MÔ HÌNH BÀI LABCHECK POINT SECURTIY ADMINISTRATOR

CHƯƠNG I: TỔNG QUAN VPN-1 NGXCheck Point SVN ( Secure Virtual Network ) là một cấu trúc cung cấp tính

năng bảo mật cho end-to-end network, giúp cho doanh nghiệp bảo vệ các luồng traffic trong intranet, extranet… VPN-1 NGX là một trong những thành phần chính của cấu trúc SVN. Nó làm cho network của enterprice được bảo mật và được quản lý bằng một Security Policy đơn cho toàn network.

Mục đích của bài học

• Các thành phần của VPN-1 NGX như thế nào ?

• Bằng cách nào Check Point SVN Architecture bảo vệ thông tin cho bạn

• Dự đoán cách hoạt động của NGX khi được cấu hình.

• Chọn ra Smart Console thích hợp để thực hiện công việc cấu hình.

• Nhận dạng làm sao triển khai VPN-1 NGX một cách thích hợp nhất tùy theo tình hình cụ thể của bussiness.

• Troubleshoot những lỗi thường gặp trong các thành phần của NGX.

Một số thuật ngữ

• Stateful Inspection

• Security Gateway

• Rule Base

• Security Virtual Network Architecture

• Smart Console

• Smart Center Server

• Security Gateway

• Secure Internal Communication

I. How VPN-1 NGX Work

VPN-1 NGX giúp ta tiết kiệm tài nguyên của hệ thống và thời gian xử lý bằng cách nó sẽ xử lý thông tin bên trong kernel của hệ điều hành. Những ứng dụng những trình xử lý ở phía trên kernel layer thường làm cho performance bị giảm. Như vậy bằng cách đặt nó vào trong module kernel ở giữa stack của NIC và TCP/IP, NGX giải quyết được vấn đề bảo vệ TCP/IP stack bằng chính nó.

The Inspect Engine

Cấu trúc Check Point Firewall-1 Stateful Inspection là Inspect Engine khác thường, khéo léo. Ở đây nó sẽ ép Security Policy vào Security Gateway. Và đây là chỗ Security Policy được install vào. (VPN-1 NGX sẽ được install vào trong một Security Gateway mà chính bản thân nó là một firewall ). Inspect Engine sẽ nhìn vào nhìn vào các kết nối ở các layer, rút ra những data có liên quan, hiệu suất hoạt động của nó cao, hỗ trợ nhiều protocol nhiều ứng dụng khác nhau, dễ dàng mở rộng thêm cho những ứng dụng mới.

Khi install trên một Security Gateway thì Inspect Engine điều khiển traffic tryền qua lại giữa các network. Inspect Engine được load vào OS một cách tự động và nó sẽ hoạt động giữa layer 2 và layer 3. Ta có mô hình hoạt động của khi không có như sau:

Mô hình hoạt động khi có Firewall Inspect Engine như sau:

Sơ đồ luận lý bên trong như sau:

1. Paket được truyền qua NIC rồi được truyền vào NGX Inspection Module. Sau đó nó sẽ kiểm tra những packet và data bên trong nó.

2. Engine lần lượt kiểm tra xem có match những rule. Nếu như không có rule nào match thì packet đó bị drop.

3. Trong trường hợp rule đó match thì nó sẽ được ghi lại file log và cảnh báo nếu có sẽ được kích hoạt.

4. Những packet nào thỏa mãn những điều kiện để truyền qua sẽ được tiếp theo luồng TCP traffic đi lên những layer cao hơn.

