Sau khi cài đặt ISA Server 2006 xong ta cần thiết lập “kiểu mẫu” cho tường lửa. Trong trường hợp này vì ta có máy Web nằm trong vùng DMZ nên sẽ cấu hình tường lửa theo kiểu “3 chân”.
Ở khung bên trái, trong mục Configuration, chọn Network. Ở khung bên phải, trong thẻ Templates, chọn 3-Leg Perimeter.
Đồ án chuyên ngành Session Hijacking
29 Chọn Next.
Đồ án chuyên ngành Session Hijacking
30
Chọn Add Adapter, sau đó chọn card mạng kết nối đến máy DC.
Đồ án chuyên ngành Session Hijacking
31 Chọn Allow unrestricted access.
Đồ án chuyên ngành Session Hijacking
32
Sau đó, ta cần phải cấu hình “quy tắc” cho vùng DMZ.
Ở khung chính giữa, trong thẻ Network Rules, mặc định 2 thông số Perimeter Configuration là NAT, và Perimeter Access là Route.
Ta cần phải đảo ngược 2 thông số này vì máy DC muốn truy cập đến máy Web được (do khác lớp mạng) thì cần phải được định tuyến (trong trường hợp này ta sử dụng giao thức RIPv2).
Trên máy Web vì ta sử dụng IP private nếu muốn đi ra ngoài mạng được thì cần phải có dịch vụ NAT để định tuyến.
Lúc này, máy Web mới xác định đường đi đến máy DC được.
Sau khi cấu hình đến đây thì chỉ có mỗi máy DC là truy xuất được vào website bằng tên miền. Để máy Web và máy ISA có thể truy xuất website được bằng tên miền thì cần phải cấu hình 2 quy tắc sau:
Đồ án chuyên ngành Session Hijacking
33
Cho máy Web truy xuất được tên miền
Chuột phải vào Firewall Policy, chọn New > Access Rule.
Đồ án chuyên ngành Session Hijacking
34 Chọn Allow.
Đồ án chuyên ngành Session Hijacking
35
Chọn Add, trong mục Networks, chọn Perimeter.
Đồ án chuyên ngành Session Hijacking
36 Chọn Next.
Chọn Finish để hoàn thành. Và chọn Apply để lưu và thực thi.
Cho phép ISA truy xuất Web bằng tên miền
Đồ án chuyên ngành Session Hijacking
37 Chọn Local Host trong phần sources.
Đồ án chuyên ngành Session Hijacking
38
Sau khi hoàn thành, ta có được các quy tắc sau trong phần Firewall Policy:
Để các máy bên ngoài có thể truy cập trang web nội bộ bằng tên miền thì cần phải cấu hình các quy tắc sau:
Mở chức năng xin cấp địa chỉ IP động
Nhập tên cho quy tắc là Allow DHCP Request.
Chọn Add, chọn DHCP (request) trong mục All Protocols.
Đồ án chuyên ngành Session Hijacking
39 Chọn External trong phần sources.
Đồ án chuyên ngành Session Hijacking
40
Mở chức năng cho phép cấp địa chỉ IP
Nhập tên cho quy tắc là Allow DHCP Reply.
Đồ án chuyên ngành Session Hijacking
41 Chọn Local Host trong phần sources.
Đồ án chuyên ngành Session Hijacking
42
Sau khi hoàn thành, ta có được các quy tắc sau trong phần Firewall Policy:
Publish tên miền
Chuột phải Firewall Policy, chọn New > Non-Web Server Protocol Publishing Rule.
Đồ án chuyên ngành Session Hijacking
43
Nhập địa chỉ IP của card mạng kết nối đến DC.
Đồ án chuyên ngành Session Hijacking
44 Chọn External.
Sau khi hoàn thành, ta có được quy tắc sau trong phần Firewall Policy:
Publish Web (Publish Port 80)
Đồ án chuyên ngành Session Hijacking
45 Nhập tên cho quy tắc là Publish Web.
Đồ án chuyên ngành Session Hijacking
46 Chọn Use non-secured connections…
Đồ án chuyên ngành Session Hijacking
47 Chọn Next.
Đồ án chuyên ngành Session Hijacking
48
Chọn Do not require SSL secured connections with clients.
