ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Tr-êng đại học vinh Khoa cntt ==== o0o ==== đồ án tèt nghiƯp TriĨn khai isa firewall cho hƯ thèng m¹ng doanh nghiệp Giáo viên h-ớng dẫn : ThS Nguyễn Quang Ninh Sinh viên thực : Nguyễn Trọng Đắc Vinh 2011 -1- SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh LỜI MỞ ĐẦU Công nghệ thông tin ngành ứng dụng công nghệ quản lý xử lý thông tin Tốc độ phát triển nhanh công nghệ làm cho việc luân chuyển thông tin trở nên nhanh chóng vai trị công nghệ thông tin ngày trở nên quan trọng Phạm vi ứng dụng ngày mở rộng nhiều lĩnh vực truyền thông, đo lường tự động hóa, y tế giáo dục, quản lý hoạt động xã hội người Những khả mẻ ưu việt công nghệ thông tin nhanh chóng làm thay đổi cách sống, cách làm việc, cách học tập Trong thực tế công nghệ thông tin ứng dụng hoạt động sản xuất, giao dịch Công nghệ thông tin sử dụng cách có hiệu bền vững tiêu chí hàng đầu nhiều quốc gia nay, Việt Nam khơng ngoại lệ Xét bình diện doanh nghiệp ứng dụng công nghệ thông tin vào sản xuất kinh doanh ln mong muốn có điều Khi triển khai hệ thống thông tin xây dựng chế bảo vệ chặt chẽ, an tồn góp phần trì tính “bền vững” cho hệ thống thông tin doanh nghiệp Giá trị thơng tin doanh nghiệp tài sản vô giá, không túy vật chất mà có giá trị khơng thể đo đếm uy tín khách hàng, thơng tin giao dịch với khách hàng bị đánh cắp, sau bị lợi dụng với mục đích khác nhau: Hacker, attacker, virus, worm, thực mối lo ngại hàng đầu tất hệ thống thông tin Chính tất hệ thống cần trang bị công cụ đủ mạnh, am hiểu cách xử lý để đối phó với xâm nhập bất hợp pháp từ bên ngồi Đó Firewall, từ Personal Firewall bảo vệ cho Computer Enterprise Firewall có khả bảo vệ tồn hệ thống Network Tổ chức Và Microsoft ISA Server 2006 Enterprise Firewall Chính lý nên em chọn đề tài: “Triển khai ISA Firewall cho hệ thống mạng doanh nghiệp” để làm báo cáo đồ án tốt nghiệp với công cụ triển khai ISA Server 2006 Đồ án hoàn thành nhờ giúp đỡ chu đáo tận tình thầy Nguyễn Quang Ninh Do nhiều yếu tố khách quan tầm hiểu biết chưa sâu sắc nên -2- SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh báo cáo tốt nghiệp chắn cịn có sai sót, hạn chế Em mong góp ý chân thành thầy cô bạn để đồ án hoàn thiện Em xin chân thành cảm ơn! SVTH: Nguyễn Trọng Đắc CHƯƠNG I: GIỚI THIỆU FIREWALL ISA SERVER 2006 I Giới thiệu Firewall -3- SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Khái niệm Firewall có nghĩa Bức tường lửa Dùng để ngặn chặn bảo vệ thông tin, chống việc truy cập bất hợp pháp hacker Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu từ bên ngồi vào máy tính từ máy tính ngồi mạng Internet Có thể nói Firewall có nhiệm vụ kiểm tra “giấy thơng hành” gói liệu vào Cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu khơng hợp lệ Vì mà Firewall cần thiết cho hệ thống mạng Chức Firewall  Kiểm sốt nguồn thơng tin mạng Internet máy tính  Cho phép không cho phép dịch vụ truy cập từ hệ thống bên  Cho phép cấm dịch vụ truy cập từ vào hệ thống  Chức theo dõi luồng liệu mạng Internet máy tính kết nối mạng  Kiểm soát địa truy cập người sử dụng nội dung nhận từ Internet Chống lại đợt truy cập bất hợp pháp hacker II ISA Sever 2006 Giới thiệu ISA Sever 2006 Về mặt chức ISA Server 2006 Firewall Mặc định, triển khai ISA Server 2006, ISA