1. Trang chủ
  2. » Luận Văn - Báo Cáo

Xây dựng chính sách an toàn cho máy chủ mail

24 835 23

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 24
Dung lượng 1,37 MB

Nội dung

Kể từ khi mạng máy tính ra đời nó không ngừng phát triển, các công nghệ luôn đổi mới phù hợp hơn với nhu cầu sử dụng của người dùng, ứng dụng công nghệ thông tin vào các hoạt động của cuộc sống ngày càng được nghiên cứu và phát triển mạnh mẽ, cùng với đó, các ứng dụng hỗ trợ hoạt động của các doanh nghiệp được phát triển mạnh mẽ nhằm hỗ trợ việc chia sẻ thông tin, dữ liệu phát triển mạnh mẽ, các công nghệ mới gần đây như điện toán đám mây, họp trực tuyến,…đã đáp ứng được phần nào các nhu cầu đó . Ngày nay, thư điện tử (email) là 1 công cụ vô cùng hữu ích và thiết thực trong đời sống hàng ngày cũng như công việc kinh doanh của doanh nghiệp. Đi kèm với đó là việc phải đảm bảo An toàn thông tin trong hệ thống. Trên cơ sở kiến thức căn bản về Phân tích thiết kế hệ thông An toàn thông tin, chúng em chọn đề tài: “xây dựng chính sách an toàn cho máy chủ mail chạy trên Windows Server” của học viện kỹ thuật mật mã. Nội dung báo cáo bao gồm 5 phần: Phần 1: Cài đặt exchange mail server 2007 trên windows server 2008 Phần 2: Khảo sát hệ thống mạng, phân tích hệ thống Phần 3: Cấu trúc chính sách an toàn cho hệ thống Phần 4: Xây dựng các chính sách an toàn cho máy chủ web và thực thi các chính sách đó qua việc cấu hình, sử dụng tường lửa. Trong quá trình thực hiện đề tài, nhóm chúng em còn nhiều thiếu sót và hạn chế rất mong ý kiến góp ý của cô giáo và các bạn.

Trang 1

Mục lục

LỜI NÓI ĐẦU 2

I Cài đặt exchange mail server 2007 trên windows server 2008 2

II Khảo sát hệ thống mạng: 11

III Phân tích hệ thống: 12

III.1 Xác định tài sản trên mạng 12

III.2 Xác định rủi ro 12

III.3 Xác định yêu cầu 13

IV Cấu trúc chính sách an toàn cho hệ thống 13

IV.1 Chính sách là gì? 13

IV.2 Cấu trúc chính sách an toàn 13

V Xây dựng các chính sách an toàn cho máy chủ web 14

V.I Các chính sách an toàn cho máy chủ web 14

V.II Thiết lập các chính sách cho tường lửa: 17

Trang 2

DANH MỤC HÌNH ẢNH

Hình I.1: Cài đặt Active Directory Domain Services 5

Hình I.2: Cài đặt Power Shell 5

Hình I.3: Cài đặt IIS 7 6

Hình I.4: Cài đặt IIS 7(tiêp) 6

Hình I.5: Cài đặt IIS 7(tiêp) 7

Hình I.6: Cài đặt IIS 7(tiêp) 7

Hình I.7: Cài đặt IIS 7(tiêp) 8

Hình I.8: Cài đặt IIS 7(tiêp) 8

Hình I.9: Cài đặt IIS 7(tiêp) 8

Hình I.10: Cài đặt IIS 7(tiêp) 9

Hình I.11:Cài đặt Exchange Server 2007 9

Hình I.12: Cài đặt Exchange Server 2007(tiếp) 10

Hình I.13: Cài đặt Exchange Server 2007(tiếp) 10

Hình I.14: Cài đặt Exchange Server 2007(tiếp) 11

Hình I.15: Cài đặt Exchange Server 2007(tiếp) 11

Hình I.16: Cài đặt Exchange Server 2007(tiếp) 12

Hình I.17: Cài đặt Exchange Server 2007(tiếp) 12

Hình I.18: Cài đặt Exchange Server 2007(tiếp) 13

Hình II.0.1: Mô hình mạng khảo sát của Học Viện Kĩ Thuật Mật Mã 14

Hình IV.1: bảng tập luật thực thi trên tường lửa 22

Trang 3

LỜI NÓI ĐẦU

Kể từ khi mạng máy tính ra đời nó không ngừng phát triển, các công nghệ luôn đổimới phù hợp hơn với nhu cầu sử dụng của người dùng, ứng dụng công nghệ thông tin vàocác hoạt động của cuộc sống ngày càng được nghiên cứu và phát triển mạnh mẽ, cùng với

