PHIẾU GIAO ĐỀ TÀI KHÓA LUẬN TỐT NGHIỆP Mỗi sinh viên phải viết riêng báo cáo Phiếu phải dán trang báo cáo Họ tên sinh viên/ nhòm sinh viên giao đề tài (sĩ số nhóm: 2) (1) Ngơ Hiệp Toàn MSSV: 081652 khóa: 2008-2011 (2) Nguyễn Thị Phương Ngọc MSSV: 081651 khóa: 2008-2011 Chuyên ngành : Mạng máy tính Khoa : Khoa Học - Cơng Nghệ Tên đề tài : Xây dựng Firewall & IPS Checkpoint Các liệu ban đầu: Firewall IPS thành phần bảo mật thiếu hệ thống mạng máy tính, Checkpoint sản phẩm firewall hàng đầu dùng nhiều mạng máy tính mà yêu cầu bảo mật ưu tiên hàng đầu ngân hàng Các yêu cầu đặc biệt: Sinh viên ngành mạng máy tính, có kiến thức bảo mật Kết tối thiểu phải có: 1.Trình bày hoạt động Firewall & IPS 2.Đưa giải pháp xây dựng Firewall&IPS trường Hoasen Ngày giao đề tài:…… /………./……… Ngày nộp báo cáo: …/……/…… Họ tên GV hướng dẫn 1: Đinh Ngọc Luyện…….……Chữ ký: ……………… Ngày … tháng … năm Đinh Ngọc Luyện i TRÍCH YẾU Trong đề án tốt nghiệp đề tài “Xây dựng Firewall & IPS Checkpoint” Tôi nghiên cứu sản phẩm Checkpoint, tính quản lí bảo mật IPS (Intrusion Prevention Systems) Khác với phiên R65, phiên R70 có nhiều cải tiến giao diện tính nhằm cung cấp mơi trường làm việc hiệu cho người quản trị hệ thống Triển khai tính tăng cường bảo mật “User Authentication”,”Client Authentication”,”Session Authentication”, hay sử dụng Module xác thực “Radius” chứng thực user Cấu hình rule để client mạng nội truy xuất liệu vùng DMZ cho phép client truy xuất web, thơng qua sách mà người quản trị cấu hình giao diện Smart Console Sử dụng máy Window Server 2003 kết nối trực tiếp vào Firewall dùng hệ điều hành Linux, liệu cấu hình thay đổi diễn giao diện Smart Console tự động cập nhật trực tiếp lên Firewall Linux Người quản trị cấu hình sách(rule) nhằm hạn chế tầm hoạt động người dùng mạng nội Sử dụng triệt để chức Chechpoint cung cấp:“IPS”, thay “SmartDefense” R65, thiết lập phát ngăn chặn phương thức công mạng HPING, DDoS, LAND Attack v.v Theo dõi trạng thái diến biến xảy Firewall thông qua giao diện SmartView Tracker, SmartView Monitor Để phát kịp thời truy nhập trái phép hay diễn biến bất thường thông qua tần suất truy nhập đến server II MỤC LỤC TRÍCH YẾU II NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN NHẬP ĐỀ GIỚI THIỆU TỔNG QUAN LỜI CẢM ƠN CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT 1.1 Định nghĩa bảo mật mạng 1.1.1 Các yếu tố cần quan tâm phân tích bảo mật mạng 10 1.1.2 Các yếu tố cần bảo vệ 11 1.2 Các kiểu công mạng 11 1.2.1 Thăm dò(reconnaissance) 11 1.2.2 Đánh cắp thống tin Packet Sniffers 11 1.2.3 Đánh lừa (IP spoofing) 12 1.2.4 Tấn công từ chối dịch vụ (Denial of services) 13 1.2.5 Tấn công trực tiếp password 13 1.2.6 Thám thính(agent) 13 1.2.7 Tấn công vào yếu tố người: 13 1.2.8 Các phương thức công D.O.S thông thường 14 1.2.9 Phương thức công Mail Relay 16 1.2.10 Phương thức công hệ thống