Đang tải... (xem toàn văn)
Tham khảo tài liệu ''giáo trình hướng dẫn phân tích thuộc tính tài khoản mail trong cấu hình mail server p4'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Tài liệu hướng dẫn giảng dạy So sánh với số kiến trúc khác, chẳng hạn kiến trúc Screened subnet kiến trúc Screened host có số bất lợi Bất lợi kẻ cơng tìm cách xâm nhập Bastion Host khơng có cách để ngăn tách Bastion Host host lại bên mạng nội Router có số điểm yếu Router bị tổn thương, toàn mạng bị cơng Vì lý mà Sceened subnet trở thành kiến trúc phổ biến Hình 5.2: Mơ hình Screened host I.2.3 Sreened Subnet Nhằm tăng cường khả bảo vệ mạng nội bộ, thực chiến lược phòng thủ theo chiều sâu, tăng cường an toàn cho bastion host, tách bastion host khỏi host khác, phần tránh lây lan bastion host bị tổn thương, người ta đưa kiến trúc firewall có tên Sreened Subnet Kiến trúc Screened subnet dẫn xuất từ kiến trúc screened host cách thêm vào phần an toàn: mạng ngoại vi (perimeter network) nhằm cô lập mạng nội khỏi mạng bên ngồi, tách bastion host khỏi host thơng thường khác Kiểu screened subnet đơn giản bao gồm hai screened router: Router ngồi (External router cịn gọi access router): nằm mạng ngoại vi mạng ngồi có chức bảo vệ cho mạng ngoại vi (bastion host, interior router) Nó cho phép hầu hết outbound từ mạng ngoại vi Một số qui tắc packet filtering đặc biệt cài đặt mức cần thiết đủ để bảo vệ bastion host interior router bastion host cịn host cài đặt an tồn mức cao Ngồi qui tắc đó, qui tắc khác cần giống hai Router Interior Router (còn gọi choke router): nằm mạng ngoại vi mạng nội bộ, nhằm bảo vệ mạng nội trước ngồi mạng ngoại vi Nó khơng thực hết qui tắc packet filtering toàn firewall Các dịch vụ mà interior router cho phép bastion host mạng nội bộ, bên mạng nội không thiết phải giống Giới hạn dịch vụ bastion host mạng nội nhằm giảm số lượng máy (số lượng dịch vụ máy này) bị cơng bastion host bị tổn thương thoả hiệp với bên Chẳng hạn nên giới hạn dịch vụ phép bastion host mạng nội SMTP có Email từ bên ngồi vào, có lẽ giới hạn kết nối SMTP bastion host Email Server bên Học phần - Quản trị mạng Microsoft Windows Trang 478/555 Tài liệu hướng dẫn giảng dạy Hình 5.3: Mơ hình Screened Subnet I.3 Các loại firewall cách hoạt động I.3.1 Packet filtering (Bộ lọc gói tin) Loại firewall thực việc kiểm tra số nhận dạng địa packet để từ cấp phép cho chúng lưu thông hay ngăn chặn Các thông số lọc packet như: - Địa IP nơi xuất phát (source IP address) - Địa IP nơi nhận (destination IP address) - Cổng TCP nơi xuất phát (source TCP port) - Cổng TCP nơi nhận (destination TCP port) Loại Firewall cho phép kiểm sốt kết nối vào máy chủ, khóa việc truy cập vào hệ thống mạng nội từ địa khơng cho phép Ngồi ra, cịn kiểm soát hiệu suất sử dụng dịch vụ hoạt động hệ thống mạng nội thông qua cổng TCP tương ứng I.3.2 Application gateway Đây loại firewall thiết kế để tăng cường chức kiểm soát loại dịch vụ dựa giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa mơ hình Proxy Service Trong mơ hình phải tồn hay nhiều máy tính đóng vai trị Proxy Server Một ứng dụng mạng nội yêu cầu đối tượng Internet, Proxy Server nhận yêu cầu chuyển đến Server Internet Khi Server Internet trả lời, Proxy Server nhận chuyển ngược lại cho ứng dụng gửi yêu cầu Cơ chế lọc packet filtering kết hợp với chế “đại diện” application gateway cung cấp khả an tồn uyển chuyển hơn, đặc biệt kiểm sốt truy cập từ bên ngồi Ví dụ: Một hệ thống mạng có chức packet filtering ngăn chặn kết nối TELNET vào hệ thống ngoại trừ máy - TELNET application gateway phép Một người muốn kết nối vào hệ thống TELNET phải qua bước sau: Học phần - Quản trị mạng Microsoft Windows