3.2.1. Giới thiệu Nmap
Nmap (Network Mapper): Là một tiện ích mã nguồn mở miễn phí cho thăm dò mạng, được phát triển bởi Floydor, chạy được trên nhiều hệ điều hành. Scan nhanh chóng và hiệu quả. Có thể thực hiện nhiều kiểu scan khác nhau.
44
Ưu điểm:
Linh hoạt: Hàng chục hỗ trợ kỹ thuật tiên tiến để lập bản đồ các mạng với các bộ lọc IP, tường lửa, router, và những trở ngại khác. Điều này bao gồm nhiều cớ chế quét cổng (cả TCP và UDP), phát hiện hệ điều hành , phát hiện phiên bản, ping sweep, ...
Mạnh mẽ: Nmap đã được sử dụng để quét mạng lưới rộng lớn của hàng trăm ngàn máy tính.
Dễ dàng: Nmap cung cấp một tập hợp phong phú các tính năng tiên tiến cho người dùng. Những chương trình có sẵn cho những người không muốn biên dịch Nmap từ mã nguồn.
Miễn phí: Nmap có sẵn để tải về miễn phí, và cũng đi kèm với mã nguồn đầy đủ mà bạn có thể chỉnh sửa và phân phối lại theo các điều khoản của giấy phép.
Phổ biến: Hàng ngàn người tải Nmap mỗi ngày, tương thích với nhiều hệ điều hành. Nó là một trong mười chương trình hàng đầu (trong số 30.000) tại kho Freshmeat.Net.
3.2.2. Cách thức scanning của Nmap.
Nmap hổ trợ 3 phương thức scanning như sau:
Port scanning: Cách scanning này là một loạt các tin nhắn do một ai đó gửi đến một máy tính khác nhằm đột nhập vào máy tính đó và tìm hiểu các dịch vụ mạng chạy trong hệ thống này. Mỗi message được gắn liền với 1 cổng gọi là “Port number”.
Vulnerability scanning: quét lỗ hỏng của một hệ thống máy tính từ đó tìm hiểu hệ thống cũng như các dịch vụ trên hệ thống đó.
Network Scanning: được hiểu là quét toàn hệ thống để xác định các máy chủ trong hệ thống mạng này, nhằm mục đích tấn công hoặc đánh giá mức độ an toàn của một hệ thống mạng.
45
3.2.3. Giao diện sử dụng của Nmap
Giao diện chính của chương trình Nmap.
Một số tác vụ chính trong Nmap:
Target: gõ một domain hay 1 địa chỉ IP mà bạn muốn Scanning.
Profile: Cho phép bạn chọn cách thức Scanning lấy ra thông tin gì từ có command sẽ có những lệnh khác nhau.
Command: nơi gõ lệnh để Scanning.
46
Một số câu lệnh được sử dụng phổ biến của Nmap:
Lệnh traceroute: Cho biết danh sách các node cần phải đi qua trước khi đến được đích. Lệnh này cho ta biết đường đi của gói tin sẽ qua các hop nào với địa chỉ của hop đó là bao nhiêu, thông qua một bảng TRACEROUTE.
Lệnh Scan port: cho biết kết quả là Host này đang mở Port nào và tương ứng với mỗi port là dịch vụ nào đang chạy.
47
Lệnh ping scan: cho biết địa chỉ Mac của host và trạng thái của host đó như thế nào.
Lệnh Scan OS: Cho biết đích ta cần biết đang chạy hệ điều hành gì, hoặc xác định thông tin về software, hardware của các thiết bị mạng.
48
3.3. Cách phòng chống các lỗi bảo mật
Vấn đề an ninh, bảo đảm an toàn hệ thống luôn làm các nhà quản trị, bảo mật đau đầu. Để phòng chống ta có thể thực hiện các giải pháp sau:
Luôn update các bản vá lỗi mới nhất từ nhà cung cấp phần mềm. Enable Firewall chỉ mởi những cổng cần thiết cho các ứng dụng. Xây dựng hệ thống phát hiện xâm nhập IDS.
49
CHƯƠNG 4: TRIỂN KHAI WSUS TRONG MẠNG WINDOWS 4.1. Giới thiệu tổng quan
Trong hệ thống mạng chuyên nghiệp, nhu cầu cập nhật các bản vá lỗi cho Windows và các ứng dụng là hết sức cần thiết để hệ thống có thể hoạt động ổn định, khắc phục các lỗi về bảo mật, đảm bảo cho hệ thống hoạt động tốt hơn.