DNS 16 1.2.11 Phương thức công Man-in-the-middle attack 17 1.2.12 Phương thức công Trust exploitation 17 1.2.13 Phương thức công Port redirection 17 1.2.14 Phương thức công lớp ứng dụng 18 1.2.15 Phương thức Virus Trojan Horse 18 1.3 Các mức độ bảo mật 19 1.3.1 Quyền truy nhập: 19 1.3.2 Đăng nhập/Mật khẩu(login/password) 19 1.3.3 Mã hóa liệu(Data encryption) 19 1.3.5 Bức tường lửa (firewall) 20 1.4 Các biện pháp bảo vệ an toàn hệ thống 20 1.4.1 Quyền hạn tối thiểu (Least Privilege) 20 1.4.2 Bảo vệ theo chiều sâu (Defense in Depth) 20 1.4.3 Nút thắt (choke point) 21 1.4.4 Điểm xung yếu (Weakest point) 21 1.4.5 Hỏng an toàn (Fail–Safe Stance) 21 1.4.6 Sự tham gia toàn cầu 22 1.4.7 Kết hợp nhiều biện pháp bảo vệ 22 1.4.8 Đơn giản hóa 22 1.5 Các sách bảo mật 22 1.5.1 Kế hoạch bảo mật mạng 23 1.5.2 Chính sách bảo mật nội 23 1.5.3 Phương thức thiết kế 24 1.6 Thiết kế sách bảo mật mạng 24 1.6.1 Phân tích nguy an ninh 24 1.6.2 Xác định tài nguyên cần bảo vệ 24 1.6.3 Xác định mối đe dọa bảo mật mạng 25 1.6.4 Xác định trách nhiệm người sử dụng mạng 26 1.6.5 Kế hoạch hành động sách bị vi phạm 27 1.6.6 Xác định lỗi an ninh 28 1.7 Secure Sockets Layer (SSL) 29 1.7.1 Mở đầu 29 1.7.2 Nhiệm vụ cấu trúc SSL 30 1.7.3 Phiên SSL kết nối SSL 32 1.7.4 SSL Record Protocol 33 1.7.5 Alert Protocol 35 1.7.6 Change CipherSpec Protocol 35 1.7.7 Handshake Protocol 36 CHƯƠNG : CHECKPOINT 37 2.1 Tổng quan Checkpoint 37 2.2 Access Control Checkpoint Firewall 38 2.3 Các thành phần Rule 38 2.4 Công dụng đặc biệt Access Control 39 2.5 Authentication 39 2.5.1 Vai trò User Authentication 39 2.5.2 Tổng quan User Authentication Check Point Firewall 39 2.5.3 Các phương thức xác thực Check Point Firewall 40 2.5.4 Các chế xác thực sử dụng Firewall Check Point 40 2.5.4.1 VPN-1 & Firewall-1 Password 41 2.5.4.2 Operating System Password (OS Password) 42 2.5.4.3 RADIUS 43 2.5.4.4 TACACS 45 2.5.4.5 S/Key 45 2.5.4.6 SecurID 47 CHƯƠNG : FIREWALL 48 3.1 Công nghệ FIREWALL 48 a Giải pháp Firewall Checkpoint 51 3.1.1 Smart Console : Bao gồm nhiều client nhỏ để quản lý thành phần NGX Các client Smart Console bao gồm: 53 3.1.2 Smart Center Server 54 3.1.3 Security Gateway 55 3.2 Firewall Inspect Engine 55 3.3 SVN FOUNDATION 56 3.3.1 Secure Internal Communication 56 3.4 SIC BETWEEN SMART CENTER SERVER AND CLIENTS 59 CHƯƠNG : IPS 60 4.1 Hệ thống ngăn chăn xâm nhập(IPS): 60 4.1.1 Khái niệm IPS 60 4.1.2 Chức IPS 61 4.2 Phân loại IPS 65 4.2.1 NIPS 65 4.2.1a Các khả hệ thống xâm nhập mạng sở 67 4.2.1b Các thành phần hệ thống ngăn chặn xâm nhập mạng sở NIPS 69 4.2.2 HIPS 69 4.2.2a 4.2.2b 4.2.2.1 4.2.2.2 Các khả hệ thống ngăn chặn xâm nhập từ máy chủ(HIPS) 71 Các thành phần HIPS: 72 Gói phần mềm để cài đặt điểm cuối 73 Hạ tầng quản lý để quản lý agents 74 Trung tâm quản lý: 74 Giao diện quản lý: 75 4.3 Công nghệ ngăn chặn xâm nhập IPS 78 4.3.1 