5. Những packet nào không thỏa mãn những điều kiện và bị reject bởi những rule đã được định nghĩa thì NGX sẽ gửi một acknowledgement (ACK)

6. Những packet nào không thỏa mãn những điều kiện và bị drop bởi những rule đã được định nghĩa thì NGX sẽ drop packet đó và không có gửi về một negative acknowledgement (NACK)

II. VPN-1 NGX ARCHITECTURE

• Kiến trúc Checkpoint SVN (Secure Virtual Network) tạo nên tính bảo mật cho mạng thông qua chính sách quản lý đơn giản cho một enterprice network . Kiến trúc SVN phân bổ end – to – end network security, bảo vệ các luồng dữ liệu dành cho công việc kinh doanh ngoài môi trường internet, luồng dữ liệu intranet, extranet. Kiến trúc của VPN-1 là sẽ kiến trúc ba tầng được kết hợp chặt chẽ với nhau tạo thành một khối thống nhất để nhằm định nghĩa, thực thi và quản lý tập trung các chính sách.

• VPN-1 NGX bao gồm những thành phần chủ yếu sau:

• Smart Console và Smart Dashboard

• Smart Center Server

• Security Gateway

• Smart Console

Smart Console bao gồm nhiều client nhỏ để quản lý các thành phần của NGX. Các client của Smart Console bao gồm:

+ Smart Dashboard: được dùng bởi Security Administrator để định nghĩa và quản lý các chính sách bảo mật. Smart Dashboard cung cấp cho admin một giao diện đồ họa đơn giản. Chức năng của Smart Dashboard là định nghĩa và quản lý nhiều yếu tố của Secure Virtual Network. Ví dụ như Firewall Policy, Network Address Translation, Quality of Service, VPN client Security gateway. Quản lý tất cả các object như user, host, network, service…. mà nó được chia sẻ giữa các ứng dụng.

+ SmartView Tracker: được dùng để quản lý, theo dõi log, thực hiện cảnh báo. Nó có thể cung cấp quá trình kiểm tra theo thời gian thực, quá trình kiểm toán tất cả các connect vào. Ngoài ra thì SmartView Tracker cũng log lại các hành động của admin như vậy thì sẽ giúp cho quá trình troubleshoot nhanh hơn. Trong trường hợp có xảy ra attack hoặc ta đang nghi nghờ một kết nối nào đó thì Security Administrtor có thể dùng SmartView Tracker để tạm thời hoặc là cố định hủy session đó xuất phát từ một IP cụ thể.

+ SmartView Monitor: thường được dùng để theo dõi và tạo report về các traffic trên những interface của thiết bị.

+ Eventia Report: dùng để tạo report về traffic trong mạng theo nhiều hướng khác nhau. Để quản lý network một cách hiệu quả hay khi cần đưa ra một quyết định nào đó thì Security Administrator cần phải thu thập đầy đủ thông tin về hình dạng sơ đồ các traffic trong network. Eventia Report cung cấp cho người dùng một giải pháp thân thiện cho việc theo dõi và thẩm định traffic. Người admin có thể dùng Eventia Report để tạo ra bảng tóm tắt các traffic với nhiều định dạng khác nhau trên NGX, VPN-1 Pro, Secure Client, Smart Defense.

+ SmartLSM: dùng để quản lý nhiều Security Gateway bằng cách dùng Smart Center Server.

+ SmartUpdate: dùng để quản lý và duy trì license. Ngoài ra nó còn giúp cho việc update các software của CheckPoint.

b. Smart Center Server

Smart Center Server dùng để lưu trữ và phân phối Security Policy đến nhiều Security Gateway. Các Policy được định nghĩa bằng cách Smart Dashboard và được lưu trữ vào Smart Center Server. Sau đó Smart Center Server sẽ duy trì NGX database bao gồm các network object, định nghĩa user, Security Policy, log file cho Firewall Gateway.

Khi cấu hình NGX được tích hợp tất cả vào Security Policy. Tất cả các policy được tạo ra hay định dạng sau đó được phân phối đến Security Gateway. Việc quản lý chính sách nhóm một cách tập trung nâng cao hiệu quả.

c. Security Gateway

• Security Gateway chính là firewall machine mà ở đó NGX được cài đặt vào dựa trên Stateful Inspection. Smart Console và SmartCenter Server có thể triển khai trên một hay nhiều máy tính khác nhau theo mô hình client/server.

