Giáo trình Quản trị mạng nâng cao (Nghề: Quản trị mạng - Cao đẳng) giúp sinh viên Quản trị chuyên sâu hệ thống mạng; cài đặt, triển khai và cấu hình đảm bảo an toàn cho hệ thống mạng. Giáo trình được chia thành 2 phần, phần 2 trình bày những nội dung về: giới thiệu ISA Server; dịch vụ Virtual Private Network (VPN); Monitor ISA Server;... Mời các bạn cùng tham khảo!
Trang 76 BÀI GIỚI THIỆU VỀ ISA SERVER Mã bài: MĐ27-06 Mục tiêu bài: - Trình bày tầm quan trọng ISA Server việc bảo vệ hệ thống mạng; - Hiểu tính ISA Server; - Hiểu khái quát khả nét đặc trưng ISA Server; - Thực thao tác an tồn với máy tính Định nghĩa Firewall Mục tiêu: Trình ày khái niệm Firewall chức Firewall Firewall - Tường lửa dùng để ngặn chặn bảo vệ thông tin chống việc truy cập bất hợp pháp hacker Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu từ bên ngồi vào máy tính từ máy tính ngồi mạng Internet Có thể nói Firewall nguời bảo vệ có nhiệm vụ kiểm tra “giấy thơng hành” gói liệu vào Nó cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu khơng hợp lệ Vì vậy, Firewall cần thiết cho hệ thống mạng Phân loại Firewall Mục tiêu: Trình ày loại firewall số firewall thơng dụng 2.1 Firewall phần mềm Firewall phần mềm sử dụng cho hệ điều hành Windows Firewall phần mềm thường không đắt phần cứng So với Firewall phần cứng, Firewall phần mềm linh động hơn, chạy tốt nhiều hệ điều hành khác Một Firewall phần mềm phổ biến Zonealarm, ISA 2.2 Firewall phần cứng Firewall phần cứng có mức độ bảo vệ cao so với Firewall phần mềm, dễ bảo trì khơng chiếm dụng tài ngun hệ thống Firewall phần mềm Một hãng chuyên cung cấp Firewall phần cứng Linksys NetGar 2.3 Bộ định tuyến không dây Bộ định tuyến không dây sử dụng cho mạng khơng dây Nó xem Firewall tích hợp số chức tương tự Firewall Chức Firewall Mục tiêu: Giới thiệu đến người học chức firewall - Kiểm sốt nguồn thơng tin mạng Internet máy tính; - Cho phép không cho phép dịch vụ truy cập từ hệ thống bên ngoài; - Cho phép cấm cho phép dịch vụ truy cập từ vào hệ thống; - Chức theo dõi luồng liệu mạng Internet máy tính nối mạng; - Kiểm sốt địa truy cập người dùng nội dung nhận từ Internet; - Chống lại đợt truy cập bất hợp pháp hacker Các kiến trúc Firewall Mục tiêu: Trình ày sở xây dựng lại firewall, kiến trúc, cách hoạt động firewall ản với ưu, nhược điểm firewall ản Khi nói đến việc lưu thông liệu mạng với thông qua firewall Trang 77 điều có nghĩa firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP Vì giao thức làm việc theo thuật tốn chia nhỏ liệu nhận từ ứng dụng mạng, hay xác dịch vụ chạy giao thức (Telnet, SMTP, DSN, SMNP, NFS,…) thành gói liệu (data packets) gán cho packet địa để nhận dạng tái lập lại đích cần gửi đến; Do đó, loại firewall liên quan nhiều đến packet địa chúng Ngày nay, Firewall xây dựng dựa sở lọc gói (packet filter) Firewall xây dựng cổng ứng dụng (Application gateway) số firewall khác Bastion Host Firewall (pháo đài phòng ngự) 4.1 Tƣờng lửa lộc gói tin (Packet filtering firewall) Loại firewall thực việc kiểm tra số nhận dạng địa packet phép chúng lưu thơng qua lại hay khơng Các thơng số lọc packet sau: • Địa IP nơi xuất phát (source IP address); • Địa IP nơi nhận (destination IP address); • Cổng TCP nơi xuất phát (TCP source port) ; • Cổng TCP nơi nhận (TCP destination port) Nhờ mà firewall ngăn cản kết nối vào máy chủ mạng xác định, khóa việc truy cập vào hệ thống nội từ địa không cho phép Hơn việc kiểm soát cổng làm cho firewall có khả cho phép số loại kết nối định vào máy chủ đó, có dịch vụ (Telnet, SMTP, FTP,…) phép chạy hệ thống mạng nội Hình 6.1 – Tường lửa lọc gói 4.2 Cổng tầng ứng dụng (Application gateway) Cổng tầng ứng dụng thiết bị bình phong bảo mật dùng để phân tích gói liệu chuyển vào Khi gói liệu từ bên ngồi đến cổng, chúng kiểm tra lượng giá để xác định xem sách bảo mật có cho phép chúng vào mạng hay không Máy phục vụ không định giá trị địa IP mà xem xét liệu gói để tìm lỗi sửa sai Một cổng tầng ứng dụng điển hình cung cấp dịch vụ ủy quyền cho ứng dụng giao thức Telnet, FTP (File Transfer Protool), HTTP (HyperText Trang 78 Transfer Protocol), SMTP (Simple Mail Transfer Protocol) Cổng ứng dụng không cho phép gói tin thẳng trực tiếp hai mạng, mà loại Firewall thiết kết để tăng cường khả kiểm sốt thơng qua dịch vụ Proxy Khi trạm bên muốn kết nối với trạm bên tường lửa thông qua dịch vụ trạm bên ngồi phải thơng qua dịch vụ Proxy Nếu dịch vụ bên ngồi