Xây dựng và bảo mật hệ thống mạng trên nền tảng ISA server 2006 Đồ án tốt nghiệp Đại học

Mặc dù việc tạo nên sự an toàn cho hệ thống là một ý tưởng tuyệt vời nhưng nó vẫn không đủ để bảo vệ mạng khỏi sự tấn công từ bên ngoài, việc đảm bảo an toàn cho một hệ thống là một công

Tôi cũng luôn biết ơn sự ủng hộ của gia đình, bạn bè - những người thân yêu luôn

là chỗ dựa vững chắc của tôi

Cuối cùng, tôi xin chúc quý Thầy, Cô và gia đình dồi dào sức khỏe và thành công trong sự nghiệp cao quý

Nghệ An, tháng 12 năm 2012

Sinh viên thực hiện

Phạm Văn Chiến

ưu việt của xử lý thông tin qua mạng

Công nghệ thông tin ngày nay đã phát triển vượt bậc, tin học được ứng dụng rộng rãi trong tất cả các ngành, các lĩnh vực của đời sống, xã hội Hệ thống mạng doanh nghiệp ra đời là một thành tựu lớn góp phần vào năng suất làm việc cũng như quản lý và phân chia các tổ chức khác nhau có hiệu quả Đi kèm với những tiện ích đó là vấn nạn Virus, lừa đảo tấn công vào hệ thống máy tính ngày càng đa dạng và rộng khắp Những Hacker tấn công với nhiều mục đích tư lợi vì muốn chứng tỏ bản thân mà bất chấp tất cả Haker len lỏi vào hệ thống mạng và tàn phá dữ liệu hoặc táo bạo hơn là đánh cắp thông tin cơ mật của một doanh nghiệp, một tổ chức, quốc gia…

Chính vì thấy tầm quan trọng của vấn đề bảo mật nên tôi chọn đề tài “XÂY DỰNG VÀ BẢO MẬT HỆ THỐNG MẠNG TRÊN NỀN TẢNG ISA SERVER 2006” làm đồ án tốt nghiệp của mình Nội dung đồ án gồm 3 chương

Chương 1: An toàn thông tin đối với mạng doanh nghiệp

Chương 2: Dịch vụ mạng và giải pháp an toàn

Chương 3: Tổng quan thiết kế mạng và triển khai ISA Server cho doanh nghiệp

Do nhiều yếu tố khách quan và tầm hiểu biết chưa sâu sắc nên đồ án còn nhiều thiếu sót và hạn chế, tôi rất mong nhận được ý kiến đóng góp của quý Thầy, Cô giáo và các bạn để có thể hoàn thiện hơn nữa

