Trang 47 Triển khai ISA Server Firewall 2004 Chương 6: Cài đặt và cấu hình DNS Server với chức năng Caching-only trên Perimeter Network Segment DNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi các Computers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voice over IP ), luôn cần phải biết IP address của các Internet Server trước khi có thể connect đến những Server này. Toàn bộ hệ thống Internet, sử dụng giao thức TCP/IP (và UDP/IP), cho nên việc xác định IP address là điều bắt buộc khi thực hiện giao tiếp giữa Clients với các Internet Server. Tuy nhiên thói quen của người dùng Internet khi truy cập đến các Internet Server là dùng tên (có lẽ vì dễ nhớ hơn so với IP address), ví dụ http:// www.nis.com.vn (dễ nhớ) http:// 207.46.225.60 (khó nhớ) cho nên hệ thống Internet vốn dùng TCP/IP, bắt buộc phải có DNS để giải quyết Hostname ra IP address. Một caching-only DNS server là một loại DNS không cần phải được sự ủy quyền hoạt động (not authoritative )của bất cứ Internal Domain. Điều này có nghĩa là một caching-only DNS server không nhất thiết phải chứa bất cứ name records của một hay nhiều Domain cố định nào. Thay vào đó cách hoạt động c ủa nó là: Nhận các truy vấn tên từ DNS clients, giải quyết yêu cầu này cho DNS Clients, lưu giữ lại kết quả vừa trả lời trong cache (nhằm phục vụ đối tương Clients tiếp theo). Khá đơn giản, các DNS Admin không phải cấu hình phức tạp cho loại DNS này, không cần phải tạo ra bất kì Forward hay Reverse lookup Zones, để phục vụ cho nhu cầu tìm tên của các Clients trong Internal Domain, như chúng ta đã thực hiện ở phần trước với Internal Domain DNS server (được cài trên Domain controller- 10.0.0.2) S ử dụng một caching-only DNS server là điều không bắt buộc. Nhưng nếu khi triển khai ISA SERVER 2004 Firewall, lên kế hoạch tạo một perimeter network segment (hay còn được goi là DMZ- demilitarized zone), nên tuân theo các hướng dẫn sau Trang 48 Triển khai ISA Server Firewall 2004 Mô tả về Perimeter Network: Trong mô hình Lab của chúng ta, như các bạn đã thấy trên hình về một Perimeter Network (hay DMZ Network- vùng phi quân sự, khái niệm này ra đời từ cuộc chiến Nam, Bắc Triều Tiên). Trong hệ thống Mạng của một tổ chức, ví dụ như các ISP (Internet Servies Provider). Khi triển khai cung cấp các dịch vụ cho khách hàng, như Web Hosting, Mail thường đặt các Servers cung cấp các dịch vụ này tại DMZ network, phân vùng Mạng này tách biệt với Internal Network (Mạng làm việc của các nhân viên và chứa các tài nguyên nội b ộ). Mô hình Mạng trong Lab này, ISA SERVER 2004 Firewall (ISALOCAL), là một hệ thống Tree-homed Host (gắn 3 Network Interface Cards) Network Interface 1 (WAN): Tạo kết nối ra Internet Network Interface 2 (DMZ): Tạo kết nối đến DMZ network Network Interface 3: (LAN)Tạo kết nối đến Internal network Như vậy thông thường các tổ chức triển khai DMZ network (nằm phía sau Firewall), nhằm cung cấp cho các External clients (như khách hàng, người dùng Internet, đối tác ) truy cập đến các tài nguyên công cộng của mình (Web, FTP publish resourses…). Nếu DMZ network bị tấn công, attackers cũng chưa thể xâm nhập ngay vào Internal Network (LAN bên trong), vì Attacker cầ n phải tiếp tục chọc thủng Firewall. Đến đây, có lẽ các bạn cũng đã hình dung phần nào về DMZ network. Các DNS servers được sử dụng trong DMZ network có hai mục đích chính: Trang 49 Triển khai ISA Server Firewall 2004 • Giải quyết các truy vấn tên cho các DNS Clients trong Domain dưới sự kiểm soát và ủy quyền của Domain • Caching-only DNS services phục vụ cho các Internal network clients, hoặc nếu không giải quyết được các yêu cầu truy vấn tên, nó có thể chuyển (forwarder) đến các DNS servers khác của Internal network Một DNS server tại DMZ network, có thể chứa những thông tin phục