị đến máy chủ FTP.
Truy cập vào cổng Console trên thiết bị. Khởi động thiết bị và tiến hành cài đặt
như trong phần 2.2.2 của Khóa luận.
Sau khi cài đặt xong hệ điều hành cho Nokia IP1220, tiếp tục cài đặt bộ sản
phẩm Check Point NGX R62. Chúng ta sử dụng mô hình triển khai độc lập. Tức là cài
đặt đồng thời hai thành phần Enforcement Module và Management Server lên thiết bị
Nokia IP1220. SmartConsole được cài đặt lên một máy tính chạy HĐH Windows được
sử dụng để thiết lập cấu hình và quản lý hoạt động của thiết bị. Các bước cài đặt NGX
R62 và cách kích hoạt các gói được nêu trong chương 3 của Khóa luận. Sử dụng giao
diện web Nokia Network Voyager để kiểm tra kết quả cài đặt.
Hình 32. Thông tin về hệ điều hành và các gói kích hoạt
64
Để có thể sử dụng và thiết lập các luật lên tường lửa, trước hết phải tiến hành
thiết lập cpconfig (xem phần 4.1) sau đó khởi động lại thiết bị.
Tiếp đó phải kích hoạt, thiết lập cấu hình và địa chỉ IP cho các cổng sử dụng.
Cách đơn giản nhất là vào giao diện web Nokia Network Voyager trong trang
Configuration | Interface Configuration | Interfaces. Chọn cổng cần cấu hình và thiết
lập các thông số cần thiết. Như trên hình
Hình 33. Cấu hình các cổng của thiết bị
Các cấu hình khác:
- Vào Configuration | Routing | Static Routes. Thiết lập gateway routing.
Hình 34. Đặt gateway
- Vào Configuration | System Configuration | Host Address. Đặt hostname
và host address.
- Cấu hình SNMP trong Configuration | System Configuration | SNMP.
65
Hình 35. Cấu hình Host Name, SNMP
Hoàn tất xong quá trình lắp đặt và cài đặt, chuyển sang bước kết tiếp là thiết lập
các cấu hình tường lửa, VPN cho thiết bị.
8.2.2.Thiết lập cấu hình
Chạy chương trình SmartDashboard. Đăng nhập vào SmartCenter Server. Mọi
cấu hình tường lửa, SmartDefense, VPN, NAT,… đều được cấu hình qua
SmartDashboard.
Cấu trúc mạng hiển thị qua Smartmap
Hình 36. Smartmap
Cấu hình ban đầu
Kiểm tra nếu firewall còn ở dạng Host thì phải chuyển sang Gateway bằng cách
nhấn chuột phải vào firewall chọn Convert to gateway…
Cấu hình trong Check Point Gateway | General Properties.
66
Hình 37. General Properties
Trong phần IP Address, nếu sử dụng Get Address thì sẽ ra địa chỉ 192.168.0.71.
Nhưng để thiết lập VPN ta phải sử dụng địa chỉ public của nó. Nhập vào
210.86.230.116.
67
Hình 38. Topology
Trong thẻ Topology, khi chọn Get | Interfaces with Topology, firewall sẽ tự phân
ra các cổng Internal (This network) và External dựa vào default gateway được đặt.
Trong VPN Domain, chọn All IP Address… nếu muốn thiết lập VPN cho tất cả
các địa chỉ phía sau tường lửa. Hoặc có thể chỉ thiết lập một số mạng nào đó bên trong
làm VPN domain bằng cách chọn Manual defined.
Phần NAT để mặc định vì không yêu cầu firewall phải thực hiện chức năng NAT
cho toàn bộ mạng.
Trong Smart Defense chọn Default Protection để sử dụng các thiết lập phòng thủ
mặc định của SmartDefense.
68
Thiết lập các luật tường lửa
Hình 39. Các luật tường lửa
Luật đầu tiên có tác dụng cấm các máy nằm trong mạng 140.133.217.144/28 thực
hiện bất kỳ một kết nối nào với mạng nội bộ bên trong firewall.
Hai luật kế tiếp dành cho VPN sẽ được trình bày trong phần sau.
Luật cuối cùng cho phép tất cả kết nối và không thực hiện bất kỳ một hạn chế
nào. Nếu không có luật này thì firewall sẽ thực hiện luật mặc định là bỏ qua tất cả kết
nối vào bên trong mạng.
SmartDefense ở chế độ Default Protection
69
Hình 40. Protection Overview
Thiết lập cấu hình VPN
Cấu hình trong Check Point Gateway, thẻ Remote Access
Hình 41. Remote Access
70
Trong Office Mode, đặt tùy chọn Allow Office Mode to all users. Đặt giải IP
pool là 192.168.10.0/24. Khi client kết nối VPN vào mạng thì VPN gateway sẽ gán
cho client một địa chỉ thuộc dải này.
Trong VPN Manager, chọn Community Remote Access. Trong Remote Access
Community Properties thêm Participating Gateway và Participant User Group.
