ỦY BAN NHÂN DÂN TỈNH AN GIANG TRƯỜNG CAO ĐẲNG NGHỀ AN GIANG GIÁO TRÌNH D H T NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH T ì độ c o đẳ (Ban hành theo Quyết định số: /QĐ-CĐN ngày tháng năm 20 Hiệu trưởng trường Cao đẳng nghề An Giang) Tên tác giả : Lê Thị Ngọc Trâm Năm ban hành: 2019 TUYÊN BỐ BẢN QUYỀN Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU An tồn thơng tin nhu cầu quan trọng cá nhân xã hội quốc gia giới Mạng máy tính an tồn thơng tin tiến hành thông qua phương pháp vật lý hành Từ đời mạng máy tính đem lại hiệu vơ to lớn tất lĩnh vực đời sống Bên cạnh người sử dụng phải đối mặt với hiềm họa thông tin mạng họ bị cơng An tồn thơng tin mạng máy tính bao gồm phương pháp nhằm bảo vệ thơng tin lưu giữ truyền mạng An toàn thơng tin mạng máy tính lĩnh vực quan tâm đặc biệt đồng thời cơng việc khó khăn tphức tạp Thực tế chứng tỏ có tình trạng đáng lo ngại bị công thông tin q trình xử lý, truyền lưu giữ thơng tin Những tác động bất hợp pháp lên thông tin với mục đích làm tổn thất, sai lệch, lấy cắp tệp lưu giữ tin, chép thông tin mật, giả mạo người phép sử dụng thông tin mạng máy tính Tường lửa (Firewall) khơng dạng phần mềm (như tường lửa Windows) mà cịn phần cứng chun dụng mạng doanh nghiệp Các tường lửa phần cứng giúp máy tính cơng ty phân tích liệu để đảm bảo malware khơng thể thâm nhập vào mạng, kiểm sốt hoạt động máy tính mà nhân viên họ sử dụng Nó lọc liệu phép máy tính lướt web, vơ hiệu hóa việc truy cập vào loại liệu khác Nội dung sách dùng để giảng dạy bậc cao đẳng trung cấp chuyên ngành cơng nghệ thơng tin Giúp cho sinh viên có kiến thức tường lửa (Firewall) Tài liệu gồm nội dung sau: - Bài 1: Giới thiệu Firewall - Bài 2: Tăng cường bảo mật cho thiết bị - Bài 3: Triển khai hệ thống Firewall - Bài 4: Giới thiệu Forefront Threat Managerment Gateway (TMG) Do thời gian hạn chế, tài liệu chắn khơng thể tránh khỏi thiếu sót Rất mong nhận ý kiến đóng góp xây dựng bạn đọc Xin chân thành cảm ơn! An Giang, ngày tháng năm 2019 Tham gia biên soạn Chủ biên: Lê Thị Ngọc Trâm Phản biện: Phương Phương Thúy MỤC LỤC ĐỀ MỤC TRANG Lời giới thiệu Mục lục BÀI 1: GIỚI THIỆU FIREWALL I Mơ hình triển khai II Các thành phần Firewall III Nguyên lý hoạt động Firewall IV Các loại Firewall .9 BÀI 2: TĂNG CƯỜNG BẢO MẬT CHO THIẾT BỊ 11 I Các loại công vào hệ thống mạng 11 II Cấu hình bảo mật 17 BÀI 3: TRIỂN KHAI HỆ THỐNG FIREWALL … … … … … … … I Giới thiệu Cisco IOS Firewall 20 II Cấu hình Cisco IOS Firewall 24 BÀI 4: GIỚI THIỆU VỀ FOREFRONT THREAT MANAGERMENT GATEWAY (TMG) 32 I Tìm Hiểu Forefrent TMG 32 II Triển khai cài đặt TMG 36 Thuật ngữ chuyên môn 65 Tài liệu tham khảo 66 GIÁO TRÌNH MƠN HỌC/MƠ ĐUN Tên mơ đun: XÂY DỰNG HỆ THỐNG FIREWALL Mã mô đun: MĐ 24 Vị trí, tính chất, ý nghĩa và vai trị mơn học/mơ đun: - Vị trí: Mơ đun bố trí sau sinh viên học xong mơn học, mơ đun Mạng máy tính, Quản trị mạng 1, Cơng nghệ mạng khơng dây, Cấu hình quản trị thiết bị mạng - Tính chất: Là mơn học chun ngành bắt buộc - Ý nghĩa vai trị mơn học/mơ đun: Mục tiêu môn học/mô đun: - Về Kiến thức: + Nhận biết thành phần Firewall, mơ hình triển khai thực tế + Trình bày loại cơng vào hệ thống mạng + Trình bày vai trò kỹ thuật packet