Lab723DC1 IP: 192.168.123.235(235-254: IP danh cho Server) Domain: lab723-plus.com Cai DHCP Thiet lap card mang: Local Only Chay Sysprep tren may ISA (Support\Tools\Deploy.cab, copy toan bo file trong thu muc Deploy.cab sang o C:\foder\ ) May ISA chay 2 Cardmang Ten may ISA: lab709ISA1 ISA SERVER IP: 192.168.123.254 Ten mang ngoai: External IP:192.168.1.123 Ten mang ben trong: Internal Fix IP tinh cho Card Internal May Client IP dong Cau hinh bao ve ISA: Doi voi card mang External:bo lua chon Cient for Microsoft Network va File and Printer sharing Trong phan thuoc tinh advance TCP/IP: trong phan DNS , Clear register connection Trong phan WINS: Disable bios over TCP va disable lmhost lookup Cau hinh GPO, tao OU ISA SerVer trong A.D Chuyen tai khoan Computer Account cua may ISA sang OU IsaServer Ap dung group Policy cho OU IsaServer Cau hinh bao mat: Computer Configuration > Windows Settings > Security Settings Copy file EC-MemberServer Baseline.inf Cach dung security Template: Import Security Template Computer Configuration > Windows Settings >Security Settings , chuot phai > Import Policy Computer Configuration > Windows Settings > System Services > Remote Access Connection manager > Define > Manual Routing and Remote Access > Define > Manual Telephony > Define > Manual Secondary Logon > Define > Automatic Cong cu quan tri : Remote Management + Remote Desktop + MMC > ISA SERVER MANAGEMANT Click chuot phai FireWall Policy >Edit System Policy > Terminal Server > Chon Tab From > Chon Remote Management Computers > Edit > Chon ten, subnet, IP cho phep Remote Management (Ap dung trong truong hop Firewall Rule ko cho phep bat cu giao thuc nao tu Internal, External to Localhost _ _ _ _ _ _ _ _ Cai ISA tren may Client,chon ISA SERVER MANAGEMENT.(Quan tri ISA Server tu may Client). Sau khi cai xong, muon quan tri dc ISA Server, mo ISA server tu may client, menu Action > Connect to > Another COmputer(Chon isa server muon quan tri), va Connect using other users credentials. Lua chon nhom, user quan tri ISA: Chuot phai ISASERVER > Administration Delegation Cau hinh ISA FIREWALL CLIENT tren may chu ISA, chon network > Internal > properties > Firewall client > chon Enable Firewall Client , uncheck Automatic detect settings va use automatic configuration scripts va Use webproxy server. Configuration >network > Internal > properties > Web Proxy -> Authentication > Maximum Connection va timed out (Maximum connection cung phu thuoc vao license Windows) Tao web chaining: Xu ly chuoi ( tu may isa van phong ket noi toi cac may isa home office) Configuration >network > Internal > New Web chaining Rule > Rule Name > Destination > External > click Redirect Request to Specified upstream server > ISA SERVER NAME(home office) > Retrieve requests directly from the specified Destination ( hoac cac lua chon khac) Tao Access Rule: - protocols - Users Set - Content Types ( avi, mp3 ) - Schedules - Domain name Set ( co tac dung voi tat ca protocol http, ftp ) - URL ( Chi ap dung voi http) - Protocols: https: Outbout https Server: Inbout Dang sau co duoi "server": giao thuc Inbout ( cho phep external to Internal) Tao Rule dau tien: DNS lookup Policy, Protocol "DNS" From: SERVER , To: External (1) Managers Access Policy, All Protocol.