TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG
Tình hình thực tế
Theo số liệu của CERT (Nhóm Ứng cứu Khẩn cấp Máy tính), số lượng các vụ tấn công mạng được báo cáo đã tăng đáng kể từ dưới 200 vụ vào năm 1989, lên khoảng 400 vụ vào năm 1991 và tiếp tục phát triển vượt bậc trong các năm sau Các dữ liệu này thể hiện xu hướng gia tăng của các mối đe dọa trên Internet theo thời gian Điều này nhấn mạnh tầm quan trọng của việc tăng cường các biện pháp bảo mật mạng và nâng cao nhận thức về an ninh thông tin Việc theo dõi liên tục các số liệu này giúp các tổ chức và cá nhân có chiến lược phù hợp để phòng chống các cuộc tấn công mạng ngày càng tinh vi.
Trong những năm 1993 và 1994, các vụ tấn công mạng đã diễn ra trên diện rộng nhằm vào tất cả các máy tính kết nối Internet, bao gồm các hệ thống của các tập đoàn lớn như AT&T, IBM, các trường đại học, cơ quan nhà nước, tổ chức quân sự và ngân hàng Một số cuộc tấn công quy mô lớn đã làm xâm nhập tới hàng chục nghìn máy tính, thậm chí lên tới 100.000 thiết bị bị ảnh hưởng Tuy nhiên, những số liệu này chỉ là phần nổi của băng chìm, vì phần lớn các vụ tấn công không được báo cáo do e ngại mất uy tín hoặc do các quản trị viên hệ thống không phát hiện ra các cuộc tấn công xảy ra trên hệ thống của họ.
Trong khi số lượng các cuộc tấn công mạng tăng nhanh, các phương pháp tấn công cũng không ngừng hoàn thiện, nhằm vượt qua các lớp phòng thủ của hệ thống Theo CERT, những cuộc tấn công từ năm 1988-1989 chủ yếu dựa vào đoán tên người dùng-mật khẩu hoặc khai thác lỗ hổng phần mềm để vô hiệu hóa hệ thống bảo vệ Tuy nhiên, gần đây các hình thức tấn công đã trở nên tinh vi hơn, bao gồm giả mạo địa chỉ IP, theo dõi thông tin truyền qua mạng và chiếm quyền điều khiển các phiên làm việc từ xa.
Trong bối cảnh ngày càng gia tăng các nguy cơ tấn công mạng, việc bảo vệ an toàn thông tin cho hệ thống máy tính khi kết nối internet trở nên vô cùng cấp thiết Nhu cầu đảm bảo an ninh mạng giúp ngăn chặn các rủi ro từ các cuộc tấn công từ bên ngoài, giữ gìn dữ liệu và tài sản kỹ thuật số của cá nhân cũng như tổ chức Chính vì vậy, việc xây dựng các giải pháp bảo vệ thông tin hiệu quả là ưu tiên hàng đầu để đảm bảo hoạt động kinh doanh và an ninh dữ liệu luôn được duy trì trong môi trường số hiện nay.
Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu sau:
Bảo mật: Những thông tin có giá trị về kinh tế, quân sự, chính sách… cần được giữ kín
Tính vẹn toàn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo
Tính kịp thời là yêu cầu truy cập thông tin đúng thời điểm cần thiết để đảm bảo hiệu quả hoạt động Trong đó, bảo mật thường được coi là ưu tiên hàng đầu cho dữ liệu lưu trữ trên mạng, nhưng yêu cầu về tính vẹn toàn cũng rất quan trọng ngay cả khi thông tin không cần giữ bí mật Các cá nhân và tổ chức không lãng phí tài nguyên vật chất và thời gian để lưu trữ thông tin mà không đảm bảo tính chính xác của chúng.
Bảo vệ các tài nguyên sử dụng trên mạng
Trong các cuộc tấn công trên Internet, kẻ tấn công sau khi chiếm quyền kiểm soát hệ thống bên trong có thể sử dụng máy chủ để thực hiện các mục đích độc hại, như chạy các chương trình dò mật khẩu người dùng hoặc khai thác các liên kết mạng có sẵn để mở rộng quy mô tấn công sang các hệ thống khác.
Bảo vệ danh tiếng của cơ quan
Hầu hết các cuộc tấn công không được công khai rộng rãi do các tổ chức lo ngại mất uy tín, đặc biệt là các công ty lớn và cơ quan nhà nước quan trọng Khi hệ thống bị tấn công và chỉ được phát hiện sau khi đã bị sử dụng làm bàn đạp để tấn công các hệ thống khác, thiệt hại về danh tiếng là rất lớn và có thể gây hậu quả lâu dài Để bảo vệ hệ thống, nhiều phần mềm tường lửa (Firewall) với các tính năng đa dạng đã xuất hiện trên toàn cầu nhằm ngăn chặn các cuộc tấn công mạng hiệu quả.