đó, các ứng dụng hỗ trợ hoạt động của các doanh nghiệp được phát triển mạnh mẽ nhằm

hỗ trợ việc chia sẻ thông tin, dữ liệu phát triển mạnh mẽ, các công nghệ mới gần đây nhưđiện toán đám mây, họp trực tuyến,…đã đáp ứng được phần nào các nhu cầu đó

Ngày nay, thư điện tử (email) là 1 công cụ vô cùng hữu ích và thiết thực trong đờisống hàng ngày cũng như công việc kinh doanh của doanh nghiệp Đi kèm với đó là việcphải đảm bảo An toàn thông tin trong hệ thống Trên cơ sở kiến thức căn bản về Phân tích

thiết kế hệ thông An toàn thông tin, chúng em chọn đề tài: “xây dựng chính sách an toàn cho máy chủ mail chạy trên Windows Server” của học viện kỹ thuật mật mã Nội

dung báo cáo bao gồm 5 phần:

Phần 1: Cài đặt exchange mail server 2007 trên windows server 2008

Phần 2: Khảo sát hệ thống mạng, phân tích hệ thống

Phần 3: Cấu trúc chính sách an toàn cho hệ thống

Phần 4: Xây dựng các chính sách an toàn cho máy chủ web và thực thi các chính sách

đó qua việc cấu hình, sử dụng tường lửa

Trong quá trình thực hiện đề tài, nhóm chúng em còn nhiều thiếu sót và hạn chế rấtmong ý kiến góp ý của cô giáo và các bạn

Nhóm sinh viên thực hiện

Trang 4

I Cài đặt exchange mail server 2007 trên windows server 2008

Email Server – hay còn gọi là Máy chủ thư điện tử là máy chủ dùng để gửi và nhậnthư điện tử

 Nhận và gửi mail nội bộ

 Email server sẽ quản lý toàn bộ các tài khoản email trong hệ thống nội bộ

 Nhận mail từ email server của Sender (người gửi) và phân phối mail cho các tàikhoản trong hệ thống

 Email server cho phép user (người dùng) có thể sử dụng webmail (mail trênweb) để nhận mail hoặc sử dụng Outlook hoặc cả hai, phụ thuộc và việc cài đặtEmail Server

Microsoft Exchange Server là một trong những phần mềm Mail Server tốt nhất vàđược sử dụng rộng rãi trên thế giới

 Thích hợp với các thệ hống có lượng nười dùng lớn nhờ khả năng mở rộng chạytrên nhiều Server rất dễ dàng

 Phiên bản Exchange2007 là phiên bản đầu tiên chia tách hệ thống Email thànhnhiều công đoạn, chức năng riêng, mỗi chức năng được gọi là một Role - vaitrò Có 5 role:

- Edge Transport Role : Giao tiếp với bên ngoài, nhằm tăng cường an ninh

- Hub Transport Role : Trung tâm điều phối, chuyển Mail trong hệ thống, cóthể chuyển mail ra ngoài

- Mail box Server Role : Chứa các Mail box của người sử dụng, giao tiếp vớiMAPI Client

- Client Access Server Role : Phụ trách giao tiếp với các Client sử dụngPOP3, IMAP, HTTP…

- Unified Messaging Server Role : Một chức năng tích hợp thêm Phụ tráchVoice và Fax

I.1 Cài đặt các feature

Bước 1: Cài đặt Active Directory Domain Services remote management tools

Vào start > Run> CMD

Trang 5

Gõ lệnh: ServerManagerCmd -i RSAT-ADDS

Hình I.1: Cài đặt Active Directory Domain Services

Sau khi cài đặt xong ta cần reset máy

Bước 2: Cài đặt Power Shell

Vào start > Run> CMD

Gõ lệnh: ServerManagerCmd -i PowerShell

Hình I.2 : Cài đặt Power Shell

Bước 3: Cài đặt IIS 7

Vào start > Run> CMD

Gõ lệnh: ServerManagerCmd -i Web-Server

Trang 6

Hình I.3: Cài đặt IIS 7

Tiếp theo gõ : ServerManagerCmd -i Web-ISAPI-Ext

Hình I.4: Cài đặt IIS 7(tiêp)

