luận văn thiết kế và xây dựng giải pháp quản trị an ninh mạng với phần mềm firewall isa server 2006 cho mô hình doanh nghiệp vừa và nhỏ

Kế thừa các ưu điểm của những điểm của những phiên bản trước đó, ISA Server 2006 đem đến cho người dùng một giao diện thân thiện, các thao tác quản trị đơn giản và dễ thực hiện.. Đồng th

cho mô hình doanh nghiệp vừa và nhỏ

nguyenduy0606@gmail.com

Sinh viên thực hiện:

cho mô hình doanh nghiệp vừa và nhỏ

nguyenduy0606@gmail.com

Sinh viên thực hiện:

đó, Isa Server được dùng khá phổ biến

ISA Server là phần mềm Firewall chạy trên hệ điều hành Windows server 2003 Service Pack 2 của Microsoft Kế thừa các ưu điểm của những điểm của những phiên bản trước đó, ISA Server 2006 đem đến cho người dùng một giao diện thân thiện, các thao tác quản trị đơn giản và dễ thực hiện Đồng thời, phiên bản mới này có thể được cấu hình để trở thành firewall với các vai trò đa dạng như : bảo vệ hệ thống mạng nội bộ, tăng tốc độ truy cập web, quản

lý băng thông, xuất bản web server , FTP server, Mail server, VPN Gateway…

Mong rằng phần mềm ISA Server 2006 nhằm bảo đảm an toàn cho những hệ thống mạng nhỏ đến trung bình, kết hợp với PC Monitor Console và một số tính năng của Mail Mdeamon được trình bày trong đồ án sẽ giúp cho những doanh nghiệp vừa và nhỏ đang có nhu cầu muốn bảo vệ hệ thống mạng nội bộ của mình được tốt hơn, an toàn và trong sạch hơn

trong suốt quá trình làm đồ án

Cám ơn gia đình, những người bạn thân trong nhóm cũng như các bạn chung khóa đã luôn bên cạnh và cho những lời khuyên chân thành Cám ơn thầy cô ở trung tâm đã tạo điều kiện tốt nhất để cho nhóm chúng em cũng như các nhóm khác thực hiện đồ án một cách thuận lợi và suôn sẻ

Cuối cùng, nhóm chúng em xin cám ơn tất cả mọi người, cám ơn tất cả những gì mà mọi người đã dành cho nhóm

Cần Thơ, ngày…….tháng…….năm 2011

Giảng viên hướng dẫn

Nguyễn Duy

Cần Thơ, ngày…….tháng…….năm 2011

Giảng viên phản biện

3 Cài đặt Microsoft Server 2006 8

3.1 Yêu cầu hệ thống: 8

3.2 Tiến trình cài đặt: 9

4 Cài 3 Leg Perimeter Template 11

5 Thiết lập Access Rule 15

5.1 Cho vùng Lan ra ngoài Internet 15

5.2 Cấm máy truy cập vào trang Web ngoisao.net 18

5.3 Cấm User nvkt và nvns ra ngoài internet trong giờ làm việc 23

5.4 Tpkt và tpns ra ngoài internet nhưng không nhìn thấy hình và không cho download file rar 31

5.5 Cấm chat Yahoo!Messenger 40

6 Pulishing website 42

7 Public mail Mdeamon 70

8 Vpn client - to - site 97

9 Intrusion Detection 122

10 Caching 126

11 Quản lý băng thông với Bandwidth Splitter 150

11.1 Cài đặt Bandwidth Splitter: 151

11.2 Xét Rule giới hạn băng thông đối với người dùng nội bộ 156

12 Cài đặt và xét Rule cho phần mềm Bitdefender Security 162

12.1 Cài đặt Bitdefender Security 162

12.2 Xét Rule cấm người dùng nội bộ download tập tin đã được chỉ định bởi Bitdefender Security 166

CHƯƠNG III : Tìm hiểu và triển khai phần mềm 175

PC MONITOR CONSOLE 175

1 Khái quát: 175

2 Cài đặt và Triển khai 175

3 Tính năng 181

CHƯƠNG IV : Tổng quan về Mdaemon 189

1 Khái niệm 189

2 Công dụng 189

3 Cài đặt ứng dụng(Mdeamon mail server) 193

4 Chi tiết và điểm yếu,mạnh của các tính năng của Mdaemon 193

nội bộ và tăng tốc độ truy cập web,quản lý băng thông, xuất bản Web Server , Mail Server…