Các kiểu tấn công mạng
Phần lớn các cuộc tấn công vào hệ thống đều là các cuộc tấn công trực tiếp, trong đó kẻ tấn công cố gắng xâm nhập vào máy tính của người dùng như những người dùng hợp pháp Họ sử dụng nhiều phương pháp khác nhau để chiếm quyền truy cập vào hệ thống, đòi hỏi các biện pháp bảo mật mạnh mẽ để ngăn chặn các mối đe dọa này.
Phương pháp tấn công cổ điển là dò cặp tên người dùng và mật khẩu đơn giản, dễ thực hiện mà không yêu cầu điều kiện đặc biệt Kẻ tấn công thường sử dụng thông tin như tên người dùng, ngày sinh, địa chỉ hoặc số nhà để đoán mật khẩu Khi có danh sách người dùng cùng các thông tin môi trường làm việc, các chương trình tự động có thể dễ dàng dò tìm mật khẩu Ngoài ra, các phần mềm từ Internet có khả năng giải mã mật khẩu đã mã hóa bằng cách thử các tổ hợp từ trong từ điển lớn theo nguyên tắc người dùng đặt ra Nhờ đó, phương pháp này có thể đạt hiệu quả khoảng 30% trong một số trường hợp.
Một phương pháp phổ biến trong các cuộc tấn công là khai thác các lỗi của chương trình ứng dụng và hệ điều hành, đã được sử dụng từ những vụ tấn công đầu tiên đến nay để chiếm quyền truy cập Phương pháp này có thể giúp kẻ tấn công đạt được quyền của người quản trị hệ thống trong một số trường hợp, gây ra hậu quả nghiêm trọng cho bảo mật hệ thống.
Các kiểu tấn công mạng cho phép kẻ tấn công lấy thông tin mà không cần truy cập trực tiếp vào máy tính, thường bằng cách khai thác các dịch vụ Internet có bảo mật thấp Nhiều dịch vụ này được thiết kế để hoạt động trong mạng cục bộ và dễ dàng bị lợi dụng để vượt qua tường lửa hoặc kiểm soát an ninh, giúp kẻ tấn công có thể lấy cắp thông tin dễ dàng Một trong những phương pháp phổ biến nhất để vụ lợi từ mạng là nghe trộm dữ liệu qua thiết bị nghe lén, đây là cách đơn giản và đáng tin cậy để thu thập thông tin quan trọng.
Việc nghe trộm dữ liệu mạng thường bắt đầu ngay sau khi kẻ tấn công xâm nhập thành công hệ thống, sử dụng các chương trình giúp đặt card giao tiếp mạng (Network Interface Card) vào chế độ nhận toàn bộ thông tin truyền qua mạng Đây là phương thức tấn công phổ biến để thu thập dữ liệu nhạy cảm trên hệ thống mạng Thủ đoạn này cho phép kẻ xấu giám sát và lấy cắp thông tin mà không bị phát hiện, gây nguy hiểm lớn cho bảo mật hệ thống.
Việc giả mạo địa chỉ IP có thể thực hiện thông qua kỹ thuật dẫn đường trực tiếp (source-routing), cho phép kẻ tấn công gửi các gói tin IP tới mạng nội bộ với địa chỉ giả mạo Kẻ tấn công thường sử dụng địa chỉ của một mạng hoặc máy tính đáng tin cậy để lừa đảo hệ thống, đồng thời chỉ rõ đường đi của các gói tin nhằm vượt qua các lớp bảo vệ mạng Kỹ thuật này tận dụng khả năng điều hướng của các gói tin IP để thực hiện các cuộc tấn công mạng độc hại và gây mất an toàn cho hệ thống mạng nội bộ.
1.3.4 Vô hiệu hoá các chức năng của hệ thống Đây là kiểu tấn công nhằm làm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được vì những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, dẫn đến không còn các tài nguyên để thực hiện những công việc được yêu cầu khác
1.3.5 Tấn công vào yếu tố con người
Kẻ tấn công có thể liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu hoặc quyền truy cập, hoặc thậm chí thay đổi cấu hình hệ thống để thực hiện các phương pháp tấn công khác Không thiết bị nào có thể ngăn chặn hiệu quả kiểu tấn công này, do đó việc giáo dục người dùng mạng nội bộ về các yêu cầu bảo mật là vô cùng cần thiết để nâng cao cảnh giác Yếu tố con người luôn là điểm yếu trong hệ thống bảo vệ, và chỉ có sự phối hợp, ý thức cảnh giác của người dùng mới giúp tăng cường độ an toàn cho hệ thống.
Các giải pháp cho an ninh mạng
1.4.1 Giải pháp an ninh bằng giao thức
Trong mô hình TCP/IP, có nhiều giao thức được định nghĩa để đảm bảo tính an ninh cho mạng và dữ liệu truyền tải Mỗi giao thức hoạt động ở các tầng riêng biệt và đảm nhận các chức năng khác nhau, từ xác thực, mã hóa đến phát hiện và phòng chống các mối đe dọa mạng Các giao thức này đóng vai trò quan trọng trong việc bảo vệ thông tin và duy trì an toàn cho hệ thống mạng.