Signature - Based IPS (Nhận diện dấu hiệu) 78 4.3.2 Anomaly-Based IPS (Nhận diện bất thường) 81 4.3.3 Policy-Based IPS 83 4.3.4 Protocol Analysis-Based IPS 83 PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN 84 PHẦN 6: TÀI LIỆU THAM KHẢO 89 NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN NHẬP ĐỀ Xã hội phát triển kéo theo tiến khoa học kĩ thuật Những máy tính thơng minh dần chiếm vai trị quan trọng sống ngày Bất kỳ lĩnh vực cần đến máy tính, thiết bị xử lý thiếu Cùng với đời phát triển máy tính mạng máy tính vấn đề bảo mật thông tin, ngăn chặn xâm nhập đánh cắp thông tin qua mạng, thông tin cá nhân trực tiếp gián tiếp Phát ngăn chặn công Hacker nhằm đánh cắp liệu phá hoại tư liệu quan trọng cần thiết Thông qua đề án : “Xây dựng Firewall & IPS Checkpoint “ Chúng giới thiệu tổng quan xu hướng quản trị bảo mật mạng nay, với nội dung tổng quan Checkpoint, Firewall, IPS bước cấu hình triển khai mơ hình mạng Giải pháp an tồn chúng tơi giới thiệu đến đề tài sản phẩm Checkpoint dựa tảng NGX, NGX cấu trúc cung cấp tính bảo mật cho end- to- end network, giúp cho doanh nghiệp bảo vệ luồng traffic intranet, extranet… Ngồi cịn làm cho network enterprice bảo mật quản lý Security Policy đơn cho toàn network GIỚI THIỆU TỔNG QUAN  CHECKPOINT CheckPoint nhà cung cấp hàng đầu sản phẩm bảo mật Internet Đặc biệt dòng sản phẩm firewall cho doanh nghiệp, cá nhân công nghệ mạng riêng ảo VPN Với tảng NGX, CheckPoint cung cấp kiến trúc bảo mật thống cho lọat giải pháp bảo mật: bảo mật cho truy cập Internet, bảo mật mạng nội bộ, bảo mật Web, bảo mật người dùng nhằm bảo vệ tài nguyên thông tin, q trình truyền thơng, ứng dụng doanh nghiệp  FIREWALL Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network)  IPS Hệ thống IPS (intrusion prevention system) kỹ thuật an ninh mới, kết hợp ưu điểm kỹ thuật firewall với hệ thống phát xâm nhập IDS (intrusion detection system), có khả phát xâm nhập, công tự động ngăn chặn cơng IPS khơng dơn giản dị cơng, chúng có khả ngăn chặn cản trở cơng Chúng cho phép tổ chức ưu tiên, thực bước để ngăn chặn lại xâm nhập Phần lớn hệ thống IPS đặt vành đai mạng, dủ khả bảo vệ tất thiết bị mạng LỜI CẢM ƠN Chúng xin cảm ơn Thầy Đinh Ngọc Luyện hướng dẫn suốt trình thực đề án: “Xây dựng Firewall & IPS Checkpoint” Đề án trình bày vấn đề tổng quan bảo mật mạng, firewall, giới thiệu IPS - Hai hệ thống bảo vệ mạng hiệu - HIDS khơng hiệu bị DOS - Đa số chạy hệ điều hành Window Tuy nhiên có số chạy UNIX hệ điều hành khác Vì hệ thống IDS dựa máy chủ đòi hỏi phần mềm IDS phải cài đặt tất máy chủ nên ác mộng nhà quản trị nâng cấp phiên bản, bảo trì phần mềm, cấu hình phần mềm trở thành công việc tốn nhiều thời gian việc làm phức tạp Bởi hệ thống dựa máy chủ phân tích lưu lượng máy chủ nhận được, chúng phát công thăm dị thơng thường thực nhằm chống lại máy chủ nhóm máy chủ Hệ thống