Kể từ khi mạng máy tính ra đời nó không ngừng phát triển, các công nghệ luôn đổi mới phù hợp hơn với nhu cầu sử dụng của người dùng, ứng dụng công nghệ thông tin vào các hoạt động của cuộc sống ngày càng được nghiên cứu và phát triển mạnh mẽ, cùng với đó, các ứng dụng hỗ trợ hoạt động của các doanh nghiệp được phát triển mạnh mẽ nhằm hỗ trợ việc chia sẻ thông tin, dữ liệu phát triển mạnh mẽ, các công nghệ mới gần đây như điện toán đám mây, họp trực tuyến,…đã đáp ứng được phần nào các nhu cầu đó . Ngày nay, thư điện tử (email) là 1 công cụ vô cùng hữu ích và thiết thực trong đời sống hàng ngày cũng như công việc kinh doanh của doanh nghiệp. Đi kèm với đó là việc phải đảm bảo An toàn thông tin trong hệ thống. Trên cơ sở kiến thức căn bản về Phân tích thiết kế hệ thông An toàn thông tin, chúng em chọn đề tài: “xây dựng chính sách an toàn cho máy chủ mail chạy trên Windows Server” của học viện kỹ thuật mật mã. Nội dung báo cáo bao gồm 5 phần: Phần 1: Cài đặt exchange mail server 2007 trên windows server 2008 Phần 2: Khảo sát hệ thống mạng, phân tích hệ thống Phần 3: Cấu trúc chính sách an toàn cho hệ thống Phần 4: Xây dựng các chính sách an toàn cho máy chủ web và thực thi các chính sách đó qua việc cấu hình, sử dụng tường lửa. Trong quá trình thực hiện đề tài, nhóm chúng em còn nhiều thiếu sót và hạn chế rất mong ý kiến góp ý của cô giáo và các bạn.
Mục lục LỜI NÓI ĐẦU I Cài đặt exchange mail server 2007 windows server 2008 II Khảo sát hệ thống mạng: 11 III Phân tích hệ thống: 12 III.1 Xác định tài sản mạng 12 III.2 Xác định rủi ro 12 III.3 Xác định yêu cầu .13 IV Cấu trúc sách an tồn cho hệ thống .13 IV.1 Chính sách gì? .13 IV.2 Cấu trúc sách an tồn .13 V Xây dựng sách an tồn cho máy chủ web 14 V.I Các sách an toàn cho máy chủ web 14 V.II Thiết lập sách cho tường lửa: .17 DANH MỤC HÌNH ẢNH Hình I.1: Cài đặt Active Directory Domain Services Hình I.2: Cài đặt Power Shell Hình I.3: Cài đặt IIS .6 Hình I.4: Cài đặt IIS 7(tiêp) .6 Hình I.5: Cài đặt IIS 7(tiêp) .7 Hình I.6: Cài đặt IIS 7(tiêp) .7 Hình I.7: Cài đặt IIS 7(tiêp) .8 Hình I.8: Cài đặt IIS 7(tiêp) .8 Hình I.9: Cài đặt IIS 7(tiêp) .8 Hình I.10: Cài đặt IIS 7(tiêp) Hình I.11:Cài đặt Exchange Server 2007 Hình I.12: Cài đặt Exchange Server 2007(tiếp) 10 Hình I.13: Cài đặt Exchange Server 2007(tiếp) 10 Hình I.14: Cài đặt Exchange Server 2007(tiếp) 11 Hình I.15: Cài đặt Exchange Server 2007(tiếp) 11 Hình I.16: Cài đặt Exchange Server 2007(tiếp) 12 Hình I.17: Cài đặt Exchange Server 2007(tiếp) 12 Hình I.18: Cài đặt Exchange Server 2007(tiếp) 13 Hình II.0.1: Mơ hình mạng khảo sát Học Viện Kĩ Thuật Mật Mã 14 Hình IV.1: bảng tập luật thực thi tường lửa 22 LỜI NĨI ĐẦU Kể từ mạng máy tính đời khơng ngừng phát triển, cơng nghệ ln đổi phù hợp với nhu cầu sử dụng người dùng, ứng dụng công nghệ thông tin vào hoạt động sống ngày nghiên cứu phát triển mạnh mẽ, với đó, ứng dụng hỗ trợ hoạt động doanh nghiệp phát triển mạnh mẽ nhằm hỗ trợ việc chia sẻ thông tin, liệu phát triển mạnh mẽ, công nghệ gần điện toán đám mây, họp trực tuyến,…đã đáp ứng phần nhu cầu Ngày nay, thư điện tử (email) cơng cụ vơ hữu ích thiết thực đời sống hàng ngày công việc kinh doanh doanh nghiệp Đi kèm với việc phải đảm bảo An tồn thơng tin hệ thống Trên sở kiến thức Phân tích thiết kế hệ thơng An tồn thơng tin, chúng em chọn đề tài: “xây dựng sách an tồn cho máy chủ mail chạy Windows Server” học viện kỹ thuật mật mã Nội dung báo cáo bao gồm phần: Phần 1: Cài đặt exchange mail server 2007 windows server 2008 Phần 2: Khảo sát hệ thống mạng, phân tích hệ thống Phần 3: Cấu trúc sách an toàn cho hệ thống Phần 4: Xây dựng sách an tồn cho máy chủ web thực thi sách qua việc cấu hình, sử dụng tường lửa Trong trình thực đề tài, nhóm chúng em nhiều thiếu sót hạn chế mong ý kiến góp ý giáo bạn Nhóm sinh viên thực I Cài đặt exchange mail server 2007 windows server 2008 Email Server – hay gọi Máy chủ thư điện tử máy chủ dùng để gửi nhận thư điện tử Nhận gửi mail nội Email server quản lý toàn tài khoản email hệ thống nội Nhận mail từ email server Sender (người gửi) phân phối mail cho tài khoản hệ thống Email server cho phép user (người dùng) sử dụng webmail (mail web) để nhận mail sử dụng Outlook hai, phụ thuộc việc cài đặt Email Server Microsoft Exchange Server phần mềm Mail Server tốt sử dụng rộng rãi giới Thích hợp với thệ hống có lượng nười dùng lớn nhờ khả mở rộng chạy nhiều Server dễ dàng Phiên Exchange2007 phiên chia tách hệ thống Email thành nhiều công đoạn, chức riêng, chức gọi Role - vai trò Có role: - Edge Transport Role : Giao tiếp với bên ngoài, nhằm tăng cường an ninh - Hub Transport Role : Trung tâm điều phối, chuyển Mail hệ thống, chuyển mail ngồi - Mail box Server Role : Chứa Mail box người sử dụng, giao tiếp với MAPI Client - Client Access Server Role : Phụ trách giao tiếp với Client sử dụng POP3, IMAP, HTTP… - Unified Messaging Server Role : Một chức tích hợp thêm Phụ trách Voice Fax I.1 Cài đặt feature Bước 1: Cài đặt Active Directory Domain Services remote management tools Vào start > Run> CMD Gõ lệnh: ServerManagerCmd -i RSAT-ADDS Hình I.1: Cài đặt Active Directory Domain Services Sau cài đặt xong ta cần reset máy Bước 2: Cài đặt Power Shell Vào start > Run> CMD Gõ lệnh: ServerManagerCmd -i PowerShell Hình I.2: Cài đặt Power Shell Bước 3: Cài đặt IIS Vào start > Run> CMD Gõ lệnh: ServerManagerCmd -i Web-Server Hình I.3: Cài đặt IIS Tiếp theo gõ : ServerManagerCmd -i Web-ISAPI-Ext Hình I.4: Cài đặt IIS 7(tiêp) Tiếp theo gõ :ServerManagerCmd -i Web-Metabase Hình I.5: Cài đặt IIS 7(tiêp) Tiếp theo gõ :ServerManagerCmd -i Web-Lgcy-Mgmt-Console Hình I.6: Cài đặt IIS 7(tiêp) Tiếp theo gõ :ServerManagerCmd -i Web-Basic-Auth Hình I.7: Cài đặt IIS 7(tiêp) Tiếp theo gõ :ServerManagerCmd -i Web-Digest-Auth Hình I.8: Cài đặt IIS 7(tiêp) Tiếp theo gõ :ServerManagerCmd -i Web-Windows-Auth Hình I.9: Cài đặt IIS 7(tiêp) Tiếp theo gõ :ServerManagerCmd -i Web-Dyn-Compression Hình I.10: Cài đặt IIS 7(tiêp) I.2 Cài đặt Exchange Server 2007 Tiến hành download file cài đặt từ trang chủ microsoft máy giải nén Chạy file setup.exe Hình I.11:Cài đặt Exchange Server 2007 Hình I.12: Cài đặt Exchange Server 2007(tiếp) Chọn “Next” Hình I.13: Cài đặt Exchange Server 2007(tiếp) 10 Chọn “Next” Hình I.14: Cài đặt Exchange Server 2007(tiếp) Chọn “Next” Hình I.15: Cài đặt Exchange Server 2007(tiếp) 11 Chọn “Typical Exchange Serer Installation” sau chọn “Next” Hình I.16: Cài đặt Exchange Server 2007(tiếp) Trong bước hệ thống sử dụng Outlook 2003 để gửi nhận mail chọn “Yes” Trong trường hợp hệ thống chúng em không sử dụng Outlook 2003 nên chọn “No” 12 Hình I.17: Cài đặt Exchange Server 2007(tiếp) Phần mềm tự động kiểm tra feature cần thiết cài đặt hay chưa Nếu cài đặt hiển thị hình Tiếp theo chọn “Install” Hình I.18: Cài đặt Exchange Server 2007(tiếp) Hệ thống tự động cài đặt Sau cài đặt thành công, nhấn “Finish” để kết thúc II Khảo sát hệ thống mạng: II.1 Khảo sát hệ thống: Mơ hình gồm có: Khu vực mạng LAN có địa : 192.168.2.0/24 Khu vực mạng DMZ có địa chỉ; 192.168.1.0/24 bao gồm mail server(192.168.1.3) domain controller(192.168.1.2) Một firewall có card mạng: - card mạng có địa 192.168.1.1 kết nối tới vùng DMZ; - card mạng có địa 192.168.2.1 kết nối tới mạng LAN; 13 Hình II.0.19: Mơ hình mạng khảo sát Học Viện Kĩ Thuật Mật Mã II.2 Phân tích hệ thống: Xác định tài sản mạng Các hệ thống máy chủ, máy trạm, thiết bị phần cứng Các máy chủ Các phần mềm, tập tin, liệu sinh viên, giảng viên học viện Xác định rủi ro Tấn công vào vùng DMZ nơi đặt máy chủ Web, Mail, DNS công tới người dùng (Social engineering) mạng, cơng Spam Mail Mạng chưa có hệ thống dự phòng tính sẵn sàng hệ thống nhiều điểm hạn chế Tấn cơng vào từ chối dịch vụ vào máy chủ mail Xâm nhập vật lý tới thiết bị cụ thể hệ thống, Thiên tai, lũ lụt vv… 14 Xác định yêu cầu Cung cấp dịch vụ gửi nhận mail cho giảng viên, nhân viên học viện liên tục Tiến hành phân loại, gán nhãn sử dụng thuật tốn mã hóa để bảo mật file, mail trao đổi hệ thống Sử dụng firewall để thực thi sách đảm bảo an tồn chung cho hệ thống mail server Ban hành sách truy cập, sách quy định trách nhiệm, tới nhân viên, sinh viên, quản trị hệ thống học viện Xây dựng sách đảm bảo an toàn cho máy chủ mail Đưa số nguyên tắc nhằm chống lại công Spam Mail III Cấu trúc sách an tồn cho hệ thống III.1 Chính sách gì? Chính sách an tồn mơi trường thực tập hợp luật, quy định thực tiễn điều chỉnh việc tổ chức quản lý, bảo vệ phân phối tài nguyên để đạt mục tiêu an toàn III.2 Cấu trúc sách an tồn Mục đích: Đưa quy định phù hợp với thực tiễn hệ thống giúp ích cho việc tổ chức, quản lý nhân hay tài nguyên hệ thống, giúp cho hệ thống an toàn Phạm vi: Chính sách an tồn áp dụng cho đối tượng hay cho tất cán công nhân viên học viện KTMM, người: Chịu trách nhiệm send liệu nhạy cảm hay cá nhân mơi trường ngồi Nhận liệu nhạy cảm hay cá nhân từ mơi trường bên ngồi vào hệ thống Nội dung sách: Chính sách an tồn có nội dung gì? Trong nội dung sách rõ cần làm, khơng cần làm để đảm bảo an toàn cho hệ thống máy chủ mail 15 Ngồi ra, nội dung sách tổng quan quy định, điều luật phải thực hệ thống Các sách an tồn là: - Chính sách truy cập - Chính sách quy định trách nhiệm - Chính sách xác thực, bảo mật, Trách nhiệm đối tượng Những đối tượng áp dụng vào sách phải có trách nhiệm tuân thủ, thực quy định, điều luật sách, khơng vi phạm mà sách đề IV Xây dựng sách an tồn cho máy chủ web IV.I Các sách an tồn cho máy chủ web Từ rủi ro yêu cầu hệ thống mạng học viện, đưa sách an tồn cho máy chủ mail Học viện KTMM sau: Chính sách bảo vệ vật lý Mục đích: - Bảo vệ hệ thống khỏi hiểm họa vật lý - Bảo vệ liệu bạn khỏi kẻ xâm nhập - Đảm bảo mơi trường vận hành an tồn cho thiết bị phần cứng Phạm vi: Áp dụng cho tồn hệ thống Nội dung: Chính sách sử dụng văn phòng nơi đặt máy chủ thiết bị: - Văn phòng có hệ thống báo động - Sử dụng khóa cửa kết hợp kiểm tra đa nhân tố - Văn phòng có hệ thống chống cháy,hút ẩm, thơng gió,đường mạng chạy ngầm nhà, hệ thống cảnh báo cháy nổ Chính sách quy định nơi văn phòng dành cho người 16 có thẩm quyền vào Bản kiểm kê tài sản, bao gồm số seri