Trong phần này chúng tôi xin được trình bày 2 giao thức điên hình là NAT và IPSec
NAT (Network Address Translation) là phương pháp thay đổi địa chỉ IP của gói tin khi truyền qua các nút mạng nhằm bảo vệ và tối ưu hoạt động mạng Thông thường, một gói tin đi từ nguồn đến đích có thể đi qua nhiều nút mạng, nhưng chỉ có một số thông tin như địa chỉ IP nguồn, IP đích và địa chỉ MAC mới được thay đổi hoặc giữ nguyên trong quá trình truyền Khi sử dụng cơ chế NAT trong mạng, các thông tin quan trọng của gói tin IP sẽ bị thay đổi, giúp quản lý địa chỉ IP hiệu quả và bảo mật hơn cho hệ thống mạng.
Trong an ninh mạng, các phương thức bảo vệ khác nhau được áp dụng tại từng lớp mạng nhằm đảm bảo an toàn cho việc trao đổi thông tin giữa các nút mạng Các thay đổi trong quá trình bảo mật cần được ghi lại cẩn thận để phục vụ cho quá trình phục hồi và chuyển đổi ngược khi cần thiết, đảm bảo hệ thống mạng luôn hoạt động ổn định và an toàn.
NAT đóng vai trò quan trọng trong việc cho phép nhiều địa chỉ IP trong mạng nội bộ có thể truy cập Internet thông qua một địa chỉ IP công cộng duy nhất Khi sử dụng NAT, tất cả các gói tin gửi ra ngoài sẽ qua một thiết bị gọi là NAT box, chịu trách nhiệm chuyển đổi địa chỉ IP nguồn nội bộ sang địa chỉ IP hợp lệ do ISP cung cấp NAT duy trì một bảng chuyển đổi để ánh xạ các địa chỉ IP nội bộ với địa chỉ IP công cộng, đảm bảo dữ liệu đến đúng thiết bị trong mạng nội bộ Nhờ đó, các gói tin đến từ trong mạng nội bộ đều được NAT xử lý để gửi ra ngoài phù hợp, giúp bảo vệ địa chỉ nội bộ và tối ưu hoá việc quản lý địa chỉ IP.
IP của máy trên Internet và địa chỉ IP nội bộ trong mạng cần được quản lý chính xác để đảm bảo liên lạc hiệu quả NAT (Network Address Translation) lưu lại trạng thái của các gói tin theo từng máy để thực hiện chuyển đổi địa chỉ phù hợp, giúp kết nối giữa mạng nội bộ và Internet Trạng thái này bao gồm các cổng nguồn cho các dịch vụ hướng kết nối như TCP và thông tin session cho các dịch vụ không hướng kết nối như UDP Khi gói tin gửi đến NAT, hệ thống sẽ tra bảng trạng thái đã lưu để xác định địa chỉ phù hợp cho máy nhận trong mạng, đặc biệt hữu ích cho các ISP cung cấp ít địa chỉ IP nhưng có nhiều thiết bị kết nối Việc sử dụng NAT còn mang lại lợi ích bảo mật, giúp các máy trong mạng trở nên ẩn danh với môi trường bên ngoài, vì địa chỉ IP nội bộ không hợp lệ trên Internet, làm giảm khả năng tấn công vào các máy chủ trong mạng nội bộ.
NAT giới hạn trong việc không truyền tải thông tin tầng trên của gói tin, do đó thực hiện thay đổi địa chỉ IP trong quá trình NAT gây ra trở ngại Điều này làm cho NAT không phù hợp với cơ chế xác thực (authentication) trong IPSec, đặc biệt khi thiết lập kết nối end-to-end, ảnh hưởng đến tính bảo mật và ổn định của các kết nối mạng.
IPSec sử dụng NAT chỉ giúp hạn chế các cuộc tấn công bên ngoài vào mạng nội bộ nhưng không đảm bảo tính mật (secret) hoặc xác thực (authentication), vì thông tin vẫn có thể bị nghe trộm Do đó, việc mã hoá dữ liệu là cần thiết để đảm bảo an toàn và bảo vệ thông tin truyền tải trong mạng.
IPSec được sử dụng để nâng cao tính toàn vẹn, xác thực và mã hóa dữ liệu trong các kết nối mạng Công nghệ này thiết lập kết nối End-to-End, tạo thành một đường hầm (tunnel) bảo mật giúp bảo vệ thông tin khỏi các mối đe dọa từ bên ngoài Nhờ đó, IPSec đảm bảo an toàn cho dữ liệu truyền tải qua các mạng không an toàn như Internet.
Giao thức IPSec bao gồm 2 phần: Authentication Header (AH) và Encapsulating Security Payload (ESP)
Authentication Header (AH) cung cấp cơ chế xác thực và tính toàn vẹn cho các gói tin IP truyền giữa hai hệ thống, đảm bảo dữ liệu không bị thay đổi trong quá trình truyền Điều này được thực hiện bằng cách áp dụng hàm băm một chiều để tạo ra mẫu thông điệp (message digest), giúp phát hiện bất kỳ sự thay đổi nào trên datagram Hàm băm này còn sử dụng khoá mật chung giữa hai hệ thống, đảm bảo tính xác thực của dữ liệu Nhờ đó, người nhận có thể xác minh nguồn gốc và tính toàn vẹn của gói tin một cách chính xác, nâng cao an ninh mạng hiệu quả.