IDS dựa máy chủ không phát chức quét ping hay dò cổng (ping sweep and port scans) nhiều máy chủ Nếu máy chủ bị thỏa hiệp kẻ xâm nhập hồn tồn tắt phần mềm IDS hay tắt kết nối máy chủ Một điều xảy máy chủ khơng thể tạo cảnh báo Phần mềm IDS phải cài đặt hệ thống mạng nhằm cung cấp đầy đủ khả cảnh báo mạng Trong mơi trường hỗn tạp, điều vấn đề phần mềm IDS phải tương ứng nhiều hệ điều hành khác Do trước chọn hệ thống IDS, phải phù hợp chạy tất hệ điều hành  Phân tích so sánh HIDS NIDS:  Vấn đề dùng NIDS hay HIDS: Nên dử dụng HIDS cho giải pháp hoàn tất NIDS cho giải pháp LAN Khi quản lý giải pháp HIDS yêu cầu kiến thức chuyên sâu, NIDS lại yêu cầu nhiều đến quan tâm người quản trị Tuy nhiên cài đặt phần mềm chống virus không tường lửa bạn mà cịn cài đặt tất client Đây lý NIDS HIDS sử dụng kết hợp thành chiến lược IDS mạnh Hồn tồn nhận thấy NIDS dễ dàng bị vơ hiệu hóa bối cảnh kẻ cơng Nên cài đặt nhiều nút phát mạng doanh nghiệp bạn HIDS với việc có NIDS với vài nút phát mà quét đoạn Nếu bạn quan tâm đến máy tính cụ thể, sợ kẻ cơng cơng nên sử dụng HIDS, định an toàn tương đương việc cài đặt cảnh báo an toàn cho bạn IDS hỗ trợ ghi cách chi tiết, nhiều kiện ghi hàng ngày, bảo đảm có liệu thích hợp chọn lọc bạn không bị ngập liệu không cần thiết HIDS có nhiều ưu điểm vấn đề NIDS sử dụng tài khoản để ghi cho tất máy mạng Nếu xem xét HIDS NIDS bạn phải chắn có hãng chuyên đưa file mẫu kỹ thuật backup có lỗ hổng Nếu có băng tần LAN hạn chế bạn nên quan tâm đến HIDS Nếu giá vấn đề bạn nên xem xét đến giải pháp Giải pháp NIDS thường tốn so với HIDS 4.3 Công nghệ ngăn chặn xâm nhập IPS 4.3.1 Signature - Based IPS (Nhận diện dấu hiệu) Một Signature-Based IPS tạo luật gắn liền với hoạt động xâm nhập tiêu biểu.Việc tạo Signature-Based yêu cầu người quản trị phải có kỹ hiểu biết thật rõ attacks, mối nguy hai phải biết phát triển Signature đề dị tìm (detect) công mối nguy hại với hệ thống mạng Một Signature-Based IPS giám sát tất traffic so sánh với liệu có Nếu khơng có đưa cảnh báo cho người quản trị biết cơng Hình - Một Signature based IDS - Signature-based IDS thơng dụng chúng dễ phát triển, IPS lên từ tảng IDS cách thức phát đợt công tương tự Để xác định attacks signature, phải thường xuyên biết kiểu dáng attacks, Signature-Based IPS xem packets header data payloads Ví dụ, Signature chuỗi gồm nhiều kiện chuỗi bytes ngữ cảnh Một Signature-Based IPS tập nguyên tắc sử dụng để xác định hoạt động xâm nhập thông thường Những nghiên cứu kỹ thuật khéo léo nhằm tìm cơng, mẫu phương pháp để viết file dấu hiệu Khi mà nhiều phương pháp công phương pháp khai thác khám phá, nhà sản xuất IPS phải cung cấp cập nhật (update) file dấu hiệu, giống nhà cung cấp phần mềm diệt virus khác phải cung cấp cập nhật cho phần mềm họ Khi cập nhật file dấu hiệu hệ thống IPS phân tích tất lưu lượng Nếu có lưu lượng trùng với