Đang tải... (xem toàn văn)
Trong số những sản phẩm tường lửa (firewall) trên thị trường hiện nay thì ISA Server 2004 của Microsoft được nhiều người yêu thích do khả năng bảo vệ hệ thống mạnh mẽ cùng với cơ chế quản lý linh hoạt. ISA Server 2004 Firewall có hai phiên bản Standard và Enterprise phục vụ cho những môi trường khác nhau. ISA Server 2004 Standard đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình. Với phiên bản này chúng ta có thể xây dựng firewall để kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty, kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp. Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, hoặc trao đổi dữ liệu giữa các văn phòng chi nhánh. Đối với các công ty có những hệ thống máy chủ quan trọng như Mail Server, Web Server cần được bảo vệ chặt chẽ trong một môi trường riêng biệt thì ISA 2004 cho phép triển khai các vùng DMZ (thuật ngữ chỉ vùng phi quân sự) ngăn ngừa sự tương tác trực tiếp giữa người bên trong và bên ngoài hệ thống. Ngoài các tính năng bảo mật thông tin trên, ISA 2004 còn có hệ thống đệm (cache) giúp kết nối Internet nhanh hơn do thông tin trang web có thể được lưu sẵn trên RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống. Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security Aceleration (bảo mật và tăng tốc Internet). ISA Server 2004 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống. Ngoài những tính năng đã có trên ISA Server 2004 Standard, bản Enterprise còn cho phép thiết lập hệ thống mảng các ISA Server cùng sử dụng một chính sách, điều này giúp dễ dàng quản lý và cung cấp tính năng Load Balancing (cân bằng tải). Bài viết này trình bày cách thức triển khai hệ thống ISA Server (Standar và Enterprise) cho một công ty có số lượng nhân viên trên 50 người. Để cung cấp dịch vụ chia sẻ Internet, công ty sử dụng một đường ADSL và hệ thống ISA Server 2004 Firewall. Với địa chỉ modem ADSL là 1.1.1.2, hệ thống có hai lớp mạng chính là Internal bao gồm các máy tính của nhân viên có dãy địa chỉ IP riêng là 192.168.1.1 – 192.168.1.25524 và DMZ dành cho máy chủ (như Exchange Server, Web Server) sử dụng địa chỉ mạng 172.16.1.024. Máy chủ dùng để cài đặt ISA Server chạy Windows Server 2003 SP1 có 3 NIC (network interface) với địa chỉ IP như sau: Outside Interface: IP 1.1.1.1, Subnet Mask 255.255.255 và Default Gateway 1.1.1.2 (ADSL modem). Inside Interface: IP 192.168.1.10, Subnet Mask 255.255.255.0 và DNS 192.168.1.11 (DNS Server và Domain Controler của hệ thống) DMZ Interface: IP 172.16.1.1, Subnet Mask 255.255.255.0 Nhằm bảo đảm an toàn cho hệ thống và firewall, trên giao tiếp mạng Outside chọn Disable Netbios Over TCP IP, bỏ chọn Register this connections address in DNS và Enable LMHOST lookup như hình sau: Lưu ý: Chức năng Disable NetBIOS over TCPIP làm cho máy tính trở nên vô hình trên mạng, các phần mềm quét lỗi hệ thống như Retina, Nmap sẽ không tìm thấy tên của máy tính, hạn chế trường hợp dò tìm password của những tài khoản theo cơ chế brute force. Các máy chủ giao tiếp với Internet như firewall thường chọn chức năng này, tuy nhiên đối với các máy tính trên mạng nội bộ chúng ta không nên sử dụng vì sẽ ngăn các máy tính khác truy cập vào tài nguyên chia sẻ trên máy như Printer, Folder Share. Một số ứng dụng bảo mật (như PC Security) khi cài đặt sẽ mặc định chọn Disable NetBIOS over TCPIP. II. Cài đặt ISA Sever Sau khi đã thiết lập đầy đủ các thồng tin cần thiết, chúng ta tiến hành cài đặt ISA Server 2004 Standard trên máy tính dùng làm firewall. Chúng ta có thể chọn một trong 3 chế độ cài đặt sau: Typical: ở chế độ này chỉ cài đặt một số dịch vụ tối thiểu, không có dịch vụ Cache. Complete: tất cả các dịch vụ sẽ được cài đặt như Firewall dùng để kiểm soát truy cập; Message Screener cho phép ngăn chặn spam và file đính kèm (cần phải cài IIS 6.0 SMTP trước khi cài Message Screener); Firewall Client Installation Share. Custom: cho phép chọn những thành phần cần cài đặt của ISA Server 2004. Ở đây chúng ta sẽ sử dụng chế độ cài đặt Custom, mặc định chỉ có hai dịch vụ Firewall Services và ISA Server Management, hãy chọn thêm Firewall Client Installation Share. Tiếp theo tiến trình cài đặt sẽ yêu cầu bạn xác định giao tiếp mạng với hệ thống mạng nội bộ (Internal Network), trong cửa sổ Internal Network nhấn Add rồi Select Network Adapter. Đánh dấu chọn Inside trong trang Select Network Adapter. Tiếp theo, chúng ta cần cung cấp dãy địa chỉ IP chứa các máy tính trong mạng nội bộ (From, To). Lưu ý, dãy địa chỉ này phải chứa IP của giao tiếp mạng Inside. Trong cửa số Firewall Client Connection Settings hãy đánh dấu chọn Allow nonencrypted Firewall client connections và Allow Firewall clients running earlier versions of the Firewall client software to connect to ISA Server, nhấn Next trong các bước tiếp theo để hoàn tất quá trình cài đặt. Đối với phiên bản Standard chúng ta nên cài bản vá SP1 ISA2004KB891024X86ENU.msp (có thể tải về từ website www.microsoft.com hay www.security365.orgdownloadssoftware) để bảo đảm hệ thống hoạt động ổn định. Giao diện cài đặt ISA Chọn Install để tiến hành cài đặt Chấp nhận điều khoản sử dụng Sau đó, chọn Install ISA Server services để tiến hành cài đặt các dịch vụ cho ISA Server
TRƯỜNG ĐẠI HỌC KHOA CÔNG NGHỆ THÔNG TIN -*** - AN NINH MẠNG ĐỀ TÀI: Cấu hình DMZ ISA Giảng viên hướng dẫn Lớp Mạng Máy Tính K58 Sinh viên thực Nhóm 06 Hà Nội – 2017 MỤC LỤC I Giới thiệu Trong số sản phẩm tường lửa (firewall) thị trường ISA Server 2004 Microsoft nhiều người yêu thích khả bảo vệ hệ thống mạnh mẽ với chế quản lý linh hoạt ISA Server 2004 Firewall có hai phiên Standard Enterprise phục vụ cho môi trường khác ISA Server 2004 Standard đáp ứng nhu cầu bảo vệ chia sẻ băng thông cho công ty có quy mô trung bình Với phiên xây dựng firewall để kiểm soát luồng liệu vào hệ thống mạng nội công ty, kiểm soát trình truy cập người dùng theo giao thức, thời gian nội dung nhằm ngăn chặn việc kết nối vào trang web có nội dung không thích hợp Bên cạnh triển khai hệ thống VPN Site to Site hay Remote Access hỗ trợ cho việc truy cập từ xa, trao đổi liệu văn phòng chi nhánh Đối với công ty có hệ thống máy chủ quan trọng Mail Server, Web Server cần bảo vệ chặt chẽ môi trường riêng biệt ISA 2004 cho phép triển khai vùng DMZ (thuật ngữ vùng phi quân sự) ngăn ngừa tương tác trực tiếp người bên bên hệ thống Ngoài tính bảo mật thông tin trên, ISA 2004 có hệ thống đệm (cache) giúp kết nối Internet nhanh thông tin trang web lưu sẵn RAM hay đĩa cứng, giúp tiết kiệm đáng kể băng thông hệ thống Chính lý