TỔNG QUAN VỀ FOREFRONT THREAT MANAGEMENT GATEWAY (TMG) 2010 An toàn hệ thống vấn đề quan tâm hành đầu công ty Microsoft giới thiệu sản phẩm Microsoft Threat Management Gateway (TMG) 2010 phiên “Firewall” Microsoft thay cho sản phẩm ISA Server 2006 Với tính bảo mật nâng cao đáng kể, giải vấn đề Virus Spyware mang lại tình trạng an ninh tốt cho hệ thống mạng bạn, bạn yên tâm nhân viên công ty truy cập internet cách hiệu mà không lo lắng phần mềm độc hại (malware) mối đe dọa khác Trước kia, Microsoft đưa phiên software firewall ISA 2004, ISA 2006 phiên firewall hỗ trợ hệ điều hành trước như: Windows Server 2000, Windows XP, Windows Server 2003 mà không hỗ trợ hệ điều hành Microsoft như: Windows 7, Windows Server 2008 Vì để cài đặt tường lửa hệ điều hành Windows hay Windows Server 2008 phải sử dụng đến software Microsoft Microsoft forefront Threat Management Gateway 2010 Theo Microsoft giới thiệu Forefront TMG tường lửa (Firewall) chương trình chuyên bảo mật hệ thống mạng Mọi thông tin vào hệ thống phải qua Forefront TMG kiểm duyệt kỹ lưỡng Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN, người dùng công ty sử dụng Internet để kinh doanh mà không cần lo ngại phầm mềm độc hại mối đe dọa khác Nó cung cấp nhiều lớp bảo vệ liên tục cập nhật, bao gồm tất tính tích hợp vào một, (TMG) cho phép bạn dễ quản lý mạng, giảm chi phí độ phức tạp việc bảo mật web Hay nói cách khác dựng Forefront TMG lên mô hình mạng chia làm phần riêng biệt: - Internal Network: Bao gồm tất máy tính có mạng - Local Host: tường ngăn cách mạng giới, máy Forefront TMG - External Network: mạng Internet, mạng Internet xem phần mô hình Forefront TMG mà - Quá trình phát triển Forefront TMG 2010: Quá trình phát triển MS Forefront TMG 2010 trải qua giai đoạn phát triển sau: o 1/1997 - Microsoft Proxy Server v1.0 (Catapult) o 18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000) o 08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA Server 2004) o 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006) o 17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) A Các chức TMG 2010 Các chức Forefront TMG 2010 B Các tính bật TMG 2010 – Enhanced Voice over IP – cho phép kết nối & sử dụng VoIP thông qua TMG – ISP Link Redundancy – hỗ trợ load balancing & failover cho nhiều đường truyền internet – Web anti-malware – quét virus, phần mềm độc hại & mối đe dọa khác truy cập web – URL filtering – cho phép cấm truy cập trang web theo danh sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat… – HTTPS inspection – kiểm soát gói tin mã hóa HTTPS để phòng chống phần mềm độc hại & kiểm tra tính hợp lệ SSL Certificate – E-mail protection subscription service – tích hợp với Forefront Protection 2010 for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware, spam e-mail hệ thống Mail Exchange – Network Inspection System (NIS) – ngăn chặn công dựa vào lỗ hổng bảo mật – Network Access Protection (NAP) Integration – tích hợp với NAP để kiểm tra tình trạng an toàn client trước cho phép client kết nối VPN – Security Socket Tunneling Protocol (SSTP) Integration – Hỗ trợ VPN-SSTP – Windows Server 2008 with 64-bit support – Hỗ trợ Windows Server 2008 & Windows Server 2008 R2 64-bit C Các phiên Forefront TMG 2010: D Yêu