December 10, 2010 ISA FIREWALL Đại Học Quốc Gia TP Hồ Chí Minh Trường Đại Học Công Nghệ Thông Tin -  - QUẢN TRỊ HỆ THỐNG MẠNG Đề Tài: ISA FIREWALL NHÓM 14 SINH VIÊN THỰC HIỆN : NGUYỄN HOÀNG DŨNG MSSV: 07520062 NGUYỄN VĂN MỸ MSSV: 07520230 LÊ TIẾN ĐẠT MSSV: 07520078 Khoa: Mạng Máy Tính & Truyền Thông GVHD :TS VŨ TRÍ DŨNG  TP-HCM  2010 December 10, 2010 ISA FIREWALL MỤC LỤC LỜI NÓI ĐẦU…………………………………………………………………………………… CHƯƠNG GIỚI THIỆU……………………………………………………………………… 1.1 Tổng quan bối cảnh…………………………………………………………………… 1.2 Sự cần thiết sử dụng công cụ mạng……………………………………………………… 1.2.1 Bảo vệ liệu…………………………………………………………………… 1.2.2 Bảo vệ tài nguyên mạng………………………………………………………… 1.3 Giới thiệu Firewall……………………………………………………………………… 1.3.1 Firewall gì……………………………………………………………………… 1.3.2 Phân loại Firewall………………………………………………………………… 1.4 Mục đích viết………………………………………………………………………… CHƯƠNG TÌM HIỂU VỀ ISA SERVER 2006……………………………………………… 2.1 Giới thiệu phần mềm ISA………………………………………………………………… 2.2 Chức ISA……………………………………………………………… 2.3 Cài đặt cấu hình ISA……………………………………………………………… 2.3.1.Cài đặt phần mềm ISA Server…………………………………………………… 2.3.2.Cấu hình ISA Client……………………………………………………………… 2.4 Thiết lập số rule co cho ISA…………………………………………………… 2.4.1 Rule cho phép người dùng truy cập mạng bên ngoài…………………………… 2.4.2 Rule cấm người dùng truy cập vào trang web…………………………………… CHƯƠNG ĐÁNH GIÁ VÀ SO SÁNH PHẦN MỀM ISA VỚI MỘT VÀI CÔNG CỤ…… December 10, 2010 ISA FIREWALL 3.1 Điềm yếu ISA Server so với firewall cứng……………………………………………… 3.2 Điểm mạnh ISA Server so với Windows Firewall……………………………………… LỜI KHUYÊN…………………………………………………………………………………… KẾT LUẬN……………………………………………………………………………………… TÀI LIỆU THAM KHẢO……………………………………………………………………… CHƯƠNG GIỚI THIỆU 1.1 Tổng quan bối cảnh - Trong năm 2008, Symantec phát 55.389 máy chủ đặt website lừa đảo, tăng 66% so với số 33.428 năm 2007 Những lừa đảo liên quan đến dịch vụ tài chiếm tới 76% vụ lừa đảo năm 2008, tăng mạnh so với số 52% năm 2007 December 10, 2010 ISA FIREWALL - 90% mối đe doạ bảo mật phát Symantec giai đoạn nghiên cứu trọng vào ăn cắp thông tin quan trọng Những đe dọa khả nhớ bàn phím (keystroke-logging) - dùng để ăn cắp thông tin thông tin tài khoản ngân hàng trực tuyến - chiếm tới 76% tổng mối đe doạ nhắm tới thông tin quan trọng, tăng so với số 72% năm 2007 (http://www.qnict.vn/index.php?option=com_content&view=article&id=40:cac-hoat-dong-tancong-mang-tiep-tuc-phat-trien-o-muc-ki-luc&catid=3:tin-cong-ngh-thong-tin ,07 Tháng 2009) 1.2 Sự cần thiết sử dụng công cụ mạng 1.2.1 Bảo vệ liệu: Thông tin lưu trữ máy phải đảm bảo số yêu cầu sau: - Tính toàn vẹn: thông tin không bị sửa đổi - Tính bảo mật: thông tin quân sự, kinh doanh… phải đảm bảo không bị tiết lộ 1.2.2 Bảo vệ tài nguyên mạng - Ngăn chặn việc công xâm nhập hệ thống sửa đổi, tìm kiếm thông tin nhạy cảm… dùng hệ thống công mạng khác - Nếu máy tính bạn không bảo vệ, bạn kết nối Internet, tất truy cập vào mạng cho phép, hacker lợi dụng trojan, virus truy cập lấy cắp thông tin cá nhân cuả bạn máy tính Chúng cài đặt đoạn mã để công file