Khóa luận Nghiên cứu triển khai Nokia Firewall

MỤC LỤC

 

BẢNG VIẾT TẮT 7

DANH SÁCH HÌNH VẼ 8

DANH SÁCH BẢNG 10

ĐẶT VẤN ĐỀ 11

CHƯƠNG 1. GIỚI THIỆU TỔNG QUAN VỀ NOKIA CHECK POINT VÀ HỆ ĐIỀU HÀNH IPSO 13

1.1. Giải pháp Nokia Check Point 13

1.2. Tổng quan Nokia Check Point 13

1.2.1. Hệ điều hành IPSO 14

1.2.2. Cài đặt HĐH IPSO và cấu hình ban đầu 14

1.2.2.1. Boot Manager 15

1.2.2.2. Cài đặt IPSO 16

1.2.2.3. Cài đặt ban đầu 19

CHƯƠNG 2. CÀI ĐẶT CHECK POINT NGX R62 22

2.1. Giới thiệu 22

2.2. Cài đặt package 22

2.2.1. Cài đặt gói wrapper 23

2.2.1.1. Cài đặt với CLI 23

2.2.1.2. Cài đặt với Nokia Network Voyager 23

2.2.2. Cài đặt SmartConsole NGX R62 24

CHƯƠNG 3. THIẾT LẬP CẤU HÌNH TƯỜNG LỬA 25

3.1. Thiết lập cấu hình ban đầu 25

3.2. Chính sách tường lửa mặc định 27

3.3. Thiết lập các luật tường lửa qua SmartDashboard 29

CHƯƠNG 4. THIẾT LẬP CẤU HÌNH NAT 32

4.1. Ẩn giấu đối tượng mạng 32

4.2. Cấu hình luật NAT 33

CHƯƠNG 5. CẤU HÌNH SMARTDEFENSE 35

5.1. Giới thiệu về SmartDefense 35

5.2. Network Security 36

5.2.1. Denial of Service 36

5.2.2. IP and ICMP 36

5.2.3. TCP 37

5.2.4. Fingerprint Scrambling 38

5.2.5. Successive Events 38

5.2.6. Dynamic Ports 38

5.3. Application Intelligence 39

5.3.1. HTTP Worm Catcher 39

5.3.2. Cross-Site Scripting 40

5.3.3. HTTP Protocol Inspection 40

5.3.4. File and Print Sharing Worm Catcher 42

CHƯƠNG 6. THIẾT LẬP CẤU HÌNH VPN 43

6.1. Tổng quan về VPN 43

6.2. Giải pháp VPN Check Point cho truy cập từ xa 43

6.2.1. Cấu hình Office Mode sử dụng IP Pool 43

6.2.2. Truy cập VPN từ xa sử dụng SecuRemote/SecureClient 49

CHƯƠNG 7. CẤU HÌNH VPN TÍCH HỢP LDAP 54

7.1. Giới thiệu sơ lược về LDAP 54

7.2. Cấu hình VPN tích hợp LDAP 56

7.2.1. Cấu hình máy chủ LDAP 56

7.2.2. Cài đặt và cấu hình VPN-1 57

7.2.2.1. Kích hoạt SmartDirectory trong Global Properties 57

7.2.2.2. Tạo một host object cho OpenLDAP server 57

7.2.2.3. Tạo một LDAP Account Unit 58

7.2.2.4. Tạo LDAP group 59

CHƯƠNG 8. TRIỂN KHAI THỰC TẾ 60

8.1. Phân tích và giải pháp 60

8.2. Cài đặt 62

8.2.1. Lắp đặt và cài đặt ban dầu 62

8.2.2. Thiết lập cấu hình 65

8.3. Giám sát và quản lý 80

KẾT LUẬN 86

PHỤ LỤC 87

Phụ lục A. fw1ng.schema 87

Phụ lục B: Hiện trạng mạng VNUNet 90

TÀI LIỆU THAM KHẢO 97

 

 

doc97 trang | Chia sẻ: netpro | Lượt xem: 1710 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Khóa luận Nghiên cứu triển khai Nokia Firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ải lên một trường để thay đổi nó theo yêu cầu. Sau khi thiết lập xong các luật, để áp dụng các luật đó lên hệ thống cần phải cài đặt (install) các luật bằng cách mở menu Policy, chọn Install. Nếu quá trình cài đặt bị lỗi thì hệ thống sẽ đưa ra báo lỗi cùng các thông tin cần thiết cho người dùng. Hình 3. Thực thi cài đặt Ngoài giao diện đồ họa SmartDashboard, để tối ưu điều khiển hệ thống tường lửa, người dùng cần biết một số câu lệnh sau đây (các lệnh này sử dụng trong môi trường console hoặc remote). cpstop: tạm dừng toàn bộ các sản phẩm của Checkpoint và SVN Foundation. cpstart: khởi động toàn bộ các sản phẩm của Checkpoint và SVN Foundation. cplic print: in ra licenses đã cài đặt. cplic put: thêm license. THIẾT LẬP CẤU HÌNH NAT Ẩn giấu đối tượng mạng Với sự phát triển mạnh mẽ của mạng Internet ngày nay, số lượng địa chỉ IPv4 ngày càng trở nên khan hiếm. Một trong những cách khá dễ dàng để khắc phục tình trạng khan hiếm địa chỉ IPv4 đó là sử dụng NAT. Chức năng Hide-mode NAT cho phép ẩn một dải địa chỉ sau một địa chỉ IP có khả năng định tuyến ra ngoài mạng. Ngoài ra, CheckPoint còn hỗ trợ tính năng Static NAT, tính năng này sẽ chuyển một địa chỉ ở dải trong thành một địa chỉ dải ngoài, tác dụng của nó là cho phép thiết bị có thể truy cập được từ cả bên trong mạng và ngoài Internet. Một lợi ích nữa của hide-mode NAT là nó giúp các thiết bị trong mạng ít có khả năng bị tấn công hơn. Mặc dù các thiết bị là ẩn so với bên ngoài, chúng vẫn có thể hoạt động trên Internet bình thường do cơ chế chuyển dịch cả địa chỉ cổng nguồn và đích của FW-1. Tường lửa sẽ duy trì một bảng dịch chuyển, và nó sẽ biết được máy nào cần kết nối từ cổng nguồn trong bảng này. Chú ý là cần có license để có thể hỗ trợ nhiều máy trạm bằng cơ chế DHCP trước khi NAT. Và để cho các máy trạm có thể kết nối tới các thiết bị khác, cần bật tính năng IP forwarding trong tường lửa. Bước tiếp theo là cấu hình NAT tại tab Address Translation trong Check Point SmartDashboard. Hình 4. SmartDashboard – Address Translation Những luật trong tab này có thể được khởi tạo tự động hoặc bằng tay tùy vào mức độ của mạng. Một luật gồm 2 phần chính sau : • Original packet • Translated packet Khi một kết nối tới tường lửa, nó so sánh gói tin cho địa chỉ nguồn, đích và dịch vụ của gói tin. Nếu đúng với những thông tin đã lưu, tường lửa sẽ chỉnh sửa nguồn đích và dịch vụ của gói tin dựa trên các luật NAT. Cũng giống như các luật tường lửa, các luật NAT cũng được đọc theo thứ tự từ trên xuống dưới. Do đó, nên đặt các luật thường sử dụng nhất ở bên trên cùng. Ngoài ra, người dùng cũng nên chú ý rằng tường lửa sẽ cho phép các gói tin có địa chỉ nguồn và đích sau khi NAT đi qua. Cấu hình luật NAT Việc cấu hình bằng tay các luật NAT cũng giống như cấu hình các luật tường lửa. Tuy nhiên CheckPoint cho phép cấu hình tự động các luật này khi cần. Để cấu hình tự động, vào Manage | Network Objects, chọn tab NAT. Hình 5. Cấu hình luật NAT tự động Chọn Add Automatic Address Translation Rules. Chọn Hide trong Translation Mode. Để xác định IP để ẩn trên mạng, gõ địa chỉ vào trong trường Hide behind IP Address (gõ 0.0.0.0 để tường lửa sử dụng địa chỉ external của nó). Ngoài ra, có thể sử dụng địa chỉ external của gateway bằng cách chọn Hide behind Gateway. Install On dùng để xác định tường lửa mà người dùng muốn áp dụng luật NAT này. Chọn All để áp dụng cho tất cả các tường lửa. Hình 6. Các luật NAT Như hình trên thì 2 luật phía trên là luật được tạo ra tự động. Cấu hình static NAT cũng tương tự như trên, chỉ khác là thay vì một dải địa chỉ, giờ đây cả nguồn và đích đều là địa chỉ đơn lẻ. Ngoài ra, ta có thể sử dụng một số tính năng của NAT như NAT 2 chiều hay NAT MAC, các tùy chọn này có thể được đặt trong Global Properties như trong hình dưới đây. Hình 7. Global Properties - NAT CẤU HÌNH SMARTDEFENSE [3] Giới thiệu về SmartDefense Tính năng chính của tường lửa là cho phép các truy cập hợp lệ đi qua và loại bỏ những truy cập không hợp lệ. Trong quá khứ, tường lửa đã hoạt động rất hiệu quả, tuy nhiên ngày nay rất nhiều lỗ hổng bảo mật trên các ứng dụng mạng có thể bị kẻ xấu khai thác và lợi dụng. Do đó mô hình “cho phép hoặc loại bỏ” đã không còn được sử dụng hiệu quả trên các hệ thống bảo mật thành công ngày nay. SmartDefense, một trong những thành phần chủ chốt trong bộ sản phẩm Check Point, là một giải pháp để giải quyết vấn đề này. Với cơ chế Application Intelligence, nó cho phép những truy cập hợp pháp tới các tài nguyên mạng trong khi vẫn bảo vệ được tài nguyên khỏi các tấn công. Phương thức hoạt động của SmartDefense là giám sát dòng lưu thông mạng qua tường lửa, so sánh những đặc tính của các gói tin lưu thông với những đặc tính đã xác định trước của một hành động tấn công. Những hoạt động đáng nghi đều được lưu lại và được gửi tới người quản trị mạng để họ chuẩn bị các biện pháp chống tấn công. SmartDefense hỗ trợ phát hiện năm loại tấn công sau: Denial of Service (DoS), Transmission Control Protocol/Internet Protocol (TCP/IP), tấn công ứng dụng, dò cổng và IP, và sâu máy tính. Với các tấn công ngày càng mới hiện nay, việc sử dụng một danh sách cố định các thuật toán phòng thủ sẽ không đảm bảo an toàn. Vì vậy SmartDefense cung cấp một dịch vụ cho phép cập nhật các thuật toán phòng thủ tấn công mới nhất. SmartDefense có cách thức hoạt động khác so với hệ thống phát hiện thâm nhập. Nó không cố gắng chống lại các kiểu tấn công mới được phát hiện, thay vào đó nó bảo vệ mạng khỏi các tấn công bằng cách thực hiện kiểm tra kĩ càng và nghiêm ngặt các tiêu đề của gói tin cũng như phần dữ liệu của giao thức để ngăn ngừa các dữ liệu nguy hại xâm nhập vào mạng. Ví dụ, thay vì xem xét danh sách một loạt các kiểu tấn công có thể sử dụng để tấn công vào máy chủ DNS , SmartDefense sẽ kiểm tra gói tin DNS xem nó có đúng với chuẩn RFC cho gói tin DNS hay không. Điều này sẽ giúp bảo vệ chống lại rất nhiều các kiểu khai thác hiện tại và ngay cả trong tương lai mà không cần phải liên cập nhật các dấu hiệu. Tuy nhiên phương thức này không cho phép bảo vệ trước mọi cuộc tấn công, vì có nhiều tấn công rất khó phân biệt với dòng dữ liệu hợp lệ. Một số kiểm tra quá nghiêm ngặt có thể loại bỏ nhầm các gói tin hợp lệ. Vì vậy đòi hỏi ứng dụng phải có sự linh động để cho phép người dùng có thể thay đổi độ nhạy cảm hoặc thậm chí là tắt bỏ hẳn sự bảo vệ. Tất cả các tùy chọn của SmartDefense được truy cập trong thẻ SmartDefense của SmartDashboard. Tùy chọn đầu tiên là Anti Spoofing Configuration Status cho phép xem chế độ chống giả mạo đã được kích hoạt chưa. Cần kích hoạt chống giả mạo trên tất cả các cổng của thiết bị để tránh trường hợp có kẻ giả mạo một IP hợp lệ để tấn công bằng cách gán cho mỗi cổng một nhãn External hoặc Internal (trong Check Point Gateway | Topology). Network Security Tính năng Network Security trong SmartDefense đưa ra rất nhiều bảo vệ chống lại các tấn công mạng, cơ chế hoạt động của nó khác với Application Intelligence (dựa trên sự nhận dạng gói tin). Denial of Service SmartDefense cung cấp khả năng