Cùng với những nhu cầu về bảo mật thông tin, nhiều ứng dụng bảo mật được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin được ra đời. Ví dụ: Cisco – bảo vệ mạng thông qua hạ tầng phần cứng kết nối mạng. ISA Sever ứng dụng bảo vệ mạng theo mô hình phân lớp mạng, lọc gói tin,...được cung cấp bởi hãng Microsoft.Tường lửa ISA đã có lịch sử phát triển khá lâu, các phiên bản dần được nâng cấp lên nên theo thời gian và tiến trình phát triển.Năm 2010, phiên bản kế tiếp của tường lửa ISA không chỉ có các tính năng và chức năng mới đáng chú ý, nó còn mang một cái tên mới – tên ISA đã được thay bằng TMG Threat Management Gateway 2010. Đây là một thay đổi lớn về mặt quan điểm và là một tín hiệu tốt về tính hiệu quả trong tiến trình phát triển bảo mật của Microsoft, Microsoft đã hoàn toàn thay đổi cách tạo phần mềm và tập trung vào vấn đề bảo mật trong mọi giai đoạn phát triển.
MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP ISA 1.1 Tổng quan ISA Sever 1.1.1 Khía cạnh mạng .3 1.1.2 Khía cạnh Sever 1.2 ISA Server Firewall .7 1.2.1.Điều khiển yêu cầu 1.2.2 Điều khiển yêu cầu đến 1.2.3 Lọc IP packet 1.2.4 Xâm nhập báo động 1.2.5 SecureNAT (Secure Network Address Translation) 10 1.3 ISA Server cache 11 1.3.1 Cách thức hoạt động ISA Server cache 11 1.3.2 Cơ chế cache ISA Server 12 1.4 Các luật quản lý sách truy cập 13 1.4.1 Lọc IP Packet 13 1.4.2 Các luật băng thông 15 1.4.3 Các luật sách quảng bá .15 1.5 Các tính trội Forefront TMG 2010 16 CHƯƠNG 2: GIẢI PHÁP FOREFRONT TMG (PHÁT TRIỂN TỪ ISA) 20 2.1 Sơ đồ tổng quan 20 2.2 Tổng quan Firewall 20 2.2.1 Khái niệm Firewall .20 2.2.2 Chức 21 2.2.3 Nguyên lý hoạt động Firewall 21 2.2.4 Ưu nhược điểm Firewall 22 2.2.5 Những hạn chế Firewall 23 2.3 Giới thiệu Windown Server 2008 23 2.4 Giới thiệu Forefront TMG 2010 .25 2.4.1 Lịch sử Forefront TMG 2010 25 2.4.2 Quá trình phát triển Forefront TMG 2010 25 2.4.3 Các tính TMG 2010 .26 2.4.4 Giao diện TMG 2010 .28 CHƯƠNG 3: CÀI ĐẶT FOREFRONT TMG SEVER VÀ CẤU HÌNH MỘT SỐ CHÍNH SÁCH BẢO MẬT 31 3.1 Yêu cầu hệ thống 31 3.1.1 Yêu cầu phần cứng .31 3.1.2 Yêu cầu phần mềm .32 3.2 Cài đặt TMG 2010 .32 3.3 Cấu hình số tính TMG để quản lý nhân viên .40 3.3.1 Web acess .40 3.3.2 DNS Query 43 3.3.4 Malware Inspection 46 3.3.5 HTTP Filter 50 3.3.6 INTRUSION DETECTION 53 DANH MỤC HÌNH ẢN Hình 1.1 Kiến trúc ISA Sever khung cảnh mạng Hình 1.2 Kiến trúc chuỗi ISA Sever .3 Hình 2.1 Sơ đồ tổng quan hệ thống mạng sử dụng TMG 2010 14 Hình 2.2 Sơ đồ phát triển Forefront TMG 2010 18 Hình 2.3 Các chức TMG 2010 19 Hình 2.4 Giao diện hiển thị rule sử dụng giao thức DNS .20 Hình 2.5 Giao diện cấu hình truy cập Web 20 Hình 2.6 Giao diện tạo tuyến tĩnh 21 Hình 2.7 Launch Getting Started Wizard giao diện .21 Hình 2.8 Giao diện tạo nhóm Rule 22 Hình 3.1 Tùy chọn vào Run Preparation Tool 24 Hình 3.2 Tiến trình cài đặt 25 Hình 3.3 Hồn thành cài đặt Run Preparation Tool 25 Hình 3.4 Cài đặt Run Intallation Winzard 26 Hình 3.5 Tiến trình cài đặt Run Intallation