filtering + Trình bày vai trị ứng dụng proxy + Trình bày tầm quan trọng TMG việc bảo vệ hệ thống mạng + Hiểu tính TMG + Hiểu khái quát khả nét đặc trưng TMG - Về kỹ năng: + Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall; + Thực thao tác xuất, nhập sách Firewall thành file; + Cài đặt cấu hình ISA Server windows Server + Cài đặt TMG Windows Server theo qui định + Thiết lập rule để bảo mật cho hệ thống + Thiết lập Web Client Protection để bảo vệ mối đe dọa duyệt Web + Thiết lập E-mail Protection để bảo vệ người dùng khỏi mối đe dọa từ e-mail + Thiết lập Network Intrusion System để bảo vệ máy tính máy chủ khỏi nổ lực xâm nhập - Về lực tự chủ trách nhiệm: Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập Nội dung môn học/mô đun: thể qua sau: - Bài 1: Giới thiệu Firewall - Bài 2: Tăng cường bảo mật cho thiết bị - Bài 3: Triển khai hệ thống Firewall - Bài 4: Giới thiệu Forefront Threat Managerment Gateway (TMG) BÀI 1: GIỚI THIỆU FIREWALL Giới thiệu Qua trình bày giới thiệu Firewall, mơ hình triển khai nguyên lý hoạt động Firewall Mục tiêu: - Nhận biết thành phần Firewall, mô hình triển khai thực tế - Trình bày vai trị kỹ thuật packet filtering - Trình bày vai trò ứng dụng proxy - Thực thao tác an tồn với máy tính Nội dung chính: I MƠ HÌNH TRIỂN KHAI Mơ hình Bastion Host: Bastion Host Firewall trạm cấu hình để chặn đứng cơng từ phía bên vào Đây điểm giao tiếp trực tiếp với mạng khơng tin cậy bên ngồi, dễ bị cơng Có hai dạng máy phịng thủ: Máy phịng thủ có hai card mạng, nối với hệ thống bên (mạng nội bộ) card cịn lại nối với bên ngồi mạng Internet Đây dạng tường lửa có từ sớm, yêu cầu người sử dụng bên phải kết nối với tường lửa trước làm việc với mạng bên Với giải pháp tường lửa cô lập mạng bên với mạng bên ngồi máy phịng thủ (host) tạo thiếu tự nhiên việc kết nối người sử dụng bên với mạng bên Dạng thứ hai cấu phịng thủ máy phịng thủ có card mạng nối trực tiếp đến hệ riêng biệt mạng – gateway mức ứng dụng Gateway cung cấp điều khiển vào Bộ định tuyến (rounter) có nhiều chức cấu hình Nó khơng định hướng gói đến hệ nội bộ, mà cho phép hệ thống nội mở kết nối với Internet không cho phép kết nối Kiến trúc screening subnet cịn bổ sung thêm tầng an tồn để tách mạng nội với Internet Lý để làm việc tránh cho mạng nội khỏi bị công bastion host bị đánh sập Mơ hình Back-End Firewall: Back-End Firewall có NIC nối với external interface NIC lại nối với mạng internal interface Back-end firewall có nhiệm vụ kiểm soát traffic từ external Internet tới mạng internal Mô hình 3-leg (Three-homed) Cần tới thiết bị có ba NIC (network interface card) Trong đó, NIC nối với mạng external, NIC thứ hai nối với mạng DMZ, NIC cịn lại nối với mạng internal Đó lý người ta gọi “3-legged firewall” (mỗi “chân” firewall NIC nó) Lúc “3- legged firewall” phải có khả kiểm sốt tồn traffic vào/ra ba mạng (internal, external DMZ) trở thành điểm chịu lỗi (single point of failure) cho toàn hệ thống mạng Nếu có cố xảy với “3- legged firewall” DMZ mạng internal khơng cịn bảo vệ bù lại khơng phải tốn chi phí đầu tư thêm firwewall II CÁC THÀNH PHẦN CƠ BẢN CỦA FIREWALL Packet Filter: - Là chức Firewall, điều khiển truy cập mạng phân tích gói tin vào/ - Thành phần quan trọng bảo mật ở mạng vành đai (Perimeter Security) - Ưu điểm: Không làm tốn băng thông - Packets bao gồm loại nội dung chính: Thơng tin điều khiển (Header), liệu (Data) - Nội dung Header Packet dùng phép cấm packet qua firewall sở Port, IP address Protocol a Các thiết bị hỗ trợ Packet Filtering - Router: Packet Filter ngăn chặn traffic xâm nhập trái phép - Hệ điều hành: Windows Linux xây dựng sẵn công cụ thực thi Packet Filtering chồng giao thức TCP/IP Ví dụ: ZoneAlarm, Check Point Firewall – hỗ trợ packet filtering b Các loại Packet Filtering - Stateless (static) packet filtering + Xem nội dung header packet định cho phép loại bỏ packet + Cấm traffic từ subnet - Stateful Packet Filtering (Stateful Inspection): trì trạng thái kết nối thực thi tất chức Stateful Packet Filtering - Không quan tâm đến kết nối thiết lập hay không - Kỹ thuật thường dùng muốn ngăn cấm hoàn toàn traffic xác định - Cấu hình Stateful Packet Filtering dựa trên: + Thông tin IP header + TCP/UDP Port number + ICMP message type + Fragmentation flags (ACK, SYN) - Duy trì bảng trạng thái kết nối - Kiểm tra tính hợp lệ gói tin sở bảng trạng thái luật - Cho phép Packets sở Packets trước chấp nhận Proxy Server (Application Proxy, Application-level Gateway) Theo dõi làm việc liệu gói liệu IP, chặn tất yêu cầu tới Server thực cố gắng xử lý yêu cầu Client a Nguyên lý hoạt động: Proxy chặn yêu cầu từ máy tính mạng nội bộ(internal network) chuyển yêu cầu đến máy tính đích mạng Internet b Phân loại - Dạng kết nối trực tiếp: Người dùng Client gửi yêu cầu trực tiếp tới Proxy Server để thực thi trả kết Client - Dạng dùng phần mềm Proxy Client: Người dùng cài đặt Proxy Client máy họ Khi có nhu cầu giao tiếp với Internet Server, Proxy Client gửi tới Proxy Server - Transparent Proxy: Một loại Proxy phát triển gần đây, kết hợp Gateway Proxy Server Những Packets vào Gateway tự động đổi hướng đến Proxy Server Proxy Server giao tiếp với Internet Server để thực thi c Vai trò Proxy: - Che dấu máy nội khỏi người dùng bên ngồi muốn tìm cách truy cập vào máy bên mạng nội - Block URL: Ngăn chặn người dùng truy cập website có nội dung khơng hợp lệ thiết lập bởi người quản trị - Block Filter Content: Kiểm tra nội dung gói tin ngăn chặn nội dung độc hại d Ứng dụng Proxy Server: Chia sẻ mạng Internet & bảo mật cho mạng nội bộ: Là giải pháp dùng máy có kết nối Internet (Proxy Server) thực thi nhu cầu giao tiếp Internet Proxy Client gửi đến Trả kết Client sau thực thi xong Authentication System: a Nguyên lý hoạt động: Trong môi trường máy tính, xác thực dùng ở nhiều ngữ cảnh khác nhau, ví dụ: xác thực tên đăng nhập mật người sử dụng trước cho phép người sử dụng thao tác hệ thống máy tính (xác thực hệ điều hành), xác thực tên đăng nhập mật trước cho phép người dùng kiểm tra hộp thư điện tử (xác thực Mail server); giao dịch ngân hàng, thủ tục xác thực dùng để xác định người lệnh toán có phải chủ tài khoản hay khơng; trao đổi thông tin, thủ tục xác thực dùng để xác định xác nguồn gốc thơng tin Khi việc xác thực thực thông qua mạng, số hệ thống thực việc mật mã hoá tên đăng nhập mật trước truyền để tránh bị tiết lộ, có nhiều hệ thống gởi trực tiếp thông tin nhạy cảm mạng (ví dụ dịch vụ FTP, Telnet, …) gọi cleartext authentication b Vai trò: Chứng thực người dùng sở username password c Ứng dụng: dùng xác thực thẻ thông minh (Smartcard), chứng thực số (digital certificate), thiết bị nhận dạng sinh trắc học (biometric devices),… Để tăng độ tin cậy chế xác thực, nhiều kỹ thuật sử dụng phối hợp gọi multi-factor authentication Ví dụ: xác thực dùng thẻ thông Trang wizard User Sets Trong trang này, bạn định người dùng mà muốn áp với rule Mặc định, Access Rules áp cho tất người dùng Còn lúc này, định nghĩa “all users” bạn khơng giống định nghĩa “all users” tường lửa TMG “All users” khơng có nghĩa rule bạn sẽ áp với tất tài khoản tổ chức bạn mà “All users” từ phối cảnh tường lửa TMG có nghĩa tất người dùng nặc danh – kết nối khơng nhận thực Nếu kích nút Add, bạn chọn người dùng khác, chẳng hạn All Authenticated Users System and Network Service Cũng tạo tập người dùng tùy biến dựa Active Directory tài khoản RADIUS Tuy nhiên sẽ đề cập thêm tùy chọn phần Trong ví dụ này, sẽ chọn tùy chọn All Users kích Next để chuyển sang trang khác 52 Trang cuối wizard Completing the New Access Rule Wizard Đây trang cho phép bạn xem lại thiết lập sau kích Finish 53 Sau rule tạo, sẽ vẫn chưa có hiệu lực bạn kích nút Apply ở phía panel ở TMG firewall console Chúng ta sẽ kích nút Apply b Các tùy chọn khác Sau kích nút Apply, hộp thoại Configuration Change Description sẽ xuất Ở bạn thêm vào phần mô tả cho thay đổi mà bạn thực sách tường lửa phần mô tả sẽ xuất ghi thay đổi Bản ghi thay đổi hữu dụng bạn cần kiểm tra lại tìm bạn thực sách tường lửa trường hợp gặp vấn đề khơng mong đợi Lưu ý bạn có tùy chọn để backup sách tường lửa cách kích Export Thao tác cho phép bạn backup cấu hình để khôi phục trở thời điểm trước thực thay đổi Bạn có tùy chọn khơng hiển thị nhắc nhở tương lai, nhiên chúng tơi khơng khuyến kích bạn chọn tùy chọn hộp thoại hữu dụng cho bạn tương lai Lúc kích Apply 54 Hộp thoại Saving Configuration Changes xuất cho bạn biết thiết lập sách tường lửa lưu vào kho lưu trữ cấu hình Lưu ý dòng chữ “Existing client connections will be reevaluated according to the new configuration Client connections not matching the newly enforced policy will be dropped” có nghĩa “Các kết nối máy khách tồn sẽ bị định giá lại theo cấu hình Các kết nối máy khách khơng tương ứng với sách sẽ bị chặn” Đây tính tường lửa TMG Với tường lửa ISA, sách tường lửa áp dụng cho kết nối mới, không áp dụng cho kết nối tồn Đây cải thiện tuyệt vời lý bạn nên nâng cấp lên phiên tường lửa ISA – mang tên TMG 55 Rule xuất danh sách sách tường lửa, bạn thấy hình bên Vị trí danh sách phụ thuộc vào nơi bạn kích bắt đầu wizard Mặc dù vậy, chúng tơi sẽ giới thiệu cho bạn phần tiếp theo, bạn đẩy rule lên xuống danh sách Backup and Restore a Backup khơi phục tồn cấu hình Khởi chạy giao diện quản lý Forefront TMG để backup khơi phục tồn cấu hình TMG Backup cho tồn cấu hình TMG thơng thường phải phần kế hoạch ngăn chặn khôi phục thảm họa 56 Khởi chạy Export wizard 57 Nếu muốn export thông tin quan trọng, định mật có tối thiểu ký tự để mã hóa thơng tin Nếu muốn backup thơng tin người dùng với role quản trị TMG, cần phải