vụ cho publish domain (Internet Domain, được đăng kí thông qua những nhà cung cấp tên miền Internet). Ví dụ, nếu đã xây dựng hạ tầng DNS, tách biệt nhóm DNS server chuyên trả lời các yêu cầ u truy vấn tên của domain nội bộ (Internal Hostname) cho Internal DNS Clients, thì nên đặt các DNS server này trong Internal Network. Nhóm các DNS server còn lại, phục vụ cho yêu cầu truy vấn tên xuất phát từ External Clients (ví dụ các Internet Clients) có thể được đặt trên DMZ network Khi các Internet Clients này cần truy cập các DMZ servers (Web, FTP, SMTP., các server này được đưa ra phục vụ Internet thông qua ISA SERVER 2004 Firewall .), các DNS server trên DMZ network sẽ phục vụ cho những yêu cầu này. DNS server trên DMZ network cũng có thể hoạt động như một caching-only DNS server. Trong vai trò này, DNS server sẽ không chứa thông tin về name recor. Thay vào đó, caching-only DNS server sẽ giải quyết các yếu cầu tìm Internet host names và chỉ lưu giữ lại (cache) các kết quả này. Sau đó có thể sử dụng cache, để trả lời các yêu cầu tương tự cho các Internet hostname đã cache. Nếu chưa cache bất cứ Internet hostname nào, cahing-only DNS server sẽ chuyển các yêu cầu này (Forwarder) đến các Internet DNS server (ví dụ các DNS của ISA gần nhất), sau khi nhận được kết quả truy vấn, sẽ cache lại và trả lời cho DNS Clients Trong phần này, chúng ta sẽ thực hiện • Cài đặt DNS server service • Cấu hình DNS server trở thành một caching-only DNS server an toàn (secure caching-only DNS server) Cài đặt DNS Server Service trên DMZ network DNS server này, sẽ có hai vai trò: Là một secure caching-only DNS server và chuyển các yêu cầu truy cập từ bên ngoài (của Internet Clients) đến Web, SMTP server Tiến hành các bước sau để cài một DNS server service trên DMZ network (trên server TRIHOMELAN1) 1. Click Start, Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, keo xuống danh sách Components, chọn Networking Services. Click Details. 4. Trong Networking Services dialog box, check vào Domain Name System (DNS) check box và click OK. Trang 50 Triển khai ISA Server Firewall 2004 5. Click Next trên Windows Components page. 6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưa đường dẫn đến Folder i386 trong Copy files from text box và click OK. 7. Click Finish trên Completing the Windows Components Wizard page. Bước tiếp theo, cấu hình DNS server trở thành một secure caching-only DNS server. DNS server trên DMZ network sẽ tiếp xúc trực tiếp với các Internet hosts. Những Hosts này có thể là các Internet DNS clients có nhu cầu truy cập các tài nguyên của chúng ta (Web, Mail, FTP server ),nằm trong DMZ network, như vậy Internet DNS clients phải gửi các yêu cầu này đến DNS server trên DMZ network. Hoặc trường hợp ngược lại là DNS server trên DMZ network của chúng ta sẽ tiếp xúc DNS servers của các tổ chức khác trên Internet (ví dụ như ISP DNS), để phục vụ giải quyết hostname cho các Internal network clients có nhu cầu truy cập ra ngoài Internet. Trong ví dụ này, DNS server của DMZ network, sẽ đóng vai trò một caching-only DNS server và không quản lý các name records của các Publish Server trong Internal Domain Tiến hành các bước sau trên DNS server thuộc DMZ network, để trở thành một secure caching-only DNS server: 1. Click Start, Administrative Tools. Click DNS. 2. Trong DNS management console, right click trên server name, click Properties. 3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xuất hiện các DNS server ở cấp cao (root) của hệ thống Internet DNS. Danh sách Name Servers tại Root Hints này, được caching-only DNS server của chúng ta, sử dụng để giải quyết các truy vấn tên (Internet Hostnames) từ DNS Clients. Nếu không tồn tại danh sách Trang 51 Triển khai ISA Server Firewall 2004 các Name Servers này trong Root Hints, caching-only DNS server sẽ không thể giải quyết hostname của các Computer trên Internet. 