• NGX Security Gateway có thể triển khai trên một Internet Gateway và một điểm truy cập khác. Security Policy được định nghĩa bằng SmartDashboard và được lưu trữ vào SmartCenter Server. Sau đó một Inspection Script được tạo ra từ những policy. Inspection Code được biên dịch ra từ script và nạp vào Security Gateway để bảo vệ network.

III. DISTRIBUTED DEPLOYMENTS

• NGX quản lý quá trình bảo mật thông qua kiến trúc ba tầng nhằm bảo đảm high performance, độ ổn định, tập trung hóa quá trình quản lý. Các thành phần của NGX phân bổ trên cùng một máy tính hoặc là có thể linh động hơn cấu hình các thành phần này trên các thiết bị với hệ điều hành khác nhau. Ta xem xét mô hình Client/Server như sau:

Note: Smart Center Server có thể quản lý các router mà ở đó các thành phần NGX được cài đặt vào.

• Cấu hình bên trên, Security Administrator có thể cấu hình và theo dõi các hoạt động trong network ở các site khác nhau từ một máy desktop nào đó. Các chính sách bảo mật (Security Policy) được định nghĩa bằng cách dùng SmartDashboard, trong khi đó database của firewall được bảo trì trên Smart Center Server. Các chính sách được upload đến ba thành phần của NGX trên mỗi site. Các NGX này có thể hoạt động trên nền các hệ điều hành khác nhau và có nhiệm vụ bảo vệ network tại site đó.

• Kết nối giữa Smart Console, Smart Center Server, các Security Gateway được, quá trình ta điều khiển từ xa cũng được bảo mật.

SVN FOUNDATION

Nền tảng của CHECKPOINT SVN (CPSHARED) là một hệ điều hành của Checkpoint và CHECKPOINT SVN được tích hợp trong mỗi sản phẩm của Checkpoint. Nền tảng của SVN bao gồm những thành phần sau:

• SIC ( Secure Internal Communication)

• CheckPoint Registry

• CPShared Daemon

• Watch Dog dùng cho critical Service

• Cpconfig

• License Utilities

• SNMP Daemon

Secure Internal Communication

• Checkpoint Secure Internal Communication là một tính năng nâng cao tính bảo mật cho network. Nó thực hiện bằng cách bảo mật quá trình quản trị giữa các thành phần trong Checkpoint NGX. Quá trình quản trị giữa các thành phần trong NGX bao gồm các yếu tố sau:

• Smart Center Server

• Smart Console

• Security Gateway

• Các ứng dụng OPSEC

• Ngoài ra thì SIC cũng góp phần làm cho quá trình quản trị đơn giản hơn, giảm bớt đi các tác vụ. Người admin chỉ cần làm một số thủ tục ban đầu đơn giản.

• Những lợi điểm về vấn đề bảo mật: SIC cho phép người Security Administrator xác nhận rằng một Smart Console nào đó đang connect đến Smart Center Server thì Smart Console đó được cho phép đã được thẩm định có quyền hạn connect đến Smart Center Server đó. Ngoài ra SIC cũng cho phép người administrator có thể xác nhận những chính sách bảo mật được load trên Security Gateway là được một Smart Center Server đã được thẩm định chuyển đến. SIC cũng bảo đảm những yếu tố thông tin đi trên đường truyền không bị thay đổi và được bảo đảm toàn vẹn

