ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN  ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH CÔNG NGHỆ THÔNG TIN XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP NGUYỄN THỊ TÌNH 05/2011 GVHD: THS LƢƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN  ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH CÔNG NGHỆ THÔNG TIN XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP GVHD: ThS Lương Xuân Phú SVTH : Nguyễn Thị Tình Lớp 05/2011 GVHD: THS LƢƠNG XUÂN PHÚ : 47K - CNTT ĐỒ ÁN TỐT NGHIỆP GVHD: THS LƢƠNG XUÂN PHÚ SVTH: NGUYỄN THỊ TÌNH ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH MỤC LỤC Trang CÁC THUẬT NGỮ VÀ KÝ HIỆU LỜI MỞ ĐẦU Chương 1: TÌM HIỂU VỀ FIREWALL 1.1 Khái niệm Firewall 1.2 Phân loại Firewall 1.2.1 Firewall cứng 1.2.2 Firewall mềm 1.3 Chức Firewall 1.4 Hạn chế Firewall 10 Chương 2: TÌM HIỂU VỀ ISA SERVER 2006 11 2.1 Các phiên ISA Server 2006 11 2.1.1 ISA Server 206 Standard 11 2.1.2 ISA Server 2006 Enterprise 11 2.2 Một số tính ISA Server 11 2.3 Cách thức hoạt động ISA Server 13 2.4 So sánh ISA Server với Firewall Server khác 13 Chương 3: KHẢO SÁT CTY TNHH THÀNH TÂM & TIẾN HÀNH BẢO MẬT VỚI ISA SERVER 2006 15 3.1 Tình hình thực tế Cơng ty 15 3.2 Mơ hình mạng Cơng ty 16 3.3 Yêu cầu Công ty 17 3.4 Lựa chọn giải pháp thiết kế mơ hình 17 3.4.1 Lựa chọn giải pháp 17 GVHD: THS LƢƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP 3.4.2 SVTH: NGUYỄN THỊ TÌNH Thiết kế mơ hình 19 3.5 Mục đích xây dựng hệ thống 19 3.6 Tiến hành bảo mật với ISA Server 2006 20 3.6.1 Các kiến thức cần nắm 20 3.6.2 Cấu hình triển khai hệ thống mạng 21 3.6.3 Thiết lập Access Rule để bảo mật ISA 2006 24 3.6.4 Cấu hình VPN Client to Site 33 3.6.5 Publish Services Web Perimeter Network 39 3.6.6 Publish POP3, SMTP & EXCHANGE Server 2003 45 3.6.7 ISA Server - Intrusion Detection 48 3.6.8 Backup Restore ISA Server 2006 52 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 55 TÀI LIỆU THAM KHẢO 57 GVHD: THS LƢƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH CÁC THUẬT NGỮ VÀ KÝ HIỆU VPN Virtual Private Network - Mạng riêng ảo DMZ Demilitarized Zone - Vùng phi quân AD Active Directory DC Domain Controller - Điều khiển vùng DNS Domain Name System - Hệ thống tên miền DHCP Dynamic Host Configuration Protocol OWA Outlook Web Access MAC Media Access Control - Địa vật lý TCP Transmission Control Protocol - Giao thức điều khiển truyền vận IP Internet Protocol - Giao thức Liên mạng IPSec Internet Protocol Security OU Organizational Unit NFS Network File System POP Post Office Protocol POP3 Post Office Protocol phiên SMTP Simple Mail Transfer Protocol IMAP Internet Message Access Protocol GVHD: THS LƢƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH LỜI MỞ ĐẦU Chúng ta phủ nhận khoảng vài năm trở lại Internet phát triển với tốc độ chóng mặt cơng cụ khơng thể thiếu thời đại công nghệ ngày Tầm quan trọng khơng ảnh hƣởng đến ngành cơng nghệ cao mà vƣơn xa tới lĩnh vực khác Hay nói cách khác Internet gần nhƣ xóa bỏ định nghĩa khơng gian địa lý qua ngƣời giới liên lạc với cách nhanh chóng cho dù