Cài đặt và cấu hình ISA

Một phần của tài liệu Đồ án Session Hijacking (Trang 28)

Sau khi cài đặt ISA Server 2006 xong ta cần thiết lập “kiểu mẫu” cho tường lửa. Trong trường hợp này vì ta có máy Web nằm trong vùng DMZ nên sẽ cấu hình tường lửa theo kiểu “3 chân”.

Ở khung bên trái, trong mục Configuration, chọn Network. Ở khung bên phải, trong thẻ Templates, chọn 3-Leg Perimeter.

Đồ án chuyên ngành Session Hijacking

29 Chọn Next.

Đồ án chuyên ngành Session Hijacking

30

Chọn Add Adapter, sau đó chọn card mạng kết nối đến máy DC.

Đồ án chuyên ngành Session Hijacking

31 Chọn Allow unrestricted access.

Đồ án chuyên ngành Session Hijacking

32

Sau đó, ta cần phải cấu hình “quy tắc” cho vùng DMZ.

Ở khung chính giữa, trong thẻ Network Rules, mặc định 2 thông số Perimeter Configuration là NAT, và Perimeter Access là Route.

Ta cần phải đảo ngược 2 thông số này vì máy DC muốn truy cập đến máy Web được (do khác lớp mạng) thì cần phải được định tuyến (trong trường hợp này ta sử dụng giao thức RIPv2).

Trên máy Web vì ta sử dụng IP private nếu muốn đi ra ngoài mạng được thì cần phải có dịch vụ NAT để định tuyến.

Lúc này, máy Web mới xác định đường đi đến máy DC được.

Sau khi cấu hình đến đây thì chỉ có mỗi máy DC là truy xuất được vào website bằng tên miền. Để máy Web và máy ISA có thể truy xuất website được bằng tên miền thì cần phải cấu hình 2 quy tắc sau:

Đồ án chuyên ngành Session Hijacking

33

Cho máy Web truy xuất được tên miền

Chuột phải vào Firewall Policy, chọn New > Access Rule.

Đồ án chuyên ngành Session Hijacking

34 Chọn Allow.

Đồ án chuyên ngành Session Hijacking

35

Chọn Add, trong mục Networks, chọn Perimeter.

Đồ án chuyên ngành Session Hijacking

36 Chọn Next.

Chọn Finish để hoàn thành. Và chọn Apply để lưu và thực thi.

Cho phép ISA truy xuất Web bằng tên miền

Đồ án chuyên ngành Session Hijacking

37 Chọn Local Host trong phần sources.

Đồ án chuyên ngành Session Hijacking

38

Sau khi hoàn thành, ta có được các quy tắc sau trong phần Firewall Policy:

Để các máy bên ngoài có thể truy cập trang web nội bộ bằng tên miền thì cần phải cấu hình các quy tắc sau:

Mở chức năng xin cấp địa chỉ IP động

Nhập tên cho quy tắc là Allow DHCP Request.

Chọn Add, chọn DHCP (request) trong mục All Protocols.

Đồ án chuyên ngành Session Hijacking

39 Chọn External trong phần sources.

Đồ án chuyên ngành Session Hijacking

40

Mở chức năng cho phép cấp địa chỉ IP

Nhập tên cho quy tắc là Allow DHCP Reply.

Đồ án chuyên ngành Session Hijacking

41 Chọn Local Host trong phần sources.

Đồ án chuyên ngành Session Hijacking

42

Sau khi hoàn thành, ta có được các quy tắc sau trong phần Firewall Policy:

Publish tên miền

Chuột phải Firewall Policy, chọn New > Non-Web Server Protocol Publishing Rule.

Đồ án chuyên ngành Session Hijacking

43

Nhập địa chỉ IP của card mạng kết nối đến DC.