• SIC Certificate: Secure Internal Communication được dùng trong các thành phần của Checkpoint SVN đều sử dụng certificate cho quá trình chứng thực và quá trình mã hóa. SIC certificate được tạo ra bởi một engine của Checkpoint hay bởi những ứng dụng OPSEC và nó được truyền qua hệ thống Checkpoint NGX. Certificate được tạo bởi một Internal Certificate Authoriy (ICA) được cài đặt sẵn trên Smart Center Server. ICA có nhiệm vụ là tạo ra certificate phục vụ cho quá trình truyền dữ liệu giữa các thành phần

trong hệ thống Checkpoint và được quản lý bởi Smart Center Server. Mỗi một certificate sẽ được cấp cho một máy. VPN certificate ví dụ như certificate dùng cho IKE dùng trong kết nối VPN thì khác so với SIC certificate. Ta không nên nhầm lẫn giữa hai dạng certificate này. Tóm lại SIC certificate chỉ dùng để secure quá trình truyền thông giữa các thành phần thành phần bên trong internal mà thôi. Ta hãy xem xét quá trình hoạt động của nó theo sơ đồ bên dưới.

• ICA ( Internal Certificate Authority) có nhiệm vụ tạo ra Certificate cho Smart Center Server trong quá trình Smart Center Server được cài đặt vào Smart Center Server trong quá trình cài đặt một cách tự động.

• Những Certificate dùng cho các NGX Security Gateway và bất kỳ quá trình trao đổi giữa các thành phần đều được tạo ra thông qua quá trình khởi tạo đơn giản lúc ban đầu từ Smart Console. Thông qua quá trình lúc ban đầu, ICA được tạo ra, được kí xác nhận và phân bổ một certificate đến các thành phần giao tiếp. Mỗi module có thể thẩm định certificate cho quá trình chứng thực.

• Quá trình liên lạc giữa Smart Center Server và các thành phần của nó được chứng thực bằng cách sử dụng các certificate và nó còn tùy thuộc vào chính sách bảo mật được định rõ trong file chính sách bảo mật trong mỗi máy. Quá trình liên lạc có thể xảy ra giữa các thành phần bằng cách sử dụng Certificate thì ta phải dùng phiên bản thích hợp và phải chấp nhận phương pháp chứng thực và mã hóa. Smart Center Server và các thành phần của nó được định dạng bởi tên SIC của chính nó, nó cũng được biết đến như là Distinguished Name (tên dùng để phân biệt)

SIC BETWEEN SMART CENTER SERVER AND CLIENTS• Để thực hiện quá trình truyền thông SIC giữa Smart Center Server và Smart

Console, thì Smart Console phải được định nghĩa giống như việc xác định thẩm quyền để sử dụng Smart Center Server. Khi có nhu cầu sử dụng Smart Dash Board trên Smart Console ta cần phải thông qua một số bước như sau:

• Security Administrator được yêu cầu thẩm định chính bản thân mình.

• Administrator xác định địa chỉ IP của Smart Center Server.• Smart Console vào thời điểm kết nối lúc ban đầu kết nối Smart

Center Server dựa trên SSL.• Smart Center Server thẩm định địa chỉ IP đó thuộc Smart Console

có thẩm quyền.• Sau đó Smart Center Server sẽ gửi một Certificate.

• Dựa trên quá trình chứng thực bằng Certificate của Smart Center Server,

Secuirty Administrator bị yêu cầu thẩm định quyền hạn Smart Center Server mà Admin được connect đến. Quá trình thẩm định này được làm bằng cách sử dụng fingerprint của Smart Center Server. Nó thực chất là một chuỗi text, nó đại diện cho giá trị hash được tính toán từ Smart Center Server Certificate. Sau đó Administrator chấp nhận giá trị thẩm định của Smart Center Server, Administrator name và passrword được gửi về một cách bảo mật đến Smart Center Server. Username Administrator và password được dùng tiếp theo để nhận dạng và đê chứng thực user. Vào lần đầu tiên administrator tạo kết nối theo dạng SIC đến một network object nào đó thì sẽ được đệ trình một certificate và quá trình này chỉ được làm một lần. Administrator không thể thay đổi tên các network object.

IV. Lab 1 NGX Stand – alone InstallationTrong bài Lab này ta sẽ cài đặt Smart Center Server và VPN-1 Security

Gateway trên Secure Platform Pro machine. Và cài đặt Smart Console trên một máy tính Window Server 2003.

