(NB) Giáo trình Quản trị mạng 2 phần 2 từ chương 6 đến chương 10 – giúp người học có kiến thức và kỹ năng bảo vệ hệ thống mạng với các tính năng quan trọng trên ISA Server; bên cạnh đó, việc triển khai hệ thống mạng riêng ảo cho phép truy xuất tài nguyên khi người dùng không ở trong mạng nội bộ là công cụ tối ưu đối với người dùng. Khi không ở trong mạng, vấn đề sử dụng tài khoản của mình để gửi nhận mail trong mạng cục bộ cũng là công việc cấp thiết.
BÀI 6: GIỚI THIỆU VỀ ISA SERVER Mã bài: MĐQTM 22.06 Mục tiêu bài: - Trình bày tầm quan trọng ISA Server việc bảo vệ hệ thống mạng; - Hiểu tính ISA Server; - Hiểu khái quát khả nét đặc trưng ISA Server; - Thực thao tác an tồn với máy tính Nội dung : Định nghĩa Firewall Mục tiêu: Trình bày khái niệm Firewall chức Firewall Firewall - Tường lửa dùng để ngặn chặn bảo vệ thông tin chống việc truy cập bất hợp pháp hacker Firewall giải pháp dựa phần cứng phần mềm dùng để kiểm tra liệu từ bên ngồi vào máy tính từ máy tính ngồi mạng Internet Có thể nói Firewall nguời bảo vệ có nhiệm vụ kiểm tra “giấy thơng hành” gói liệu vào Nó cho phép gói liệu hợp lệ qua loại bỏ tất gói liệu khơng hợp lệ Vì vậy, Firewall cần thiết cho hệ thống mạng Phân loại Firewall Mục tiêu: Trình bày loại firewall số firewall thông dụng 2.1 Firewall phần mềm Firewall phần mềm sử dụng cho hệ điều hành Windows Firewall phần mềm thường không đắt phần cứng So với Firewall phần cứng, Firewall phần mềm linh động hơn, chạy tốt nhiều hệ điều hành khác Một Firewall phần mềm phổ biến Zonealarm, ISA 2.2 Firewall phần cứng Firewall phần cứng có mức độ bảo vệ cao so với Firewall phần mềm, dễ bảo trì khơng chiếm dụng tài nguyên hệ thống Firewall phần mềm Một hãng chuyên cung cấp Firewall phần cứng Linksys NetGar 2.3 Bộ định tuyến không dây Bộ định tuyến không dây sử dụng cho mạng không dây Nó xem Firewall tích hợp số chức tương tự Firewall Chức Firewall Mục tiêu: Giới thiệu đến người học chức firewall - Kiểm sốt nguồn thơng tin mạng Internet máy tính; - Cho phép không cho phép dịch vụ truy cập từ hệ thống bên ngoài; - Cho phép cấm cho phép dịch vụ truy cập từ vào hệ thống; - Chức theo dõi luồng liệu mạng Internet máy tính nối mạng; - Kiểm soát địa truy cập người dùng nội dung nhận từ Internet; - Chống lại đợt truy cập bất hợp pháp hacker 81 Các kiến trúc Firewall Mục tiêu: Trình bày sở xây dựng lại firewall, kiến trúc, cách hoạt động firewall với ưu, nhược điểm firewall Khi nói đến việc lưu thơng liệu mạng với thơng qua firewall điều có nghĩa firewall hoạt động kết hợp chặt chẽ với giao thức TCP/IP Vì giao thức làm việc theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay xác dịch vụ chạy giao thức (Telnet, SMTP, DSN, SMNP, NFS,…) thành gói liệu (data packets) gán cho packet địa để nhận dạng tái lập lại đích cần gửi đến; Do đó, loại firewall liên quan nhiều đến packet địa chúng Ngày nay, Firewall xây dựng dựa sở lọc gói (packet filter) Firewall xây