Nghệ An, tháng 12 năm 2012

Sinh viên thực hiện

Phạm Văn Chiến

MỤC LỤC

CHƯƠNG 1: AN TOÀN THÔNG TIN ĐỐI VỚI MẠNG DOANH NGHIỆP 5

1.1 Giới thiệu chung 5

1.2 Hậu quả của việc tấn công, xâm nhập 6

1.3 Mục đích bảo vệ 6

1.3.1 Bảo vệ dữ liệu 6

1.3.2 Bảo vệ tài nguyên 6

1.3.3 Bảo vệ danh tiếng 6

1.4 Thiết kế chính sách bảo vệ an toàn mạng 7

1.4.1 Quyền hạn tối thiểu 7

1.4.2 Đơn giản 7

1.4.3 Bảo vệ theo chiều sâu 7

1.4.4 Nút thắt 7

1.4.5 Đường nối yếu nhất 8

1.4.6 Tính đa dạng của việc bảo vệ 8

CHƯƠNG 2: DỊCH VỤ MẠNG VÀ GIẢI PHÁP AN TOÀN 9

2.1 Một số dịch vụ trong mạng doanh nghiệp 9

2.1.1 Domain Name System (DNS) 9

2.1.2 Mạng riêng ảo (VPN) 9

2.1.3 Mail Server 11

2.1.4 Web Server 11

2.2 Firewall 12

2.2.1 Khái niệm Firewall 12

2.2.2 Phân loại Firewall 12

2.2.3 Các chức năng cơ bản của Firewall 13

2.2.4 Nguyên lý hoạt động của Firewall 13

2.2.5 Tiêu chuẩn của một Firewall 14

2.2.6 Hạn chế của Firewall 15

2.3 Phần mềm Microsoft ISA Server 15

2.3.1 Giới thiệu 15

2.3.2 Các phiên bản của ISA Server 2006 15

2.3.3 Một số tính năng của ISA Server 16

CHƯƠNG 3: TỔNG QUAN THIẾT KẾ MẠNG VÀ TRIỂN KHAI ISA SERVER CHO DOANH NGHIỆP 18

3.1 Những yêu cầu chung của việc thiết kế mạng 18

3.1.1 Lựa chọn mô hình mạng 18

3.1.2 Triển khai thiết bị 19

3.2 Triển khai ISA Firewall cho hệ thống doanh nghiệp 20

3.3 Cài đặt ISA Server 2006 và các dịch vụ 22

3.3.1 Chuẩn bị 22

3.3.2 Nâng cấp Server lên Domain Controler 22

3.3.3 Cài đặt MS ISA Server 2006 trên máy ISA Server 24

3.4 Cấu hình các quy tắc 25

3.4.1 Giới thiệu 25

3.4.2 Tạo quy tắc mở các kết nối trong nội bộ và Internet 29

3.5 Tạo quy tắc quản lý người dùng Internet 31

3.5.1 Tạo quy tắc cho phép nhóm quản trị toàn quyền truy nhập Internet 31

3.5.2 Tạo quy tắc cho phép nhóm Nhân viên truy cập 1 số trang web 34

3.5.3 Giới hạn thời gian sử dụng của NhanVien 39

3.5.4 Cấm nhân viên chat trong giờ làm việc 40

3.6 Triển khai VPN Client to Gateway 44

3.6.1 Tạo Remote Access PPTP VPN Server 44

3.6.2 Cấu hình VPN Client 45

3.6.3 Tạo quy tắc cho phép kết nối VPN 46

3.6.4 Tạo kết nối trên máy VNP Client 47

KẾT LUẬN 50

TÀI LIỆU THAM KHẢO 51

CHƯƠNG 1: AN TOÀN THÔNG TIN ĐỐI VỚI MẠNG DOANH NGHIỆP

1.1 Giới thiệu chung

Đối với một doanh nghiệp thì thực sự có rất nhiều lợi ích có thể nhận được từ Internet Nhưng bên cạnh đó, nó cũng liên quan đến mối nguy hiểm rất lớn, ngày nay các mối đe dọa tới an ninh của mạng đã trải rộng từ những cá nhân cho tới các tổ chức lớn trên mạng Những Hacker thâm nhập đã hiểu biết kỹ thuật có thể nhận được quyền truy cập tới các thông tin riêng tư của các doanh nghiệp hoặc quấy rối bằng chính hệ thống

đó Số lượng và mức độ tinh vi của các mối đe dọa ngày càng tăng cùng với sự phát triển của mạng Internet theo thời gian

Mặc dù việc tạo nên sự an toàn cho hệ thống là một ý tưởng tuyệt vời nhưng nó vẫn không đủ để bảo vệ mạng khỏi sự tấn công từ bên ngoài, việc đảm bảo an toàn cho một hệ thống là một công việc phức tạp và không có gì là đảm bảo sự thành công bởi vì

có rất nhiều hệ điều hành khác nhau, rất nhiều phiên bản sửa lỗi và các vùng quản trị khác nhau v.v …

Dù sao, bằng cách phòng chống lại các mối đe dọa tới các điểm kết nối của mạng

và Internet, người dùng có thể nhận được ưu điểm của phần lớn các dịch vụ Internet như Web, E-Mail, FTP… trong khi vẫn hạn chế được những rủi ro bị thâm nhập

Rủi ro là xác suất của một Hacker xâm nhập có thể thành công trong việc truy nhập vào mạng công ty thông qua đường kết nối mạng diện rộng Có nhiều trường hợp

có thể xảy ra, tuy nhiên nhìn chung có các khả năng cụ thể là:

- Truy nhập đọc: Đọc hoặc sao chép dữ liệu từ mạng nội bộ

- Truy nhập ghi: Ghi hoặc phá hủy dữ liệu từ mạng nội bộ, bao gồm việc phát tán các loại trojan, virus,…

- Từ chối dịch vụ (Denial of Service - DOS): Lợi dụng đặc điểm hoặc lỗi

an toàn thông tin của một hệ thống dịch vụ nhằm làm ngưng trễ và ngăn cản người dùng truy cập dịch vụ đó Thường thì tấn công từ chối dịch vụ gây cho chương trình, hệ thống

bị đổ vỡ hoặc bị treo, tê liệt từng phần và toàn bộ hệ thống, buộc người quản trị dịch vụ phải tạm ngừng cung cấp dịch vụ và khởi động lại hệ thống

1.2 Hậu quả của việc tấn công, xâm nhập

Các cuộc tấn công vào hệ thống mạng máy tính của các doanh nghiệp có thể làm cho liên lạc của công ty bị gián đoạn và nghiêm trọng hơn là mất đi tính bảo mật và tính toàn vẹn của các nguồn dữ liệu Tùy theo mức độ và loại thông tin bị tấn công mà hậu quả có thể là một chút phiền toái cho đến việc bị phá hỏng toàn bộ hệ thống