4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion for this domain check box. Nếu check vào lựa chọn này, caching-only DNS server sẽ không dùng được các Internet DNS Servers trong danh sách của Root Hints cho việc giải quyết Internet host names. Chỉ chọn nó, nếu bạn quyế định dùng chức năng Forwarder. Trong trường hợp này, chúng ta không dùng Forwarder. Trang 52 Triển khai ISA Server Firewall 2004 5. Click Advanced tab. Xác nhận, đã check vào Secure cache against pollution check box. Điều này giúp ngăn chặn các cuộc tấn công từ Attackers hoặc các Internet DNS servers. Các name records mạo nhận (ý đồ của attackers), có thể được ADD vào DNS cache của chúng ta, và điều đó khiến cho các truy vấn từ Internal DNS Clients đến caching-only DNS server sẽ được dẫn đến những Server “bẫy”. Ví dụ DNS Clients type http://www.vnbank.com.vn (IP address A.B.C.D) sẽ bị dẫn đến một Host giả có IP address là X.Y.Z.K do ý đồ của attackers, và những thông tin giao dịch với Host giả này, có thể bị ghi lại và sử dụng bất hợp pháp. Kiểu tấn công này đôi khi còn được gọi là “co-coordinated DNS attack” Trang 53 Triển khai ISA Server Firewall 2004 6. Click Monitoring tab. Check vào A simple query against this DNS server và A recursive query to other DNS servers check boxes, để thực hiện kiểm tra DNS server. Click Test Now. Chú ý kết quả hiện ra trong khung results cho thấy Simple Query chỉ Pass, trong khi Recursive Query trình bày Fail. Chúng ta nhận được kết quả này là vì chưa tạo Access Rule trên ISA SERVER 2004 Firewall để cho phép caching-only DNS server truy cập Internet DNS servers. Sau này khi cấu hình ISA Server 2004 firewall, sẽ tạo một Access Rule cho phép DNS server gửi yêu cầu (outbound access) đến các DNS servers trên Internet. Trang 54 Triển khai ISA Server Firewall 2004 7. Click Apply và click OK trong DNS server’s Properties dialog box. 8. Đóng DNS management console. Tại thời điểm này, caching-only DNS server của chúng ta đã có thể giải quyết Internet host names. Nhưng sau đó, chúng ta sẽ phải tạo thêm Access Rules để cho phép các Internal network Clients dùng DNS Server này để giải quyết các Internet host names. Các Admin xem xét kĩ ý này, để tránh nhầm lẫn. Kết luận: Trong chương này, đã đề cập đến việc sử dụng một cachingonly DNS server tại DMZ network, cách thức cài đặt và cấu hình Microsoft DNS server service. Trong các ph ần sau, chúng ta sẽ sử dụng Access Policies trên ISA SERVER 2004 để cho phép các Internal network Clients dùng DNS server này và cho phép caching-only DNS server kết nối đến Internet. Trang 55 Triển khai ISA Server Firewall 2004 Chương 7: Cài đặt ISA SERVER 2004 trên Windows Server 2003 Cài Đặt ISA Server 2004 trên Windows Server 2003 thực sự không quá phức tạp (phức tạp nằm sẽ ở phần cấu hình các thông số). Chỉ có một vài yêu cầu cần xác nhận tại quá trình này. Phần cấu hình quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng địa chỉ IP nội bộ- Internal network IP address range(s). Không giống như ISA Server 2000, ISA Server 2004 không sử dụng bảng Local Address Table (LAT) để xác định đâu là Mạng đáng tin cậy (trusted Networks), và đâu là Mạng không được tin cậ y (untrusted networks). Thay vào đó, ISA Server 2004 firewall các IP addresses nội bộ được xác nhận bên dưới Internal network. Internal network nhằm xác định khu vực có các Network Servers và các Services quan trọng như: Active Directory domain controllers, DNS, WINS, RADIUS, DHCP, các trạm quản lý Firewall , etc Tất cả các giao tiếp giữa Internal network và ISA Server 2004 firewall được điều khiển bởi các chính sách của Firewall (firewall’s System Policy). System Policy là một tập hợp các nguyên tắc truy cập được xác định trước (pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phép vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài đặt. System Policy có thể cấu hình, cho phép các Security Admin, thắt chặt hoặc nớ i lõng từ các Access Rules mặc định của System Policy Trong phần này, chúng ta sẽ đế cập đến các vấn đề sau: • Cài đặt ISA Server 2004 trên Windows Server 2003 • Xem lại các chính sách hệ thống mặc định trên ISA SERVER 2004 Firewall (Default System Policy) Installing ISA Server 2004 Cài đặt ISA Server 2004 trên Windows Server 2003 là vấn đề tương đối không phức tạp. Như tôi đã đề cập ở phần trên , sự quan tâm chính nằm ở các xác lập về Internal network (những IP addresses nào sẽ được xác định tại phần này). Cấu hình các địa chỉ cuả Internal network là m ột phần quan trọng, bởi vì chính sách hệ thống của Firewall (firewall’s System Policy ) sẽ căn cứ và đây để định nghĩa các nguyên tắc truy cập- Access Rules Tiến hành các bước sau để cài đặt ISA Server 2004 software trên dual-homed (máy gắn hai Network Cards) Windows Server 2003 Computer: 1. Chèn ISA Server 2004 CD-ROM vào ổ CD. Autorun menu sẽ xuất hiện 2. Trên Microsoft Internet Security and Acceleration Server 2004 page, click liên kết Review Release Notes và xem những lưu ý về cài đặt sản phẩm. Release Notes chứa những thông tin quan trọng về các chọn lựa cấu hình, và một số vấn đề khác. Đọc xong release notes, đóng cửa sổ lại và click Read Setup and Feature Guide link. Không cần phải đọc toàn bộ hướng dẫn nếu như bạn muốn thế, cũng có thể in ra để đọc sau. Đóng Setup and Feature Guide. Click Install ISA Server 2004 link. 3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page. 4. Chọn I accept the terms in the license agreement trên License Agreement page. Click Next. Trang 56 Triển khai ISA Server Firewall 2004 5. Trên Customer Information page, điền Tên và Tên tổ chức của bạn trong User Name và Organization text boxes. Điền tiếp Product Serial Number. Click Next. 6. Trên Setup Type page, chọn Custom option. Nếu bạn không muốn cài đặt ISA Server 2004 software trên C: drive, click Change để thay đổi vị trí cài đặt chương trình trên đĩa cứng. Click Next. 7. Trên Custom Setup page, bạn có thể lựa chọn những thành phần cài đặt. Mặc định thì, Firewall Services và ISA Server Management sẽ được cài đặt. Còn Message Screener, được sử dụng giúp ngăn chặn thư rác (spam) và các file đính kèm (file attachments) khi chúng được đưa vào Mạng hoặc từ bên trong phân phối ra ngoài, thành phần này theo mặc định không được cài đặt. Thành phần tiếp theo cũng không được cài đặt là Firewall Client Installation Share. Bạn cũng nên lưu ý, cần cài đặt IIS 6.0 SMTP service trên ISA Server 2004 firewall computer tr ước khi bạn cài Message Screener. Dùng xác lập mặc định để tiếp tục và click Next. [...]... Trang 65 Triển khai ISA Server Firewall 2004 Trang 66 Triển khai ISA Server Firewall 2004 Trang 67 Triển khai ISA Server Firewall 2004 Chú thích: 1 Policy này bị disabled cho đến khi VPN Server component được kích hoạtactivated 2 Hai Policy này bị disabled cho đến khi một kết nối VPN dạng site to site xác lập 3 Policy này bị disabled cho đến khi chính sách thẩm định kết nối dùng HTTP/HTTPS được cấu hình. .. Microsoft ISA Server và click ISA Server Management 2 Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server node và click vào Firewall Policy node Right click trên Firewall Policy node, trở đến View và click Show System Policy Rules Trang 62 Triển khai ISA Server Firewall 2004 3 Click Show/Hide Console Tree và click Open/Close Task Pane Nhận được thông báo rằng ISA. .. Trang 61 Triển khai ISA Server Firewall 2004 Theo mặc định, ISA Server 2004 không cho phép các truy cập ra