có cách xa đến hàng vạn số Hơn không gian mở giới tri thức lồi ngƣời, ngƣời ta trao đổi kiến thức, liệu,… với gần nhƣ Đi kèm với tiện ích vấn nạn virus, lừa đảo, cơng vào hệ thống máy tính ngày đa dạng rộng khắp Những kẻ công với nhiều mục đích tƣ lợi muốn chứng tỏ thân mà bất chấp tất Chúng len lỏi vào hệ thống, chúng tàn phá liệu táo bạo đánh cắp thông tin mật quốc gia đó,… Ngay từ năm đầu kỷ 21 vấn nạn trở nên nhức nhối nỗi băn khoăn chung toàn xã hội Các hãng bảo mật máy tính tồn giới khơng ngừng cho đời, phát triển hồn thiện chƣơng trình bảo mật mà tiêu biểu chƣơng trình Internet Sercurity Acceleration Server (ISA Server) hãng Microsoft Chính nhu cầu bảo mật ngày có vai trò quan trọng hệ thống mạng doanh nghiệp tổ chức, kiến thức đƣợc học trƣờng em chọn đề tài “XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP” Nhƣng thời gian kiến thức có hạn nên báo cáo cịn hạn chế, mong đƣợc góp ý thầy, cô Em xin gửi lời cảm ơn chân thành tới thầy ThS Lương Xuân Phú tận tình giúp đỡ để em hồn thành đề tài Sinh viên thực hiện: Nguyễn Thị Tình GVHD: THS LƢƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH Chương 1: TÌM HIỂU VỀ FIREWALL 1.1 Khái niệm Firewall Firewall kỹ thuật đƣợc tích hợp vào hệ thống mạng để chống truy cập trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu Firewall chế để bảo vệ mạng tin tƣởng khỏi mạng không tin tƣởng Thông thƣờng Firewall đƣợc đặt mạng bên (Internal) Internet công ty, tổ chức, ngành hay quốc gia,… Vai trị bảo mật thông tin, ngăn chặn truy nhập không mong muốn từ bên (Internet) cấm truy nhập từ bên (Internal) tới số địa định Internet 1.2 Phân loại Firewall 1.2.1 Firewall cứng Là firewall đƣợc tích hợp Router Đặc điểm Firewall cứng: + Không đƣợc linh hoạt nhƣ Firewall mềm: (Không thể thêm chức năng, thêm quy tắc nhƣ Firewall mềm) + Firewall cứng hoạt động tầng thấp Firewall mềm (Tầng Network tầng Transport) GVHD: THS LƢƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH 1.2.2 Firewall mềm Là Firewall đƣợc cài đặt Server Đặc điểm Firewall mềm: + Tính linh hoạt cao: Có thể thêm, bớt quy tắc, chức + Firewall mềm hoạt động tầng cao Firewall cứng (tầng ứng dụng) 1.3 Chức Firewall Chức Firewall kiểm sốt luồng thông tin Internal Internet Thiết lập chế điều khiển dịng thơng qua lọc gói (PacketFiltering Router) mạng bên (Internal) mạng Internet  Cho phép cấm dịch vụ truy cập  Cho phép cấm dịch vụ từ truy cập vào  Theo dõi luồng liệu mạng Internet Internal  Kiểm soát địa truy nhập, cấm địa truy nhập  Kiểm soát ngƣời sử dụng việc truy cập ngƣời sử dụng Một câu hỏi đặt lại phải cần đến Firewall? Nếu khơng có firewall, truy cập vào Internet, Hacker dễ dàng đột nhập ăn cắp thông tin cá nhân Chúng cài đặt mật mã phá hủy File gây cố cho máy tính Chúng sử dụng GVHD: THS LƢƠNG XUÂN PHÚ ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH máy tính để cơng máy tính gia đình doanh nghiệp khác kết nối Internet (và nguy hiểm Hacker đột nhập vào doanh nghiệp hay tổ chức lớn, nhằm chép hay phá hủy liệu lúc thiệt hại nghiêm trọng) Việc sử dụng Firewall để chống lại công từ bên ngồi, giúp khỏi