khóa tất giao dịch mạng đặt hệ thống ISA Server ISA Server 2006 thiết kế chủ yếu để hoạt động tường lửa đảm đảm bảo tất giao dịch khơng trơng đợi từ internet chặn lại bên ngồi mạng tổ chức Đồng thời, ISA Server cho phép “User” bên mạng tổ chức truy cập cách có chọn lọc đến tài nguyên internet ‘User’ Internet truy cập vào tài nguyên mạng tổ chức cho phù hợp với quy tắc ISA Server Có thể hình dung ISA Server triển khai vành đai bao quanh mạng tổ chức, nơi kết nối mạng tổ chức với mạng khác bên (như Internet) -4- SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh ISA Server công cụ hữu hiệu cho kế hoạch tổng thể để bảo mật cho mạng tổ chức Vai trò ISA Server trọng yếu, triển khai điểm kết nối mạng bên tổ chức Internet Hầu hết tổ chức cung cấp vài mức độ truy cập Internet cho người dùng ISA Server áp đặc sách bảo mật để phân phát đến ‘User’ số cách thức truy cập Internet phép Đồng thời, nhiều tổ chức cung cấp cho ‘User’ xa số cách thức truy cập đến máy chủ mạng tổ chức Các đặc điểm ISA Sever 2006 Cung cấp tính Multi – Networking: Kĩ thuật thiết lập sách truy cập dựa địa mạng, thiết lập Firewall để lọc thông tin dựa địa mạng Unique per - network policies: đặc điểm multi - networking cung cấp ISA cho phép bảo vệ hệ thống mạng cục cách giới hạn truy xuất máy khách bên Internet, cho phép máy khách bên truy xuất server mạng ngoại vi, không cho phép truy xuất vào mạng nội - Stateful inspection of all traffic: cho phép giám sát tất lưu lượng mạng - NAT and Route network relationships: Cung cấp kĩ thuật NAT định tuyến liệu cho mạng - Network template: Cung cấp mô mẫu số kiến trúc mạng, kèm theo số luật cần thiết cho network template tương ứng - Cung cấp số đặc điểm để thiết lập mạng riêng ảo (VPN Network) truy cập từ xa, ghi nhận log, quản lý phiên cho VPN Server, thiết lập sách truy cập cho VPN Client, cung cấp tính tương thích với VPN hệ thống khác - Cung cấp số kĩ thuật bảo mật thiết lập tường lửa cho hệ thống Authentication, Publish Server - Cung cấp số kĩ thuật Cache thông minh để tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web Proxy để chia sẻ cung cấp Web - Cung cấp số tính quản lý như: giám sát lưu lượng, reporting qua Web, export import cấu hình từ XML -5- SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh - Application Layer – Filtering (ALF): đặc điểm mạnh ISA Server 2006, không giống packet filtering Firewall truyền thống Các đặc tính ISA Sever 2006  Access policy: xác định giao thức nội dung mà client internal network phép truy cập  VPNs : Mở rộng mạng riêng cách sử dụng liên kết qua mạng chia sẻ mạng công cộng nhưInternet  Packet filtering :Điều khiển lưu lượng gói IP đến từ adapter bên mạng ISA  Application filters: cho phép thực giao thức cụ thể công việc hệ thống cụ thể như: xác thực … để cung cấp thêm lớp bảo mật chi Firewall  Web publishing  Server publishing  Real-time monitoring: giám sát thời gian thực cho phép bạn tập trung theo dõi ISA Server hoạt động, bao gồm cảnh báo, phiên họp, dịch vụ  Alerts: Thông báo cho bạn kiện cụ thể xảy thực hành động tương ứng  Reports : tóm tắt phân tích hoạt động xảy nhiều ISA server Cách thức làm việc ISA Sever 2006 ISA Server thiết kế để bảo vệ vành đai mạng tổ chức Trong hầu hết trường hợp, vành đai mạng cục (LAN) tổ chức mạng