báo cáo đề tài isa (internet security accerleration)

• Khi các internet client khác truy cập vào internal web server,nếu nội dung có sẵn trong cache thì proxy server sẽ lấy ra mà không cần phải truy cập web server nữa... Cơ chế forward ca

Báo cáo đề tài ISA

(internet security accerleration)

Thành viên :

Phạm Minh Lộc Nguyễn Ngọc Cương

Đỗ Hồng Phúc Đào Văn Tú

Nội Dung Báo Cáo I.Introduction ISA

I Introduction ISA

• ISA là một sản phẩm tường lửa (firewall) của Microsoft được người sử dụng

hiện nay rất ưa chuộng nhờ khả năng bảo vệ hệ thống mạnh mẽ cùng cơ chế quản lý linh hoạt

• ISA có 2 phiên bản chính là standard và enterprise

• Xây dựng các dùng DMZ riêng biệt cho các máy server của công ty (Web,Mail… )

• Ngoài ra còn có hệ thống đệm(caching) giúp kết nối web nhanh hơn

Enterprise

• Đây là phiên bản dành cho các doanh nghiệp có qui mô lớn

• Có đầy đủ các tính năng của phiên bản Standard bên cạnh đó còn cho phép

thiết lập mảng các ISA server cung cấp khả năng Load Balancing

II Setup ISA

• Chọn Install ISA Server 2006

• Chọn chế độ cài đặt Custom

• Xác định đường mạng mà ISA server quản lý

• Tiếp đó nhấn Finish để

hoàn thành quá trình cài đặt

• Sau khi cài đặt thử ping từ máy client tới máy isa server

• Từ mạng ngoài ping tới máy isa server

• Máy client truy cập internet

• Như vậy ngay sau quá trình cài đặt ISA sẽ

khóa tất cả mọi cổng ra vào của mạng chúng

ta

Cấu hình ISA Client

• Để sử dụng ISA Server thì các client trên mạng phải cấu hình một trong ba loại

sau:

• SecureNAT

Đây là phương pháp đơn giản nhất,ta chỉ cần cấu hình default gateway trỏ về card mạng bên trong của ISA server là được

Địa chỉ của máy ISA server

• Web Proxy Client

Cấu hình máy ISA server làm proxy server

• Firewall Client

Với Firewall Client ta sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt một công cụ

Firewall Client cho tất cả các máy tính trong mạng

Dạng Ưu điểm Nhược điểm

Secure

NAT

Kiểm soát được tất cả mọi Port ra vào hệ thống

Không kiểm soát được User, trang web

Proxy Kiểm soát được mọi

User, trang web

Chỉ kiểm soát được các Port 443,80,21

Firewall

Client

Kiểm soát được tất cả mọi Port ra vào hệ thống

Kiểm soát được mọi User, trang web

Chỉ hỗ trợ các hệ điều hành Windows

III. Proxy server

• Một trong những đặc trưng khiến proxy server được ưa chuông là khả năng

caching, tức là khả năng lưu trữ các trang web mà proxy server từng truy cập

• ISA server sẽ có khả năng thực hiện forward caching và reverse caching

Cơ chế reverse caching

• Khi có một internet client truy cập vào một internal web server được publish

thông qua ISA server,proxy server trên ISA sẽ truy cập web server,nhận phản hồi,cung cấp nội dung web cho client và lưu trữ nội dung website.

• Khi các internet client khác truy cập vào internal web server,nếu nội dung có

sẵn trong cache thì proxy server sẽ lấy ra mà không cần phải truy cập web server nữa.

Cơ chế forward caching

• Khi 1 internal client truy cập vào trang web nào đó thì ISA sẽ tự động lưu nội

dung trang web đó trong cache của mình.

• Nếu 1 internal client khác truy cập vào trang web mà ISA đã cache lại thì ISA sẽ

lấy nội dung lưu trong cache truyền cho client đó

Xác lập dung lượng lưu trữ Cache

• Cần lưu ý rằng ISA server mặc định không có khả năng cache Nếu muốn dùng,

quản trị viên phài chủ động kích hoạt tính năng cache.