Đồ án chuyên ngành Session Hijacking
49 Chọn No Authentication.
Đồ án chuyên ngành Session Hijacking
50
Chọn No delegation, and client cannot authenticate directly.
Sau khi hoàn thành, ta có được kết quả sau trong phần Firewall Policy: Truy cập web bằng http thành công:
Đồ án chuyên ngành Session Hijacking
51
Tiếp theo, để tăng mức độ an toàn cho hệ thống web ta xây dựng mô hình SSL cho kết nối giữa 2 điểm đầu cuối theo sơ đồ sau:
Hình 3.2: Triển khai SSL cho kết nối giữa hai điểm đầu cuối.
Ở đây, quá trình mã hóa sẽ được diễn ra 2 lần (hình 3.2). Giữa máy chủ Web với máy chủ ISA và giữa máy ISA với máy Client. Như vậy, ta cần phải có 2 chứng chỉ SSL khác nhau được cài đặt trên cả máy Web và máy ISA. Hai kết nối này hoàn toàn tách biệt nhau và được thiết lập theo trình tự sau:
Kết nối SSL đầu tiên xảy ra giữa Web Client và ISA server. Trường subject của chứng chỉ được cài tại ISA Server phải chứa tên miền mà Web client sử dụng để kết nối tới Web server, và tên miền này phải được phân giải thành địa chỉ IP mặt ngoài của ISA server.
Kết nối SSL thứ hai xảy ra giữa ISA server và Web server. Trường subject của chứng chỉ được cài tại Web server cũng phải chứa tên miền hoặc địa chỉ IP giống với thiết lập Web Publishing tại ISA server.
Ta bắt đầu bằng việc tạo chứng chỉ SSL trên máy chủ Web. Trong ứng dụng XAMPP có tích hợp sẵn công cụ tạo chứng chỉ SSL cho máy chủ web, ta sẽ tận dụng tính năng này để mã hóa website cho Web server.
Tạo chứng chỉ SSL để mã hóa trang web
Khởi động cmd trong chế độ Administrator, truy cập vào đường dẫn chứa thư mục \xampp\apache trên máy. Chạy lệnh “makecert.bat” để bắt đầu.
Đồ án chuyên ngành Session Hijacking
52
Sau đó, chương trình yêu cầu tạo mới 1 khóa bí mật (private key), và khai báo common name là tên miền dùng để truy cập web.
Sau khi tạo chứng chỉ SSL thành công ta cần phải Import chứng chỉ này vào “cơ quan lưu trữ chứng thực” trên các máy Web, DC và ISA.
Vào MMC, chọn File > Add/Remove Snap-in. Chọn mục Certificates, sau đó bấm Add và chọn Computer account.
Đồ án chuyên ngành Session Hijacking
53
Ở khung bên trái, chọn Trusted Root Certification Authorities\Certificates, chuột phải chọn All Tasks > Import.
Chọn Browse, chứng chỉ SSL mà ta vừa tạo mặc định có tên là “server.crt” và được lưu trong thư mục \xampp\apache\conf\ssl.crt.
Đồ án chuyên ngành Session Hijacking
54 Chọn Next.
Đồ án chuyên ngành Session Hijacking
55 Kết quả sau khi Import thành công.
Ngay sau đó ta đã có thể truy cập web bằng giao thức HTTPS trên tất cả các server.
Tiếp theo, ta cần có 1 chứng chỉ SSL trên máy ISA, để có thể publish được cổng 443 cho các máy client truy cập.
Đồ án chuyên ngành Session Hijacking
56
Tạo chứng chỉ SSL để xác thực tên miền
Trên máy DC, cài đặt dịch vụ Active Directory Certificate Services.
