Hướng dẫn cài đặt cấu hình ISA Server Firewall 2004 CHƯƠNG HƯỚNG DẪN SỬ DỤNG CHƯƠNG CÀI ĐẶT CERTIFICATE SERVICES CHƯƠNG CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT INTERNET AUTHENTICATION SERVICE CHƯƠNG CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT DHCP VÀ WINS SERVER SERVICES Trang Triển khai ISA Server Firewall 2004 CHƯƠNG CẤU HÌNH DNS VÀ DHCP HỖ TRỢ CHO WEBPROXY VÀ FIREWALL CLIENT TÍNH NĂNG AUTODISCOVERY CHƯƠNG CÀI ĐẶT VÀ CẤU HÌNH DNS SERVER VỚI CHỨC NĂNG CACHING-ONLY TRÊN PERIMETER NETWORK SEGMENT CHƯƠNG CÀI ĐẶT ISA SERVER 2004 TRÊN WINDOWS SERVER 2003 CHƯƠNG BACKUP VA PHỤC HỒI CẤU HÌNH CỦA FIREWALL CHƯƠNG ĐƠN GIẢN HĨA CẤU HÌNH NETWORK VỚI CÁC MƠ HÌNH MẪU NETWORK TEMPLATES CHƯƠNG 10 CẤU HÌNH CÁC LOẠI ISA SERVER CLIENTS: SECURENAT, FIREWALL VÀ WEB PROXY CLIENTS CHƯƠNG 11 CẤU HÌNH ISA SERVER 2004 ACCESS POLICY CHƯƠNG 12 PUBLISH CÁC SERVICES WEB, FTP TRÊN PERIMETER NETWORK CHƯƠNG 13 CẤU HÌNH FIREWALL VỚI VAI TRỊ MỘT FILTERING SMTP RELAY CHƯƠNG 14 PUBLISH EXCHANGE OUTLOOK WEB ACCESS, SMTP SERVER, VÀ POP3 SERVER SITES CHƯƠNG 15 CẤU HÌNH ISA SERVER 2004 VỚI VAI TRÒ MỘT VPN SERVER CHƯƠNG 16 TẠO MỘT SITE-TO-SITE VPN VỚI ISA SERVER 2004 FIREWALLS Giới thiệu: Trong thực tế bảo mật thông tin đóng vai trị thiết yếu khơng cịn “thứ yếu” hoạt động liên quan đến việc ứng dụng công nghệ thông Trang Triển khai ISA Server Firewall 2004 tin Tơi muốn nói đến vai trị to lớn việc ứng dụng CNTT diễn sôi động, không túy công cụ (Hardware, software), mà thực xem giải pháp cho nhiều vấn đề Khởi động từ năm đầu thập niên 90, với số chuyên gia CNTT, hiểu biết hạn chế đưa CNTT ứng dụng hoạt động sản xuất, giao dịch, quản lý khiêm tốn dừng lại mức công cụ, tơi cịn nhận thấy cơng cụ “đắt tiền” cịn gây số cản trở, khơng đem lại hiệu thiết thực cho tổ chức sử dụng Và “chộn rộn” lại tự hỏi “mua thiết bị để làm nhĩ ?! khơng sản xuất sản phẩm, chẳng giúp cơng việc giấy tờ giảm bớt bao, liệu tổn hao số tiền vơ ích?! ”” Khơng đâu xa nước láng giềng khu vực Thailand, Singapore, kinh tế mạnh khu vực đà phát triển mạnh mẽ Nhận thức ưu việt ứng dụng CNTT, từ sớm họ đem CNNT áp dụng vào hoạt động, không sản xuất, giao dịch, quản lý mà CNTT mang đến nhà, người Và họ học thành thục kĩ để giải điều khiển cơng việc sáng tạo từ “vũ khí” tân thời Đâu trích đoạn “Con đường Phía trước” Bill Gates có nói đến giá trị to lớn thông tin kỉ 21, kỉ ngun thơng tin đích thực Thực thể q giá “phi vật chất” này, dần trở thành đối tượng săn lùng, kiểm soát gắt gao, bệ phóng cho tất quốc gia muốn phát triển cách mạnh mẽ, nhanh chóng “bền vững” Cần có hệ thống mạnh mẽ để kiểm sốt thơng tin, sáng tạo thơng tin đem thơng tin vào ứng dụng cách có hiệu Thế giới bước kỉ 21 dùng bàn đạp CNTT để tạo lực bẩy để dẫn đường cho hoạt động, cho người xích lại gần hơn, khiến cho cách biệt Địa Lý khơng cịn tồn tại, dễ dàng hiểu trao đổi với có giá trị nhất, đặc biệt Ứng dụng công nghệ thông tin cách có hiệu “bền vững”, tiêu chí hàng đầu nhiều quốc gia nay, Việt Nam khơng ngoại lệ Xét bình diện doanh nghiệp ứng dụng CNTT vào sản xuất, kinh doanh ln mong muốn có điều Tính hiệu điều bắt buộc, “bền vững” tất yếu Dưới góc nhìn chuyên gia bảo mật hệ thống, triển khai hệ thống thông tin xây dựng chế bảo vệ chặt chẽ, an toàn, góp phần trì tính “bền vững” cho hệ thống thơng tin doanh nghiệp Và tất hiểu giá trị thông tin doanh nghiệp tài sản vô giá Không túy vật chất, giá trị khác đo đếm uy tín họ với khách hàng sao, thông tin giao dịch với khách hàng bị đánh cắp, sau bị lợi dụng