Trang 479/555 Tài liệu hướng dẫn giảng dạy - Thực telnet vào máy chủ bên cần truy cập - Gateway kiểm tra địa IP nơi xuất phát người truy cập phép từ chối - Người truy cập phải vượt qua hệ thống kiểm tra xác thực - Proxy Service tạo kết nối Telnet gateway máy chủ cần truy nhập - Proxy Service liên kết lưu thông người truy cập máy chủ mạng nội Cơ chế lọc packet kết hợp với chế proxy có nhược điểm ứng dụng phát triển nhanh, proxy không đáp ứng kịp cho ứng dụng, nguy an tồn tăng lên Thơng thường phần mềm Proxy Server hoạt động gateway nối hai mạng, mạng bên mạng bên Hình 5.4: Mơ hình hoạt động Proxy Đường kết nối Proxy Server Internet thông qua nhà cung cấp dịch vụ Internet (Internet Service Provider - ISP) chọn cách sau: - Dùng Modem analog: sử dụng giao thức SLIP/PPP để kết nối vào ISP truy cập Internet Dùng dial-up tốc độ bị giới hạn, thường 28.8 Kbps - 36.6 Kbps Hiện có Modem analog tốc độ 56 Kbps chưa thử nghiệm nhiều Phương pháp dùng dial-up qua Modem analog thích hợp cho tổ chức nhỏ, có nhu cầu sử dụng dịch vụ Web E-Mail - Dùng đường ISDN: Dịch vụ ISDN (Integrated Services Digital Network) phổ biến số nước tiên tiến Dịch vụ dùng tín hiệu số đường truyền nên không cần Modem analog, cho phép truyền tiếng nói liệu đơi dây Các kênh thuê bao ISDN (đường truyền dẫn thông tin người sử dụng mạng) đạt tốc độ từ 64 Kbps đến 138,24 Mbps Dịch vụ ISDN thích hợp cho cơng ty vừa lớn, u cầu băng thông lớn mà việc dùng Modem analog không đáp ứng Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực tiếp Proxy Server với Internet thơng qua Router Dùng dial-up địi hỏi phải có Modem analog, dùng ISDN phải có phối ghép ISDN cài Server Học phần - Quản trị mạng Microsoft Windows Trang 480/555 Tài liệu hướng dẫn giảng dạy Hình 5.5: Mơ hình kết nối mạng Internet Việc chọn lựa cách kết nối ISP thích hợp tùy thuộc vào yêu cầu cụ thể công ty, ví dụ số người cần truy cập Internet, dịch vụ ứng dụng sử dụng, đường kết nối cách tính cước mà ISP cung cấp II Giới Thiệu ISA 2004 Microsoft Internet Security and Acceleration Sever (ISA Server) phần mềm share internet hãng phần mềm Microsoft, nâng cấp từ phần mềm MS ISA 2000 Server Có thể nói phần mềm share internet hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa (firewall) tốt, nhiều tính cho phép bạn cấu hình cho tương thích với mạng LAN bạn Tốc độ nhanh nhờ chế độ cache thơng minh, với tính lưu Cache đĩa giúp bạn truy xuất thông tin nhanh hơn, tính Schedule Cache (Lập lịch cho tự động download thông tin WebServer lưu vào Cache máy cần lấy thông tin Webserver mạng LAN) III Đặc Điểm Của ISA 2004 Các đặc điểm Microsoft ISA 2004: - Cung cấp tính Multi-networking: Kỹ thuật thiết lập sách truy cập dựa địa mạng, thiết lập firewall để lọc thông tin dựa địa mạng con,… - Unique per-network policies: Đặc điểm Multi-networking cung cấp ISA Server cho phép bảo vệ hệ thống mạng nội cách giới hạn truy xuất Client bên internet, cách tạo vùng mạng ngoại vi perimeter network (được xem vùng DMZ, demilitarized zone, screened subnet), cho phép Client bên truy xuất vào Server mạng ngoại vi, khơng cho phép Client bên ngồi truy xuất trực tiếp vào mạng nội - Stateful inspection of all traffic: Cho phép giám sát tất lưu lượng mạng - NAT and route network relationships: Cung cấp kỹ thuật NAT định tuyến liệu cho mạng - Network templates: Cung cấp mô hình mẫu (network templates) số kiến trúc mạng, kèm theo số luật cần thiết cho network templates tương ứng - Cung cấp số đặc điểm để thiết lập mạng riêng ảo (VPN network) truy cập từ xa cho doanh nghiệp giám sát, ghi nhận log, quản lý session cho VPN Server, thiết lập access policy cho VPN Client, cung cấp tính tương