Khi tính bí mật của dữ liệu bị các cuộc tấn công phá vỡ, hậu quả xảy đến cho một doanh nghiệp thường không trực tiếp, nhưng có thể là rất đắt Ví dụ nếu Hacker truy nhập vào hệ thống thư điện tử của một doanh nghiệp, các thông tin độc quyền tạo ra lợi thế cạnh tranh có thể bị đánh cắp, cũng có nghĩa là tổ chức đó bị mất chi phí đã bỏ ra việc nghiên cứu và phát triển để có được lợi thế đó

Khi tính toàn vẹn của dữ liệu bị các cuộc tấn công phá vỡ, doanh nghiệp thường phải bỏ ra rất nhiều tiền để xử lý những hậu quả do các cuộc tấn công đó, ví dụ một Hacker hiểm độc có thể thay đổi một trang web, thay thế các thông tin xác đáng bằng nội dung công kích phá hoại Điều này bắt buộc doanh nghiệp phải tiêu tốn tiền không chỉ để sửa trang Web mà còn để chống lại các mối liên hệ xấu với công chúng

1.3 Mục đích bảo vệ

Khi xây dựng một hệ thống bảo vệ, vấn đề đầu tiên mà người quản trị cần quan tâm là cần phải bảo vệ những gì Trong hệ thống thông tin nói chung và trong mạng doanh nghiệp nói riêng, đó chính là dữ liệu, tài nguyên và danh tiếng của doanh nghiệp

1.3.1 Bảo vệ dữ liệu

Có ba đặc tính rất quan trọng đối với dữ liệu:

- Tính bảo mật: Chỉ những người có quyền mới được biết

- Tính toàn vẹn: Không bị hư hỏng, bị sửa đổi hay mất mát

- Tính kịp thời: Sẵn sàng bất cứ lúc nào cần

1.3.2 Bảo vệ tài nguyên

Người dùng phải tốn nhiều thời gian và tiền bạc cho tài nguyên và có quyền quyết định chúng phải sử dụng như thế nào

Tài nguyên của máy tính không phải là tài nguyên thiên nhiên, nó có giới hạn và không được lãng phí hay phá hủy nếu không được sử dụng

1.3.3 Bảo vệ danh tiếng

Khi một Hacker tấn công xuất hiện trên Internet với định danh của cá nhân thì bất

kỳ điều gì Hacker tấn công làm cũng liên quan đến cá nhân đó Nếu như doanh nghiệp bị

tấn công thì vấn đề uy tín trở nên rất quan trọng Trong trường hợp người quản trị hệ thống chỉ biết được hệ thống của mình được dựng làm bàn đạp để tấn công vào hệ thống khác gây tổn thất uy tín là không thể tính được và sẽ để lại hậu quả lâu dài

1.4 Thiết kế chính sách bảo vệ an toàn mạng

Khi xây dựng các hệ thống bảo vệ cho mạng máy tính nói chung và doanh nghiệp nói riêng, người quản trị phải tuân theo các quyền hạn sau

1.4.1 Quyền hạn tối thiểu

Nguyên tắc nền tảng trong an toàn mạng là quyền hạn tối thiểu (Least Privilege),

về cơ bản nguyên tắc này là bất kỳ một đối tượng nào cũng có quyền hạn nhất định để thực hiện các nhiệm vụ của mình, đây là quyền hạn để hạn chế sự phô bày mà Hacker có thể tấn công và hạn chế sự phá hủy do các vụ tấn công gây ra

1.4.2 Đơn giản

Việc đặt ra yêu cầu đơn giản cho hệ thống bảo vệ có hai lý do chính:

- Dễ hiểu: Khi một hệ thống được thiết kế đơn giản thì dễ dàng hiểu được

hệ thống có hoạt động như mong muốn hay không

- Ít lỗi: Một hệ thống càng phức tạp càng chứa nhiều lỗi, ngay cả hệ thống không có lỗi và không có các lỗ hổng bảo mật, thì hệ thống phức tạp cũng sẽ làm phức tạp quá trình phân tích và xử lý các vấn đề trong những tình huống không định trước

1.4.3 Bảo vệ theo chiều sâu

Một nguyên tắc khác của an toàn là bảo vệ theo chiều sâu, không nên chỉ phụ thuộc vào một chế độ an toàn dù nó mạnh thế nào Nên lắp đặt nhiều cơ chế an toàn để

hỗ trợ lẫn nhau Một Firewall có rất nhiều lớp, nếu trường hợp lớp thứ nhất có vấn đề sẽ được các lớp tiếp theo bảo vệ

