Kể từ khi mạng máy tính ra đời nó không ngừng phát triển, các công nghệ luôn đổi mới phù hợp hơn với nhu cầu sử dụng của người dùng, ứng dụng công nghệ thông tin vào các hoạt động của cuộc sống ngày càng được nghiên cứu và phát triển mạnh mẽ, cùng với đó, các ứng dụng hỗ trợ hoạt động của các doanh nghiệp được phát triển mạnh mẽ nhằm hỗ trợ việc chia sẻ thông tin, dữ liệu phát triển mạnh mẽ, các công nghệ mới gần đây như điện toán đám mây, họp trực tuyến,…đã đáp ứng được phần nào các nhu cầu đó . Ngày nay, thư điện tử (email) là 1 công cụ vô cùng hữu ích và thiết thực trong đời sống hàng ngày cũng như công việc kinh doanh của doanh nghiệp. Đi kèm với đó là việc phải đảm bảo An toàn thông tin trong hệ thống. Trên cơ sở kiến thức căn bản về Phân tích thiết kế hệ thông An toàn thông tin, chúng em chọn đề tài: “xây dựng chính sách an toàn cho máy chủ mail chạy trên Windows Server” của học viện kỹ thuật mật mã. Nội dung báo cáo bao gồm 5 phần: Phần 1: Cài đặt exchange mail server 2007 trên windows server 2008 Phần 2: Khảo sát hệ thống mạng, phân tích hệ thống Phần 3: Cấu trúc chính sách an toàn cho hệ thống Phần 4: Xây dựng các chính sách an toàn cho máy chủ web và thực thi các chính sách đó qua việc cấu hình, sử dụng tường lửa. Trong quá trình thực hiện đề tài, nhóm chúng em còn nhiều thiếu sót và hạn chế rất mong ý kiến góp ý của cô giáo và các bạn.
Trang 1Mục lục
LỜI NÓI ĐẦU 2
I Cài đặt exchange mail server 2007 trên windows server 2008 2
II Khảo sát hệ thống mạng: 11
III Phân tích hệ thống: 12
III.1 Xác định tài sản trên mạng 12
III.2 Xác định rủi ro 12
III.3 Xác định yêu cầu 13
IV Cấu trúc chính sách an toàn cho hệ thống 13
IV.1 Chính sách là gì? 13
IV.2 Cấu trúc chính sách an toàn 13
V Xây dựng các chính sách an toàn cho máy chủ web 14
V.I Các chính sách an toàn cho máy chủ web 14
V.II Thiết lập các chính sách cho tường lửa: 17
Trang 2DANH MỤC HÌNH ẢNH
Hình I.1: Cài đặt Active Directory Domain Services 5
Hình I.2: Cài đặt Power Shell 5
Hình I.3: Cài đặt IIS 7 6
Hình I.4: Cài đặt IIS 7(tiêp) 6
Hình I.5: Cài đặt IIS 7(tiêp) 7
Hình I.6: Cài đặt IIS 7(tiêp) 7
Hình I.7: Cài đặt IIS 7(tiêp) 8
Hình I.8: Cài đặt IIS 7(tiêp) 8
Hình I.9: Cài đặt IIS 7(tiêp) 8
Hình I.10: Cài đặt IIS 7(tiêp) 9
Hình I.11:Cài đặt Exchange Server 2007 9
Hình I.12: Cài đặt Exchange Server 2007(tiếp) 10
Hình I.13: Cài đặt Exchange Server 2007(tiếp) 10
Hình I.14: Cài đặt Exchange Server 2007(tiếp) 11
Hình I.15: Cài đặt Exchange Server 2007(tiếp) 11
Hình I.16: Cài đặt Exchange Server 2007(tiếp) 12
Hình I.17: Cài đặt Exchange Server 2007(tiếp) 12
Hình I.18: Cài đặt Exchange Server 2007(tiếp) 13
Hình II.0.1: Mô hình mạng khảo sát của Học Viện Kĩ Thuật Mật Mã 14
Hình IV.1: bảng tập luật thực thi trên tường lửa 22
Trang 3LỜI NÓI ĐẦU
