Đang tải... (xem toàn văn)
Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấm khiêng che chắn khá vững chắc cho mạng doanh nghiệp. và ứng dụng bảo mật hệ thống mạng doanh nghiệp đó cũng chính là chủ đề mà nhóm chúng tôi đã chọn và cùng thảo luận ứng dụng Microsoft Forefront TMG 2010 trong bảo mật mạng doanh nghiệp.
ĐỀ CƯƠNG THỰC HIỆN ĐỒ ÁN Nhóm: 03 Tìm hiểu triển khai FOREFRONT TMG 2010 cho công ty TNHH Mai Lan Tên đồ án: PHẦN 1:MỞ ĐẦU 1.1 Lý chọn đề tài Những năm gần đây, xã hội có nhiều thay đổi, nhiều xu hướng phát triển mới, thành tích tiến vượt trội tất ngành công nghiệp nông nghiệp Điều phải kể đến đóng góp tích cực ngành khoa học đại, đáng kể đóng góp ngành Viễn Thơng – Tin Học Cùng với đời mạng máy tính ứng dụng, tạo nên nhiều tiền đề phát triển tương lại: rút ngắn khoảng cách quốc gia địa cầu, tạo điều kiện thuận lợi cho kết nối doanh nghiệp nước Tuy nhiên thách thức to lớn cho tất doanh nghiệp muốn tồn phát triển không gian kết nối mạng Cùng với nhu cầu bảo mật thông tin doanh nghiệp, nhiều ứng dụng bảo mật triển khai với nhiều hình thức nhằm giữ tồn vẹn thơng tin doanh nghiệp đời ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần cứng kết nối mạng cung cấp bở hãng Cisco ISA (Internet Sercurity Acceleration) Server - ứng dụng bảo vệ mạng theo mơ hình phân lớp mạng, lọc gói tin, … cung cấp hãng Microsoft Trước cơng khơng ngừng ứng dụng bảo mật hệ thống mạng khiêng che chắn vững cho mạng doanh nghiệp ứng dụng bảo mật hệ thống mạng doanh nghiệp chủ đề mà nhóm chúng tơi chọn thảo luận - ứng dụng Microsoft Forefront TMG 2010 bảo mật mạng doanh nghiệp Kể từ phiên ISA Server 2006 trở Microsoft ngừng phát triển chương trình thức cho mắt sản phẩm Microsoft Forefront Threat Management Gateway (Forefront TMG) cải tiến đáng kể từ phía Microsoft thực Forefront TMG phiên tích hợp của: Internet Security and Acceleration Server (ISA) Forefront Client Security Forefront Security for Exchange Server Forefront Security for SharePoint Chính sản phẩm đời sau thừa hưởng tinh hoa ứng dụng nên Forefront TMG có khả năng: Bảo vệ hệ thống đa dạng Ngăn chặn lây nhiễm virus, malware phương diện rộng hiệu Mặc dù đời sau nhiên ứng dụng Microsoft Forefront Threat Management 2010 sớm khẳng định vị Rõ nét nhiều doanh nghiệp tìm hiểu áp dụng Microsoft Forefront TMG 2010 vào mơ hình mạng doanh nghiệp 1.2 Đối tượng nghiên cứu Nhóm tập trung sâu vào nghiên cứu: Firewall Forefront TMG 2010 1.3 Phạm vi nghiên cứu Công ty TNHH Mai Lan Các công ty vừa nhỏ khác 1.4 Mục đích nghiên cứu 1.5 Cấu trúc báo cáo Báo cáo gồm nội dung sau: Phần 1: Mở đầu 1.1 Lý chọn đề tài 1.2 Đối tượng nghiên cứu 1.3 Phạm vi ứng dụng 1.4 Mục đích nghiên cứu 1.5 Cấu trúc báo cáo Phần 2: Nội dung Chương Tổng quan Firewall 1.1 Khái niệm Firewall 1.2 Chức Firewall 1.3 Nguyên lý hoạt động firewall 1.4 Phân loại Firewall 1.5 Những hạn chế firewall Chương Tổng quan Forefront TMG 2010 2.1 Lịch sử phát triển TMG 2010 2.2 Các mơ hình Firewall( Forefront TMG 2010) 2.3 Tính Forefront TMG 2010 Chương Triển khai ForeFront TMG 2010 cho công ty TNHH Mai Lan 3.1 Khảo sát yêu cầu công ty 3.1.1 Sơ đồ hệ thống mạng 3.1.2 Yêu cầu công ty 3.2 Phân tích yêu cầu giải pháp 3.3 Triển khai 3.3.1 Các yêu cầu phần cứng cài đặt Forefront TMG 2010 3.3.2 Các yêu cầu phần mềm cài đặt Forefront TMG 2010 3.3.3 Cài đặt ForeFront TMG 2010 3.3.4 Triển khai dịch vụ cho hệ thống 3.3.4.1 Cấu hình Access Rule Web Access DNS Query Malware Inspection HTTPS Inspection 3.3.4.2 Cấu hình network ispection system (NIS) 3.3.4.3 Bảo