1.4.4 Nút thắt

Một nút thắt buộc Hacker tấn công phải đi qua một cổng hẹp mà người quản trị có thể kiểm soát và điều khiển được Firewall là một cấu trúc nằm giữa hệ thống nội bộ mà trong đó Internet như một nút thắt Bất kỳ cuộc tấn công nào từ Internet đều phải đi qua cổng này, người quản trị có thể theo dõi và có những cách xử lý

Một nút thắt sẽ trở nên vô dụng nếu có những con đường khác không đi qua nó, không nhất thiết phải tấn công Firewall trong khi có rất nhiều đường kết nối khác không được bảo vệ

1.4.5 Đường nối yếu nhất

Những Hacker tấn công thông minh luôn tìm các điểm yếu nhất trong hệ thống để tấn công vào đó Do đó, cần nhận thức được điểm yếu nhất để có phương thức bảo vệ Thông thường, cần quan trọng đến những Hacker tấn công từ mạng hơn là những Hacker tiếp cận hệ thống, bởi vậy an toàn về mặt vật lý được coi là điểm yếu nhất trong hệ thống của doanh nghiệp

1.4.6 Tính đa dạng của việc bảo vệ

Sự đa dạng của các hệ thống mạng bên trong có thể tăng khả năng bảo vệ hệ thống, nếu mạng bên trong bao gồm các hệ thống giống nhau thì một lỗi chung trong hệ điều hành hoặc là một trình ứng dụng có thể làm cho toàn bộ mạng bị tấn công theo một phương pháp Tuy nhiên, sự đa dạng trong mạng cũng đồng nghĩa với sự phức tạp khi quản lý các hệ thống khác nhau, đồng thời tăng chi phí trang bị phần cứng và phần mềm

CHƯƠNG 2: DỊCH VỤ MẠNG VÀ GIẢI PHÁP AN TOÀN

2.1 Một số dịch vụ trong mạng doanh nghiệp

2.1.1 Domain Name System (DNS)

Hiện nay trong mạng Internet số lượng các nút (Host) lên tới hàng triệu nên không thể nhớ hết địa chỉ IP được, mỗi host ngoài địa chỉ IP còn có một cái tên phân biệt, DNS là 1 cơ sở dữ liệu phân tán cung cấp ánh xạ từ lên host đến địa chỉ IP Khi đưa

ra 1 tên host, DNS server sẽ trả về địa chỉ IP hay một số thông tin của host đó Điều này cho phép người quản lý mạng dễ dàng trong việc chọn tên cho host của doanh nghiệp

DNS server được dùng trong các trường hợp sau:

- Muốn có 1 tên domain riêng trên Internet để có thể tạo, tách rời các domain con bên trong nó

- Cần 1 dịch vụ DNS để điều khiển cục bộ nhằm tăng tính linh hoạt cho domain cục bộ của hệ thống

- Cần 1 bức tường lửa để bảo vệ không cho người ngoài thâm nhập vào hệ thống mạng nội bộ của công ty

Có thể quản lý trực tiếp bằng các trình soạn thảo text để tạo và sửa đổi các file hoặc dùng DNS manager để tạo và quản lý các đối tượng của DNS như: Server, Zone, các mẫu tin, các Domain, tích hợp với Win

2.1.2 Mạng riêng ảo (VPN)

Khái niệm Virtual Private Network

Về căn bản, mỗi Virtual Private Network là một mạng riêng ảo sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường truyền (Leased Line), mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng các công ty với các site hay các nhân viên từ xa

VPN là mạng ảo nội bộ, người dùng khi đi công tác xa sử dụng VPN để nối tới các dịch vụ đang chạy hoặc những chương trình cụ thể giống như đang ngồi tại văn phòng, đó là lý do cho cái tên ảo

Các dạng giao thức của VPN

Có 3 dạng giao thức (Tunneling) nổi bật được sử dụng trong VPN:

- IP Security (IPSec): Được phát triển bởi IETF, IPSec là một chuẩn mở đảm bảo chắc chắn quá trình trao đổi dữ liệu được an toàn với phương thức xác nhận người dùng qua mạng công cộng Không giống với những kỹ thuật mã hóa khác, IPSec thực hiện ở tầng thứ 7 trong mô hình OSI (Open System Interconnect), có thể chạy độc lập so với các ứng dụng chạy trên mạng Vì thế hệ thống mạng sẽ được bảo mật hơn mà không cần dùng bất kỳ chương trình bảo mật khác

- Point-To-Point Tuuneling Protocol (PPTP): Được phát triển bởi Microsoft, 3COM và Ascend Communications, PPTP là một sự chọn lựa để thay thế cho IPSec Tuy nhiên IPSec vẫn cần được sử dụng nhiều trong một số Tunneling Protocol, PPTP thực hiện ở tầng thứ 2 (Data Link Layer)