Khi một mẫu thông điệp được dùng để xác thực thì AH đồng thời đạt được 2 mục đích:
Xác nhận tính hợp lệ của người gửi vì người gửi biết khoá mật được dùng để tạo mẫu thông điệp đã được tính toán
Cho biết dữ liệu không bị thay đổi trong quá trình truyền
AH có định dạng như sau:
The recipient utilizes the Security Parameters Index to verify the authentication protocol and authentication key Subsequently, they use the authentication key to perform MD5 hashing, ensuring secure and authenticated communication.
Xác thực MD5 được thực hiện trên tất cả các trường của gói tin IP mà không thay đổi trong quá trình truyền, đảm bảo tính toàn vẹn của dữ liệu Các trường thay đổi như hop counter hoặc IPv6 routing pointer được coi là có giá trị 0 để duy trì tính chính xác của quá trình xác thực Kết quả tính toán của người nhận sẽ được so sánh với giá trị trong trường Authentication Data; nếu không khmatch, gói tin sẽ bị huỷ bỏ để đảm bảo an toàn mạng.
1.4.2 Giải pháp an ninh mạng bằng hệ thống 1.4.2.1 Firewall
Firewall là thiết bị kết hợp phần cứng và phần mềm đóng vai trò bảo vệ an ninh mạng quan trọng Nó nằm giữa mạng của tổ chức, công ty hoặc quốc gia (mạng Intranet) và mạng Internet bên ngoài Chính nhờ Firewall mà các hệ thống mạng được bảo vệ khỏi truy cập trái phép và các mối đe dọa từ bên ngoài, đảm bảo tính bảo mật thông tin cho doanh nghiệp và tổ chức.
Hình 1.4.3 Format of Authentication Header mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet
Firewall là thiết bị bảo vệ quan trọng yêu cầu độ an toàn cao để đảm bảo an ninh mạng Khi triển khai trên hệ thống máy tính, firewall cần được xây dựng trên các máy chủ mạnh mẽ, có khả năng chịu lỗi cao để duy trì hoạt động liên tục Ngoài ra, hệ điều hành sử dụng trên thiết bị này phải là các phiên bản ổn định, an toàn nhằm giảm thiểu rủi ro về bảo mật và đảm bảo hiệu suất tối ưu.
Trong mạng nội bộ, tất cả thông tin đi vào và ra đều phải qua firewall, đảm bảo an ninh và kiểm soát truy cập Firewall hoạt động bằng cách loại bỏ các dữ liệu không hợp lệ dựa trên tập luật (rules) đã được thiết lập Việc thiết lập các luật này giúp firewall xác định liệu thông tin có phù hợp hay không để cho phép hoặc chặn lại Chúng ta sẽ đi sâu hơn vào cách firewall sử dụng tập luật để bảo vệ mạng trong các phần tiếp theo.
Firewall là một thiết bị quan trọng giúp ngăn chặn nhiều kiểu tấn công mạng, tăng cường bảo vệ hệ thống Tuy nhiên, firewall không đủ khả năng để ngăn chặn tất cả các hình thức tấn công phức tạp và ngày càng tinh vi Vì vậy, việc kết hợp nhiều biện pháp bảo mật là cần thiết để đảm bảo an toàn tối đa cho hệ thống mạng của bạn.
TỔNG QUAN VỀ HỌ GIAO THỨC TCP/IP
Tường lửa (firewall) là một hệ thống thiết kế để ngăn chặn sự xâm nhập trái phép từ bên ngoài vào mạng nội bộ, bảo vệ dữ liệu và hệ thống khỏi các mối đe dọa trên Internet Trong các hệ thống mạng, firewall hoạt động như một bức tường an ninh, kiểm soát và giới hạn truy cập dựa trên các quy tắc được thiết lập sẵn Tương tự như cách tường gạch ngăn cách các phần của một tòa nhà hoặc vách kim loại trong ô tô ngăn cách động cơ với hành khách, Internet firewall giúp bảo vệ mạng nội bộ khỏi các "ngọn lửa" hiểm họa từ Internet, đồng thời ngăn chặn nhân viên truy cập các thông tin độc hại Việc sử dụng firewall là bước quan trọng để đảm bảo an toàn dữ liệu và duy trì hoạt động an toàn của hệ thống mạng doanh nghiệp cũng như cá nhân.
Tường lửa bảo vệ hệ thống mạng khỏi các cuộc xâm nhập trái phép từ xa, ngăn chặn các truy cập không được phép đến nguồn thông tin Nó còn có khả năng từ chối các dịch vụ gây rối loạn hệ thống hoặc đưa thông tin độc hại vào mạng nội bộ Ngoài ra, tường lửa giúp chống lại các cuộc tấn công giả danh, đảm bảo an toàn và bảo mật cho dữ liệu trong doanh nghiệp.
