TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 1 ĐỒ ÁN TỐT NGHIỆP: XÂY DỰNG HỆ THỐNG TƢỜNG LỬA CHO DOANH NGHIỆP VỚI MICROSOFT ISA SERVER TP.Hồ Chí Minh, Ngày 12 Tháng 06 Năm 2011 GVHD: Thầy Dương Minh Trung. SVTH: - Trần Thế Cường. - Phan Đình Đảm. - Phạm Gia Nguyên Huy. Chuyên Ngành: Quản Trị Mạng Máy Tính. Lớp: 01CCHT02. Niên Khóa: 2008 – 2011.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 1
ĐỒ ÁN TỐT NGHIỆP:
XÂY DỰNG HỆ THỐNG TƢỜNG LỬA CHO
DOANH NGHIỆP VỚI MICROSOFT ISA SERVER
TP.Hồ Chí Minh, Ngày 12 Tháng 06 Năm 2011
GVHD: Thầy Dương Minh Trung.
SVTH: - Trần Thế Cường.
- Phan Đình Đảm.
- Phạm Gia Nguyên Huy.
Chuyên Ngành: Quản Trị Mạng Máy Tính.
Lớp: 01CCHT02.
Niên Khóa: 2008 – 2011.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 2
LỜI CẢM ƠN
Qua quá trình học tập và được sự dẫn dắt nhiệt tình của Giảng Viên Hướng Dẫn tại Trường Cao Đẳng Nghề CNTT iSPACE – Chuyên nghành Quản Trị Mạng Máy Tính. Nhóm Chúng em đã đúc kết được những kinh nghiệm từ các bài học, và đã thực hiện hoàn thành Đồ án: “Xây Dựng Hệ Thống Tường Lửa Cho Doanh Nghiệp Với Microsoft ISA Server”. Với lòng biết ơn sâu sắc, nhóm Chúng em xin gởi lời cảm ơn đến Thầy Dương Minh Trung, thầy hướng dẫn trực tiếp đề tài. Trong quá trình làm đồ án thầy đã tận tình hướng dẫn và giúp đỡ nhóm Chúng em giải quyết khó khăn trong đồ án này. Xin chân thành cảm ơn đến Thầy Trần Văn Tài, Thầy Nguyễn Siêu Đẳng – Giảng viên Trường CĐ Nghề CNTT iSpace đã củng cố kiến thức cho nhóm Chúng em thực hiện đề tài hoàn chỉnh. Xin chân thành cảm ơn đến Anh Nguyễn Văn Vinh, Anh Lưu Tuấn Phát – Bộ phận IT - Công ty Cổ phần Chứng khoán Việt Quốc Security đã trang bị cho nhóm Chúng em về kiến thức áp dụng trong thực tế. Mặc dù đã cố gắng rất nhiều, tuy nhiên nội dung của Đồ án này có thể còn nhiều thiếu sót. Nhóm Chúng em xin chân thành cảm ơn ý kiến đóng góp của các bạn đọc cũng như nhận xét của Giảng Viên để nội dung của Đồ án ngày càng hoàn thiện hơn.
Cuối cùng, xin chúc tất cả mọi người sức khỏe và trân trọng cảm ơn!.
- Thế giới trong những thập niên vừa qua, nhất là từ khi thực hiện cuộc cách mạng khoa học – kỹ
thuật vào thập niên 80 đã có những bước phát triển thần kỳ và thật sự mạnh mẽ với hàng loạt
thành tựu về kinh tế, khoa học – kỹ thuật, chính trị, xã hội, an ninh,… Nguyên nhân chính cho sự
phát triển đó là sự xuất hiện của Internet. Sự xuất hiện của Internet đã thúc đẩy thế giới tiến
nhanh về phía trước và đưa cả thế giới bước sang một kỷ nguyên mới, kỷ nguyên bùng nổ thông
tin.
- Như chúng ta đã biết, bất cứ vật thể nào cũng tồn tại hai mặt tích cực và tiêu cực. Chúng ta không
thể nào phủ nhận những mặt tích cực mà Internet mang lại, vấn nạn lừa đảo phát triển ngày càng
mạnh mẽ và Internet là một công cụ hữu hiệu cho những kẻ tấn công vào các hệ thống mạng với
mục đích tư lợi hay chứng tỏ bản thân mình. Chính vì vậy, trong thời đại “phẳng” như ngày nay, vai
trò bảo mật hệ thống mạng là vô cùng quan trọng.
II- Lý Do Chọn Đề Tài
- Nhóm chúng tôi đã quyết định chọn đề tài: “Xây dựng hệ thống tường lửa cho Doanh nghiệp với
Microsoft ISA Server” vì đề tài rất thực tế, giúp chúng tôi có thêm kinh nghiệm và ứng dụng thực
tiễn sau khi ra trường.
III- Mục Tiêu
- Ứng dụng Tường lửa ISA Server quản lý hệ thống Mạng Doang nghiệp với mục tiêu:
1. Đảm bảo hệ thống tường lửa hoạt động ổn định.
2. Bảo mật và An toàn hệ thống mạng.
3. Giám sát và quản lý hệ thống mạng hiệu quả.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 8
IV- Tổng Quan Microsoft ISA Server
1. Giới Thiệu
- Microsoft Internet Security and Acceleration (ISA) là phần mềm Share Internet của tập đoàn Microsoft.
- Đây là một phần mềm thiết lập như một tường lửa (Firewall) và cho phép mạng nội bộ truy cập
Internet linh hoạt nhờ chế độ Cache thông minh.
- ISA Server 2006 có hai phiên bản Standard và Enterprise, phục vụ cho những môi trường khác
nhau.
ISA Server 2006 Standard:
- ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung
bình. Với phiên bản này chúng ta có thể xây dựng firewall để:
- Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty.
- Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn
chặn việc kết nối vào những trang web có nội dung không thích hợp, thời gian không thích hợp
(ví dụ như giờ làm việc).
- Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc
truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi dữ liệu giữa văn phòng và hội
sở.
- Đối với các công ty có những hệ thống máy chủ public như Mail Server, Web Server, FTP Server
cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triển khai vùng DMZ nhằm
ngăn ngừ sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống.
- Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản standard còn có chức năng tạo
cache cho phép rút ngắn thời gian, tăng tốc độ kết nối internet của mạng nội bộ.
- Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật
và tăng tốc Internet).
ISA Server 2006 Enterprise:
- ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy
xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server
2006, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một
chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải).
o Tóm lại, ISA Server có các chức năng chính:
Chia sẻ kết nối internet – chia sẻ băng thông của đường truyền internet.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 9
Lập Firewall Server, kiểm soát, khống chế các luồng dữ liệu truy cập từ ngoài vào mạng nội
bộ hoặc ngược lại.
Tăng tốc truy cập Web bằng giải pháp Cache trên Server.
Hổ trợ thiết lập hệ thống VPN (mạng riêng ảo) với ISA Server làm VPN Server.
ISA Server 2006 Enterprise còn có thêm tính năng “Load Balancing” hổ trợ giải pháp cân
bằng tải giữa hai hay nhiều đường truyền internet.
2. Cơ Chế Client Tham Gia Vào ISA Server
- Client có thể tham gia vào ISA Server với các cơ chế sau đây:
SecureNAT:
- SecureNAT Clients có thể là một thiết bị, có thể là một Host Windows 2000, XP, hoặc một máy tính
đang sử dụng Linux. Clients sử dụng SecureNAT không thể tận dụng hết được tính năng của ISA
Server.