• Sau khi kích hoạt, cả 2 chức năng forward và reverse cache đều mặc nhiên

hoạt động Quản trị viên kích hoạt tính năng cache bằng xác lập dung lượng và

ổ đĩa lưu trữ (define cache drive)

• Tại ISA Server trong màn hình bên phải chọn

Tab Cache Drivers tiếp tục nhấp phải vào

Cache Driver chọn Properties

• Set giá trị Cache cho ISA Trên thực tế nên Set giá trị này càng cao càng tốt khoảng 5Gb trở lên

• Chọn Save the changes and restart the services

Một số vấn đề liên quan tới ỗ đĩa cache

• Đĩa cache phải là ổ đĩa cục bộ (local drive)

• Đĩa cache phải được định dạng NTFS

• Để tồi ưu hóa hiệu năng, nên lưu cache trên một đĩa vật lý khác với đĩa hệ

thống và đĩa cài đặt chương trình ISA

Cache rule

• Sau khi kích hoạt caching, cả 02 chức năng

forward và reverse cache đều hoạt động đối với mọi trang web

• Mặc định ISA Server đã tạo cho ta 2 Cache

Rule nhằm tự động phát hiện các Web chưa

có trong Cache của ISA và tự động cập nhật các thông tin này

• Bên cạnh đó ta còn có thể tạo các cache rule để tùy biến hoặc điều khiển các

hoạt động cache

- Thiết lập cache rule ứng với một hoặc một số trang web xác định

- Trong một rule, có thể xác lập cache ứng với một hoặc một số loại nội dung xác định

- Chỉ định loại nội dung được lưu trữ và tùy biến cách đáp ứng cho proxy client tùy theo trang web hoặc nội dung mà client yêu cầu.

- Chỉ định khoảng thời gian tồn tại hợp lệ (TTL: Time-To-Live) và cách đáp ứng proxy client khi nội dung cache quá hạn.

Chỉ định loại nội dung được lưu trữ

Nội dung loại này thường xuyên thay đổi và vì thế được đánh dấu là không thể cache.Tuy nhiên nếu chọn phương thức này trong rule thì nội dung động sẽ vẫn được lưu cho dù nó được đánh dấu là không thể cache

Nội dung có thể truy cập khi không kết nối đến web server.Nếu chọn phương thức này trong rule thì ISA sẽ lưu mọi nội dung trang web, kể cả

phần đãđược đánh dấu

là không thể cache.

Nếu chọn phương thức này ISA sẽ lưu các nội dung mà trang web yêu cầu chứng thực trước khi chophép truy cập

Cách thu thập nội dung web và cách đáp ứng

cho client trên cơ sở TTL

Chỉ cung cấp nội dung lưu

trữ còn hợp lệ cho client

Nếu nội dung quá hạn thì ISA

sẽ truy cập web server để

tải về.Cấu hình này bảo đảm

cho client có được nội dung

mới nhất (trong một thời hạn

nhất định.)

Cung cấp nội dung lưu trữ

Cho client bất kể thời hiệu.

Chỉ khi không có lưu trữ thì

mới tải về.Cấu hình này

bảo đảm cho client luôn luôn

có được nội dung cần thiết,

bất kể tính cập nhật.

Cung cấp nội dung lưu trữ cho client

bất kể thời hiệu Nếu không có lưu

trữ thì bỏ qua yêu cầu của client

• Mặc định ISA sẽ Cache toàn bộ các trang

Web mà User truy cập Với một số trang Web

mà nội dung thường xuyên thay đổi (các

trang Web chứng khoán ) thì tính năng

Cache này không khả thi.

• Bây giờ ta sẽ tạo các một Rule nhằm loại trừ

một số trang mà ta không muốn ISA Cache chúng

Tạo rule cấm cache trang google

Trước tiên ta cần tạo 1 URL Set chứa địa chỉ của trang google

• Chọn New Cache rule

• Đặt tên cho Rule này là Deny Goole

Destination chọn url google vừa tạo

• Giữ nguyên các giá trị mặc định khác

• Bỏ tính năng HTTP caching để không cache trang này

• Hoàn tất việc tạo cache rule

Content download job

• Như vậy với một số trang Web mà ta muốn ISA

tự động Cache vào thời điểm nhất định nào đó thì ta phải tạo một Job cho ISA cập nhật chủ

động trang này

• ISA server được lập lịch biểu để truy cập web server và tải về vào những thời điểm nhất định Mục đích là đáp ứng nhanh nhất cho client (khi client truy cập thì nội dung đã được lưu sẵn tại ISA).

• Lưu ý rằng tác vụ tải xuống theo lịch biểu sẽ

không thể hoàn tất nếu trang web mục tiêu đòi hỏi chứng thực người dùng.

• Khi tạo tác vụ tải xuống đầu tiên, thực chất là thiết lập một số cấu hình hệ thống của ISA Chỉ sau khi chấp thuận đề nghị của ISA và áp đặt (apply) cấu hình, ta mới có thể lập lịch biểu tài xuống.

• Cấu hình hệ thống này bao gồm 03 yếu tố mà

ta có thể tự thực hiện:

 Kích hoạt LocalHost lắng nghe yêu cầu HTTP của web proxy client.

• Kích hoạt 01 configuration group có tên "Scheduled Download Job"

• Kích hoạt system rule thứ 29.