Các bước làm bài Lab như sau. Ta cần một máy tính có 2 card mạng.

• Cho đĩa NGX – R65 – Cd1 vào ổ đĩa quang. Chỉnh cho máy tính Boot From CD

• Ta bắt đầu quá trình cài đặt Secure Platform. Giao diện màn hình sẽ như sau:

• Ta chọn phiên bản Secure Platform Pro.

• Chọn dạng bàn phím là US

• Ở phần cấu hình network device ta cấu hình IP Address External cho một trong những card mạng . Ví dụ ta nhập vào địa chỉ 192.168.1.1/24 và Default gateway là 192.168.1.254 hướng đến router.

• Sau khi cấu hình IP, SecurePlatform hỏi ta có kích hoạt tính năng “Web base configuration” không, mặc định hệ SecurePlatform sẽ dùng port 443. Ta chọn OK

• CheckPoint SecurePlatform bắt đầu quá trình cài đặt.

• Sau khi cài đặt xong, username và password mặc định là admin và admin và ta có thể login thông giao thức https

• Ta thử login bằng username: admin và password: admin. Secure Platform yêu cầu ta thay đổi password. Lúc này ta đổi thành password 123abc!!!

• Ta đổi username mặc định là admin thành fwadmin

• Để tắt firewall, ta dùng lệnh shutdown.

• CLI trong CheckPoint Secure Platform

• Để thuận tiện trong quá trình cấu hình bằng giao diện dòng lệnh, ta cần tìm hiểu các tính năng trợ giúp của nó.

• Dấu “?” dùng để liệt kê các lệnh. Ta có thể xem hình bên dưới

• Ví dụ ta dùng lệnh hosts. Nhưng ta không biết cú pháp để gõ lệnh hosts như thế nào. Để hiển thị sự giúp đỡ ta nhập vào hosts –h hoặc hosts --help

• Giao Diện Cấu Hình Wizard

• Ta bắt đầu cấu hình, nhập vào lệnh sysconfig. Secure Platform sẽ trả về giao

diện như sau.

• Để tiếp tục ta nhập vào n để tiếp tục.

• Cấu hình Hostname

Tại giao diện Network Configuration, ta chọn số 1. Secure Platform trả về màn hình giao diện như sau. Ta nhập vào số 1 để chọn mục “Set host name”

Nhập vào tên hostname của firewall. Ví dụ ta nhập vào tên là fw_hochiminh. Và Enter

Để kiểm tra hostname ta nhập vào số “2”

TIP: Để gán hostname cho Firewall ta dùng lệnh hostname tên_firewall và để kiểm tra lại ta dùng lệnh hostname.

• Cấu hình Domain Name

Từ giao diện của sysconfig ta nhập số 2 để chọn cấu hình domain name.

Chọn số 1 cấu hình domain name và số 2 để kiểm domain name

TIP: Tương tự như cấu hình hostname, ta dùng lệnh domain name để cấu hình domain name và kiểm tra domain name.

• Cấu hình IP cho Internal Interface

• Từ giao diện của sysconfig ta nhập số 4 để chọn cấu hình Network Connection

• Chọn số 2 Configure Connection

• Chọn cổng mà ta muốn cấu hình IP. Ở đây ta chọn cổng eth1

• Chọn 1 vào mục Change IP Settings

• Chương trình sẽ yêu cầu ta nhập vào địa chỉ IP, subnetmask, địa chỉ IP broadcast tương ứng.

TIP: Dùng lệnh cấu hình IP cho các interface của SecurePlatform

• Để kiểm tra IP được cấu hình trên cổng, ta dùng lệnh ifconfig –a

• Cấu hình IP vào cổng eth0 ta dùng lệnh ifconfig eth0 để xem thông tin trên cổng đó. Lệnh ifconfig eth0 down để disable cổng.