• Mục tiêu đồ án

Thiết kế và xây dựng giải pháp quản trị an ninh mạng với phần mềm

Firewall ISA Server 2006 bảo vệ mạng nộ bộ Ngăn chặn sự xâm nhập của các Hacker dò tìm những lổ hỏng của các port thông qua mạng Internet Bên cạnh đó,

sử dụng những chức năng có sẵn và những chức năng add-in của ISA Server 2006

để hạn chế các nhân viên sử dụng internet không hợp lý Đồng thời sử dụng các chức năng trên để Publish các dịch vụ Web, Mail ra ngoài internet nhầm phuc vụ quá trình làm việc của các nhân viên Ngoài ra, các nhân viên có thể truy cập từ xa qua mạng nhờ chức năng VPN Client To Site…

Tuy nhiên, Firewall ISA Server 2006 chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông

số địa chỉ Firewall ISA Server 2006 không thể ngăn chặn sự xâm nhập của nhân

tố con người như nhân viên, hoặc USB có chứa các virus độc hại Vì thế, chúng

em đã kết hợp phần mềm Pc monitor console cho phép quan sát màn hình của những máy tính được nối trong mạng

Theo cách này có thể quan sát nhân viên sử dụng máy tính và ngăn chặn

sự xâm nhập của những nguồn thông tin không mong muốn bên ngoài internet

• Lĩnh vực ứng dụng

Ứng dụng thực tiễn để giải quyết những vấn đề về quản trị và an ninh mạng trong mô hình của Doanh Nghiệp vừa và nhỏ

2 Phân loại firewall

Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm:

Firewall cứng: Là những firewall được tích hợp trên Router

Đặc điểm của Firewall cứng:

Không được linh hoạt như Firewall mềm: Không thể thêm chức năng, thêm quy tắc như firewall mềm

Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network

và tầng Transport)

Firewall cứng không thể kiểm tra được nột dung của gói tin

Ví dụ Firewall cứng: NAT (Network Address Translate)

Firewall mềm: Là những Firewall được cài đặt trên Server

Đặc điểm của Firewall mềm:

Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet

và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet) Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet

5 Các thành ph ần của FireWall

Một FireWall bao gồm một hay nhiều thành phần sau:

Bộ lọc packet (packet- filtering router);

Cổng ứng dụng (Application-level gateway hay proxy server);

Cổng mạch (Circuite level gateway)

6 Bộ lọc paket (Paket filtering router)

Nguyên lý :

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được

• Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

• Dạng thông báo ICMP ( ICMP message type)

• Giao diện packet đến ( incomming interface of packet)

• Giao diện packet đi ( outcomming interface of packet)

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall

Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các

kết

nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ

7 Ưu điểm:

Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những

ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet

đã đợc bao gồm trong mỗi phần mềm router Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

(data-Firewall không thể làm nhiệm vụ và quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do

có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

Các phiên bản của ISA Server 2006

ISA Server 2006 có hai phiên bản: Standard và Enterprise Trong đó phiên bản Standard được thiết kế cho những người dùng cần bảo vệ hệ thống mạng nhỏ với chỉ một firewall Cao cấp hơn, phiên bản Enterprise được thiết kế cho những

hệ thống mạng trung tâm trở lên với một hay vài nhóm firewall

So sánh giữa 2 phiên bản :Standard Editionvà Enterprise Edition

- Về cơ bản thì bản Standard và bản Enterprise có các chức năng tương

- Bản Enterprise có hỗ trợ thêm 3 tính năng sau không có trong bản Standard:

Trong khi bản Standard lưu thông tin về cấu hình (configuration information -> conf info) trong registry trên chính máy cài ISA thì bản Enterprise lưu conf info của nó trên một thư mục (directory) riêng biệt Khi bạn cài bản Enterprise bạn phải chỉ ra một hay nhiều máy đóng vai trò là máy lưu cấu hình (Configuration storage server) Các storage server này sử dụng ADAM (Active

Directory Application Data) để lưu trữ cấu hình của tất cả các ISA trong tổ chức ADAM có thể cùng lúc cài đặt trên nhiều máy, nên bạn có thể có nhiều storage server.(Bạn có thể cài ADAM lên máy khác ko có ISA hay cài lên máy ISA cũng được) Dữ liệu trên các storage server này sẽ tự nhân bản (replicate) cho nhau theo chu kỳ Nhờ đó hỗ trợ tốt hơn cho người quản trị Ví dụ như bạn muốn thay đổi cấu hình của một hay nhiều ISA server bạn chỉ việc ngồi vào một trong những storage server mà làm Còn với bản Standard, bạn phải đến từng máy để cấu hình

Bản Enterprise cho phép ta chia sẻ việc cache giữa một dãy các ISA với nhau Với bản Enterprise, một dãy gồm nhiều máy ISA sẽ được cấu hình trở thành một vùng cache đơn luận lý bằng cách kết nối khả năng cache của tất cả các ISA lại với

trong thời gian phục hồi máy kia NLB đáp ứng nhu cầu về tính ổn định và tính

Với bản Standard, bạn phải cấu hình NLB bằng tay Còn với bản Enterprise, NLB được tích hợp vào ISA nên bạn có thể quản lý NLB từ ISA Bạn có thể dùng ISA Server Management Console để cấu hình, quản lý, giám sát (monitor) NLB

2 Các đặc điểm của Microsoft ISA 2006:

Cung cấp tính năng Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con,…

Unique per-network policies: Đặc điểm Multi-networking được cung cấp trong ISA Server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất của các Client bên ngoàiinternet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ,demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên ngoài truy xuất vào cácServer trên mạng ngoại

vi, không cho phép Client bên ngoài truy xuất trực tiếp vào mạng nội bộ

Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho mạng con

Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến trúc mạng, kèm theo một số luật cần thiết cho network templates tương ứng

Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network)

và truy cập từ xa cho doanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập access policy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống khác

Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho

hệ thống nhưAuthentication, Publish Server, giới hạn một số traffic

Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc

độ truy xuất mạng,giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web

Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting qua Web, exportvà import cấu hình từ XML configuration file, quản lý lỗi hệ thốngthông qua kỹ thuật gởi thôngbáo qua E-mail,

Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA Server 2006, khônggiống như packet filtering firewall truyền thống, ISA 2006 có

3.1 Yêu cầu hệ thống:

Thành phần Yêu cầu

Hệ điều hành Microsoft Windows Server 2003 32-bit service

Pack 1 hoặc Microsoft Windows Server 2003 R2 32-bit

Ram 512 MB hoặc cao hơn

Card mạng Một card mạng LAN (card host-only)

Một card mạng DMZ (card host-only) Một card mạng WAN (card Bridged)

Ổ đĩa cài đặt CD-ROM hoặc DVD-ROM

Đặt địa chỉ IP:

Card mạng LAN IP Address: 10.0.0.1

Subnet Mask: 255.0.0.0 Default Gateway: 10.0.0.1 DNS Server: 10.0.0.2 Card mạng DMZ IP Address: 172.16.0.1

Subnet Mask: 255.255.0.0 Default Gateway: 172.16.0.1 Card mạng WAN IP Address: 192.168.1.100