kích hoạt hộp chọn export điều khoản người dùng Chỉ định vị trí cho file export Vị trí file lưu cần nằm phân vùng có định dạng NTFS để cung cấp điều khoản bảo mật NTFS cho file đề phòng trường hợp máy chủ lỗi, cần lưu file XML máy chủ khác máy chủ TMG 58 Phụ thuộc vào kích thước cấu hình TMG, q trình export diễn nhanh hay chậm b Import cấu hình TMG Trong trường hợp xảy thảm họa, hồn tồn import tồn cấu hình Forefront TMG Đầu tiên, cài đặt lại hệ điều hành bên xuất lỗi hệ điều hành, sau cài đặt lại Forefront TMG với thiết lập mặc định khởi chạy giao diện quản lý Forefront TMG import cấu hình TMG 59 Chỉ định location của file cấu hình TMG export Hồn tồn import ghi đè lên cấu hình TMG hành Nếu muốn khơi phục tồn cấu hình TMG, chọn tùy chọn Overwrite (restore) 60 Chọn thông tin muốn import Chỉ định mật sử dụng để bảo vệ thơng tin quan trọng file export cấu hình Forefront TMG để import (hay ghi đè) cấu hình TMG hành 61 Cấu hình import sẽ ghi đè lên cấu hình tồn Forefront TMG, cách tốt nên export cấu hình hành để đề phịng trường hợp có trục trặc xảy q trình import Q trình import nhanh hay chậm tùy thuộc vào số lượng thông tin file export cấu hình máy tính Sau cấu hình import thành cơng, cần phải áp dụng thay đổi cấu hình, thể hình bên 62 c Backup khôi phục phần cấu hình TMG Hồn tồn export thứ cấu hình TMG vào file XML Cho ví dụ, export tồn lập rule cho tường lửa, khái niệm giao thức, mạng… Hình bên hiển thị chức export cho tồn Firewall Policy CÂU HỎI ƠN TẬP Trình bày TMG ? Nêu yêu cầu cài đặt TMG? BÀI TẬP Cho mơ hình: 63 Join máy TMG Server vào Domain Controller Cho phép máy mạng Lan kết nối với Tạo Access Rule giới hạn thời gian truy cập internet hành Khơng cho user nghe nhạc trực tuyến, download tài liệu 64 THUẬT NGỮ CHUYÊN MÔN Các từ viết tắt FTP NAT TCP IP NTFS Tên đầy đủ File Transfer Protocol Network Address Translation Transmission Control Protocol Internet Protocol New Technology File System Ý nghĩa Giao thức truyền file Biên dịch địa mạng Giao thức điều khiển truyền tin Giao thức Internet Hệ thống tập tin công nghệ LAN SSL Local Area Network Secure Socket Layer Hyper Text Transfer Protocol Mạng nội Tầng socket an toàn Uniform Resouce Locator Media Access Control Địa tài nguyên thống Địa thiết bị HTTP URL MAC Giao thức truyền siêu văn 65 TÀI LIỆU THAM KHẢO [1] Phạm Hoàng Dũng-Hoàng Đức Hải, Làm chủ Windows 2003 server, Thống kê, năm 2005 [2] Hoàng Hải Phương, www.giaiphapantoan.com [3] Tài liệu Forefront Threat Management Gateway (TMG) [4] Wendell Odom, “CCNA ICND2 Official exam certification Guide”, Cisco System, Inc, 2008 66 ... vào hệ thống mạng cách phòng chống công vào hệ thống mạng Mục tiêu: - Nhận biết nguy bị công hệ thống mạng - Giải thích bước để hack hệ thống mạng - Trình bày loại cơng vào hệ thống mạng - Cấu... xong môn học, mô đun Mạng máy tính, Quản trị mạng 1, Cơng nghệ mạng khơng dây, Cấu hình quản trị thiết bị mạng - Tính chất: Là môn học chuyên ngành bắt buộc - Ý nghĩa vai trị mơn học/mơ đun: Mục... CỦA FIREWALL Cơ chế Tạo Rule để quản lý việc truy xuất mạng hệ thống Giám sát hoạt động hệ thống đảm bảo an toàn cho hệ thống Ứng dụng - Firewall đáp ứng yêu cầu an tồn liệu + Bảo mật + Tính