Khoa: Công nghệ thông tin Lớp: 47THM Lời cảm ơn Thân gởi lời cảm ơn đến toàn thể giáo viên mơn Mạng máy tính nói riêng tồn thể giáo viên khoa Cơng nghệ thơng tin nói chung Nhớ ngày bước vào trường cịn bỡ ngỡ, chưa có kiến thức nhiều chun môn Mà nay, sau 4,5 năm học trường, nhờ tận tình hướng dẫn, bảo thầy cơ, đến em có vốn kiến thức máy tính, lập trình, mạng máy tính Đặc biệt, qua gởi lời cảm ơn đến thầy Phạm Văn Nam Trong đợt thực tập tốt nghiệp nhờ thầy tận tâm hướng dẫn, bảo Đồng thời, nhờ thầy nhiệt tình việc cung cấp trang thiết bị phòng lab để đề tài thành công tốt đẹp Đồ án tốt nghiệp Khoa: Công nghệ thơng tin Lớp: 47THM Khơng biết nói biết gởi lời cảm ơn xin chúc cho thầy gia đình dồi sức khỏe Xin cảm ơn!Mục lục Lời cảm ơn .1 Mục lục Mở đầu .4 Phần NGUY CƠ TẤN CÔNG VÀ GIẢI PHÁP CHO DOANH NGHIỆP .5 1.1 Nguy tiềm ẩn kiểu công vào mạng doanh nghiệp 1.2 Hướng giải Phần 10 INTERNET SECURITY AND ACCELERATION SERVER 2004 10 2.1 Giới thiệu 10 2.2 Các thiết lập mặc định ISA Server 2004 10 2.3 Cấu hình ISA Server 2004 SecureNAT, Firewall Web Proxy Clients 12 2.3.1 Cấu hình SecureNAT Client 12 2.3.2 Cấu hình Web Proxy Client 13 2.3.3 Cấu hình Firewall Client .13 2.4 Access Rule Publishing Rule 14 2.5 Caching ISA 17 Phần 20 ACCESS CONTROL LISTS 20 3.1 Định nghĩa access control lists 20 3.2 Các loại access control lists 20 3.3 Đặc điểm access control lists 20 3.3.1 Xử lý cách 20 3.3.2 Nơi áp dụng 21 3.3.3 Deny ẩn 21 3.3.4 Sử dụng Wildcard Mask 21 3.3.5 Những cách tạo access control lists .22 3.3.6 Cơ chế làm việc access control lists 22 3.3.7 Inbound access list Outbound access list 23 3.4 Standard Access List 24 3.5 Extended Access List 26 3.6 IP Named ACLs 28 3.7 Lock and Key (Dynamic ACLs) 28 3.8 Time-Based ACLs Using Time Ranges .30 3.9 Commented IP ACL Entries .32 3.10 Edit ACLs 33 3.11 Duy trì ACLs 34 3.12 Cấu hình Router giống Firewall việc triển khai ACLs .36 Phần 42 MƠ HÌNH CÀI ĐẶT DEMO 42 4.1 Giới thiệu mơ hình 42 4.2 Cài đặt cấu hình DCSERVER .44 4.3 Cài đặt cấu hình DMZSERVER 48 4.4 Cài đặt cấu hình ISASERVER 51 4.4.1 Cài đặt Window Server 2003 51 4.4.2 Gia nhập vào Domain 51 4.4.3 Cài đặt ISA Server 2004 52 4.4.4 Tạo Access Rule 53 4.4.5 Tạo Publishing Rule 57 Đồ án tốt nghiệp Khoa: Cơng nghệ thơng tin Lớp: 47THM 4.4.6 Cấu hình Caching cho ISASERVER 60 4.5 Cấu hình Router 61 4.6 Cấu hình modem 62 Kết luận 63 Tài liệu tham khảo 64 Đồ án tốt nghiệp Khoa: Công nghệ thông tin Lớp: 47THM Mở đầu Cùng với phát triển nhanh chóng kinh tế ngành công nghệ thông tin Vấn đề ứng dụng hệ thống mạng thông tin vào điều hành sản xuất doanh nghiệp ngày đẩy mạnh Công nghệ thông tin đặc biệt Internet mang lại nhiều hội phát triển cho doanh nghiệp Bằng cách sử dụng phương thức giao dịch trực tuyến với khách hàng đối tác nhằm giảm thiểu chi phí liên quan Đồng thời doanh nghiệp triển khai số dịch vụ mạng nhằm quảng bá thương hiệu tăng khả phục vụ tốt cho khách hàng Điều không áp dụng với tập đoàn doanh nghiệp lớn mà với doanh nghiệp vừa nhỏ Đây lúc làm dấy lên nhu cầu cần phải bảo vệ hệ thống máy tính trước đe doạ công xâm nhập Những công chỉnh sửa hay ăn cấp thơng tin hệ thống mạng nội Việc phần làm giảm uy tín doanh nghiệp với khách hàng gây thiệt hại lớn cho doanh nghiệp Do nhà quản lý doanh nghiệp mong muốn Quản trị viên mạng thông tin phải nắm hầu hết cơng nghệ mạng để nhanh chóng triển khai, ứng dụng công nghệ mạng tiên tiến vào phục vụ điều hành sản xuất lập kế hoạch xây dựng bảo vệ hệ thống thông tin nội doanh nghiệp tránh khỏi nguy công Nhằm mục đích tìm hiểu mơ hình mạng thực tế, đồng thời nghiên cứu công cụ bảo mật cho doanh nghiệp để xem doanh nghiệp bảo mật mạng Tuy nhiên khơng tìm hiểu rộng doanh nghiệp lớn mà đề cập đến doanh nghiệp vừa nhỏ Trong khoảng thời gian tương đối đợt thực tập tốt nghiệp, em tìm hiểu phát thảo mơ hình, dịch vụ mạng triển khai cho doanh nghiệp Đồng thời để nâng cao tính bảo mật cho doanh nghiệp em sử dụng kết hợp ISA (Internet Security and Acceleration Server 2004) ACLs (Access Control Lists) Đây xem kết hợp hài hòa phần cứng phần mềm việc bảo mật doanh nghiệp Đồ án tốt nghiệp Khoa: Công nghệ thơng tin Lớp: 47THM Phần NGUY CƠ TẤN CƠNG VÀ GIẢI PHÁP CHO DOANH NGHIỆP 1.1 Nguy tiềm ẩn kiểu công vào mạng doanh nghiệp Cũng nhiều loại hình tội phạm khác, đe doạ mạng tài nguyên Internet xuất phát từ cộng đồng nhỏ Tuy nhiên lại nhân tố khơng ngừng lớn mạnh có chế tài kiềm chế cách hiệu quả, cần công cụ công phát tán lên mạng nhiều hệ thống máy tính trở thành mục tiêu công thông qua lỗ hổng phần mềm Những phi vụ công mạng phức tạp thường có động trị tài Mục đích khơng nằm ngồi ý định sửa đổi sở liệu, đánh cắp tài khoản thông tin cá nhân, cài đặt chương trình thám phép kẻ đột nhập khởi phát công từ hệ thống máy tính nạn nhân Từ trước đến nay, phương thức giao dịch doanh nghiệp chưa coi trọng độ an toàn, việc trao đổi qua fax Thậm chí, có nhiều doanh nghiệp, chủ yếu DN nhỏ, trao đổi thông tin nhạy cảm với đối tác qua e-mail không bảo mật, thực giao dịch trang web khơng an tồn Những rủi ro từ giao dịch DN với DN thường liên quan tới tính riêng tư bao gồm việc bảo mật thơng tin thẻ tín dụng liệu khác trước nhịm ngó từ bên ngồi Bảo mật Internet ảnh hưởng trực tiếp tới doanh thu tình hình kinh doanh doanh nghiệp Các doanh nghiệp thất thu hàng chục triệu USD năm hành vi đột nhập công Một thiệt hại khác khó đánh giá lại quan trọng SMB, khoảng thời gian trục trặc hệ thống thiệt hại sản phẩm phản ứng chậm chạm cố bảo mật Trong nhiều trường hợp, doanh nghiệp phải tạm thời gỡ bỏ máy chủ quan trọng, hệ thống desktop dây chuyền liên quan tới cố bảo mật Đồng thời gây uy tín giảm lòng tin khách hàng doanh nghiệp Những kiểu công vào mạng doanh nghiệp:  Tấn công trực tiếp : Sử dụng máy tính để cơng máy tính khác với mục đích dị tìm mật mã, tên tài khoản tương ứng, … Họ sử dụng số chương trình giải mã để giải mã file chứa password hệ thống máy tính nạn nhân Do đó, mật ngắn đơn giản thường dễ bị phát Ngồi ra, hacker cơng trực tiếp thơng qua lỗi chương trình hay hệ điều hành làm cho hệ thống tê liệt hư hỏng đoạt quyền người quản trị hệ thống Đồ án tốt nghiệp Khoa: Công nghệ thông tin Lớp: 47THM  Kỹ thuật đánh lừa (Social Engineering): Đây thủ thuật nhiều hacker sử dụng cho công thâm nhập vào hệ thống mạng máy tính tính đơn giản mà hiệu Những mối quan hệ cá nhân hay tiếp xúc mối nguy hiểm tiềm tàng để lấy cấp mật khẩu, thông tin, công phá hủy hệ thống  Tấn công vào lỗ hổng bảo mật: Hiện lỗ hổng bảo mật phát nhiều hệ điều hành, web server hay phần mềm khác, Và hãng sản xuất cập nhật lỗ hổng đưa phiên sau vá lại lỗ hổng phiên trước Do đó, ta phải ln cập nhật thơng tin nâng cấp phiên cũ mà sử dụng không hacker lợi dụng điều để công vào hệ thống  Khai thác tình trạng tràn đệm: Tràn đệm tình trạng xảy liệu gởi nhiều so với khả xử lý hệ thống