dựng cổng ứng dụng (Application gateway) số firewall khác Bastion Host Firewall (pháo đài phòng ngự) 4.1 Tường lửa lộc gói tin (Packet filtering firewall) Loại firewall thực việc kiểm tra số nhận dạng địa packet phép chúng lưu thơng qua lại hay khơng Các thơng số lọc packet sau: • Địa IP nơi xuất phát (source IP address); • Địa IP nơi nhận (destination IP address); • Cổng TCP nơi xuất phát (TCP source port) ; • Cổng TCP nơi nhận (TCP destination port) Nhờ mà firewall ngăn cản kết nối vào máy chủ mạng xác định, khóa việc truy cập vào hệ thống nội từ địa khơng cho phép Hơn việc kiểm sốt cổng làm cho firewall có khả cho phép số loại kết nối định vào máy chủ đó, có dịch vụ (Telnet, SMTP, FTP,…) phép chạy hệ thống mạng nội Hình 6.1 – Tường lửa lọc gói 82 4.2 Cổng tầng ứng dụng (Application gateway) Cổng tầng ứng dụng thiết bị bình phong bảo mật dùng để phân tích gói liệu chuyển vào Khi gói liệu từ bên đến cổng, chúng kiểm tra lượng giá để xác định xem sách bảo mật có cho phép chúng vào mạng hay không Máy phục vụ không định giá trị địa IP mà xem xét liệu gói để tìm lỗi sửa sai Một cổng tầng ứng dụng điển hình cung cấp dịch vụ ủy quyền cho ứng dụng giao thức Telnet, FTP (File Transfer Protool), HTTP (HyperText Transfer Protocol), SMTP (Simple Mail Transfer Protocol) Cổng ứng dụng không cho phép gói tin thẳng trực tiếp hai mạng, mà loại Firewall thiết kết để tăng cường khả kiểm sốt thơng qua dịch vụ Proxy Khi trạm bên muốn kết nối với trạm bên tường lửa thông qua dịch vụ trạm bên ngồi phải thơng qua dịch vụ Proxy Nếu dịch vụ bên ngồi khơng thuộc diện cấm thơng qua Proxy dịch vụ Proxy tìm trạm đích bên tường lửa để tạo kết nối với trạm bên ngoài; ngược lại trạm bên muốn kết nối Với cách thức ngăn chặn số loại công gây tràn đệm tường lửa Tuy nhiên có số hạn chế dạng tường lửa loại là: Đây loại tường lửa cài đặt cho loại dịch vụ riêng rẽ mạng ví dụ Telnet, Mail, FPT… Nếu muốn hỗ trợ dịch vụ cho mạng thơng qua tường lửa thiết phải thêm vào proxy cho loại dịch vụ Vì mạng bên ngồi có thêm dịch vụ người quản trị tường lửa phải xây dựng sách đại diện thích hợp với dịch vụ Có hai ngun tắc để tạo sách đại diện mặc định từ chối tất thứ không đại diện, chấp nhận tất dịch vụ khơng có dịch vụ đại diện tường lửa Nhưng hai cách gây nguy an ninh bất tiện cho hệ thống mạng bên tường lửa 4.3 Bastion Host Firewall (Pháo đài phòng ngự) Bastion Host Firewall trạm cấu hình để chặn đứng cơng từ phía bên ngồi vào Đây điểm giao tiếp trực tiếp với mạng không tin cậy bên ngồi, dễ bị cơng Có hai dạng máy phịng thủ: Hình 6.2 – Bastion Host Firewall 83 Máy phịng thủ có hai card mạng, nối với hệ thống bên (mạng nội bộ) card cịn lại nối với bên ngồi mạng Internet Đây dạng tường lửa có từ sớm, yêu cầu người sử dụng bên phải kết nối với tường lửa trước làm việc với mạng bên Với giải pháp tường lửa lập mạng bên với mạng bên ngồi máy phịng thủ (host) tạo thiếu tự nhiên việc kết nối người sử