Đồ án chuyên ngành Session Hijacking

44 Chọn External.

Sau khi hoàn thành, ta có được quy tắc sau trong phần Firewall Policy:

Publish Web (Publish Port 80)

Đồ án chuyên ngành Session Hijacking

45 Nhập tên cho quy tắc là Publish Web.

Đồ án chuyên ngành Session Hijacking

46 Chọn Use non-secured connections…

Đồ án chuyên ngành Session Hijacking

47 Chọn Next.

Đồ án chuyên ngành Session Hijacking

48

Chọn Do not require SSL secured connections with clients.

Đồ án chuyên ngành Session Hijacking

49 Chọn No Authentication.

Đồ án chuyên ngành Session Hijacking

50

Chọn No delegation, and client cannot authenticate directly.

Sau khi hoàn thành, ta có được kết quả sau trong phần Firewall Policy: Truy cập web bằng http thành công:

Đồ án chuyên ngành Session Hijacking

51

Tiếp theo, để tăng mức độ an toàn cho hệ thống web ta xây dựng mô hình SSL cho kết nối giữa 2 điểm đầu cuối theo sơ đồ sau:

Hình 3.2: Triển khai SSL cho kết nối giữa hai điểm đầu cuối.

Ở đây, quá trình mã hóa sẽ được diễn ra 2 lần (hình 3.2). Giữa máy chủ Web với máy chủ ISA và giữa máy ISA với máy Client. Như vậy, ta cần phải có 2 chứng chỉ SSL khác nhau được cài đặt trên cả máy Web và máy ISA. Hai kết nối này hoàn toàn tách biệt nhau và được thiết lập theo trình tự sau:

Kết nối SSL đầu tiên xảy ra giữa Web Client và ISA server. Trường subject của chứng chỉ được cài tại ISA Server phải chứa tên miền mà Web client sử dụng để kết nối tới Web server, và tên miền này phải được phân giải thành địa chỉ IP mặt ngoài của ISA server.

Kết nối SSL thứ hai xảy ra giữa ISA server và Web server. Trường subject của chứng chỉ được cài tại Web server cũng phải chứa tên miền hoặc địa chỉ IP giống với thiết lập Web Publishing tại ISA server.

Ta bắt đầu bằng việc tạo chứng chỉ SSL trên máy chủ Web. Trong ứng dụng XAMPP có tích hợp sẵn công cụ tạo chứng chỉ SSL cho máy chủ web, ta sẽ tận dụng tính năng này để mã hóa website cho Web server.

Tạo chứng chỉ SSL để mã hóa trang web

Khởi động cmd trong chế độ Administrator, truy cập vào đường dẫn chứa thư mục \xampp\apache trên máy. Chạy lệnh “makecert.bat” để bắt đầu.

Đồ án chuyên ngành Session Hijacking

52

Sau đó, chương trình yêu cầu tạo mới 1 khóa bí mật (private key), và khai báo common name là tên miền dùng để truy cập web.

Sau khi tạo chứng chỉ SSL thành công ta cần phải Import chứng chỉ này vào “cơ quan lưu trữ chứng thực” trên các máy Web, DC và ISA.

Vào MMC, chọn File > Add/Remove Snap-in. Chọn mục Certificates, sau đó bấm Add và chọn Computer account.

Đồ án chuyên ngành Session Hijacking

53

Ở khung bên trái, chọn Trusted Root Certification Authorities\Certificates, chuột phải chọn All Tasks > Import.

Chọn Browse, chứng chỉ SSL mà ta vừa tạo mặc định có tên là “server.crt” và được lưu trong thư mục \xampp\apache\conf\ssl.crt.

Đồ án chuyên ngành Session Hijacking

54 Chọn Next.

Đồ án chuyên ngành Session Hijacking

55 Kết quả sau khi Import thành công.

Ngay sau đó ta đã có thể truy cập web bằng giao thức HTTPS trên tất cả các server.

Tiếp theo, ta cần có 1 chứng chỉ SSL trên máy ISA, để có thể publish được cổng 443 cho các máy client truy cập.

Đồ án chuyên ngành Session Hijacking

56

Tạo chứng chỉ SSL để xác thực tên miền

Trên máy DC, cài đặt dịch vụ Active Directory Certificate Services.