khơng thuộc diện cấm thơng qua Proxy dịch vụ Proxy tìm trạm đích bên tường lửa để tạo kết nối với trạm bên ngoài; ngược lại trạm bên muốn kết nối Với cách thức ngăn chặn số loại công gây tràn đệm tường lửa Tuy nhiên có số hạn chế dạng tường lửa loại là: Đây loại tường lửa cài đặt cho loại dịch vụ riêng rẽ mạng ví dụ Telnet, Mail, FPT… Nếu muốn hỗ trợ dịch vụ cho mạng thơng qua tường lửa thiết phải thêm vào proxy cho loại dịch vụ Vì mạng bên ngồi có thêm dịch vụ người quản trị tường lửa phải xây dựng sách đại diện thích hợp với dịch vụ Có hai nguyên tắc để tạo sách đại diện mặc định từ chối tất thứ không đại diện, chấp nhận tất dịch vụ khơng có dịch vụ đại diện tường lửa Nhưng hai cách gây nguy an ninh bất tiện cho hệ thống mạng bên tường lửa 4.3 Bastion Host Firewall (Pháo đài phòng ngự) Bastion Host Firewall trạm cấu hình để chặn đứng cơng từ phía bên ngồi vào Đây điểm giao tiếp trực tiếp với mạng không tin cậy bên ngồi, dễ bị cơng Có hai dạng máy phịng thủ: Hình 6.2 – Bastion Host Firewall Máy phịng thủ có hai card mạng, nối với hệ thống bên (mạng nội bộ) card cịn lại nối với bên ngồi mạng Internet Đây dạng tường lửa có từ sớm, yêu cầu người sử dụng bên phải kết nối với tường lửa trước làm việc với mạng bên ngồi Với giải pháp tường lửa lập mạng bên với mạng bên máy phịng thủ (host) tạo thiếu tự nhiên việc kết nối người sử dụng bên với mạng bên Dạng thứ hai cấu phòng thủ máy phòng thủ có card mạng nối trực tiếp đến hệ riêng biệt mạng – gateway mức ứng dụng Gateway cung cấp điều khiển vào Bộ định tuyến (rounter) có nhiều chức cấu hình Nó khơng định hướng gói đến hệ nội bộ, mà cho phép hệ Trang 79 thống nội mở kết nối với Internet không cho phép kết nối Kiến trúc screening subnet bổ sung thêm tầng an toàn để tách mạng nội với Internet Lý để làm việc tránh cho mạng nội khỏi bị công bastion host bị đánh sập Giới thiệu ISA server Mục tiêu: Trình ày hoạt động tường lửa: điều khiển truy nhập (Access control), quản lý xác thực (Authentication) ghi nhật ký truy nhập (activity logging) 5.1 Điều khiển truy nhập (Access Control) Như giới thiệu có hai loại tường lửa với cách điều khiển truy nhập khác quy chế lọc gói (packet filter) sách người đại diện ứng dụng Điểu khiển truy nhập phụ thuộc vào nhận dạng đắn yêu cầu phụ thuộc vào định nghĩa quyền xác thực người sử dụng 5.2 Vị trí xảy q trình xử lý gói Để hiểu firewall hoạt động nào, trước hết quan tâm đến đường gói tin dẫn đến firewall Có đường dẫn phổ biến mà gói tin qua tùy thuộc vào dạng tường lửa cài đặt Một gói tin vựợt qua tường lửa mức tầng ứng dụng, mức nhân hệ điều hành mức card giao tiếp mạng Hầu hết tường lửa kiểm soát cho phép gói qua mức Hình 6.3 – đường phổ biến mà gói tin qua Để có tốc độ xử lý cao router, lọc gói thiết lập phần mở rộng thiết bị card giao tiếp mạng với xử lý đặc biệt tối ưu q trình xử lý gói Để lưu chứa với tốc độ cao xử lý card giao tiếp mạng hỗ trợ luật xử lý đơn giản phép so sánh nhị phân Những dịch vụ khác không hỗ trợ Những router trạm luân chuyển gói khác q trình lọc gói tin thường diễn mức nhân hệ điều hành mức card giao tiếp mạng Thơng thường q trình lọc thực thi xử lý chuyên dụng cho phép tường lửa thực q trình lọc kiểm định cách chuẩn xác, tinh xảo card giao tiếp mạng tích hợp tính lọc Hơn q trình xử lý gói mức nhân hệ điều hành nhanh mức tầng ứng dụng trình lập lịch tràn nhớ tránh Tuy nhiên trình xử lý nhân thường địi hỏi tất thơng tin cần thiết cho việc lọc gói phải chứa nhớ thay đĩa Một gói phải xử lý cho qua mà không cần phải đợi đĩa điều làm hạn chế Trang 80 dạng gói số lượng gói xử lý mức Quá trình xử lý mức tầng ứng dụng cung cấp sách an ninh tốt Mức ứng dụng truy cập đến tất tài nguyên hệ thống bao gồm đĩa, card mạng, nhớ, thư viện chương trình tiến trình khác Tầng ứng dụng tầng cấu trúc phân tầng giao thức mạng, khơng bị giới hạn bới tầng thấp Hoạt động lọc gói (Packet Filtering) Hoạt động lọc gói diễn mức xử lý gói trình bày thường hỗ trợ mức card giao tiếp mạng mức nhân hệ điều hành Một lọc gói vào phần địa IP chứa gói tin để định xem gói có cho phép vượt qua hay bị chặn lại Gói cho qua chuyển đến trạm đích router Gói bị chặn lại bị loại bỏ 5.3 Luật lọc (Filtering Rules) Bộ lọc kiểm tra mảng thông tin khối IP phần đầu gói tin Các thơng tin mơ tả bảng 6.1: BẢNG 6.1: Thông tin khối IP phần đầu gói tin Field Purpose Source IP address Địa IP trạm nguồn gửi gói tin Destination IP address Địa IP trạm đích gói tin tới Upper level Protocol (đó TCP Cho giao thức khác dịch vụ khác UDP) TCP or UDP source port number Số hiệu cổng trạm nguồn gửi gói TCP or UDP destination port number Số hiệu cổng trạm dích nhận gói tin Khi có thơng tin gói, lọc so sánh chúng với tập hợp luật để đưa định Một luật lọc kết hợp giá trị miền giá trị trường thông tin định đưa tất thơng tin gói so khớp với thông tin luật Một lọc gói thực việc kiểm tra hợp lệ gói đơn giản nhanh phép so sánh nhị phân Quyết định (cho phép cấm) đưa sau lọc tìm thấy luật hồn tồn so khớp với thơng tin mà có gói tin trật tự xếp luật quan trọng góp phần làm cho q trình lọc nhanh Có điều đáng quan tâm danh sách luật hữu hạn ta lường hết tình để đưa tất luật được; phải có luật mặc định để xem xét hết tất luật danh sách luật mà lọc khơng thể đưa định luật mặc định giúp lọc đưa định Có ý tưởng chủ đạo việc tạo luật mặc định là từ chối tất chấp nhận tất cả, có nghĩa tất gói có thơng tin khơng thỏa mãn tập luật bị từ chối cho qua chấp nhận cho qua hết Trang 81 5.4 Hoạt động tƣờng lửa ngƣời đại diện ứng dụng (Proxy Application) Hình 6.4 – Hoạt động tường lửa người đại diện ứng dụng (Proxy Application) Như mô tả hình 6.4, người sử dụng trước hết phải thiết lập kết nối đến người đại diện ứng dụng tường lửa (1) Đại diện ứng dụng tập hợp thông tin liên quan đến mối liên kết yêu cầu người sử dụng (2) Tường lửa sử dụng thông tin để định liệu u cầu có cho phép thực thi hay khơng Nếu yêu cầu từ phía người dùng thỏa đáng người đại diện tường lửa tạo kết nối khác từ tường lửa đến đích dự kiến (3) Sau người đại diện đóng vai trị thoi để truyền tải liệu mối kết nối (4) Có điểm cần lưu ý là: • Thứ nhất, kết nối phải thiết lập đến người đại diện tường lửa thay nối trực tiếp đến trạm mong mn kết nối • Thứ hai, người đại diên tường lửa phải có địa IP trạm đích Trước người sử dụng ứng dụng muốn kết nối đến người đại diên ứng dụng phải thiết lập kêt nối đến tường lửa, kết nối phải sử dụng phương pháp chuẩn để cung cấp tên địa IP trạm đích mong muốn Đây công việc dễ dàng giao thức tầng ứng dụng ln cố định thường không hỗ trợ vượt qua thông tin thêm vào Để khắc phục đặc điểm có nhiều giải pháp bắt buộc người sử dụng ứng dụng phải tuân theo Kết nối trực tiếp Đây giải pháp cho phép người sử dụng thiết lập kết nối trực tiếp đến tường lửa thông qua địa số hiệu cổng người đại diện sau người đại diện hỏi người sử dụng để biết địa trạm mong muốn kết nối Đây phương pháp thô sử dụng tường lửa sơ khai khơng ưa dùng Sử dụng chƣơng trình hỗ trợ máy khách Giải pháp sử dụng việc cài đặt người đại diện phải có chương trình hỗ trợ đặt máy người sử dụng Người sử dụng chạy ứng dụng đặc biệt để tạo kết nối đến tường lửa Người sử dụng việc cung cấp địa tên trạm đích cho ứng dụng bổ trợ Địa tường lửa ứng dụng bổ trợ lấy từ file cấu hình cục sau thiết lập kết nối đến người đại diện tường lửa Giải pháp tỏ hữu hiệu suốt người sử dụng; nhiên, hạn chế chương trình hỗ trợ máy khách thực tương ứng với dịch vụ mạng mà Sử dụng ngƣời đại diện tàng hình Một phương pháp sử dụng cho việc kết nối đến đại diện ứng Trang 82 dụng tường lửa sử dụng đại diện tàng hình (ẩn) Với giải pháp người sử dụng khơng cần đến chương trình hỗ trợ máy khách kết nối trực tiếp đến tường lửa Ở người ta sử dụng phương pháp dò đường bản, kết nối đến mạng bên phải định hướng thơng qua tường lửa Các gói vào tường lửa tự động đổi hướng đến đại diện ứng dụng móng muốn Ứng dụng đại diện có địa trạm đích cách xác cách lấy địa trạm đích phiên Trong trường hợp tương lửa giả mạo thành trạm đích chặn phiên lại Khi kết nối thiết lập đến đại diện tường lửa trình ứng dụng máy khách nghĩ kết nối đến trạm đích thật Nếu phân quyền đại diện ứng dụng tường lửa dùng hàm đại diện để tạo liên kết thứ hai đến trạm đích thật 5.5 Quản lý xác thực (User Authentication) Đây chức ngăn cản việc truy cập trái phép vào hệ thống mạng nội Các hệ điều hành quản lý mạng kiểm soát cách không chặt chẽ tên người sử dụng password đăng ký, đơi lúc người sử dụng ủy nhiệm lại vô ý để lộ password Hậu việc có nghiêm trọng Nó trở nên quan trọng hệ thống mạng lớn có nhiều người sử dụng Có hai giao thức chuẩn thơng dụng để kết hợp làm việc với LAN • RADIUS (Remote Authen-tication Dial-In User Service) • TACAS+ (Terminal Access Controller Access Control System Extended) Thông thường chức authentication thực với phối hợp thiết bị phần cứng phần mềm tích hợp sẵn bên phần mềm (giải mã