|
|||||
|
Thêm sản phẩm đã chọn vào giỏ hàng
Endpoint securitySV1 : 08520234_Phạm Nhật MinhSV2 : 08520358_Đỗ Công ThànhSV3 : 08520279_Lê Ngọc PhiSV4 : 08520092_Lê Phước ĐôngMục lục:1. Lý thuyết :1.1 Sơ nét về checkpoint :- CheckPoint là một trong những nhà cung cấp hàng đầu về các sản phẩm bảo mật Internet.Đặc biệt là các dòng sản phẩm firewall cho các doanh nghiệp, cá nhân và các công nghệ mạng riêng ảo VPN. - Đặc biệt các sản phẩm của CheckPoint cho phép việc tích hợp với hàng lọat các dòng sảnphẩm của hơn 350 hãng sản xuất thiết bị bảo mật nổi tiếng trên thế giới. - Checkpoint đưa ra khái niệm an toàn thông tin 3D Security được Check Point diễn giải bao gồm 3 nhân tố: Con người [People] Chính sách bảo mật [Security Policies] Công cụ thực thi chính sách [Enforcement].- Các chuyên gia của Check Point đã giới thiệu về các giải pháp bảo mật mới như : kiểm soát ứng dụng [Application Control] Ngăn chặn rò rỉ thông tin [Data Loss Prevention – DLP] Định danh người dùng [Identity Awareness]… - Check Point cũng nhấn mạnh đến kiến trúc an ninh dạng phiến [Security Software Blade]nhằm cung cấp cho khách hàng một giải pháp bảo mật tổng thể, có tính linh hoạt.- Hiện nay, thông qua nhà phân phối sản phẩm Check Point có thể lựa chọn các thiết bị bảomật chuyên dụng của Check Point như UTM-1 Series, Power-1 Series… Các sản phẩm này đã được cài đặt sẵn phiến bảo mật, đồng thời, khách hàng cũng có thể lựa chọn phiến bảo mật phù hợp với nhu cầu thực tế.- Đặc biệt, Check Point giới thiệu bộ sản phẩm R75 với những tính năng bảo mật mới, có hàm chứa khái niệm 3D Security. Sản phẩm R75 sẽ có 4 phiến bảo mật mới là Kiểm soát ứng dụng; Định danh người dùng; Ngăn chặn việc rò rỉ thông tin; Truy cập từ thiết bị di động [Mobile Acess Software]. Tính năng bảo mật đối với các truy cập từ thiết bị di độngcủa R75 sẽ cung cấp phương thức kết nối linh hoạt với các loại điện thoại thông minh, máy tính bảng, máy tính xách tay…1.2 Các tính năng bảo mật của checkpoint1.2.1 Mã hóa đĩa :- Mã hóa toàn bộ đĩa : Tự động mã hóa toàn bộ thông đĩa cứng, bao gồm dữ liệu người dùng, mã hóa hệ điều hành, các tập tin tạm và các tập tin đã bị xóa để bảo vệ tối đa dữ liệu. Các phân vùng vật lý được bảo vệ và được mã hóa đến từng sector[sector by sector].- Xác thực trước khi boot : Đảm bảo chỉ người dùng được xác thực mới được phép truy cập vào endpoint. Tất cả các thông tin đăng nhập phải được bảo vệ trước khi hệ điều hànhkhởi động. Có nhiều cơ chế để xác thực như : chứng thực dựa trên thẻ thông minh[smartcards], chứng thực người dùng …- Giao diện người dùng : cung cấp giao diện cho người dùng được quản lý tập trung và dễdàng quan sát trạng thái bảo mật và các log files- Remote Help : khi người dùng quên mật khẩu có thể lấy lại mật khảu dựa vào tính năng remote help.