Winzard 26 Hình 3.6 Điền thơng tin 27 Hình 3.7 Chọn phương thức cài đặt 27 Hình 3.8 Tiến trình cài đặt 28 Hình 3.9 Chọn card mạng mạng lan chọn địa cấp 28 Hình 3.10 Tiến trình cài đặt Run Intallation Winzard 29 Hình 3.11 Chọn card confgure network setting cấu hình .29 Hình 3.12 Địa card lan Inter .30 Hình 3.13 Địa card internet: Exter .30 Hình 3.14 Chọn mơi trường cài đặt domain hay workgroup 31 Hình 3.15 Tắt chế độ update 31 Hình 3.16 Hoàn thành cài đặt Getting starter winzard 32 Hình 3.17 Giao diện cài đặt xong TMG 32 Hình 3.18 Tạo Access rule 33 Hình 3.19 Đặt tên cho Access rule .33 Hình 3.20 Chọn cách cài đặt 34 Hình 3.21 Chọn giao thức HTTP HTTPS 34 Hình 3.22 Chọn giao thức 35 Hình 3.23 kết thức cấu hình access rule .35 Hình 3.24 Tạo Access rule cấu hình DNS Query 36 Hình 3.25 Đặt tên Access rule 36 Hình 3.26 Chọn giao thức 37 Hình 3.27 Hồn thành q trình cấu hình .37 Hình 3.39 kiểm tra việc cập nhật cho chức Malware Inspection 38 Hình 3.40 Giao diện Launch Getting Started Wizrd 39 Hình 3.41 Bật tính Năng updates 39 Hình 3.42 Giao diện cấu hình 40 Hình 3.43 Check for and install New Definitions chờ đợi trình cập nhật .40 Hình 3.44 Check Inspect content downloaded from Web servers to clients 41 Hình 3.45 kiểm tra download trang Http 41 Hình 3.46 Thơng báo nhấn Downloal 42 Hình 3.47 Chọn Configure HTTP cấu hình cấm download file định .43 Hình 3.48 Chọn định cấm download 43 Hình 3.49 Kiểm tra thử download .44 Hình 3.50 Cấm post đăng nhập vào diễn đàn forum 45 Hình 3.51 kiểm thử đăng nhập vào Forum 45 Hình 3.52 Bật chức cảnh báo .46 Hình 3.53 Chọn kiểu công port scan .46 Hình 3.55 Chọn chức thơng báo 47 Hình 3.56 Chọn Intrution Detected 47 Hình 3.57 Chọn hình thức cảnh báo .48 Hình 3.58 Cấu hình Superscan .49 Hình 3.59 Tiến hành Scan 50 Hình 3.60 Thông báo xâm nhập bên máy TMG 50 LỜI NÓI ĐẦU Cùng với nhu cầu bảo mật thông tin, nhiều ứng dụng bảo mật triển khai với nhiều hình thức nhằm giữ tồn vẹn thơng tin đời Ví dụ: Cisco – bảo vệ mạng thông qua hạ tầng phần cứng kết nối mạng ISA Sever - ứng dụng bảo vệ mạng theo mơ hình phân lớp mạng, lọc gói tin, cung cấp hãng Microsoft Tường lửa ISA có lịch sử phát triển lâu, phiên dần nâng cấp lên nên theo thời gian tiến trình phát triển Năm 2010, phiên tường lửa ISA khơng có tính chức đáng ý, mang tên – tên ISA thay TMG - Threat Management Gateway 2010 Đây thay đổi lớn mặt quan điểm tín hiệu tốt tính hiệu tiến trình phát triển bảo mật Microsoft, Microsoft hồn toàn thay đổi cách tạo phần mềm tập trung vào vấn đề bảo mật giai đoạn phát triển Thách thức thiết lập tường lửa TMG học vấn đề Chúng ta trải qua hàng thập kỷ làm việc với ISA hầu hết quản trị viên hiểu sâu chi tiết kỹ thuật kịch triển khai phức tạp Tuy nhiên có nhiều người gặp phải vấn đề truy cập cách làm việc tường lửa TMG Rất nhiều quản trị viên TMG tập trung vào tìm hiểu cách điều khiển truy cập gửi vào (cho ví dụ, để điều khiển truy cập đến Exchange SharePoint) Và lúc họ muốn biết cách điều khiển truy cập kết nối gửi Đó lý mà chúng tơi nghiên cứu đề tài “Cài đặt Forefront Threat Management Sever cấu hình số sách bảo mật” Bài báo cáo gồm có : Chương 1: Tổng quan giải pháp ISA Chương 2: Giải pháp Forefront TMG (phát triển từ ISA) Chương 3: Cài đặt Forefront TMG server cấu hình số sách bảo mật Trong q trình làm báo cáo chắn khơng tránh khỏi thiếu sót Mong thầy bạn đóng góp ý kiến để báo cáo hoàn thiện Xin chân thành cảm ơn! CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP ISA 1.1 Tổng quan ISA Sever Internet Security and Acceleration (ISA) Sever đưa giải pháp kết nối chứa firewall cache ISA Sever bảo vệ mạng, cho phép cài đặt chiến lược bảo vệ nghiệp vụ cách cấu hình tập hợp lớn rule, site, giao thức, nội dung truyền qua máy tính ISA Sever ISA Sever giám sát yêu cầu trả lời máy tính Internet máy khách nội điều khiển truy nhập máy tính mạng phối hợp ISA Sever điều khiển máy tính Internet truy nhập Client nội 1.1.1 Khía cạnh mạng Hình kiến trúc ISA Server khung cảnh mạng Hình 1.1 Kiến trúc ISA Sever khung cảnh mạng ISA Sever cấu hình điển hình máy tính với hai giao diện mạng, nối trực tiếp với mạng nội bộ, nối với Internet Các giao diện thích nghi với nhiều kiểu giao thức Trên mạng nội (LAN), ví dụ: Ethernet, Token Rin, hay ARCNet nói chung hỗ trợ TCP/IP NetBEUI Một kết nối Internet dùng modem, ISDN, giao diện mạng gắn với router có nối với Internet Tại trung tâm ISA Sever máy tính quản trị viên Máy tính quản trị viên có chức ISA Sever, dịch vụ thư mục MS Windows 2000, đối tượng COM ISA Quản trị quản lý client từ xa dùng chế quản trị ISA dùng đoạn mã script Các tác vụ quản trị viên gồm có thiết lập luật (rule) sách (policy), cấu hình nhớ cache Các luật để xác định cách mà client giao tiếp Internet kiểu thông tin cho phép Các luật xác định cách mà server mạng nội ta giao tiếp với client Internet Một điều khoản bao gồm luật cho site nội dung, luật cho giao thức, luật công khai Web, lọc IP packet Một sách áp dụng mức chuỗi mức xí nghiệp Xí nghiệp bao gồm tất chuỗi mạng Các chiến lược mức xí nghiệp áp dụng cho tất chuỗi xí nghiệp Thêm nữa, sách mức chuỗi áp dụng cho nhiều chuỗi Bốn ý có thẻ thấy khung cảnh mạng: - Quản trị viên quản trị ISA Sever máy tính từ xa - Chuỗi ISA Sever, bao gồm sever - Active Directory, nằm máy tính riêng biệt Dịch vụ thư mục chủ động lưu thông tin đối tượng mạng, bao gồm người dùng máy tính, enterprise miền – chuỗi thơng tin đăng ký liên quan đến ISA mở rộng Active Directory phân tán thơng tin tồn mạng Cơ chế đăng ký máy ISA thực thi chức không dùng Active Directory - Các client server dùng khả ISA Sever firewall cache Chúng ta lập trình cho tác vụ quản trị ISA tự động cách truy nhập vào đối tượng ISA COM 1.1.2 Khía cạnh Sever ISA Sever hoạt động nhiều tăng truyền thông khác để bảo vệ mạng phối ghép Tại tầng xử lý packet, ISA Sever thực lọc packet Khi chế lọc cho phép, ISA Sever điều khiển cách thống kê liệu giao diện ngoài, đánh giá tải đến trước tiếp cận tới tài nguyên Nếu liệu cho phép vượt