dụng bên với mạng bên Dạng thứ hai cấu phòng thủ máy phịng thủ có card mạng nối trực tiếp đến hệ riêng biệt mạng – gateway mức ứng dụng Gateway cung cấp điều khiển vào Bộ định tuyến (rounter) có nhiều chức cấu hình Nó khơng định hướng gói đến hệ nội bộ, mà cho phép hệ thống nội mở kết nối với Internet không cho phép kết nối Kiến trúc screening subnet bổ sung thêm tầng an toàn để tách mạng nội với Internet Lý để làm việc tránh cho mạng nội khỏi bị công bastion host bị đánh sập Giới thiệu ISA server Mục tiêu: Trình bày hoạt động tường lửa: điều khiển truy nhập (Access control), quản lý xác thực (Authentication) ghi nhật ký truy nhập (activity logging) 5.1 Điều khiển truy nhập (Access Control) Như giới thiệu có hai loại tường lửa với cách điều khiển truy nhập khác quy chế lọc gói (packet filter) sách người đại diện ứng dụng Điểu khiển truy nhập phụ thuộc vào nhận dạng đắn yêu cầu phụ thuộc vào định nghĩa quyền xác thực người sử dụng 5.2 Vị trí xảy q trình xử lý gói Để hiểu firewall hoạt động nào, trước hết quan tâm đến đường gói tin dẫn đến firewall Có đường dẫn phổ biến mà gói tin qua tùy thuộc vào dạng tường lửa cài đặt Một gói tin vựợt qua tường lửa mức tầng ứng dụng, mức nhân hệ điều hành mức card giao tiếp mạng Hầu hết tường lửa kiểm soát cho phép gói qua mức Hình 6.3 – đường phổ biến mà gói tin qua Để có tốc độ xử lý cao router, lọc gói thiết lập phần mở rộng thiết bị card giao tiếp mạng với xử lý đặc biệt tối ưu q 84 trình xử lý gói Để lưu chứa với tốc độ cao xử lý card giao tiếp mạng hỗ trợ luật xử lý đơn giản phép so sánh nhị phân Những dịch vụ khác không hỗ trợ Những router trạm luân chuyển gói khác q trình lọc gói tin thường diễn mức nhân hệ điều hành mức card giao tiếp mạng Thơng thường q trình lọc thực thi xử lý chuyên dụng cho phép tường lửa thực q trình lọc kiểm định cách chuẩn xác, tinh xảo card giao tiếp mạng tích hợp tính lọc Hơn q trình xử lý gói mức nhân hệ điều hành nhanh mức tầng ứng dụng trình lập lịch tràn nhớ tránh Tuy nhiên trình xử lý nhân thường địi hỏi tất thơng tin cần thiết cho việc lọc gói phải chứa nhớ thay đĩa Một gói phải xử lý cho qua mà không cần phải đợi đĩa điều làm hạn chế dạng gói số lượng gói xử lý mức Quá trình xử lý mức tầng ứng dụng cung cấp sách an ninh tốt Mức ứng dụng truy cập đến tất tài nguyên hệ thống bao gồm đĩa, card mạng, nhớ, thư viện chương trình tiến trình khác Tầng ứng dụng tầng cấu trúc phân tầng giao thức mạng, khơng bị giới hạn bới tầng thấp Hoạt động lọc gói (Packet Filtering) Hoạt động lọc gói diễn mức xử lý gói trình bày thường hỗ trợ mức card giao tiếp mạng mức nhân hệ điều hành Một lọc gói vào phần địa IP chứa gói tin để định xem gói có cho phép vượt qua hay bị chặn lại Gói cho qua chuyển đến trạm đích router Gói bị chặn lại bị loại bỏ 5.3 Luật lọc (Filtering Rules) Bộ lọc kiểm tra mảng thông tin khối IP phần đầu gói tin Các thơng tin mơ tả bảng 6.1: BẢNG 6.1: Thơng tin khối IP phần đầu gói