- Các thuật toán mã hóa đĩa có thể được dùng : AES [256-bit] Blowfish [256-bit] Cast [128-bit] 3DES [168-bit]- Các mức độ mã hóa đĩa :Mức độ bảo vệ Chức năng chínhCustom - Do người quản trị cấu hình mức độ bảo mậtLow - Thêm thiết bị mới không bị mã hóa- Mặc định, các đĩa cứng được mã hóa bằng giải thuật AES- Bảo vệ các trước khi boot Medium - Ngoài tính năng ở trên còn các tính năng như- Mã hóa toàn bộ các thiết bị và đĩa cứng đang tồn tạiHight - Ngoài tính năng ở trên còn các tính năng- Bảo vệ phần khởi động và mã hóa các phân vùng ẩn- Single sign on : Khi mã hóa đĩa xong lúc mới khởi động thì checkpoint sẽ yêu cầu mật khẩu người dùng của checkpoint, sau khi check point chứng thực xong thì người dùng lại tiếp tục gặp phải màn hình login của windows. Điều này gây phieenf ohuwcs cho người dùng, vì vậy checkpoint đưa ra tính năng single sign on tức là người dùng chỉ cần chứng thực lần đầu tiên tại màn hình login của checkpoint, sau đó checkpoint sẽ tự chứng thực người dùng với windows vì vậy người dùng chỉ cần login một lần để sử dụng máy tính.1.2.2 Media Encrypt :- Thiết lập mã hóa từ quản lý bảo mật tập trung : quản lý tập trung cho phép người quản trị thiết lập các chính sách mã hóa cho các thiết bị lưu động. - Khi mã hóa các thiết bị media thì checkpoint còn có khả năng phân quyền cho người dùng. Tức là phân quyền cho ai được sử dụng thiết bị này. - Ngoài ra checkpoint cung cấp mật khẩu mã hóa có quyền đọc,ghi, thực thi, hoặc toàn quyền xử lý trên thiết bị đó- Khi một thiết bị mới được gắn vào máy người dùng thị checkpoint sẽ thực hiện thống kê chi tiết về thiết bị đó- Việc mã hóa sử dụng thuật toán AES 256-bit để bảo vệ tối đa dữ liệu- Giao diện thiết lập truy cập các thiết bị như : USB, máy tin, ổ đĩa mềm …1.2.3 Firewall & Compliance Check :- Bảo vệ thiết bị đầu cuối bằng cách kiểm soát các lưu lượng trong và ngoài mạng, đảm bảo tuân thủ các chính sách bằng việc quản lý tập trung từ một giao diện điều khiển duy nhất1.2.4 Các chính sách chống phần mềm độc hại và virus :- Xác định và xóa các phần mềm độc hại đầu cuối hiệu quả, các virus, spyware, kelogger, Trojans, rootkits được phát hiện dựa vào chữ ký, các hành vi và phân tích thông minh heuristic. - Check Point cung cấp các cơ chế quét định kỳ và thời gian khởi động nhanh, tốn ít bộ nhớ và dung lượng đĩa- Kiểm soát các chương trình, chỉ cho phép các chương trình hợp lệ. Các chương trình cần phải kiểm chứng để ngăn chặn việc giả mạo, thay đổi ứng dụng.1.2.5 Kiểm soát ứng dụng của người dùng :- Kiểm soát ứng dụng của người dưới 3 trạng thái : allow, block, terminate. - Các ứng dụng người dùng bị chặn theo cơ chế : theo tên thực thi ứng dụng, chữ ký của ứng dụng Checkpoint kiểm soát ứng dụng người dùng rất chặt chẽ, các ứng dụng người dùng có thể bị checkpoint chặn khá mạnh mẽ như : chặn theo phiên bản của ứng dụng, chặn được cả các phần mềm dạng portable- Server tự động phát hiện các ứng dụng có kết nối internet mà client chạy, các ứng dụng này sẽ được checkpoint server lưu vào group ứng dụng, tại đây người quản trị có thể thêm ứng dụng này để chặn người dùng. Checkpoint cập nhập phiên bản ứng dụng ngay cả khi client chạy phần mềm với một phiên bản khác1.2.6 webcheck :- Bảo vệ máy tính trong mạng chống lại những trang web mạo danh - Lưu lại các thao tác của người