Kể từ khi mạng máy tính ra đời nó không ngừng phát triển, các công nghệ luôn đổimới phù hợp hơn với nhu cầu sử dụng của người dùng, ứng dụng công nghệ thông tin vàocác hoạt động của cuộc sống ngày càng được nghiên cứu và phát triển mạnh mẽ, cùng với
đó, các ứng dụng hỗ trợ hoạt động của các doanh nghiệp được phát triển mạnh mẽ nhằm
hỗ trợ việc chia sẻ thông tin, dữ liệu phát triển mạnh mẽ, các công nghệ mới gần đây nhưđiện toán đám mây, họp trực tuyến,…đã đáp ứng được phần nào các nhu cầu đó
Ngày nay, thư điện tử (email) là 1 công cụ vô cùng hữu ích và thiết thực trong đờisống hàng ngày cũng như công việc kinh doanh của doanh nghiệp Đi kèm với đó là việcphải đảm bảo An toàn thông tin trong hệ thống Trên cơ sở kiến thức căn bản về Phân tích
thiết kế hệ thông An toàn thông tin, chúng em chọn đề tài: “xây dựng chính sách an toàn cho máy chủ mail chạy trên Windows Server” của học viện kỹ thuật mật mã Nội
dung báo cáo bao gồm 5 phần:
Phần 1: Cài đặt exchange mail server 2007 trên windows server 2008
Phần 2: Khảo sát hệ thống mạng, phân tích hệ thống
Phần 3: Cấu trúc chính sách an toàn cho hệ thống
Phần 4: Xây dựng các chính sách an toàn cho máy chủ web và thực thi các chính sách
đó qua việc cấu hình, sử dụng tường lửa
Trong quá trình thực hiện đề tài, nhóm chúng em còn nhiều thiếu sót và hạn chế rấtmong ý kiến góp ý của cô giáo và các bạn
Nhóm sinh viên thực hiện
Trang 4I Cài đặt exchange mail server 2007 trên windows server 2008
Email Server – hay còn gọi là Máy chủ thư điện tử là máy chủ dùng để gửi và nhậnthư điện tử
Nhận và gửi mail nội bộ
Email server sẽ quản lý toàn bộ các tài khoản email trong hệ thống nội bộ
Nhận mail từ email server của Sender (người gửi) và phân phối mail cho các tàikhoản trong hệ thống
Email server cho phép user (người dùng) có thể sử dụng webmail (mail trênweb) để nhận mail hoặc sử dụng Outlook hoặc cả hai, phụ thuộc và việc cài đặtEmail Server
Microsoft Exchange Server là một trong những phần mềm Mail Server tốt nhất vàđược sử dụng rộng rãi trên thế giới
Thích hợp với các thệ hống có lượng nười dùng lớn nhờ khả năng mở rộng chạytrên nhiều Server rất dễ dàng
Phiên bản Exchange2007 là phiên bản đầu tiên chia tách hệ thống Email thànhnhiều công đoạn, chức năng riêng, mỗi chức năng được gọi là một Role - vaitrò Có 5 role:
- Edge Transport Role : Giao tiếp với bên ngoài, nhằm tăng cường an ninh
- Hub Transport Role : Trung tâm điều phối, chuyển Mail trong hệ thống, cóthể chuyển mail ra ngoài
- Mail box Server Role : Chứa các Mail box của người sử dụng, giao tiếp vớiMAPI Client
- Client Access Server Role : Phụ trách giao tiếp với các Client sử dụngPOP3, IMAP, HTTP…
- Unified Messaging Server Role : Một chức năng tích hợp thêm Phụ tráchVoice và Fax
I.1 Cài đặt các feature
Bước 1: Cài đặt Active Directory Domain Services remote management tools
Vào start > Run> CMD