mà sản phẩm firewall có tên gọi Internet Security & Aceleration (bảo mật tăng tốc Internet) ISA Server 2004 Enterprise sử dụng mô hình mạng lớn, đáp ứng nhiều yêu cầu truy xuất người dùng bên hệ thống Ngoài tính có ISA Server 2004 Standard, Enterprise cho phép thiết lập hệ thống mảng ISA Server sử dụng sách, điều giúp dễ dàng quản lý cung cấp tính Load Balancing (cân tải) Bài viết trình bày cách thức triển khai hệ thống ISA Server (Standar Enterprise) cho công ty có số lượng nhân viên 50 người Để cung cấp dịch vụ chia sẻ Internet, công ty sử dụng đường ADSL hệ thống ISA Server 2004 Firewall Với địa modem ADSL 1.1.1.2, hệ thống có hai lớp mạng Internal bao gồm máy tính nhân viên có dãy địa IP riêng 192.168.1.1 – 192.168.1.255/24 DMZ dành cho máy chủ (như Exchange Server, Web Server) sử dụng địa mạng 172.16.1.0/24 Máy chủ dùng để cài đặt ISA Server chạy Windows Server 2003 SP1 có NIC (network interface) với địa IP sau: - Outside Interface: IP 1.1.1.1, Subnet Mask 255.255.255 Default Gateway 1.1.1.2 (ADSL modem) - Inside Interface: IP 192.168.1.10, Subnet Mask 255.255.255.0 DNS 192.168.1.11 (DNS Server Domain Controler hệ thống) - DMZ Interface: IP 172.16.1.1, Subnet Mask 255.255.255.0 Nhằm bảo đảm an toàn cho hệ thống firewall, giao tiếp mạng Outside chọn Disable Netbios Over TCP IP, bỏ chọn Register this connections address in DNS Enable LMHOST Page lookup hình sau: Lưu ý: Chức Disable NetBIOS over TCP/IP làm cho máy tính trở nên "vô hình" mạng, phần mềm quét lỗi hệ thống Retina, Nmap không tìm thấy tên máy tính, hạn chế trường hợp dò tìm password tài khoản theo chế brute force Các máy chủ giao tiếp với Internet firewall thường chọn chức này, nhiên máy tính mạng nội không nên sử dụng ngăn máy tính khác truy cập vào tài nguyên chia sẻ máy Printer, Folder Share Một số ứng dụng bảo mật (như PC Security) cài đặt mặc định chọn Disable NetBIOS over TCP/IP II.Cài đặt ISA Sever Sau thiết lập đầy đủ thồng tin cần thiết, tiến hành cài đặt ISA Server 2004 Standard máy tính dùng làm firewall Chúng ta chọn chế độ cài đặt sau: - Typical: chế độ cài đặt số dịch vụ tối thiểu, dịch vụ Cache - Complete: tất dịch vụ cài đặt Firewall dùng để kiểm soát truy cập; Message Screener cho phép ngăn chặn spam file đính kèm (cần phải cài IIS 6.0 SMTP trước cài Message Screener); Firewall Client Installation Share - Custom: cho phép chọn thành phần cần cài đặt ISA Server 2004 Ở sử dụng chế độ cài đặt Custom, mặc định có hai dịch vụ Firewall Services ISA Server Management, chọn thêm Firewall Client Installation Share Tiếp theo tiến trình cài đặt yêu cầu bạn xác định giao tiếp mạng với hệ thống mạng nội (Internal Network), cửa sổ Internal Network nhấn Add Select Network Adapter Đánh dấu chọn Inside trang Select Network Adapter Tiếp theo, cần cung cấp dãy địa IP chứa máy tính mạng nội (From, To) Lưu ý, dãy địa phải chứa IP giao tiếp mạng Inside Trong cửa số Firewall Client Connection Settings đánh dấu chọn Allow nonencrypted Firewall client connections Allow Firewall clients running earlier versions of the Firewall client software to connect to ISA Server, nhấn Next bước để hoàn tất trình cài đặt Đối với phiên Standard nên cài vá SP1 ISA2004-KB891024-X86-ENU.msp (có thể tải từ website www.microsoft.com hay