dấu hiệu cảnh báo khởi tạo Những hệ thống IPS điển hình thường kèm theo liệu file dấu hiệu  Lợi ích việc dùng Signature-Based IPS Những file dấu hiệu tạo nên từ hoạt động phương pháp cơng biết, có trùng lắp xác suất xảy công cao Phát sử dụng sai có cảnh báo nhầm (false positive report) kiểu phát bất thường Phát dựa dấu hiệu khơng theo dõi mẫu lưu lượng hay tìm kiếm bất thường Thay vào theo dõi hoạt động đơn giản để tìm tương xứng dấu hiệu định dạng Bởi phương pháp phát sử dụng sai dựa dấu hiệu- mẫu lưu lượng - hệ thống IPS định dạng bắt đầu bảo vệ mạng Những dấu hiệu sở liệu chứa hoạt động xâm nhập biết mô tả dấu hiệu Mỗi dấu hiệu sở liệu thấy cho phép, không cho phép mức độ cảnh báo khác hành động ngăn cản khác nhau, định dạng cho dấu hiệu riêng biệt Phát sử dụng sai dễ hiểu dễ định dạng hệ thống phát bất thường File dấu hiệu dễ dàng người quản trị thấy hiểu hành động phải tương xứng cho tín hiêu cảnh báo Người quản trị bảo mật có thể bật dấu hiệu lên, sau họ thực kiểm tra tồn mạng xem xem có cảnh báo khơng Chính phát sử dụng sai dễ hiểu ,bổ sung, kiểm tra, nhà quản trị có khả to lớn việc điều khiển tự tin vào hệ thống IPS họ  Những hạn chế Signature-Based IPS Bên chế cạnh lợi điểm chế phát sử dụng sai tồn nhiều hạn Phát sử dụng sai dễ dàng định dạng hiểu, giản đơn trở thành giá phải trả cho mát chức overhead Đây hạn chế: Khơng có khả phát công hay chưa biết : Hệ thống IPS sử dụng phát sử dụng sai phải biết trước hoạt động cơng để nhận đợt cơng Những dạng cơng mà chưa biết hay khám phá trước thường không bị phát Khơng có khả phát thay đổi công biết : Những file dấu hiệu file tĩnh tức chúng khơng thích nghi với vài hệ thống dựa bất thường Bằng cách thay đổi cách cơng, kẻ xâm nhập thực xâm nhập mà không bị phát hiện(false negative) Khả quản trị sở liệu dấu hiệu : Trách nhiệm nhà quản trị bảo mật bảo đảm file sở liệu cập nhật hành Đây công việc nhiều thời gian khó khăn Những bộ cảm biến phải trì tình trạng thơng tin : Giống tường lửa , cảm biến phải trì trạng thái liệu Hầu hết cảm biến giữ trạng thái thơng tin nhớ để tìm lại nhanh hơn, mà khoảng trống giới hạn 4.3.2 Anomaly-Based IPS (Nhận diện bất thường) Phát dựa bất thường hay mơ tả sơ lược phân tích hoạt động mạng máy tính lưu lượng mạng nhằm tìm kiếm bất thường Khi tìm thấy bất thường, tín hiệu cảnh báo khởi phát Sự bất thường chệch hướng hay khỏi thứ tự, dạng, nguyên tắc thơng thường Chính dạng phát tìm kiếm bất thường nên nhà quản trị bảo mật phải định nghĩa đâu hoạt động, lưu lượng bất thường Nhà quản trị bảo mật định nghĩa hoạt động bình thường cách tạo mơ tả sơ lược nhóm người dùng (user group profiles) Bản mơ tả sơ lược nhóm người dùng thể ranh giới hoạt động lưu lượng mạng nhóm người dùng cho trước Những nhóm người dùng định nghĩa kỹ sư bảo mật dùng để thể chức cơng việc chung Một cách điển hình , nhóm sử dụng nên chia theo