Subnet Mask: 255.255.255.0 Default Gateway: 192.168.1.1 DNS Server: 8.8.8.8 8.8.4.4

Bắt đầu tiến trình cài đặt ISA Server 2006

Khởi động chương trình cài đặt ISA Server 2006

Điền dãy khóa và các thông tin về khách hàng

Bổ xung dãy địa chỉ IP cho mạng nội bộ với Add Range

Tiếp tục next để cài đặt ứng dụng

Nhấn Finish để hoàn thành tiến trình cài đặt ISA Server 2006

4 Cài 3 Leg Perimeter Template

• Mô hình

Với mô hình này trong Internal network chúng ta sẽ chia làm hai phần: Phần thứ nhất là các máy như Mail Server …để người dùng từ External NetWork có thể truy cập vào

Phần thứ hai là các máy nội bộ cần được bảo mật kỹ càng hơn phần thứ nhất

Tại máy ISA Server ta cần đến 3 card mạng

Ở khung bên trái click vào mục Networks Ở khung bên phải chọn Templates và click chọn 3 Leg Perimeter Template

Khởi chạy trình tạo Template

Sao lưu cấu hình hiện tại

Điền dãy IP tương ứng với mạng nội bộ

Điền dãy IP tương ứng với mạng DMZ

Chọn chính sách phù hợp với yêu cầu của mình

Hoàn thành việc cài 3 Leg Perimeter Template

Nhấn Apply hoàn tất việc cài 3 Leg Perimeter Template

R_Click Firewall Policy\New\Access Rule…

Điền tên Access Rule, sau đó Click Next

Chọn Allow, sau đó Click Next

Add HTTP và HTTPS, sau đó Click Next

Add Internal, sau đó Click Next

Add External, sau đó Click Next

Click Next

Click Finish

Click Apply

Vào máy DC trên thanh Address gõ http://google.com.vn

5.2 Cấm máy truy cập vào trang Web ngoisao.net

R_Click Computer\New Computer

Điền địa chỉ của máy DC, sau đó Click OK

R_Click URL Sets\New URL Set…

Click Add

Điền tên trang Web http://ngoisao.net, sau đó Click OK

R_Click Firewall Policy\Access Rule…

Điền tên access Rule, sau đó Click Next

Chọn Deny, sau đó Click Next

Add HTTP và HTTPS, sau đó Click Next

Add DC, sau đó Click Next

Add ngoisao, sau đó Click Next

Click Next

Click Finish

Click Apply

Vào máy DC trên thanh Address gõ http://ngoisao.net

5.3 Cấm User nvkt và nvns ra ngoài internet trong giờ làm việc

Click New

Điền User Set Nane, sau Next đó Click

Click Add\Windows users and groups…

Điền tên User, sau đó Click Check Name

Click Locations…

Điền User name và Password của máy DC, sau đó Click OK

Click OK

Click OK

Click OK

Chọn next

Chọn Finish

R_Click Firewall Policy\New\Access Rule… Điền tên Access Rule, sau đó Click Next

Chọn Deny, sau đó Click Next

Add HTTP và HTTPS, sau đó Click Next

Add Ỉnternal, sau đó Click Next

Add External, sau đó Click Next

Add nvkt va nvns, sau đó Click Next

Click Finish

R_Click Rule vừa xet\ Properties

Click New

Điên tên và chọn khoảng thời gian cấm, sau đó Click OK

Click Apply\OK

Click Apply

Logon User nvkt và nvns ra ngoài Inernet không được

5.4 Tpkt và tpns ra ngoài internet nhưng không nhìn thấy hình và không cho download file rar

Click New

Điền User set name, sau đó Click Next

Click Add\Windows users and groups…

Điền tên User , sau đó Click Check Names

Click Locations…

Điền User name và Password của máy DC, sau đó Click OK

Click OK

Click OK

Click OK

Click Next