sản phẩm mô tả vật lý Phương án tiêu hủy giấy loại chứa thông tin nhạy cảm Các phương án khẩn cấp : - Người trực tiếp quản lý hệ thống phải thông báo phát hệ thống bị rò rỉ tin nhạy cảm khơng chỗ - Cần liên hệ người quản lý trường hợp có cháy, ngập lụt tai họa thiên nhiên khác xảy - Cách thức sửa chữa khẩn cấp loại khóa - Cách thức để liên lạc với công ty, tổ chức cung cấp dịch vụ điện, nước Internet Cách khôi phục thông tin từ hệ thống lưu trữ ngoại tuyến Chính sách giới hạn địa Mục đích: định máy tính có địa IP có phép sử dụng dịch vụ hay không Phạm vi:Cho tất tài khoản hệ thống Nội dung:Thực firewall Tường lửa ISA có khả xác định địa IP máy trạm có yêu cầu sử dụng dịch vụ mail, sau dựa việc thiết lập allow/deny tường lửa để qyết định máy tính có đực sử dụng lửa Giả sử host-or-network là: - Tên host tên domain: http://actvn.edu.vn - Một địa IP có vấn đề: 192.168.2.2 - Một địa mạng subnet: 192.168.0.0/255.255.0.0 Chính sách xác thực 17 Mục đích: Xác thực người dùng truy cập hệ thống, đảm bảo an toàn cho hệ thống không bị xâm nhập bất hợp pháp Phạm vi: toàn thống Nội dung: Người dùng phép đăng nhập vào hệ thống user password xác thực thành công Chính sách bảo mật Mục đích:bảo vệ hệ thống khỏi hiểm họa bên Phạm vi:trên toàn hệ thống Nội dung: thực firewall, chặn truy cập trái phép, khả công vào hệ thống Bên cạnh việc thiết lập sách an tồn cho hệ thống, sử dụng chương trình diệt virus server như: ClamAV Amavisdnew Chính sách phân quyền Mục đích: Account cho User xác định hành động mà User thực Việc phân loại account cấp độ bảo vệ thích hợp khác Phạm vi: Cho tất tài khoản hệ thống Nội dung:Thực máy chủ DomainController Phân quyền truy cập, thực thao tác cho user, cho nhóm user… Đối với nhân viên quản lý hệ thống: +Người quản lý cao nhận tất quyền hệ thống +Nhân viên quản lý khác:sẽ nhận tất quyền permissions + Đối với nhân viên khác, học viên cấp quyền truy cập, read, (có thể có write) 18 Chính sách kiểm tra định kỳ Mục đích: Kịp thờ phát xâm nhập trái phép, lỗi hệ thống, rủi ro khơng đáng có, bảo đảm hệ thống vận hành ổn định Phạm vi: thiết bị phần cứng, phần mềm hệ thống Nội dung: - Thường xuyên kiểm tra hoạt động web server cách định kỳ theo tháng - Các file liêụ kiểm tra theo tuần - Máy chủ phải đăng ký hệ thống quản lý trường, thông tin cần thiết: - Địa server, vị trí, thơng tin backup - Thơng tin phần cứng, hệ điều hành - Các chức chính, ứng dụng áp dụng - Thông tin hệ thống phải cập nhật thường xuyên - Thay đổi cấu hình phải tuân theo yêu cầu hợp lý Chính sách Dịch vụ an tồn Mục đích: Đảm bảo mail gửi nhận hệ thống không chứa mã độc spam Phạm vi: Cấu hình dịch vụ an toàn, cài đặt ứng dụng lọc mail, spam mail, thư rác, Nội dung: Cấu hình dịch vụ an tồn để khơng nhận email từ email công cộng, email rác email có đính kèm mã độc hại Chính sách quy định trách nhiệm 19 Mục đích: Xác định rõ trách nhiệm cá nhân vi phạm sách hệ thống Phạm vi: Tất tài khoản hệ thống Nội dung: Các tài khoản spam hệ thống bị khóa tài khoản vĩnh viễn Cá nhân cố ý muốn xâm nhập, hủy hoại, đánh cắp thông tin nhạy cảm hệ thống bị truy tố pháp luật Chính sách backup-dự phòng Mục đích: Đảm bảo hệ thống hoạt động thơng suốt, khơng bị gián đoạn Đề phòng cố xảy Phạm vi: cho thiết bị phần cứng, phần mềm cho toàn hệ thống Nội dung: Hệ thống dự phòng để chia sẻ tài ngun thơng tin với hệ thống chính, chia sẻ tải thay hệ thống cần thiết Các file liệu phải mã hóa, back up 10 Chính sách sử dụng mật mạnh Mục đích: Những kẽ hở từ Account tạo hội cho attacker: Password yếu (độ dài password ngắn, kí tự đơn giản, lấy ngày tháng năm sinh, tên phim, địa danh, nhân vật tiếng , đặt cho password) Dùng password cho nhiều account Password dán bừa bãi lên Monitor/Keyboard, lưu password vào text file không bảo vệ Chia password hệ thống cho bạn đồng nghiệp… Phạm vi: Tài khoản học viên, nhân viên học viện Nội dung: Thực máy chủ mail Chính sách tạo password cho an toàn thực sư yếu tố để bảo vệ tài khoản Chính sách bao gồm yếu tố sau: Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng tối đa password trước user phải thay đổi password Thay đổi password theo định kì giúp tăng cường an toàn cho tài khoản Thời gian tối thiểu password phải sử dụng trước thay đổi 20 (minimum password age) Admin thiết lập thờigian khoảng vài ngày, trước cho phép user thay đổi password họ Thực thi password history: Số lần password khác biệt phải sử dụng qua, trước quay lại dùng password cũ Số Password history cao độ an tồn lớn Chiều dài password tối thiểu (minimum password length) cần phải đặt Càng dài an toàn Password phải đạt yêu cầu phức hợp: khơng độ dài mà độ phức hợp kí tự đặt password (ví dụ bạn thấy khác biệt password P@ssW0rd) Khi dùng password phức hợp cần quan tâm: - Không sử dụng họ tên - Chứa kí tự - Có thể đan xen chữ hoa,(A Z) thường (a z), kí tự đặc biệt như: ! @#$%^&*() Account lockout: Sẽ bị khóa tài khoản 600s sau lần log-on không thành công vào hệ thống Mục đích sách nhằm ngăn chặn công dạng brute force vào account để dò password IV.II Thực thi số sách qua tường lửa: Xây dựng luật thực thi số sách đảm bảo an tồn cho hệ thống thông qua tường lưa 21 STT Name Rule Stealth rule Any Any 192.168.2.0/24 Any Deny Block email from address 192.168.2.2 Any 172.16.1.1 110 Deny Email in Any Any 172.16.1.1 110 Allow Source Add Source Port Email out block DMZ Any Allow internet 192.168.2.0/24 Any Clearup Rule 192.168.1.4 Any 25 Any Any Destination add Any Destination add Any Action Allow 192.168.1.0/24 Any Deny Any Any Allow Any Any 22 Deny Decription Cấm tất truy cập trái phép tới tường lửa Chặn không nhận email từ địa định Cho phép email tới mail server Cho phép gửi mail Internet Cấp truy cập tới vùng DMZ Cho phép người dùng Lan truy cập Internet Cấm tất truy cập trái phép khác Các luật sau thiết lâp tường lửa Hình IV.20: bảng tập luật thực thi tường lửa 23 TÀI LIỆU THAM KHẢO Sách, giáo trình, đồ án [1] Phân tích thiết kế hệ thống an tồn thơng tin – học viện kỹ thuật mật mã [2] Báo Cáo Triển Khai Và Cài Đặt Exchange Server 2007 - Nguyễn Tiến Thắng Internet [1] http://quantrimang.com/tung-buoc-cai-dat-exchange-server-2010-83646 24 ... điều luật sách, khơng vi phạm mà sách đề IV Xây dựng sách an tồn cho máy chủ web IV.I Các sách an tồn cho máy chủ web Từ rủi ro yêu cầu hệ thống mạng học viện, đưa sách an tồn cho máy chủ mail Học... thống học viện Xây dựng sách đảm bảo an toàn cho máy chủ mail Đưa số nguyên tắc nhằm chống lại cơng Spam Mail III Cấu trúc sách an tồn cho hệ thống III.1 Chính sách gì? Chính sách an tồn mơi trường... thống Nội dung sách: Chính sách an tồn có nội dung gì? Trong nội dung sách rõ cần làm, khơng cần làm để đảm bảo an tồn cho hệ thống máy chủ mail 15 Ngoài ra, nội dung sách tổng quan quy định, điều