hoạt động nguồn tài nguyên mà nhóm sử dụng Một web server phải có mơ tả sơ lược dựa lưu lượng web, tương tự mail server Bạn chắn không mong đợi lưu lượng telnet với web server không muốn lưu lượng SSH đến với mail server bạn Chính lý mà bạn nên có nhiều mơ tả sơ lược khác cho dạng dịch vụ có mạng bạn Đa dạng kỹ thuật sử dụng để xây dựng mô tả sơ lược người dùng nhiều hệ thống IPS định dạng để xây dựng profile chúng Những phương pháp điển hình nhằm xây dựng mơ tả sơ lược nhóm người dùng lấy mẫu thống kê (statistical sampling) , dựa nguyên tắc mạng neural Mỗi profile sử dụng định nghĩa cho người sử dụng thông thường hoạt động mạng Nếu người sử dụng làm chệch xa họ định nghĩa profile, hệ thống IPS phát sinh cảnh báo  Lợi ích việc dùng Anomaly-Based IPS: Với phương pháp này, kẻ xâm nhập lúc có, lúc khơng phát sinh cảnh báo họ khơng có quyền truy cập vào profile sử dụng để phát cơng Những profile nhóm người dùng giống sở liệu dấu hiệu động thay đổi mạng bạn thay đổi Với phương pháp dựa dấu hiệu, kẻ xâm nhập kiểm tra hệ thống IPS họ làm phát sinh tín hiệu cảnh báo File dấu hiệu cung cấp kèm theo với hệ thống IPS, kẻ xâm nhập sử dụng hệ thống IPS để thực kiểm tra Một kẻ xâm nhập hiểu tạo cảnh báo họ thay đổi phương pháp cơng công cụ công để đánh bại hệ IPS Chính phát hiên bất thường khơng sử dụng sở liệu dấu hiệu định dạng trước nên kẻ xâm nhập khơng thể biết xác gây cảnh báo Phát bất thường nhanh chóng phát cơng từ bên sử dụng tài khoản người dùng bị thỏa hiệp (compromised user account) Nếu tài khoản người dùng sở hữu phụ tá quản trị sử dụng để thi hành quản trị hệ thống, hệ IPS sử dụng phát bất thường gây cảnh báo miễn tài khoản khơng sử dụng để quản trị hệ thống cách bình thường Ưu điểm lớn phát dựa profile hay bất thường khơng dựa tập dấu hiệu định dạng hay đợt cơng biết Profile động sử dụng trí tuệ nhân tạo để xác định hoạt động bình thường Bởi phát dựa profile không dựa dấu hiệu biết, thực phù hợp cho việc phát công chưa biết trước miễn chệch khỏi profile bình thường Phát dựa profile sử dụng để phát phương pháp công mà phát dấu hiệu không phát  Hạn chế việc dùng Anomaly-Based IPS: Nhiều hạn chế phương pháp phát bất thường phải làm với việc sáng tạo profile nhóm người dùng , chất lượng profile  Thời gian chuẩn bị ban đầu cao  Khơng có bảo vệ suốt thời gian khởi tạo ban đầu  Thường xuyên cập nhật profile thói quen người dùng thay đổi Khó khăn việc định nghĩa cách hành động thơng thường : Hệ IPS thật tốt định nghĩa hành động bình thường Định nghĩa hoạt động bình thường chí cịn thử thách mà môi trường nơi mà công việc người dùng hay trách nhiệm thay đổi thường xuyên  Cảnh báo nhầm: Những hệ thống dựa bất thường có xu hứng có nhiều false positive chúng thường tìm điều khác thường  Khó hiểu : Hạn chế cuối phương pháp phát dựa bất thường phức tạp Lấy mẫu thống kê, dựa nguyên tắc, mạng neural