cầu cấu hình hệ thống: - Hệ điều hành hỗ trợ TMG 2010: Windows Server 2008 Yêu cầu tối thiếu hệ thống: o Hệ điều hành hỗ trợ: Windows Server 2008 SP2 or Windows Server 2008 R2 o CPU core (1 CPU x dual core) 64-bit processor o Bộ nhớ RAM 2GB o Bộ nhớ cứng tối thiểu 2.5 GB Phần không bao gồm ổ đĩa để lưu trữ cache cấc file cảnh báo hệ thống… - - - o Bộ nhớ cứng lưu trự phải định dạng NTFS o Một card mạng để kết nối với Internet o Thêm tối thiểu card mạng đại diện cho mạng kết nối trực tiếp với Forefront TMG Server Yêu cầu khuyên dùng hệ thống: o Hệ điều hành hỗ trợ: Windows Server 2008 SP2 or Windows Server 2008 R2 o Máy tính với CP core (2 CPU x dual core or CPU x quad core) 64-bit processor o RAM GB o Bộ nhớ cứng tối thiểu 2.5 GB Phần không bao gồm ổ đĩa để lưu trữ cache cấc file cảnh báo hệ thống… o Tốt có ổ cứng cho hệ thống file log, ổ cho caching chống malware o Một card mạng để kết nối với Internet o Thêm tối thiểu card mạng đại diện cho mạng kết nối trực tiếp với Forefront TMG Server Yêu cầu phần mềm: o Windows Roles and Features  Network Policy and Access Server  Active Directory Lightweight Directory Services (ADLDS)  Network Load Balancing (NLB) o Microsoft.NET 3.5 FrameWork SP1 o Windows Web Services API E Cài đặt hệ thống TMG 2010: Máy TMG cần có hai card mạng với địa IP tĩnh: o Một Card Internal (VMNET 2): o Một Card External kết nối với Internet (Bridged): - - - Tải file cài đặt từ địa chỉ: o https://www.microsoft.com/en-us/download/details.aspx?id=14238  TMG_ENU_SE_EVAL_AMD64.exe (Bản Standard Edition)  TMG_ENU_Management_x86.exe  TMG_ENU_EE_EVAL_AMD64.exe (Bản Enterprise Edition) Click file TMG_ENU_EE_EVAL_AMD64.exe để bắt đầu cài đặt Sau chạy file cài đặt xuất cửa sổ Welcome to the InstallShield Wizard for Microsoft Forefront Threat Management Gateway đê bắt đầu giải nén file cài đặt Bấm NEXT để tiếp tục phần giải nén Tại cửa sổ ta chọn ổ đĩa lưu trữ chương trình cài đặt (có thể thay đổi nơi lưu trữ chương trình cài đặt) Để mặc định bấm NEXT Sau chạy chương trình giải nén xong, bắt đầu xuất sổ cài đặt chương trình TMG 2010 để bắt đầu cài đặt Giao diện cài đặt ForeFront TMG ra, chưa cập nhập vá lỗi Windows ta chọn Run Windows Update - Quá trình khoản vài phút tùy theo tốc độ mạng tài nguyên hệ thống - Sau chạy chương trình cập nhật, để bắt đầu cài đặt cách nhấn vào trang Run Preparation Tool trang Welcome Trên trang Welcome To The Preparation Tool for Microsoft Forefront Threat Management Gateway (TMG), thể hình, kích Next - Khi cửa sổ License Agreement xuất hiện, đọc Microsoft Software License Terms, chọn I Accept The Terms In The License Agreement, nhấn Next - Ở hình tùy chọn là: o Install Forefront TMG Services and Management: tùy chọn cài đặt thành phần cần thiết để hoạt động tường lửa TMG proxy quản lý giao diện điều khiển o Install Forefront TMG Management Only: tùy chọn cài đặt thành phần yêu cầu quản lý từ xa TMG o Enterprise Management Server (EMS) for centralized array management: Tùy chọn cài đặt thành phần cần thiết để hoạt động Enterprise Management Server Bạn phải có máy chủ cài đặt với vai trò để tạo tham gia mảng doanh nghiệp Thành phần không cần thiết cho độc mảng - Bây giờ, bạn nên chọn Install Forefront TMG Services and Management Nhấn Next - Trong trang Preparing System, bạn thấy tiến trình cài đặt cho phần mềm - Giao diện Preparation Complete thể phần mềm cài đặt thành công - Lúc hình chào Welcome to the Installation Wizard for Forefront TMG Enterprise xuất Kích Next để cài đặt TMG EE - Bản ghi New Host A có thành phần sau: Location: tên domain name mà máy thành viên Name: tên máy tính IP address: địa IP tương ứng máy có tên ô Name Cách tạo: Click vào domain Forward lookup zones, click chuột phải chọn New Host A - Ở đây, tạo ghi A phân giải từ tên máy SRV địa Điền thông tin hình , tích chuột Create associated pointer (PTR) record để máy tự tạo ghi phân giải ngược (PTR) Sau click vào Add Host - Quá trình tạo New host A hoàn tất Tạo ghi CNAME: - Bản ghi CNAME gồm có thành phần sau: o Parent domain: cho biết domain name hành o Alias name: tên định danh cần đặt.Ví dụ:www Web Server o Fully qualified name for target host: tên máy DNS đầy đủ máy cần đặt định danh - Click chuột phải chọn New Alias - Điền tên ghi, www sau click Browse - Click trỏ đến DNS Server - Sau click trỏ đến ghi A - Sau chọn OK để hoàn tất - Ta có kết hình - Kiểm tra DNS vừa tạo, ta vào CMD gõ lệnh nslookup, sau câu lệnh truy vấn để kiểm tra - Các câu lệnh DNS: o Ipconfig /flushdns: xóa cache DNS o Ipconfig /displaydns: hiển thị cache DNS o Ipconfig /registerdns: cập nhật lại DNS o NSlookup: tìm máy chủ DNS o Net start dns: lệnh khởi động lại dịch vụ DNS server o Net stop dns: lệnh tạm dừng dịch vụ DNS server B XÂY DỰNG DHCP SERVER: a Cài đặt DHCP server: DHCP Server “role” Windows Server 2008 – thành phần riêng biệt trước Để cài đặt Windows Server 2008 - DCHP Server, bạn cần hệ thống Windows Server 2008 cài đặt cấu hình với địa IP tĩnh Để bắt đầu trình cài đặt DHCP, bạn kích vào Add Roles từ cửa sổ Initial Configuration Tasks từ Server Manager - Roles - Add Roles Khi Add Roles Wizard xuất hiện, bạn kích Next hình Tiếp đến, chọn thành phần muốn bổ sung, DHCP Server Role, sau kích Next Nếu địa IP tĩnh gán máy chủ bạn gặp cảnh báo, cảnh báo thông báo cho bạn biết bạn không nên cài đặt DHCP với địa IP động Ở đây, bạn nhắc nhở thông tin IP mạng, thông tin phạm vi thông tin DNS Nếu cài đặt DHCP server mà không cần cấu hình phạm vi thiết lập, bạn cần kích Next xuyên suốt chất vấn trình cài đặt Mặt khác, bạn cấu hình tùy chọn DHCP Server suốt giao đoạn trình cài đặt Trong trường hợp chúng tôi, chọn để cấu hình số thiết lập IP cấu hình DHCP Scope Chúng thể giàng buộc kết nối mạng yêu cầu thẩm định nó, giống bên dưới: - Chọn mặc định kích Next - Tiếp đến, nhập vào Parent Domain, Primary DNS Server, Alternate DNS Server(xem hình bên dưới) kích Next - Chọn NOT để sử dụng WINS mạng kích Next - Cấu hình DHCP scope cho DHCP Server o Chọn cấu hình dải địa IP 192.168.1.50 - 70 cho 20 máy khách mạng nội o Click Add để bổ sung thêm phạm vi o Đặt tên Scope Local, cấu hình địa IP bắt đầu kết thúc 192.168.1.50 192.168.1.70 o Subnet mask 255.255.255.0 o Default gateway 192.168.1.2, kiểu subnet (chạy dây), activated the scope - Quay trở lại hình Add Scope, Click Next để bổ sung thêm phạm vi (khi DHCP Server cài đặt) Chọn Disable DHCPv6 stateless mode cho máy chủ kích Next - Sau xác nhận DHCP Installation Selections (trên hình bên dưới) kích Install - DHCP Server