- Layer 2 Tunneling Protocol (L2TP): Được phát triển bởi Cissco System, L2TP được dự tính sẽ thay thế cho IPSec, tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảo mật trên Internet L2TP là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP, được dùng để đóng gói các Frame sử dụng giao thức Point-To-Point để gửi qua các loại mạng như X.25, FR, ATM

Ưu điểm và nhược điểm của VPN

Ưu điểm:

- Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước khi truyền chúng qua mạng công cộng Bằng cách làm như vậy, không một ai có thể truy cập thông tin mà không được cho phép và nếu có lấy được thì cũng không đọc được

- Tính toàn vẹn giữ liệu (Data Integrity): người nhận có thể kiểm tra rằng

dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào

- Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực

nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

- Giảm chi phí thường xuyên

- Tạo ra tính mềm dẻo trong việc quản lý mạng của công ty

- Đảm bảo an toàn thông tin và tính toàn vẹn dữ liệu

Nhược điểm:

- Phụ thuộc trong môi trường Internet

- Thiếu sự hỗ trợ một số giao thức kế thừa

2.1.3 Mail Server

E-mail (Electronic mail) là thư điện tử, một hình thức trao đổi thư từ nhưng thông qua mạng Internet Dịch vụ này được sử dụng rất phổ biến và không đòi hỏi hai máy tính gửi và nhận phải kết nối online trên mạng

Tại mỗi Mail Server thông thường gồm hai dịch vụ: POP3 (Post Office Protocol 3) làm nhiệm vụ giáo tiếp mail giữa Mail Client và Mail Server, SMTP (Simple E-mail Transfer Protocol) làm nhiệm vụ giao tiếp mail giữa các máy Mail Server

Exchange Server là phần mềm của hãng Microsoft, chạy trên các máy chủ, cho phép gửi và nhận thư điện tử cũng như các dạng khác của truyền thông thông qua mạng máy tính Được thiết kế chủ yếu để giao tiếp với Microsoft Outlook nhưng Exchange Server cũng có thể giao tiếp tốt với các phần mềm khác như Outlook Express hay các ứng dụng thư điện tử khác

Exchange Server được thiết kế cho cả doanh nghiệp lớn và nhỏ với ưu điểm nổi trội là dễ quản trị, hỗ trợ nhiều tính năng và có độ tin cậy cao

Tin nhắn được gửi từ các thiết bị Client như máy tính cá nhân (PC), máy trạm hay các thiết bị di động như điện thoại di động, các thiết bị Client này kết nối với mạng máy tính tập trung với Server hay các máy MainFrame là nơi lưu trữ các hộp thư Các Server kết nối tới mạng Internet hoặc mạng riêng (Private Network) nơi thư điện tử được gửi tới

để nhận thư điện tử của người sử dụng

2.1.4 Web Server

Dịch vụ Wold Wide Web (viết tắt là WWW hoặc Web) là một dịch vụ cung cấp thông tin trên hệ thống mạng Các thông tin này được lưu trữ dưới dạng siêu văn bản (hypertext) và thường được thiết kế bằng ngôn ngữ HTML (Hyper Text Markup Language) Siêu văn bản là các tư liệu có thể là văn bản (Text), hình ảnh động (Video),

âm thành (Audio)…, được liên kết với nhau qua các mối liên kết (Link) và được truyền trên mạng dựa trên giao thức HTTP (Hyper Text Transfer Protocol), qua đó người dùng

có thể xem các tư liệu liên quan một cách dễ dàng

Mô hình hoạt động:

Web Server: Là một ứng dụng được cài đặt trên máy chủ với chức năng là tiếp nhận các yêu cầu dạng HTTP từ máy trạm và tùy theo yêu cầu này máy chủ sẽ cung cấp cho máy trạm các thông tin Web dạng HTML

Web Client: Là một ứng dụng cài trên máy trạm (máy của người dùng cuối) gọi là Web Browser để gửi yêu cầu đến Web Server và nhận các thông tin phản hồi rồi hiện lên màn hình giúp người dùng có thể truy xuất được các thông tin trên máy Server Một trong những trình duyệt Web phổ biến nhất hiện nay là Internet Explorer, Google Chrome, FireFox

2.2 Firewall

2.2.1 Khái niệm Firewall

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted Network) khỏi các mạng không tin tưởng (Untrusted Network)

Thông thường Firewall được đặt giữa mạng bên trong (Internal) và Internet của một công ty, tổ chức, ngành hay một quốc gia,… Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Internal) tới một số địa chỉ nhất định trên Internet

Firewall hay còn gọi là bức tường lửa được hiểu như là một hệ thống máy tính và thiết bị mạng giúp bảo mật và giám sát các truy xuất từ bên trong ra ngoài và ngược lại

từ bên ngoài vào trong từ đó ta có thể phòng chống các truy cập bất hợp pháp

2.2.2 Phân loại Firewall

Firewall cứng: Là những Firewall được tích hợp trên Router

Đặc điểm của Firewall cứng:

- Không được linh hoạt như Firewall mềm (không thể thêm chức năng, thêm quy tắc như Firewall mềm)

- Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng Network

và tầng Transport)

Firewall mềm: Là những Firewall được cài đặt trên Server

Đặc điểm của Firewall mềm:

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

- Firewall mềm hoạt động ở tầng cao hơn Fireawall cứng (Tầng ứng dụng)

2.2.3 Các chức năng cơ bản của Firewall

Chức năng chính của Firewall là kiểm soát luồng thông tin giữa mạng cần bảo vệ (Trusted Network) và Internet thông qua các chính sách truy nhập đã được thiết lập

- Cho phép hoặc cấm các dịch vụ truy nhập từ trong ra ngoài và từ ngoài vào trong

- Kiểm soát địa chỉ truy nhập và dịch vụ sử dụng

- Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng

- Kiểm soát nội dung thông tin truyền tải giữa 2 mạng

- Ngăn ngừa khả năng tấn công từ các mạng ngoài

Xây dựng Firewall là một biện pháp khá hữu hiệu, nó cho phép bảo vệ và kiểm soát hầu hết các dịch vụ do đó được áp dụng phổ biến nhất trong các biện pháp bảo vệ mạng Thông thường một hệ thống Firewall là một cổng (Gateway) giữa mạng nội bộ giao tiếp với mạng bên ngoài và ngược lại

2.2.4 Nguyên lý hoạt động của Firewall

- Firewall đơn giản là một chương trình hoặc một thiết bị phần cứng, dùng

để lọc những thông tin thông qua Internet đến mạng cá nhân hoặc hệ thống máy tính

Mô hình Firewall tổng quát

- Đối với Firewall cứng, bản thân nó cũng là một Gateway (cổng), chiếc máy tính cá nhân khi kết nối với router thì router đó sẽ tiếp tục kết nối với modem chủ,

có thể thiết lập router thông qua trình duyệt Web của ISP và thêm các chức năng như ngăn chặn địa chỉ IP hay bộ lọc Vì thế bộ định tuyến (router) có khả năng bảo mật rất cao

Mô hình Firewall phần cứng

- Với Firewall mềm được cài đặt trong máy cá nhân, khi đó chiếc máy này được xem như là 1 Gateway (cổng) bởi vì nó chỉ cung cấp 1 điểm truy cập duy nhất giữa mạng của máy và Internet Chính vì vậy mà độ an toàn của loại tường lửa này phụ thuộc rất nhiều vào chương trình Firewall

M« h×nh Firewall phÇn mÒm

2.2.5 Tiêu chuẩn của một Firewall

Sử dụng Firewall để giữ an ninh mạng có thể cải thiện tính bảo mật của toàn bộ

hệ thống bằng cách tạo ra một rào chắn đối với những truy cập trái phép từ bên ngoài

Để thành công trong việc ngăn chặn những truy cập trái phép mà vẫn cung cấp các truy cập hợp pháp, Firewall cần thỏa mãn những yêu cầu sau:

- Firewall cần có khả năng hỗ trợ cấm các dịch vụ đi qua nó ngoại trừ chính sách thiết kế quyền đặc biệt

- Firewall cần hỗ trợ chính sách bảo mật mạng những không phải là bắt buộc

- Firewall phải linh hoạt, nó có khả năng biến đổi để phù hợp với yêu cầu chính sách an toàn của hệ thống và đáp ứng được các thay đổi của nó

- Hệ thống Firewall nên tắt mọi chức năng không cần thiết

- Firewall không được làm giảm đi tính dễ sử dụng của Internet

2.2.6 Hạn chế của Firewall

Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của nó, Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không đi

qua nó

Một cách cụ thể, Firewall không thể chống lại một cuộc tấn công từ một đường Dial-Up, hoặc sự rò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên thiết bị lưu trữ Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (Data-Drivent Attack) Khi có một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây Một ví dụ là các virus máy tính, Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của Firewall

2.3 Phần mềm Microsoft ISA Server

2.3.1 Giới thiệu

Microsoft Internet Security and Acclearation Server (ISA Server) là phần mềm Share Internet của hãng phần mềm nổi tiếng Microsoft Có thể nói đây là một phần mềm Share Internet hiệu quả, ổn định, dễ cấu hình, Firewall tốt, nhiều tính năng cho phép quản trị cấu hình sao cho tương thích với mạng nội bộ Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu cache vào RAM (Random Access Memory), giúp truy xuất thông tin nhanh hơn và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các WebServer đó bằng mạng LAN) Ngoài ra còn rất nhiều tính năng khác nữa, đặc điểm nổi bật của bản 2006 so với bản 2004 là tính năng Publishing và VPN

