Checkpoint [LAB 08] Cấu hình tính năng IPS

Quoc Cuong

Quoc Cuong

Internship/Fresher
Aug 19, 2024
38
7
8
20
Ho Chi Minh City
[LAB 08] Cấu hình tính năng IPS

Bài viết này sẽ hướng dẫn cơ bản về Threat Prevention trên thiết bị Firewall Checkpoint

- Threat Prevention bao gồm các Software Blades sau:
  • IPS – Intrusion Prevention System cung cấp khả năng bảo vệ chống lại lưu lượng mạng độc hại và không mong muốn bao gồm các lỗ hổng và khai thác đã biết, sử dụng sai giao thức, giao tiếp phần mềm độc hại gửi đi.
  • Anti-Bot – Phát hiện các máy bị nhiễm bot và ngăn chặn các thiệt hại do bot bằng cách chặn các giao tiếp Lệnh và Điều khiển của bot.
  • Anti-Virus – Cung cấp real-time virus signatures và anomaly-based protections.
  • Threat Emulation – Ngăn chặn sự lây nhiễm từ các hoạt động khai thác chưa được phát hiện, các cuộc tấn công zero-day và targeted attacks dựa trên khả năng phát hiện phần mềm độc hại sandboxing malware detection.
  • Threat Extraction – Xóa nội dung có thể khai thác khỏi tài liệu, bao gồm nội dung đang hoạt động và các đối tượng nhúng, cấu trúc lại tệp để loại bỏ các mối đe dọa tiềm ẩn và nhanh chóng cung cấp nội dung đã được khử độc cho người dùng để duy trì quy trình kinh doanh.
Bài viết này mình chỉ cấu hình blade IPS thôi ở các bài sau sẽ cấu hình thêm Anti-Bot, Anti-Viruss, Spam,..

1. Active blade IPS​

- Đầu tiên cần active blade IPS, chọn vào SG và ấn edit
1725973709890.png

- Bạn chọn qua ô Threat Prevention (Custom) và click chọn IPS
1725973799279.png

- Hộp thoại hiện ra chọn According to the Threat Prevention policy tùy chọn này sẽ kích hoạt IPS dựa trên chính sách ngăn chặn mối đe dọa đã được cấu hình và OK, nếu chọn Detect only thì nó chỉ phát hiện
1725993196707.png

- Sau khi hoàn tất bạn vào Security Policies => Custom Policy, sẽ có 1 policy mặc định với ActionOptimized
1725980712217.png

2. Tạo Profiles​

Các profile có sẵn của IPS đó là Optimized, Strict và Basic nhưng các profile này sẽ có các yêu cầu và hiệu suất khác nhau
+ Profile Optimized được tối ưu hóa để phát hiện và ngăn chặn các mối đe dọa có mức độ nghiêm trọng cao mà không gây ảnh hưởng nhiều đến hiệu suất mạng.
+ Profile Strict áp dụng các quy tắc nghiêm ngặt để phát hiện và ngăn chặn tất cả các mối đe dọa tiềm tàng, kể cả những mối đe dọa ít phổ biến hơn, nó sẽ giảm hiệu suất hệ thống vì phải xử lý tất cả các traffic
+ Profile Basic chỉ kích hoạt bảo vệ cho các mối đe dọa nghiêm trọng nhất, bỏ qua những cuộc tấn công ít quan trọng hơn để tối ưu hóa hiệu suất mạng.
Các profile phù hợp với môi trường lớn, thực tế ở đây thì mình chỉ làm trên môi trường ảo hóa nên sẽ tạo profile cho riêng hệ thống của mình.
- Để tạo profile bạn chọn Profiles và chọn như hình:
1725988416219.png

- Đặt tên cho profile và chỉ tick chọn đúng cái IPS và ở Activation mode bạn cũng nên chỉnh Prevent
Chọn mức bảo vệ cho từng loại mối đe dọa (high, medium, low).
Chọn hành động mặc định (Prevent hoặc Detect) cho các loại mối đe dọa khác nhau.
1725988497678.png

- Profile khi tạo xong chỉ có blade IPS là active
1725988568020.png

3. Tạo IPS Policy​

- Bạn qua Custom Policty và tạo ra 1 rule mới
1725988616045.png

- Ở phần Action thì bạn chọn vào Profiles vừa tạo
1725988796538.png

- Chọn vào SG như hình:
1725988941940.png

- Rule hoàn chỉnh:
1725989031134.png

- Đã tạo rule thì tiếp theo bạn di chuyển đến IPS Protections, search và chọn Host Port Scan
1725989186264.png

- Chỉnh như hình:
1725989228175.png

- Di chuyển qua tab Gateway và chỉnh lại Profiles đã tạo
1725989325122.png

1725989368445.png

1725989431748.png

- Tiếp theo tìm và chọn Max Ping Size:
1725989478230.png

- Chọn vào profile vừa tạo
1725989541878.png

- Ở đây thì mình sẽ chỉnh Drop các gói tin ping có kích thước lớn hơn 800 bytes
1725989602583.png