cài đặt thấy cửa sổ xuất hình bên dưới: - Kích Close để đóng cửa sổ cài đặt, sau chuyển sang cách quản lý DHCP Server b Cấu hình quản lý DHCP server: - Để khởi động hệ thống DHCP Server – vào Administrator Tool – DHCP - Tạo Scope DHCP: Trong cửa sổ DHCP, chuột phải vào IPv4 chọn new scope Sau chọn Next - - Tại cửa sổ Scope Name, đặt tên cho Scope muốn tạo nhấn Next Màn hình tiếp theo, nhập chuỗi IP mà DHCP server cấp Sau nhấn Next Trên cửa sổ Add Exclusions, nhập địa mà DHCP không cấp động, dành địa IP cho việc gán thành IP tĩnh cho máy chủ Việc phân định nên quán toàn hệ thống mạng để dễ dàng cho trình kiểm tra, giám sát quản trị địa IP Các IP mục Exclusion IP nằm dải không cấp động Leased duration thời gian mà DHCP server đòi lại địa IP từ máy client Việc làm giảm việc lãng phí IP mạng Tùy vào mô hình mạng mà đặt Lease duration phù hợp Với mạng có nhiều máy laptop, nên đặt thời gian thấp, ví dụ khoảng ngày Với mạng có nhiều máy để bàn, đặt thời gian dài tuần Click Next để tiếp tục Trên hình Configure DHCP Options click Next, ý chọn Yes, I want to configure there options now để tiếp tục cấu hình cho DHCP Cấu hình Gateway cho DHCP client chọn Add để add vào, click Next Cấu hình địa DNS server mà máy DHCP client nhận sau chọn Add Chú ý điền tên miền vào Parent domain dhspktvinh.vn, sau click Next Winds Server không dùng, click next để tiếp tục Sau tạo xong active scope để cấp IP Chọn Finish để kết thúc trình cấu hình DHCP Tính reservation tính gán IP định vào địa MAC Việc tránh cho việc giả mạo địa MAC mạng nội để đảm bảo an toàn mạng Cách gán sau, chuột phải vào Reservations chọn New Reservations Điền địa hình - Sau chọn Add ta sau - - - Sau tạo xong scope, thay đổi thông số Router, DNS… add thêm option Phải chuột vào DHCP chọn Reconcile, sau chọn verify Khi DHCP server so sánh sở liệu DHCP với Regedit để tránh trường hợp trùng lặp lỗi Việc thực DHCP chạy lâu Nếu không gặp lỗi nào, hệ thống báo Trên client vào sổ run, gõ cmd sau gõ lệnh ipconfig /renew để xin cấp IP từ máy chủ DHCP Một số câu lệnh với DHCP: o Ipconfig /all: kiểm tra địa IP cấp o Ipconfig /release: bỏ địa IP nhận từ DHCP server o Ipconfig /renew: nhận lại địa IP từ DHCP server o Net stop dhcpserver: tắt dịch vụ DHCP server o Net start dhcpserver: bật lại dịch vụ DHCP server Sao lưu DHCP: - Trong cửa sổ quản trị DHCP, click vào dhspktvinh.vn chọn Backup - Browse đến file nơi lữu trữ chọn OK để đồng ý Phục hồi DHCP: - Trong cửa sổ quản trị DHCP, click vào dhspktvinh.vn chọn Restore - Chọn folder chứa file backup trước đó, ý chọn folder chứa file backup minh click OK Đợi lúc để hệ thổng restore, sau resote sở liệu DHCP phục hồi lại trạng lúc backup ... Server 2006 (ISA Server 2006) o 17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010) A Các chức TMG 2010 Các chức Forefront TMG 2010 B Các tính bật TMG 2010 – Enhanced... là: o Install Forefront TMG Services and Management: tùy chọn cài đặt thành phần cần thiết để hoạt động tường lửa TMG proxy quản lý giao diện điều khiển o Install Forefront TMG Management Only:... Preparation Tool trang Welcome Trên trang Welcome To The Preparation Tool for Microsoft Forefront Threat Management Gateway (TMG), thể hình, kích Next - Khi cửa sổ License Agreement xuất hiện,