phòng thủ chống lại ba kiểu tấn công DoS. Tấn công DoS làm cho máy chủ không thể trả lời lại những yêu cầu của người dùng hợp lệ. Bằng cách phát hiện ra hoạt động tấn công và chống lại kẻ tấn công, người có thể khôi phục lại tính sẵn sàng của hệ thống. Ba loại tấn công DoS có thể được phát hiện đó là: TearDrop: phát hiện gói tin IP trùng lặp. Ping of Death: phát hiện các gói tin ICMP quá kích cỡ. LAND: phát hiện các gói tin được bị thay đổi một cách không bình thường. IP and ICMP Phần IP và ICMP cho phép bảo vệ mạng khỏi những điểm yếu ở tầng 3 và tầng 4. Có một kiểm tra bắt buộc đối với từng gói tin để đảm bảo phần header, kích thước gói tin và các cờ không có biểu hiện bất thường nào. Tùy chọn Max Ping Size cho phép người dùng định nghĩa kích thước tối đa của gói tin ICMP để tránh những tấn công lợi dụng ICMP để làm tắc nghẽn mạng. Người dùng nên kích hoạt tùy chọn cho phép phân mảnh gói tin IP (Allow IP Fragments) để cho những trường hợp mà kích thước gói tin vượt quá kích cỡ tối đa. Tuy nhiên điều này nguy hiểm ở chỗ một người có thể giấu thông tin về hoạt động của anh ta bằng cách phân mảnh các gói tin để SmartDefense không thể nhận ra. Cách giải quyết đó là đặt giới hạn số gói tin chưa hoàn chỉnh và đặt tỉ lệ loại bỏ những gói tin không hoàn chỉnh (ví dụ 1gói/1giây). Phần Network Quota cho phép chống kiểu tấn công DoS bằng cách giới hạn lưu lượng và số kết nối của từng người dùng. Mặc định 100 kết nối/1 giây là hợp lý, vì người dùng hợp pháp sẽ không bao giờ đạt được số kết nối đó. Hình 8. Network Quota TCP Giao thức TCP có một số điểm yếu khá lớn, một trong số đó tạo nên kiểu tấn công SYN. Timeout for SYN attack identification là khoảng thời gian mà SmartDefense đợi trước khi coi một gói tin có phải là gói tấn công hay không. Switch to SYN Relay Defense upon detection of at least… định ra số lượng gói SYN trên timeout nhận được trước khi chuyển sang chế độ bảo vệ tấn công SYN. Chế độ này làm cho tường lửa trở thành một thiết bị trung gian giữa server và host ngoài nên những gói tin tấn công không đến được server, tầm khoảng 200 gói tin trên một timeout là một lựa chọn tốt. Tiếp đó là lựa chọn đưa ra bảo vệ đối với tấn công gói tin có MTU nhỏ. Để chống tấn công kiểu này, nên đặt kích cỡ gói tin nhỏ nhất (MTU) ít nhất là 350 bytes. Cuối cùng là lựa chọn kiểm tra thứ tự gói tin. Những gói tin mặc dù của người dùng hợp lệ nhưng vi phạm thứ tự cũng không được phép vào mạng. Fingerprint Scrambling Một máy từ xa có thể thu thập thông tin về máy bên trong mạng dựa trên những phản hồi của máy đó. Quá trình này gọi là in dấu. Tùy chọn SmartDefense fingerprint-scrambling giúp ngăn ngừa nguy cơ lộ thông tin cho phía bên kia. Có 3 loại fingerprint-scrambling là: giả mạo ISN (spoofing), TTL, và IP ID. ISN spoofing thay đổi thứ tự của bắt tay ba bước để làm cho hệ điều hành không nhận biết được. TTL, (time to live), xóa bỏ khả năng người bên ngoài nhận biết được khoảng cách giữa họ và mạng trong. IP ID chỉ dẫn tường lửa gán số hiệu của nó cho mỗi gói tin IP, do đó làm cho người ngoài không biết được hệ điều hành đang dùng của mình (vì từ số hiệu gói tin có thể suy ra được hệ điều hành đang sử dụng). Successive Events Tính năng này cho ta thấy một số sự kiện có thể là một tấn công mà người dùng có thể theo dấu được: Address spoofing: Một host ngoài lặp lại liên tục rằng nó là một địa chỉ từ khu vực cho phép truy cập vào mạng. Local interface spoofing: Một người dùng ngoài sử dụng địa chỉ hợp pháp. Port scanning: Có người dùng ngoài quét cổng trên mạng. Successive alerts: Khi VPN-1/FireWall-1 tạo ra một số lượng cảnh báo nhát định trong một khoảng thời gian. Successive multiple connections: Khi có một lương kết nối nhất định từ máy ngoài tới máy trong mạng. Dynamic Ports Có một số dịch vụ sử dụng những cổng động để truyền tải dữ liệu (ví dụ FTP)…, tuy nhiên cổng động cũng có thể là một trong những tấn công theo kiểu backdoor. Hình 9. Dynamic Ports Application Intelligence Tính năng này kiểm tra tất cả các dịhc vụ tầng ứng dụng như HTTP, Mail, FTP, Microsoft Networks, DNS, và VoIP. SmartDefense có khả năng kiểm tra tất cả dữ liệu trong gói tin và nhận biết được những gói tin đáng nghi. HTTP Worm Catcher Một trong những tấn công HTTP phổ biến là HTTP Worm Catcher Hình 10. General HTTP Worm Catcher Vừa qua, một loạt những sâu độc HTTP đã được lan tràn trên Internet và phá huỷ tài nguyên của nhiều công ty. Những sâu này lợi dụng những lỗ hổng bảo mật từ cả 2 phía HTTP client và server để lây lan trên những máy trong mạng. Bộ HTTP Worm Catcher, hoạt động trongVPN-1/FireWall-1, được cấu hình để nhận dạng những xâu kí tự xác định. Sau khi được xác định, những dữ liệu này có thể bị huỷ hoặc đánh dấu tùy theo yêu cầu người dùng. Cross-Site Scripting Mục này cho phép người dùng cấu hình tường lửa chống lại các tấn công ăn trộm thông tin bảo mật của người dùng bằng cách sử dụng cookies của Web server hay chạy những đoạn mã gửi thông tin cá nhân người dùng tới những tổ chức bên ngoài. Tất cả những phương thức trên đều tạo ra một đoạn mã trên Web server để lưu lại cookies ngừời dùng hay gửi mẫu thông tin để người dùng điền vào sau đó gửi tới bên ngoài. Mặc dù Web Server cũng có những bản vá lỗ hổng bảo mật kiểu này nhưng SmartDefense cũng thêm một sự bảo vệ nữa bằng cách loại trừ những yêu cầu HTTP POST và URLs mà có mã bên trong. HTTP Protocol Inspection Tầng bảo vệ thứ 2 của giao thức HTTP Hình 11. HTTP Protocol Inspection Hai header của gói yêu cầu và trả lời phải ở dạng kí tự ASCII, vì nếu không sẽ làm tràn bộ đệm, điều này cũng tương tự như một tấn công kiểu DoS. HTTP Format Sizes cho phép điều chỉnh những tham số của giao thức HTTP, đạt độ dài tối đa của URL với mặc định là 2048 bytes sẽ làm giảm khả năng người dùng vào những URL độc hại và khiến HTTP server ngừng hoạt động (mặc dù các server HTTP hiện nay đã có bản vá cho lỗi này). Giới hạn header về độ dài và số, mặc định là 1000 bytes và 500 được sử dụng để ngăn chặn những kẻ phá hoại gửi lượng lớn HTTP header hay một số HTTP header lớn tới HTTP server và làm cho server ngừng hoạt động và sau đó từ chối những người dùng hợp pháp hoặc thậm chí là chiếm lấy quyền điều khiển. Trong trường hợp này, VPN-1/FireWall-1 loại bỏ tất cả những kết nối nghi ngờ trước khi nó tới được HTTP server. Peer-to-Peer Blocking cho phép quản lý người dùng ở các mạng peer to peer hiện tại như Freenet, Gnuttela (có thể cho phép hay không cho phép sử dụng). Đồng thời cũng cho phép người dùng thêm mạng ngang hàng mới vào miễn là SmartDefense có thể quản lý được chúng. File and Print Sharing Worm Catcher File and Print Sharing Worm Catcher đặt tại tab Microsoft Networks bên dưới File and Print Sharing làm tăng khả năng nhận biết worm cho SmartDefense với những file chia sẻ của Microsoft. Cũng giống như HTTP Worm Catcher, SmartDefense có những dạng worm khác nhau và người dùng có thể thêm dạng worm vào hoặc tắt một dạng worm khác đi. Bật tùy chọn này bảo vệ hệ thống windows trong mạng khỏi những NetBIOS worms từ lỗ hổng CIFS của Windows 2000. Hình 12. File and Print Sharing THIẾT LẬP CẤU HÌNH VPN Tổng quan về VPN VPN (Virtual Private Network) là công nghệ cho phép tạo ra một kết nối riêng tư, an toàn qua hệ thống mạng Internet công cộng, hoặc qua một môi trường mạng dùng chung nào đó. Đặc trưng của VPN là nó tạo ra một đường hầm (tunnel) qua hệ thống mạng kết nối giữa hai thực thể bằng cách tạo ra một vỏ bọc cho gói tin IP được gửi đi. Các giao thức VPN được sử dụng để tạo ra vỏ bọc này. Khi bắt đầu đi vào đường ống, gói tin IP được đóng gói bởi các giao thức VPN như L2TP, IPSec. Để đảm bảo một kết nối an toàn và bảo mật, các giao thức VPN có thể được trang bị các tính năng như mã hóa gói tin (DES, AES), cơ chế chứng thực để chống lại kiểu tấn công man-in-the-middle, sử dụng hàm băm để bảo đảm tính toàn vẹn của nội dung gói tin… VPN được chia thành hai loại chính là VPN truy cập từ xa (Remote Access) và VPN mạng nối mạng (Site to Site). VPN truy cập từ xa là kết nối giữa một thiết bị đơn người dùng như PC, Laptop tới một VPN gateway được đặt tại ISP hoặc tại mạng nội bộ của tổ chức. VPN mạng nối mạng dùng để kết nối giữa hai mạng nằm cách xa nhau. Một đường hầm được tạo ra giữa hai VPN gateway của hai mạng. Khóa luận này sẽ trình bày cách sử dụng Nokia IP1220 như một VPN gateway cho phép người dùng truy cập từ xa vào mạng. Giải pháp VPN Check Point cho truy cập từ xa Giải pháp truy cập từ xa của Check Point cho phép tạo một đường hầm giữa người dùng từ xa và mạng nội bộ của một tổ chức. Cấu hình Office Mode sử dụng IP Pool Khi người dùng từ xa kết nối đến VPN gateway sử dụng Office Mode, sau khi chứng thực thành công, gateway gán cho máy từ xa một địa chỉ IP. Địa chỉ IP này có thể từ một dải IP được cấu hình trước (IP Pool) hoặc được cấp phát từ một máy chủ DHCP. Tùy vào yêu cầu, có thể cấu hình để tất cả người dùng hoặc chỉ một nhóm nào đó mới có quyền sử dụng Office Mode để truy cập VPN. Để bật chức năng VPN cho thiết bị người dùng phải mở cửa sổ CheckPoint Gateway bằng cách kích đúp vào biểu tượng thiết bị trong mục Network Objects - Check Point. Trong thẻ General Properties, mục Check Point Products, đánh dấu vào ô VPN. Hình 13. Check Point Gateway – General Properties Các bước cấu hình VPN truy cập từ xa qua chế độ Office sử dụng IP Pool được thực hiện như sau: Trước tiên, tạo một đối tượng đại diện IP pool, bằng cách chọn Manage | Network Objects | New | Network. Trong Network Properties, chọn tab General. Để thiết lập dải địa chỉ IP pool, nhập tên dải trong trường Name, nhập địa chỉ đầu tiên của dải trong trường Network Address sau đó nhập subnet mask tùy theo lượng địa chỉ muốn sử dụng trong trường Net Mask. Phần Broadcast Address và thẻ NAT không cần cấu hình. Hình 14. Tạo Network Object Mở cửa sổ Check Point Gateway, chọn thẻ Remote Access | Office Mode. Đánh dấu mục Allow Office Mode to all users. Đánh dấu mục Using one of following method, chọn Manual (using IP Pool) và chọn dải IP Pool vừa tạo ở trên. Mục Multiple Interfaces: hỗ trợ định tuyến gói tin khi thiết bị có nhiều cổng kết nối ra bên ngoài. Chọn Anti-Spoofing cho phép thiết bị kiểm tra các gói Office Mode để tránh trường hợp giả mạo gói tin. File ipassignment.conf được sử dụng để thực thi tính năng IP-per-user. Tính năng này cho phép người quản trị gán một địa chỉ cụ thể cho một người dùng xác định, hoặc một dải địa chỉ cho một nhóm khi kết nối với Office Mode. Hình 15. Cấu hình Office Mode Bước tiếp theo là tạo người dùng để truy cập VPN, phần này sẽ trình cách tạo người dùng VPN trong cơ sở dữ liệu của VPN gateway còn phần tích hợp với máy chủ LDAP sẽ trình bay ở phần sau. Vào Manager | User and administrator…, chọn New. Trong tab General, điền tên người dùng ở ô Login Name. Trong tab Authentication, chọn CheckPoint Password, sau đó nhập mật khẩu và nhấn