Trang 5Gõ lệnh: ServerManagerCmd -i RSAT-ADDS
Hình I.1: Cài đặt Active Directory Domain Services
Sau khi cài đặt xong ta cần reset máy
Bước 2: Cài đặt Power Shell
Vào start > Run> CMD
Gõ lệnh: ServerManagerCmd -i PowerShell
Hình I.2 : Cài đặt Power Shell
Bước 3: Cài đặt IIS 7
Vào start > Run> CMD
Gõ lệnh: ServerManagerCmd -i Web-Server
Trang 6Hình I.3: Cài đặt IIS 7
Tiếp theo gõ : ServerManagerCmd -i Web-ISAPI-Ext
Hình I.4: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Metabase
Trang 7Hình I.5: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Lgcy-Mgmt-Console
Hình I.6: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Basic-Auth
Trang 8Hình I.7: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Digest-Auth
Hình I.8: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Windows-Auth
Trang 9Hình I.9: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Dyn-Compression
Hình I.10: Cài đặt IIS 7(tiêp)
I.2 Cài đặt Exchange Server 2007
Tiến hành download file cài đặt từ trang chủ microsoft về máy và giải nén Chạy file setup.exe
Hình I.11:Cài đặt Exchange Server 2007
Trang 10Hình I.12: Cài đặt Exchange Server 2007(tiếp)
Chọn “Next”
Hình I.13: Cài đặt Exchange Server 2007(tiếp)
Trang 12Chọn “Typical Exchange Serer Installation” sau đó chọn “Next”
Hình I.16: Cài đặt Exchange Server 2007(tiếp)
Trong bước này nếu hệ thống sử dụng Outlook 2003 để gửi và nhận mail thìchọn “Yes” Trong trường hợp này hệ thống của chúng em không sử dụngOutlook 2003 nên chọn “No”
Trang 13Hình I.17: Cài đặt Exchange Server 2007(tiếp)
Phần mềm sẽ tự động kiểm tra các feature cần thiết đã được cài đặt hay chưa.Nếu đã được cài đặt thì sẽ hiển thị như trên hình Tiếp theo chọn “Install”
Hình I.18: Cài đặt Exchange Server 2007(tiếp)
Hệ thống sẽ tự động cài đặt Sau khi cài đặt thành công, nhấn “Finish” để kếtthúc
II Khảo sát hệ thống mạng:
II.1 Khảo sát hệ thống:
Mô hình gồm có:
Khu vực mạng LAN có địa chỉ : 192.168.2.0/24
Khu vực mạng DMZ có địa chỉ; 192.168.1.0/24 bao gồm mailserver(192.168.1.3) và domain controller(192.168.1.2)
Một firewall có 2 card mạng:
- card mạng có địa chỉ 192.168.1.1 kết nối tới vùng DMZ;
- card mạng có địa chỉ 192.168.2.1 kết nối tới mạng LAN;
Trang 14Hình II.0.19: Mô hình mạng khảo sát của Học Viện Kĩ Thuật Mật Mã
Tấn công vào vùng DMZ nơi đặt các máy chủ như Web, Mail, DNS
tấn công tới người dùng (Social engineering) trong mạng, tấn công SpamMail
Mạng chưa có hệ thống dự phòng do vậy tính sẵn sàng của hệ thống cònnhiều điểm hạn chế
Tấn công vào từ chối dịch vụ vào máy chủ mail
Xâm nhập vật lý tới các thiết bị cụ thể của hệ thống,
Thiên tai, lũ lụt vv…
Trang 15 Xây dựng các chính sách đảm bảo an toàn cho máy chủ mail
Đưa ra một số nguyên tắc nhằm chống lại các tấn công Spam Mail
III Cấu trúc chính sách an toàn cho hệ thống
III.1 Chính sách là gì?