qua tầng lọc packet này, đến với dịch vụ firewall web proxy, nơi mà luật ISA Sever xử lý để xác định yêu cầu phục vụ Hình cho thấy chi tiết kiến trúc chuỗi ISA Server Hình 1.2 Kiến trúc chuỗi ISA Sever ISA Sever dùng thành chuỗi, phép cân tải chịu lỗi Tuy nhiên bàn chút kiến trức ISA Sever đơn Các phận sever gồm có: - Bộ lọc IP packet - SecureNat, Một chức ISA Sever thực công việc dịch địa mạng thay cho hàm NAT Windows 2000 - Firewall, bao gồm dịch vụ Web proxy, dịch vụ firewall lọc ứng dụng: + Dịch vụ Web proxy, bao gồm lọc Web cache + Dịch vụ Firewall, xử lý yêu cầu kết nối dịch vụ Firewall SecureNAT client Các yêu cầu http phát tới dịch vụ Web proxy lọc http redirector + Các lọc ứng dụng, bao gồm lọc http redirector, lọc định hướng yêu cầu http tới dịch vụ Web proxy, lọc giao thức khác với ISA Sever Các lọc hãng thứ ba phát triển cho ISA firewall cách dùng giao diện lọc ứng dụng ISA Sever dùng điều khiển băng thông QoS Windows 2000 QoS tập hợp thành phần quản lý việc sử dụng băng thông cho mạng ISA Sever dùng QoS để kết nối theo luật thiết lập quản trị viên ISA Có thể thấy hình vẽ ISA Sever bảo vệ ba loại client: - Client ISA Firewall máy tính cài đặt phần mềm ISA Firewall Các yêu cầu từ ISA Firewall client gửi tới dịch vụ ISA Firewall máy ISA Sever để xác định truy nhập phép Kết là, yêu cầu lọc lọc ứng dụng add-in khác Nếu client ISA Firewall client yêu cầu đối tượng http, lọc http redirector chuyển tiếp yêu cầu tới dịch vụ Web proxy Dịch vụ Web proxy đệm cho đối tượng yêu cầu, phục vụ đối tượng từ ISA Sever cache - SecureNAT client máy tính khơng cài ISA Firewall client software Các yêu cầu từ SecureNAT gửi trước hết tới NAT driver, giúp cho việc chuyển từ IP toàn cầu sang IP nội SecureNAT client Các yêu cầu client sau gửi tới dịch vụ ISA Firewall, để xác định truy cập phép Cuối cùng, yêu cầu lọc lọc ứng dụng add-in khác Nếu SecureNAT client yêu cầu đối tượng http, lọc http redirectory chuyển tiếp yêu cầu tới dịch vụ Web proxy Dịch vụ Web proxy đệm cho đối tượng yêu cầu, phục vụ đối tượng từ ISA Sever cache - Các máy khách Web proxy ứng dụng duyệt tương thích với chuẩn CERN ISA chuyển tiếp yêu cầu từ Web proxy client cho dịch vụ Web proxy máy tính ISA Sever để xác định truy cập phép Dịch vụ Web proxy đệm cho đối tượng yêu cầu phục vụ đối tượng từ ISA Server cache Cần ý Firewall client SecureNAT client không tồn đồng thời Tuy nhiên, máy khách ISA Firewall máy khách SecureNAT máy khách Web proxy Nếu ứng dụng Web máy tính cấu hình mục địch để dùng ISA Sever, tất Web request (HTTP, FTP, HTTP-S Gopher) gửi trực tiếp tới dịch vụ Web proxy Tất yêu cầu khác xử lý dịch vụ Firewall 1.2 ISA Server Firewall 1.2.1.