ngoài Internet (outbound access), từ bất cứ máy nào nằm trong phạm vi kiểm soát của bất cứ Mạng được bảo vệ (protected network), và cũng không cho phép các Computers trên Internet truy cập đến Firewall hoặc bất kì Networks đã được bảo vệ bởi Firewall Như vậy sau khi triển khai ISA SERVER 2004 Firewall, ... (inbound) qua Firewall Tuy nhiên, trước khi khởi hành tạo các chính sách truy cập- Access Policies, các Security Admin nên back-up lại cấu hình mặc định của ISA SERVER 2004 firewall Điều này cho phép bạn phục hồi ISA Server 2004 firewall về trạng thái ban đầu sau cài đặt Điều này là cần thiết cho các các cuộc kiểm tra và khắc phục các sự cố trong tương lai Trang 68 Triển khai ISA Server Firewall 2004 Tiến... Chúng ta nhận thấy có một trong số các System Policy Rules cho phép Firewall thực hiện các truy vấn tên- DNS queries, đến các DNS servers trên tất cả các Networks Trang 63 Triển khai ISA Server Firewall 2004 4 Bạn có thể thay đổi các xác lập trên một System Policy Rule bằng cách doubleclick trên rule Trang 64 Triển khai ISA Server Firewall 2004 5 Xem lại System Policy Rules và sau đó giấu nó bằng cách click... cả khi dùng Windows 2000/Windows XP/Windows Server 20 03 nhưng đang chạy Firewall Clients là ISA Server 2000 Firewall client Click Next Trang 60 Triển khai ISA Server Firewall 2004 15 Trên Services page, click Next 16 Click Install trên Ready to Install the Program page 17 Trên Installation Wizard Completed page, click Finish 18 Click Yes trong Microsoft ISA Server dialog box xác nhận rằng Computer phải... Trang 59 Triển khai ISA Server Firewall 2004 13 Click Next trên Internal Network page 14 Trên Firewall Client Connection Settings page, check vào Allow nonencrypted Firewall client connections và Allow Firewall clients running earlier versions of the Firewall client software to connect to ISA Server checkboxes Những xác lập này sẽ cho phép chúng ta kết nối đến ISA Server 2004 firewall khi đang sử dụng những... cấu hình 4 Policy này bị disabled cho đến khi SecureID filter được enabled 5 Policy này phải được enabled thủ công 6 Policy này bị disabled theo mặc định 7 Policy này bị disabled theo mặc định 8 Policy này tự động được enabled khi Firewall client share được cài đặt 9 Policy này bị disabled theo mặc định Tại thời điểm này, ISA Server 2004 firewall đã sẵn sàng cho các Admin cấu hình các truy cập ra ngoài... hơn LAT (được sử dụng trong ISA Server 2000) Khi cài đặt ISA Server 2004, thì Internal network sẽ chứa các Network services được tin cậy và ISA Server 2004 firewall phải giao tiếp được với những Services này Ví dụ những dịch vụ như Active Directory domain controllers, DNS, DHCP, terminal services client management workstations, và các dịch vụ khác, thì chính sách hệ thống của Firewall sẽ tự động nhận... Triển khai ISA Server Firewall 2004 do không check vào add private address ranges checkbox là bởi vì, chúng ta muốn dùng những vùng địa chỉ này cho DMZ ( perimeter networks) Click OK 11 Click OK trong Setup Message dialog box xác nhận rằng Internal network đã được định nghĩa hoạt độn dựa trên Windows routing table 12 Click OK trên Internal network address ranges dialog box Trang 59 Triển khai ISA Server . Rule trên ISA SERVER 2004 Firewall để cho phép caching-only DNS server truy cập Internet DNS servers. Sau này khi cấu hình ISA Server 2004 firewall, sẽ tạo một Access Rule cho phép DNS server. DNS server này và cho phép caching-only DNS server kết nối đến Internet. Trang 55 Triển khai ISA Server Firewall 2004 Chương 7: Cài đặt ISA SERVER 2004 trên Windows Server 20 03. Windows 2000/Windows XP/Windows Server 20 03 nhưng đang chạy Firewall Clients là ISA Server 2000 Firewall client. Click Next. Trang 61 Triển khai ISA Server Firewall 2004 15. Trên Services