(2) Tao All Staff Policy, Protocol: http, https. From: Internal, To: External(3) ( Chu y thu tu cua rule) Tao new role không cho phép all users download các file Audio, video, Application, power point Nhưng các domain admin được phép download các file application Và Managers được phép download các file PowerPoint Cách làm: - Đầu tiên tạo ra các content types: Audio, video, application, PowerPoint - Tạo ra User Set: Domain Admin và Managers - Tạo ra Rule Access - Protocol: all trafics - Lưu ý cuối cùng là thứ tự sắp xếp các Rule - Tao new Rule: Deny All Users download Policy - Access Action: Deny - Source: Internal - Destination: External - Protocol: all - User: all user - “Deny All users download Policy” -> Properties -> Content Types -> Select Content Types - Note: “Deny All users download Policy” -> Properties -> Users -> Chon Exception. Add User( loại trừ users ko bị ảnh hưởng bởi những rule đã tạo – được phép thực hiện tất cả các hạn chế mà rule đã tạo). - Tao rule cho nhóm Managers: Rule name: “Allow Managers Download Policy”, Protocol: all, Source: Internal, Destination: External, User: Managers, Content Types: Select Content Types( PowerPoint Content Types). - Tao Rule cho Domain Admins: Rule name: “Allow Domain Admins Download Policy”… Bổ sung: - Tạo thêm Rule: users chỉ cho phép truy cập Internet ngoài giờ làm việc (12h-2h), - Domain Admins được truy cập vào Website của Microsoft trong giờ làm việc. - Managers được phép truy cập Internet (Không giới hạn thời gian). Cách làm: - Tao new Schedule : Overtime - > 12 – 2h - Thay đổi schedule bằng Overtime trong All Staff Policy - Tao New Rule:Domain Admins, Protocol:All, From:Internal, To: Domain Name Set  Microsoft Domain  và Schedule “Working time” 8h-12h, 2h-6h. Friday 5 th Oct 2007 Máy chủ DC ko thể connect vào Internet vì máy chủ DC hỗ trợ Secure Nat Client , chỉ hỗ trợ all user trong khi đó máy chủ ISA tạo các rule hỗ hỗ trợ All Authenticate Users.( Firewall Client hỗ trợ All Authentication). - Tạo DC Access Policy o Source: DC Computer o Protocol: http, https o Action: allow o User set: all users o Muốn thực hiện được, move DC Access Policy rule lên hàng thứ 2, sau chính sách DNS. Triển khai lưu đệm (Caching) Nhược điểm caching: lưu được kết quả cũ Caching: Cache Rule, Content download Job Lưu Cache tối đa 1 file .cdat là 64GB Cấu hình lưu Cache: Configuration Cache  Define Cache Drivers …. And Restart ISA SERVICES. Cấu hình caching: right panel  Configure Cache Settings. Cách xem thông tin Cache: Right Panel  Configure Web Proxy  Cache Information  Apply Right Click  Add Remove Columns  Add  Move up Open Performance Console from Start  All Program  Administrative Tools  Performance. Click Delete Key  Click Add (+)  Click ISA SERVER CACHE  Click All  Add . Click View Report ( Ctrl R) để dễ nhìn. Start Logging in monitoring tool Xóa Cache trên máy Client: Internet properties  Advanced  Security  check Empty Temporary Internet file…. Để kiểm tra lưu cache Yếu điểm: Lưu cache cũ. Tạo ra 1 Cache Rule: - Tao Aprotrain Site Cache Rule, Destination: Tạo 1 url set : www.aprotrain.edu, - Content Retrieval: click lựa chọn thứ nhất - Cache content: - Sau đó chay file delete.vbs để xóa file cache hiện tại trên máy chủ ISA để update thông tin mới. Cách xem nội dung trong cache: - Giải nén phần mềm CacheDirPack vào folder C:\program file\ Microsoft Isaserver\ - Chạy file CacheDir.exe Muốn xem đc Cache, Restart Microsoft Firewall Services. Click CacheDir.exe để xem nội dung cache. Bài tập: - Cache Rule Microsoft URL ( URL SET)  Chỉ Cache với HTTP(Ko cache FTP) Cách làm: Right Panel  Create Cache Rule Tạo Cache Rule “Microsoft Site Cache Rule”  Cache Destination  Click Add  Microsoft URL trong Url Set  Content Retrival: Chon lựa chọn defaul ( lựa chọn thứ nhất)  Chọn “If source and request header indicate to cache”  Cache SSL (https) (nếu muốn cache được các trang https thì check vào box này), ‘Don not cache objects larger than …’ box này là thông số ko lưu cache với những object lơn hơn….  