theo thuật toán tiêu chuẩn khóa mã định trước) Khi thao tác truy cập vào mạng thực (kiểm tra User Name Password), hệ quản lý xác thực gửi đến máy tính người dùng xin truy cập vào mạng chuỗi ký tự gọi Challenge (câu thách đố), người dùng nhập vào Token chuỗi Challenge nhận chuỗi ký tự gọi PIN (Personal Identification Number - số nhận dạng cá nhân) Nhờ PIN mà người dùng truy cập vào hệ thống mạng Điều đặc biệt Challenge PIN thay đổi phút một, Token định thay đổi Cryptor Key (khóa mã) tùy người sử dụng nên việc bảo mật gần tuyệt đối 5.6 Kiểm tra Cảnh báo (Activity Logging and Alarms) a Activity logging Để cung cấp thông tin hoạt động mạng tới người quản trị hầu hết tường lửa ghi chép thông tin vào files (log files) lưu giữ đĩa Một tường lửa hoàn chỉnh phải ghi chép đầy đủ thông tin kết nối thành công không thành công Các thông tin hữu ích cho việc phát kịp thời lỗ hổng tường lửa Một log file chuẩn phải có thơng tin sau: • Thời gian bắt đầu kết thúc phiên; • Địa trạm nguồn; • Địa trạm đích; • Giao thức sử dụng (TCP hay UDP); • Cổng mở trạm đích; • Kết việc kết nối (thành cơng hay bị từ chối); • Tên người sử dụng xác thực sử dụng Ngồi cịn có thêm thơng tin số gói chuyển qua, số lần lặp lại kết nối đó… Trang 83 b Alarm Hoạt động báo động quan trọng người quản trị Khi có kết nối đến mạng tường lửa phát tín hiệu để người quản trị biết Đồng thời hoạt động cảnh báo đưa tình trạng lỗi gói Khi gói bị chặn lại khơng qua tường lửa hoạt động cảnh báo tường lửa gửi cảnh báo đến trạm nguồn thông báo ngun nhân loại bỏ gói Các mơ hình Firewall phức tạp Mục tiêu: Trình ày mơ hình firewall ản phức tạp thường sử dụng doanh nghiệp 6.1 Mô hình Firewall thƣờng đƣợc sử dụng đến: Hình 6.5 - Mơ hình Firewall thường sử dụng 6.2 Mơ hình Firewall phức tạp thƣờng sử dụng doanh nghiệp lớn Nó chống để đợt công xâm nhập hợp pháp bên trơng lẫn bên ngồi Internet Hình 6.6 - Mơ hình Firewall phức tạp thường sử dụng doanh nghiệp lớn Firewall Cross IP 10.0.0.100 Server IP 10.0.0.2 Clien IP 10.0.0.3 Trang 84 SM 255.0.0.0 SM 255.0.0.0 SM 255.0.0.0 DF không DF 10.0.0.100 DF 10.0.0.100 DNS 10.0.0.2 DNS 10.0.0.2 DNS 10.0.0.2 Lan IP 192.168.1.113 SM 255.255.255.0 DF 192.168.1.100 DNS không Sơ đồ hoạt động ISA Mục tiêu: Trình ày sơ đồ hoạt động ISA theo dạng sơ đồ khối Trong đó, tiến trình với trình tự iểu diễn Câu hỏi Firewall gì? Hãy phân loại Firewall Trình bày kiến trúc Firewall Trình bày trình hoạt động firewall Trang 85 Theo sơ đồ cho đây, cho biết trình hoạt động tường lửa ứng dụng (Proxy Application) Trang 128 Vậy tạo xong Mail POP3 cho account hp Mở chương trình Outlook Express lại với account hp Màn hình Outlook Express xuất hiện, bấm vào Create Mail Thử gửi mail cho administrator mạng (kiểm tra Publishing Mail có thành cơng khơng) - To: điền administrator@danavtc.edu - Subject: text mail mạng, nội dung: admin Chọn nút Send để gửi Tại máy ISA, kiểm tra account hp gửi mail đến cho administrator có nhận khơng Mở Outlook Express administrator thấy có mail gửi từ hp gởi tới; Publishing mail thành cơng Cấu hình lọc mail Mục tiêu: Trình ày ước cấu hình lọc mail, cụ thể: - Cài IIS SMTP NNTP - Cài đặt dịch vụ Message Screener - Cấu hình SMTP - Kiểm tra ộ lọc mail Cấu hình lọc mail mail gửi đến có từ admin lọc sẵn tự động chuyển đến cho administrator Muốn tiến hành lọc mail ISA phải có dịch vụ Message Screener Muốn cài Message Screener ISA phải cài IIS SMTP, NNTP Tiến hành cài IIS SMTP NNTP: - Mở Control Panel, chọn Add or Remove Programs - Chọn Add\Remove Windows Components - Chọn Application Server, chọn nút Details - Trong hình Application Server, chọn Internet Information Service (IIS) bấm nút Details Khi hình Internet Information Services (IIS) xuất hiện, chọn World Wide Web Service bấm Details - Trong hình World Wide Web Service, chọn World Wide Web Service bấm OK - Trở hình Internet Information Services (IIS), đánh dấu vào SMTP NNTP, chọn OK - Trở hình Windows Components Wizard, lúc Application Server đánh dấu, chọn Next Lúc ta cài IIS, SMTP NNTP Cài đặt dịch vụ Message Screener: Khi cài IIS, SMTP NNTP xong, tiếp tục cài dịch vụ Message Screener Mở chương trình cài ISA, chọn Modify / Next Chọn cài thêm dịch vụ Message Screener cho ISA (hình 9.11), chọn Next Trang 129 Hình 9.11 – Cài thêm dịch vụ Message Screener Tiến hành cấu hình SMTP sau cài xong dịch vụ Message Screener - Vào Start / Program / Administrator Tools / Internet