Trên các phiên bản Windows đều có chức năng Automatic Update cho phép tự động tải và cài đặt các bản vá lỗi (hotfix) từ Microsoft Update Server. Tuy nhiên trong trường hợp hệ thống lớn có rất nhiều máy tính cần cập nhật các bản vá lỗi từ Microsoft Update Server sẽ gây ra hiệu ứng xấu cho đường truyền Internet như tốn băng thông và chậm chạp, tốn thời gian. Microsoft Windows Server Update Services (WSUS) là giải pháp hữu hiệu cho các doanh nghiệp sử dụng hệ thống mạng Windows trong vấn đề cập nhật hệ thống, WSUS Server sẽ tiến hành dowload các bản cập nhật để cung cập lại cho các máy trạm, chỉ cần sử dụng một Server cập nhật các hotfix từ Microsoft Update Server để cung cấp cho tất cả các máy tính trong mạng, đến đây vấn đề băng thông trên đường truyền đã được giải quyết.
Trong phần này em sẽ giới thiệu thao tác cấu hình WSUS trên Windows Server 2012 để thực hiện giải pháp đó.
4.2. Các thành phần chính trong hệ thống WSUS
Có ba thành phần chính để triển khai WSUS.
Server Microsoft Update: đây chính là thành phần quản lý và phân phối các hotfix đến máy khách của Microsoft theo yêu cầu.
WSUS Server: máy chủ cho phép các quản trị viên chỉ định các nâng cấp nào sẽ được download từ Microsoft Update Server và sau đó được triển khai tới mạng các máy khách.
Automatic Update: đây là thành phần được xây dựng trong các hệ điều hành Windows của Microsoft, cho phép các hệ điều hành này có thể download các bản nâng cấp từ nguồn được chỉ định.
50
Khi ta triển khai WSUS cho một mạng LAN nhỏ hay một mạng WAN thì điều sử dụng 3 thành phần trên. Cụ thể các thành phần đó sẽ được triển khai như thế nào em sẽ giải thích trong các mô hình sau đây.
4.2.1. Một WSUS Server (Small-Sized hoặc Simple Network)
Trong cấu hình chung, một quản trị viên mạng sẽ quản lý một máy chủ WSUS để download các hotfix trực tiếp từ Microsoft Update.
Khi thiết lập xong mọi thứ, lúc này chỉ cần quản trị viên mạng phải bảo đảm sự đồng bộ giữa máy chủ và Microsoft Update, phân phối các bản cập nhật xuống cho các máy trong mạng, theo mô hình sau:
Hình 4.2.1. Triển khai một WSUS cho mạng Lan nhỏ
4.2.2. Nhiều WSUS Server
Triển khai nhiều WSUS Server (Medium-Sized hoặc More Complex Network).
Việc triển khai các thành phần WSUS trong một mạng cỡ trung bình hay phức tạp, có một số vấn đề phát sinh như sau:
51
Triển khai cho nhiều WSUS Server độc lập với nhau:
Các quản trị viên có thể triển khai nhiều máy chủ được cấu hình để mỗi máy chủ được quản lý một cách độc lập và do đó mỗi máy chủ đồng bộ hóa nội dung từ Microsoft Update, như thể hiện trong hình dưới đây.
Hình 4.2.2.1. Triển khai nhiều WSUS Server độc lập với nhau.
Các phương pháp triển khai trong trường hợp này sẽ thích hợp cho các tình huống khác nhau, trong đó mạng cục bộ (LAN) hoặc mạng diện rộng (WAN) phân đoạn mạng được quản lý một cách riêng biệt (ví dụ: các chi nhánh của một văn phòng).
Nó cũng sẽ thích hợp trong trường hợp một WSUS Server được cấu hình để triển khai bản cập nhật cho máy tính client chạy một hệ điều hành nào đó (chẳng hạn như Windows 2000), trong khi một WSUS Server khác được cấu hình để các máy tính client chạy một hệ điều hành (chẳng hạn như Windows XP). Trong những tình huống này, hai máy chủ sẽ không cần phải đồng bộ hóa nội dung.
52
Các quản trị viên có thể triển khai nhiều WSUS Server bên trong mạng nội bộ của tổ chức. Trong hình dưới đây, chỉ có một máy chủ được tiếp xúc với Internet.
Trong cấu hình này, đây là máy chủ duy nhất được cấu hình để tải bản cập nhật từ Microsoft Update.
Hình 4.2.2.2. Triển khai nhiều WSUS Server nội đồng bộ.
4.2.3. WSUS Server không có kết nối đến internet
Nếu do chính sách của công ty hoặc các điều kiện khác hạn chế truy cập máy tính với Internet, các quản trị viên có thể thiết lập một máy chủ nội bộ chạy WSUS, như minh họa trong hình sau.
53
Trong ví dụ này, một máy chủ được tạo ra là kết nối với Internet, lấy các bản cập nhật về và đưa các nội dung cập nhật vào một đĩa CD, từ CD nhập nội dung vào máy WSUS Server trong mạng nội bộ.