hay CPU Nếu hacker khai thác tình trạng tràn đệm họ làm cho hệ thống bị tê liệt làm cho hệ thống khả kiểm sốt  Nghe trộm: Hacker truy cập vào data paths để nghe trộm đọc trộm luồng liệu truyền qua để thu thập thơng tin chứa password username Các chương trình nghe trộm cịn gọi sniffing, sniffing có nhiệm vụ lắng nghe cổng hệ thống mà hacker muốn nghe trộm Nó thu thập liệu cổng chuyển cho hacker  Kỹ thuật giả mạo địa chỉ: Thông thường, mạng máy tính nối với Internet bảo vệ tường lửa Bức tường lửa hạn chế nhiều khả cơng từ bên ngồi gia tăng tin tưởng lẫn việc sử dụng tào nguyên chia sẻ mạng nội Sự giả mạo địa nghĩa người bên giả mạo địa IP máy tính máy tính hệ thống cần cơng  Tấn cơng vào hệ thống có cấu hình khơng an toàn: Các lỗ hổng tạo ứng dụng có thiết lập khơng an tồn người quản trị hệ thống định cấu hình khơng an tồn Chẳng hạng cấu hình mà giữ user password mặc định hay cấu hình mà khơng cần login Việc thiết lập làm lộ thông tin nhạy cảm mã nguồn, mật hay thông tin khách hàng Nếu quản trị hệ thống cấu hình hệ thống khơng an tồn nguy hiểm người cơng duyệt qua file pass Đồ án tốt nghiệp Khoa: Cơng nghệ thơng tin Lớp: 47THM họ download giải mã ra, họ làm nhiều thứ hệ thống  Tấn công từ chối dịch vụ (DOS-Denial of Service): Các công lợi dụng số lỗi phần mềm hay lỗ hổng bảo mật hệ thống, hacker lệnh cho máy tính chúng đưa yêu cầu khơng đâu vào đâu đến máy tính, thường server mạng Các yêu cầu gởi đến liên tục làm cho hệ thống nghẽn mạch số dịch vụ không đáp ứng cho khách hàng 1.2 Hướng giải Đe doạ bảo mật việc triển khai cơng nghệ để giảm thiểu chúng ln có quan hệ mật thiết với Để bảo mật thành cơng địi hỏi phải có bước tiếp cận quy trình xử lý xun suốt, triển khai cơng nghệ bảo mật để cung cấp kết nối an toàn, ngăn chặn nguy quản lý việc nhận dạng, đánh giá thời điểm phận hợp lý Cần phải sửa chữa bảo vệ điểm đầu cuối, máy chủ desktop trước đe doạ nhận dạng chưa nhận dạng Cần ý thức thực tế khơng có cơng nghệ bảo mật đơn lẻ hồn hảo, mà cần kết hợp nhiều biện pháp công nghệ khác Để giảm thiểu thiệt hại từ vụ công lợi dụng lỗ hổng bảo mật, doanh nghiệp cần phải thảo sách bảo mật thông báo rộng rãi tới nhân viên công ty Chính sách cần quy định rõ quyền nghĩa vụ người tiếp xúc với tài nguyên kỹ thuật doanh nghiệp Tiếp theo cần kết hợp biện pháp nghiệp vụ để giảm thiểu chí xoá bỏ nhiều mối hiểm họa bảo mật Các biện pháp bao gồm việc lựa chọn mơ hình mạng cho doanh nghiệp đồng thời lựa chọn chế bảo mật cho phù hợp Ta áp dụng mơ hình DMZ Network kết hợp với ISA Server theo dạng sau: Hình 1: Mơ hình DMZ sử dụng ISA Đồ án tốt nghiệp Khoa: Công nghệ thơng tin Lớp: 47THM Nhằm mục đích ngăn chặn tác động bất lợi vơ tình ác ý từ internet đến hệ mạng nội chúng ta, nên ta phải xây dựng Firewall ISA Server đóng vai trò Đồng thời tồn server có nhiệm vụ đáp ứng truy cập từ internet, ví dụ Web Server, FTP Server, Mail Server,… ln trở thành nguy hiển nhiên an tồn hệ thống mạng Do vậy, ta lập khu vực nguy phân đoạn mạng riêng biệt nối trực tiếp với Firewall gọi Perimeter Network hay DMZ Network Ta sử dụng Router giống Firewall để thay ISA Server giống mơ hình sau Để Router trở thành Firewall ta cần phải cấu hình Access Control List Hình 2: Mơ hình DMZ với Router Khái niệm DMZ dùng ngữ cảnh có hàm ý khu vực có nguy hứng chịu công từ nhiều nguồn khác Nhiệm vụ Firewall chặn lọc để hạn chế tối đa nguy cho phép thông tin hợp lệ từ internet vào