thích với VPN hệ thống khác - Cung cấp số kỹ thuật bảo mật (security) thiết lập Firewall cho hệ thống Authentication, Publish Server, giới hạn số traffic - Cung cấp số kỹ thuật cache thông minh (Web cache) để làm tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web proxy để chia sẻ truy xuất Web Học phần - Quản trị mạng Microsoft Windows Trang 481/555 Tài liệu hướng dẫn giảng dạy - Cung cấp số tính quản lý hiệu như: giám sát lưu lượng, reporting qua Web, export import cấu hình từ XML configuration file, quản lý lỗi hệ thống thông qua kỹ thuật gởi thông báo qua E-mail, - Application Layer Filtering (ALF): điểm mạnh ISA Server 2004, không giống packet filtering firewall truyền thống, ISA 2004 thao tác sâu lọc thơng tin tầng ứng dụng Một số đặc điểm bậc ALF: - Cho phép thiết lập lọc HTTP inbound outbound HTTP - Chặn các loại tập tin thực thi chạy Windows pif, com,… - Có thể giới hạn HTTP download - Có thể giới hạn truy xuất Web cho tất Client dựa nội dung truy cập - Có thể điều kiển truy xuất HTTP dựa chữ ký (signature) - Điều khiển số phương thức truy xuất HTTP IV Cài Đặt ISA 2004 IV.1 Yêu cầu cài đặt Thành phần Yêu cầu đề nghị Bộ xử lý (CPU) Intel AMD 500Mhz trở lên Hệ điều hành (OS) Windows 2003 Windows 2000 (Service pack 4) Bộ nhớ (Memory) 256 (MB) 512 MB cho hệ thống không sử dụng Web caching, 1GB cho Web-caching ISA firewalls không gian đĩa (Disk ổ đĩa cài đặt ISA thuộc loại NTFS file system, cịn 150 MB space) dành cho ISA NIC Ít phải có card mạng (khuyến cáo phải có NIC) IV.2 Q trình cài đặt ISA 2004 IV.2.1 Cài đặt ISA máy chủ card mạng Khi ta cài đặt ISA máy Server có card mạng (cịn gọi Unihomed ISA Firewall), hỗ trợ HTTP, HTTPS, HTTP-tunneled (Web proxied) FTP ISA không hỗ trợ số chức năng: - SecureNAT client - Firewall Client - Server Publishing Rule - Remote Access VPN - Site-to-Site VPN - Multi-networking - Application-layer inspection ( trừ giao thức HTTP) Các bước cài đặt ISA firewall máy chủ có NIC: Học phần - Quản trị mạng Microsoft Windows Trang 482/555 Tài liệu hướng dẫn giảng dạy Chạy tập tin isaautorun.exe từ CDROM ISA 2004 từ ISA 2004 source Nhấp chuột vào “Install ISA Server 2004” hộp thoại “Microsoft Internet Security and Acceleration Server 2004” Nhấp chuột vào nút Next hộp thoại “Welcome to the Installation Wizard for Microsoft ISA Server 2004” để tiếp tục cài đặt Chọn tùy chọn Select “I accept” hộp thoại “ License Agreement”, chọn Next Nhập số thông tin tên username tên tổ chức sử dụng phần mềm User Name Organization textboxe Nhập serial number Product Serial Number textbox Nhấp Next để tiếp tục Chọn loại cài đặt (Installation type) hộp “Setup Type”, chọn tùy chọn Custom, chọn Next hộp thoại “Custom Setup” mặc định hệ thống chọn Firewall Services, Advanced Logging, ISA Server Management Trên Unihomed ISA firewall hỗ trợ Web Proxy Client nên ta khơng chọn tùy chọn Firewall client Installation share nhiên ta chọn để Client sử dụng phần mềm để hỗ trợ truy xuất Web qua Web Proxy Chọn Next để tiếp tục Hình 5.6: Chọn Firewall Client Installation Share Chỉ định address range cho cho Internet network hộp thoại “Internal Network”, sau chọn nút Add Trong nút Select Network Adapter, chọn Internal ISA NIC Hình 5.7: Mơ tả Internal Network Range Sau mơ tả xong “Internet Network address ranges”, chọn Next hộp thoại “Firewall Client Connection Settings” Sau chương trình tiến hành cài đặt vào hệ thống, chọn nút Finish để hồn tất q trình IV.2.2 Cài đặt ISA máy chủ có nhiều card mạng Học phần - Quản trị mạng Microsoft Windows Trang 483/555 Tài liệu hướng dẫn giảng dạy ISA Firewall thường triển khai dual-homed host (máy chủ có hai Ethernet cards) multi-homed host (máy chủ có nhiều card mạng) điều có nghĩa ISA server thực thi đầy đủ tính ISA Firewall, SecureNAT, Server Publishing Rule, VPN,… Các bước cài đặt ISA firewall software multihomed host: Chạy tập tin isaautorun.exe từ CDROM ISA 2004 từ ISA 2004 source Nhấp chuột vào “Install ISA Server 2004” hộp thoại “Microsoft Internet Security and Acceleration Server 2004” Nhấp chuột vào nút Next hộp thoại “Welcome to the Installation Wizard for Microsoft ISA Server 2004” để tiếp tục cài đặt Chọn tùy chọn Select “I accept” hộp thoại “ License Agreement”, chọn Next Nhập số thông tin tên username tên tổ chức sử dụng phần mềm User Name Organization textboxe Nhập serial number Product Serial Number textbox Nhấp Next để tiếp tục Chọn loại cài đặt (Installation type) hộp “Setup Type”, chọn tùy chọn Custom, chọn Next Trong hộp thoại “Custom Setup” mặc định hệ thống chọn Firewall Services, Advanced Logging, ISA Server Management Ta chọn tùy chọn Firewall client Installation share Chọn Next để tiếp tục Hình 5.8: Chọn Firewall Client Installation Share Ta có hai cách Định nghĩa internet network addresses hộp thoại Internal Network setup Cách thứ ta mô tả dãy địa nội (Internal Network range) từ From To text boxes Cách thứ hai ta cấu hình default Internal Network cách chọn nút “Select Network Adapter” Sau ta nhấp chuột vào dấu chọn “Select Network Adapter” kết nối vào mạng nội Trong hộp thoại Configure Internal Network, loại bỏ dấu check tùy chọn tên Add the following private ranges Sau check vào mục chọn Network Adapter, chọn OK Học phần - Quản trị mạng Microsoft Windows Trang 484/555 Tài liệu hướng dẫn giảng dạy Hình 5.9: Chọn Network Adapter Xuất thông báo cho biết Internal network định nghĩa dựa vào Windows routing table Chọn OK hộp thoại Internal network address ranges Hình 5.10: Internal Network Address Ranges Chọn Next hộp thoại “Internal Network” để tiếp tục trình cài đặt Chọn dấu check “Allow computers running earlier versions of Firewall Client software to connect” ta muốn ISA hỗ trợ phiên Firewall client trước, chọn Next Hình 5.11: Tùy chọn tương thích với ISA Client Học phần - Quản trị mạng Microsoft Windows Trang 485/555 Tài liệu hướng dẫn giảng dạy Xuất hộp thoại Services để cảnh báo ISA Firewall stop sốdịch vụ SNMP IIS Admin Service q cài đặt ISA Firewall vơ hiệu hóa (disable) Connection Firewall (ICF) / Internet Connection Sharing (ICF), IP Network Address Translation (RRAS NAT service) services Chọn Finish để hồn tất q trình cài đặt V Cấu hình ISA Server V.1 Một số thơng tin cấu hình mặc định - Tóm tắt số thơng tin cấu hình mặc định: - System Policies cung cấp sẳn số luật phép truy cập vào/ra ISA firewall Tất traffic lại bị cấm - Cho phép định tuyến VPN/VPN-Q Networks Internal Network - Cho phép NAT Internal Network External Network - Chỉ cho phép Administrator thay đổi sách bảo mật cho ISA firewall Đặc điểm Cấu hình mặc định (Post-installation Settings) User permissions Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên Administrators group máy tính nội cấu hình firewall policy) Network settings Các Network Rules tạo sau cài đặt: Local Host Access: Định nghĩa đường (route) Local Host network tất mạng khác Internet Access: Định nghĩa Network Address Translation (NAT) VPN Clients to Internal Network dùng để định nghĩa đường VPN Clients Network Internal Network Firewall policy Cung cấp Access Rule mặc định tên Default Rule để cấm tất traffic mạng System policy ISA firewall sử dụng system policy để bảo mật hệ thống số system policy rule cho phép truy xuất số service cần thiết Web chaining Cung cấp luật mặc định có tên Default Rule để định tất request Web Proxy Client nhận trực