4.3. Triển khai chi tiết
Cài đặt WSUS cho hệ thống, nhằm tăng cường tính an toàn, ổn định cho các server bằng việc cập nhật liên tục các bản vá lỗi của hệ điều hành và các phần mềm của Microsoft, nhưng vẫn đảm bảo không làm nghẽn lưu lượng ra internet.
Mô hình sử dụng để triển khai hệ thống WSUS:
o 1 máy chủ chạy Windows Server 2008: máy này sẽ đảm nhận WSUS và cập nhật các hotfix từ Microsoft Update Server phục vụ cho toàn bộ máy tính trong mạng.
o 1 máy client chạy hệ điều hành Windows XP: máy này sẽ nhận các bản cập nhật từ máy chủ chạy Windows Server 2008.
Các bước chính trong việc triển khai như sau: o Thăng DC cho máy Server
o Join Domain cho máy Client.
o Cài đặt Microsoft Report Viewer redistributable 2008. o Cài IIS và các thành phần yêu cầu cho WSUS.
o Cài đặt WSUS. o Cấu hình WSUS.
o Cấu hình Client bằng Group Policy Object (GPO). o Tạo Computer Group cho Server.
o Xem báo cáo trạng thái trên máy chủ. o Approve updates.
54
4.3.1. Cài đặt và join domain
Thiết lập IP cho Server và Client.
Server Client
IP 193.168.1.254 193.168.1.2
Subnet Mask 255.255.255.0 255.255.255.0
Default Getaway 193.168.1.254
Preferred DNS Server 193.168.1.254 193.168.1.254 Cài đặt Active Directory Domain Services.
55 Đặt tên DC.
56 Join domain cho máy client.
57
4.3.2. Cài đặt Microsoft Report Viewer redistributable 2008.
Tải phần mềm tại: http://www.microsoft.com/en-us/download/details.aspx?id=577. Đăng nhập vào Server bằng tài khoản domain Administrator, chạy file vừa
58
4.3.3. Cài IIS và các thành phần yêu cầu cho WSUS.
Mở Server Manager từ Administrative Tools, chọn Roles chuột phải Add Roles.
Màn hình Select Server Roles, đánh dấu chọn Web Server (IIS). Cửa sổ Add features required for Web Server (IIS)? xuất hiện chọn Add Required Features. Sau đó chọn Next để tiếp tục.
59
Trên màn hình Select Role Services, đánh dấu chọn vào các mục sau đây, sau đó chọn Next để tiếp tục.
ASP.NET
Dynamic Content Compression
Basic Authentication
Windows Authentication
60
4.3.4. Cài đặt WSUS
Nếu máy Server là phiên bản standart cần down load file WSUS 3.0 SP2 tại địa chỉ: http://www.microsoft.com/download/en/details.aspx?id=5216.
Nếu dùng bản Enterprise sử dụng Role có sẵn.
Tiến hành tải file cài đặt và thực hiện việc setup vào hệ thống.
Hộp thoại Installation Mode Selection - Chọn Full server installation… - Next.
61
Hộp thoại License Agreement > Chọn I accept > Next.
Trong hộp thoại Select update Source, chỉ định một thư mục tùy ý để lưu trữ các bản update – kích Next tiếp tục.
62
Hộp thoại Database Options > Để mặc định > Next cho đến khi cài đặt hoàn tất phần mềm vào hệ thống.
63
4.3.5. Cấu hình WSUS
Bắt đầu tiến trình cấu hình WSUS. Màn hình Before You Begin, chúng ta nhấn
Next.
Màn hình Join the Microsoft Update Improvement Program, bỏ chọn ô Yes, I would like to join the Microsoft Update Improvement Program. Nhấn Next.
64
Màn hình Choose Upstream Server, chọn ô Synchronize from Microsoft Update để download các bản cập nhật từ Server Microsoft - Nhấn Next.
Màn hình Specify Proxy Server, do truy cập Internet trược tiếp không thông qua Proxy server nên chúng ta không cần chọn dấu chọn ở ô Use a proxy server when synchronizing - Nhấn Next.
65
Màn hình Connect to Upstream Server, chúng ta nhấn vào nút Start Connecting để kết nối đến server Microsoft update.
Chờ đợi quá trình kết nối, quá trình này mất khá nhiều thời gian và phụ thuộc vào tốc độ đường truyền Internet. Sau khi kết nối thành công, nhấn Next.
Màn hình Choose Languages, chúng ta chọn Download Updates only in these languages, sau đó lựa chọn ngôn ngữ cho bản cập nhật - Nhấn Next.