dùng trên các trang web1.2.7 Theo dõi và thống kê :- Hiển thị hình ảnh tổng quan về mạng và hiệu suất của mạng. Tạo điều kiện cho phản ứng nhanh với những thay đổi trong hệ thống- Kiểm tra giám sát các thiết bị và thông báo thay đổi đến các cổng vào, các thiết bị cuối, người dùng từ xa, và các hoạt động an ninh1.3 Download phần mềm :- Vào trang chủ đăng ký tài khoản để tải ứng dụng xài thử 15 ngày//www.checkpoint.com/- Login vào trang web bằng khoản vừa tạo:- Vào mục My Product Try Our Order-
2. Mô hình triển khai :
Địa chỉ IP Hệ điều hành Cài đặtServer 192.168.1.200 Windows Server 2003 R2 AD và Endpoint Security E80.30Client – PC01 192.168.1.101 Windows XP ProfesstionalSp3Client – PC03 192.168.1.210 Windows XP ProfesstionalSp33. Triển khai ứng dụng :3.1 Các yêu cầu hệ thống trước khi triển khai :3.1.1 Đối với server :- Phần cứng :Thành phần Yêu cầu tối thiểuCPU Intel Pentium Processor E2140 or 2GHz equivalent processorRAM 2GBHDD[ổ đĩa để cài đặt]4GB- Các hệ điều hành máy chủ được hỗ trợ :Windows server : Hỗ trợ tất cả các phiên bản của Microsoft Windows server 2003 và 2008 Nếu dùng bản windows server 2008 R2 thì cần phải cài đặt .NET 3.5.1VMware : VMware ESX 3.5 VMware vSphere 4.0, 4.1 VMware ESXi 4.1.03.1.2 Đối với client :- Phần cứng :Hệ điều hành Yêu cầu Windows XP 512 RAM và còn trống 1GB ổ cứng Vista và Windows 7 1GB RAM và còn trống 1GB ổ đĩa cứng - Các hệ điều hành client chủ được hỗ trợ : Microsoft Windows XP Professional 32 bit, SP3 Microsoft Vista 32/64 bit Microsoft Windows 7 Enterprise, Professional, Ultimate editions 32/64 bit and SP1 Windows Server 2008 32/64 bit Windows Server 2008 R23.2 Cài đặt :3.2.1 cài đặt Endpoint Security trên server quản lý :- Máy server cài windows server 2003 R2- Nâng cấp server 2003 lên domain - Cài .NET 3.5.1- Login vào tài khoản administrator để tiến hành cài đặt Endpoint Security.- Cho đĩa CD cài đặt vào chương trình sẽ tự động cài đặt.- Tiến hành cài đặt mới- Check vào các phần cần cài đặt : Endpoint Security, SmartConsole[các ứng dụng để quảnlý endpoint]- Chọn : primary Security Management dùng để cài cho máy chủ quản lý chính Endpoint- Nếu cần một máy chủ Endpoint phụ để hỗ trợ cho máy chủ quản lý chính Endpoint- Và lựa chọn cuối cùng là dùng cho máy Endpoint quản lý các Endpoint chi nhánh - Các lựa chọn đã được cài đặt thành công - Chọn nơi lưu trữ các cài đặt Checkpoint R70- Cài đặt hoàn thành- Chờ một thời gian để cài các SmartConsole- Chọn khu vực lưu trữ cài đặt các công cụ quản lý Smart Console- Tạo các tài khoản để quản lý và sử dụng Endpoint Security- Endpoint sử dụng CA nội bộ để xác thức- Như vậy Endpoint đã được triển khai thành công trên server.3.2.2 Triển khai Endpoint Security cho client :- Trên máy client cài đặt windows XP SP3- Tiến hành join domain : uit.local cho các máy client- Trên máy server cài đặt Endpoint tạo ra gói Agent để triển khai cài đặt cho máy client4. Triển khai các tính năng :4.1 Tính năng mã hóa đĩa :4.1.1 Tạo chính sách trên server :- Trên máy server tạo chính sách mã hóa đĩa và áp