với mục đích khác Hacker, attacker, virus, worm, phishing, khái niệm khơng cịn xa lạ, thực mối lo ngại hàng đầu tất hệ thống thông tin (PCs, Enterprise Networks, Internet, etc ) Và vậy, tất hệ thống cần trang bị công cụ đủ mạnh, am hiểu cách xử lý để đối phó với lực đen đáng sợ Ai tạo tường lửa đủ mạnh để “thiêu cháy” ý đồ xâm nhập?! Xin thưa trước hết ý thức sử dụng máy tính an tồn tất nhân viên tổ chức, am hiểu tinh tường Security Admin tổ chức đó, cuối công cụ đắc lực phục vụ cho “cuộc chiến” Đó Firewall, từ Personal Firewall bảo vệ cho Computer Enterprise Firewall có khả bảo vệ toàn hệ thống Mạng tổ chức Và Microsoft ISA SERVER Trang Triển khai ISA Server Firewall 2004 2004 Enterprise Firewall ! Một sản phẩm tốt người bạn tin cậy để bảo vệ an toàn cho hệ thống thông tin Ho Viet Ha Owner Network Information Security Vietnam, Inc http://nis.com.vn securityconsultant@Nis.com.vn Chương 1: Triển khai sở hạ tầng Mạng với dịch vụ cần thiết Cuốn sách trình bày theo thực tiển triển khai ISA SERVER 2004 mơ hình Mạng tổ chức Nội dung sách gói gọn vấn đề cấu hình hệ thống ISA SERVER 2004 trở thành Firewall mạnh mà đáp ứng yêu cầu sử dụng dịch vụ từ xa, phục vụ cho Client bên truy cập dịch vụ bên (internet), lẫn Client bên (Internet Clients) cần truy cập dịch vụ bên Mạng tổ chức Firewalls giữ truyền thống loại thiết bị Mạng cấu hình phức tạp trì hoạt động để bảo vệ Network gặp khơng thử thách cho Security Admin Cần có kiến thức TCP/IP Network Services để hiểu rõ Firewall làm việc Tuy nhiên không thiết phải trở thành chuyên gia hạ tầng Mạng (network infrastructure ) sử dụng ISA SERVER 2004 Network Firewall Chương mô tả vấn đề sau: • Giúp bạn hiểu tính có mặt ISA Server 2004 • Cung cấp lời khuyên cụ thể dùng tài liệu để cấu hình ISA Server 2004 firewall • Mơ tả chi tiết thực hành triển khai (ISA SERVER 2004 Lab Configuration) Hiểu tính ISA Server 2004 ISA Server 2004 thiết kế để bảo vệ Mạng, chống xâm nhập từ bên ngồi lẫn kiểm sốt truy cập từ bên Mạng nội tổ chức ISA Server 2004 firewall làm điều thông qua chế điều khiển phép qua Firewall bị ngăn chặn Chúng ta hình dung đơn giản sau: Có quy tắc áp đặt Firewall cho phép thông tin truyền qua Firewall, sau thơng tin “Pass” qua, ngược lại khơng có quy tắc cho phép thơng tin truyền qua, thông tin bị Firewall chặn lại Trang Triển khai ISA Server Firewall 2004 ISA Server 2004 firewall chứa nhiều tính mà Security Admin dùng để đảm bảo an tồn cho việc truy cập Internet, bảo đảm an ninh cho tài nguyên Mạng nội Cuốn sách cung cấp cho Security Admin hiểu khái niệm tổng quát dùng tính phổ biến, đặc thù ISA SERVER 2004, thông qua bước hướng dẫn cụ thể (Steps by Steps) Firewalls khơng làm việc mơi trường “chân khơng”, đơn giản triển khai Firewall để bảo vệ đó, PC, Server hay hệ thống Mạng với nhiều dịch vụ triển khai Web, Mail, Database… Chúng ta có hướng dẫn đầy đủ việc triển khai dịch vụ cần thiết cho hoạt động mạng tổ chức cách thức cài đặt cấu hình dịch vụ Và điều tối quan trọng Mạng dịch vụ phải cấu hình cách trước triển khai firewall Điều giúp tránh vấn đề phiền toái nảy sinh triển khai ISA SERVER 2004 Các Network Services tính ISA SERVER 2004 cài đặt cấu hình gồm: • Cài đặt cấu hình Microsoft Certificate Services (dịch vụ cung cấp chứng thư kĩ thuật số phục vụ nhận dạng an toàn giao dịch Mạng) • Cài đặt cấu hình Microsoft Internet Authentication Services (RADIUS) dịch vụ xác thực an toàn cho truy cập từ xa thông qua remote connections (Dial-up VPN) • Cài đặt cấu hình Microsoft DHCP