• Gán ip vào một cổng ta dùng lệnh ifconfig eth0 192.168.1.100/24 và enable cổng eth0 ta dùng lệnh ifconfig eth0 up

• Cấu hình Default Gateway

• Từ giao diện dòng lệnh nhập vào sysconfig để đăng nhập vào giao diện cấu hình Wizard.

• Chọn n để tiếp tụcvào giao diện “Network Configuration”

• Tiếp tục ta chọn 5 để vào mục routing

• Đến đây ta có thể tiếp tục cấu hình Default Gateway IP hoặc kiểm tra thông tin Default Gateway bằng các option 1 và 2. Ví dụ ta chọn option 2 để kiểm tra thông tin default gateway

• Chương trình trả về cho ta IP Default Gateway là 192.168.1.254 như hình bên dưới

Tip: Cấu hình bằng dòng lệnh

• Cấu hình Default Gateway 192.168.1.254 cho cổng eth0. Đầu tiên ta dùng lệnh route để kiểm tra thông tin “Kernel IP Routing Table”.

• Trên màn hình ta thấy có hàng “default 192.168.1.254 0.0.0.0” là default gateway mà ta đã cấu hình.

• Ta xóa hàng đó đi bằng lệnh route del default gw 192.168.1.254

• Kiểm tra lại bằng lệnh route

• Cấu hình default gateway hướng đến 192.168.1.254 ta dùng lệnh route add default gw 192.168.1.254 và dùng lệnh route để kiểm tra lại

• Kiểm Tra Cấu Hình Các Cổng

• Ta cũng nhập vào lện sysconfig để vào wizard. Ta chọn số 5 để kiểm tra thông tin các kết nối.

• Ta nhập vào con số tương ứng đối với cổng trên firewall. Ví dụ ở đây ta nhập vào số 2 ứng với cổng internal của SecurePlatform

• Cấu Hình Time – Zone và Date

• Nhập vào sysconfig. Nhập vào n hai lần. SecurePlatform cho ta giao diện cấu hình

• Ta chọn số 1 để cấu hình Time – zone. Nhập vào số 5 ứng với chọn khu vực Asia

• Tiếp tục ta nhập vào số 49 để chọn nước Việt Nam

• Secure Platform sẽ xác nhận lại xem ta có dùng thông tin đó không ? Ta nhập vào số 1

• Ta tiếp tục cấu hình Date ta có thể dùng giao diện sysconfig. Mặt khác ta cũng có thể dùng dòng lệnh date 10-12-2009

• Cài đặt Smart Center Server vào SecurePlatform

• Ta login vào Secure Platform và nhập vào sysconfig để đăng nhập vào Wizard

• Ta đăng nhập vào giao diện như bên dưới và chọn Next

• Tiếp đến ta sẽ gặp màn hình về License Agreement

• Secure Platform yêu cầu ta chọn dạng CheckPoint Power hoặc là CheckPoint UTM . Ví dụ ở đây ta chọn dạng CheckPoint Power.

• Ta chọn kiểu cài đặt là New Installation ứng với số 1

• Ta chọn số 3 để install Smart Center Server

• Tiếp tục ta chọn Primary SmartCenter

• Ta chọn Next

• Ta chọn Next

• Quá trình Cài đặt bắt đầu.

• Sau khi quá trình cài đặt, SecurePlatform yêu cầu nhập License. Do ta đang dùng bảng evaluation nên ở đây ta nhập vào no

• Sau giai đoạn này SecurePlatform yêu cầu ta tạo thêm vào một administrator. Ta chọn yes.

• Ta tạo ra một username password cho Smart Center Server là admin_smartcenter và password 123abc!!!

• Tiếp tục ta cấu hình GUI Client. Hệ điều hành hỏi ta có muốn thêm vào GUI Client không. Ta có 6 kiểu nhập liệu như hình bên dưới

Ví dụ ta cho phép những IP thuộc đường mạng 192.168.1.0/24 thì ta sẽ nhập vào một hàng 192.168.1.0/255.255.255.0.

• Nếu như ta muốn bất kỳ máy nào cũng có thể connect đến Smart Center Server ta dùng chỉ Any.