Tiếp theo gõ :ServerManagerCmd -i Web-Metabase

Trang 7

Hình I.5: Cài đặt IIS 7(tiêp)

Tiếp theo gõ :ServerManagerCmd -i Web-Lgcy-Mgmt-Console

Hình I.6: Cài đặt IIS 7(tiêp)

Tiếp theo gõ :ServerManagerCmd -i Web-Basic-Auth

Trang 8

Hình I.7: Cài đặt IIS 7(tiêp)

Tiếp theo gõ :ServerManagerCmd -i Web-Digest-Auth

Hình I.8: Cài đặt IIS 7(tiêp)

Tiếp theo gõ :ServerManagerCmd -i Web-Windows-Auth

Trang 9

Hình I.9: Cài đặt IIS 7(tiêp)

Tiếp theo gõ :ServerManagerCmd -i Web-Dyn-Compression

Hình I.10: Cài đặt IIS 7(tiêp)

I.2 Cài đặt Exchange Server 2007

Tiến hành download file cài đặt từ trang chủ microsoft về máy và giải nén Chạy file setup.exe

Hình I.11:Cài đặt Exchange Server 2007

Trang 10

Hình I.12: Cài đặt Exchange Server 2007(tiếp)

Chọn “Next”

Hình I.13: Cài đặt Exchange Server 2007(tiếp)

Trang 12

Chọn “Typical Exchange Serer Installation” sau đó chọn “Next”

Hình I.16: Cài đặt Exchange Server 2007(tiếp)

Trong bước này nếu hệ thống sử dụng Outlook 2003 để gửi và nhận mail thìchọn “Yes” Trong trường hợp này hệ thống của chúng em không sử dụngOutlook 2003 nên chọn “No”

Trang 13

Hình I.17: Cài đặt Exchange Server 2007(tiếp)

Phần mềm sẽ tự động kiểm tra các feature cần thiết đã được cài đặt hay chưa.Nếu đã được cài đặt thì sẽ hiển thị như trên hình Tiếp theo chọn “Install”

Hình I.18: Cài đặt Exchange Server 2007(tiếp)

Hệ thống sẽ tự động cài đặt Sau khi cài đặt thành công, nhấn “Finish” để kếtthúc

II Khảo sát hệ thống mạng:

II.1 Khảo sát hệ thống:

Mô hình gồm có:

 Khu vực mạng LAN có địa chỉ : 192.168.2.0/24

 Khu vực mạng DMZ có địa chỉ; 192.168.1.0/24 bao gồm mailserver(192.168.1.3) và domain controller(192.168.1.2)

 Một firewall có 2 card mạng:

- card mạng có địa chỉ 192.168.1.1 kết nối tới vùng DMZ;

- card mạng có địa chỉ 192.168.2.1 kết nối tới mạng LAN;

Trang 14

Hình II.0.19: Mô hình mạng khảo sát của Học Viện Kĩ Thuật Mật Mã

 Tấn công vào vùng DMZ nơi đặt các máy chủ như Web, Mail, DNS

 tấn công tới người dùng (Social engineering) trong mạng, tấn công SpamMail

 Mạng chưa có hệ thống dự phòng do vậy tính sẵn sàng của hệ thống cònnhiều điểm hạn chế

 Tấn công vào từ chối dịch vụ vào máy chủ mail

 Xâm nhập vật lý tới các thiết bị cụ thể của hệ thống,

 Thiên tai, lũ lụt vv…

Trang 15

 Xây dựng các chính sách đảm bảo an toàn cho máy chủ mail

 Đưa ra một số nguyên tắc nhằm chống lại các tấn công Spam Mail

III Cấu trúc chính sách an toàn cho hệ thống

III.1 Chính sách là gì?