Tạo 1 content download job để download

trang vnexpress

• Chọn yes

• Đặt tên cho Content download job

• Chọn Daily để thực hiện cache mỗi ngày

• Chỉ định giờ thực hiện Cache chủ động cho ISA trong Daily Frequency

• Nhập địa chỉ trang Web muốn Cache chủ động vào

• Giữ nguyên giá trị mặc định trong màn hình Content Caching

• Chọn Finish để hoàn tất việc tạo download job

• Bật chức năng Content download job

IV ACCESS RULE

 Giới thiệu về ACCESS RULE.

 Hướng dẫn thực hiện một số Rule cơ bản như:

1.Tạo rule cho phép traffic DNS Query

để phân giải tên miền.

2.Tạo rule cho phép mọi user sử dụng Mail

Giới thiệu về Access Rule

3 Cấm xem một số trang web(như: http://vnexpress.net )

4 Tạo rule cho phép sử dụng Internet không hạn chế trong giờ làm việc

• Access Rule điều khiển các truy cập ra bên ngoài từ1 Network được bảo vệ nằm trong đến 1

Network khác không được bảo vệ nằm ngoài.

• ISA Server 2006 quan tâm đến tất cả Networks không nằm ngoài –External.còn những Networks

Được xác định là External thì không được bảo vệ

• Các Networks được bảo vệ:

 VPN Client Network

 Quaranined Vpn clients(mạng vpn client bị cách ly).

 Localhost Network(chính các isa server firewall).

 Internal Network(mạng Lan).

 Perimeter networks-DMZ

 Mạng vành đai.

Hướng dẫn thực hiện một số Rule

1 Tạo rule cho phép traffic DNS Query

để phân giải tên miền

• Bước 1: vào ISA management->Firewall policy

->New Rule

Bước 2: Gỏ “DNS Query” vào Access name->next

Bước 4:Trong This Rule apply to:chọn ”Select

Protocols”->Add->Comand protocol là DNS->Ok->next

Bước 5:Trong Access Rule Source chọn Add Network

là Internal->Add->close->next

Bước 6:Trong Access Rule Destination chọn Add

Network là External->Add->close->next

Bước 7:Trong User sets chọn giá trị mặc định là All user->next->finish(chọn nút apply phía trước có dấu chấmthan)

Bước 8:Dùng lệnh Nslookup để phân giải một tên miền bất kỳ.

2 Tạo Rule cho phép mọi User sử dụng mail

Tạo Access Rule theo các thông số sau:

-Rule Name: Allow Mail (SMTP + POP3)

-Action: Allow

-Protocols: POP3 + SMTP

-Source: Internal

-Destination: External

-User: All User

Các thao tác thực hiện như phần một

3 Cấm xem một số trang web

như(vnexpress.net)

 Định nghĩa các trang web muốn cấm

Bước 1:ISA management->firewall policy->tool

box->Network Object->New->URL set.

Bước 2:Dòng name đặt tên là vnexpress->New khai 2 dòng http://vnexpress.net và http://vnexpress.net/* ->ok

 Tạo Rule

-Rule Name: Web bi cam

-Action: Deny

-Protocols: All Outbound Traffic

-Source: Internal

-Destination: URL Set “vnexpress”

-User: All Users

Các thao tác làm tương tự như phần 1

Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1

a Định nghĩa giờ làm việc

Bước 1:ISA management->Firewall

policy->toolbox->Schedule->New

Name:giờ làm việc

Chọn Active từ 8am-6pm và ok

b Tạo Rule

• Rule Name: Giờ Làm việc

• Action: Allow

• Protocols: All Outbound Traffic

• Source: Internal

• Destination: External

• User: All Users

• Các thao tác làm tương tự như phần 1

• Sau khi tạo rule xong, chọn properties của rule vừa tạo chọn Schedule là Giờ làm

việc

->Apply

c Kiểm tra

Log on vào một user nào đó ví dụ như u1 Sửa lại giờ trên máy ISA trùng giờ làm việc Truy cập internet

V Configuring ISA Server as a

Firewall

• ISA Server firewall mang đến cho chúng ta những thuận lợi to lớn , một trong những số đó

là các Network Temlates.Với sự hỗ trợ các Templates mà chúng ta có thể cấu hình tự động các thông số Network , Network Rule và Access Rules

• Network Templates được thiết kế nhanh chóng tạo được cấu hình nên tảng cho những gì

mà chúng ta có thể xây dựng

• Các loại Network Templates

Edge Firewall

• Với mô hình này chúng ta chỉ cần dựng một ISA

Server duy nhất và trên đó có 2 Card Lan:

- Card thứ 1 nối với các máy trong Internal Network ISA Server sẽ mở các Port Outbound tại Card này

- Card thứ 2 nối với các máy trong External Network ISA Server sẽ mở các Port Inbound tại Card này

• Như vậy nếu một Hacker từ External Network tấn

công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính trong mạng Internal Network Với mô hình này tuy

hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn chế.