liệu máy tính December 10, 2010 ISA FIREWALL Chúng sử dụng máy tính cuả bạn để công máy tính gia đình doanh nghiệp khác kết nối Internet 1.3 Giới thiệu Firewall 1.3.1 Firewall gi? - Trong Công nghệ mạng thông tin, FireWall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thông số thông tin khác không mong muốn - Internet FireWall tập hợp thiết bị (bao gồm phần cứng phần mềm) đặt mạng tổ chức, công ty, hay quốc gia (Intranet) Internet Phân loại Firewall Firewall chia làm loại, gồm Firewall cứng Firewall mềm:  Firewall cứng: Là firewall tích hợp Router December 10, 2010 ISA FIREWALL • Đặc điểm: • Không linh hoạt Firewall mềm: (Không thể thêm chức năng, thêm quy tắc firewall mềm) • Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) • Firewall cứng kiểm tra nột dung gói tin  Firewall mềm: Là Firewall cài đặt Server • Đặc điểm: • Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức • Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) • Firewal mềm kiểm tra nội dung gói tin (thông qua từ khóa) • Ví dụ Firewall mềm: Zone Alarm, Norton Firewall… 1.3.2 Chức Firewall December 10, 2010 ISA FIREWALL Chức Firewall kiểm soát luồng thông tin từ Intranet Internet Thiết lập chế điều khiển dòng thông tin mạng bên (Intranet) mạng Internet Cụ thể là: • Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) • Cho phép cấm dịch vụ phép truy nhập vào (từ Internet vào Intranet) • Theo dõi luồng liệu mạng Internet Intranet • Kiểm soát địa truy nhập, cấm địa truy nhập • Kiểm soát người sử dụng việc truy nhập người sử dụng • Kiểm soát nội dung thông tin thông tin lưu chuyển mạng “The firewall itself is positioned logically between the internal network (the LAN) and the external network(the WAN)” (TACTICAL PERIMETER DEFENSE , p 156) Ngoài việc ngăn chặn cho phép truy cập, ngày firewall cung cấp thêm số dịch vụ như:  Network Access Translation  Data caching  Restriction on content December 10, 2010 1.4 ISA FIREWALL Mục đích viết Để đảm bảo an ninh mạng, việc đầu tư cho người cần tương xứng với việc đầu tư trang thiết bị Phần lớn cố an ninh nghiêm trọng doanh nghiệp tổ chức xuất phát từ yếu tố người sản phẩm bảo mật bao gồm software hardware Ở bàn Firewall ISA Bài báo cáo công cụ ISA sẽ giải vấn đề bảo mật cho doanh nghiệp vừa nhỏ Sau giới thiệu hiểu rõ sách bảo mật ISA server biết điểm mạnh yếu ISA với phần mềm khác CHƯƠNG TÌM HIỂU VỀ ISA SERVER 2006 2.1 Giới thiệu phần mềm ISA “ ISA Server 2006 is a firewall that helps to provide secure Internet connectivity ISA Server 2006 is an integrated solution optimized for application-layer defense, stateful packet inspection (SPI), and secure web publishing.” December 10, 2010 ISA FIREWALL Trích nguyên văn: (ISA Server 2006 SE/EE Common Criteria Evaluation p 8, www.commoncriteriaportal.org/files/epfiles/0453b.pdf ) - ISA 2006 có phiên cài đặt Standard Enterprise phục vụ cho môi trường khác - Standard đáp ứng nhu cầu bảo vệ chia sẻ băng thông cho công ty có quy mô trung bình Với phiên ta xây dựng firewall kiểm soát luồng liệu vào hệ thống mạng nội