www.security365.org/downloads/software) để bảo đảm hệ thống hoạt động ổn định Page Giao diện cài đặt ISA Chọn Install để tiến hành cài đặt Page Chấp nhận điều khoản sử dụng Page Sau đó, chọn Install ISA Server services để tiến hành cài đặt dịch vụ cho ISA Server Page Cấu hình máy chủ lưu trữ Chọn Create a new ISA server enterprise để tạo máy chủ ISA Page Nhập địa IP mạng Internal Bỏ chọn allow non-encrypted firrewall để không cho phép máy client kết nối mà firewall Page Chọn Install để bắt đầu tiến trình cài đặt Page 10 DNS Server 210.245.31.10 hay 203.162.4.191 Thiết Lập Các Private Policy Mặc dù hệ thống kết nối Internet, số công ty có yêu cầu riêng sách hệ thống không cho phép chat AOL hay MSN Messenger, cho phép tải tập tin thông qua FTP Bên cạnh đó, để phục vụ nhu cầu duyệt web, giao thức HTTP cho phép sử dụng cấm không cho tải tập tin thực thi hệ thống Windows qua HTTP để ngăn ngừa lây nhiễm virus Để thực điều này, bạn cần phải hiệu chỉnh lại firewall policy 2.1 Tạo access rule không cho phép sử dụng AOL MSN Mesenger Nhấn chuột phải Firewall Policy, chọn Create new Access Rule đặt tên “Deny MSN and AIM” Page 19 Ở cửa sổ Rule Action chọn Deny để chặn Page 20 Trong phần This rule applies to chọn Selected Protocols Nhấn Add Sau mở Protocols Instant Messaging, chọn AOL Instant Messenger MSN Messenger Tiếp theo chọn Internal External phần Network, áp dụng cho All user Apply để áp dụng policy cho hệ thống 2.2 Tạo access rule cho phép client sử dụng FTP tải tải lên Trong trường hợp bạn muốn phép người dùng sử dụng FTP để tải (download) tải lên (upload) tiến hành sau: Page 21 Tạo access rule thông qua Create a New Access Rule, đặt tên permit FTP Rule Action Allow, áp dụng cho All User Internal Network Page 22 Sau nhấn Apply User hệ thống mạng nội tải thông qua FTP chương trình FTP Client FileZilla Tuy nhiên để họ tải lên FTP server cần bỏ thiết lập Read Only cho FTP access rule cách nhấn phải chuột vào Access Rule permit FTP chọn Configure FTP Trong cửa sổ Configure FTP protocol policy bỏ chọn Read Only cho phép upload lên Ftp server Page 23 2.3 Tạo access rule cho phép sử dụng HTTP không cho phép tải file có khả thực thi hệ thống Windows Tạo access rule tên permit HTTP deny executables cho phép người dùng lớp mạng Internal sử dụng HTTP protocol Nhấn phải chuột vào permit HTTP deny executables chọn configure HTTP Đánh dấu chọn vào ô Block responses containing Windows executable content hình sau: Page 24 III Sao lưu phục hồi thông tin cấu hình ISA Server 2004 Firewall Đối với hệ thống lớn với nhiều phòng ban nhân viên, phận lại yêu cầu sách truy cập riêng làm cho số lượng policy nhiều khó quản lí Vì để bảo đảm hệ thống hoạt động ổn định cần phải tiến hành lưu (backup) policy cách đầy đủ để phục hồi (restore) có cố xảy Chúng ta lưu toàn ISA Server hay số firewall policy Thao tác sau tiến hành backup toàn ISA Server Mở ISA Management Console, chọn server name (ISA) nhấn vào Backup the ISA Server Configuration khung Tasks Pane Tiếp theo đặt tên tập tin lưu (nên đặt theo dạng X-XX-XXXX ngày-thángnăm backup để dễ phân biệt tiến hành phục hồi), chọn nơi lưu trữ nhấn nút Backup Một hộp thoại yêu cầu đặt password cho tập tin backup ra, nhập password nhấn OK Sau tiến trình lưu hoàn tất Để thử nghiệm, bạn