2.3.2 Các phiên bản của ISA Server 2006

ISA Server 2006 có hai phiên bản đó là ISA Server 2006 Standard và ISA Server

2006 Enterprise

ISA Server 2006 Standard:

ISA Server 2006 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các doanh nghiệp, công ty có quy mô trung bình

Xây dựng để kiểm soát các luồng dữ liệu vào ra của hệ thống mạng nội bộ, kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp

Triển khai các hệ thống VPN Site-To-Site, Remote Access để hỗ trợ truy cập từ

xa, trao đổi dữ liệu giữa các văn phòng chi nhánh

Ngoài ra còn có hệ thống đệm (Caching) giúp kết nối Web nhanh hơn

ISA Server 2006 Enterprise:

ISA Server 2006 Enterprise được sử dụng trong các doanh nghiệp và công ty có quy mô lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống

Ngoài những tính năng đã có trên bản Standard, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải)

2.3.3 Một số tính năng của ISA Server

Khả năng Publishing Service:

- ISA 2006 có thể tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu Form-Based Chống lại các người dùng bất hợp pháp vào trang web OWA, tính năng này được phát triển dưới dạng Add-Ins

- Cho phép Public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả Password)

- Block các kết nối Non-Encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server

- Rất nhiều các Wizard cho phép người quản trị Public các Server nội bộ ra Internet một cách an toàn, hỗ trợ cả các sản phẩm mới như Exchange 2007

Khả năng kết nối VPN:

- Cung cấp Wizard cho phép cấu hình tự động Site-To-Site VPN ở 2 văn phòng riêng biệt

- Cho phép Public luôn 1 VPN Server khác trong Internal ra ngoài Internet,

hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel Site-To-Site (với các sản phẩm VPN khác)

Khả năng quản lý:

- Dễ dàng quản lý

- Rất nhiều Wizard

- Backup và Restore đơn giản

- Cho phép ủy quyền quản trị cho các User /Group

- Log và Report chi tiết cụ thể

- Cấu hình 1 nơi, chạy ở mọi nơi

- Khai báo thêm Server vào Array dễ dàng

Các tính năng khác:

- Hỗ trợ nhiều CPU và RAM (bản standard hỗ trợ đến 4 CPU, 2GB RAM)

- Hỗ trợ nhiều Network

- Route/NAT theo từng network

- Firewall Rule đa dạng

- IDS

- HTTP compression

CHƯƠNG 3: TỔNG QUAN THIẾT KẾ MẠNG VÀ TRIỂN KHAI ISA SERVER

CHO DOANH NGHIỆP

3.1 Những yêu cầu chung của việc thiết kế mạng

Yêu cầu chung của một hệ thống mạng LAN sau khi thiết kế xong phải thỏa mãn các điều kiện sau:

- Phải đảm bảo các máy tính trong công ty trao đổi được dữ liệu với nhau

- Chia sẻ được máy in, máy Fax

- Tổ chức phân quyền truy cập theo từng người dùng

- Cho phép các nhân viên đi công tác có thể truy cập vào công ty

- Tổ chức hệ thống mail nội bộ và Internet

- Tổ chức Web nội bộ và Internet

- Cài đặt các chương trình ứng dụng phục vụ cho công việc của các nhân viên

- Sử dụng Switch (không sử dụng Hub) vì Switch có khả năng mở rộng tối

ưu hơn Hub, tốc độ truyền dữ liệu nhanh

- Dùng cáp STP không dùng UTP vì STP chống nhiễu, tốc độ truyền tín hiệu nhanh, không bị nghe trộm

- Tiết kiệm chi phí do sử dụng hệ thống mạng BootRom

- Không sợ xảy ra trục trặc về hệ điều hành

Nhược điểm:

- Cấu hình máy Server phải mạnh

- Khó khăn trong việc cài đặt thêm phần mềm cho client

- Máy Server phải cài nhiều dịch vụ cung cấp cho các máy client

- Card mạng phải bắt buộc hỗ trợ BootRom theo chuẩn PXE với version 0.99 trở lên

- Phụ thuộc nhiều vào Server

- Mọi sự thay đổi trên ổ cứng ảo của Client đều không có giá trị

- Ram của hệ thống sẽ bị giảm do được sử dụng làm cache

- Khó đáp ứng được yêu cầu của nhiều ứng dụng khác nhau

- Khi đoạn cáp hay các đầu nối bị hở ra thì sẽ có hai đầu cáp không nối được với terminator nên tín hiệu sẽ bị dội ngược và làm toàn bộ hệ thống mạng phải ngưng hoạt động Những lỗi như thế sẽ rất khó phát hiện ra là hỏng ở chỗ nào nên công tác quản trị rất khó khi mạng lớn