phương cách nhằm tạo profile mà thật khó hiểu giải thích 4.3.3 Policy-Based IPS Một Policy-Based IPS phản ứng có hành động có vi phạm cấu hình policy xảy Bởi vậy, Policy-Based IPS cung cấp nhiều phương thức ưu chuộng để ngăn chặn  Lợi ích việc dùng Policy-Based IPS  Ta policy cho thiết bị hệ thống mạng  Một tính quan trọng Policy-Based xác thực phản ứng nhanh, có cảnh báo sai Đây lợi ích chấp nhận người quản trị hệ thống đưa security policy tới IPS cách xác có cho phép hay khơng  Hạn chế việc dùng Policy-Based IPS  Khi cơng việc người quản trị vất vả  Khi thiết bị thêm vào mạng lại phải cấu hình  Khó khăn quản trị từ xa 4.3.4 Protocol Analysis-Based IPS Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) việc chống xâm nhập tương tự Signature-Based IPS, sâu việc phân tích giao thức gói tin(packets).Ví dụ: Một hacker bắt đầu chạy chương trình cơng tới Server Trước tiên hacker phải gửi gói tin IP với kiểu giao thức, theo RFC, khơng chứa data payload Một Protocol Analysis-Based detect kiểu công số giao thức  Kiểm tra khả giao thức để xác định gói tin có hợp pháp hay không  Kiểm tra nội dung Payload (pattern matching)  Thực cảnh cáo không bình thường PHẦN 5: GIẢI PHÁP CHO TRƯỜNG ĐẠI HỌC HOA SEN  MƠ HÌNH CẤU TRÚC DNS: HÌNH – DNS TRƯỜNG ĐẠI HỌC HOA SEN  Mơ hình đề nghị đóng góp thiết lập có hỗ trợ Firewall Checkpoint cho trường Đại Học Hoa Sen Hình – Mơ hình đề nghị cho trường Đại Học Hoa Sen Đặc điểm sơ đồ mạng kiến nghị Có hai cách thiết lập vùng DMZ: + Đặt DMZ firewall, để lọc thông tin từ internet vào để kiểm tra luồng thông tin vào mạng cục + Sử dụng Router có nhiều cổng để đặt vùng DMZ vào nhánh riêng tách rời với mạng cục Mục đích thiết lập vùng DMZ để tránh công từ bên ngồi từ mạng nội Cấu hình Firewall bên ngòai (External) + Trong trường hợp này, sử dụng loại Firewall hãng khác External Firewall Checkpoint, Internal Firewall hãng khác + Trên Firewall External, nên dùng NIC nối với Switch, qua Switch kết nối với line nhà cung cấp khác để thiết lập chế cân tải, tăng linh hoạt đảm bảo quy trình kết nối đến Trường Đại Học Hoa Sen, sở Trường Hoa Sen, người dùng truy xuất Web trường + NIC kết nối với vùng DMZ Địa mạng IP DMZ nên khác với mạng LAN, quản lý truy cập qui tắc (rule) Web and Server publishing Tổng quát, yêu cầu (request) Internet trả lời mạng cục Điều giúp bảo vệ lưu lượng Internet thực tốt Ngồi ra, việc quan trọng khơng thể thiếu cấu hình IPS để phát ngăn chặn đợt cơng từ bên ngồi Kích hoạt tính bảo vệ hệ thống rule tính định nghĩa giao diện cấu hình Smart Console Kích hoạt tính đề cập phần IPS đề án Chúng ta phát triển thêm áp dụng vào mơ hình thực tế Chú ý : Trên Firewall Checkpoint đặt biên hệ thống Firewall cứng Trên Firewall Checkpoint nên cấu hình giao thức cho phép vào mạng Những vấn đề liên quan đến user Firewall ISA đảm nhiệm Cấu hình Firewall bên (Internal) - Cho