Tường lửa là giải pháp an ninh mạng bao gồm cả phần cứng và phần mềm, đứng giữa mạng nội bộ của tổ chức, công ty hoặc quốc gia với mạng Internet bên ngoài, giúp kiểm soát và lọc lưu lượng truy cập Đặc biệt, tường lửa yêu cầu độ an toàn cao, được xây dựng trên hệ thống máy tính mạnh mẽ, có khả năng chịu lỗi thấp hoặc tích hợp cơ chế dự phòng để đảm bảo hoạt động liên tục.
3.2 Các thành phần của hệ thống Firewall
Firewall chuẩn bao gồm một hay nhiều thành phần sau đây:
Bộ lọc gói tin (packet-filtering router) Cổng ứng dụng (application-level gateway hay proxy server) Cổng mạch (circuit level gateway)
Bộ lọc gói tin có khả năng kiểm soát luồng thông tin trên mạng bằng cách phân tích các gói tin dựa trên địa chỉ nguồn và địa chỉ đích Nó cho phép hoặc chặn các gói tin dựa trên các quy tắc được xác định trong tập luật rõ ràng Bộ lọc này có thể được cài đặt trên các thiết bị mạng như router hoặc trên các máy chủ (host), giúp tăng cường bảo mật và quản lý lưu lượng mạng hiệu quả.
Trong giao thức TCP/IP, bộ lọc gói kiểm tra từng gói tin riêng biệt để phân tích các thông tin quan trọng như địa chỉ nguồn, đích, cổng nguồn, cổng đích và trạng thái kết nối Quá trình này giúp xác định xem các gói tin có phù hợp với tập luật đã đặt ra hay không, từ đó kiểm soát lưu lượng mạng một cách hiệu quả Bộ lọc gói đóng vai trò quan trọng trong việc đảm bảo an toàn mạng và tối ưu hóa hiệu suất truyền dữ liệu trong hệ thống mạng TCP/IP.
Một tập luật chủ yếu được thiết lập để kiểm soát header của gói tin IP, bao gồm các thành phần quan trọng như địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và dạng gói tin IP Các quy tắc này giúp xác định và kiểm soát lưu lượng mạng, từ đó đảm bảo an toàn và hiệu quả trong quá trình truyền dữ liệu Việc nắm bắt các luật này là cần thiết để xây dựng các chính sách bảo mật và tối ưu hóa hệ thống mạng, đồng thời giúp ngăn chặn các truy cập không hợp lệ hoặc gây hại từ các ứng dụng và tài khoản không đáng tin cậy.
FORWARD: tiến hành xử lý theo một tập luật nào đó
DROP: từ chối, không cho phép đi qua
Mô hình bộ lọc gói tin
ACCEPT: chấp nhận, cho phép gói tin đi qua
Ngoài ra còn có các định nghĩa luật khác phụ thuộc từng bộ lọc gói tin cụ thể
Bộ lọc gói tin đặc biệt hữu dụng trong việc phòng chống các cuộc tấn công từ bên ngoài và bên trong mạng, với ưu điểm chi phí thấp, xử lý nhanh và không làm giảm tốc độ truyền dữ liệu Nó cho phép kiểm soát chặt chẽ các cổng mạng, chỉ cho phép một số loại kết nối hoặc dịch vụ nhất định như Telnet, SMTP, FTP hoạt động trên hệ thống mạng cục bộ Tuy nhiên, nhược điểm lớn nhất của bộ lọc gói tin là không thể xử lý nội dung trong từng gói tin hay xác thực người dùng, vì chỉ dựa vào header của packet nên không kiểm soát được nội dung dữ liệu truyền tải.
Cổng ứng dụng (Application level gateway hay proxy server) là một loại tường lửa được thiết kế để nâng cao khả năng kiểm soát các dịch vụ và giao thức được phép truy cập vào hệ thống mạng Cơ chế hoạt động của cổng ứng dụng dựa trên dịch vụ ủy quyền (Proxy service), giúp đảm bảo an toàn và kiểm soát chặt chẽ hơn cho hệ thống mạng.
Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng
Việc người quản trị không cài đặt proxy code cho một ứng dụng sẽ khiến dịch vụ tương ứng bị ngăn chặn và không thể truyền dữ liệu qua tường lửa Proxy code có thể được cấu hình để hỗ trợ chỉ những tính năng phù hợp theo chính sách của mạng, từ chối các đặc điểm không đáp ứng tiêu chuẩn Điều này giúp kiểm soát chặt chẽ hơn về bảo mật và hiệu suất của hệ thống mạng.
Một cổng ứng dụng thường được coi như là một pháo đài bảo vệ (Bastion host), nhằm bảo vệ hệ thống khỏi các cuộc tấn công từ bên ngoài Các biện pháp đảm bảo an ninh của một bastion host bao gồm việc thiết lập một lớp phòng thủ vững chắc, kiểm soát truy cập chặt chẽ, cùng với việc cập nhật và vá lỗi định kỳ để giảm thiểu rủi ro xâm nhập trái phép Ngăn chặn các lỗ hổng bảo mật giúp tăng cường khả năng phòng thủ và đảm bảo an toàn dữ liệu cho hệ thống.