đặt chính sách này xuống cho client- Triển khai chính sách mã hóa toàn bộ ổ đĩa cho máy client PC03- Máy PC03 sẽ bị áp đặt chính sách mã hóa đĩa này- Ngoài chức năng mặc định là mã hóa toàn bộ ổ đĩa, người quản trị có thể chỉnh sửa chínhsách mã hóa đĩa như : lựa chọn phân vùng, lựa chọn ổ đĩa … để mã hóa. - Thuật toán mã hóa mặc định là AES 256 bit nhưng có thể lựa chọn các thuật toán khác4.1.2 Trên máy client :- Sau khi mã hóa xong thì khi khởi động lại máy tính client PC03 màn hình đăng nhập của checkpoint sẽ hiện ra yêu cầu username và password đăng nhập trước khi đi đến màn hình đăng nhập của windows4.2 Media Encrypt and port protect :4.1.1 Tạo policy trên server :- Trên server tiến hành tạo một rule mới cho client PC04- Lựa chọn tính năng Media encryption and Port protection. Dùng để quản lý các thiết bị media và các chức năng mã hóa, phân quyền … cho các thiết bị media như USB, ổ đĩa CD&DVD…- Policy sẽ đực áp đặt cho PC04 4.1.2 Trên máy client :- Sau khi trên server triển khai chính sách Media encryption and port protection thì trên máy client PC04 sẽ hiện bảng thông báo yêu cầu PC04 cài đặt policy trên- Sau khi chính sách được triển khai thì nó bắt đầu quét các thiết bị media, ở đây trên máy PC04 có cắm thiết bị Media là USB nên nó sẽ quét qua USB- Đây là màn hình quản lý của client giúp cho PC04 có thể xem các thiết bị Media với các tính năng như : tên thiết bị, dung lượng, quyền truy cập, trạng thái chứng thực, trạng thái mã hóa …- Ngoài ra còn cho phép client xem lại các log file.- Như hình trên thì máy PC04 chưa được mã hóa, bây giờ em sẽ triển khai tính năng mã hóa.- Ở đây check point sẽ yêu cầu mật khẩu để mã hóa, mật khẩu này sẽ yêu cầu lúc chúng ta mở USB chứa nơi mà chúng ta đã mã hóa.- Ở đây, check point đưa ra các lựa chọn mã hóa bao nhiêu phần trăm của USB, từ đó check point sẽ tạo ra một tập tin bị mã hóa trên USB để chứa các tài liệu yêu cầu bảo mật.Những phần không bị hóa vẫn có thể truy cập bình thường mà không yêu cầu mật khẩu đăng nhập.- Với tính năng Advanced setting là những tùy chọn nâng cao chẳng hạn như check point thiết lập những người dùng nào được sử dụng phần mã hóa trên USB, tạo ra mật khẩu cho người dùng chỉ có quyền đọc …4.1.3 Kiểm tra tính năng mã hóa USB :- Sau khi mã hóa xong USB chúng ta sẽ mang USB ra một máy tính khác để kiểm tra khả năng mã hóa USB. - Ở đây em sử dụng máy thật cài windows 7 để kiểm tra. Khi mở USB chúng ta thấy có một tập tin đã bị mã hóa. Trong tập tin mã hóa này chứa các tập tin mà chúng ta cần bảo mật.- Khi mở tập tin mã hóa của endpoint thì nó sẽ yêu cầu mật khẩu để chứng thực. Ở đây có hai loại mật khẩu : một loại mật khẩu chỉ có quyền xem không có quyền ghi, xóa … và một loại có toàn quyền do chúng ta cài đặt mã hóa lúc đầu.- Chúng ta sẽ thử nhập mật khẩu với người dùng chỉ có quyền đọc- Sau login thành công thì các tập tin bảo mật sẽ được hiện ra trong thư mục này. Tuy nhiên chúng ta chỉ có thể đọc và không thể sửa, xóa …Bây giờ em sẽ tạo thử một thư mục để kiểm chứng rằng chúng ta chỉ có quyền đọc.