gói tin hiểm độc trƣớc đến hệ thống 1.4 Hạn chế Firewall Firewall không đủ thơng minh nhƣ ngƣời để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn nhƣng phải xác định rõ thông số địa Firewall ngăn chặn cơng cơng khơng “đi qua” Một cách cụ thể, Firewall chống lại cơng từ đƣờng Dial-Up, rị rỉ thông tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (Data-Drivent Attack) Khi có số chƣơng trình đƣợc chuyển theo thƣ điện tử, vƣợt qua Firewall vào mạng đƣợc bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall khơng thể làm nhiệm vụ rà quét virus liệu đƣợc chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, khỏi khả kiểm soát Firewall Tuy nhiên, Firewall giải pháp hữu hiệu đƣợc áp dụng rộng rãi GVHD: THS LƢƠNG XUÂN PHÚ 10 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH + Nhƣ hồn thành cơng việc máy chủ Web Và ngồi máy Internal truy cập vào trang Web Bây thực Publish Web Site External xong Chúng ta quay trở lại máy ISA để thực Publish Web Vào ISA Server Management → Tasks → Publish Web Sites → Đặt tên tùy ý (Publish Web) Tiếp theo vào Configuration → Networks → Networks Rules → ta chọn Properties Internal Access Tại source Networks ta add External, Distination Networks add Internal → Apply → OK Chúng ta hoàn thành xong Publish Web Để test kết mở máy client mạng lên để test Chú ý máy client đặt DW: trỏ tới card ISA, DNS: trỏ tới địa máy chủ DNS GVHD: THS LƢƠNG XUÂN PHÚ 44 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH 3.6.6 Publish POP3, SMTP & EXCHANGE Server 2003  Tại máy Exchange Server + Do mặc định Exchange tắt dịch vụ POP3 IMAP4 nên ta phải vào Services bật dịch vụ lên + Chúng ta vào DNS để tạo Alias (CNAME) để thực Publish tạo Alias mail.tinhdhv.com  Tại máy ISA Server + Ta tiến hành mở giao thức HTTP, HTTPS, POP3 & SMTP Vào Firewall Policy → New → Access Rules…, đặt tên cho Rule Allow Access Mail tiến hành cấu hình Rule nhƣ sau: + Tiếp theo tiến hành Publish POP3 SMTP Ta chọn Tasks chọn Publish Mail Servers: GVHD: THS LƢƠNG XUÂN PHÚ 45 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH Chúng ta đặt tên Rule Publish mail thực cấu hình đƣợc kết nhƣ hình sau: + Kế tiếp thực Publish Exchange (OWA) Trong Tasks ta chọn Publish Exchange Web Client Access đặt tên cho Rule Publish Exchange + Tiếp theo vào Configuration → Networks → Networks Rules → ta chọn Properties Internal Access Tại source Networks ta add External, Destination Networks add Internal → Apply → OK GVHD: THS LƢƠNG XUÂN PHÚ 46 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH + Ta vào Client mạng để test kết + Để truy cập Mail tên miền mail.tinhdhv.com, ta phải tiến hành mở cổng DNS Đặt tên DNS Query & tiến hành cấu hình nhƣ sau: + Chúng ta quay trở lại Client để test tên miền thấy kết đăng nhập tốt GVHD: THS LƢƠNG XUÂN PHÚ 47 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH 3.6.7 ISA Server - Intrusion Detection Giả sử mạng dựng thành công ISA Server Hacker từ bên ngồi mạng Internet tìm cách cơng mạng cách dị tìm Port đƣợc mở mạng ta khai thác lỗ hổng Port Nhƣ hệ thống khơng có ISA Server không hay biết