- Qua tab Advanced chỉnh về 800 bytes
1725989662813.png

- Qua tab Gateways cũng chỉnh về Profiles của mình
1725989726567.png

4. Install Policy​

- Install Policy
1725994381322.png

- Chọn Publish & Install
1725989846913.png

- Ở đây nhớ tick chọn vào Threat Prevention sau đó chọn Install
1725989914914.png

- Quá trình cài đặt
1725990224519.png

5. Kiểm tra LOG​

- Bạn có thể kiểm tra Log của IPS ở LOGS & MONITOR
1725990290138.png

- Chọn vào BladeAdd Filter
1725990377754.png

- Tìm và chọn IPS:
1725990418925.png

- Như vậy là blade IPS chưa có log nào cả
1725990458257.png

- Giờ ta sẽ thử vào Zenmap để Scan đến con Gateway
Khi thực hiện quét này, hệ thống IPS trên Check Point có thể phát hiện ra hoạt động quét mạng như là một dạng tấn công hoặc thăm dò (scan) và phản ứng theo chính sách bảo mật đã cấu hình, như là ghi nhận lại, chặn hoặc tạo cảnh báo.
1725990823372.png

Ngoài Zenmap (giao diện đồ họa của Nmap), còn nhiều công cụ khác có thể được sử dụng để thực hiện các tác vụ quét mạng và kiểm tra bảo mật, một số công cụ phổ biến khác bạn có thể sử dụng để quét mạng: Nessus, OpenVAS, Hydra, Metasploit,..

- Load lại Log thì sẽ thấy 1 log mới, ấn vào để kiểm tra
1725990971352.png

- Nó đã phát hiện có và có thông báo về việc phát hiện một cuộc quét cổng (port scan) từ địa chỉ IP 192.168.232.1 đến địa chỉ IP 192.168.232.121.
1725991079858.png

-> Hệ thống IPS của Check Point đã phát hiện một cuộc quét cổng xuất phát từ IP 192.168.232.1 nhằm kiểm tra các cổng trên IP 192.168.232.121 và ghi nhận log để quản trị viên xem xét, còn về phần ngăn chặn thì các bài viết sau mình sẽ tìm hiểu thêm.

- Tiến hành ping vào Gateway vẫn được thì gói tin bình thường mặc định có kích thước 32 bytes
1725991630171.png

- Lệnh ping 192.168.232.121 -l 1000 có nghĩa là bạn đang gửi một gói tin ICMP tới địa chỉ IP 192.168.232.121 với kích thước gói là 800 byte, khi gói tin có kích thước 800 thì vẫn có thể ping được nhưng hệ thống sẽ cảnh báo
1725991716409.png

- Kiểm tra lại log thì hệ thống có 1 cảnh báo
1725992161425.png

- Khi ping với kích thước là 801 byte thì đã bị chặn lại vì trong policy khi nãy mình đã cài đặt là 800.
1725991793192.png

- Kiểm tra log
1725991995818.png

1725992028704.png

- Log của 2 hành động trên:
1725991840229.png


Như vậy đã hoàn thành việc tạo ra hệ thống phát hiện xâm nhập (IPS), ở phần tiếp theo mình sẽ nói về hệ thống Anti-Bot, Anti-Virus,.. với các Software Blades khác. Chúc các bạn thành công :>
 

Attachments

  • 1725981535212.png
    1725981535212.png
    46.9 KB · Views: 0
  • 1725988880678.png
    1725988880678.png
    35.2 KB · Views: 0
  • 1725988942004.png
    1725988942004.png
    35.4 KB · Views: 0
  • 1725989645424.png
    1725989645424.png
    9.9 KB · Views: 0
  • 1725989914977.png
    1725989914977.png
    38.4 KB · Views: 0
  • 1725991259791.png
    1725991259791.png
    7.5 KB · Views: 0
Last edited:
You must log in or register to reply here.

Similar Threads

Quoc Cuong
Checkpoint [LAB 07] Cấu hình tính năng URL Filtering
Replies
0
Views
87
Quoc Cuong
Quoc Cuong
Quoc Cuong
Checkpoint [LAB 06] Cấu hình tính năng Application Control
Replies
0
Views
91
Quoc Cuong
Quoc Cuong
mmHmm
Checkpoint [LAB 02] Cấu hình Snapshot, Backup và Restore trên Check Point
Replies
0
Views
246
mmHmm
mmHmm
mmHmm
Checkpoint [LAB 01] Triển khai Check Point R81.20 Standalone trên VMware và cấu hình các thông tin cơ bản
Replies
0
Views
34
mmHmm
mmHmm
Quoc Cuong
Checkpoint [LAB 05] Cấu hình Preventing IP Spoofing
Replies
0
Views
175
Quoc Cuong
Quoc Cuong

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back