Services (dịch vụ cung cấp xác lập TCP/IP cho node Mạng) WINS Services (dịch vụ cung cấp giải pháp truy vấn NETBIOS name Computer Mạng) • Cấu hình WPAD entries DNS để hỗ trợ chức autodiscovery (tự động khám phá)) autoconfiguration (tự động cấu hình) cho Web Proxy Firewall clients Rất thuận lợi cho ISA Clients (Web Firewall clients) tổ chức họ phải mang Computer từ Network (có ISA SERVER) đến Network khác (có ISA SERVER khác) mà tự động phát làm việc với Web Proxy Service Firewall Service ISA SERVER • Cài đặt Microsoft DNS server Perimeter network server (Network chứa Server cung cấp trực tuyến cho Clients bên ngoài, nằm sau Firewall, tách biệt với LAN) • Cài đặt ISA Server 2004 firewall software • Back up phục hồi thơng tin cấu hình ISA Server 2004 firewall • Dùng mơ hình mẫu ISA Server 2004 (ISA Server 2004 Network Templates) để cấu hình Firewall • Cấu hình loại ISA Server 2004 clients • Tạo sách truy cập (Access Policy) ISA Server 2004 firewall • Publish Web Server Perimeter network • Dùng ISA Server 2004 firewall đóng vai trò Spam filtering SMTP relay (trạm trung chuyển e-mails, có chức ngăn chặn Spam mails) • Publish Microsoft Exchange Server services (hệ thống Mail làm việc cộng tác Microsoft, tương tự Lotus Notes IBM) • Cấu hình ISA Server 2004 firewall đóng vai trị VPN server • Tạo kết nối VPN theo kiểu site to site hai Networks Trang Triển khai ISA Server Firewall 2004 Trước thực hành cấu hình ISA Server 2004 firewall, phải nhận thức rõ ràng : Đây hệ thống ngăn chặn công từ Internet firewall với cấu hình lỗi tạo điều kiện cho xâm nhập Mạng Với lý này, điều quan trọng Security Admin quan tâm Làm để cấu hình Firewall đảm bảo an tồn cho việc truy cập Internet Với cấu hình mặc định ISA SERVER 2004 ngăn chặn tất lưu thông vào, qua firewall Rõ ràng cấu hình chủ động, an tồn mà Admin n tâm từ đầu vận hành ISA SERVER Và sau để đáp ứng yếu cầu hợp pháp truy cập dịch vụ khác Internet (ví dụ web, mail, chat, download, game online v.vv ), Security Admin cấu hình để ISA SERVER 2004 đáp ứng yêu cầu phép Các Securty Admin khuyến cáo: Hãy tạo kiểm tra cấu hình ISA SERVER 2004 phịng Lab, trước đem cấu hình áp dụng thực tế Chúng ta hướng dẫn cấu hình ISA Server 2004 firewall cách, xác thơng qua giao diện làm việc gần gủi ISA SERVER 2004 Có thể có sai lầm thực Lab, Admin khơng qua lo lắng attackers lợi dụng lỗ hỗng (trừ Lab Network kết nối với Internet ) Trên Lab điều quan trọng hiểu thông số cấu hình, cho phép sai phạm Admin rút kinh ghiệm từ “mistakes” LAB hướng dẫn cấu hình ISA SERVER 2004 Firewall Chúng ta dùng Network Lab để mô tả khả nét đặc trưng ISA SERVER 2004 Các Admin thực hành nên xây dựng Test Lab tương tự mơ hình (tất thông số sử dụng) Nếu Security Admin khơng có đủ thiết bị thật Test Lab này, dùng mơ hình giả lập, đến từ Virtual Software Microsoft’s Virtual PC software (hoặc VMWare) để tạo mơ hình Lab ảo Xem thêm Virtual PC Website: http://www.microsoft.com/windowsxp/virtualpc/ Trong phần này, xem xét: • Hướng dẫn cấu hình Network cho ISA Server 2004 • Cài đặt Windows Server 2003 , sau nâng Computer lên (dcpromo) thành Domain controller (máy chủ kiểm sốt tồn hoạt động Domain) • Cài đặt Exchange Server 2003 Domain controller cấu hình thành Outlook Web Access Site dùng phương thức xác thực (Basic authentication) Sơ đồ Mạng triển khai ISA Server 2004 Trang Triển khai ISA Server Firewall 2004 Đây mô tả Lab network Có Computers lab network Tuy nhiên Network Lab không yêu cầu Computers chạy thời điểm Điều tạo điều