dùng chung (như Internet) Mạng bên (‘internal network’) hay gọi mạng bảo vệ thường đặt tổ chức có giám sát nhân viên IT tổ chức Internal network coi bảo mật cách tương đối, thông thường User chứng thực có quyền truy cập vật lý đến ‘internal network’ Ngồi ra, Nhân viên IT định loại giao dịch cho phép internal network -6- SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Sơ đồ hoạt động ISA Sever CHƯƠNG II: XÂY DỰNG VÀ TRIỂN KHAI ISA SEVER 2006 TRONG HỆ THỐNG MẠNG -7- SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Mơ hình hệ thống gồm có máy Domain controller, máy client máy ISA Server kết nối Internet Bên Internet dùng máy Web Server dùng để kiểm tra quy tắc ISA Server đặt Internet ` External Internal Client ISA Server Web Server Domain Controller Card Internal : card mạng máy ISA nối với mạng cục Card External: card mạng máy ISA nối với mạng Internet Máy IP Address Subnet Mark Default Gateway Preferred DNS Alternate DNS Client 172.16.0.3 255.0.0.0 172.16.0.4 172.16.0.2 192.168.1.10 172.16.0.2 255.255.0.0 172.16.0.4 172.16.0.2 192.168.1.10 172.16.0.4 192.168.1.9 255.255.0.0 255.255.255.0 Trống 172.16.0.2 192.168.1.9 192.168.1.10 Domain ISA: IN : EX I Cài đặt dịch vụ ISA Sever 2006 Nâng cấp Sever lên domain controler Domain name : cntt.com Click Start, Chọn Run Nhập vào dcpromo, chọn Ok Hộp thoại cảnh báo Win 95, Win NT sp3 trở trước bị loại khỏi miền -8- SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Domain Controller for a new domain: Tạo Domain mới, Server thời trở thành domain controller domain Hộp thoại Create New Domain lựa chọn: Domain in a new forest: tạo domain hoàn toàn rừng Hiện cửa sổ New Domain Name, nhập vào tên domain cntt.com -9- SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Hệ thống lưu trữ sở liệu Active Directory đĩa cứng Đây nơi lưu trữ toàn sở liệu hệ thống gồm tồn thơng tin tài ngun hệ thống, User account Cửa sổ DNS Registration Diagnostics Hệ thống kiểm tra cài đặt DNS, cài đặt DNS máy tính DNS server Hệ thống yêu cầu đặt Password, tổng hợp thông tin cấu hình Active Directory tiến hành cài đặt Quá trình hệ thống bắt đâu lên domain Sau kết thúc trình cài đặt, finish khởi động lại hệ thống - 10 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Trong cửa sổ Action chọn hành động cho phép Cửa sổ protocol, đến selected protocols chọn giao thức mục VPN and IPSec, giao thức tạo đường truyền ảo cho kết nối áp dụng quy tắc FTP cho máy tính từ ngồi, từ ngồi vào Thiết lập quy tắc áp dụng cho tất User main cntt.com - 31 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Cấu hình Vitual private networks Tại cửa sổ quản lý ISA chọn Vitual Private Networks, chọn tab tasks Enable VPN Client Access, Apply Trong thẻ tasks chọn Configure VPN Client Access để thiết lập thơng số cho VPN client Màn hình VPN Client Properties xuất hiện, lựa chọn số client kết nối Trong thẻ Protocols, click chọn giao thức PPTP, L2TP giao thức kết nối VPN từ điểm tới điểm với độ an toàn khác Apply để chấp nhận thiết đặt - 32 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Trên thẻ tasks, mục Generel VPN configuration chọn Select Access Networks, lựa chọn lớp mạng có quyền kết nối VPN External Di chuyển đến thẻ Address Assignment, đánh dấu vào Static address pool, Add nhập vào dải địa , VNP Server cấp phát IP cho VPN Server VPN client dải địa để tạo đường mạng ảo, Apply Ok Tạo rules VPN cho phép sau kết nối với VPN Server VPN client có quyền truy xuất liệu mạng nội - 33 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Rules Action :Allow Protocol : All outbound traffic Access Rule Sources : Add vào VNP Client, máy nguồn truy cập VNP VPN Client Mạng đích truy cập VPN máy tính mạng Internal Users Sets : All User Click finish, apply Tạo kết nối máy VPN client Mở Network Connections máy VPN Client, click chọn mục Create a new connection để tạo kết nối Next - 34 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Màn hình Network Connection Type chọn Connect to the network at my workplace cho kết nối VPN, click Next Network Connection chọn Virtual Private Network connection Nhập tên kết nối VPN connection, nhập vào địa IP máy VPN Server, địa card External máy ISA Server - 35 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Cửa sổ Connection Availability chọn ‘My use only’ Click Finish để kết thúc trình tạo kết nối Khi tiến hành kết nối VNP, hệ thống yêu cầu nhâp User password cấp phép kết nối VPN, nhập vào User name, password, click Connect Khi kết nối thành công, cửa sổ trạng thái kết nối chứa thông số kết nối Địa IP cấp phát dải định nghĩa là: Server: 172.16.0.101 Client: 172.16.0.103 - 36 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Từ máy VNP Client Internet, sau kết nối VPN truy xuất liệu mạng nội giống truy xuất mạng Lan - 37 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh CHƯƠNG III: PHÁT HIỆN SỰ XÂM NHẬP BẤT HỢP PHÁP TỪ NGOÀI VÀO Giả sử mạng dựng thành cơng ISA Server Hacker từ bên ngồi mạng Internet tìm cách cơng mạng cách dị tìm Port mở mạng ta khai thác lỗ hỏng Port Như hệ thống khơng có ISA Server khơng hay biết nguy hiểm rình rập Trong tìm hiểu tính hay ISA Server Intrusion Detection dùng để phát cơng từ bên ngồi vào hệ thống mạng chúng ta.Bật chương trình ISA Server lên chọn Configuration chọn tiếp mục General Tiếp tục nhấp chọn liên kết Enable Intrusion Detection and DNS Attack Detection Mặc định ISA Server Enable số tính Intrusion Detection khơng Enable tính Port scan Do tơi sử dụng tính Port scan để làm thí dụ Như từ máy bên ngồi tơi có gắng dị tìm Port mở ISA Server, ISA Server phát thao tác xem thành công Chọn Port scan - 38 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Tại hình ISA Server bật Monitoring lên chọn tiếp Tab Logging chọn Start Query để theo dõi giám sát toàn hoạt động hệ thống mạng Trong ISA ghi nhận lại toàn truy cập vào hệ thống mạng cách chi tiết - 39 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Bây máy Client tơi cài đặt chương trình có tính Scan Port mở ISA Server SuperScan 4.0 Chọn Tab Host and Service Discovery bỏ chọn Host Discovery Trở lại Tab Scan tiến hành Scan Port máy ISA - 40 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Trở lại máy ISA Server bật lại Logging thấy truy cập từ máy Client vào mạng Tuy nhiên với hình Logging q dài dịng rối tịt, khơng phải lúc người quản trị mạng thảnh thơi ngồi quan sát dòng lệnh mà người ta cấu hình cảnh báo tự động cho ISA Server tự gởi Email cho Administrator phát có xâm nhập bất hợp pháp vào hệ thống mạng Chọn Tab Alerts chọn tiếp link Configure Alert Definitions - 41 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh Trong cửa sổ Alert Properties chọn tiếp Intrusion Detected nhấp Edit - 42 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh KẾT LUẬN Đề tài “Triển khai ISA Firewall cho hệ thống mạng doanh nghiệp” tìm hiểu giải pháp bảo mật cho hệ thống mạng triển khai dich vụ tảng ISA Server 2004 Đảm bảo tài nguyên hệ thống bảo vệ, chống xâm nhập từ bên Trong đề tài em triển khai Firewall cho hệ thống mạng doanh nghiệp, cài đặt cấu hình vấn đề cần thiết để giúp hệ thống mạng mang tính bảo mật cao Nhằm ngăn chặn quyền truy nhập từ vào bên nhằm giúp cho doanh nghiệp kiểm sốt việc làm nhân viên công ty thời gian làm việc Mặc dù cấu hình tương đối đầy đủ dịch vụ ISA Sever bên cạnh có số dịch vụ mà em chưa triển khai lọc ứng dụng, lọc web kích hoạt caching.vv Thơng qua đề tài đồ án tốt nghiệp, giúp em củng cố thêm kiến thức học, thấy hữu ích mạng máy tính việc bảo mật hệ thống mạng thời đại Em xin chân thành cảm ơn hướng dẫn tận tình thầy giáo ThS.Nguyễn Quang Ninh, thầy cô khoa công nghệ thông tin bạn giúp đỡ em hoàn thành đồ án - 43 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG I: GIỚI THIỆU FIREWALL ISA SERVER 2006 I Giới thiệu Firewall Khái niệm Chức Firewal II ISA Sever 2006 Giới thiệu ISA Sever 2006 Các đặc điểm ISA Sever 2006 Các đặc tính ISA Sever 2006 Cách thức làm việc ISA Sever 2006 CHƯƠNG II: XÂY DỰNG VÀ TRIỂN KHAI ISA SEVER 2006 TRONG HỆ THỐNG MẠNG ….7 I Cài đặt dịch vụ ISA Sever 2006 Nâng cấp Sever lên domain controler Cấu hình dịch vụ Domain Name System (DNS) 11 Cài đặt ISA server 2006 máy ISA Server 12 II Triển khai dịch vụ ISA Sever 2006 14 Thiết lập quy tắc ISA 2006 14 1.1 Tạo quy tắc mở kết nối mạng nội Internet 14 1.2 Join ISA server vào Domain controller 16 1.3 Thiết lập quy tắc truy cập Internet (Access rule) 19 Publish web Sever 23 2.1 Xây dựng máy chủ Web Sever 23 2.2 Publish Web Sever 25 2.3 Cấu hình networks 29 III VPN client to Gateway 30 CHƯƠNG III: PHÁT HIỆN SỰ XÂM NHẬP BẤT HỢP PHÁP TỪ NGOÀI VÀO 38 KẾT LUẬN 432 MỤC LỤC……………………………………………………………………………… 43 - 44 - SVTH: Nguyễn Trọng Đắc ĐỒ ÁN TỐT NGHIỆP GVHD: ThS Nguyễn Quang Ninh TÀI LIỆU THAM KHẢO Sách tham khảo: Hướng dẫn Quản Trị Mạng Microsoft Windows Sever 2003 Biên soạn: Hồn Vũ, Chủ biên: Nguyễn Cơng Sơn, NXB Tổng hợp TP Hồ Chí Minh Tài liệu MCSA Tiếng Việt Tác giả: Nguyễn Ngọc Bình, NXB Khoa học kĩ thuật Website: http://www.msopenlab.com/index.php?option=com_content&view=section&lay out=blog&id=13&Itemid=388 http://www.itprofes.com/t472-topic http://nhatnghe.com/tailieu/ISA.htm http://www.vn-zoom.com/f58/tai-lieu-mcsa-24349.html - 45 - SVTH: Nguyễn Trọng Đắc ... KẾT LUẬN Đề tài ? ?Triển khai ISA Firewall cho hệ thống mạng doanh nghiệp? ?? tìm hiểu giải pháp bảo mật cho hệ thống mạng triển khai dich vụ tảng ISA Server 2004 Đảm bảo tài nguyên hệ thống bảo vệ,... Enterprise Firewall có khả bảo vệ toàn hệ thống Network Tổ chức Và Microsoft ISA Server 2006 Enterprise Firewall Chính lý nên em chọn đề tài: ? ?Triển khai ISA Firewall cho hệ thống mạng doanh nghiệp? ??... em triển khai Firewall cho hệ thống mạng doanh nghiệp, cài đặt cấu hình vấn đề cần thiết để giúp hệ thống mạng mang tính bảo mật cao Nhằm ngăn chặn quyền truy nhập từ vào bên nhằm giúp cho doanh