• Tiếp tục nhấn phím Ctrl + D và chọn yes

• Secure Platform sẽ thực hiện quá trình cài đặt ICA (Internal Certificate Authority) và trả cho ta một chuỗi số fingerprint như hình bên dưới.

• Ta chọn no và reboot lại SecurePlatform.

Chú ý: Chỉ có một trong năm loại địa chỉ được định nghĩa ở trên sẽ được phép kết nối đến Smart Center Server.

CHƯƠNG II: SECURITY POLICY

- Security Policy là một thành phần cốt yếu hết sức quan trọng trong việc quản trị NGX R65. Nếu như ta định nghĩa không tốt Security Policy thì sẽ làm giảm đi hiệu quả của các giải pháp bảo mật.

- Ta sẽ định nghĩa ra khi nào network traffic nào ở trong vùng inbound và cái nào ở vùng outbound. Traffic nào được phép dẫn sang vùng DMZ, traffic nào được phép qua lại giữa các partner trong một tập đoàn...

- Những phần ta cần quan tâm trong mục này là:

• Security Policy Properties

• Rule Base

• Các field trong Global Properties

I. SECURITY POLICY

a. Định nghĩa Security Policy

- Security Policy là một thiết lập những rule. Và các rule này được tạo nên dựa theo chính sách bảo mật mạng. Trong R65 thì Security Policy được định nghĩa bằng cách sử dụng Rule Base. Thực chất Security Policy chỉ là sự tập hợp các rule.

- Rule bao gồm các đối tượng mạng như user, group, service, resource. Sau khi Rule được thiết lập thì NGX R65 sẽ phân phối nó đến Security Gateway

- Trước khi tạo ra Security Policy cho hệ thống của mình, ta nên xem xét hệ thống mạng của mình và trả lời một số câu hỏi:

• Những dịch vụ và session nào sẽ được phép đi ngang qua môi trường mạng

• Quyền hạn của user và phương pháp chứng thực

• Các Object bên trong network là gì ?

b. Định nghĩa Rule Base

- Rule Base là sự thiết lập các rule theo một thứ tự nhằm mục đích kiểm tra từng session đi ngang qua thiết bị

- Mỗi một rule xác định source, destionation, service, action ứng với mỗi một session

- Ngoài ra rule cũng xác định bằng cách nào một communication được theo dõi và ghi lại file log và sau đó gửi cảnh báo. Một Rule Base sẽ có giao diện như sau

II. INSTALL SMART CONSOLE VÀ DÙNG SMARTDASHBOARD

a. Install Smart Console trên PC

- Ta cho đĩa NGX – R65 – CD2 vào trong ổ đĩa quang

- Chọn Setup ta sẽ có giao diện màn hình như sau. Ta thực hiện quá trình cài đặt bình thường

• Ví dụ Smart Center Server ta chọn thuộc phiên bản CheckPoint Power nên ở đây ta cũng chọn như vậy.

• Chọn New Installation

• Ta chỉ chọn Smart Console và chọn Next tiếp tục

• Ta để mặc định, chọn hết các thành phần của Smart Console như hình bên dưới.

Cách Install khác

b. Dùng Smart DashBoard login vào Smart Center Server

- Ta kích hoạt Smart Dashboard. Nhập vào username và password của Smart Center Server và địa chỉ IP của Smart Center Server đã được định nghĩa trong GUI Client. Ta Click Ok

• Lúc này ta thấy Smart Center Server trả về cho ta một số Fingerprint. Ta kiểm tra nếu giống thì Click Approve.

• Ta đã login vào Smart Dash Board thành công

III. ĐỊNH NGHĨA CÁC OBJECT MỨC CƠ BẢN

• Security Policy được tạo nên bởi các cấu hình được thiết lập trong Security Gateway, các rule tường minh và hàm ẩn. Mỗi một rule được cấu thành bởi các object và action tương ứng do ta định nghĩa nhằm xem xét từng kết nối khi đi qua Firewall.