tin Field Purpose Source IP address Địa IP trạm nguồn gửi gói tin Destination IP address Địa IP trạm đích gói tin tới Upper level Protocol (đó TCP Cho giao thức khác dịch vụ khác UDP) TCP or UDP source port number Số hiệu cổng trạm nguồn gửi gói TCP or UDP destination port number Số hiệu cổng trạm dích nhận gói tin Khi có thơng tin gói, lọc so sánh chúng với tập hợp luật để đưa định Một luật lọc kết hợp giá trị miền giá trị trường thông tin định đưa tất thơng tin gói so khớp với thông tin luật Một lọc gói thực việc kiểm tra hợp lệ gói đơn giản nhanh phép so sánh nhị phân Quyết định (cho phép cấm) đưa sau lọc tìm thấy luật hồn tồn so khớp với thơng tin mà có gói tin trật tự xếp luật quan trọng góp phần làm cho q trình lọc nhanh Có điều đáng quan tâm danh sách luật hữu hạn ta lường hết tình để đưa tất luật được; phải có 85 luật mặc định để xem xét hết tất luật danh sách luật mà lọc khơng thể đưa định luật mặc định giúp lọc đưa định Có ý tưởng chủ đạo việc tạo luật mặc định là từ chối tất chấp nhận tất cả, có nghĩa tất gói có thơng tin khơng thỏa mãn tập luật bị từ chối cho qua chấp nhận cho qua hết 5.4 Hoạt động tường lửa người đại diện ứng dụng (Proxy Application) Hình 6.4 – Hoạt động tường lửa người đại diện ứng dụng (Proxy Application) Như mơ tả hình 6.4, người sử dụng trước hết phải thiết lập kết nối đến người đại diện ứng dụng tường lửa (1) Đại diện ứng dụng tập hợp thông tin liên quan đến mối liên kết yêu cầu người sử dụng (2) Tường lửa sử dụng thơng tin để định liệu u cầu có cho phép thực thi hay không Nếu yêu cầu từ phía người dùng thỏa đáng người đại diện tường lửa tạo kết nối khác từ tường lửa đến đích dự kiến (3) Sau người đại diện đóng vai trị thoi để truyền tải liệu mối kết nối (4) Có điểm cần lưu ý là: • Thứ nhất, kết nối phải thiết lập đến người đại diện tường lửa thay nối trực tiếp đến trạm mong mn kết nối • Thứ hai, người đại diên tường lửa phải có địa IP trạm đích Trước người sử dụng ứng dụng muốn kết nối đến người đại diên ứng dụng phải thiết lập kêt nối đến tường lửa, kết nối phải sử dụng phương pháp chuẩn để cung cấp tên địa IP trạm đích mong muốn Đây khơng phải cơng việc dễ dàng giao thức tầng ứng dụng cố định thường không hỗ trợ vượt qua thông tin thêm vào Để khắc phục đặc điểm có nhiều giải pháp bắt buộc người sử dụng ứng dụng phải tuân theo Kết nối trực tiếp Đây giải pháp cho phép người sử dụng thiết lập kết nối trực tiếp đến tường lửa thông qua địa số hiệu cổng người đại diện sau người đại diện hỏi người sử dụng để biết địa trạm mong muốn kết nối Đây phương pháp thô sử dụng tường lửa sơ khai khơng ưa dùng Sử dụng chương trình hỗ trợ máy khách Giải pháp sử dụng việc cài đặt người đại diện phải có chương trình hỗ trợ đặt máy người sử dụng Người sử dụng chạy ứng dụng đặc biệt để tạo kết nối đến tường lửa Người sử dụng việc cung cấp địa tên trạm đích cho ứng dụng bổ trợ Địa tường lửa ứng dụng bổ trợ lấy từ file cấu hình cục sau thiết lập kết nối đến người đại diện tường 86 lửa Giải pháp tỏ hữu hiệu suốt người sử dụng; nhiên, hạn chế chương trình hỗ trợ máy khách thực tương ứng với dịch vụ mạng mà thơi Sử dụng người đại diện tàng hình Một phương pháp sử dụng cho việc kết nối đến đại diện ứng dụng tường lửa sử dụng đại diện tàng hình (ẩn) Với giải pháp người sử dụng khơng cần đến chương trình hỗ trợ máy khách kết nối trực tiếp đến tường lửa Ở người ta sử dụng phương pháp dò đường bản, kết nối đến mạng bên ngồi phải định hướng thơng qua tường lửa Các gói vào tường lửa tự động đổi hướng đến đại diện ứng dụng móng muốn Ứng dụng đại diện có địa trạm đích cách xác cách lấy địa trạm đích phiên Trong trường hợp tương lửa giả mạo thành trạm đích chặn phiên lại Khi kết nối thiết lập đến đại diện tường lửa trình ứng dụng máy khách nghĩ kết nối đến trạm đích thật Nếu phân quyền đại diện ứng dụng tường lửa dùng hàm đại diện để tạo liên kết thứ hai đến trạm đích thật 5.5 Quản lý xác thực (User Authentication) Đây chức ngăn cản việc truy cập trái phép vào hệ thống mạng nội Các hệ điều hành quản lý mạng kiểm sốt cách khơng chặt chẽ tên người sử dụng password đăng ký, đơi lúc người sử dụng ủy nhiệm lại vơ ý để lộ password Hậu việc có nghiêm trọng Nó trở nên quan trọng hệ thống mạng lớn có nhiều người sử dụng Có hai giao thức chuẩn thông dụng để kết hợp làm việc với LAN • RADIUS (Remote Authen-tication Dial-In User Service) • TACAS+ (Terminal Access Controller Access Control System Extended) Thông thường chức authentication thực với phối hợp thiết bị phần cứng phần mềm tích hợp sẵn bên phần mềm (giải mã theo thuật tốn tiêu chuẩn khóa mã định trước) Khi thao tác truy cập vào mạng thực (kiểm tra User Name Password), hệ quản lý xác thực gửi đến máy tính người dùng xin truy cập vào mạng chuỗi ký tự gọi Challenge (câu thách đố), người dùng nhập vào Token chuỗi Challenge nhận chuỗi ký tự gọi PIN (Personal Identification Number - số nhận dạng cá nhân) Nhờ PIN mà người dùng truy cập vào hệ thống mạng Điều đặc biệt Challenge PIN thay đổi phút một, Token định thay đổi Cryptor Key (khóa mã) tùy người sử dụng nên việc bảo mật gần tuyệt đối 5.6 Kiểm tra Cảnh báo (Activity Logging and Alarms) a Activity logging Để cung cấp thông tin hoạt động mạng tới người quản trị hầu hết tường lửa ghi chép thông tin vào files (log files) lưu giữ đĩa Một tường lửa hoàn chỉnh phải ghi chép đầy đủ thông tin kết nối thành công khơng thành cơng Các thơng tin hữu ích cho việc phát kịp thời lỗ hổng tường lửa Một log file chuẩn phải có thơng tin sau: • Thời gian bắt đầu kết thúc phiên; • Địa trạm nguồn; 87 • Địa trạm đích; • Giao thức sử dụng (TCP hay UDP); • Cổng mở trạm đích; • Kết việc kết nối (thành công hay bị từ chối); • Tên người sử dụng xác thực sử dụng Ngồi cịn có thêm thơng tin số gói chuyển qua, số lần lặp lại kết nối đó… b Alarm Hoạt động báo động quan trọng người quản trị Khi có kết nối đến mạng tường lửa phát tín hiệu để người quản trị biết Đồng thời hoạt động cảnh báo đưa tình trạng lỗi gói Khi gói bị chặn lại khơng qua tường lửa hoạt động cảnh báo tường lửa gửi cảnh báo đến trạm nguồn thông báo nguyên nhân loại bỏ gói Các mơ hình Firewall phức tạp Mục tiêu: Trình bày mơ hình firewall phức tạp thường sử dụng doanh nghiệp 6.1 Mơ hình Firewall thường sử dụng đến: Hình 6.5 - Mơ hình Firewall thường sử dụng 6.2 Mơ hình Firewall phức tạp thường sử dụng doanh nghiệp lớn Nó chống để đợt cơng xâm nhập hợp pháp bên trông lẫn bên ngồi Internet 88 Hình 6.6 - Mơ hình Firewall phức tạp thường sử dụng doanh nghiệp lớn Firewall Cross IP 10.0.0.100 Server IP 10.0.0.2 Clien IP 10.0.0.3 SM 255.0.0.0 SM 255.0.0.0 SM 255.0.0.0 DF không DF 10.0.0.100 DF 10.0.0.100 DNS 10.0.0.2 DNS 10.0.0.2 DNS 10.0.0.2 Lan IP 192.168.1.113 SM 255.255.255.0 DF 192.168.1.100 DNS không Sơ đồ hoạt động ISA Mục tiêu: Trình bày sơ đồ hoạt động ISA theo dạng sơ đồ khối Trong đó, tiến trình với trình tự biểu diễn 89 Câu hỏi Firewall gì? Hãy phân loại Firewall Trình bày kiến trúc Firewall Trình bày trình hoạt động firewall Theo sơ đồ cho đây, cho biết trình hoạt động tường lửa ứng dụng (Proxy Application) 90 PHUƠNG PHÁP VÀ NỘI DUNG ĐÁNH GIÁ - - - + + + + + + + + + + + + + + + + + + Về kiến thức: Có khả phát cố Thực biện pháp lưu dự phòng Đánh giá thơng lượng đường truyền Có khả cài đặt, cấu hình kết nối Internet Trình bày tính nét đặc trưng ISA Server Trình bày chế lưu, phục hồi tồn máy ISA Server Mơ tả loại ISA Server Client đồng thời cài đặt cấu hình qui trình cho loại ISA Server Clien tính riêng loại Về kỹ năng: Cài đặt, gỡ bỏ phần mềm yểm trợ Terminal service Xác định nguyên nhân gây hỏng Sử dụng biện pháp lưu liệu Giải cố mạng Có khả cài đặt, quản lý dịch vụ RAS Có khả kết nối mạng riêng ảo VPN Có khả tiếp nhận gọi xa Cài đặt cấu hình ISA Server windows Server Thực Rule theo yêu cầu Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall Về thái độ: Cẩn thận, thao tác nhanh, chuẩn xác, tự giác học tập 91 TÀI LIỆU THAM KHẢO [1] Fergus Strachan, Integrating ISA Server 2006 with Microsoft Exchange 2007, 2008 [2] Phạm Hoàng Dũng - Hoàng Đức Hải, Làm chủ Windows 2003 server, NXB Thống kê, 2005 [3] Tô Thanh Hải, Triển khai Microsoft Firewall với ISA Server, NXB Lao Động - Xã Hội, 2010 92 ... 10.0.0 .2 DNS 10.0.0 .2 DNS 10.0.0 .2 Lan IP 1 92. 168.1.113 SM 25 5 .25 5 .25 5.0 DF 1 92. 168.1.100 DNS không Sơ đồ hoạt động ISA Mục tiêu: Trình bày sơ đồ hoạt động ISA theo dạng sơ đồ khối Trong đó, tiến trình. .. Fergus Strachan, Integrating ISA Server 20 06 with Microsoft Exchange 20 07, 20 08 [2] Phạm Hoàng Dũng - Hoàng Đức Hải, Làm chủ Windows 20 03 server, NXB Thống kê, 20 05 [3] Tô Thanh Hải, Triển khai Microsoft... hợp thiết bị phần cứng phần mềm tích hợp sẵn bên phần mềm (giải mã theo thuật tốn tiêu chuẩn khóa mã định trước) Khi thao tác truy cập vào mạng thực (kiểm tra User Name Password), hệ quản lý xác