Điều khiển yêu cầu ngồi Một chức ISA Server kết nối mạng nội với Internet bảo vệ mạng nội khỏi nội dung có hại Để đơn giản hố, ISA Server sử dụng sách truy nhập, với luật dẫn đường, xác đinh cách client truy nhập vào Internet Khi ISA Server xử lý mọt yêu cầu ngồi, kiểm tra luật dẫn đường, luật cho nội dung site, luật giao thức để xác định xem u cầu có phép khơng Một yêu cầu cho phép luật giao thức nội dung cho phép khơng có luật khác chủ đích từ chối request Một vài luật cấu hình để áp dụng cho client định Trong trường hợp này, client xác định địa IP tên người 10 Hình 3.24 Tạo Access rule cấu hình DNS Query Hình 3.25 Đặt tên Access rule 43 Hình 3.26 Chọn giao thức Hình 3.27 Hồn thành trình cấu hình 44 3.3.4 Malware Inspection - Malware (MaliciousSoftware) tên gọi chung cho tất phần mềm độc hại máy tính - Malware bao gồm: Virus, Worm, Trojan, Spyware, Adware phần mềm gây hại cho máy tính theo cách khác Do việc chống malware cần thiết người dùng truy cập web Trước cấu hình, bạn cho Download thử file có chứa Malware cách truy cập Web trang Web eicar.org Chọn DOWNLOAD ANTI MALWARE TESTFILE - Tiếp theo cấu hình chức Malware Inspection Triên tiên bạn cần kiểm tra việc cập nhật cho chức Malware Inspection cách chọn Update Center, quan sát chức Malware cập nhật đầy đủ (trạng thái hiển thị Up to date) Hình 3.39 kiểm tra việc cập nhật cho chức Malware Inspection Nếu chưa cập nhật chưa khai báo việc cập nhật bước cấu hình TMG, bạn cấu hình cách sau (lưu ý TMG cập nhật hồn tất bạn bỏ qua bước này) ChọnForefront TMG (Tên Server) - Launch Getting Started Wizrd 45 - Hình 3.40 Giao diện Launch Getting Started Wizrd Chọn Define deployment options Chọn Use the Microsoft Update service to check for updates - Nhấn Next Hình 3.41 Bật tính Năng updates Kiểm tra bảo đảm dấu check Enable Malware Inspection chọn nhấn Next 46 Hình 3.42 Giao diện cấu hình Chấp nhận thơng số mặc định - Nhấn Next Chọn No, I don't want to participate - Nhấn Next Chọn None No information is send to Microsoft - Nhấn Next Nhấn Finish Chọn Update Center - Bấm phải chuột Malware Inspection - Chọn Check for and install New Definitions chờ đợi trình cập nhật, q trình nhiều thời gian phụ thuộc vào đường truyền Internet bạn Hình 3.43 Check for and install New Definitions chờ đợi trình cập nhật Sau cập nhật hồn tất, cấu hình Malware Inspection cách chọn Firewall Policy - Bấm phải chuột vào Access Rule Allow Web - Chọn Properties Sang Tab Malware Inspection - Đánh dấu check Inspect content downloaded from Web servers to clients - Nhấn OK sau nhấn Apply - Apply OK để lưu thay đổi 47 - Hình 3.44 Check Inspect content downloaded from Web servers to clients Sang máy DC, kiểm tra cách download lại file eicar.com Hình 3.45 kiểm tra download trang Http Bạn nhận thông báo lỗi hình cho biết file có chứa malware bị chặn 48 Hình 3.46 Thơng báo nhấn Downloal 3.3.5 HTTP Filter - HTTP filter chức cho phép lọc chặn dựa vào nội dung gói tin HTTP truy cập Web Trên TMG sử dụng chức để cấm download loại file định, cấm theo phương thức truy cập web cấm dựa vào thông số signature ứng dụng truy cập Web ứng dụng Chat hay Game online… Trong ví dụ tơi cấu hình cấm download loại file định cấm dựa theo phương thức truy cập Web Cấm Download loại file định Chọn Firewall Policy - Bấm phải chuột lên Access