kiện dễ dàng cho Lab đặc biệt Lab ảo Mơ hình Mạng tổ chức có Local network (Mạng cục bộ-LAN) Remote network (Mạng xa) Mỗi Mạng có ISA SERVER 2004 chắn phía trước đóng vai trị Firewall Tất Computers Local network thành viên Domain msfirewall.org, domain bao gồm ISA Server 2004 firewall computer Tất Computers cịn lại khơng thành viên Domain Trên lab network, Card mạng (External interfaces) ISA Server 2004 firewalls có kết nối cho phép truy cập Internet Các Admin nên tạo thơng số cấu hình giống để Test kết nối thực đến Internet từ phía Clients nằm sau ISA Server 2004 firewalls Nếu dùng phần mềm giả lập lưu ý rằng, phải set-up đến Virtual networks Test Lab Đó Vitual networks: Domain Controller nằm Internal Network, TRIHOMELAN1 Computer nằm Perimeter network REMOTECLIENT virtual network thứ ba Lưu ý với Lab ảo: Chắc chắn điều Virtual networks bố trí Computers Virtual Switches khác nhau, để ngăn chặn thông tin tràn ngập theo kiểu Ethernet broadcast traffic, điều gây nên kết không mong muốn Lab ảo Trang Triển khai ISA Server Firewall 2004 Cài đặt cấu hình Domain Controller Internal Network Một Computer khác so với ISA Server 2004 firewall computer, có quyền lực quản trị tồn Domain nội Domain Controller Microsoft xây dựng mơ hình Domain kiểm sốt Active Directory Service Domain Controller công cụ kiểm sốt Domain (quản lý tất Clients Servers cung cấp dịch vụ Domain Web, Mail, Database server kể ISA servers) Trong Lab cấu hình Windows Server 2003 domain controller, triển khai dịch vụ như: DNS, WINS, DHCP, RADIUS, Microsoft Exchange Server 2003 Domain controller Các giai đoạn tiến hành: • Cài đặt Windows Server 2003 • Cài đặt cấu hình DNS service Trang Triển khai ISA Server Firewall 2004 • Nâng Computer lên thành Domain controller Cài đặt Windows Server 2003 Tiến hành bước sau Computer đóng vai trị Domain Controller Đưa đĩa CD cài đặt vào CD-ROM, khởi dộng lại Computer Cho phép boot từ CD Chương trình Windows setup bằt đầu load Files phục vụ cho việc cài đặt Nhấn Enter mà hình Welcome to Setup xuất Đọc điều khoản License Windows Licensing Agreement , dùng phím PAGE DOWN để xem hết sau nhấn F8 để đồng ý với điều khoản Trên Windows Server 2003, cài đặt Standard Edition xuất hình tạo phân vùng lơgic (Partition) đĩa cứng, trước hết tạo Partition dùng cho việc cài đặt Hệ Điều hành Trong Test Lab này, toàn đĩa cứng làm Partition Nhấn ENTER Trên Windows Server 2003, hình Standard Edition Setup, chọn Format Partition dùng hệ thống File NTFS Nhấn ENTER Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, chờ phút cho tiến trình hồn thành Computer tự Restart tiến trình copy File vào đĩa cứng hoàn thành Computer restart lại giao diện đồ họa (graphic interface mode) Click Next trang Regional and Language Options Trên trang Personalize Your Software, điền Tên Tổ chức Bạn Ví dụ : Name Viet Ha.Ho Organization Network Information Security Vietnam 10 Trên trang Product Key điền vào 25 chữ số Product Key mà bạn có click Next 11 Trên trang Licensing Modes chọn option áp dụng cho version Windows Server 2003 mà bạn cài đặt Nếu cài đặt Licence chế độ per server licensing, đưa vào số connections mà bạn có License Click Next 12 Trên trang Computer Name Administrator Password điền tên Computer Computer Name text box Theo bước xây dựng Test Lab này, Domain controller/Exchange Server Server có tên EXCHANGE2003BE, tên điền vào Computer Name text box Điền tiếp vào mục Administrator password xác nhận lại password mục Confirm password (ghi nhớ lại password