ok . Hình 16. Tạo User Vào tab VPN Manager, nhấn chuột vào biểu tượng RemoteAccess. Trong Participating Gateways, nhấn Add để thêm thiết bị vào. Trong Participant User Groups, có thể thêm người dùng, nhóm hoặc All Users để cho phép tất cả người dùng. Hình 17. Remote Access Community Properties Vào tab Security thiết lập một luật cho phép truy cập từ xa với các trường như sau (luật trên cùng): Hình 18. Remote Access Rule Bước cuối cùng là thực hiện Install để áp dụng các thiết lập lên thiết bị. Ngoài ra còn có rất nhiều các tùy chọn khác để người dùng cấu hình. Như định nghĩa VPN Domain trong Check Point Gateway | Topology để giới hạn các đối tượng mạng tham gia vào VPN, người dùng từ xa sau khi kết nối VPN mạng chỉ có thể giao tiếp với các đối tượng thuộc VPN Domain. Hoặc các thiết lập trong Policy | Global Properties | Remote Access như các tùy chọn về cập nhật tôpô mạng, hỗ trợ IKE qua TCP… Truy cập VPN từ xa sử dụng SecuRemote/SecureClient SecuRemote/SecureClient là công cụ máy khách cung cấp chức năng truy cập VPN Check Point cho người dùng và bảo vệ các thông tin nhạy cảm khi giao tiếp với mạng nội bộ và các server qua đường hầm VPN. Người dùng VPN được quản lý bằng cơ sở dữ liệu bên trong của VPN-1 Pro Gateway hoặc bằng một máy chủ LDAP riêng. SecureClient cải tiến hơn so với SecuRemote nhờ có thêm một số tính năng. Bảo mật: Chính sách bảo mật desktop Ghi log và thông báo Thẩm định cấu hình bảo mật Kết nối: Office Mode Client Mode Hub Mode Quản lý: Phân phối phần mềm tự động Các tùy chọn phân phối và đóng gói nâng cao Các công cụ chẩn đoán Sau đây khóa luận sẽ hướng dẫn sử dụng SecureClient để kết nối đến VPN gateway thiết lập Office Mode. Ứng dụng SecureClient khi cài đặt xong sẽ hiển thị một biểu tượng trên khay công cụ. Khởi động SecureClient. Nếu chưa có site nào được tạo, chương trình yêu cầu người dùng tạo một site mới. Nhập địa chỉ của VPN gateway vào ô Server Address or Name rồi nhấn Next. Hình 19. Server Address Tiếp theo là chọn phương thức xác thực. Đánh dấu vào tùy chọn User name and Password. Nhấn Next. Sau đó nhập tên và mật khẩu truy cập VPN. Hình 20. Authentication Method Sau khi nhập tên và mật khẩu, bước tiếp theo chọn kiểu kết nối Advanced. Hình 21. Connectivity Settings Sau đó các tùy chọn nâng cao hiện ra. Chọn Perform IKE over TCP (tùy vào thiết lập tại VPN gateway). Hình 22. Advanced Settings SecureClient kết nối đến VPN gateway và nhận được một Certificate Authority để người dùng kiểm tra xem đã kết nối đến đúng site chưa. Hình 23. Validate Site Nếu tạo site thành công, chương trình sẽ hiển thị thông báo cho người dùng. Nhấn Finish để kết thúc. Sau đó chương trình hiển thị ra giao diện dùng để kết nối. Hình 24. Giao diện kết nối SecureClient Nhập password rồi nhấn Connect. SecureClient giao tiếp với VPN gateway và thực hiện xác thực. Nếu xác thực thành công chương trình sẽ hiển thị thông báo cho người dùng đồng thời tải về các thông tin về tôpô mạng và các thiết lập Profile. Lúc này người dùng đã được phép truy cập vào mạng nội bộ giống như một máy nằm trong mạng. Tạo Profile: Vào Option, chọn Setting. Cửa sổ cấu hình SecureClient hiện ra. Tại đây người dùng có thể tạo một Site, Profile mới, xóa hoặc sửa đổi thuộc tính của Site, Profile. Profile được tạo ra để sử dụng trong các điều kiện kết nối khác nhau. Để tạo một Profile mới, chọn New | Profile. Xuất hiện cửa sổ Profile Properties. Trong tab General, người dùng có thể đặt tên cho Profile, xác định địa chỉ site, gateway kết nối đến. Trong tab Advanced người dùng có thể cấu hình tùy chọn Office Mode, các tùy chọn cải thiện kết nối và