xoá vài hay toàn firewall policy hệ thống mình, sau chọn Restore this ISA Server Configuration khung Tasks Pane, xác định tập tin lưu, chọn Restore nhập vào password thiết lập cho tập tin Sau tiến trình phục hồi hoàn tất kiểm tra lại policy trước hệ thống phục hồi đầy đủ Trong trường hợp lưu firewall policy tiến hành tương tự với chức Export Firewall Policy khung Task Pane IV Thiết Lập Vùng DMZ Và Publish Server Thông Qua ISA Một thuật ngữ bảo mật nhiều người quan tâm DMZ (Demilitarized Zone), từ vùng "Phi Quân Sự" giới thực, môi trường máy tính DMZ vùng dành riêng cho server "đối ngoại" (như web server) cho phép người dùng bên (Internet) truy cập đến Bởi DMZ tách biệt hoàn toàn với hệ thống Internal, người dùng Internet truy cập vào máy chủ không ảnh hưởng gây nguy hiểm máy tính liệu nội Ngoài ra, server đặt DMZ ngăn ngừa tương tác trực tiếp người dùng bên với người dùng bên Theo nghĩa truyền thống DMZ, request (yêu cầu truy cập) người dùng bên đến server "đối ngoại" phải qua DMZ trước đến firewall nội bộ, nhiên ngày DMZ bao tình người dùng bên kết nối đến firewall/router sau yêu cầu chuyển đến server DMZ dựa Firewall Policy trường hợp mà áp dụng sau ISA Server để xây dựng DMZ chứa mail web server Page 25 Tạo DMZ Interface Trong phần Network chọn Create a New Network, đặt tên DMZ Page 26 Chọn Perimeter Network (chúng ta tạo lớp mạng tùy ý không ISA 2000 có lớp, cải tiến ISA Server 2004) Sau nhấn Next cửa sổ Network Address xuất hiện, chọn Add Adapter để lựa chọn card mạng cho vùng DMZ Page 27 Sau nhấn Apply để áp dụng cho hệ thống, phần Network thấy lớp mạng DMZ tách biệt với hệ thống Internal, bạn đặt Exchange Mail Server hay Apche Web Server lớp mạng Publish Exchange Server DMZ Lấy ví dụ, công ty có Exchange Server có địa 172.16.1.10 đặt DMZ Để người dùng bên Internet truy cập đến mail server để gởi nhận mail cần phải "publish" (cho phép truy cập từ Internet) chúng thông qua ISA Firewall Mở ISA Management Console, chọn Firewall Policy, khung Task Pane nhấn vào Publish a Mail Server để hiển thị New Mail Server Publishing Rule Wizard Đặt tên cho Publishing Rule Page 28 Trong cửa sổ Select Server Type chọn Server-to-server Communications: SMTP, NNTP Page 29 Trên khung Select Services đánh dấu chọn ô SMTP Page 30 Trong cửa sổ nhập vào địa Mail Server DMZ, 172.16.1.10 Page 31 Cuối xác định lớp mạng phép kết nối với Mail Server, trường hợp người dùng bên Internet nên chọn lớp mạng External Page 32 Cần lưu ý để truy cập email phải có thêm protocol khác DNS, POP hay RPC Vì cần cho phép yêu cầu DNS từ Mail Server với Domain Controler (có cài tích hợp DNS) lớp mạng Internal hay với ISP DNS Page 33 ... Internal hay DMZ cho phép người dùng Internet truy cập Khi trình cài đặt ISA Server 2004 hoàn tất, kết nối ISA Server với Internet cấu hình ISA client để truy cập Internet thông qua ISA Server... Template) cho ISA Server Bạn cấu hình ISA Firewall Policy thông qua giao diện ISA Management Console ISA Server cài công cụ quản lý ISA Management Console máy khác kết nối đến ISA Server để thực thao... qua ISA Server cấu hình SecureNAT client dựa hệ thống cấp phát địa IP động cấu hình IP tĩnh trỏ default gateway địa mạng nội ISA Server Ngoài để trình phân giải địa IP diễn suôn sẻ client cần cấu