Bastion host luôn chạy các phiên bản an toàn (secure version) của hệ điều hành, được thiết kế đặc biệt để chống lại các cuộc tấn công mạng Các phiên bản này không chỉ giúp bảo vệ hệ thống khỏi các mối đe dọa mà còn tích hợp sẵn tường lửa để tăng cường khả năng phòng thủ Việc sử dụng các phiên bản an toàn của phần mềm hệ thống là bước quan trọng trong chiến lược bảo mật mạng, giúp đảm bảo an toàn tối đa cho hạ tầng công nghệ thông tin của doanh nghiệp.
Chỉ các dịch vụ cần thiết do quản trị mạng xác định mới được cài đặt trên bastion host, nhằm giảm thiểu khả năng bị tấn công Việc không cài đặt các dịch vụ không cần thiết giúp tăng cường bảo mật cho hệ thống Thông thường, chỉ một số dịch vụ hạn chế như Telnet, DNS, FTP, SMTP và xác thực người dùng được phép chạy trên bastion host để đảm bảo an toàn tối đa.
Mỗi proxy được cấu hình để chỉ cho phép truy cập từ một số máy chủ nhất định, đảm bảo kiểm soát truy cập chặt chẽ Bộ lệnh và thiết lập của từng proxy phù hợp và phù hợp với các máy chủ cụ thể trong toàn hệ thống, giúp nâng cao hiệu quả và an toàn cho mạng.
Mỗi proxy lưu trữ nhật ký ghi lại toàn bộ chi tiết của lưu lượng truy cập, bao gồm các kết nối và thời gian kết nối Nhật ký này cực kỳ hữu ích trong việc theo dõi dấu vết hoặc ngăn chặn các hoạt động phá hoại mạng Việc duy trì hồ sơ rõ ràng giúp nâng cao an ninh và theo dõi chính xác các tương tác qua proxy.
Sơ đồ hệ thống proxy server
Mỗi proxy hoạt động độc lập với các proxy khác trên bastion host, giúp việc cài đặt hoặc tháo gỡ proxy gặp sự cố trở nên dễ dàng hơn Ưu điểm nổi bật của hệ thống proxy này là cho phép quản trị mạng hoàn toàn kiểm soát từng dịch vụ trên mạng, vì ứng dụng proxy hạn chế các lệnh truy cập và xác định rõ các máy chủ có thể kết nối với dịch vụ.
TỔNG QUAN VỀ INTERNET FIREWALL
Khái niệm tường lửa
Firewall (tường lửa) là một giải pháp bảo mật giúp ngăn chặn truy cập trái phép và bảo vệ mạng nội bộ khỏi các mối đe dọa từ internet Trong lĩnh vực công nghệ, firewall được thiết kế nhằm kiểm soát luồng dữ liệu ra vào mạng, ngăn chặn các tấn công xâm nhập và giữ an toàn cho hệ thống Tương tự như tường gạch trong xây dựng hoặc vách kim loại trong ô tô, firewall hoạt động như một lớp chắn để bảo vệ hệ thống khỏi các “ngọn lửa” dữ liệu độc hại, đảm bảo an toàn cho người dùng và dữ liệu của bạn Việc triển khai firewall hiệu quả giúp giữ cho mạng nội bộ tránh khỏi các mối đe dọa từ internet, đồng thời kiểm soát truy cập của các thành viên trong mạng nội bộ.
Tường lửa là một hệ thống bảo mật quan trọng có khả năng ngăn chặn các cuộc xâm nhập từ xa trái phép vào mạng nội bộ, đảm bảo an toàn cho nguồn thông tin Nó giúp từ chối các dịch vụ cố tình đưa thông tin không hợp lệ hoặc gây rối loạn hệ thống qua mạng nội bộ Tường lửa còn kiểm soát các truy cập ra ngoài để bảo vệ dữ liệu và hoạt động của hệ thống khỏi các mối đe dọa từ bên ngoài Ngoài ra, tường lửa còn phòng chống các hành vi giả danh nhằm xâm nhập vào mạng, nâng cao khả năng bảo vệ toàn diện cho hệ thống mạng của tổ chức.
Tường lửa là giải pháp bảo mật gồm cả phần cứng và phần mềm, đặt giữa mạng nội bộ của tổ chức, công ty hoặc quốc gia và Internet để kiểm soát truy cập và bảo vệ dữ liệu Để đảm bảo an toàn cao, tường lửa cần được xây dựng trên hệ thống máy tính mạnh mẽ, có khả năng chống lỗi và hoạt động ổn định, giúp ngăn chặn các mối đe dọa từ bên ngoài Việc triển khai tường lửa nhằm duy trì an ninh mạng và bảo vệ các tài sản quan trọng trong môi trường số ngày càng trở nên cần thiết.