Chính sách an toàn trong môi trường thực là tập hợp các luật, quy định và thựctiễn điều chỉnh việc tổ chức quản lý, bảo vệ và phân phối tài nguyên ra sao để đạtđược những mục tiêu an toàn của mình

III.2 Cấu trúc chính sách an toàn

 Chịu trách nhiệm send dữ liệu nhạy cảm hay cá nhân ra môi trường ngoài

 Nhận dữ liệu nhạy cảm hay cá nhân từ môi trường bên ngoài vào trong hệthống

3 Nội dung chính sách:

Chính sách an toàn trên có nội dung là gì? Trong nội dung của chính sách chỉ rõnhững gì cần làm, không cần làm để đảm bảo an toàn cho hệ thống máy chủ mail

Trang 16

Ngoài ra, nội dung của chính sách còn là tổng quan về quy định, điều luật phảithực hiện trong hệ thống.

Các chính sách an toàn có thể là:

- Chính sách truy cập

- Chính sách quy định trách nhiệm

- Chính sách xác thực, bảo mật,

4 Trách nhiệm của đối tượng

Những đối tượng được áp dụng vào chính sách thì phải có trách nhiệm tuân thủ,thực hiện những quy định, điều luật trong chính sách, không vi phạm những gì màchính sách đề ra

IV Xây dựng các chính sách an toàn cho máy chủ web

IV.I Các chính sách an toàn cho máy chủ web

Từ các rủi ro và yêu cầu của hệ thống mạng học viện, đưa ra chính sách an toàn chomáy chủ mail của Học viện KTMM như sau:

1 Chính sách bảo vệ vật lý

Mục đích:

- Bảo vệ hệ thống khỏi những hiểm họa vật lý

- Bảo vệ dữ liệu của bạn khỏi những kẻ xâm nhập

- Đảm bảo môi trường vận hành an toàn cho các thiết bị phần cứng

Phạm vi: Áp dụng cho toàn hệ thống

Nội dung:

 Chính sách sử dụng văn phòng nơi đặt máy chủ cùng các thiết bị:

- Văn phòng có hệ thống báo động

- Sử dụng khóa cửa kết hợp kiểm tra đa nhân tố

- Văn phòng có hệ thống chống cháy,hút ẩm, thông gió,đường mạng chạyngầm dưới nền nhà, hệ thống cảnh báo cháy nổ

 Chính sách quy định những nơi trong văn phòng chỉ dành cho những người

Trang 17

có thẩm quyền ra vào.

 Bản kiểm kê tài sản, bao gồm số seri sản phẩm và các mô tả vật lý

 Phương án tiêu hủy giấy loại chứa thông tin nhạy cảm

- Cách thức sửa chữa khẩn cấp một loại khóa

- Cách thức để có thể liên lạc với các công ty, tổ chức cung cấp dịch vụnhư điện, nước và Internet

 Cách khôi phục thông tin từ hệ thống lưu trữ ngoại tuyến

2 Chính sách giới hạn địa chỉ

Mục đích: quyết định máy tính có địa chỉ IP đó có được phép sử dụng dịch vụ

hay không

Phạm vi:Cho tất cả tài khoản trên hệ thống

Nội dung:Thực hiện trên firewall

Tường lửa ISA có khả năng xác định được địa chỉ IP của máy trạm có yêu cầu

sử dụng dịch vụ mail, sau dựa trên việc thiết lập allow/deny trên tường lửa đểqyết định máy tính có đực sử dụng từng lửa

Trang 18

Mục đích: Xác thực người dùng khi truy cập hệ thống, đảm bảo an toàn cho hệ

thống không bị xâm nhập bất hợp pháp

Phạm vi: trên toàn hê thống

Nội dung: Người dùng chỉ được phép đăng nhập vào hệ thống khi user và

password được xác thực thành công

5 Chính sách phân quyền

Mục đích: Account cho một User sẽ xác định những hành động mà User đó có

thể thực hiện

Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau

Phạm vi: Cho tất cả các tài khoản trong hệ thống.

Nội dung:Thực hiện trên máy chủ DomainController

Phân quyền truy cập, thực hiện thao tác cho các user, cho nhóm user…

Đối với nhân viên quản lý hệ thống:

+Người quản lý cao nhất sẽ nhận tất cả quyền đối với hệ thống

+Nhân viên quản lý khác:sẽ nhận được tất cả quyền permissions

+ Đối với các nhân viên khác, học viên sẽ chỉ được cấp quyền truy cập, read,(có thể có write)

Trang 19

- Các file dữ liêụ được kiểm tra theo tuần.

- Máy chủ phải được đăng ký trong hệ thống quản lý của trường, cácthông tin cần thiết:

- Địa chỉ server, vị trí, thông tin backup

- Thông tin phần cứng, hệ điều hành

- Các chức năng chính, các ứng dụng được áp dụng

- Thông tin trong hệ thống phải được cập nhật thường xuyên

- Thay đổi cấu hình phải tuân theo những yêu cầu hợp lý

Nội dung: Cấu hình các dịch vụ an toàn để không nhận email từ các email công

cộng, email rác hoặc email có đính kèm mã độc hại

8 Chính sách quy định trách nhiệm

Trang 20

Mục đích: Xác định rõ trách nhiệm của cá nhân khi vi phạm chính sách hệ

thống

Phạm vi: Tất cả các tài khoản trong hệ thống

Nội dung: Các tài khoản spam hệ thống sẽ bị khóa tài khoản vĩnh viễn Cá nhân

nào cố ý muốn xâm nhập, hủy hoại, đánh cắp thông tin nhạy cảm hệ thống sẽ bịtruy tố pháp luật

9 Chính sách backup-dự phòng

Mục đích: Đảm bảo hệ thống hoạt động thông suốt, không bị gián đoạn Đề

phòng sự cố xảy ra

Phạm vi: cho các thiết bị phần cứng, phần mềm cho toàn hệ thống.

Nội dung: Hệ thống dự phòng để chia sẻ tài nguyên thông tin với các hệ thống

chính, chia sẻ tải và thay thế hệ thống chính khi cần thiết Các file dữ liệu phảiđược mã hóa, back up

10 Chính sách sử dụng mật khẩu mạnh

Mục đích: Những kẽ hở từ Account có thể tạo cơ hội cho attacker:

 Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngàytháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt chopassword)

 Dùng cùng password cho nhiều account Password được dán bừa bãi lênMonitor/Keyboard, hoặc lưu password vào một text file không bảo vệ

 Chia sẽ password hệ thống của mình cho bạn đồng nghiệp…

Phạm vi: Tài khoản của học viên, nhân viên trong học viện.

Nội dung: Thực hiện trên máy chủ mail.

Chính sách tạo password sao cho an toàn thực sư là một trong những yếu tốchính để bảo vệ tài khoản Chính sách này bao gồm các yếu tố chính như sau:

 Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụngtối đa của password trước khi user phải thay đổi password Thay đổipassword theo định kì sẽ giúp tăng cường an toàn cho tài khoản

 Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi

Trang 21

(minimum password age) Admin có thể thiết lập thờigian này khoảng vàingày, trước khi cho phép user thay đổi password của họ

 Thực thi password history: Số lần các password khác biệt nhau phải sử dụngqua, trước khi quay lại dùng password cũ Số Password history càng cao thì

 Khi dùng password phức hợp cần quan tâm:

IV.II Thực thi một số chính sách qua tường lửa:

1 Xây dựng các luật thực thi một số chính sách đảm bảo an toàn cho hệ thống thôngqua tường lưa

Trang 22

STT Name

Rule Source Add

Source Port Destination add

Destination add Action Decription

1 Stealth

Cấm tất cả các truy cập trái phép tới tường lửa 2

từ một địa chỉ nhất định

3 Email in Any Any 172.16.1.1 110 Allow Cho phépemail tới

mail server

Cho phépgửi mail rangoài

Internet

4 block

Cấp truy cập tới vùng DMZ

5 Allowinternet 192.168.2.0/24 Any Any Any Allow

Cho phép người dùng trong Lan truy cập Internet

6 Clearup

Cấm tất cảcác truy cậptrái phépkhác

Trang 23

2 Các luật sau khi đã thiết lâp trên tường lửa

Hình IV.20: bảng tập luật thực thi trên tường lửa

Trang 24

TÀI LIỆU THAM KHẢO

Ngày đăng: 24/11/2018, 23:40

TỪ KHÓA LIÊN QUAN

w