DMZ mà Thông thường xây dựng DMZ người ta thường mua gán public IP cho máy chủ DMZ Để định tuyến luồng thông tin, public IP đương nhiên phải thuộc subnet Thông tin từ internet hướng đến DMZ định tuyến mà khơng phải trải qua khâu xử lý biên dịch địa Công suất Firewall phân phối hợp lý cho trình chặn lọc qua làm tăng tốc đáp ứng máy chủ DMZ Điều khó xử khơng phải doanh nghiệp có khả tài để đăng ký sở hữu subnet mà họ đăng kí kết nối Internet cho doanh nghiệp với địa public Vì để giải vấn đề có cách dùng địa private để cấp cho Server DMZ Với hướng giải ta sử dụng thêm modem ADSL đứng vị trí kết nối Router với Internet Ta sử dụng chức Forward port modem để Forward gói tin đến Server tương ứng DMZ Chẳng hạn, modem Đồ án tốt nghiệp Khoa: Cơng nghệ thơng tin Lớp: 47THM bắt gặp gói tin từ bên ngồi truy cập vào có port 80 chuyển thẳng cho Web Server DMZ Trong mơ hình ta cịn sử dụng Router kết nối Firewall với Internet nhằm giúp nâng cao tính bảo mật doanh nghiệp Ta biết Router có Access Control List giúp chặn lọc gói tin điều hướng gói tin theo hướng mong muốn ta tìm hiểu phần sau báo cáo Nhờ chức mà Router giúp xử lý gói tin tầng thấp tầng network tầng transport chủ yếu xử lý gói tin thuộc giao thức TCP UDP Đồng thời, với ISA Server ta sử dụng Access Rule để chặn lọc gói tin tầng cao chẳng hạn tầng ứng dụng mà có liên quan đến user, ta tạo Access Rule có liên quan đến user chịu tác động với Access Rule Ngồi doanh nghiệp vừa với lượng lớn máy trạm ta áp dụng theo mơ hình sau: Hình 3: Mơ hình kết hợp ISA Server Router Ở đây, Router đóng vai trị chặn lọc mạng Internal Network DMZ Network Còn ISA Server đóng vai trị chặn lọc kết nối DMZ Network Internet Network Cả Firewall phối hợp tạo an toàn cho doanh nghiệp Đồ án tốt nghiệp Khoa: Công nghệ thông tin Lớp: 47THM Phần INTERNET SECURITY AND ACCELERATION SERVER 2004 2.1 Giới thiệu ISA Server thiết kế để bảo vệ mạng, chống xâm nhập từ bên lẫn kiểm soát truy cập từ bên mạng nội tổ chức ISA Server chứa nhiều tính mà ta dùng để đảm bảo an toàn cho việc truy cập Internet, bảo đảm an ninh cho tài nguyên mạng nội ISA Server làm việc cách điều khiển phép qua Firewall bị ngăn chặn khơng phép Giả sử có quy tắc áp đặt Firewall cho phép thơng tin truyền qua Firewall thơng tin chuyển qua, ngược lại thông tin bị Firewall chặn lại Khi ta triển khai ISA Server có chức như: filter, caching, web proxy,… Lúc ISA Server làm việc giống Firewall, giống VPN Server hay Proxy Server Chúng ta triển khai Firewall để bảo vệ đó, PC, Server hay hệ thống mạng với nhiều dịch vụ triển khai Web, Mail,… Với cấu hình mặc định ISA Server 2004 ngăn chặn tất lưu thông vào, qua Firewall Rõ ràng cấu hình chủ động, an toàn mà vận hành ISA Server ta yên tâm 2.2 Các thiết lập mặc định ISA Server 2004 Sau ta cài đặt ISA Server ta thấy có loại network chính:  Internal Network: network hồn tồn bảo vệ, chứa đựng máy tính mạng nội doanh nghiệp  Localhost: máy cài đặt ISA Server  External Network: network bên mà internet số network  Perimeter network: network triển khai dịch vụ internet cho doanh nghiệp  VPN network: network giúp cho thành viên doanh nghiệp kết nối vào mạng nội thông qua internet Ngoài ra, ISA Server tạo Access Rule không cho phép truy cập phép đến qua Localhost Tức máy nằm phạm vi kiểm soát Firewall không Internet, không cho phép computer Internet truy cập đến Firewall Networks bảo vệ Firewall Đồ án tốt nghiệp