Hình 42. Remote Access Community Properties
Chọn All Users để cho phép tất cả người dùng đều có thể tham gia vào VPN. Có
thể thiết lập các Group để hạn chế số người dùng.
Thiết lập các tùy chọn khác trong Global Properties như phương thức xác thực,
hỗ trợ IKE qua TCP, nén gói tin IP (VPN Basic), các giải thuật mã hóa và toàn vẹn dữ
liệu (VPN – IKE, VPN - IPSec).
71
Hình 43. VPN Basic
Hình 44. VPN - IKE
72
Hình 45. VPN – IPSEC
Do khi kết nối VPN vào mạng, client sẽ được gán một địa chỉ thuộc dải
192.168.10.0. Các máy trong mạng không thể biết được địa chỉ này. Do vậy phải NAT
điạ chỉ này sang địa chỉ của thiết bị để client có thể tham gia vào mạng một cách bình
thường (nếu sử dụng DHCP để cấp địa chỉ thì không cần NAT). Thực hiện bằng cách
mở đối tượng mạng 192.168.10.0, thiết lập cấu hình trong thẻ NAT. Luật NAT được
tự động thêm trong Network Translation.
Hình 46. VPN NAT
Tích hợp máy chủ LDAP để quản lý người dùng
Thiết lập cấu hình máy chủ LDAP 10.10.0.22 (xem phần 8.2.1) và thiết lập cấu
hình cho Check Point.
Tạo Network Object của máy chủ LDAP trong Manage | Network Object chọn
New | Node | Host… Trong phần IP Address điền địa chỉ IP của máy chủ LDAP.
73
Hình 47. Tạo Host Node
Khai báo LDAP Account Unit trong Manage | Server and OPSEC Application…
chọn New | LDAP Account Unit. Cấu hình như sau:
Hình 48. Thẻ General
Trong thẻ Server. Chọn Add. Nhập các thông tin cần thiết như tài khoản đăng
nhập, mật khẩu…
74
Hình 49. LDAP Server Properties
Hình 50. Thẻ Server
Trong thẻ Object Management, nhấn Fetch branches
75
Hình 51. Thẻ Object Management
Firewall sẽ kết nối đến máy chủ LDAP và lấy về danh sách tài khoản
Hình 52. Hiển thị tài khoản LDAP
Tạo LDAP Group trong Manage | User and Administrators chọn New LDAP
Group… Trong phần Group’s Scope chọn phạm vi cho nhóm.
76
Hình 53. LDAP Group
Firewall cho phép tạo các group nhanh chóng bằng cách sử dụng các group sẵn
có của máy chủ LDAP. Chỉ cần nhấn chuột phải lên group đó, chọn Define External
Group.
Với việc tạo các LDAP group như vậy chúng ta có thể dễ dàng thiết lập các luật
riêng cho từng group để quy định quyền hạn của các client khi truy cập VPN vào
mạng.
Bước cuối cùng là ta định nghĩa các luật Remote Access.
Hình 54. Luật Remote Access
77
Luật 2 và 3 là các luật dùng cho VPN Remote Access. Luật 2 có ý nghĩa là không cho
phép tài khoản sinh viên truy cập vào mạng 192.168.0.0/24. Luật 3 là cho phép tất cả
các tài khoản khi đăng nhập VPN Remote Access thì được quyền truy cập tới toàn bộ
mạng. Với nguyên tắc làm việc từ trên xuống của firewall thì trong trường hợp này tài
khoản sinh viên bị giới hạn quyền truy cập đến mạng 192.168.0.0 nhưng vẫn có thể
truy cập tới phần còn lại trong mạng.
Kết nối VPN bằng SecureClient
Sau khi tạo Site có địa chỉ 210.86.230.116, vào Profile Properties chọn Visitor
Mode.
Hình 55. Chọn Visitor Mode
Nháy chuột vào biểu tượng của SecureClient để bắt đầu kết nối.
78
Hình 56. Màn hình đăng nhập
Hình 57. Thiết lập kết nối
Hình 58. Xác thực tài khoản
79
Hình 59. Kết nối thành công
Để kiểm tra kết nối VPN đã thành công. Vào Command Prompt. Gõ ipconfig /all.
Xuất hiện một Ethernet adapter mới có địa chỉ IP là 192.168.10.1 như trong hình.
Ping thử tới một địa chỉ trong mạng VPN sẽ nhận được kết quả trả về.
Hình 60. Kiểm tra địa chỉ
Gõ route print để kiểm tra bảng định tuyến
80
Hình 61. Kiểm tra bảng định tuyến
8.3. Giám sát và quản lý
Việc giám sát và quản lý hoạt động của Nokia Check Point được thực hiện bằng
chương trình SmartView Tracker R62 và SmartView Monitor R62. Cả hai ứng dụng
này đều nằm trong gói phần mềm SmartConsole cùng với SmartDashboard. Từ cửa sổ
của một trong các ứng dụng này, có thể mở các ứng dụng khác bằng cách vào menu
Windows, chọn ứng dụng cần mở.