- Để sử dụng SecureNAT, các máy Clients chỉ cần cấu hình Default Gateway trỏ về địa chỉ IP của ISA
Server.
Cấu hình TCP/IP sử dụng ISA Server làm Gateway là chấp nhận làm SecureNAT Clients của ISA Server. - Hoặc sử dụng DHCP Server để cấu hình Default Gateway cho Clients trỏ về địa chỉ ISA Server.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 10
Sử dụng DHCP Server cấu hình Gateway cho các máy Clients trong LAN. - Cơ chế SecureNAT không thể kiểm soát và chứng thực User, password, trang web, ... trong hệ thống
mạng. Web Proxy Clients:
- ISA Server hoạt động vơi tính năng Proxy rất tốt. Proxy Server cung cấp cho Clients tính năng
Cache cho Web. Web Caching trên ISA Server sử dụng rất tốt. ISA Server Cache nội dung Web trên RAM nên tốc độ cải thiện đáng kể. Tất cả các Web Browser hỗ trợ được tính năng Proxy là có thể sử dụng ISA Server làm Proxy Server. Các Browser như IE, Firefox, Avant Browser có thể dùng ISA
Server 2006 làm Proxy Server. Các Proxy Clients không cần sử dụng Default Gateway cũng có thể truy cập HTTP và FTP bình thường.
- Tính năng Proxy trên ISA Server nếu sử dụng Web Proxy Clients chỉ hỗ trợ cho HTTP và FTP. Web
Proxy Settings có thể cấu hình bằng Policy từ Domain hoặc cấu hình bằng tay.
Firewall Clients:
- Loại Clients này cần cài đặt một chương trình trên máy Clients. Clients của ISA Server chỉ có thể cài trên hệ điều hành Windows nên loại Clients này chỉ đặc biệt dùng cho Windows.
- Clients của ISA Server sẽ tạo kết nối đến ISA Server bằng một Tunnel riêng có mã hóa gọi là
WinSOCKS, tất cả các traffic sẽ được chuyển đến ISA Server và ISA Server sẽ đóng vai trò Proxy
cho tất cả các loại traffic. Clients có cài đặt chương trình Firewall Clients có thể tận dụng tính năng
Single Sign On với User Account trên Active Directory. Cấu hình Firwall Clients cần cài đặt thêm một
chương trình trên Clients. Chương trình này được lấy từ một thư mục Share trên ISA Server. ISA
Server tự tạo Rule cho phép Clients trong Internal được truy cập vào ISA Server lấy tài nguyên
Share này.
3. Một Số Tính Năng Của ISA Server
- ISA Server là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật cho mạng của tổ chức.
Vai trò của ISA Server là rất trọng yếu, bởi vì nó được triển khai tại điểm kết nối giữa mạng bên trong tổ chức và Internet. Hầu hết các tổ chức cung cấp một vài mức độ truy cập Internet cho người dùng của họ. ISA Server có thể áp đặc các chính sách bảo mật (security polices) để phân
phát đến „user‟ một số cách thức truy cập Internet mà họ được phép. Đồng thời, nhiều tổ chức
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 11
cũng cung cấp cho các user ở xa (remote user) một số cách thức truy cập đến các máy chủ trong
mạng tổ chức.
- Ví dụ, nhiều công ty cho phép máy chủ Mail trên Internet kết nói đến máy chủ Mail trong mạng của
công ty để gửi e-mail ra Internet. ISA Server được sử dụng để đảm bảo chắc chắn rằng những sự
truy cập như vậy được bảo mật.
4. Cách Thức Làm Việc Của ISA Server
- ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức. Trong hầu hết trường hợp, vành
đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung (như Internet). Hình 1 cho
chúng ta một ví dụ đơn giản về việc triển khai một ISA Server.
Hình 1: Mô hình ISA đơn giản
- Mạng bên trong (Interal network) hay gọi là mạng được bảo vệ thường được đặt trong tổ chức và
có sự giám sát của nhân viên IT trong tổ chức. Internal network coi như đã được bảo mật một
cách tương đối, tức là thông thường những User đã được chứng thực mới có quyền truy cập vật lý
đến Interal network. Ngoài ra, Nhân viên IT có thể quyết định những loại traffic nào được cho
phép trên Internal Network.
- Thậm chí cho dù Interal network an toàn hơn Internet, thì bạn cũng không nên có ý ngh sai lầm
rằng, bạn chỉ cần bảo vệ vành đai mạng. Để bảo vệ mạng của bạn một cách đầy đủ, bạn phải vạch
ra kế hoạch bảo vệ theo chiều sâu, nó bao gồm nhiều bước để đảm bảo cho mạng của bạn được
an toàn, thậm chí trong trường hợp vành đai bị “thủng”. Nhiều cuộc tấn công mạng gần đây như
Virus và Worm đã tàn phá những mạng có vành đai an toàn. ISA Server là thiết yếu trong việc bảo
vệ vành đai mạng, nhưng bạn đừng ngh , sau khi triển khai ISA Server thì việc của bạn đã xong.
- Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các traffic của mạng trên
Internet. Thì bất kỳ một người nào trên thế giới với một kết nối Internet đều có thể xác định và
truy cập vào các kết nối Internet khác sử dụng hầu như bất kỳ giao thức và ứng dụng gì. Ngoài ra,
những gói tin trên mạng (Network packet) gửi qua Internet không được an toàn, bởi vì chúng có
thể bị bắt lấy và xem trộm bởi bất kỳ ai đang chạy Packet Sniffer trên một phân đoạn mạng
Internet. Packet Sniffer là một ứng dụng mà bạn có thể sử dụng để bắt lấy và xem tất cả các traffic
trên một mạng, điều kiện để bắt được traffic mạng là Packet Sniffer phải kết nối được đến phân
đoạn mạng giữa hai Router.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 12
- Internet là một phát minh khó tin và đầy quyến rũ. Bạn có thể tìm kiếm trên mạng này nhiều thông
tin hữu ích. Bạn có thể gặp gỡ những người khác, chia sẽ với họ sở thích của bạn và giao tiếp với
họ. Nhưng đồng thời Internet cũng là một nơi nguy hiểm, rất đơn giản, bởi lẽ ai cũng truy cập
được. Ví dụ, Internet không thể biết được ai là một người dùng bình thường vô hại, ai là tội phạm
mạng – những kẻ phá hoại, cả hai đều có quyền truy cập Internet. Điều đó có ngh a là, không sớm
thì muộn, khi tổ chức của bạn tạo một kết nối đến Internet thì kết nối đó sẽ được phơi bài ra cho
bất kỳ ai kết nối Internet. Đó có thể là một người dùng hợp pháp tìm kiếm thông tin trên Website
của tổ chức, đó cũng có thể là kẻ xấu cố gắng „deface‟ toàn bộ dữ liệu trên Website hoặc đánh cấp
dữ liệu khách hàng từ tổ chức của bạn. Vì đó là bản chất hết sức tự nhiên của Internet, việc bảo
mật cho nó là hầu như không thể. Nên tốt nhất, bước đầu tiên trong việc bảo vệ kết nối Internet
của bạn là xem tất cả „user‟ kết nối đến bạn đều là “kẻ xấu” cho tới khi “thân phận” của họ được
chứng minh.
H nh đã cho thấy một ví dụ đơn giản của một cấu hình mạng mà ở đó, ranh giới giữa Internal
network và Internet được định ngh a một cách dễ dàng. Trong thực tế, việc định ngh a ranh giới
giữa Interal network của tổ chức với phần còn lại của thế giới là không hề đơn giản. H nh cho
thấy một sự phức tạp hơn, nhưng thực tế hơn.
Hình 2: Mô hình ISA trên thực tế
- Vành đai mạng đã trở nên khó định ngh a hơn theo như kịch bản trong H nh . Kịch bản này cũng
khiến việc bảo mật kết nối Internet khó khăn hơn rất nhiều. Cho dù là vậy ISA Server được thiết kế để đem lại sự an toàn theo yêu cầu ở vành đai mạng. Ví dụ, theo kịch bản trong H nh , ISA Server có thể đem lại sự an toàn cho vành đai, bằng cách thực hiện các việc như sau:
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 13
Cho phép truy cập nặc danh đến Website dùng chung (Public website), trong khi đó lọc ra mã
độc hại nhắm đến việc gây hại Website. Chứng thực User từ tổ chức của đối tác trước khi gán quyền truy cập đến Website dùng riêng
(Private website).
Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó User ở chi nhánh văn phòng có thể truy cập đến tài nguyên trong Interal network.
Cho phép nhân viên ở xa truy cập Internal Mail Server, và cho phép Client truy cập VPN đến
Internal File Server.
- p đặc chính sách truy cập Internet của tổ chức hòng giới hạn những giao thức được dùng tới
„user‟, và lọc từng „request‟ để chắc chắn họ chỉ đang truy cập đến các tài nguyên Internet cho phép.
5. Cơ Chế Hoạt Động Của ISA Server
- ISA Server hoạt động như một Tường lửa (Firewall).
- Firewall là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong
một mạng. Firewall được cấu hình với những „rule‟ lọc „traffic‟, trong đó định ngh a những loại
„network traffic‟ sẽ được phép đi qua. Firewall có thể được bố trí và cấu hình để bảo vệ mạng của
tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng.
- Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng. Chức năng chính của firewall
trong trường hợp này là đảm bảo không có „traffic‟ nào từ Internet có thể tới được „internal
network‟ của tổ chức trừ khi nó được cho phép. Ví dụ, trong tổ chức bạn có một „internal Web
Server‟ cần cho „internet user‟ có thể tới được. Firewall có thể được cấu hình để cho phép các
„traffic‟ từ Internet chỉ được truy cập đến Web Server đó.
- Về mặc chức năng ISA Server chính là một firewall. Bởi mặc định, khi triển khai ISA Server, nó sẽ
khóa tất cả „traffic‟ giữa các mạng mà nó làm Server, bao gồm „internal network‟, vùng DMZ và
Internet. ISA Server 2006 dùng 3 loại quy tắc lọc („filtering rule‟) để ngăn chặn hoặc cho phép
„network traffic‟, đó là: packet filtering, stateful filtering và application-layer filtering.
Packet Filtering – Lọc gói tin
- Packet filtering làm việc bằng cách kiểm tra thông tin „header‟ của từng „network packet‟ đi tới
firewall. Khi „packet‟ đi tới giao tiếp mạng của ISA Server, ISA Server mở „header‟ của „packet‟ và
kiểm tra thông tin (địa chỉ nguồn và đích, „port‟ nguồn và đích). ISA Server so sánh thông tin này
dựa vào các „rule‟ của firewall, đã định ngh a „packet‟ nào được cho phép. Nếu địa chỉ nguồn và
đích được cho phép, và nếu „port‟ nguồn và đích được cho phép, „packet‟ được đi qua firewall để
đến đích. Nếu địa chỉ và „port‟ không chính xác là những gì được cho phép, „packet‟ sẽ bị đánh rớt
và không được đi qua firewall.
Stateful Filtering – Lọc trạng thái
- Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với „network packet‟ để dẫn đến quyết
định có cho qua hay là không. Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các
„header‟ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái
của một „packet‟ bên trong nội dung của những „packet‟ trước đó đã đi qua ISA Server, hoặc bên
trong nội dung của một phiên („session‟) TCP.
- Ví dụ: một „user‟ trong „internal network‟ có thể gửi một „request‟ đến một Web Server ngoài
Internet. Web Server đáp lại „request‟ đó. Khi „packet‟ trả về đi tới firewall, firewall kiểm duyệt
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 14
thông tin „TCP session‟ (là một phần của „packet‟). Firewall sẽ xác định rằng „packet‟ thuộc về một
„session‟ đang hoạt động mà đã được khởi tạo bởi một „user‟ trong „internal network‟, vì thế „packet‟
được chuyển đến máy tính của „user‟ đó. Nếu một „user‟ bên ngoài mạng cố gắng kết nói đến một
máy tính bên trong mạng tổ chức, mà firewall xác định rằng „packet‟ đó không thuộc về một
„session‟ hiện hành đang hoạt động thì „packet‟ sẽ đị đánh rớt.
Application-Layer Filtering – Lọc lớp ứng dụng
- ISA Server cũng dùng bộ lọc „application-layer‟ để ra quyết định một „packet‟ có được cho phép hay
là không. „Application-layer filtering‟ kiểm tra nội dung thực tế của „packet‟ để quyết định liêu
„packet‟ có thể được đi qua firewall hay không. „Application filter‟ sẽ mở toàn bộ „packet‟ và kiểm tra
dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua.
- Ví dụ: một „user‟ trên Internet có thể yêu cầu một trang từ „internal Web Server‟ bằng cách dùng
lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi „packet‟ đi tới firewall,
„application filter‟ xem xét kỹ „packet‟ và phát hiện lệnh “GET”. „Application filter‟ kiểm tra chính
sách của nó để quyết định.
- Nếu một „user‟ gửi một „packet‟ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thông
tin lên Web Server, ISA Server một lần nữa kiểm tra „packet‟. ISA Server nhận thấy lệnh “POST”,
dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không được phép và „packet‟ bị
đánh rớt.
- „HTTP application filter‟ được cung cấp cùng với ISA Server 2004/2006 có thể kiểm tra bất kỳ thông
tin nào trong dữ liệu, bao gồm: „virus signature‟, chiều dài của „Uniform Resource Location‟ (URL),
nội dung „page header‟ và phần mở rộng của „file‟. Ngoài „HTTP filter‟, ISA Server còn có những
„application filter‟ khác dành cho việc bảo mật những giao thức và ứng dụng khác.
- Các „firewall‟ mềm hiện nay xử lý lọc „packet‟ và „stateful‟. Tuy nhiên, nhiều „firewall‟ không có khả
năng thực hiện việc lọc lớp ứng dụng („application-layer‟). Và „application-layer filtering‟ đã trở
thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng.
- Ví dụ: giả định rằng tất cả các tổ chức đều cho phép „HTTP traffic (port 80)‟ từ „internal network‟
đến Internet. Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức „HTTP‟.
Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ „file‟ như KazaA.
„HTTP traffic‟ cũng có thể chứa „virus‟ và mã độc („malicious code‟). Cách ngăn chặn những
„network traffic‟ không mong muốn, trong khi vẫn cho phép sử dụng „HTTP‟ một cách phù hợp, chỉ
có thể thực hiện được bằng việc triển khai một „firewall‟ có khả năng lọc lớp ứng dụng. „Application-
layer firewall‟ có thể kiểm tra nội dung của các „packet‟ và ngăn „traffic‟ trên phương thức „HTTP‟
(để ngăn ứng dụng) hoặc „signature‟ (để ngăn „virus‟, mã độc hại, hoặc ứng dụng). ISA Server
chính xác là một loại „application-layer firewall‟ tinh vi, và vì thế mà trở nên thiết yếu trong việc bảo
vệ mạng.
6. Chính Sách Bảo Mật Trong ISA Server
- ISA Server Firewall có 3 dạng chính sách bảo mật là: System policy, Access rule và Publishing rule.
System policy: Thường ẩn (hiden), được dùng cho việc tương tác giữa firewall với các Networks
khác nhằm hổ trợ hệ thống hoạt động linh hoạt. System policy được xử lý trước khi access rule
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 15
được áp dụng. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ
hệ thống như DHCP, RDP, Ping...
Network Rule: quy định các mối liên hệ giữa các Networks trong ISA Server. Các Networks này
được ISA Server kết nối với nhau. Giữa hai mạng khi đi qua ISA Server sẽ sử dụng một trong hai cơ
chế sau đây: ROUTE hoặc NAT. Routing không thay đổi Source IP khi đi qua ISA Server, gói tin
được giữ nguyên Source và Destination IP và được Forward đến Destination. NAT thay đổi địa chỉ
Source IP trong gói tin và Forward đến Destination. Ở Destination chúng ta chỉ thấy gói tin đến từ
External Interface của ISA Server mà không biết được địa chỉ IP thật của gói tin.
Access Rule: quản lý Traffic đi qua ISA Server do người quản trị định ngh a chính sách.
Publishing Rule: Công khai tài nguyên cục bộ được chỉ định ra ngoài Internet cho người sử dụng.
ISA Server cung cấp 3 loại „publishing rule‟ khác nhau: Web publishing rule, secure Web publishing
rule, và Server publishing rule.
7. Các Mô Hình Triển Khai ISA Server
- ISA Server 2006 có thể chạy với nhiều mô hình. Nếu chạy với tính năng Firewall thì ISA Server sẽ
có 2 Interface hoặc nhiều Interface. Một số mô hình có thể kể đến khi sử dụng ISA Server 2006 là
Bastion Host, Backend Firewall, và Proxy Server only (chỉ sử dụng ISA Server 2006 làm Proxy
Server, không tận dụng tính năng Firewall của sản phẩm này.
Mô hình Bastion-Host:
- Mô hình mạng Bastion Host với Firewall là ISA Server (có thể là Application họăc Appliance đều
được).
- Trong mô hình này, ISA Server một mình bảo vệ cho hệ thống mạng LAN và cung cấp Internet cho
User trong mạng LAN. Trong mạng LAN của ISA Server có thể có Domain Controller, DHCP Server,
DNS Server, WINS Server và Web Server, Mail Server. Những Server này có thể chỉ sử dụng trong
mạng LAN, hoặc được sử dụng trực tiếp từ Internet User (chỉ đối với Web Server và Mail Server,
đôi khi Domain Controller cũng được sử dụng để chứng thực cho Internet User).Trong hệ thống
LAN của ISA lúc này bao gồm 2 hệ thống LAN (1 là Internal cho User trong công ty và một là hệ
thống DMZ chứa các Server được truy cập trực tiếp từ Internet User)
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 16
- Cấu hình IP và Gateway của hệ thống Bastion Host với Public IP từ ISP được cấp xuống cho Router
ADSL. Nếu cấu hình Public IP trên Router ADSL sẽ không cần thiết phải NAT trên Router và khi đó
không cần cấu hình Gateway t nh cho ISA Server.
Mô hình Back-End Firewall
- Mô hình thứ 2 này cũng thường được sử dụng. ISA Server nhẹ gánh hơn các mô hình khác là bảo
vệ mạng LAN trong trường hợp FrontEnd Firewall bị đánh sập, các Server trong vùng mạng DMZ bị tấn công và từ đó Hackers có thể tấn công tiếp vào trong mạng LAN.
- ISA Server đóng vai trò Back‐End Server cho một Firewall khác. Khu vực giữa Frontend và Backend
Firewall là vùng DMZ chứa các Server sẽ được Published cho Internet Users
- ISA Server có thể làm FrontEnd Firewall, nhưng trong Version từ 2004 trở đi, Microsoft khuyến cáo
nên dùng ISA Server (dạng Application) với vai trò BackEnd là tốt nhất. Appliance có Performance
tốt hơn và bảo mật hơn (vì nhẹ phần Hệ điều hành).
- Trong mô hình này, ISA Server cũng mang 2 Interface (External kết nối đến hệ thống LAN có DMZ
và Gateway của ISA Server sẽ là Internal Interface của FrontEnd Firewall. Cấu hình trên Firewall và
trên Router nói chung, nên sử dụng Routing Table để cấu hình cho các thiết bị này. Với ISA Server,
Routing Table được cấu hình bằng dịch vụ Routing and Remote Access hoặc ROUTE ADD
Command.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 17
- Mô hình Backend với ISA Server cụ thể hơn khi gán Network ID cho các mạng có liên quan.Trong
mô hình này, ISA Server mang một địa chỉ IP Public nằm trong mạng 203.162.23.32/28
- Cấu hình IP rất quan trọng,chú ý không được lẫn lộn chỗ này, nếu sai, toàn bộ mô hình sẽ
hỏng.Cấu hình IP trên Frontend Firewall – có thể đây là một Appliance của ISA Server hoặc một
thiết bị khác với chứ năng Firewall External Interface – cấu hình mang Public IP với gateway cấu
hình về ISP. Trên Server này có thể không cần cấu hình Routing Table với Destination là Network
ID của mạng LAN vì nếu User muốn truy cập từ internet vào LAN phải thực hiện quay VPN 2 lần để
vào đến ISA Server.
Mô hi nh Three-homed:
- ISA Server có trách nhiệm nặng nhất là bảo vệ mạng LAN, đồng thời bảo vệ mạng DMZ chứa các Server được truy cập trực tiếp từ Internet User.
- Mô hình Three‐homed với ISA Server làm Firewall . DMZ và LAN đều kết nối vào ISA Server, mỗi mạng kết nối với ISA Server bằng một Interface riêng với Network ID khác nhau. ISA Server đóng
vai trò Router và Firewall cho các mạng này.
- ISA Server sẽ có 3 Interface kết nối với 3 Network khác nhau: External, Internal và DMZ kết nối với
DMZ Network. Mô hình này giống với Bastion Host, chỉ có thêm một Interface DMZ để tách mạng DMZ ra khỏi mạng LAN. Mạng DMZ tách biệt khỏi mạng LAN để không bị tấn công từ phía ngoài, DMZ thường xuyên được truy cập từ Internet nên nguy cơ tấn công rất cao. Microsoft xem DMZ
Network như Semi‐Trusted Network.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 18
8. ISA Server Bảo Mật Truy Cập Internet
- Hầu hết các tổ chức đều phải cho nhân viên của mình truy cập internet và sử dụng World Wide
Web như một nguồn tài nguyên và một công cụ giao tiếp. Điều đó có ngh a là không tổ chức nào
tránh được việc truy cập internet, và việc bảo mật kết nối internet trở nên thiết yếu.