Chọn đồng thời Certication Authority và Certication Authority Web Enrollment.

Đồ án chuyên ngành Session Hijacking

57 Chọn Enterprise.

Đồ án chuyên ngành Session Hijacking

58 Chọn Create a new private key.

Đồ án chuyên ngành Session Hijacking

59 Chọn Next.

Đồ án chuyên ngành Session Hijacking

60 Chọn Next.

Đồ án chuyên ngành Session Hijacking

61 Chọn Install để bắt đầu cài đặt.

Đồ án chuyên ngành Session Hijacking

62

Sau đó, ta có thể cập nhật lại hệ thống bằng lệnh “gpupdate /force” hoặc khởi động lại máy để các chứng chỉ bắt đầu có hiệu lực.

Lúc này, ta bắt đầu tạo chứng chỉ SSL cấp cho ISA, phục vụ cho việc publish cổng 443. Khởi động Internet Information Services (IIS) Manager, chọn mục Server Certificates.

Đồ án chuyên ngành Session Hijacking

63

Điền đầy đủ thông tin yêu cầu, với common name là tên miền truy cập web.

Đồ án chuyên ngành Session Hijacking

64

Sau khi tạo thành công ta cần cài đặt chứng chỉ này lên máy ISA bằng cách, chuột phải vào chứng chỉ SSL vừa tạo, chọn Export.

Đặt tên cho chứng chỉ là “web-ca.pfx”, đồng thời chọn nơi lưu và nhập mật khẩu bảo vệ.

Như vậy, ta vừa có được chứng chỉ SSL để cấp cho ISA. Tiếp theo, ta copy nó và chuyển sang máy ISA để tiến hành cài đặt.

Đồ án chuyên ngành Session Hijacking

65

Trên máy ISA, vào MMC tiến hành Import chứng chỉ SSL vào cơ quan lưu trữ chứng thực. Chuột phải mục Personal, chọn All Tasks > Import.

Đồ án chuyên ngành Session Hijacking

66

Nhập mật khẩu và chọn Mark this key as exportable.

Chọn Next.

Đồ án chuyên ngành Session Hijacking

67

Vì trong quá trình xây dựng hệ thống, ta tự tạo ra các chứng chỉ SSL mà chưa có bất kỳ tổ chức nào chuyên về việc cấp và quản lý chứng chỉ SSL công nhận, nên các máy client khi kết nối vào thông qua trình duyệt web sẽ không có đầy đủ quyền tin cậy. Để giải quyết vấn đề này, đơn giản ta chỉ cần copy chứng chỉ Root CA trên máy DC và cài đặt nó vào máy Client.

Chuột phải “banhnguyen-DC-CA” chọn All Tasks > Export.

Đồ án chuyên ngành Session Hijacking

68 Chọn Next.

Đặt tên cho chứng chỉ là “root-ca.pfx”, đồng thời chọn nơi lưu và nhập mật khẩu bảo vệ.

Đồ án chuyên ngành Session Hijacking

69 Import “root-ca.pfx” vào máy Client.

Chỉ đường dẫn đến nơi lưu chứng chỉ và nhập mật khẩu cho nó.

Đồ án chuyên ngành Session Hijacking

70

Publish Secure Web (Publish Port 443)

Đặt tên cho quy tắc là Publish Secure Web.

Đồ án chuyên ngành Session Hijacking

71

Nhập tên truy cập web và tên máy Web.

Đồ án chuyên ngành Session Hijacking

72

Trong phần Select Web Listener, chọn New và đặt tên là Publish Port 443.

Đồ án chuyên ngành Session Hijacking

73 Chọn External.

Đồ án chuyên ngành Session Hijacking

74 Chọn No Authentication.

Đồ án chuyên ngành Session Hijacking

75

Sau khi hoàn thành, ta có được quy tắc sau trong phần Firewall Policy:

Trên máy Client, đã truy xuất được web bằng giao thức HTTPS:

Một phần của tài liệu Đồ án Session Hijacking (Trang 28)

Tải bản đầy đủ (PDF)

(96 trang)