• Để định nghĩa được Security Gateway trước tiên ta phải định nghĩa ra các object nó đại diện cho các thành phần bên trong sơ đồ mạng

• Trong bài Lab ta đã làm ở trên bao gồm có các thành phần là Security Gateway và Smart Center Server được cài đặt trên một thiết bị phần cứng. Như vậy object Smart Center Server mặc định là fw_hochiminh được tạo ra sau khi cài đặt.

• Ta sẽ thực hiện bài Lab kế tiếp theo mô hình sau

• Tạo ra Security Gateway Object

• Object này đã có sẵn ta chỉ cần hiệu chỉnh nó lại theo đúng sơ đồ mạng

• Ta vào mục Network Object và tiếp tục chọn mục Check Point.

• Dectect IP Spoofing

• Spoofing là một kỹ thuật mà các hacker thường dùng để nâng quyền truy cập bằng cách thay đổi IP address. Việc thay đổi địa chỉ IP là cho các packet của từ máy hacker giống như là gói tin xuất phát từ một phần network với quyền truy cập cấp cao hơn.

• NGX R65 phát triển một cơ chế để giám sát các packet bằng cách yêu cầu các interface mà các packet phải đi qua cho biết IP tương ứng với cổng của nó.

• Anti spoofing thẩm định các xem các packet này đến từ đâu, đi đến đâu, gateway chính xác của nó sẽ là gì ? Nó sẽ khẳng định rõ gói tin này mang IP là internal network này thật sự xuất phát từ internal network. Nó cũng thẩm định cho ta biết khi packet này được route thì nó sẽ đi thông qua cổng nào.

• Để cấu hình anti spoofing, thì trước hết các network phải có thể thấy được nhau. Các network được định nghĩa đúng theo sơ đồ. Anti spoofing sẽ phát huy hiệu quả tốt nhất khi ta cấu hình nó trên các interface của gateway. Sau khi kích hoạt tính năng spoofing xong ta nên tiếp tục cấu hình spoofing tracking trên cổng đó luôn nhằm mục đích giúp cho việc phát hiện xâm nhập và ghi lại file log.

• Anti spoofing rule được cấu hình trong phần properties của đối tượng firewall trong smartdashboard. Rule này sẽ được cưỡng ép thực thi trước bất kỳ rule nào được định nghĩa trong phần Security Policy Rule Base.

• Ta sẽ cấu hình như sau. Chọn Edit trong Firwall Object. Tiếp tục ta chọn Topology

• Ta chọn vào một trong các cổng của Firewall. Và chọn Edit

• Tiếp tục ta check vào mục “Perform Anti Spoofing based on interface topology”

Trong mục Spoofing Tracking ta có những chọn lựa

• None: không làm thêm bất kỳ hành động gì

• Log: Những hành động spoofing sẽ được ghi log file log

• Alert: Một action cụ thể trong mục Popup Alert Command được thực hiện

Ghi Chú: Khi mà Anti Spoofing được cấu hình, một implicit rule based được tạo ra. Và nó sẽ là Rule Base đầu tiên được thực thi trước tiên.

• Multicasting

• Quá trình truyền theo dạng multicast nghĩa là một message sẽ được đến một group các người nhận đã được chọn. Multicast thường được dùng cho các ứng dụng real – time audio và video. Các gói tin trong ứng dụng multicast chỉ cần gửi một lần đến group các máy tính mà có nhu cầu nhận nó. Một địa chỉ multicast được gán cho các thiết bị thay vì một unicast address. Và các router trong network chỉ forward packet đến các router hay các host muốn nhận thông tin

• Cấu hình Multicast Access Control: Tab Multicast Restriction trong mục Interface Properties sẽ drop các gói tin multicast theo yêu cầu. Security Administrator có thể cấu hình một list các địa chỉ không được phép hoặc chấp nhận.

• Để cấu hình ta vào mục