HTTP CACHING: Click “enable http caching”  FTP CACHING: DISABLE  Apply Content download job - Schedule: daily, weekly… and content download and thời gian lưu Cache nội dung tải về. Để tạo được Content download job: Chon tab Content download job bên cạnh Cache Rule Tab - Local host listen request từ Web Proxy - System Policy: Firewall Policy Right click  Edit System policy  Various  Schedule download - Configuration  Localhost  Right Click  Properties  Web Proxy Trong Content download Job  Right Panel  Schedule a Content Download Job  Yes thì ISA sẽ tự cấu hình local host và system policy cho chúng ta. Cách tạo Content Download Job - Configuration  Cache  Right Click  New Content download job . - Sau đó cấu hình theo ý muốn. Dept of link per page: số lượng các mục con VD: abc.com : mức 1 Abc.com/thethao/ mức 2 Maximum number concurrent TCP IP connection to create for this job: Số lượng kết nối đến server để download content ( Tương đương như IDM ). Phát hiện xâm nhập Để cấu hình ISA Server như một firewall: - Xác đinh cấu hình mạng vành đai (parimeter) - Cấu hình các mạng và luật quan hệ mạng. - Cấu hình phát hiện xung đột ( Intstrucsion detection ). - Cấu hình các luật truy cập. - Cấu hình các luật xuất bản máy chủ và web. * Add hai dải địa chỉ mạng trên 1 card mạng: Click local area connection  Internet Protocol  Advanced  IP settings  Add * Tạo thêm 1 card mạng, dải IP riêng và tạo ra các rule nhất định để hạn chế. Tao “network”: - Right Click network  New Network  đặt tên là Parimeter Network  add dải IP 172.16.0.1 –255 , Tạo network rule: Right Click network  New Network Rule - Tạo mới : Parimeter to External Network Rule ,From:Parimeter, Destination: External, Network Relationship: NAT ( 1 chiều ). - Tạo mới : Internal to Parimater Network Rule, From:Internal, Destination: Parimeter,Network Relationship: Route ( 2 chiều ). o Thay vì cấu hình nhiều bước như trên ta có thể sử dụng các “TEMPLATES” ( Right Panel ). Monday, October 15, 2007 Phát hiện xâm nhậo và tối ưu IP Configuration  General Additional Security Policy  Enable Intrusion Detection and DNS Attack Detection Well Know Port: 0 – 2048 Muốn xem cảnh báo : Monitoring  Center Panel  Alerts Triển khai bộ lọc ứng dụng và bộ lọc web Firewall  Rule  Right Click  Configure HTTP Lọc theo Method ( Post, Get), “Extension” : có thể block bất cứ extension nào. Ví dụ như .exe ( http://abc/data/a.exe). Wed, 17 Oct 2007 Chặn Application bằng ISA (Yahoo ) Firewall  Rule  Right Click  Configure HTTP  Signature Name: Description: Search in: HTTP header: Signature: Thực hành: Dùng filter chặn website Mở máy Client Mở IE, gõ 1 địa chỉ ko tồn tại. VD như: microsoft.com/abc/ Trên thanh tiêu đề sẽ hiện ra “We’re …) Mở IE thứ 2, gõ vào mã Unicode : microsoft.com/%252e Trên thanh tiêu đề sẽ hiện ra “We’re …) Mở IE thứ 3, gõ microsoft.com/scripts/root.exe?/dir+c Trên thanh tiêu đề sẽ hiện ra “We’re …) Thực hiện: Mở máy chủ ISA Firewall  Rule  Right Click  Configure HTTP General tab  URL Protection  Check Verify Normalization (/%252e) Extention tab  Trong muc Specify the action taken for the extensions chọn “Block specified extensions (allow all others) ”  Add Extensions “.exe” Signature  Add  Name : block abc  Search in: Request URL  Signature: abc. Chặn Yahoo Mở Client, run yahoo. Mặc định Yahoo sẽ ko ra được Internet, nhưng nếu Yahoo chay Proxy thì vẫn vào được Internet. VD: proxy server name: yahoo.com, port: 80. ( tùy chọn, ko bắt buộc phải một IP, Server cố định). Firewall  Rule  Right Click  