nguy hiểm rình rập Trong tìm hiểu tính hay ISA Server Intrusion Detection dùng để phát cơng từ bên ngồi vào hệ thống mạng Bật chƣơng trình ISA Server lên chọn Configuration chọn tiếp mục General Tiếp tục nhấp chọn liên kết Enable Intrusion Detection and DNS Attack Detection: Mặc định ISA Server Enable số tính Intrusion Detection nhƣng khơng Enable tính Port scan Trong nghiên cứu Port scan Nhƣ từ máy bên ngồi tơi có gắng dị tìm Port mở ISA Server, ISA Server phát thao tác xem nhƣ thành cơng GVHD: THS LƢƠNG XUÂN PHÚ 48 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH Chọn Port scan Tại hình ISA Server bật Monitoring lên chọn tiếp Tab Logging chọn Start Query để theo dõi giám sát toàn hoạt động hệ thống mạng Trong ISA ghi nhận lại toàn truy cập vào hệ thống mạng cách chi tiết GVHD: THS LƢƠNG XUÂN PHÚ 49 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH Bây máy Client mạng ngồi ta cài đặt chƣơng trình có tính Scan Port mở ISA Server SuperScan 4.0 tiến hành dị tìm cổng Sau quay trở lại ISA ta biết đƣợc truy cập từ máy client vào mạng Tuy nhiên với hình Logging q dài dịng rối tịt, lúc ngƣời quản trị thảnh thơi ngồi quan sát dòng lệnh nhƣ mà ngƣời ta cấu hình cảnh báo tự động cho ISA Server tự gởi Email cho Administrator phát có xâm nhập bất hợp pháp vào hệ thống mạng + Chọn Tab Alerts chọn tiếp link Configure Alert Definitions + Trong cửa sổ Alert Properties chọn Intrusion Detected nhấp Edit + Chọn tiếp Tab Actions Alert Actions nhập thông tin tài khoản Email Administrator GVHD: THS LƢƠNG XUÂN PHÚ 50 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH + Bạn quay lại máy Client tiến hành Scan Port lại máy ISA + Lúc ISA Server phát việc Scan Port bất hợp pháp gởi Email cảnh báo cho Administrator để đƣa phƣơng án phòng thủ bạo vệ tốt GVHD: THS LƢƠNG XUÂN PHÚ 51 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH 3.6.8 Backup Restore ISA Server 2006  Backup ISA Server 2006 + Ngay sau cài trƣớc chỉnh sửa cấu hình ISA nên tiến hành Backup cấu hình cho ISA Server đề phịng trƣờng hợp rủi ro xảy + Right_Click vào Firewall Policy chọn Export → Next + Ta đặt mật cho Backup, mật có ký tự để trống theo mặc định chọn Next + Chọn ổ đĩa cần lƣu đặt tên, chọn Next → Nhấn Finish để kết thúc GVHD: THS LƢƠNG XUÂN PHÚ 52 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH  Restore ISA Server 2006 Khi hệ thống bị lỗi cần đến Backup để Restore lại liệu hệ thống ổn định an tồn + Right_Click vào Firewall Policy chọn Import → Next + Chọn mục Browse… → Chọn file cần Restore → Next GVHD: THS LƢƠNG XUÂN PHÚ 53 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH + Nhập Password File Backup, chọn Next + Nhấn Finish để kết thúc GVHD: THS LƢƠNG XUÂN PHÚ 54 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN  Kết luận Trong thực tế nay, bảo mật thông tin đóng vai trị thiết yếu khơng “thứ yếu” hoạt động liên quan đến việc ứng dụng công nghệ thông tin Ứng dụng cơng nghệ thơng tin cách có hiệu “bền vững” tiêu chí hàng đầu nhiều quốc gia nói chung tổ chức, doanh nghiệp nói riêng Để làm đƣợc điều trƣớc hết ý thức sử dụng máy tính an tồn tất nhân viên tổ chức, am hiểu tinh tƣờng Security Admin tổ chức đó, sử dụng ISA Server công cụ đắc lực giúp ngƣời quản trị bảo vệ an tồn cho hệ thống thơng tin Kết đạt đƣợc sau xây dựng triển khai việc bảo mật cho hệ thống mạng với ISA 2006: + Nắm vững đƣợc phần tổng quan xây dựng triển khai bảo mật cho hệ thống mạng + Hiểu đƣợc khái niệm bản, chức Firewall dịch vụ mạng + Thực đƣợc yêu cầu cài đặt cấu hình cho hệ thống Server – Client ISA Server 2006 + Thiết lập đƣợc Rule ISA Server 2006 để đáp ứng cho yêu cầu quản lý bảo mật cho doanh nghiệp vừa nhỏ Mơ hình triển khai có ƣu điểm nhƣợc điểm nhƣ sau:  Ƣu điểm: + Hệ thống có khả bảo mật cao Gây khó khăn cho Hacker từ bên ngồi cơng vào + Quản lý sát làm việc: Các nhân viên đƣợc phân quyền theo phòng ban đƣợc truy cập Internet vào khung định Tránh GVHD: THS LƢƠNG XUÂN PHÚ 55 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH đƣợc tình trạng lợi dụng mạng cơng ty để làm việc riêng hành + Nhân viên Marketing làm xa cơng ty truy nhập vào hệ thống mạng nhờ dịch vụ VPN, sử dụng Web Mail nội + Có thể chia sẻ tài nguyên thông qua máy chủ File Server + …  Nhƣợc điểm: + Chi phí cao + Địi hỏi phải có nhân viên đủ trình độ đáng tin cậy để quản trị hệ thống  Hƣớng phát triển + Thực triển khai vùng phi quân gọi tắt DMZ nhằm bảo vệ Mail Server Web Server chặt chẽ môi trƣờng riêng biệt Ngăn ngừa tƣơng tác trực tiếp ngƣời bên bên hệ thống GVHD: THS LƢƠNG XUÂN PHÚ 56 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH + Mở rộng sơ đồ công ty sang chi nhánh Trong trƣờng hợp sơ đồ mạng cơng ty phát triển cho chi nhánh theo công nghệ VPN Site to Site TÀI LIỆU THAM KHẢO [1] Nguyễn Đắc Hoàng, Nhất Nghệ Support Team, Top 10 Lab Quản trị mạng [2] Tài liệu đào tạo Internet Security Acceleration (ISA) Server 2004(70350) trung tâm NEWEPOCH [3] LAB - VPN CLIENT TO SITE ON ISA SERVER Việt Chun [4] Hồ Viết Hà, Giáo trình tồn tập triển khai ISA 2004, Network Information Security Vietnam, Inc(http://nis.com.vn) [5] Exam 70- 350, Implementing Microsoft Internet Sercurity and Acceleration Server 2004 by Setan Reimer and Orin Thomas [6] Exam 70-290 MCSA/MCSE Managing and Maintaining a Microsoft Windows Server 2003 Environment by Dan Holme and Orin Thomas [7] http://diendancntt.vn GVHD: THS LƢƠNG XUÂN PHÚ 57 ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH [8] http://nhatnghe.com [9] http://vietchuyen.org [10] http://quantrimang.com GVHD: THS LƢƠNG XUÂN PHÚ 58 ... Microsoft Chính nhu cầu bảo mật ngày có vai trị quan trọng hệ thống mạng doanh nghiệp tổ chức, kiến thức đƣợc học trƣờng em chọn đề tài “XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP” Nhƣng thời...ĐỒ ÁN TỐT NGHIỆP SVTH: NGUYỄN THỊ TÌNH TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN  ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH CÔNG NGHỆ THÔNG TIN XÂY DỰNG HỆ THỐNG BẢO MẬT MẠNG CHO DOANH NGHIỆP GVHD:... Server 2006 Standard đáp ứng nhu cầu bảo vệ chia sẻ băng thông cho doanh nghiệp, cơng ty có quy mơ trung bình Xây dựng để kiểm soát luồng liệu vào hệ thống mạng nội Kiểm sốt q trình truy cập ngƣời