cấu hình Hub Mode. Cập nhật Site: Nếu VPN gateway đặt cấu hình tự động cập nhật thì sau một khoảng thời gian, SecureClient sẽ tự tải về các thông tin tôpô và Profile. Người dùng cũng có thể tự cập nhật Site bằng cách vào cửa sổ cấu hình, nhấn chuột phải lên Site và chọn Update Site. Hình 25. Tạo Profile CẤU HÌNH VPN TÍCH HỢP LDAP Giới thiệu sơ lược về LDAP LDAP (Lightweight Directory Access Protocol) là một giao thức tầng ứng dụng dùng để truy cập vào dịch vụ thư mục (Directory Services) chạy trên bộ giao thức TCP/IP. Thư mục là một tập các đối tượng với các thuộc tính được mô tả và tổ chức một cách logic và phân cấp giúp cho việc quản lý và tìm kiếm trở nên dễ dàng và nhanh chóng. Có rất nhiều ví dụ về thư mục như: danh bạ điện thoại, danh mục hàng hóa, Domain Name System… Tương tự như các giao thức như FTP hay HTTP, LDAP hoạt động theo mô hình client-server. Và đương nhiên nó phải định nghĩa một tập các thông điệp request và response giữa LDAP client và LDAP server. LDAP server có nhiệm vụ tương tác với dữ liệu đã được lưu trữ để trả về cho client. Hình 26. Hoạt động của giao thức LDAP Trong mô hình LDAP dữ liệu được lưu trữ dưới dạng một cây thư mục. Entry là đơn vị cơ bản của thông tin trong thư mục. Mỗi entry chứa một tập các thông tin về một đối tượng. Hình 27. Entry Mỗi entry có một DN (distinguished name) duy nhất, không trùng với bất kỳ một DN nào khác trong thư mục. Ví dụ trong hình trên DN của tổ chức là dc=example, dc=com. Mỗi entry gồm một tập các thuộc tính (attributes). Mỗi thuộc tính thuộc một loại (type) và chứa một hoặc nhiều giá trị (value). Schema là một định nghĩa dữ liệu cho thư mục và cách máy chủ và máy khách xử lý các thao tác với thông tin như thế nào (ví dụ như tìm kiếm). Một schema chứa định nghĩa các loại thuộc tính (OID, tên, cú pháp, luật matching của thuộc tính) và các objectClass. LDAP Interchange Format (LDIF) là một khuôn dạng tệp văn bản chuẩn để lưu thông tin cấu hình LDAP và nội dung thư mục. Một tệp LDIF gồm: - Một tập entry tách biệt nhau bởi các dòng trắng - Một ánh xạ tên thuộc tính sang giá trị - Một tập các chỉ thị cho bộ phân tích cú pháp biết cách xử lý thông tin. Tệp LDIF thường được dùng để nhập dữ liệu mới vào thư mục hoặc thay đổi dữ liệu đã tồn tại. Dữ liệu trong LDIF phải tuân theo luật schema của thư mục LDAP. Mỗi mục được thêm hoặc thay đổi trong thư mục sẽ được kiểm tra ngược lại schema. Một schema violation xảy ra nếu dữ liệu không phù hợp với các luật tồn tại. Hình 2-1 thể hiện một cây thư mục đơn giản. Mỗi entry trong thư mục được biểu diễn bởi một entry trong tệp LDIF. Giả sử với entry trên cùng của cây với DN: dc=plainjoe, dc=org: # LDIF listing for the entry dn: dc=example,dc=com dn: dc=example,dc=com objectClass: domain dc: example So sánh với tổ chức của một filesystem, DN tương tự như một đường dẫn tuyệt đối, còn RDN (Relative DN) giống như tên file. Nhưng khác với một tên file, RDN có thể được tạo nên từ nhiều thuộc tính. Ví dụ một RDN đa trị: cn=Jane Smith+ou=Sales, dấu “+” dùng để phân biệt hai thuộc tính. Thuộc tính và cú pháp thuộc tính tương tự như biến và kiểu biển trong lập trình. Thuộc tính cũng như biến dùng để chưa giá trị. Còn cú pháp thuộc tính hay kiểu biến dùng để xác định loại thông tin nào có thể được lưu trữ trong biến. Thuộc tính khác biến ở chỗ nó có thể đa trị. Khi gán một giá trị mới cho một biến, giá trị cũ bị thay thế. Nhưng khi gán một giá trị mới cho thuộc tính, giá trị đó sẽ được thêm vào danh sách giá trị của thuộc tính. Một thuộc tính là đa

Các file đính kèm theo tài liệu này:

  • docNghiên cứu triển khai nokia firewall.doc