- ISA Server có thể được dùng để bảo mật các kết nối của máy trạm đến nguồn tài nguyên trên
internet. Để làm được điều đó, bạn phải cấu hình tất cả máy trạm đều phải thông qua ISA Server
để kết nối internet. Khi bạn cấu hình như vậy, ISA Server sẽ hoạt động như một „proxy server‟ giữa
máy trạm trong mạng tổ chức và nguồn tài nguyên trên internet.
- Điều này có ngh a là khi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có
kết nối trực tiếp giữa máy trạm đó và Web Server. Thành phần „proxy server‟ trên ISA Server sẽ
làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web
Server hồi đáp lại cho máy trạm trong mạng nội bộ).
- Nhờ đó mà thông tin mạng của máy trạm sẽ không bị phơi bài ra mạng bên ngoài. Và việc máy
trạm dùng ứng dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng
được ISA Server kiểm soát. ISA Server cũng hoạt động như một „caching server‟.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 19
B- NỘI DUNG
I- Mô Tả Thông Tin
- Công ty cổ phần Chứng khoán Phú Gia hoạt động trong l nh vực Chứng khoán có tên miền phugiasc.vn cung cấp các dịch vụ giao dịch trực tuyến qua Internet cho phép khách hàng có thể đặt lệnh tại bất kỳ thời điểm nào. Ngoài ra công ty còn cung cấp các dịch vụ hỗ trợ quản lý tài
khoản giao dịch, bản tin chứng khoán, bản phân tích chứng khoán... Tổng công ty chứng khoán Phú Gia có trụ sở chính tại Q.1 Tp. HCM và một chi nhánh tại Q.5 Tp .HCM.
Hạ tầng mạng Tổng công ty gồm có:
Các máy chủ chuyên dụng: File Server chứa toàn bộ dữ liệu của công ty. FTP Server chia sẻ dữ liệu cho nhân viên.
Mail Server dùng để trao đổi mail trong hệ thống mạng nội bộ. Web Server chứa website nội bộ của công ty. Domain Controller quản trị tập trung hệ thống mạng của công ty Phú Gia với domain là
phugiasc.vn. Tất cả máy tính của nhân viên trong công ty đều gia nhập vào domain.
Các phòng ban: Phòng Giám đốc : 5 PC và 3 Laptop. Phòng Kinh doanh: 50 PC.
Phòng Kế toán: 20 PC. Phòng Nhân sự: 20 PC. Phòng Khách hàng: dành cho khách hàng sử dụng Laptop truy cập mạng không dây của
công ty.
Hạ tầng mạng tại chi nhánh Q.5 gồm có: Phòng Tư vấn : 10 PC.
Phòng Kinh Doanh : 20 PC. Phòng Kế Toán : 10 PC. Phòng Quản lý : 2 PC, 4 Laptop.
II- Yêu Cầu Đề Tài
Đảm bảo an toàn và bảo mật cho hệ thống mạng công ty truy cập Internet, luôn được bảo
vệ trong thời gian làm việc và có khả năng phát hiện cuộc xâm nhập hệ thống mạng nếu có.
p dụng chính sách bảo mật dành cho Nhân viên (NV):
Phòng Kinh Doanh được phép truy cập Internet trong giờ làm việc (giờ hành chánh) nhưng không được phép truy cập vào các trang web nội dụng xấu và có tính chất giải trí, chat, game ....
Phòng Kế Toán , Nhân Sự không được phép truy cập Internet, nhưng vẫn sử dụng được các dịch vụ mạng trong nội bộ.
Tất cả nhân viên được truy cập Internet vào giờ nghỉ trưa 11h30 → 13h30, nhưng
không được chơi game online, tải nhạc, gửi file, xem phim trên Internet.
p dụng chính sách bảo mật dành cho khách hàng truy cập mạng không dây tại Phòng Khách hàng:
Khách hàng không được truy cập vào hệ thống mạng nội bộ của công ty nhưng vẫn có thể truy cập Internet.
Xây dựng hệ thống cân bằng tải cho tường lửa tại tổng công ty đảm bảo hệ thống luôn luôn
hoạt động tốt, không bị quá tải khi người dùng kết vào hệ thống mạng.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 20
Giám sát hoạt động của hệ thống mạng để đưa ra chính sách quản lý băng thông phù hợp
theo từng phòng ban, vị trí công tác của nhân viên để để đảm bảo tính ổn định của đường truyền Internet trong công ty.
Đảm bảo khả năng phòng chống lây nhiễm virus và các phần mềm mã độc được tải về máy
tính trong hệ thống mạng. Các file tải trên mạng về máy tính của NV phải được kiểm tra virus trước khi mở.
Các nhân viên làm việc bên ngoài có thể kết nối vào hệ thống mạng công ty thông qua kết
nối VPN (Virtual Private Network).
Mỗi ngày các NV tại phòng Quản lý ở chi nhánh Q.5 phải cập nhật dữ liệu về FileServer cho Tổng công ty một cách an toàn.
Publish hệ thống web và mail server của công ty ra ngoài Internet với những cơ chế bảo mật.
Các NV của công ty có thể kiểm tra mail, truy cập được website công ty thông qua đường truyền Internet ở bất kỳ địa điểm nào.
Giám đốc có thể kiểm tra mail, truy cập được website nội bộ và kết nối vào File Server một cách an toàn khi đi công tác bên ngoài.
Giám đốc có thể biết được hiện tại NV nào đang truy cập trang web gì.
Thống kê lưu lượng sử dụng Internet và các hoạt động sử dụng hệ thống mạng và cuối mỗi tuần.
III- Phân Tích Đề Tài
- Qua quá trình khảo sát, Tổng công ty Cổ phần Chứng khoán (CPCK) Phú Gia có trụ sở chính tại Q.1
Tp. HCM và một chi nhánh tại Q.5 Tp. HCM, mọi hoạt động của chi nhánh đều được gửi dữ liệu về trụ sở chính.
DATA
CHI NHÁNH
TRỤ SỞ CHÍNH
- Công ty CPCK Phú Gia hoạt động chính trong l nh vực chứng khoán và khách hàng giao dịch chủ yếu qua mạng. Dịch vụ web, mail của công ty có thể sử dụng được trong công ty và ngoài Internet.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 21
Internet
Web ServerMail Server
- Hạ tầng mạng tại trụ sở chính cho biết đây là một hệ thống đa máy chủ giữ các chức năng khác nhau và máy tính nhân viên được quản trị tập trung với Domain Controller server.
- Các phòng ban trong công ty có các nhiệm vụ khác nhau, nội quy công ty ngăn cấm nhân viên sử dụng hệ thống mạng theo chức năng của các phòng ban. Sơ đồ thể hiện chính sách bảo mật và nhu cầu của các phòng ban:
- Domain Controller là một máy chủ điều khiển, xác lập và quản lý tên miền (domain) trong hệ thống Windows, có nhiệm vụ trả lời những yêu cầu về bảo mật, quyền truy cập, quản lý tài khoản, … của các máy tính sử dụng các dịch vụ domain.
- Domain Controller trong đề tài này được sử dụng như một máy chủ quản lý tên miền, nhóm người dùng, tài nguyên cục bộ cho công ty Phugiasc.
Triển Khai:
- Để xây dựng Domain Controller, việc đầu tiên ta cần triển khai DNS cho công ty Phugiasc với địa
chỉ 192.168.10.10 để các máy client trong công ty phân giải tên máy chủ.
- Xây dựng Domain với tên miền: phugiasc.vn và sử dụng dịch vụ Active Directory Users and
Computers để lưu trữ và quản lý dữ liệu về các đối tượng trong DC như: Group, OU,User, Policy,…
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 28
2. Triển Khai ISA Server
. Cài đặt ISA Storage
Tổng quan:
- ISA Storage là một máy chủ lưu trữ toàn bộ cấu hình của các máy member ISA trong hệ thống.
Các máy member ISA sẽ tham gia vào hệ thống lưu trữ này qua Array đã được tạo tại ISA Storage.
- Việc triển khai ISA Storage nhằm mục đích xây dựng hệ thống cân bằng tải, giúp chia tải công
việc giữa các member ISA, duy trì hoạt động hệ thống liên tục ổn định.
Triển Khai:
- Giả lập xây dựng ISA Storage trên máy DC.
- Triển khai ISA Storage ở chế độ cài đặt: Install Configuration Storage server.
- Cài đặt hoàn tất, tiến hành tạo Array trên ISA Storage nhằm mục đích để các máy member ISA tham
gia vào hệ thống lưu trữ này.
- Khởi động ISA Storage -> Right click vào Arrays chọn New Array với tên: phugiasc
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 29
- Kết quả:
- Ủy quyền lưu trữ cho các member ISA bằng thao tác vào thẻ Toolbox/ Network Objects/ Computer
Sets chọn Managed ISA Server Computers Propertise. Lần lượt gán địa chỉ cho 2 máy ISA server.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 30
2.2 Cài đặt ISA Array
Tổng quan:
- ISA Array là một trong các member ISA tham gia vào hệ thống Array để đồng bộ dữ liệu với ISA
Storage. Ngoài ra, ISA Array được hiểu như một Firewall Server quản lý truy xuất giữa các lớp
mạng trong hệ thống qua cấu hình của người quản trị.
Triển khai:
- Triển khai ISA Array lần lượt tại tại các member ISA.
- Cài đặt ISA Array ở chế độ: Install ISA Server services
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 31
- Tham gia các member ISA này vào Array: phugiasc đã được tạo tại ISA Storage.
- Gán lớp mạng Internal để quản trị
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 32
- Tương tự, thực hiện cài đặt ISA Array tại ISA2 và tham gia vào Array: phugiasc.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 33
3. Triển Khai Web Server
Giới thiệu:
- Web Server là một máy chủ lưu trữ thông tin, truyền tải cơ sở dữ liệu đến người sử dụng thông
qua giao thức HTTP bằng các trình duyệt Web.
- Trong đề tài, triển khai Web Server để lưu trữ website nội bộ cho Công ty Phugiasc.
Triển khai:
- Tại máy DC, triển khai DNS cho máy chủ Web với địa chỉ: 172.16.10.10 và tạo Alias (CNAME):
www.phugiasc.vn và trỏ về địa chỉ: 172.16.10.10 với mục đích phân giải tên máy chủ Web và truy
xuất Website thông qua trình duyệt web.
- Xây dựng máy chủ Web với tên truy vấn: www.phugiasc.vn qua port: 80
- Giả lập đề tài, dùng Client ngoài External với thông số IP như sau:
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 100
- Tạo file host theo đường dẫn: C:\WINDOWS\system32\drivers\etc với nội dung:
- Vào Outlook Express trỏ Server gửi nhận mail: mail.phugiasc.vn với Port vận chuyển: 465 và 995. Kết
quả kết nối Mail Server Công ty thành công.
- Vì Certificate được cấp bởi CA cục bộ của công ty Phugiasc, để triển sử dụng chữ ký điện tử và mã
hóa dữ liệu ngoài Internet ta cần mua Digital ID Email của các nhà cung cấp chuyên dụng.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 101
4. Triển khai VPN ISA
4.1 Client-to-Site
- Cho phép các nhân viên công tác bên ngoài công ty có thể truy cập tài nguyên và dữ liệu về công ty
thông qua VPN (Virtual Private Netkwork)
- Tại Domain tạo User VPN và add User vào Group cho kết nối VPN
- Tại User vpn click phải chuột chọn Properties qua thẻ Dail-in chọn Allow access (cho phép kết
nối VPN)
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 102
- Vào ISA Server chọn Virtual Private Network chọn thẻ VPN Clinet trong thẻ chúng ta thực hiện
các bước sau VPN:
Bước 1: Chọn configure Address Assignment method
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 103
Bước 2: Tại Tab Address Assignment bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 200.200.200.100 ->200.200.200.200
Nếu hệ thống mạng của bạn đã có DHCP rồi thì bạn chọn tùy chọn thứ 2 là Dynamic Host Configuration Protocol (DHCP) bên dưới
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 104
Bước 3: Mặc định khi cài đặt hoàn tất ISA Server sẽ không bật VPN Clients lên nên bạn tiếp tục
chọn Enable VNP Client Access trong bước cài đặt thứ 1 để bật tính năng này
Check vào tùy chọn Enable VPN client access
Lưu ý là giá trị trong ô Maximum number of VPN clients allowed phải nhỏ hơn dãy số IP mà ta gán cho các VPN Clients
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 105
- Chọn qua thẻ Group add Group cho phép kết nối VPN
- Chọn qua thẻ Protocol chọn giao thức dùng để kết nối VPN OK
- Tiếp theo, chọn mục Firewall Policy để tạo một Rule mới cho phép các VPN Clients được phép truy
cập vào bên trong Internal Network
- Tạo Access Rule với thông số sau:
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 106
Rule Name: Access VPN
Action: Allow
Protocols: All outbound traffic
Source: Internal, Local Host, VPN Clients
Destination: External, Local Host, VPN Clients
User Sets: All Users
Mặc định trong ISA Server đã tạo sẵn một Network Rule trong Networks của phần Configuration cho
phép các máy VPN Clients từ bên ngoài truy cập vào Internal, tuy nhiên đây chỉ là con đường đi của của các VPN Clients mà thôi và đi được hay không là do Access Rule mà ta vừa tạo lúc nãy quyết định.
Như vậy để cho các VPN Clients truy cập được Internal Network trong ISA Server phải tồn tại song song cả 2 Network Rule và Access Rule.
Như vậy chúng ta đã hoàn tất cấu hình VPN Clients to Gateway trên máy ISA Server
- Trên Windows XP hoặc Clients muốn kết nối vào ISA Server bằng VPN chúng ta phải tạo kết nối trên
Windows. Clients to Site VPN chỉ sử dụng cho chính Clients đó thôi, kết nối này sẽ không được Share
cho Clients khác sử dụng. Clients to Site VPN chủ yếu hỗ trợ cho nhân viên làm việc ở nhà, làm việc tại
nhà hoặc PartTime/Freelancer kết nối vào công ty mà không cần phải ngồi làm việc trong mạngLAN.
Windows XP quản lý kết nối mạng bằng bằng phần Network Connections trong Windows. Để cấu hình cho Windows XP kết nối VPN chúng ta vào Network Connections và chọn Add New Connection
Cấu hình VPN tại máy Clients:
- Vào Network Connections của máy Client chọn Create a new Connection Next
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 107
Chọn tiếp Connect to the network at my workplace Next
Chọn tiếp Virtual Private Network connection Next
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 108
Tiếp theo đặt tên cho Network Conection Next
Nhập IP mặt ngoài của mạng cần kết nối VPN 192.168.1.10 Next finish
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 109
Trong cửa sổ Network Connections của máy VPN xuất hiện thêm icon VPN to Gateway1 với giao thức
PPTP click phải chọn Conect
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 110
Sau đó nhập tài khoản mà bạn đã tạo trước đó tại DC Server và nhấp Connect
Sau khi Connect vào ta thực hiện truy cập vào các Shared Folder thành công
Như vậy là chúng ta vừa thực hiện xong cấu hình VPN Remote Access Client to site trên ISA 2006.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 111
4.2 ISA Site-to-Site
Triển khai vpn site to site
Triển khai vpn site to site để các nhân viên giữa trụ sở q1 và chi nhánh quận 5 chia sẽ dữ liệu cho
nhau 1 cách dễ dàng
Đầu tiên tại trụ sở chính cấu hình vpn site to site
Mở isa tại trụ sở click Virtual Private Network- Tab Remote Sites click Create VPN site to site
Connection
Đặt tên site name tại mục site to site network name.lưu ý tên site name sẽ là tên user của chi nhánh
Q.5 dùng để kết nối đến trụ sở chính Q.1
VPN site to site ta sử dụng giao thức Point to Point Tunneling Protocol
Và sử dụng lớp mạng 20.0.0.1-20.0.0.254/24 để cấp ip cho các user khi kết nối các site với nhau
Sau khi hoàn tất sẽ hiện 1 bảng thông báo tạo 1 user bên site remote có user như tên site name
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 112
Tại trụ sở quận 1 ta tạo 1 user tên q5 trùng với tên site để remote bên chi nhánh quận 5
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 113
Sau khi hoàn tất ta phải enable tính năng VPN access tại ISA Server
Tại các user này ta phải cho phép user có thể remote VPNMở user tại Properties/ Tab Dial-in chọn Allow access
Làm tương tự với chi nhánh Q.5.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 114
5. Triển Khai Phát Hiện Xâm Nhập Với IDS
Phát hiện xâm nhập trái phép là 1 trong những yếu tố quan trọng trong vấn để bảo vệ hệ thống mạng
của công ty do đó ISA server còn cung cấp cho chúng ta tính năng phát hiện xâm nhập trái phép
Intrusion Detection and DNS Attack Detection.IDS trong ISA có những tính năng cơ bản sẽ hoạt động
như Ping of death, IP half scan, UDP bsexb và scanport…..Mặc định ISA không mở tính năng scan port
ta sẽ mở bằng cách
Mở ISA chọn chọn Configuration – General Chọn Enable Intrusion Detection and DNS Attack
Detection
Check thêm tính năng scan port để phát hiện khi có kẻ scan port hệ thống mạng công ty
Sau khi bật tính năng scan port ta phải bật log trong isa để xem tất cả các hoạt động liên quan đến hê
thống như IP các client,đích đến, port,giao thức và các hành động liên quan
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 115
Để đơn giản trong việc phát hiện ta sẽ tạo 1 alert để thông báo cho admin biết khi có dấu hiệu về xâm
nhập trái phép
Click Monitoring tại tab Alerts
click Configure Alert Definitions
check vào Intrustion Detected
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 116
Tại tab Action ta điền các thông tin cần thiết như mail server và thông báo đến cho admin
Khi có phát hiện xâm nhập ISA sẽ gửi mail thông báo cho admin biết
Đây chỉ là 1 ví dụ đơn giản trong việc phòng chống xâm nhập với IDS trong ISA, ngoài ra còn rất nhiều
kiểu xâm nhập khác như:
Ping of Death
Một số máy tính sẽ ngưng hoạt động, reboot hoặc bị crash khi gởi gói data ping với kích thước lớn đến
chúng.
Ví dụ: C:\ > ping -l 655540
Teardrop
Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá
trình sau: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một
giá trị offset nhất định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh
này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo
thứ tự đúng như ban đầu. Ví dụ, có một dữ liệu gồm 4000 bytes cần được chuyển đi, giả sử rằng 4000
bytes này được chia thành 3 gói nhỏ(packet):
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 117
packet thứ nhất sẽ mang các 1bytes dữ liệu từ 1 đến 1500
packet thứ hai sẽ mang các bytes dữ liệu từ 1501 đến 3000
packet thứ ba sẽ mang các bytes dữ liệu còn lại, từ 3001 đến 4000
Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của các gói packets để sắp xếp lại cho
đúng với thứ tự ban đầu: packet thứ nhất - > packet thứ hai - > packet thứ ba
Trong tấn công Teardrop, một loạt gói packets với giá trị offset chồng chéo lên nhau được gởi đến hệ
thống đích. Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và
có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng packets với giá trị offset chồng chéo lên
nhau quá lớn!
Hãy xem lại ví dụ trên, đúng ra các packet được gởi đến hệ thống đích có dạng như sau: (1- > 1500
bytes đầu tiên) (1501- > 3000 bytes tiếp theo) (3001- > 4000 bytes sau cùng), trong tấn công
Teardrop sẽ có dạng khác: (1- > 1500 bytes) (1501- > 3000 bytes) (1001- > 4000 bytes). Gói packet
thứ ba có lượng dữ liệu sai!
SYN Attack
Trước hết, bạn hãy xem lại tiến trình bắt tay 3 bước của một kết nối TCP/IP. Một client muốn kết nối
đến một host khác trên mạng.
Bước 1: client gởi một SYN packet với số Sequence Number ban đầu(ISN) đến host cần kết nối:
client-----SYN packet----- > host
Bước 2: host sẽ phản hồi lại client bằng một SYN/ACK packet, ACK của packet này có giá trị đúng bằng
ISN ban đầu do client gởi đã gởi đến host ở bước 1 và chờ nhận một ACK packet từ client
host-----SYN/ACK packet----- > client
Bước 3: client phản hồi lại host bằng một ACK packet
client-----ACK packet----- > host
Khi host nhân được ACK packet này thì kết nối được thiết lập, client vào host có thể trao đổi các dữ
liệu cho nhau.
Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ ip nguồn không có
thực. Hệ thống đích khi nhận được các bad SYN packets này sẽ gởi trở lại SYN/ACK packet đến các địa
chỉ không có thực này vào chờ nhận được ACK messages từ các địa chỉ ip đó. Vì đây là các địa chỉ ip
không có thực, hệ thống đích sẽ sẽ chờ đợi vô ích và còn nối đuôi các ``request`` chờ đợi này nào
hàng đợi, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác
thay cho phải chờ đợi ACK messages.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 118
Một số cách phòng chống tấn công
1> Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và cấm không
cho gửi dữ liệu đến máy chủ.
2> Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng
lưu thông trên mạng và tải của máy chủ.
• 3> Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào
hệ thống.
• 4> Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa lỗi cho
hệ thống đó hoặc thay thế.
• 5> Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding.
• 6> Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn. Nếu được có
thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm
các máy chủ cùng tính năng khác để phân chia tải.
• 7> Tạm thời chuyển máy chủ sang một địa chỉ khác.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 119
6. Triển khai Antivirus và Antisyware
ISA không có tính năng phòng chống virus nên chúng ta sẽ dùng phần mềm GFI Webmonitor để hỗ
trợ ISA trong việc bảo vệ hệ thống mạng của công ty trước virus và các phần mềm độc hại
GFI Webmonitor sử dụng ba trình diệt virus thông dụng là Bitdefender, kaspersky và Norman Anti Virus
để bảo vệ hệ thống
GFI Webmonitor tích hợp trong ISA có thể sử dụng trong môi trường domain
Sau khi cài đặt chương trình GFI Webmonitor ta khởi động chương trình để bắt đầu sử dụng
Tại màn hình chính ta chọn vào mực Virus Scanning Policies để tạo rule tùy theo nhu cầu của công ty
yêu cầu hoặc sử dụng rule mặc định
Có 3 tùy chọn để xử lý những file yêu cầu
Có 3 tùy chọn mặc định
+ Warn and Allow: Cảnh báo và cho phép
+ Block and Quarantine: Khóa và cách ly
+ Block and Delete: Khóa và xóa
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 120
Nếu muốn GFI Webmonitor scan thêm 1 file theo ý muốn ta chọn Add Content-type
Sau khi thiết lập rule xong GFI sẽ bảo vệ hệ thống mọi thời điểm và trên mọi user,nếu ta muốn thiết
lập riêng cho từng user,máy tính hay group GFI đều có thể đáp ứng
Kết quả sau khi cài GFI Webmonitor
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 121
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 122
7. Giám sát hoạt động hệ thống mạng
Tổng quan về hệ thống Monitor:
- Người quản trị ISA Server chỉ cấu hình ISA Server vào những lúc hệ thống có sự thay đổi, và chủ yếu cấu hình lúc ban đầu khi mới cài đặt ISA Server. Công việc thường xuyên nhất của các nhà quản trị là theo dõi tình hình họat động của ISA Server hay còn gọi là Monitoring, Auditing.
- ISA Server cung cấp riêng một phần Monitoring cho người quản trị để có thể theo dõi tình hình họat động của ISA Server. Chủ yếu nhà quản trị sẽ sử dụng phần Dashboard để xem họat động chung của
Server. 1. Kiểm tra kết nối Web Internal:
Vào ISA chọn Monitoring chọn thẻ Connectivity create new connectivity verifier
Nhập vào tên connectivity verifier Next
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 123
Tiếp theo điền tên web site cần kiểm tra , chọn option send HTTP “GET” request, trong Group type
use to… chọn Web internet Next finish Apply
Sau khi tạo xong ta thấy kết nối có màu xanh, chứng tỏ ISA server đang kết nối liên tục đến
www.ispace.edu.vn
1. Kiểm tra kết nối AD
Tại Montoring chọn thẻ connectivity verifier -- > Create new connectivity verifier Nhập tên
Tiếp theo nhập vào IP của máy Domain chọn option estabish a TCP connection to port
chọn LDAP 389 Next finish apply
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 125
Như vậy chúng ta muốn kiểm tra kết nối tới một web site nào ngoài internet thì ta cũng thực
hiện tương tự như trên.
3.Tạo report để thống kê kết nối truy cập:
ISA Server sẽ tạo ra các report theo yêu cầu của nhà quản trị, Report là các bản báo cáo của ISA Server về tình hình họat động của mình, tình trang bộ nhớ, lưu lượng truy cập …
Cũng tại Monitoring chọn thẻ Reports Generate a new Report
Nhập tên cho Report Next
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 126
Tiếp theo chúng ta đánh dấu chọn tất cả chex box Next
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 127
Nhập vào ngày bắt đầu và ngày kết thúc Report (Lưu ý ngày bắt đầu Report phải nhỏ hơn
ngày hiện tại)
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 128
Tiếp theo nếu bạn muốn gửi Report cho người nào đó thì bạn nhập địa chỉ Email của người đó
vào Next finish.
Kết quả tạo Report :
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 129
Để xem Report click phải chuột vào Report chọn View
4.Tạo Alerts:
Chức năng Alert sẽ cảnh báo cho nhà quản trị biết một thông điệp gì đó liên quan đến Bảo mật
hoặc sự an tòan của ISA Server. Microsoft sử dụng từ ngữ Trigger để nói lên điều này, có ngh a là
nếu ISA Server thấy một tính năng nào đó đạt đến ngưỡng quy định sẽ tự động báo lên một Alert
cho người dùng.
Tại Monitoring chọn thẻ Alerts chọn cofigure alert difinitions
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 130
Tiếp theo chọn Service shutdow chọn Edit
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 131
Tiếp theo chúng ta nhấp đầy đủ thông tin email cần gửi thông báo đến OK
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 132
5. Tạo Alerts để phònh chống Sanport vào ISA server
Tại ISA chọn configuration general chọn enable intrusion detection and DNS attack
detection
Check vào Port scan OK
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 133
D- HƢỚNG MỞ RỘNG
I. Đánh Giá Đề Tài
1. Ƣu điểm:
- Hệ thống tường lửa hoạt động ổn định.
- Chính sách bảo mật chặt chẽ.
- An toàn hệ thống với Anti-virus và Anti-spyware.
- Giám sát và quản lý băng thông một cách hiệu quả.
2. Nhƣợc điểm:
- Dễ bị tấn công trong mạng nội bộ.
- Quản lý các vùng chỉ với một tường lửa.
- Chưa có hình thức Anti-virus và Anti-Spam cho Mail Server.
- Không giám sát được người dùng khi sử dụng SSL.
II. Định Hƣớng Hệ Thống Trong Tƣơng Lai
1. Định hƣớng nâng cấp sử dụng Forefront Threat Management (TMG) 2010
- Trong tương lai nếu công ty có nhu cầu nâng cấp độ bảo mật của hệ thống thì chúng tôi sẽ sử
dụng Forefront Threat Management Gateway (TMG) 2010.
- Kể từ phiên bản ISA Server 2006 trở đi Microsoft đã ngừng phát triển chương trình này và chính
thức cho ra mắt sản phẩm mới là Microsoft Forefront Threat Management Gateway (TMG), đây chính là một cải tiến đáng kể từ phía Microsoft vì thực sự Forefront TMG chính là phiên bản tích hợp của:
Internet Security and Acceleration Server (ISA).
Forefront Client Security. Forefront Security for Exchange Server. Forefront Security for SharePoint.
- Chính vì là một sản phẩm ra đời sau nên Forefront TMG có những tính năng mới nổi trội hơn ISA 2006 như: lọc URL, chống virus trên web, chống malware, chuyển tiếp SSL, hệ thống phát hiện và
ngăn chặn xâm nhập hoàn toàn mới, khả năng bảo vệ E-mail. Bên cạnh đó còn có vô số những thứ khác cũng được thay đổi để cho phép nhiệm vụ quản lý hàng ngày đối với TMG trở nên dễ dàng hơn.
- Ngoài ra còn có 1 yếu tố nữa là từ phiên bản ISA 2006 chỉ hỗ trợ các hệ điều hành trước đó như
Windows 2000, Windows XP, Windows 2k3 mà không được hỗ trợ trên các hệ điều hành mới của
Microsoft như: Windows 7, Windows 2k8. Vì thế để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay 2k8 chúng ta sẽ phải sử dụng Forefront TMG 2010.
TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH
Trang 134
2. Xây dựng hệ thống theo mô hình Back-End kết hợp Front-End để bảo mật hệ thống:
- Nâng cao bảo mật cho hệ thống mạng với 2 tường lửa. - Đảm bảo hệ thống Mail hoạt động ổn định. - Bảo mật hệ thống chặt chẽ giữa các vùng. - Giám sát hệ thống mạng hiệu quả.