An toàn mạng và bảo mật hệ thống

Mục đích:Hoạt động của người quản trị hệ thống mạng phải đảm bảo: - Các thông tin trên mạng là tin cậy và sử dụng đúng mục đích, đúng đối tượng - Mạng hoạt động ổn định, bảo vệ mang khỏi

Please purchase a personal license.

Network Administration

QUẢN TRỊ MẠNG TRÊN MÔI TRƯỜNG WINDOW SERVER

An toàn mạng và bảo mật hệ thống

Firewall

ISA 2006

I Mục tiêu bảo mật

1 Nhiệm vụ của người quản trị trong việc an toàn mạng

a Xác định đối tượng cần bảo vệ

• Các máy chủ cung cấp dịch vụ Web, mail …DNS servers

• Các router trao đổi thông tin cập nhật bảng routing

c Xác định các mối đe dọa:

• Các hình thức và kỹ thuật tấn công đa dạng: Virus, Trojan Horse,

Worm, spam

• Thời điểm tấn công không biết trước

• Qui mô tấn công không biết trước

d Kiểm tra các biện pháp an ninh mạng

• Bức tường lửa - Firewall

2 Mục đích:

Hoạt động của người quản trị hệ thống mạng phải đảm bảo:

- Các thông tin trên mạng là tin cậy và sử dụng đúng mục đích, đúng đối tượng

- Mạng hoạt động ổn định, bảo vệ mang khỏi virus, worm, trojan, spam …

- Mạng không bị tấn công và truy nhập trái phép bởi những kẻ phá hoại

3 Các mức độ bảo vệ mạng

1 Khái niệm:

• Firewall là cơ chế bảo vệ nhằm ngăn chặn sự truy nhập không hợp lệ từ

mạng bên ngoài (Internet) vào mạng bên trong ( mạng nội bộ)

Mạng đã được quản trị

Internet công cộng

2 Chức năng chính của Firewall.

• Kiểm soát luồng thông tin giữa mạng nội bộ và Internet

• Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong và mạng Internet

Cụ thể là:

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong mạng nội bộ

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng

- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

3 Phân loại

• Hệ thống firewall thường bao gồm cả phần cứng và phần mềm

a Đặc điểm của Firewall cứng:

- Là những firewall được tích hợp trên Router

- Cho phép hiển thị các địa chỉ IP đang kết nối qua nó

Nhược điểm

- Firewall cứng không thể kiểm tra được nột dung của gói tin

- Không được linh hoạt như Firewall mềm: (Không thể thêm chức năng, thêm quy tắc như firewall mềm)

+ Ví dụ : NAT (Network Address Translate)

b Đặc điểm của Firewall mềm:

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

- Firewall mềm có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).+ Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…

4 Thành phần

a Packet filtering (Bộ lọc gói tin): là hệ thống firewall cho phép chuyển thông tin

giữa hệ thống trong và ngoài mạng có kiểm soát

Đặc điểm

• Cho phép kiểm soát được kết nối vào máy chủ

• Khóa việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép

• Kiểm soát hiệu suất sử dụng những dịch vụ đang hoạt động trên hệ thống mạng nội bộ thông qua các cổng TCP tương ứng

b Application-gateway: là hệ thống firewall thực hiện các kết nối thay cho

các kết nối trực tiếp từ máy khách yêu cầu

Đặc điểm:

• Tăng cường chức năng kiểm soát các loại dịch vụ dựa trên những giao thức

được cho phép truy cập vào hệ thống mạng

• Cơ chế hoạt động của nó dựa trên mô hình Proxy Service

Cơ chế lọc của packet filtering kết hợp với cơ chế “đại diện” của

Application gateway cung cấp một khả năng an toàn và uyển chuyển hơn,

đặc biệt khi kiểm soát các truy cập từ bên ngoài

III Giới thiệu ISA 2006

1.Khái niệm

ISA- Internet Security and Acceleration ( Bảo mật và tăng tốc Internet)

Internet Microsoft ISA Server 2006 là một Enterprise Firewall, ISA cung cấp một tường lửa linh hoạt, có hiệu quả, và dễ sử dụng để bảo vệ an toàn cho các hệthống thông tin được sử dụng phổ biến của hãng phần mềm Microsoft

2 Các phiên bản của ISA server 2006

• Standard : ISA Server 2006 Standard đáp ứng

nhu cầu bảo vệ và chia sẻ băng thông cho các

công ty có quy mô trung bình

• Enterprise : ISA Server 2006 Enterprise được

sử dụng trong các mô hình mạng lớn, đáp ứng

nhiều yêu cầu truy xuất của người dùng bên

trong và ngoài hệ thống

3.Tính năng

• Multi-networking: Kỹ thuật thiết lập các chính sách truy cập dựa trên địa chỉ mạng, thiết lập

firewall để lọc thông tin dựa trên từng địa chỉ mạng con,…

• Unique per-network policies: cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất

của các Client bên ngoài internet, bằng cách tạo ra một vùng mạng ngoại vi perimeter network (được xem là vùng DMZ,demilitarized zone, hoặc screened subnet), chỉ cho phép Client bên

ngoài truy xuất vào cácServer trên mạng ngoại vi, không cho phép Client bên ngoài truy xuất trực

tiếp vào mạng nội bộ.

• Stateful inspection of all traffic: Cho phép giám sát tất cả các lưu lượng mạng.

• NAT and route network relationships: Cung cấp kỹ thuật NAT và định tuyến dữ liệu cho

mạngcon.

• Network templates: Cung cấp các mô hình mẫu (network templates) về một số kiến trúc

mạng,kèm theo một số luật cần thiết cho network templates tương ứng.

• Cung cấp một số đặc điểm mới để thiết lập mạng riêng ảo (VPN network) và truy cập từ xa

chodoanh nghiệp như giám sát, ghi nhận log, quản lý session cho từng VPN Server, thiết lập

accesspolicy cho từng VPN Client, cung cấp tính năng tương thích với VPN trên các hệ thống

khác.

• Cung cấp một số kỹ thuật bảo mật (security) và thiết lập Firewall cho hệ thống như

Authentication, Publish Server, giới hạn một số traffic.

• Cung cấp một số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web.

• Cung cấp một số tính năng quản lý hiệu quả như: giám sát lưu lượng, reporting

qua Web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ

thống thông qua kỹ thuật gởi thông báo qua E-mail,

• Application Layer Filtering (ALF): là một trong những điểm mạnh của ISA

Server 2004, không giống như packet filtering firewall truyền thống, ISA 2006 có

thể thao tác sâu hơn như có thể lọc được các thông tin trong tầng ứng dụng Một số

đặc điểm nổi bậc của ALF:

- Cho phép thiết lập bộ lọc HTTP inbound và outbound HTTP.

- Chặn được các cả các loại tập tin thực thi chạy trên nền Windows như pif, com,…

- Có thể giới hạn HTTP download.

- Có thể giới hạn truy xuất Web cho tất cả các Client dựa trên nội dung truy cập.

- Có thể điều kiển truy xuất HTTP dựa trên chữ ký (signature).

- Điều khiển một số phương thức truy xuất của HTTP.

4.Cài đặt ISA

• Yêu cầu

Máy ISA phải có ít nhất 2 card mạng, một card nối với mạng bên trong (Internal) và

card mang còn lại nối ra Internet (External)

• Cho đĩa ISA server 2006

Chọn Card mang nào trực tiếp nối vào LAN
OK

5 Mô hình ISA thường gặp

a Edge Firewall

• Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn

chế

• 3-Leg Perimeter

• 3 Front/Back Firewall

• Môôôô hhhhìììình n M nh n nh nàààày tuy l y tuy l y tuy làààà ccccóóóó độ an an an to to toààààn cao nh n cao nh n cao nhưng ng ng chi chi chi ph ph phíííí đầu t u t u tư cho n cho n cho nóóóó llllàààà rrrrất t t t t tốn k n k n kéééém m

6.PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS

1 SecureNAT client

• là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến

ra Internet thông qua ISA Server 2006 firewall

•

2 Web Proxy client

2 Web Proxy client là máy tính có trình duyệt internet (vd:Internet

Explorer, fire fox) được cấu hình dùng ISA Server 2006 firewall như

một Web Proxy server của nó

• 3 Firewall client là máy tính có cài Firewall client software

Cấu hình ISA server

Rules:

• Tạo Rule cho phép người quản trị có thể cho phép hay cấm bất kỳ máy nào

trong mạng hay toàn bộ mạng