mật hệ điều hành với forefront client security 3.3.4.4 Bảo mật máy chủ Exchange 3.3.4.5 Cấu hình ISP Redundancy (Load balancing) 3.3.4.6 Cấu hình forefront unifiel access gateway 2010 3.3.4.7 Cấu hình Intrusion Detection 3.3.4.8 Thực backup restore 3.3.5 Demo mơ hình giải lập Phần Tổng kết 1.1 Kết đạt 1.2 Ưu nhược điểm hệ thống 1.3 Hướng phát triển Danh mục tham khảo PHẦN 2: NỘI DUNG CHƯƠNG 1: TỔNG QUAN VỀ FIREWALL 1.1 Khái niệm Firewall Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ thông tin, Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập khơng mong muốn vào hệ thống Cũng hiểu Firewall chế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi mạng không tin tưởng (Untrusted network) Hình 1.1: Mơ hình firewall Thơng thường Firewall đặt mạng bên (Intranet) công ty, tổ chức, ngành hay quốc gia, Internet Vai trị bảo mật thơng tin, ngăn chặn truy nhập khơng mong muốn từ bên ngồi (Internet) cấm truy nhập từ bên (Intranet) tới số địa định Internet Hệ thống Firewall thường bao gồm phần cứng phần mềm thường hai Về mặt cứng firewall có chức giống router, có cho phép hiển thị địa IP kết nối qua Điều cho phép bạn xác định địa phép địa IP không phép kết nối Tất firewall có chung thuộc tính cho phép phân biệt đối xử hay khả từ chối truy nhập dựa địa nguồn Nếu máy tính bạn khơng bảo vệ, kết nối Internet, tất giao thơng vào mạng cho phép, hacker, Trojan, virus truy cập lấy cắp thơng tin cá nhân máy tính Chúng cài đặt đoạn mã để công file liệu máy tính Chúng sử dụng máy tính bạn để cơng máy tính gia đình doanh nghiệp khác kết nối Internet Một firewall giúp bạn khỏi gói tin hiểm độc trước đến hệ thống bạn 1.2 Chức Firewall Chức Firewall kiểm sốt luồng thơng tin mạng cần bảo vệ (Trusted Network) Internet thơng qua sách truy nhập thiết lập Cho phép cấm dịch vụ truy nhập từ ngồi từ ngồi vào Kiểm sốt đại truy nhập dịch vụ sử dụng Kiểm soát người sử dụng việc truy nhập người sử dụng Kiểm sốt nội dung thơng tin lưu chuyển mạng Ngăn ngừa khả công từ mạng Xây dựng firewall biện pháp hữu hiệu, cho phép bảo vệ kiểm sốt hầu hết dịch vụ áp dụng phổ biến biện pháp bảo vệ mạng Thông thường, hệ thống firewall cổng (gateway) mạng nội giao tiếp với mạng bên ngược lại 1.3 Thành phần Firewall nguyên lý hoạt động Firewall hoạt động chặt chẽ với giao thức TCP/IP, giao thức làm việc theo thuật tóan chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành gói liệu (data packets) gán cho packet địa nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Một firewall bao gồm hay nhiều thành phần sau: Bộ lọc packet (packet-filtering router) Cổng ứng dụng (Application-level gateway hay proxy server) Cổng mạch(circuite level gateway) 1.3.1 Bộ lọc packet (packet-filtering router): Hình 1.2: Packet-filtering router Bộ lọc packet cho phép hay từ chối packet mà nhận Nó kiểm tra tồn đoạn liệu để định xem đoạn liệu có thỏa mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (header), dùng phép truyền packet mạng Bao gồm: • Địa IP nơi xuất phát (Source) • Địa IP nơi nhận ( Destination) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …) • Cổng TCP/UDP nơi xuất phát • Cổng TCP/UDP nơi nhận • Dạng thơng báo ICMP • Giao diện packet đến • Giao diện packet Nếu packet thỏa luật lệ thiết lập trước Firewall packet chuyển qua, khơng thỏa bị loại bỏ Việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định phép vào hệ thống mạng cục Cũng nên lưu ý việc kiểm tra dựa header packet nên lọc khơng kiểm sốt nội dụng thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu Ưu điểm: Đa số hệ thống firewall sử dụng lọc packet Một ưu điểm phương pháp dùng lọc packet chi phí thấp chế lọc packet bao gồm phần mềm router Ngoài ra, lọc packet suốt người sử dụng ứng dụng, khơng u cầu huấn luyện đặc biệt Hạn chế: Việc định nghĩa chế độ lọc package việc phức tạp; đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể dịch vụ Internet, dạng packet header, giá trị cụ thể nhận trường Khi đòi hỏi vể lọc lớn, luật lệ vể lọc trở nên dài phức tạp, khó để quản lý điều khiển Do làm việc dựa header packet, rõ ràng lọc packet khơng kiểm sốt nơi dung thơng tin packet Các packet chuyển qua mang theo hành động với ý đồ ăn cắp thông tin hay phá hoại kẻ xấu 1.3.2 Cổng ứng dụng (application-level getway) Đây loại Firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy service Proxy service code đặc biệt cài đặt gateway cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng khơng cung cấp khơng thể chuyển thơng tin qua firewall Ngồi ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà ngòi quản trị mạng cho chấp nhận từ chối đặc điểm khác Hình 1.3: Application-level getway Một cổng ứng dụng thường coi pháo đài (bastion host), thiết kế đặt biệt để chống lại cơng từ bên ngồi Những biện pháp đảm bảo an ninh bastion host là: Bastion host chạy version an toàn (secure version) phần mềm hệ thống (Operating system) Các version an toàn thiết kế chuyên cho mục đích chống lại công vào Operating System, đảm bảo tích hợp firewall Chỉ dịch vụ mà người quản trị mạng cho cần thiết cài đặt bastion host, đơn giản dịch vụ khơng cài đặt, khơng thể bị công Thông thường, số giới hạn ứng dụng cho dịch vụ Telnet, DNS, FTP, SMTP xác thực user cài đặt bastion host Bastion host yêu cầu nhiều mức độ xác thực khác nhau, ví dụ user password hay smart card Mỗi proxy đặt cấu hình phép truy nhập sồ máy chủ định Điều có nghĩa lệnh đặc điểm thiết lập cho proxy với số máy chủ tồn hệ thống Mỗi proxy trì nhật ký ghi chép lại toàn chi tiết giao thơng qua nó, kết nối, khoảng thời gian kết nối Nhật ký có ích việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại Mỗi proxy độc lập với proxies khác bastion host Điều cho phép dễ dàng trình cài đặt proxy mới, hay tháo gỡ mơt proxy có vấn để Ưu điểm: Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ mạng, ứng dụng proxy hạn chế lệnh định máy chủ truy nhập dịch vụ Cho phép người quản trị mạng hoàn toàn điều khiển dịch vụ cho phép, vắng mặt proxy cho dịch vụ tương ứng có nghĩa dịch vụ bị khoá Cổng ứng dụng cho phép kiểm tra độ xác thực tốt, có nhật ký ghi chép lại thông tin truy nhập hệ thống Luật lệ lọc filltering cho cổng ứng dụng dễ dàng cấu hình kiểm tra so với lọc packet Hạn chế: Yêu cầu users thay đổi thao tác, thay đổi phần mềm cài đặt máy client cho truy nhập vào dịch vụ proxy Chẳng hạn, Telnet truy nhập qua cổng ứng dụng đòi hỏi hai bớc để nối với máy chủ bớc thơi Tuy nhiên, có số phần mềm client cho phép ứng dụng cổng ứng dụng suốt, cách cho phép user máy đích khơng phải cổng ứng dụng lệnh Telnet 1.3.3 Cổng vòng (circuit-Level Gateway) Cổng vòng chức đặc biệt thực cổng ứng dụng Cổng vòng đơn giản chuyển tiếp (relay) kết nối TCP mà không thực hành động xử lý hay lọc packet Hình minh hoạ hành động sử dụng nối telnet qua cổng vòng Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực kiểm tra, lọc hay điều khiển thủ tục Telnet nào.Cổng vòng làm việc sợi dây,sao chép byte kết nối bên (inside connection) kết nối bên (outside connection) Tuy nhiên, kết nối xuất từ hệ thống firewall, che dấu thơng tin mạng nội Hình 1.4: Circuit-Level Gateway Cổng vịng thường sử dụng cho kết nối ngoài, nơi mà quản trị mạng thật tin tưởng người dùng bên Ưu điểm lớn bastion host cấu hỗn hợp cung cấp Cổng ứng dụng cho kết nối đến, cổng vòng cho kết nối Điều làm cho hệ thống tường lửa dễ dàng sử dụng cho người mạng nội muốn trực tiếp truy nhập tới dịch vụ Internet, cung cấp chức tường lửa để bảo vệ mạng nội từ cơng bên ngồi 1.4 Phân loại Firewall Có ba loại tường lửa tùy theo: Truyền thông thực nút đơn mạng, hay số mạng Truyền thông chặn tầng mạng, hay tầng ứng dụng Tường lửa có theo dõi trạng thái truyền thơng hay không Phân loại theo phạm vi truyền trơng lọc, có loại sau: Tường lửa cá nhân hay tường lửa máy tính, ứng dụng phần mềm với chức thông thường lọc liệu vào máy tính đơn Tường lửa mạng, thường chạy thiết bị mạng hay máy tính chuyên dụng đặt ranh giới hai hay nhiều mạng khu phi quân (mạng trung gian nằm mạng nội mạng bên ngoài) Một tường lửa thuộc loại lọc tất truyền thông liệu vào mạng kết nối qua Loại tường lửa mạng tương ứng với ý nghĩa truyền thống thuật ngữ "tường lửa" ngành mạng máy tính Khi phân loại theo tầng giao thức nơi giao thơng liệu bị chặn, có ba loại tường lửa chính: Tường lửa tầng mạng Ví dụ iptables Tường lửa tầng ứng dụng Ví dụ TCP Wrappers Tường lửa ứng dụng Ví dụ: hạn chế dịch vụ ftp việc định cấu hình tệp /etc/ftpaccess Các loại tường lửa tầng mạng tường lửa tầng ứng dụng thường trùm lên nhau, tường lửa cá nhân không phục vụ mạng, số hệ thống đơn cài đặt chung hai Cuối cùng, phân loại theo tiêu chí tường lửa theo dõi trạng thái kết nối mạng hay quan tâm đến gói tin cách riêng rẽ, có hai loại tường lửa: Tường lửa có trạng thái (Stateful firewall) Tường lửa phi trạng thái (Stateless firewall) 10 Hình 3.16: Hồn tất bước cấu hình ban đầu Forefront TMG Giao diện Forefront TMG Hình 3.17: Giao diện Forefront TMG 3.3.3 Triển khai dịch vụ cho hệ thống Cấu hình Access Rules - Web Access Cấu hình Access rule cho phép truy cập internet Mặc định cài đặt tường lửa máy tính mạng lan khơng thể ngồi internet người quản trị cấu hình Access rule cho phép truy cập + Tạo Access rule: Nhấn chuột phải vào Firewall Policy chọn New-> Access Rule + Đặt tên cho rule vào mục Access rule name 53 + Thiết lập điều kiện cho rule Allow + Tùy chọn cấu hình Malware Inspection cho rule + Cấu hình source destination network cho rule + Thêm user áp dụng rule Hình 3.24: Cấu hình hồn tất, apply để lưu cấu hình Forefront - DNS Query Cấu hình thực cho phép mạng nội internet để thực phân giải tên miền: +Tạo Access rule: Nhấn chuột phải vào Firewall Policy chọn New-> Access Rule + Khai báo tên xác định hành động cho rule: Allow + Chọn giao thức DNS + Cấu hình source destination cho rule + Xác định user áp dụng rule Hình 3.30: Lưu cấu hình 54 - Malware Inspection Các bước cấu hình: Bật tính Malware Inspection TMG Cấu hình thực update engine signature cho việc ngăn chặn malware xâm nhập vào hệ thống + Cấu hình tự động update cho Malware Inspection + Tiến hành update chức Malware Inspection Cấu hình Malware Inspection cho Rule Access Internet Hình 3.34: Thực cấu hình mục Properties + Hộp thoại cấu hình Malware Inspection + Các tùy chọn nâng cao Malware Inspection với Rule Setting Kiểm tra Thực kiểm tra cấu hình Malware inspection với file virus mẫu download từ trang eicar.org: Trang eicar.org cung cấp mẫu virus thử nghiệm tường lửa Forefront chặn download file - HTTPs Inspection Các bước thực hiện: bật tính HTTPS Inspection: Cấu hình tính HTTPs Inspection Task Web Access Policy + Bật tính