CÓ VIDEO DEMO. VUI LÒNG INBOX https://www.facebook.com/profile.php?id=100072812944912
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ BÁO CÁO BÀI TẬP LỚN MƠN PHÂN TÍCH THIẾT KẾ AN TỒN MẠNG MÁY TÍNH ĐỀ TÀI: XÂY DỰNG CHÍNH SÁCH AN TỒN CHO MÁY CHỦ MAIL CHẠY TRÊN WINDOWS SERVER Sinh viên thực hiện: Lê Xuân Hải - AT140415 Đinh Văn Giang - AT140118 Cao Xuân Hiệp - AT140810 Hà Văn Giỏi - AT140120 Giảng viên hướng dẫn: Vũ Thị Vân Khoa An tồn thơng tin – Học viện kỹ thuật mật mã Hà Nội ngày 15 tháng năm 2021 MỤC LỤC CHƯƠNG 1: TỔNG QUAN MAIL SERVER I Khái niệm mail server .4 II Nguyên lý hoạt động Giao thức hoạt động Các thành phần bên MAIL Server CHƯƠNG 2: KHẢO SÁT HỆ THỐNG MẠNG HỌC VIỆN, PHÂN TÍCH HỆ THỐNG I Khảo sát hệ thống II Phân tích hệ thống Xác định tài nguyên hệ thống .8 Xác định rủi ro cho mail server DMZ zone Xác định yêu cầu CHƯƠNG 3: XÂY DỰNG CÁC CHÍNH SÁCH AN TOÀN CHO MÁY CHỦ MAIL 10 I Khái niệm cấu trúc sách an tồn 10 Chính sách 10 Cấu trúc sách an toàn .10 II Xây dựng sách an tồn cho máy chủ mail 11 Chính sách bảo vệ vật lý 11 Chính sách giới hạn địa kiểm soát truy cập 12 Chính sách xác thực 12 Chính sách đảm bảo an toàn dịch vụ 12 Chính sách quy định trách nhiệm .12 Chính sách backup dự phòng 13 Chính sách sử dụng mật mạnh .13 Chính sách sử dụng giao thức gửi mail an toàn 15 CHƯƠNG 4: DEMO MỘT SỐ CHÍNH SÁCH 16 I Tổng quan lab 16 Mơ hình lab 16 Phần mềm yêu cầu 16 Yêu cầu lab 17 II Cài đặt phần mềm .17 Cài đặt Microsoft Exchange server 2007 17 Cấu hình tưởng lửa Fortigate 25 Tải cấu hình Outlook 29 III Thực yêu cầu lab 30 Chính sách giới hạn địa kiểm soát truy cập 30 Chính sách đảm bảo an tồn dịch vụ 34 CHƯƠNG 1: TỔNG QUAN MAIL SERVER I Khái niệm mail server - Mail server hệ thống máy chủ cấu hình riêng theo tên miền doanh nghiệp dùng để gửi nhận thư điện tử II Nguyên lý hoạt động Giao thức hoạt động - Mail server hoạt động dựa giao thức POP3, IMAP, SMTP - SMTP (Simple Mail Transfer Protocol): Là giao thức dùng để gửi mail hoạt động port TCP 25, 587, 465 - IMAP (Internet Message Access Protocol): Là giao thức để truy xuất đến máy chủ mail, đọc mail từ xa Giao thức hoạt động port 143 - POP (Post Office Protocol): Là giao thức để lấy email từ mail server Giao thức hoạt động port TCP 110 Các thành phần bên MAIL Server - Trong hệ thống mail server có server nhỏ là: + Outgoing mail server phụ trách việc chuyển tiếp email đến mail server khác internet + Incoming mail server phụ trách việc lưu trữ email nhận từ Outgoing mail server Người dùng truy cập vào Incoming mail server thông qua POP3 IMAP để xem email Thông thường với hệ thống nhỏ tích hợp hai loại server vào mail server - Các thành phần Mail server: + MUA (Mail User Agent): Là ứng dụng phía client cho phép gửi nhận mail ( Ex: Outlook, Thunderbird) + MSA (Mail Submission Agent): Kiểm tra xem email gửi từ client có lỗi khơng Nếu khơng có lỗi chuyển tiếp email ( smtp) cho MTA + MTA (Mail Transfer Agent): Có nhiệm vụ hỏi ghi MX để chuyển tiếp email (bằng smtp) đến cho MTA khác + MDA (Mail Delivery Agent): Nhận mail từ MTA phân phối vào mailbox phù hợp + Mailbox: Nơi lưu trữ mail Mỗi user account có mailbox tương ứng Nguyên tắc hoạt động - User1 gửi mail cho user 2: Mail gửi đến Outgoing server giao thức smtp - MSA kiểm tra lỗi email Nếu khơng có lỗi chuyển email xng cho MTA giao thức smtp - MTA query DNS ( MX record ) sau chuyển tiếp email sang server khác ( trường hợp Incoming mail server ) giao thức smtp - MTA phía incoming server nhận email chuyển tiếp email cho MDA giao thức smtp - MDA có nhiệm vụ phân phối email vào mailbox phù hợp VD: user1 gửi mail cho user2 MDA phân phối mail vừa nhận vào mailbox user2 Có user có nhiêu mailbox - IMAP/POP server: Có vai trị giúp end user truy nhập mailbox để đọc lấy mail máy VD: user2 truy nhập vào mailbox thơng qua pop3 để lấy email gửi từ user1 máy - Trong mail server Exchange 2007 có role tương ứng với component mail server thông thường Exchange Roles Edge Transport Hub Transport Mailbox Client access Unified Messaging Component of normal mail server MTA Mailbox POP3/IMAP server None CHƯƠNG 2: KHẢO SÁT HỆ THỐNG MẠNG HỌC VIỆN, PHÂN TÍCH HỆ THỐNG I Khảo sát hệ thống - Mơ hình gồm có: + Khu vực mạng LAN có subnet: 172.16.1.0/24 + Khu vực mạng DMZ có subnet: 192.168.152.0/24 đặt máy chủ mail server exchange có IP: 192.168.152.11 + Tường lửa Fortigate firewall 100E sử dụng port với địa IP lần lượt: 192.168.152.10 kết nối DMZ zone, 172.16.1.1 kết nối LAN zone II Phân tích hệ thống Xác định tài nguyên hệ thống - Các máy chủ, máy trạm - Các thiết bị phần cứng: tường lửa Fortigate 100E, switch catalyst 2960,… - Các liệu, phần mềm hệ thống Xác định rủi ro cho mail server DMZ zone - Vùng DMZ nơi đặt máy chủ mail vùng nhạy cảm dễ bị công - Tấn công vào người dùng mạng (VD: brute force password account) - Tấn công cách gửi mail lừa đảo có chứa mã độc - Máy chủ mail chưa có hệ thống dự phịng (HA) - Tấn công từ chối dịch vụ vào máy chủ mail - Xâm nhập vật lý đến thiết bị hệ thống - Thiên tai, lũ lụt - … Xác định yêu cầu - Cung cấp dịch vụ gửi nhận mail cho giảng viên, nhân viên học viện liên tục - Tiến hành phân loại, gán nhãn sử dụng thuật tốn mã hóa để bảo mật file, mail trao đổi hệ thống - Sử dụng firewall để thực thi sách đảm bảo an tồn chung cho hệ thống mail server - Ban hành sách truy cập, sách quy định trách nhiệm, tới nhân viên, sinh viên, quản trị hệ thống học viện - Xây dựng sách đảm bảo an toàn cho máy chủ mail - Đưa số nguyên tắc nhằm chống lại công Spam Mail CHƯƠNG 3: XÂY DỰNG CÁC CHÍNH SÁCH AN TOÀN CHO MÁY CHỦ MAIL I Khái niệm cấu trúc sách an tồn Chính sách - Chính sách an tồn mơi trường thực tập hợp luật, quy định thực tiễn điều chỉnh việc tổ chức quản lý, bảo vệ phân phối tài nguyên để đạt mục tiêu an tồn Cấu trúc sách an tồn Mục đích: Đưa quy định phù hợp với thực tiễn hệ thống giúp ích cho việc tổ chức, quản lý nhân hay tài nguyên hệ thống, giúp cho hệ thống an tồn Phạm vi: Chính sách an tồn áp dụng cho đối tượng hay cho tất cán công nhân viên học viện KTMM, người: Chịu trách nhiệm gửi liệu nhạy cảm hay cá nhân mơi trường ngồi Nhận liệu nhạy cảm hay cá nhân từ môi trường bên ngồi vào hệ thống Nội dung sách: Chính sách an tồn có nội dung gì? Trong nội dung sách rõ cần làm, khơng cần làm để đảm bảo an tồn cho hệ thống máy chủ mail Ngoài ra, nội dung sách cịn tổng quan quy định, điều luật phải thực hệ thống Các sách an tồn là: - Chính sách truy cập - Chính sách quy định trách nhiệm - Chính sách xác thực, bảo mật, Trách nhiệm đối tượng ... nguyên tắc nhằm chống lại cơng Spam Mail CHƯƠNG 3: XÂY DỰNG CÁC CHÍNH SÁCH AN TOÀN CHO MÁY CHỦ MAIL I Khái niệm cấu trúc sách an tồn Chính sách - Chính sách an tồn mơi trường thực tập hợp luật,... tiếp email ( smtp) cho MTA + MTA (Mail Transfer Agent): Có nhiệm vụ hỏi ghi MX để chuyển tiếp email (bằng smtp) đến cho MTA khác + MDA (Mail Delivery Agent): Nhận mail từ MTA phân phối vào mailbox... 10 Cấu trúc sách an tồn .10 II Xây dựng sách an tồn cho máy chủ mail 11 Chính sách bảo vệ vật lý 11 Chính sách giới hạn địa kiểm sốt truy cập 12 Chính sách xác thực