3-Leg Perimeter

• Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2

• Tại máy ISA Server ta cần đến 3 Card Lan

- Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal

Network ISA Server sẽ mở các Port Outbound tại Card này

- Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal

Network ISA Server sẽ mở các Port Outbound/Inbound tại Card này

- Card thứ 3 nối với các máy trong External Network ISA Server

sẽ mở các Port Inbound tại Card này

• Như vậy nếu một Hacker từ External Network tấn công vào mạng

chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm thứ 1 trong mạng Internal

Network Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm.

Front/Back Firewall

• Mô hình này thực chất là một mở rộng của mô hình

3-Leg Perimeter tại mô hình này người ta sẽ dựng nhiều ISA Server trong Local Host

• Khi đó nếu Hacker tấn công mạng chúng ta chúng

phải liên tiếp đánh sập nhiều ISA Server trong

Local Host, tuy nhiên khi một vài ISA Server của chúng ta bị tấn công thì phía chúng ta đã được báo động và có biện pháp phòng thủ, củng cố lại hệ

thống an toàn hơn.

• Mô hình này tuy là có độ an toàn cao nhưng bù lại

chi phí đầu tư cho nó là rất tốn kém.

• Như vậy ứng với một mô hình nào đó thay vì phải

tạo các Rule như ta từng biết thì chúng ta có thể sử dụng các khuôn mẫu (Template) có sẵn trong ISA Server.

Single Network Adapter

Cách thực hiện

• Vào ISA, chọn Configuration/Network , ở ô cửa sổ bên phải chọn tab Templates, chọn

template Edge Firewall

• Nếu ISA đã được cấu hình trước đó muốn lưu lại thì ấn

Export chọn ổ đĩa và file cần lưu.Nếu không lưu thì ấn next

• Nhập vào dãy Ip của internal -> next

• Chọn Fire wall policy cho phù hợp

Tuy nhiên trên thực tế các Template này chỉ để cho chúng ta nghiên cứu mà thôi vì tầm hoạt động của chúng là quá rộng Ta nên tạo lần lượt các Rule và mở những

Port nào thực sự cần thiết mà thôi, có như vậy hệ thống chúng ta mới chắc chắn

và an toàn hơn.

VI Intrustion Detection

• Giả sử mạng chúng ta đã dựng thành công ISA

Server khi đó một Hacker nào đó từ bên ngoài mạng Internet tìm mọi cách tấn công mạng chúng

ta bằng cách dò tìm các Port được mở trong mạng của ta và khai thác các lỗ hỏng trên các Port này.

• Như vậy nếu hệ thống chúng ta không có ISA

Server chúng ta sẽ không hề hay biết sự nguy hiểm đang rình rập này Trong bài này chúng ta sẽ tìm hiểu về một tính năng rất hay của ISA Server là Intrusion Detection dùng để phát hiện các tấn công từ bên ngoài vào hệ thống mạng chúng ta.

• ISA\Configuration\General\bật chức năng Enable

Instruction Detection and DNS Attack Detection

• Mặc định ISA Server đã Enable một số tính năng trong Intrusion Detection nhưng không Enable tính năng Port scan.

• Trong Tab Common Attacks: chọn “Port can” -> ok

• Tại màn hình ISA Server bật Monitoring lên chọn tiếp Tab Logging và chọn Start Query để theo dõi giám sát toàn bộ hoạt động của hệ thống mạng

• Trong này ISA sẽ ghi nhận lại toàn bộ các truy cập ra vào hệ thống

mạng chúng ta một cách chi tiết

• Bây giờ tại máy Client tôi cài đặt một chương trình có tính năng Scan

các Port đã mở trên ISA Server đó là SuperScan 4.0

• Chọn Tab Host and Service Discovery bỏ chọn Host Discovery đi

• Trở lại Tab Scan tiến hành Scan Port của máy ISA

• Trở lại máy ISA Server bật lại Logging sẽ thấy các truy

cập từ máy Client vào mạng chúng ta

• Tuy nhiên với màn hình Logging này quá dài dòng và rối tịt,

và không phải lúc nào người quản trị mạng cũng thảnh thơi ngồi quan sát từng dòng lệnh như vậy mà người ta sẽ cấu

hình cảnh báo tự động sao cho ISA Server tự gởi một Email cho Administrator khi phát hiện có các xâm nhập bất hợp pháp vào hệ thống mạng

• Chọn Tab Alerts chọn tiếp link Configure Alert Definitions