Chọn đồng thời Certication Authority và Certication Authority Web Enrollment.
Đồ án chuyên ngành Session Hijacking
57 Chọn Enterprise.
Đồ án chuyên ngành Session Hijacking
58 Chọn Create a new private key.
Đồ án chuyên ngành Session Hijacking
59 Chọn Next.
Đồ án chuyên ngành Session Hijacking
60 Chọn Next.
Đồ án chuyên ngành Session Hijacking
61 Chọn Install để bắt đầu cài đặt.
Đồ án chuyên ngành Session Hijacking
62
Sau đó, ta có thể cập nhật lại hệ thống bằng lệnh “gpupdate /force” hoặc khởi động lại máy để các chứng chỉ bắt đầu có hiệu lực.
Lúc này, ta bắt đầu tạo chứng chỉ SSL cấp cho ISA, phục vụ cho việc publish cổng 443. Khởi động Internet Information Services (IIS) Manager, chọn mục Server Certificates.
Đồ án chuyên ngành Session Hijacking
63
Điền đầy đủ thông tin yêu cầu, với common name là tên miền truy cập web.
Đồ án chuyên ngành Session Hijacking
64
Sau khi tạo thành công ta cần cài đặt chứng chỉ này lên máy ISA bằng cách, chuột phải vào chứng chỉ SSL vừa tạo, chọn Export.
Đặt tên cho chứng chỉ là “web-ca.pfx”, đồng thời chọn nơi lưu và nhập mật khẩu bảo vệ.
Như vậy, ta vừa có được chứng chỉ SSL để cấp cho ISA. Tiếp theo, ta copy nó và chuyển sang máy ISA để tiến hành cài đặt.
Đồ án chuyên ngành Session Hijacking
65
Trên máy ISA, vào MMC tiến hành Import chứng chỉ SSL vào cơ quan lưu trữ chứng thực. Chuột phải mục Personal, chọn All Tasks > Import.
Đồ án chuyên ngành Session Hijacking
66
Nhập mật khẩu và chọn Mark this key as exportable.
Chọn Next.
Đồ án chuyên ngành Session Hijacking
67
Vì trong quá trình xây dựng hệ thống, ta tự tạo ra các chứng chỉ SSL mà chưa có bất kỳ tổ chức nào chuyên về việc cấp và quản lý chứng chỉ SSL công nhận, nên các máy client khi kết nối vào thông qua trình duyệt web sẽ không có đầy đủ quyền tin cậy. Để giải quyết vấn đề này, đơn giản ta chỉ cần copy chứng chỉ Root CA trên máy DC và cài đặt nó vào máy Client.
Chuột phải “banhnguyen-DC-CA” chọn All Tasks > Export.
Đồ án chuyên ngành Session Hijacking
68 Chọn Next.
Đặt tên cho chứng chỉ là “root-ca.pfx”, đồng thời chọn nơi lưu và nhập mật khẩu bảo vệ.
Đồ án chuyên ngành Session Hijacking
69 Import “root-ca.pfx” vào máy Client.
Chỉ đường dẫn đến nơi lưu chứng chỉ và nhập mật khẩu cho nó.
Đồ án chuyên ngành Session Hijacking
70
Publish Secure Web (Publish Port 443)
Đặt tên cho quy tắc là Publish Secure Web.
Đồ án chuyên ngành Session Hijacking
71
Nhập tên truy cập web và tên máy Web.
Đồ án chuyên ngành Session Hijacking
72
Trong phần Select Web Listener, chọn New và đặt tên là Publish Port 443.
Đồ án chuyên ngành Session Hijacking
73 Chọn External.
Đồ án chuyên ngành Session Hijacking
74 Chọn No Authentication.
Đồ án chuyên ngành Session Hijacking
75
Sau khi hoàn thành, ta có được quy tắc sau trong phần Firewall Policy:
Trên máy Client, đã truy xuất được web bằng giao thức HTTPS: