3. Khái niệm chung về hệ thống th điện tử
3.5.2. Các công việc cần thiết để quản trị hệ thống th điện tử
• Thiết lập cấu hình và cấu trúc của dịch vụ th điện tử để máy chủ hoạt động tối u và phù hợp với năng lực của hệ thống, băng thông qua mạng và dung l- ợng của ổ đĩa để đảm bảo hoạt động ổn định của hệ thống.
• Thiết lập các chính sách và các điều kiện chống virut (anti-virut) và chống spam (anti-Spam).
• Lu trữ và khôi phục lại dữ liệu và cấu hình của hệ thống (backup/restore). • Nhận các thông báo về tình trạng gửi nhận th của ngời dùng, trợ giúp và tìm cách giải quyết các lỗi của hệ thống.
• Xác định và phân tích, phòng chống các lỗi của hệ thống và làm báo cáo lên cấp trên.
• Công việc của ngời quản trị máy chủ th điện tử là một công việc yêu cầu rất nhiều công sức cũng nh trí tuệ và cả sự kiên trì.
• Để có thể quản lý tốt hệ thống máy chủ th điện tử thì ngời quản trị phải hiểu hết cấu trúc của mạng, của hệ thống th điện tử và sơ đồ hoạt động, cấu hình của máy chủ để có thể phát huy tốt nhất năng lực của hệ thống.
• Thiết lập chính sách hoạt động của hệ thống th nh chặn các th đến theo địa chỉ IP, địa chỉ th hay một từ khoá xác định để ngăn chặn các th phản động, phá hoại hệ thống Spam th.
• Bất cứ hệ thống nào đều không đảm bảo 100% an toàn vì: không ai có thể đảm bảo có thể biết hết mọi vấn đề về hệ thống cũng nh trình độ của hacker ngày càng cao. Đồng thời các thảm họa gây ra do thiên nhiên cũng nh con ngời là không thể lờng hết đợc, do đó việc sao lu, lu trữ hệ thống để có thể khôi phục lại một cách nhanh nhất hệ thống là một yêu cầu quan trọng với ngời quản trị hệ thống.
• Giống nh những bức th tay thông thờng, yêu cầu của một bức là phải đợc chuyển từ ngời gửi đến ngời nhận một cách chính xác. Do đó công việc của ngời quản trị th còn phải xác định các phản ánh của khách hàng và xác định nguyên nhân gây lỗi và trợ giúp khách hàng khi cần thiết.
• Xác định và phân tích các lỗi có khả năng xẩy ra với hệ thống để tìm cách giảI quyết đồng thời phải báo cáo cấp trên (đôí với các lỗi ngoài khả năng xử lý của ngời quản trị mạng do đó sự phối hợp giải quyết là rất cần thiết).
Chơng 4: Xây dựng mô hình mạng nội bộ và triển khai giảI pháp security
4.1 Doanh nghiệp có một hệ thống mạng với các chức năng nh sau :
• Máy ảo 1:
• Có Mail server phục vụ cho việc giao dịch Mail trong công ty và ngoài công ty.
• Có Web Server.
• Có một hệ thống dữ liệu dùng chung, phân quyền truy cập.
• Có sự phân chia quyền hạn giữa các nhân viên, đáp ứng nhu cầu làm việc giữa các nhân viên trong DN.
• Có khả năng hỗ trợ từ xa cho các nhân viên
Bớc cấu hình
• Cài Windows Server 2003 sau đó nâng lên DC với Domain là
45ktin.dhv và cài tự động dịch vụ DNS.
• Cài dịch vụ DHCP cấp ip tự động cho các máy Client. • Tạo user: SERVER 1 (DC,MAIL,FILE SERVER) IP : 10.0.0.222 Sub : 255.0.0.0 DG : 10.0.0.2 DNS : 10.0.0.222
+ Giamdoc + Phogiamdoc + Thuky + Ketoan • Máy ảo 2: IP : 10.0.0.223 Sub : 255.0.0.0 DG : 10.0.0.2 DNS: 10.0.0.222 • Cài Windows Windows Server 2003.
• Join vào domain 45ktin.dhv. • Vai trò là 1 client trong mạng • Máy thật IP : 10.0.0.234 Sub : 255.0.0.0 DG : 10.0.0.2 DNS : 10.0.0.222
• Cài Windows XP Professional service pack 2. • Vai trò là 1 client ngoài .
4.2. Cài đặt POP3 SERVER để sử dụng các dịch vụ Mail Server và khai tháctính năng của Window để ứng dụng Certification Authority bảo mật Mail tính năng của Window để ứng dụng Certification Authority bảo mật Mail Server
Trong thơng mại điện tử, giao dịch chủ yếu bằng th điện tử. Việc sử dụng th điện tử trong giao dịch rất tiện lợi, tiết kiệm đợc rất nhiều thời gian và chi phí. Tuy nhiên việc giao dịch bằng th điện tử bên cạnh những tiện ích to lớn đó thì nó luôn có những hiểm họa do sự tấn công từ bên ngoài hoặc từ nội bộ. Những hiểm họa này có thể gây nên những hậu qủa rất nghiêm trọng. Việc sử dụng th điện tử trong giao dịch cũng nh việc bảo mật, xác thực th điện tử là một nhu cầu thiết thực đối với tất cả mọi doanh nghiệp và những ai sử dụng th điện tử để giao dịch.
4.2.1. Cài đặt E-mail server POP3
• Chúng ta vào start -> settings -> control panel -> add or remove programs -> add/remove windows component.
• Tại đây chúng ta chọn Email services, và chọn Detail và đánh dấu vào mục
• Sau khi qua trình cài đặt kết thúc thì chúng ta có một hệ thống E-mail service.
4.2.2. Tạo các USER và sử dụng dịch vụ Mail Server
Tạo các địa chỉ Email trong POP3 service, Và khi tạo các địa chỉ E-Mail này thì đồng thời cũng tạo ra các user tơng ứng.
• Tiến hành gửi và
nhận th
• Chúng ta chạy chơng trình Outlook Express để viết th và nhận th. • Trong chơng trình Outlook Express.
• Chúng ta chọn Tools/ account. Và trong internet account, chúng ta chọn thẻ
Mail để thêm địa chỉ E-Mail của mình vào.
• Tại cửa sổ Your name, trong phần Display name: chúng ta gõ vào tên hiện thị trong Outlook Express
Ví dụ: giamdoc, sau đó chọn Next để tiếp tục
• Tại cửa sổ Internet E-Mail address: chúng ta gõ tên địa chỉ email của mình
ở phần tiếp theo chúng ta nhập vào:
• Incoming mail (POP3) server: gõ địa chỉ mail server chứa hộp th nhận về của bạn.
• Outgoing mail (SMTP) server: gõ địa chỉ mail server chứa hộp th gửi đi.
Tạiinternet mail logonnhập
• Account name: Bạn gõ tên hộp th của bạn. • Password:Là mật khẩu hộp th của bạn.
• Để viết th, chúng ta chọn Creat mail, và nhập đúng các nội dung cần thiết, sau đó nhấn Send để gửi th
• Và khi đó trong E-Mail của “thuky” sẽ có th của giám đốc gửi tới.
• Nhng vì có những lý do nh có ngời thay đổi nội dung th, mạo danh ngời trong công ty để gửi th với những mục đich khác nhau. mà ngời nhận không hề phân biệt đợc, điều này sẽ có thể gây ra thảm họa cho cả một công ty.
• Lúc thay đổi nội dung
Chính vì thế mà chúng ta cần một phơng pháp để xác minh xem, nội dung của bức th gửi đến đã bị thay đổi nội duing hay cha, hay là có phải là th giả mạo hay không.và một trong những phơng pháp đó là sử dụng Certifition Authority.
4.3.ứng dụng Certification Authority bảo mật Mail Server
• Tiến hành cài đặt Certifition Authority.
• Chúng ta vào Start -> Settings -> Control panel -> Add or Remove Programs-> Add/remove Windows Component.
• Và chúng ta chọn certifficate services sau đó chọn Next để tiến hành cài đặt
• Sau khi đã cài đặt xong Certificate Services thì chúng ta bắt đầu tiến hành xin cấp chứng thực cho E-Mail.
• Bớc 1: Tạo yêu cầu xin cấp chứng thực
• Tại máy muốn cấp chứng thực ta vào trang www.45ktin.dhv/sersrv .
• Tại đây chúng ta chọn Request a certificate để gửi yêu cầu cấp chúng thực th điện tử.
• Tại mục Request a Certificate chúng ta chọn E-Mail Protection Certificate
• Tại mục E-Mail Protection Certificate – Identifying Information, chúng ta điền đày đủ thông tin về E-Mail xin cấp chứng chỉ. Sau đó chọn Submit để gửi yêu cầu.
• Khi đó hệ thống sẽ gửi yêu cầu về máy server để xác nhận với Id là 4
• Bớc 2. Xác nhận của Server
• Chúng ta vào Run gõ mmc để vào Console.
• Trong cửa sổ Console -> Certifition Authority(Local) -> Pending Request, Thì chúng ta sẽ thấy đợc yêu cầu chứng thực mà chúng ta đã xin cấp.
• Bớc 3: Cài đặt Certifition Authority.
• Tại máy trạm ta vào lại trang www.45ktin.dhv/certsrv .
• Chúng ta chọn phần View the Statu of a pending Certicate Request. • Và chọn E-Mail Protection Certificate.
• Tại đây chúng ta nhấp chuột vào Install this certificate để hoàn thành việc cấp chứng thực cho địa chỉ E-Mail: ketoan@45ktin.dhv.
• Gửi th khi đã cài đặt Certifition Authority.
• Khi gửi th thì sẽ có một thông báo rằng th này đã đợc đảm bảo.
• Nhờ tính năng bảo bảo mật của Certification Authority mà khi ngời nhận bức th đã bị thay đổi nội dung thì sẽ cảnh báo nh sau:
Ngoài ra Certification Authority(CA) còn có tính năng mã hóa Mail để bảo mật nội dung của Mail tránh trờng hợp bị lộ nội dung Mail và thay đổi nội dung Mail.
Khi Mail đợc mã hóa bởi CA thì trên Mail của ngời nhận đợc sẽ có ký hiệu đính kèm nh sau:
• Nếu Có ngời truy nhập trái phép vào để đọc nội dung hoặc thay đổi nội dung thì cũng không đợc, do Mail này đã sử dụng tính năng mã hóa của CA nên nếu có bị truy nhập vào thì chỉ thấy Mail ở dạng mã hóa nh sau:
Ngày nay thì các giao dịch trên mạng ngày càng phổ biến nên việc đảm bảo cho việc trao đổi trên mạng là điều hết sức quan trọng. Bởi các thông tin trong giao dịch thờng là những thông tin rất quan trọng chẳng hạn nh: số tài khoản ngân hàng, tên truy cập, và password… chính vì những lý do đó mà việc mã hóa thông tin trên tin trên đờng truyền là một biện pháp cần thiết để đảm bảo cho việc giao dịch trên mạng.
Để ứng dụng tính năng bảo mật Web Server của Certification authority
ta thực hiện theo các bớc sau:
• Bớc 1: Xây dựng tệp mã hóa các thông tin cá nhân về web server tại máy chủ server.
• Vào start/run gõ inetmgr.
• Xuất hiện hộp hội thoại Internet Information Services (IIS) Manager. • Ta chọn Web Sites/ Default Web Sites /Properties.
• Trong hộp thoại Default Web Sites, ta chọn Directory Security và chọn
Server Cetificate.
• Tại cửa sổ Certificate Requesst File Name, ở trong phần File Name: là địa chỉ lu tệp mã hóa các thông tin cá nhân mà chúng ta đã khai báo ở trên.
• Tại cửa sổ Request File Summany, chúng ta sẽ thấy các thông tin về chứng thực
• Nội dung tệp mã hóa
• Bớc 2: Tạo yêu cầu về chứng thực Web Server
• Ta chọn Request a Certificate, Sau đó chọn advanced certificate reqest
• Tại mục chọn Advanced Certificate Reqest, ta chọn mục: Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file.
• Trong trang Submit a Certificate Request or Renewal Request, và trong mục Saved Request: chúng ta sẽ copy phần thông tin đã đợc mã hóa vào và chọn
Submit.
• Tại trang Certificate pending, hệ thống sẽ gửi yêu cầu về cho server của mình với Request Id là 3:
• ớc 3:B Server xác nhận.
• Ta vào : run/ mmc xuất hiện hộp hội thoại Console
• Thì trong phần Pending Reqests chúng ta sẽ thấy đợc Reqest id 3 là yêu cầu xác thực mà nhà cung cấp chứng chỉ đã cấp. Và ta chọn All tasks/ Issue để xác nhận việc xin cấp chứng thực cho Web Server của mình.
• Bớc 4: Xem và download chứng chỉ về máy tính của mình.
• Vào trang: www.45ktin.dhv/certsrv.
• Ta chọn View the status of a pending certificate request thì sễ thấy tập hợp các chứng chỉ đã đợc tạo ta phải chọn đúng chứng chỉ của mình đã tạo.
• Và chúng ta thực hiện việc download.
• Chọn: Download certificate để download chứng chỉ về với tên là :
certnew.cer
• Bớc 5: áp dụng chứng thực vào web server
• Chúng ta vào phần: Internet Information Services(IIS) Manager.