66
Màn hình Choose Products, lựa chọn sản phẩm cần download các bản Update. Trong phần này em muốn cập nhật cho các máy tính chạy Windows xp nên em chỉ đánh dấu Windows xp - Nhấn Next.
Màn hình Choose Classifications, chúng ta chọn loại Update. Trong phần này để tiết kiệm thời gian download ta chọn Critical Updates. Nhấn Next.
67
Màn hình Set Sync Schedule, chọn Synchronize automatically, sau đó đặt thời gian để lập lịch tùy ý để WSUS server tự động cập nhật với Microsoft Update, chọn 1 giờ sáng và mỗi ngày thực hiện đồng bộ 1 lần - Nhấn Next.
Màn hình Finish, chúng ta đánh dấu chọn vào ô Begin initial synchronization, chương trình sẽ bắt đầu download các bản update đã chỉ định ở bước trước.
68
Chọn Synchronizations, quan sát và chờ đợi quá trình download hoàn tất, thời gian chờ đợi phụ thuộc vào số lượng Update được chọn và tốc độ đường truyền Internet của chúng ta.
Sau khi hoàn tất, chọn Synchronizations, kiểm tra trạng thái thành công (Succeeded).
69
Chọn Updates - All Updates . Mục Approval chọn Any Except Declined, mục
Status chọn Any. Nhấn nút Refresh ta sẽ thấy các bản update đã download được từ Microsoft.
4.3.6. Cấu hình Client bằng GPO
Mở Active Directory Users and Computers, tạo OU tên là WSUS Clients, sau đó di chuyển các Computers Client vào OU này.
70
Tiếp theo, mở Start > Programs > Administrative Tools > Group Policy Management, nhấn chuột phải vào OU WSUS Clients, chọn Create a GPO in this domain, and Link it here.
71
Ở khung New GPO, ta tiến hành đặt tên GPO và nhấn OK.
Chuột phải vào GPO vừa tạo, chọn Edit.
Ở khung bên trái, chúng ta lần lượt chọn Computer Configuration - Policies - Administrative Templates - Windows Components - Windows Update, ở khung bên phải, chúng ta nhấn chuột phải vào mục Configure Automatic Updates, chọn
72
Qui định các Client sẽ tự động Download Update và cài đặt vào lúc 1 giờ trưa hằng ngày - Nhấn OK.
73
Chuột phải vào mục Specify intranet Microsoft update service location, chọn
Properties.
Chúng ta nhập vào URL WSUS Server cho 2 mục Set the intranet update service for detecting services và Set the Intranet static server là http://IP của server
74
Cập nhật policy bằng lệnh GPUPDATE /FORCE.
Sang máy client, kiểm tra client có được áp đặt policy hay không bằng lệnh
GPRESULT và bảo đảm trong mục COMPUTERSETTINGS có Configure WSUS Client.
Sau khi cấu hình GPO, sẽ mất một khoảng thời gian khá lâu để các máy client có thể xuất hiện trong mục Computers trên WSUS Console. Đối với những client được áp dụng GPO, sẽ mất khoảng 20 phút để GPO được cập nhật. Để không phải
75
chờ đợi lâu, trên các máy client chúng ta có thể dùng lệnh GPUPDATE /FORCE để cập nhật policy và lệnh WUAUCTL /DETECTNOW để tiến hành cập nhật nhanh. Tuy nhiên quá trình này cũng có thể mất khá nhiều thời gian, ta có thể chờ đợi hoặc thực hiện tiếp các bước tiếp theo và quay lại kiểm tra sau.
Sau khi cập nhật client, chuyển sang server, chọn Computers - All Computers
- Mục Status chọn Any - Nhấn nút Refresh chúng ta sẽ thấy danh sách các client đã được cập nhật. Nếu chưa cập nhật, chúng ta có thể thực hiện tiếp các bước tiếp theo (bỏ qua bước đưa client vào group) và quay lại kiểm tra sau.
76
4.3.7. Tạo Computer Group
Trong hệ thống mạng, các client có thể chạy nhiều hệ điều hành khác nhau (Windows 8, Windows 7, Windows XP hay Windows Server 2012). Mỗi Hệ điều hành cần cập nhật các bản update khác nhau. Vì vậy chúng ta cần phân loại các client dựa vào hệ điều hành bằng cách tạo các Computer Group. Trong mục Computers, nhấn chuột phải vào All Computers, chọn Add Computer Group.
77
Chọn máy tính Client để đưa vào Computer Group, nhấn phải chuột chọn
Change Membership.
78
Kiểm tra máy Client đã được đưa vào Computer Group Windows XP Clients.
4.3.8. Xem lại các cấu hình trên WSUS server
Trên máy chủ Server, mở Windows Server Update Services từ Administrative