công ty, kiểm soát trình truy nhập người dùng theo giao thức, thời gian nội dung site… - ISA server 2006 enterprise sử dụng mô hình mạng lớn Ngoài tính Standard cung cấp cho phép thiết lập hệ thống mảng Array ISA Server sử dụng sách giúp dễ dàng quản lý cung cấp tính load balancing 2.2 Chức ISA Ngoài chức soft, hoc không? + Cho phép cấm dịch vụ truy nhập (từ Intranet Internet) + Cho phép cấm dịch vụ phép truy nhập vào mạng + Dễ giám sát hoạt động hệ thống + Theo dõi luồng liệu mạng Internet Intranet + Kiểm soát địa truy nhập, cấm địa truy nhập + Kiểm soát người sử dụng việc truy nhập người sử dụng + Kiểm soát nội dung thông tin thông tin lưu chuyển mạng +Hỗ trợ người dùng bảo mật thiết lập kết nối VPN, Web proxy… December 10, 2010 ISA FIREWALL (Michael Noel, D 2007, Microsoft ISA Server 2006 Unleashed, Sams, p 36) 2.3 Cài đặt cấu hình ISA 2.3.1.Cài đặt phần mềm ISA Server - ISA Server 2006 cài đặt hệ điều hành Windows,những tính ISA Server cài đặt suốt trình cài đặt bao gồm: - Firewall service: chứa tất tính cốt lõi firewall việc điều khiển traffic mạng - Advanced logging; cung cấp database cho ISA log (Michael Noel, D 2007, Microsoft ISA Server 2006 Unleashed, Sams, p 44) - Chạy file autorun cài chọn Install ISA Server 2006: 10 December 10, 2010 ISA FIREWALL - B2 Đặt tên cho rule 15 December 10, 2010 ISA FIREWALL - B3.Action Rule >Chọn Allow - B4.Người dùng chọn giao thức phù hợp để sử dụng HTTP, HTTPS… 16 December 10, 2010 - ISA FIREWALL B4 Chọn Access Rule Source Internal Access Rule Destination External - Chọn All User 17 December 10, 2010 ISA FIREWALL Sau đó APPLY 2.4.2 Rule cấm người dùng truy cập vào trang web vietnamnet - B1.Định nghĩa URL Set, vietnamnet Vào Toolbox/New/URL set: 18 December 10, 2010 ISA FIREWALL - B2 Chú ý add trang web,muốn chặn trang trang web ta cần sử dụng ký tự đại diện dấu * - B3.Định nghĩa làm việc,ta vào Toolbox/Thẻ Schedules/Chọn New 19 December 10, 2010 ISA FIREWALL  Lưu lại Schedule với tên Gio lam viec - B4 Tiếp theo tạo New Access Rule tương tự với giao thức HTTP, HTTPS… 20 December 10, 2010 ISA FIREWALL - B5.Chọn nguồn Internal - B6.Chọn đích URL tạo Tạo xong ta Properties Rule vừa tạo Trong tab Schedule chọn làm việc 21 December 10, 2010 ISA FIREWALL *Kiểm tra Rule vừa tạo: Mở IE truy cao vietnamnet (Giáo trình ISA SERVER 2006 Trung tâm Nhất Nghệ) 22 December 10, 2010 ISA FIREWALL CHƯƠNG ĐÁNH GIÁ VÀ SO SÁNH PHẦN MỀM ISA VỚI MỘT VÀI CÔNG CỤ 3.1 Điềm mạnh ISA Server so với Windows Firewall 3.1.1 Tổng quan về Window Firewall: Tường lửa (Firewall) Windows lọc tra trạng thái gói liệu (Stateful firewall) cho phép khóa chặn lưu lượng mạng theo cấu hình Bộ lọc liệu bảo vệ máy tính cách sử dụng danh sách điều khiển truy cập (ACL - Access Control List Stateful firewall kiểm tra trạng thái kết nối tích cực sử dụng thông tin để xác định gói liệu phép qua tường lửa Nếu người dùng bắt đầu truyền thông với máy tính nằm bên tường lửa, tường lửa nhớ đàm thoại cho phép gói liệu thích hợp gửi trở lại Nếu máy tính bên cố gắng truyền thông với máy tính bảo vệ stateful firewall, gói liệu bị chặn lại cách tự động trừ truy cập cho phép ACL Windows Firewall with Advanced Security - Inbound rules: Windows Firewall khóa lưu lượng gửi đến trừ cho phép rule - Outbound rules: Windows Firewall cho phép tất lưu lượng gửi trừ bị khóa rule 23 December 10, 2010 ISA FIREWALL - Connection security rules: Windows Firewall sử dụng rule bảo mật kết nối để thực thi thẩm định hai máy tính ngang hàng trước chúng thiết lập kết nối Các rule bảo mật kết nối sử dụng Ipsec để thực thi yêu cầu bảo mật (Định tuyến và lọc lưu lượng mạng – phần 2: Window Firewall) 3.1.2 So sánh ISA 2006 và Window Firewall: Những ưu điểm ISA SERVER 2006 ƯU ĐIỂM: - Dễ quản lý Rất nhiều Winzard Backup Restore đơn giản Cho phép uỷ quyền quản trị cho User/Group - Log Report cực tốt - Cấu hình nơi, chạy nơi - Dễ cấu hình môi trương GUI - Không đòi hỏi nhiều kiến thức chuyên môn - Linh hoạt việc lọc gói tin Những ưu điểm của Window Firewall - Được tích hợp miễn phí Window tên Windows Giao diện quản lý mang Firewall with Advanced Security cung cấp truy cập đến nhiều tùy chọn nâng cao cho phép quản trị từ xa - Windows Firewall hỗ trợ lọc kết nối IPv6 - Sử dụng phương pháp lọc gói liệu gửi đi, bảo vệ máy tính chống lại spyware virus muốn liên lạc với máy tính từ bên KHUYẾT ĐIỂM: - Là một phần mềm có phí khá cao, - Với Windows profile khác “active” cho adapter mạng 24 December 10, 2010 ISA FIREWALL 1500USD - - So với Window FireWall thì ISA khó Các rule cấu hình theo tên dịch vụ mà không cần đường dẫn cấu hình - Chưa thực sự mạnh mẽ - Tính còn hạn chế, chưa làm thoả lòng người dùng 3.2 So sánh ISA FireWall so với Firewall cứng Hạn chế cũng cho phép truy cập mạng thông qua ACL bao gồm Standard ACL, Extended ACL, Complex Accesslist, Dynamic ACL… Đặc tính:  Cho phép tăng thêm hoạt động mạng  Cung cấp điều khiền luồng ACL tạo để ngạcn chặn bảng tin cập nhật định  Cung cấp mức độ truy cập cho việc truy cập mạng ACL cho phép tuyến host truy cập đến phận hệ thống hay không  Ngăn chặn hay cho phép truy cập ứng dựng  ACL kiểm tra gói tin dựa vào đặc điểm : Source IP, Des IP… 25 December 10, 2010 ISA FIREWALL Ưu khuyết điểm ISA firewall firewall cứng ISA Firewall Ưu điểm: - Giá thấp - Linh hoạt việc lọc gói tin - Backup Restore đơn giản - Cho phép uỷ quyền quản trị cho Firewall cứng - Giá thành cao Khó cấu hình Đòi hỏi chuyên môn cao Phí bảo dưỡng cao User/Group - Log Report cực tốt - Cấu hình nơi, chạy nơi - Dễ cấu hình môi trương GUI - Không đòi hỏi nhiều kiến thức - Bảo mật cao chuyên môn - Firewall cứng thường khó bị khai thác Khuyết điểm: - Bảo mật lỗ hỗng - Dễ bị khai thác lỗ hỏng tầng - Chạy ổn định - Không phụ thuộc vào môi trường cài application - Chạy ổn định đặt - Firewall mềm thường phụ thuộc vào hệ điều hành 26 December 10, 2010 ISA FIREWALL LỜI KHUYÊN - ISA Server phần mềm cài đặt môi trường windows Phần mềm có giao diện đơn giản dễ sữ dụng thích hợp cho việc cài đặt cấu hình Đặc biệt người dùng monitor ISA Server thích hợp cho việc giám sát tài nguyên, lưu lượng mạng, đồng