Chính sách an toàn trong môi trường thực là tập hợp các luật, quy định và thựctiễn điều chỉnh việc tổ chức quản lý, bảo vệ và phân phối tài nguyên ra sao để đạtđược những mục tiêu an toàn của mình
III.2 Cấu trúc chính sách an toàn
Chịu trách nhiệm send dữ liệu nhạy cảm hay cá nhân ra môi trường ngoài
Nhận dữ liệu nhạy cảm hay cá nhân từ môi trường bên ngoài vào trong hệthống
3 Nội dung chính sách:
Chính sách an toàn trên có nội dung là gì? Trong nội dung của chính sách chỉ rõnhững gì cần làm, không cần làm để đảm bảo an toàn cho hệ thống máy chủ mail
Trang 16Ngoài ra, nội dung của chính sách còn là tổng quan về quy định, điều luật phảithực hiện trong hệ thống.
Các chính sách an toàn có thể là:
- Chính sách truy cập
- Chính sách quy định trách nhiệm
- Chính sách xác thực, bảo mật,
4 Trách nhiệm của đối tượng
Những đối tượng được áp dụng vào chính sách thì phải có trách nhiệm tuân thủ,thực hiện những quy định, điều luật trong chính sách, không vi phạm những gì màchính sách đề ra
IV Xây dựng các chính sách an toàn cho máy chủ web
IV.I Các chính sách an toàn cho máy chủ web
Từ các rủi ro và yêu cầu của hệ thống mạng học viện, đưa ra chính sách an toàn chomáy chủ mail của Học viện KTMM như sau:
1 Chính sách bảo vệ vật lý
Mục đích:
- Bảo vệ hệ thống khỏi những hiểm họa vật lý
- Bảo vệ dữ liệu của bạn khỏi những kẻ xâm nhập
- Đảm bảo môi trường vận hành an toàn cho các thiết bị phần cứng
Phạm vi: Áp dụng cho toàn hệ thống
Nội dung:
Chính sách sử dụng văn phòng nơi đặt máy chủ cùng các thiết bị:
- Văn phòng có hệ thống báo động
- Sử dụng khóa cửa kết hợp kiểm tra đa nhân tố
- Văn phòng có hệ thống chống cháy,hút ẩm, thông gió,đường mạng chạyngầm dưới nền nhà, hệ thống cảnh báo cháy nổ
Chính sách quy định những nơi trong văn phòng chỉ dành cho những người
Trang 17có thẩm quyền ra vào.
Bản kiểm kê tài sản, bao gồm số seri sản phẩm và các mô tả vật lý
Phương án tiêu hủy giấy loại chứa thông tin nhạy cảm
- Cách thức sửa chữa khẩn cấp một loại khóa
- Cách thức để có thể liên lạc với các công ty, tổ chức cung cấp dịch vụnhư điện, nước và Internet
Cách khôi phục thông tin từ hệ thống lưu trữ ngoại tuyến
2 Chính sách giới hạn địa chỉ
Mục đích: quyết định máy tính có địa chỉ IP đó có được phép sử dụng dịch vụ
hay không
Phạm vi:Cho tất cả tài khoản trên hệ thống
Nội dung:Thực hiện trên firewall
Tường lửa ISA có khả năng xác định được địa chỉ IP của máy trạm có yêu cầu
sử dụng dịch vụ mail, sau dựa trên việc thiết lập allow/deny trên tường lửa đểqyết định máy tính có đực sử dụng từng lửa
Trang 18 Mục đích: Xác thực người dùng khi truy cập hệ thống, đảm bảo an toàn cho hệ
thống không bị xâm nhập bất hợp pháp
Phạm vi: trên toàn hê thống
Nội dung: Người dùng chỉ được phép đăng nhập vào hệ thống khi user và
password được xác thực thành công
5 Chính sách phân quyền
Mục đích: Account cho một User sẽ xác định những hành động mà User đó có
thể thực hiện
Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau
Phạm vi: Cho tất cả các tài khoản trong hệ thống.
Nội dung:Thực hiện trên máy chủ DomainController
Phân quyền truy cập, thực hiện thao tác cho các user, cho nhóm user…
Đối với nhân viên quản lý hệ thống:
+Người quản lý cao nhất sẽ nhận tất cả quyền đối với hệ thống
+Nhân viên quản lý khác:sẽ nhận được tất cả quyền permissions
+ Đối với các nhân viên khác, học viên sẽ chỉ được cấp quyền truy cập, read,(có thể có write)
Trang 19- Các file dữ liêụ được kiểm tra theo tuần.