administrator cẩn thận, khơng bạn khơng thể log-on vào Server cho hoạt động tiếp theo) Click Next 13 Trên trang Date and Time Settings pagexác lập xác Ngày, múi Việt Nam (nếu bạn Việt Nam) Click Next 14 Trên trang Networking Settings, chọn Custom settings option 15 Trên trang Network Components, chọn Internet Protocol (TCP/IP) entry Components click Properties 16 Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập thông số sau: IP address: 10.0.0.2 Subnet mask: 255.255.255.0 Trang Triển khai ISA Server Firewall 2004 Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 IP address Internal Card ISA server) Preferred DNS server: 10.0.0.2 17 Click Advanced Internet Protocol (TCP/IP) Properties dialog box Trong Advanced TCP/IP Settings dialog box, click WINS tab Trên WINS tab, click Add Trong TCP/IP WINS Server dialog box, điền 10.0.0.2 click Add 18 Click OK Advanced TCP/IP Settings dialog box 19 Click OK Internet Protocol (TCP/IP) Properties dialog box 20 Click Next trang Networking Components 21 Chấp nhận lựa chọn mặc định môi trường Mạng Workgroup (chúng ta tạo môi trường Domain sau, đưa máy trở thành Domain controller thành viên Domain (là member server, Server cịn cài thêm nhiều Server Service khác ngồi Active Directory Service).Click Next 22 Tiến trình cài đặt tiếp tục Finish, Computer tự khởi động lại 23 Log-on lần vào Windows Server 2003 dùng password mà tạo cho tài khoản Administrator trình Setup 24 Xuất hình trang Manage Your Server, bạn nên check vào Don’t display this page at logon checkbox đóng cửa sổ Window lại Cài đặt cấu hình DNS Bước cài đặt Domain Naming System (DNS) server Computer (EXCHANGE2003BE ) Điều cần thiết Active Directory Service hoạt động Domain Controller, kiểm sốt tồn Domain u cầu phải có DNS server service phục vụ cho nhu cầu truy vấn tên -hostname, đăng kí record (A, PTR, SRV records v.v ) Chúng ta cài DNS server sau nâng vai trị Computer lên thành Domain Controller, DNS server phục vụ cho toàn Domain Tiến hành bước sau để cài đặt DNS server Click Start, Control Panel Click Add or Remove Programs Trong Add or Remove Programs, click Add/Remove Windows Components Trong Windows Components, xem qua danh sách Components click Networking Services entry Click Details Check vào Domain Name System (DNS) checkbox click OK Click Next Windows Components Click Finish Completing the Windows Components Wizard Đóng Add or Remove Programs DNS server cài đặt, Admin cần đưa vào DNS Server thông số cụ thể phục vụ cho hoạt động truy vấn tên, cụ thể tạo hai vùng Forward Reverse lookup zones Tiến hành bước sau để cấu hình DNS server: Click Start sau click Administrative Tools Click DNS Trong bảng làm việc DNS (DNS console), mở rộng server name (EXCHANGE2003BE ), sau click Reverse Lookup Zones Right click Reverse Lookup Zones click New Zone Click Next Welcome to the New Zone Wizard Trang 10 Triển khai ISA Server Firewall 2004 ... Dùng mơ hình mẫu ISA Server 2004 (ISA Server 2004 Network Templates) để cấu hình Firewall • Cấu hình loại ISA Server 2004 clients • Tạo sách truy cập (Access Policy) ISA Server 2004 firewall. .. tra cấu hình ISA SERVER 2004 phịng Lab, trước đem cấu hình áp dụng thực tế Chúng ta hướng dẫn cấu hình ISA Server 2004 firewall cách, xác thông qua giao diện làm việc gần gủi ISA SERVER 2004. .. Cấu hình ISA Server 2004 firewall đóng vai trị VPN server • Tạo kết nối VPN theo kiểu site to site hai Networks Trang Triển khai ISA Server Firewall 2004 Trước thực hành cấu hình ISA Server 2004