Rule Allow Web - Chọn Configure HTTP 49 Hình 3.47 Chọn Configure HTTP cấu hình cấm download file định - Sang Tab Extensions - Chọn Block specified extensions (allow all others) - Nhấn Add - Nhập loại file mà bạn muốn cấm, ví dụ tơi muốn cấm download file có phần mở rộng exe, nhập exe - Nhấn OK - Nhấn OK sau nhấn Apply - Apply - OK để lưu thay đổi Hình 3.48 Chọn định cấm download - Sang máy DC, kiểm tra tìm download file có phần mở rộng EXE, bạn nhận báo lỗi hình với thơng tin Source Web filter 50 Hình 3.49 Kiểm tra thử download Cấm dựa vào phương thức (method) truy cập Web - Khi truy cập web, thông thường người dùng sử dụng phương thức truy cập phổ biến sau: - GET: Lấy thông tin từ server, phương thức truy cập phổ biến để đọc nội dung Web - POST: Gửi thông tin từ client lên Web Server Đây phương thức thường dùng Web Mail hay diễn đàn - Trong ví dụ cấm truy cập phương thức POST Chọn Firewall Policy Bấm phải chuột vào Access Rule Allow Web - Chọn Configure HTTP - Sang Tab Methods - Chọn Block specified method (allow all others) - Nhấn Add - Nhập phương thức cần cấm (ví dụ POST) - Nhấn OK - Nhấn OK sau nhấn Apply - Apply - OK để lưu thay đổi 51 Hình 3.50 Cấm post đăng nhập vào diễn đàn forum - Chuyển sang máy DC thử nhập vào diễn đàn (forum) sử dụng phương thức POST Bạn nhận báo lỗi hình Hình 3.51 kiểm thử đăng nhập vào Forum 3.3.6 INTRUSION DETECTION Đây chức tự động phát đợt cơng từ bên ngồi cảnh báo với người quản trị Thực - Mở TMG -> Intrusion Prevention System-> Behavioral Intrusion Detecsion -> Configure Detection Setting for Common Network Attacks 52 - Hình 3.52 Bật chức cảnh báo Chọn mục Port scan -> ok Hình 3.53 Chọn kiểu công port scan - Chọn Monitoring -> Configure Alert Definitions 53 - Hình 3.55 Chọn chức thơng báo Chọn Intrution Detected -> Edit - Hình 3.56 Chọn Intrution Detected Chọn Tab Action -> Ta quy định nhiều hình thức cảnh báo khác 54 - Hình 3.57 Chọn hình thức cảnh báo Tại máy client , Chạy chương trình SuperScan -> vào Tab Host and Service Discovery -> Bỏ dấu host Discovery Mục Scan Type -> chọn Connect 55 - Hình 3.58 Cấu hình Superscan Vào Tab Scan -> Nhập Ip card lan Forefront TMG server 192.168.0.21 -> Nhấn nút Add -> Nhấn nút Start để tiến hành Scan 56 Hình 3.59 Tiến hành Scan - Sang máy TMG chọn Monitoring -> Alert -> Sẽ thấy xuất dòng thơng tin cảnh báo Hình 3.60 Thơng báo xâm nhập bên máy TMG 57 ... tài Cài đặt Forefront Threat Management Sever cấu hình số sách bảo mật Bài báo cáo gồm có : Chương 1: Tổng quan giải pháp ISA Chương 2: Giải pháp Forefront TMG (phát triển từ ISA) Chương 3: Cài. .. nhiều rule đó, kích phải vào số rule chọn, chọn Create Group 28 Hình 2.8 Giao diện tạo nhóm Rule 29 CHƯƠNG 3: CÀI ĐẶT FOREFRONT TMG SEVER VÀ CẤU HÌNH MỘT SỐ CHÍNH SÁCH BẢO MẬT 3.1 Yêu cầu hệ thống... CHƯƠNG I: TỔNG QUAN VỀ GIẢI PHÁP ISA 1.1 Tổng quan ISA Sever Internet Security and Acceleration (ISA) Sever đưa giải pháp kết nối chứa firewall cache ISA Sever bảo vệ mạng, cho phép cài đặt chiến