phép DMZ truy cập mạng cục Chúng ta cấu hình rule cho phép có Server Smart Console có quyền kết nối cấu hình server vùng DMZ Trong trường hợp có WebServer DMZ, cần truy cập với SQL Server mạng cục Chúng ta nên tạo range Client gồm địa IP Web Server cho địa client thiết lập truy cập Hình – Cấu hình rule Firewall Internal - Chúng ta cấu hình để Client mạng chứng thực Radius Server Lưu ý : Tôi xin phép đề xuất trường hợp chứng thực user - Máy Firewall không join domain, nhiệm vụ chứng thực gửi yêu cầu đến cho RADIUS Server đảm nhiệm - Máy Firewall join domain, dùng sở liệu domain để chứng thực user Khi không cần dựng thêm Radius Server Ở mơ hình chúng tơi đề xuất phương án dựng thêm Radius Serer để tăng tính bảo mật Firewall đặt biên hệ thống Internal, dù hacker có truy xuất đến ISA khơng tìm tồn vẹn sở liệu bên sở liệu user đặt máy Domain Controller Chúng xin phép khái quát áp dụng tính bảo mật tối ưu Firewall Checkpoint cho hệ thống mạng: 1) Thiết lập Rule, Security Policy quản lý mạng hệ thống trường Bảo mật cho mạng wifi tính ngăn chặn tru nhập website độc, giới hạn thời gian, quyền truy nhập Users… 2) Tính đáng kể IPS (Instrusion prevention systems) cần sử dụng bảo vệ Server hệ thống, nhằm phát ngăn chặn công tội phạm an ninh mạng, tác nhân có nguy gây ảnh hưởng đến uy tính nhà trường lợi dụng Website Hoa Sen để phát tán mã độc hại.Chúng ta thiết lập Module đặt trước WebSever, MailServer Module đặt biên hệ thống 3) Sử dụng chức ISP Redundancy để đảm bảo tính sẵn sàng hệ thống đảm bảo điều kiện kết nối Internet cho sinh viên giảng viên nhằm tăng chất lượng dạy học trường 4) Cơ chế Load Balancing không phần quan trọng, cần áp dụng triệt để để tăng suất làm việc cho Server, đặt trưng Server đăng ký mơn học trực tuyến Tránh tình trạng tắt nghẽn tải lượng truy cập mạng 5) Web nội trường Đại Học Hoa Sen truy cập cá nhân có chức trách Sử dụng tính bảo mật Firewall Checkpoint để đảm bảo nghiêm ngặt lần truy cập PHẦN 6: TÀI LIỆU THAM KHẢO CheckPoint_R70_ReleaseNotes, August 27, 2009 CP_R70_Firewall_AdminGuide, March 5, 2009 CP_R70_IPS_AdminGuide, 701682 March 8, 2009 CP_R70_PerformancePack_AdminGuide, March 8, 2009 CP_R70_Security_Management_AdminGuide, 701676 March 8, 2009 CP_R70_UserAuthority_AdminGuide, March 8, 2009  Công cụ hỗ trợ: Check_Point_SmartConsole_R75_Windows ...i TRÍCH YẾU Trong đề án tốt nghiệp đề tài “Xây dựng Firewall & IPS Checkpoint” Tôi nghiên cứu sản phẩm Checkpoint, tính quản... động xâm nhập trái phép sử dụng tài nguyên trái phép ăn cắp thông tin, hoạt động giả mạo nhằm phá hoại tài nguyên mạng sở liệu hệ thống Vấn đề bảo mật mạng vấn đề thiết ta nghiên cứu hệ thống... bảo vệ tài nguyên khỏi mát hư hại Một hướng tiếp cận khả thi trả lời câu hỏi sau : • • • Chúng ta muốn bảo vệ tài nguyên ? Chúng ta cần bảo vệ tài nguyên khỏi người ? Có mối đe doạ ? • Tài nguyên