HTTPs Inspection 55 Cài đặt chứng nhận dạng mã độc Cài đặt chứng dùng để xác định mã độc cho HTTPS Inspection (click “Generate…” hộp thoại HTTPS Outboun Inspection tab Genral ) Hình 3.42: Cài đăt chứng + Lưu trữ chứng 56 Hình 3.44: Cài đặt chứng thành cơng + Triển khai chứng domain 57 Hình 3.46: Triển khai chứng chi domain mailan.net Hình 3.47: Triển khai chứng domain mailan.net thành công 58 Kiểm tra cấu hình Thực kiểm tra tính HTTPS vừa cấu hình với trang eicar.org + Download file từ eicar.org sử dụng giao thức bảo mật - Caching( Tăng tốc độ truy cập website) Các bước cấu hình: Bật tính web caching: Cấu hình Web Caching Web Access Policy Cấu hình dung lượng lưu trữ: Cấu hình dung lượng lưu trữ cho Web Caching Cấu hình cache rule Tạo Cache rule Cấu hình request detination cho cache Cấu hình lưu trữ đối tượng cache Cấu hình cache content Cấu hình Download Job Đặt tên cho job Lập lịch thời gian download Các tùy chọn download site Các tùy chọn Content Caching 59 Hình 3.61: Apply để lưu cấu hình cache Hình 6.62: Chọn lưu khởi động lại dịch vụ - URL Filtering Thực disable URL category tương ứng rule Access Internet 60 Hình 3.63: Add URL catergory cần disable vào mục Exceptions Hình 3.64: Network Objects Cấu hình thuộc tính cho đối tượng “Chat” vừa disable Trong mục URL Catalogy Override, chọn Add, nhập vào URL: vietfun.com/* lưu cấu hình vừa tạo 61 Hình 3.65: Cấu hình cấm chat trang vietfun.com - DMZ Join Domain Cấu hình Access Rule cho phép máy server vùng DMZ Join vào Domain Controllers (Internal) Các bước cấu hình: Tạo rule cấu hình cho phép giao thức: DNS, LDAP, LDAP (UDP, Global Catalog), UDP (Adm/Sec/CIFS), TCP (Sec/CIFS), NTP (UDP), RPC (All Interfaces), PING.Được lưu thông vùng Perimeter Internal để server vùng internal join vào domain thơng qua giao thức Tạo New Access Rule Đặt tên cho rule Chọn Allow mục rule action Thêm vào giao thức Xác định nguồn cho rule Perimeter Cấu hình chứng thực user 62 Hình 3.73: Các rule tạo Thực join server vùng perimeter vào domain mailan.net Hình 3.74: Các Client vùng Perimeter join Domain thành cơng Cấu hình Network Ispection System( NIS) Các bước cấu hình: - Bật tính NIS - Cấu hình NIS (Network Inspection System) Thêm dãy địa ip cần giám sát Đưa dãy địa ip vừa cấu hình vào Managerment Server Cho phépNIS phản ứng lại trước traffic bất thường 63 Hình 3.80: Lưu cấu hình vừa tạo - Giám sát NIS Thực giám sát NIS thông qua log and report Nhập địa IP cần giám sát Hình 3.84: Dữ liệu client cần giám sát ghi nhận NIS Cấu hình kết nối VPN site to site Các bước thực hiện: - Tạo user chứng thực hai chi nhánh< tạo user chứng thực AD cho chi nhánh: user A user H, với user cho phép kết nối> Tạo user A H 64 Cho phép user A H phép truy cập từ bên ngồi - Thực cấu hình kết nối VPN site to site Cấu hình kết nối VPN site Hà Nội< TMG> Tạo tài khoản A kết nối VPN tới site HCM< TMG1> Địa IP internal site HCM Hình 3.89: Phương thức kết nối VPN site 65 Hình 3.90: Phương thức mã hóa liệu truyền site Chúng ta làm tương tự với site HCM - Kiểm tra cấu hình Sau vào start/administrator tool/routing and remote access/ network interfaces connect interface A Hình 3.91: Kết site connect tới Cấu hình kết nối VPN client to site Cấu hình Intrusion Detection Bảo mật hệ điều hành với ForeFront Client Security Cấu hình ForeFront Unifiel Access Gateway 2010 Bảo mật máy chủ Exchange Cấu hình IDS Redundancy( Load Balancing) 66 Thực Backup Restore Phần Tổng kết 1.1 Kết đạt 1.2 Ưu nhược điểm hệ thống 1.3 Hướng phát triển Danh mục tham khảo 67