- Máy chủ phải được đăng ký trong hệ thống quản lý của trường, cácthông tin cần thiết:
- Địa chỉ server, vị trí, thông tin backup
- Thông tin phần cứng, hệ điều hành
- Các chức năng chính, các ứng dụng được áp dụng
- Thông tin trong hệ thống phải được cập nhật thường xuyên
- Thay đổi cấu hình phải tuân theo những yêu cầu hợp lý
Nội dung: Cấu hình các dịch vụ an toàn để không nhận email từ các email công
cộng, email rác hoặc email có đính kèm mã độc hại
8 Chính sách quy định trách nhiệm
Trang 20 Mục đích: Xác định rõ trách nhiệm của cá nhân khi vi phạm chính sách hệ
thống
Phạm vi: Tất cả các tài khoản trong hệ thống
Nội dung: Các tài khoản spam hệ thống sẽ bị khóa tài khoản vĩnh viễn Cá nhân
nào cố ý muốn xâm nhập, hủy hoại, đánh cắp thông tin nhạy cảm hệ thống sẽ bịtruy tố pháp luật
9 Chính sách backup-dự phòng
Mục đích: Đảm bảo hệ thống hoạt động thông suốt, không bị gián đoạn Đề
phòng sự cố xảy ra
Phạm vi: cho các thiết bị phần cứng, phần mềm cho toàn hệ thống.
Nội dung: Hệ thống dự phòng để chia sẻ tài nguyên thông tin với các hệ thống
chính, chia sẻ tải và thay thế hệ thống chính khi cần thiết Các file dữ liệu phảiđược mã hóa, back up
10 Chính sách sử dụng mật khẩu mạnh
Mục đích: Những kẽ hở từ Account có thể tạo cơ hội cho attacker:
Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngàytháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt chopassword)
Dùng cùng password cho nhiều account Password được dán bừa bãi lênMonitor/Keyboard, hoặc lưu password vào một text file không bảo vệ
Chia sẽ password hệ thống của mình cho bạn đồng nghiệp…
Phạm vi: Tài khoản của học viên, nhân viên trong học viện.
Nội dung: Thực hiện trên máy chủ mail.
Chính sách tạo password sao cho an toàn thực sư là một trong những yếu tốchính để bảo vệ tài khoản Chính sách này bao gồm các yếu tố chính như sau:
Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụngtối đa của password trước khi user phải thay đổi password Thay đổipassword theo định kì sẽ giúp tăng cường an toàn cho tài khoản
Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi
Trang 21(minimum password age) Admin có thể thiết lập thờigian này khoảng vàingày, trước khi cho phép user thay đổi password của họ
Thực thi password history: Số lần các password khác biệt nhau phải sử dụngqua, trước khi quay lại dùng password cũ Số Password history càng cao thì
Khi dùng password phức hợp cần quan tâm:
IV.II Thực thi một số chính sách qua tường lửa:
1 Xây dựng các luật thực thi một số chính sách đảm bảo an toàn cho hệ thống thôngqua tường lưa
Trang 22STT Name
Rule Source Add
Source Port Destination add
Destination add Action Decription
1 Stealth
Cấm tất cả các truy cập trái phép tới tường lửa 2
từ một địa chỉ nhất định
3 Email in Any Any 172.16.1.1 110 Allow Cho phépemail tới
mail server
Cho phépgửi mail rangoài
Internet
4 block
Cấp truy cập tới vùng DMZ
5 Allowinternet 192.168.2.0/24 Any Any Any Allow
Cho phép người dùng trong Lan truy cập Internet
6 Clearup
Cấm tất cảcác truy cậptrái phépkhác
Trang 232 Các luật sau khi đã thiết lâp trên tường lửa
Hình IV.20: bảng tập luật thực thi trên tường lửa
Trang 24TÀI LIỆU THAM KHẢO