tiếp từ Internet, nhận từ Proxy Server khác Caching Mặc định ban đầu cache size có giá trị có nghĩa chế cache bị vơ hiệu hóa Ta cần định nghĩa cache drive phép sử dụng Web caching Alerts Hầu hết chế cảnh báo cho phép để theo dõi gián sát kiện Client configuration Web Proxy Client tự động tìm kiếm ISA Firewall sau cấu hình Học phần - Quản trị mạng Microsoft Windows Trang 486/555 Tài liệu hướng dẫn giảng dạy thông số proxy dụng Web browser V.2 Một số sách mặc định hệ thống Order/Comments Chỉ sử dụng ISA Firewall thành viên Domain Name Action Allow access to Directory services Allow purposes Allow remote Cho phép quản lý ISA management from Allow Firewall từ xa thông qua selected computers công cụ MMC using MMC Allow remote logging to trusted Allow servers using NETBIOS Allow remote Cho phép quản lý ISA management from Firewall thông qua selected computers Allow Terminal Services using Terminal Protocol Server Name Cho phép login tới số server sử dụng giao thức NetBIOS Allow RADIUS Cho phép RADIUS authentication from authentication từ ISA đến ISA Server to Allow số trusted RADIUS trusted RADIUS servers servers Protocol LDAP ;LDAP (UDP) from/Listener LDAP GC (global catalog) Local Host LDAPS ;LDAPS GC To Condition Name Local Host NetBIOS Internal All Users Internal All Users All Users Continued Condition All Users Internal All Users (Global Catalog) NetBIOS datagram Remote Local NetBIOS Management Host Service Computers Name NetBIOS Remote RDP (Terminal Management Local Host Services) Protocols Computers From/Listener Local Host NetBIOS Datagram NetBIOS Service Session RADIUS RADIUS Accounting Trang 487/555 Học phần - Quản trị mạng Microsoft Windows Tài liệu hướng dẫn giảng dạy Order/Comments Name Allow Kerberos Cho phép chứng thực kerberos từ ISA authentication Server tới trusted from ISA Server server to trusted servers Action Allow Cho phép sử dụng Allow DNS from ISA Server Allow DNS từ ISA tới số to selected servers DNS Server Protocol from/Listener Local Host Kerberos-Sec (TCP) Local Host Kerberos-Sec (UDP) DNS Condition Order/Comments 11 Cho phép ISA Server gởi ICMP request tới số server To All Users 12 Cho phép tất VPN Client bên kết nối vào ISA Server Internal All Networks All Users (and Local Host) All Users 14 Cho phép ISA thiết lập kết nối VPN (site to site) đến VPN Server khác All Users 13 Cho phép DHCP DHCP(reques Local Host Anywher Continued Request từ ISA gởi t) Protocols From/Listener e To Condition đến tất mạng All Users Cho phép DHCP Allow DHCP requests from Request từ ISA gởi ISA Server to all networks Allow đến tất mạng Name Local Host Local Host 15 Cho phép sử dụng CIFS để truy xuất share file từ ISA đến server khác DHCP (reply) Internal Ping Remote Management Computers Chấp nhận DHCP Allow DHCP replies from Allow replies từ DHCP DHCP servers to ISA Server Server tới ISA Server 10 Cho phép số Allow ICMP (PING) máy quyền gởi requests from selected Allow ICMP request đến ISA computers to ISA Server Server Trang 488/555 Học phần - Quản trị mạng Microsoft Windows ... NAT service) services Chọn Finish để hoàn tất trình cài đặt V Cấu hình ISA Server V.1 Một số thơng tin cấu hình mặc định - Tóm tắt số thơng tin cấu hình mặc định: - System Policies cung cấp sẳn... động dựa mơ hình Proxy Service Trong mơ hình phải tồn hay nhiều máy tính đóng vai trị Proxy Server Một ứng dụng mạng nội yêu cầu đối tượng Internet, Proxy Server nhận yêu cầu chuyển đến Server Internet... Đặc điểm Cấu hình mặc định (Post-installation Settings) User permissions Cấp quyền cho user có quyền cấu hình firewall policy (chỉ có thành viên Administrators group máy tính nội cấu hình firewall