Configure HTTP  Signature Name: Block YM Description: Search in: Request headers HTTP header: Host: Signature: msg.yahoo.com Public Web Tạo DNS: tạo Primary Zone lab723.com • New host: www với địa chỉ IP 192.168.123.235 • New host: ftp với địa chỉ IP 192.168.123.235 • New host: secure với địa chỉ IP 192.168.123.235 Cài Ftp Services Toolbox  Network Objects  Web listener  Name : http listener , network: External . * Trong Web server publishing Rule Public name details: Accepts request for: This Domain name: Tên miền mà ISA Server cho phép External truy cập site chỉ khi gõ đúng tên domain mà ISA public. Any Domain: bất kỳ domain nào. Và chọn tên máy muốn Public. Vì vậy, muốn public 1 trang web từ máy tính: - Web Publishing Rule  Properties  “To” tab  Check “Request appear to come from the original client” Mục đích: lưu lại trong log file những thông tin như IP, giờ , ngày… có ích trong giám sát mạng, phòng chống hacking.  “Enable logging”  Properties  Log file directory … (đườn dẫn lưu log file) - In “To” tab  check “Forward the original host header instead of the actual one (Specified above). Virtual Directory and Path Mapping Virtual Directory - Tạo folder “Virtual Directory” - Trong folder “Virtual Directory” tạo 2 folder Human Resource và OnlineStore - IIS Manager  Website  lab723.com  New Virtual Directory  Alias: Human Resource  Path: ….  Permission: Read & Run Script - Tương tự với OnlineStore ( http://lab723.com/OnlineStore/ ) Path Mapping Firewall  Web Server Publishing Rule  Properties  “Paths” tab  Add  Specify … blank: /OnlineStore/*  External Path: Check “the following folder” : /shop/*  http:.//www.lab723.com/shop/ = http:.//www.lab723.com/OnlineStore/ Mục đích của Path Mapping: Public 1 phần trang web ra Internet ( Khi path mapping không thể truy cập được trang chủ, chỉ một phần của trang web ). [...]... and remote Access  Restart Internet Authentication Services  Secure Site Access Policy  lưa chon group (window group) để cho phép hoăc ko cho phép Kiểm tra lại: quay lại ISA  Configure VPN Client  Groups - Group bị mờ vì sử dụng Radius chứng thực Site to Site (lab711   lab723) AD  Company  New User  lab711  … Properties  Dial In tab  Allow Access ISA  VNP  Remote Site” tab  Add Remote. .. Firewall  Edit System Policy  Authentication Services  RADIUS  Enable  Trên máy DC1  Internet Authentication Services  Remote Access Policy  New  Chon Setup Customer Setting  Policy name: “Secure Site Access Policy”  Policy Condition : Add Windows Group  Chon “Grant remote access permission”  Edit profile  “Authentication” tab  Chọn “Unencryped authentication(PAP,SPAP”)  Next  Finish... “lab711”  Protocol: PPTP  IP máy server cần kết nối VPN (192.168.1.111)  User & Pass là user và pass lab711 tạo cho để sử dụng VPN  Network Range: dải IP mạng của remote site (192.168.111.0 – 192.168.111.255)  Apply Routing and Remote Access  Network Interface  lab711(Demand Dial) Right Click  Connect Tạo Network Rule between Internal and lab711 Network  New Network Rule  Rule Name: “Connect . tri : Remote Management + Remote Desktop + MMC > ISA SERVER MANAGEMANT Click chuot phai FireWall Policy >Edit System Policy > Terminal Server > Chon Tab From > Chon Remote Management. phep Remote Management (Ap dung trong truong hop Firewall Rule ko cho phep bat cu giao thuc nao tu Internal, External to Localhost _ _ _ _ _ _ _ _ Cai ISA tren may Client,chon ISA SERVER MANAGEMENT. (Quan. Configuration > Windows Settings > System Services > Remote Access Connection manager > Define > Manual Routing and Remote Access > Define > Manual Telephony > Define