Information Services (IIS) Manager - Khi hình Internet Information Service (IIS) Service xuất (hình 9.12), bấm vào dấu + Default SMTP Virtual Server chọn Domain nhắp chuột phải chọn New Domain Hình 9.12 – Chỉ định Domain - Trong hình Welcome to the New SMTP Domain Wizard (Hình 9.13), chọn Remote / Next Trang 130 Hình 9.13 – Chỉ định kiểu Domain Remote - Màn hình Domain Name xuất hiện, điền domain tương ứng (danavtc.edu) Hình 9.14 – Chỉ định tên Domain Bây mục Domain có tên Domain (danavtc.edu), chọn tên Domain (danavtc.edu), nhắp chuột phải chọn Properties Chọn tab General hình danavtc.edu Properties Hình 9.15 – Thiết lập thuộc tính cho Domain tương ứng Đánh dấu vào Allow incoming mail to be relayed to this domain Chọn Forward all mail smart to the Domain, điền địa 10.0.0.2, chọn OK Nhắp chuột phải vào Default SMTP Virtual Server, chọn Properties Trong hộp thoại Default SMTP Virtual Server Properties (hình 9.16), chọn IP 10.0.0.100 cho IP address, chọn nút OK Trang 131 Hình 9.16 – Thiết lập Default SMTP Virtual Server Properties Quay lại rule Publishing Mail SMTP Server mà ta Publishing Mail, nhắp chuột phải, chọn Properties Trong hình Publishing Mail SMTP Server Properties (hình 9.17), Tab To: điền IP 10.0.0.100, chọn nút Apply / OK Hình 9.17 – Chỉ định địa mạng server Publishing Mail Chọn Configuration Add -ins - Nhắp chuột phải lên SMTP Fiter, chọn Properties Trong hình SMTP Filter Properties, chọn Tab Keywords, chọn nút Add (hình 9.18) Hình 9.18 – Thêm rule để lọc mail Trang 132 Trong hình Mail Keyword Rule, đánh dấu vào Enable this rule Keyword (hình 9.19) Hình 9.19 – Kích hoạt rule với từ định virut - Keyword: điền virut - Apply action if keyword is found in: chọn Message subject or body - Action: chọn Forward message to - E-mail address: điền administrator@danavtc.edu / OK Lúc hộp thoại SMTP Filter Properties (hình 9.20), setting có mục virut (được tạo Keyword), chọn Apply, OK Hình 9.20 – Thiết lập thuộc tính lọc với SMTP Kiểm tra lọc mail: Tại “máy tính ngồi mạng”, mở chương trình Outlook Express account hp Khi hình Outlook Express xuất hiện, chọn Create Mail để tiến hành gửi mail cho account kiem (nội dung virut) Tại máy AD, tiến hành kiểm tra có nhận mail hp gửi đến kiem khơng - Mở Outlook Express với account kiem thấy khơng có mail hp Tại máy ISA ta tiến hành kiểm tra mail - Mở Outlook Expreess account administrator thấy có mail hp Mail chuyển đến administrator cấu hình lọc mail với từ khố Virut tự động chuyển đến administrator Publishing Web Mục tiêu: Trong phần (Pu lishing We ), (Pu lishing FTP), (Pu lishing Terminal Services) trình ày cách thức để mở Port cho Trang 133 máy từ External Network truy cập vào mạng Cơng việc cịn gọi Server Publishing Muốn tạo trang web, máy AD cần phải cài chương trình IIS Khi Máy AD cài IIS, tiến hành tạo trang web: - Vào ổ đĩa C:\Inetpub\wwwroot, tạo file Text Document - Sau tạo file Text Document, đổi tên thành default.htm - Nhắp chuột phải vào file default.htm chọn Edit Nhập nội dung file: chao mung den trang web lưu trữ Sau tạo trang web, mở chương trình IE nhập http://10.0.0.2; Nếu thấy trang web xuất Publishing Web máy ISA: Chọn Firewall Policy, nhắp chuột phải chọn New, chọn Web Server Publíhing Rule Trong hình Wellcome to the New Web Publishing Rule Wizard xuất hiện: - Web publishing rule name: điền Publish Web, chọn Next Trong hộp thoại Select Rule Action: chọn Alow / Next Tại hình Define Website to Publish: - Computer name or IP address: điền 10.0.0.2 / Next Trong Public Name Details: Accept requests for: chọn Any domain name / Next Khi hình Select Web Listener xuất hiện, chọn nút New Màn hình Welcome to the New Web Listener Wizarrd xuất hiện: Web listener name: điền Listener2 / Next Trong hình IP addresses: đánh dấu vào External / Next Khi hình Port Specification xuất hiện, đánh dấu vào Enable HTTP nhập: 80 Sau hoàn tất, kiểm tra thử “máy tính ngồi mạng”: mở chương trình IE nhập địa chỉ: http://192.168.1.100; Nếu trang web hiển thị Publishing FTP Trước tiên, phải cấu hình FTP Cài đặt FTP: Start / Setting / Control Panel / Add or Remove Programs Trong cửa sổ Add or Remove Programs, chọn Add\Remove Windows Components Từ hình Windows Components Wizard, chọn Application Server, chọn nút Detals Khi cửa sổ Application Server xuất hiện, chọn Internet Information Service (IIS) bấm nút Details Màn hình Internet Information Services (IIS) xuất hiện, chọn File Transfer Protocol (FTP) Service, OK Trở hình Windows Components Wizard, ta thấy Application Server đánh dấu, chọn Next Chương trình bắt đầu cài FTP; Khi trình cài đặt FTP hoàn tất, chọn nút Finish Vào Start / Program / Administrator Tools / Internet Information Services (IIS) Manager Chọn FTP Site, nhắp chuột phải lên Default FTP Site chọn Properties Khi hình Default FTP Site Properties xuất hiện: - Tab FTP Site: IP address chọn IP 10.0.0.2 - Tab Home Directory: đánh dấu vào ô Write - Tab Security Accounts: chọn nút Browse, cửa sổ Select User xuất chọn nút Advanced; chọn nút Find Now để định administrator, chọn OK Trang 134 Lúc ta thấy User name: TUANH\administrator, Password: điền 123456, OK Tại Confirm Password, xác nhận Password Khi cấu hình FTP xong, chép file hay thư mục vào FTP (ở minh họa chép file C:\Program Files\NetMeeting) Chép file C:\Program Files\NetMeeting dán vào C:\Inetpub\ftproot Kiểm tra hoạt động FTP: Sau chép file vào FTP, kiểm tra FTP coi có hoạt động khơng: Tại máy ISA, mở IE nhập ftp://10.0.0.2 Khi hình Log On xuất hiện: - User name: điền administrator - Password: 123 (Password 123 password administrator) Khi Log on vào FTP thấy file Sau truy cập thành công FTP, tiến hành Publicshing FTP để máy ngồi Internet truy cập FTP: Chọn Firewall Policy / New / Server Publishing Rule Điền Publiching FPT / Next; hộp thoại, điền 10.0.0.2 / Next Chọn FTP Server / Next Chọn External / Next Nhấn Finish để hoàn tất / Apply Chọn Configuration / Network / Network Rules / nhắp chuột phải lên Internet Access, chọn Properties - Tab Network Relationship: chọn Network Address Transtation (NAT) / OK Như ta Publishing FTP xong Kiểm tra Publishing FTP: Sau Publishing FTP xong, kiểm tra Publishing FTP “máy tính ngồi mạng” có cơng khơng: mở IE nhập ftp://192.168.1.100 Khi hình Log On xuất hiện: - Users name: điền administrator - Password: điền 123 Nếu thấy file FTP nghĩa Publishing FTP thành cơng Lúc này, Download file FTP (copy không Upload file lên FTP được, copy file Paste vào FTP thấy bị báo lỗi) Muốn Upload file lên FTP, máy ISA nhắp chuột phải lên Publishing FPT chọn Configure FTP Bỏ đánh dấu Read Only / OK / Apply Lúc này, mở IE “máy tính ngồi mạng” nhập ftp://192.168.1.100, copy số file Paste vào FTP không bị lỗi Publishing Terminal Services Máy AD: Nhắp chuột phải Icon Computer, chọn Properties - Tab Remote: đánh dấu vào Allow users to connect remotely to this computer, chọn Select Remote Users / Add / Advanced - Chọn Find Now để định administrator / OK Máy ISA:tiến hành Publishing Terminal Services - Chọn Firewall Policy / New / Server Publishing Rules - Điền Remote Desktop Connection / Next - Điền IP 10.0.0.2 / Next - Chọn RDP (Terminal Services) Server / Next - Chọn External / Next Trang 135 - Chọn Finish để hoàn tất / Apply Như vậy, Publishing Terminal Services thực Tại “máy tính ngồi mạng”, tiến hành kiểm tra Publishing Terminal Server có thành cơng khơng Vào Start / Programs / Accessories / Communications / Remote Desktop Connection - Computer: IP 192.168.1.100 - User name: administrator - Password: 123 - Chọn nút Connect Hình 9.21 – Remote Desktop Connection Màn hình Connect thành cơng ta điều khiển Câu hỏi Mail Mdaemon gì? Tại phải dùng Mail Mdaemon? Cho biết mục đích ý nghĩa tiến trình Publishing Mail, lọc mail, Publishing web, Publishing FTP Bài tập thực hành Cài đặt hệ thống Mail Mdaemon gửi mail qua lại Máy AD cài Mail Mdaemon Mở chương trình Outlook Epress máy ISA, tạo mail POP3 Tạo mail POP3 cho account máy AD Từ máy ISA (account administrator), tiến hành gửi mail cho account máy AD Tại Máy AD, kiểm tra account kiem nhận mail account admintrator gửi đến chưa Tiến hành Publishing Mail ngồi mạng sử dụng account gửi mail Cấu hình lọc mail: - Cài IIS, SMTP NNTP - Cài đặt dịch vụ Message Screener - Cấu hình SMTP - Kiểm tra tính lọc mail Xuất web: - Tạo trang web Trang 136 - Xuất web Publishing FTP: - Cài đặt FTP - Cấu hình Internet Information Services (IIS) Manager - Kiểm tra hoạt động FTP - Publicshing FTP để máy ngồi Internet truy cập FTP - Kiểm tra Publishing FTP Trang 137 BÀI 10 MONITOR ISA SERVER Mã bài: MĐ27-10 Mục tiêu bài: - Trình bày Tab Monitor; - Phát khắc phục dịch vụ thông qua tab Monitor; - Thực lưu khôi phục lại máy ISA - Thực thao tác an tồn với máy tính Trình bày tab Monitor Mục tiêu: Giới thiệu chức ta Monitor Isa Server 1.1 Tab Session - Cho biết