Khi một gói tin đi vào Nokia Check Point, nó sẽ được tường lửa kiểm tra, nếu gói
tin tương ứng với một luật nào đó nó sẽ được ghi log lại (nếu trong luật cho phép ghi
log). Ngoài ra các sự kiện xảy ra trên firewall cũng được ghi log như cài đặt luật, thay
đổi cấu hình, đăng nhập hệ thống…
SmartView Tracker cung cấp một giao diện để hiển thị các file log. Qua đó người
quản trị có thể giám sát được tất cả các kết nối qua thiết bị, cũng như có được rất nhiều
thông tin cần thiết khác. SmartView Tracker gồm có ba chế độ khác nhau là: Log,
Active, Audit.
Log hiển thị tất cả các bản ghi trong tệp fw.log gồm các sự kiện liên quan đến
các luật và các chính sách an ninh.
81
Hình 62. SmartView Tracker - Log
Để hiển thị chi tiết một bản ghi, nháy đúp vào bản ghi đó.
Hình 63. Record Detail
82
Người quản trị có thể xem các thông tin của gói tin như thời gian gói tin đến, địa
chỉ nguồn, đích, giao thức, dịch vụ, tài khoản gửi (nếu là gói tin VPN), hành động mà
tường lửa áp dụng lên gói tin, …
Active hiển thị các kết nối hiện tại đang được mở thông qua firewall.
Hình 64. SmartView Tracker – Active
Audit hiển thị các sự kiện liên quan đến cài đặt, thay đổi các luật và các thao tác
của người quản trị.
83
Hình 65. SmartView Tracker - Audit
Thời điểm hiện tai, thiết bị đã được lắp đặt trên mạng thực tế, và kết quả ban đầu
cho thấy thiết bị hoạt động khá tốt và ổn định.
SmartView Monitor cho phép người quản trị giám sát theo thời gian thực các
hoạt động trên mạng, và hiển thị dưới nhiều dạng khác nhau như bảng, biểu đồ.
84
Hình 66. SmartView Monitor
Người quản trị có thể giám sát các thông tin như network traffic, VPN Tunnel,
Remote User, và hàng loạt thông tin cần thiết khác.
85
Hình 67. SmartView Monitor - System
Hình 68. SmartView Monitor – Remote User
86
KẾT LUẬN
Sau khi kết thúc thời gian làm khóa luận tốt nghiệp với đề tài “Nghiên cứu triển
khai Nokia firewall”, em đã thực hiện triển khai thành công Nokia IP1220 trên hệ
thống mạng trường Đại học Công Nghệ. Các chức năng triển khai trên Nokia IP1220
gồm có NAT, định tuyến, chức năng tường lửa và VPN. Đặc biệt chức năng VPN có
khả năng tích hợp với máy chủ LDAP có sẵn của trường Đại học Công Nghệ giúp cho
một người dùng chỉ cần sử dụng một account để truy cập được tất cả các dịch vụ khác
nhau như mail, website môn học, VPN… Việc triển khai thành công Nokia IP1220
trên hệ thống mạng trường Đại học Công Nghệ sẽ giúp nâng cao khả năng bảo mật của
mạng, cung cấp hệ thống tường lửa và khả năng truy cập từ xa qua mạng riêng ảo một
cách an toàn, mạnh mẽ và chuyên nghiệp. Và khóa luận này sẽ là một tài liệu bổ ích
dành cho mục đích tham khảo sau này.
Các phương hướng phát triển trong tương lai gồm có:
- Nghiên cứu thêm về cấu hình VPN mạng nối mạng trên Nokia Check
Point.
- Nghiên cứu thiết lập cấu hình VRRP và cấu hình Check Point Gateway
Cluster.
- Thiết lập các luật tường lửa cho phù hợp với từng điều kiện thay đổi của
hệ thống mạng.
- Cập nhật và cài đặt các phiên bản mới.
Trong quá trình nghiên cứu và làm khóa luận này em cũng gặp phải khá nhiều
khó khăn. Nokia IP1220 là một thiết bị phức tạp và đắt tiền nên em không có điều kiện
để thực hành ở nhà. Nhưng bù lại em cũng được các thầy ở trung tâm máy tính hết sức
tạo điều kiện trong thời gian thực hiện Khóa luận. Cũng bởi vì Nokia IP1220 là một
thiết bị phức tạp, đắt tiền và chuyên dụng nên nó không được sử dụng phổ biến, do đó
việc tìm hiểu, tìm kiếm tài liệu, tải các sản phẩm, phần mềm là rất khó. Tuy nhiên nhờ
sự cố gắng, nỗ lực cùng sự hướng dẫn tận tình của các thầy em đã hoàn thành Khóa
luận. Do là lần đầu tiên viết một tài liệu khoa học nên Khóa luận này không tránh khỏi
còn rất nhiều thiếu sót, em rất mong nhận được sự chỉ bảo, hướng dẫn từ các thầ
Các file đính kèm theo tài liệu này:
- LUẬN VĂN-NGHIÊN CỨU TRIỂN KHAI NOKIA FIREWALL.pdf