Các thành phần của hệ thống Firewall
Firewall chuẩn bao gồm một hay nhiều thành phần sau đây:
Bộ lọc gói tin (packet-filtering router) Cổng ứng dụng (application-level gateway hay proxy server) Cổng mạch (circuit level gateway)
Bộ lọc gói tin là công cụ có khả năng kiểm soát luồng dữ liệu mạng bằng cách phân tích các gói tin dựa trên địa chỉ nguồn và đích Nó sử dụng tập luật quy định rõ ràng các loại gói tin được phép đi qua hoặc bị chặn, giúp bảo vệ và tối ưu hóa an ninh mạng Bộ lọc gói tin có thể được cài đặt trên các thiết bị như router hoặc trên máy chủ để đảm bảo kiểm soát truy cập hiệu quả.
Trong hệ thống giao thức TCP/IP, bộ lọc gói kiểm tra từng gói tin riêng biệt để phân tích thông tin như địa chỉ nguồn, đích, cổng nguồn, cổng đích và trạng thái kết nối Quá trình này giúp xác định và kiểm soát lưu lượng dữ liệu dựa trên tập luật đã được thiết lập sẵn Nhờ đó, bộ lọc gói có khả năng nâng cao an ninh mạng và tối ưu hiệu suất truyền tải dữ liệu trong mạng máy tính.
Một tập luật quan trọng trong bảo mật mạng nhằm kiểm soát header của gói tin IP, bao gồm các yếu tố như địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích và dạng gói tin IP Các luật này giúp chặn hoặc cho phép những gói tin dựa trên các tiêu chí cụ thể, đảm bảo an toàn và kiểm soát lưu lượng mạng hiệu quả Việc áp dụng các quy tắc này tối ưu hóa bảo mật hệ thống mạng, ngăn chặn các truy cập trái phép và bảo vệ dữ liệu khỏi các mối đe dọa tiềm ẩn.
FORWARD: tiến hành xử lý theo một tập luật nào đó
DROP: từ chối, không cho phép đi qua
Mô hình bộ lọc gói tin
ACCEPT: chấp nhận, cho phép gói tin đi qua
Ngoài ra còn có các định nghĩa luật khác phụ thuộc từng bộ lọc gói tin cụ thể
Bộ lọc gói tin đặc biệt hữu ích trong việc chống lại các cuộc tấn công từ bên ngoài và bên trong mạng, đồng thời có ưu điểm chi phí thấp, xử lý nhanh, không gây trở ngại cho tốc độ mạng và đảm bảo sự trong suốt cho người dùng và ứng dụng Việc kiểm soát cổng giúp Firewall chỉ cho phép các kết nối và dịch vụ nhất định như Telnet, SMTP, FTP hoạt động trên hệ thống mạng cục bộ Tuy nhiên, nhược điểm lớn nhất của bộ lọc gói tin là không thể xử lý dữ liệu trong từng gói, không xác thực người dùng và chỉ làm việc với phần header của packet, do đó không kiểm soát được nội dung thông tin bên trong gói tin.
3.2.2 Cổng ứng dụng (Application level gateway hay proxy server) Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là dịch vụ uỷ quyền (Proxy service)
Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng
Nếu người quản trị không cài đặt proxy code cho ứng dụng, dịch vụ tương ứng sẽ không hoạt động và không thể truyền dữ liệu qua firewall, gây gián đoạn trong quá trình xử lý thông tin Ngoài ra, proxy code có thể được cấu hình để hỗ trợ chỉ những đặc điểm trong ứng dụng mà quản trị mạng chấp nhận, trong khi từ chối các đặc điểm không phù hợp, giúp nâng cao hiệu quả và kiểm soát an ninh mạng.
Một cổng ứng dụng thường được coi là một pháo đài bảo vệ (Bastion host) vì nó được thiết kế đặc biệt để ngăn chặn các cuộc tấn công từ bên ngoài Các biện pháp đảm bảo an ninh của một Bastion host bao gồm việc thiết lập các chính sách kiểm soát truy cập chặt chẽ, sử dụng các tường lửa mạnh mẽ để giới hạn các kết nối không hợp lệ, và thường xuyên cập nhật phần mềm để vá các lỗ hổng bảo mật Điều này giúp tăng cường khả năng phòng thủ, bảo vệ hệ thống khỏi các mối đe dọa mạng và đảm bảo an toàn dữ liệu quan trọng của doanh nghiệp.
Bastion host luôn chạy các phiên bản hệ điều hành an toàn (secure version), được thiết kế đặc biệt để phòng chống các cuộc tấn công vào hệ thống Các phiên bản này đảm bảo tính bảo mật cao, tích hợp sẵn tường lửa để ngăn chặn xâm nhập trái phép Việc sử dụng phiên bản hệ điều hành an toàn giúp tăng cường khả năng bảo vệ hệ thống, đảm bảo an toàn cho môi trường mạng.
Chỉ những dịch vụ cần thiết do quản trị mạng xác định mới được cài đặt trên bastion host để giảm nguy cơ bị tấn công Việc hạn chế cài đặt các dịch vụ như Telnet, DNS, FTP, SMTP và xác thực người dùng giúp tăng cường bảo mật cho hệ thống Nếu một dịch vụ không được cài đặt, nó sẽ không trở thành mục tiêu tấn công Do đó, chỉ giới hạn các ứng dụng thiết yếu để đảm bảo an toàn tối đa cho server.