có Session diễn thơng qua ISA - Mỗi Session thông qua dạng (SecaureNAT, Web Proxy, Firewall Client) để biết máy tính ngồi mạng thơng qua ISA dạng 1.2 Tab Services - Trình bày dịch vụ ISA chạy tốt - Khởi động dịch vị ISA có trục trặc Ví dụ, áp dụng rule mà khơng chạy, thay khởi động lại máy tính, restart lại dịch vụ Microsoft Firewall (bằng cách chọn Microsoft Firewall, nhắp chuột phải chọn stop; sau tiếp tục restart lại) 1.3 Tab Report Tab Report dùng để tạo báo cáo thống kê, giúp thống kê lại khoảng thời gian máy mạng Lan web nhiều chiếm nhiều băng thông lấy dung lượng nhiều nhất… 1.4 Tab Connectivity Tab Connectivity cho phép tạo kết nối phục vụ cho việc kiểm tra Chẳng hạn, trang web internet thường xuyên truy cập gặp trục trặc, thay phải ngồi CMD để ping kiểm tra có hoạt động khơng,có thể thực dạng Connectivity Mỗi muốn kiểm tra, cần kích hoạt Connectivity thấy thông báo lỗi 1.5 Tab logging Tab logging cho phép biết rõ chi tiết IP internet chiếm dung lượng bao nhiêu, Rule bị Rule chặn lại v.v… Phát đợt công gửi mail cho admin Mục tiêu: Trình ày cách theo dõi, phát đợt công mail cho admin ng cách gửi Chọn Configuration / General / Enable Intrusion Detection and DNS Attack Detection Khi hình Intrusion Detection xuất hiện, đánh dấu vào Port scan Chọn Tab DNS Attack: đánh dấu vào DNS zone trransfer / OK / Apply Chọn Monitoring / Tab Alerts / Configure Alerts Defintions Khi cửa sổ Alerts Properties xuất hiện, tìm chọn Intrusion detected / Edit Trong hình Intrusion detected Properties, đánh dấu vào Send –e-mail (báo động có cơng gửi mail thông báo cho admin) - SMTP server: điền IP 10.0.0.2 Trang 138 - From To: điền địa mail admin (administrator@danavtc.edu), chọn nút Test gửi mail đến administrator; kiểm tra thấy có mail - Đánh dấu vào Run a program: dùng có chương trình viết để bảo vệ máy tính, có cơng chương trình chạy bảo vệ) Ở minh họa dùng thử chương trình notepad exe để xem chức hoạt động nó) Sau đó, mở Outlook Express thấy có mail “Máy tính ngồi mạng” thử cơng cách Scan Port Bật chương trình SuperScan4 lên Khi hình SuperScan xuất hiện, Hostname/IP điền IP 192.168.1 Chọn Tab Host and Service Discovery, bỏ dấu chọn Host dícovery Chọn tab Scan, bấm nút Play chương trình tự động thực scan port Lúc này, chương trình Scan 10 Port; Muốn biết rõ port cách chi tiết, nhấn vào View HTML Results thấy trình bày chi tiết Port mà Scan Quay lại Máy ISA thấy Notepad bật lên có người cơng Kiểm tra mail thấy có mail báo có địa IP 192.168.1.5 tiến hành công Network Templates (mơ hình mẫu thơng số cấu hình mạng) Mục tiêu: Trình ày loại Network Templates cách sử dụng loại với lựa chọn sách Firewall ISA Server firewall mang đến cho thuận lợi to lớn, số Network Templates Với hỗ trợ Templates, cấu hình tự động thông số Network, Network Rule Access Rules Network Templates thiết kế nhanh chóng tạo cấu hình tảng cho mà xây dựng Các loại Network Templates: - Edge Firewall: sử dụng ISA gắn card Network Có Network interface kết nối đến Internet Network interface kết nối với Internal Network - 3-Leg Perimeter sử dụng Firewall gắn Card Network Có Network interface (kết nối Internet) Internal interface (kết nối mạng nội bộ) DMZ interface (kết nối mạng vành đai – Perimeter Network) - Front Firewall: Đóng vai trị front-end firewall mơ hình back-toback Back-to-back mơ hình kết nối Firewall làm việc với theo kiểu trước (front) sau (back); Phía ngồi Front Firewall Internet Front back firewall DMZ network phía sau back firewall Internal network - Single Network Adapter: áp dụng muốn loại chức Firewall Được dùng trường hợp ISA có card Network đóng vai trị hệ thống lưu giữ cache – Web caching server Những lựa chọn cho sách Firewall dùng Network Edge Firewall Templates (bảng 10.1) Firewall Policy Mô Tả Block All (ngăn chặn tất cả) Ngăn chặn tất truy cập qua ISA Block Internet Access, allow Ngăn chặn tất truy cập qua ISA ngoại trừ truy access to ISP network cập đến Network services DNS services Lựa services (Ngăn chặn truy chọn dùng ISP cung cấp dịch cập Internet cho vụ phép truy cập đến dịch vụ Lựa chọn xác định sách Firewall Trang 139 ISP) Allow Limited Web access (cho phép truy cập web có giới hạn) Allow Limited Web access and access to ISP network services (cho phép truy cập Web có giới hạn truy cập đến số dịch vụ ISP) Allow unrestricted access (Cho phép truy cập không giới hạn) Allow DNS from Internet Network and VPN Client Network to External Network (Internet) - cho phép Internal Network VPN Client Network dùng DNS ISP để xác định Host names bên Chỉ cho phép truy cập Web dùng giao thức HTTP, HTTPS, FTP lại truy cập khác bị ngăn chặn Các Rule sau tạo Allow HTTP, HTTPS, FTP from Internal Network to Exterrnal Network – Cho phép truy cập dạng HTTP, HTTPS, FTP từ Internal Network bên Allow all protocol from VPN Client Network to Internal Network – cho phép tất giao thức từ VPN Client Network (từ bên ngoài) truy cập vào bên mạng nội Cho phép truy cập Web có giới hạn dùng HTTP, HTTPS, FTP cho phép truy cập ISP network services DNS lại ngăn chặn tất truy cập network khác Các Rule sau tạo ra: Allow HTTP, HTTPS, FTP from Internal Network and VPN Client Network to External Network (Internet) – Cho phép truy cập HTTP, HTTPS, FTP từ Internal Network VPN Client Network External Network (Internet) Allow DNS from Internal Network and VPN Client Network to External Network (Internet) – Cho Phép Internet Network VPN Client Network truy cập dịch vụ DNS giải Hostname bên (Internet) Allow all protocol from VPN Client Network to Internal Network – cho phép tất giao thức từ VPN Client Network (từ bên ngoài) truy cập vào bên mạng nội Cho phép không hạn chế truy cập Internet qua ISA Server Allow all Protocols from Internal Network and VPN Client Network to External Network (Internet) – Cho phép dùng tất giao thức từ Internal Network VPN Client Network tới External Network (Internet) Allow all protocol from VPN Client Network to Internal Network – cho phép tất gaio thức từ VPN Client Network (từ bên ngoài) truy cập vào bên mạng nội Cấu hình Edge Firewall Chọn Configuration / Network / Templates Task Panel nhắp vào Edge Firewall / Next Chọn Allow unrestricted access / Next / Apply Chọn lại Firewall policy, lúc thấy xuất Rule tạo Edge Firewall Trang 140 Access Rule cho phép Internal network VPN Client truy cập Internet VPN Client quyền truy cập vào Internet network Backup Restore Mục tiêu: Trình ày cách lưu phục hồi ISA nh m khắc phục xuất lỗi Backup: - Chọn tên máy ISA, nhắp chuột phải chọn Backup… - Chỉ định ổ đĩa để lưu backup ISA với tên backup; chọn nút Backup - Màn hình Set Password xuất hiện: Password Corfirm password: điền 12345678 / OK Vậy trình Backup xong Restore: Khi ISA gặp lỗi, tiến hành Restore: - Chọn tên máy tính ISA, nhắp chuột phải chọn Restore - Vào ổ đĩa lưu trữ file backup, thấy File Backup lưu, chọn file backup nhấn Restore - Điền password: 12345678 / OK Câu hỏi Nêu chức ý nghĩa tab Monitor Trình bày mơ hình mẫu thơng số cấu hình mạng Bài tập thực hành Kiểm tra phát đợt công gửi mail cho admin Thực Backup cho máy ISA; sau đó, restore lại - - - Trang 141 PHUƠNG PHÁP VÀ NỘI DUNG ĐÁNH GIÁ Về kiến thức: Có khả phát cố Thực biện pháp lưu dự phịng Đánh giá thơng lượng đường truyền Có khả cài đặt, cấu hình kết nối Internet Trình bày tính nét đặc trưng ISA Server Trình bày chế lưu, phục hồi tồn máy ISA Server Mơ tả loại ISA Server Client đồng thời cài đặt cấu hình qui trình cho loại ISA Server Clien tính riêng loại Về kỹ năng: Cài đặt, gỡ bỏ phần mềm yểm trợ Terminal service Xác định nguyên nhân gây hỏng Sử dụng biện pháp lưu liệu Giải cố mạng Có khả cài đặt, quản lý dịch vụ RAS Có khả kết nối mạng riêng ảo VPN Có khả tiếp nhận gọi xa Cài đặt cấu hình ISA Server windows Server Thực Rule theo yêu cầu Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall Về thái độ: Cẩn thận, thao tác nhanh, chuẩn xác, tự giác học tập Trang 142 TÀI LIỆU THAM KHẢO [1] Fergus Strachan, Integrating ISA Server 2006 with Microsoft Exchange 2007, 2008 [2] Phạm Hoàng Dũng - Hoàng Đức Hải, Làm chủ Windows 2003 server, NXB Thống kê, 2005 [3] Tô Thanh Hải, Triển khai Microsoft Firewall với ISA Server, NXB Lao Động - Xã Hội, 2010 ... sinh lợi nhuận cao mạng WAN truyền thống Một mạng VPN thiết kế tốt đáp ứng yêu cầu sau: - Bảo mật (Security) - Tin cậy (Reliability) - Dễ mở rộng, nâng cấp (Scalability) - Quản trị mạng thuận tiện... 10.0.0 .2 DNS 10.0.0 .2 DNS 10.0.0 .2 Lan IP 1 92. 168.1.113 SM 25 5 .25 5 .25 5.0 DF 1 92. 168.1.100 DNS không Sơ đồ hoạt động ISA Mục tiêu: Trình ày sơ đồ hoạt động ISA theo dạng sơ đồ khối Trong đó, tiến trình. .. Router IP 20 1.134 .24 .157 máy 1 92. 168.1.100 Thì người HàNội ping vào IP 20 1.134 .24 .157 ping vào máy 1 92. 168.1.100 NAT chế dẫn ta điểm qua điểm nghĩa ping 20 1.134 .24 .157 thực chất ping 1 92. 168.1.100