thời đưa cảnh báo cho admin hệ thống có công chế IDS - Tùy theo sở hạ tầng nhu cầu công ty người quản trị nên lựa chọn phiên ISAServer Standard hay ISA Server Enterprise - Để phát huy ưu điểm ISA Server, người quản trị nên có kiến thức mạng, đưa tập lệnh rule nhằm cấu hình Access Rule hợp lý nâng cao hiệu suất bảo mật, đạt hiệu cao Đặt biệt vị trí cài đặt phần mềm ISA Server quan trọng, ISA Server phải cài đặt máy tính mà cửa ngõ mạng nội kết nối Internet Thông thường máy cài ISA Server phải có card mạng - Để khắc phục nhược điểm ISA Server, cần tăng cường kết hợp Firewall cứng Firewall mềm Tùy theo nhu cầu công ty, trang bị thêm thiết bị phần cứng Router, PIX Firewall… - Người quản trị nên xây dựng mô hình mạng hợp lý trước triển khai ISA Server, giúp việc giám sát traffic hiệu - ISA Server 2006 phần mềm đáng tin cậy cho người dùng việc ngăn chặn công bên 27 December 10, 2010 ISA FIREWALL KẾT LUẬN FireWall cứng, mềm nói chung và ISA FireWall nói riêng các kỹ thuật áp dụng vào hệ thống mạng để chống lại truy cập trái phép vào mạng nội bộ hoặc từ mạng nội bộ ngoài nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống của các hacker Qua việc nghiên cứu phần mềm ISA, nhận thấy các ưu khuyết điểm phần mềm ISA Server 2006 Microsoft phần mềm tích hợp tính tường lửa, đồng thời cung cấp dịch vụ cho người dùng VPN, WEB proxy, quản lí users…Với muốn triển khai hệ thống mạng của mình các máy cài hệ điều hành Window thì chính là phần mềm thực sự cần thiết cho bạn Bài viết ban đầu tính ISA Server giúp người tham khảo có hiểu biết ISA Server nguyên tắc hoạt động 28 December 10, 2010 ISA FIREWALL TÀI LIỆU THAM KHẢO Michael Noel, D 2007, Microsoft ISA Server 2006 Unleashed, Sams Thomas W Shinder,D 2007, Dr Tom Shinder's ISA Server 2006 Migration Guide, Syngress Cisco.com, Configuring IP Access Lists, viewed 19 November 2010, (http://www.cisco.com /en/US/products/sw/secursw/ps1018/products_ tech_note09186a00800a5b9a.shtml) Johan Engdahl, D 2007, ISA 2006 Array Step by step configuration guide, viewed 19 November 2010,( http://www.nappliance.com/support/library/mISA-mISAE/ISAE_ Configuring%20ISA%202006EE%20Array-1.0.pdf ) Microsoft , D 2008, Microsoft Internet Security and Acceleration (ISA) Server, viewed 19 November 2010, (http://www.rsa.com/rsasecured/guides/imp_pdfs/) Microsoft_ISA2006 _AM7.1_WEB_.pdf) Website: • www.isaserver.org • http://www.microsoft.com/forefront/edgesecurity/isaserver 29 ... nguyên mạng - Ngăn chặn việc công xâm nhập hệ thống sửa đổi, tìm kiếm thông tin nhạy cảm… dùng hệ thống công mạng khác - Nếu máy tính bạn không bảo vệ, bạn kết nối Internet, tất truy cập vào mạng. .. December 10, 2010 ISA FIREWALL - “NEXT” - Chọn Custom Ở hỗ trợ dịch vụ Firewall Services ISA Server Management 11 December 10, 2010 ISA FIREWALL - Chọn giao tiếp mạng cho hệ thống nội bộ(internal)... monitor ISA Server thích hợp cho việc giám sát tài nguyên, lưu lượng mạng, đồng thời đưa cảnh báo cho admin hệ thống có công chế IDS - Tùy theo sở hạ tầng nhu cầu công ty người quản trị nên lựa