3.1.2 Triển khai thiết bị

- Loại Mạng: VLAN

- Topo: Kết nối mạng theo mạng hình sao chuyển đổi qua các switch layer 3

- Số nút mạng: Tối thiểu 20 nút mạng tương ứng với số máy gia nhập mạng của công ty

- Internet: 2 đường ADSL sẽ do 2 nhà cung cấp khác nhau cung cấp( VNPT và FPT)

- Cáp xoắn đôi UTP Cat5

- Mô hình mạng: Server-Client

- Hệ điều hành:

+ Server cài Winserver 2003 Enterpisre Edition

+ Client cài Win Xp Pro

3.2 Triển khai ISA Firewall cho hệ thống doanh nghiệp

Yêu cầu và bố trí:

- 2 Swich 24 port layer 3 để kết nối từ máy sever đến 2 tầng có chức năng định tuyến giữa các VLAN ảo, mỗi tầng sẽ đặt 1 swich nối đến 3 phòng ban trong tầng

đó

- 18 máy tính cho các phòng tiếp tân, kinh doanh, kế toán và kế hoạch

- 2 laptop dành cho phó giám đốc và giám đốc

Sơ đồ phòng ban

Trên đây là mô hình phòng ban Kế Toán, Kinh Doanh, Tiếp Tân, kế Hoạch

Mỗi Phòng có 10 máy trong đó có 1 máy của trưởng phòng, 9 máy còn lại ta xếp theo 3 hàng dọc và 3 hàng ngang

3.3 Cài đặt ISA Server 2006 và các dịch vụ

172.16.1.1 192.168.1.1

172.16.1.1 192.168.1.1

- Nâng cấp máy DC lên Domain Controller với tên congtymtdt.com

- Tạo OU Quantri với 2 user giamdoc, pgiamdoc, group Quantri

- Tạo OU Nhanvien Với user Kế Toán, Tiếp Tân, Kế Hoạch, Kinh Doanh và group Nhanvien

- Join máy ISA Server vào domain congtymtdt.com

- Join máy Giám Đốc vào domail congtymtdt.com 3.3.2 Nâng cấp Server lên Domain Controler

Domain name: congtymtdt.com

Click Start -> Chọn Run Nhập vào dcpromo, ok hộp thoại cảnh báo Win 95, Win

NT sp3 trở về trước sẽ bị loại ra khỏi miền

Domain Controller for a new

domain: Tạo ra một Domain

mới, Server hiện thời sẽ trở

thành một Domain Controller

đầu tiên trong Domain mới này

Hộp thoại Create New Domain

lựa chọn: Domain in a new

forest: tạo một domain hoàn

toàn mới

Hiện cửa sổ New Domain

Name, nhập vào tên Domain:

congtymtdt.com

Hệ thống yêu cầu đặt Password,

tiếp theo là tổng hợp những

thông tin đã cấu hình Active

Directory và tiến hành cài đặt

Sau khi kết thúc quá trình cài

đặt, Finish và khởi động lại hệ

thống

3.3.3 Cài đặt MS ISA Server 2006 trên máy ISA Server

Mở Windows Explorer, vào thư mục chứa bộ cài ISA SERVER 2006 chạy file

isaautorun.exe

Hộp thoại Insatallation Wizard Completed, nhấn Finish

Khi ISA được cài vào thì đầu tiên ISA sẽ cấm mọi máy trong mạng “Ping” tới máy đó Firewall Policy trong ISA có 1 quy tắc có tên là “Last Default rule” và Rule này

là Rule mặc định không thể nào xoá được Rule này đang thực thi 1 hành động là cấm đoán, cấm đoán tất cả mọi hành động

3.3.4 Cài đặt và cấu hình Firewall Client

Trên máy DC, logon Administrator

- Cài đặt ISA Firewall Cilent trong đĩa CD cài đặt (thư mục Client)

- Hộp thoại Welcome to the Install, nhấn Next

- Hộp thoại ISA Server Computer Selection, nhập vào địa chỉ IP của máy ISA Server, nhấn Next

- Tạo quy tắc truy vấn DNS để phân giải tên miền

- Tạo quy tắc cho phép các User thuộc nhóm Quanly truy cập Internet không hạn chế

- Tạo quy tắc cho phép các User thuộc nhóm Nhanvien chỉ được phép truy cập một số trang web trong giờ hành chính

- Tạo quy tắc cho phép các User thuộc nhóm Nhanvien được truy cập web trong giờ giải lao, ngoại trừ ngoisao.net

- Không cho nghe nhạc trực tuyến, cấm chat Yahoo, cấm download file có đuôi exe