• Trong hộp thoại Default Web Sites ta chọn Directory Security và chọn
• Tại cửa sổ Certificate Summary để xem lại các thông tin về việc cấp chứng chỉ cho Web Server, và chọn Next để tiếp tục, và chọn Finish để hoàn thành quá trình.
• Và để xem chứng chỉ đã cấp cho Web Server ta vào phần View Certificate
• Và ta vào phần Edit và chọn Require Secure Channel (SSL)
• Và chọn Require 128-bit encryption để mã hóa 128 bit cho dữ liệu truyền trên mạng. Nh thế thì các thông tin trên đờng truyền sẽ đợc bảo đảm an toàn.
• Kết quả sau khi mã hóa.
• Khi cha thực hiện việc xin chứng thực eb server thì khi đăng nhập web với giao thức là: http
• Sau khi chứng thực web thì ta khi vào wed phải vào bằng giao thức: https Và ở phía dới trang có biểu tợng cái ống khóa điều này chứng tỏ trang wed này đã đợc mã hóa trên đờng truyền và đảm bảo an toàn cho ngời sử dụng.
• Một số trang có dùng chứng thực
• Ví dụ : www.mail.yahoo.com
4.5.Thiết lập IPSec cho việc truyền dữ liệu giữa Server và các máy trạm đợcmã hóa và sử dụng khóa là: cntt. mã hóa và sử dụng khóa là: cntt.
Sử dụng công cụ Network monitor để bắt gói tin phân tích trớc và sau khi mã hóa.
4.5.1. Cài đặt công cụ Network Monitor
• Chúng ta vào Start-> Control Panel -> Add or Remove Program-> Add/Remove Windows Componets. Tại hộp thoại Windows Componets
Winzard, đa vệt sáng đến mục Management and Monitoring Tools rồi nhấp vào nút detail. Lựa chọn công cụ Network Monitor Tools. nhấp ok rồi nhấp Next để cài đặt.
4.5.2. Bắt gói tin truyền thông giữa server và máy trạm khi không mã hóa
• Tại máy trạm và máy server, chúng ta vào Start -> Program -> Administrator Tools -> Services.
• Ta khởi động dịch vụ Messenger.
• Tại máy server, chúng ta mở chơng trình Network Monitor, nhấp vào nút
Start Capture trên thanh công cụ để tiến hành bắt các gói tin đi qua card mạng của server.
• Tại máy trạm ,gõ lệnh “net send 10.0.0.222 **lop 45k tin dai hoc vinh**” để gửi tin nhắn đến máy server.
• Trở lại máy server, tại cửa sổ chơng trình,chúng ta bấm nút stop capture để dừng việc bắt gói tin. Rồi nhấn tiếp nút Dislay Captured Data để tiến hành phân tích gói tin.
• Tại cửa sổ hiển thị các gói tin đã bắt đợc, thì chúng ta sẽ có thể đọc đợc đợc nội dung tin nhắn đã đợc gửi trên vì lý do đờng truyền không đợc mã hóa.
4.5.3. Thiết lập IPSec cho việc mã hóa truyền dữ liệu cho server4.5.3.1. Tạo bộ lọc mã hóa 4.5.3.1. Tạo bộ lọc mã hóa
• Tại cửa sổ Console, chuột phải vào vùng trống bên tay phải chọn mục
Manage IP filter lists and filter actions
• Trong hộp thoại Manage IP filter lists and filter actions, chúng ta chọn thẻ Manage ip filter lists và chọn Add để thêm bộ lọc mới.
• Trong cửa sổ ip Filter lists, ở mục Name chúng ta đặt tên cho bộ lọc ví dụ: “bo loc ma hoa” ở mục Description chúng ta có thể nhập ghi chú là:”bộ lọc mã hóa”, sau đó nhấp nút Add.
4.5.3.2. Tạo hành động mã hóa cho bộ lọc
• Tại cửa sổ Manager IP filter list and filter action, chúng ta chọn thẻ
Manager Filter Action nhấn nút Add để thêm một hành động mã hóa cho bộ lọc ”bo loc ma hoa”.
• Trong cửa sổ Filter Action Name, ở mục Name bạn đặt tên cho hành động ví dụ: “hành động mã hóa”. ở mục mã hóa có thể nhập phần ghi chú là” hành động mã hóa” sau đó nhấn nút Next để tiếp tục.
4.5.4. Thiết lập luật mã hóa cho chính sách ipsec của server sử dụng bộ lọc