Mỗi proxy được cấu hình để giới hạn truy cập chỉ cho một số máy chủ cụ thể, đảm bảo an toàn và kiểm soát hiệu quả Điều này có nghĩa là các lệnh và đặc điểm thiết lập của mỗi proxy chỉ phù hợp với các máy chủ trong hệ thống, giúp tối ưu hóa bảo mật và hiệu suất mạng.
Mỗi proxy đều duy trì một nhật ký ghi lại đầy đủ các chi tiết về lưu lượng truy cập qua nó, bao gồm từng kết nối và thời gian kết nối Nhật ký này đóng vai trò quan trọng trong việc theo dõi, truy dấu các hoạt động mạng và ngăn chặn các hành vi xâm phạm hoặc phá hoại Việc ghi nhật ký một cách chính xác giúp nâng cao khả năng phát hiện và xử lý các mối đe dọa mạng, đồng thời nâng cao bảo mật hệ thống.
Sơ đồ hệ thống proxy server
Mỗi proxy hoạt động độc lập với các proxy khác trên bastion host, giúp việc cài đặt hoặc tháo gỡ một proxy gặp sự cố trở nên đơn giản hơn Điều này mang lại lợi ích lớn cho việc quản lý hệ thống mạng, vì người quản trị mạng có thể dễ dàng kiểm soát từng dịch vụ trên mạng Ứng dụng proxy hạn chế các lệnh và xác định rõ ràng các máy chủ có thể truy cập, tăng cường bảo mật và tối ưu hóa khả năng điều khiển hệ thống.
Cho phép quản trị mạng kiểm soát toàn diện về các dịch vụ được phép truy cập, vì khi các proxy không còn hoạt động cho dịch vụ đó, nghĩa là dịch vụ sẽ bị khóa Điều này giúp nâng cao khả năng quản lý và bảo mật hệ thống mạng, hạn chế truy cập trái phép Việc kiểm soát này đảm bảo rằng chỉ những dịch vụ an toàn và cần thiết mới được phép hoạt động, góp phần bảo vệ dữ liệu và giảm thiểu rủi ro an ninh mạng.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống
Việc cấu hình và kiểm tra các luật lọc filtering cho cổng ứng dụng dễ dàng hơn so với bộ lọc gói tin
Người dùng cần thay đổi thao tác hoặc cập nhật phần mềm trên máy client để truy cập dịch vụ proxy, như Telnet qua cổng ứng dụng yêu cầu hai bước kết nối đến máy chủ Tuy nhiên, đã có các phần mềm client hỗ trợ kết nối trong suốt, cho phép người dùng chỉ định máy đích mà không cần phải thao tác qua cổng ứng dụng, giúp đơn giản hóa quá trình truy cập.
Firewall còn có hạn chế về khả năng thông minh so với con người, vì nó không thể đọc hiểu hay phân tích nội dung một cách chính xác để phân biệt giữa thông tin tốt xấu Chức năng chính của firewall là ngăn chặn các nguồn thông tin không mong muốn xâm nhập hệ thống, nhưng để hoạt động hiệu quả, nó cần xác định rõ các thông số địa chỉ mạng Do đó, firewall vẫn còn những giới hạn trong việc xử lý và phân tích nội dung một cách toàn diện, đòi hỏi sự hỗ trợ từ các giải pháp bảo mật nâng cao hơn.
Tiến trình cài đặt
Để cài đặt ISA, máy chủ cần có ít nhất hai card mạng: một card kết nối với mạng nội bộ (Internal) để đảm bảo liên lạc trong nội bộ công ty, và một card khác kết nối ra Internet (External) để phục vụ các kết nối ngoài mạng nội bộ.
Cho đĩa ISA server 2006 vào và chọn Install ISA server 2006
Trong quá trình cài đặt, bạn cần chọn kiểu cấu hình phù hợp Nếu muốn cài đặt theo chế độ mặc định, hãy chọn “Setup type” là “Typical” Tuy nhiên, nếu muốn tùy chỉnh cài đặt thủ công, bạn hãy chọn “Custom” Dưới đây, tôi sẽ lựa chọn “Custom” để tiến hành cài đặt theo ý muốn của mình.
Sau đó chúng ta nhấp Next
Tại cửa sổ Internal Network nhấp Add
Trong Select Network Adapter, chọn card mang nào trực tiếp nối vào LAN OK
Nhấp Next Install Finish Đây là giao diện của ISA server 2006 sau khi chúng ta cài thành công
PHÂN LOẠI VÀ CẤU HÌNH ISA SERVER CLIENTS
Phân loại
Có 3 loại ISA Server 2006 client:
A SecureNAT client is a computer configured with a default gateway setting that enables internet routing through an ISA Server 2006 firewall When the SecureNAT client is on a network directly connected to the ISA Server 2006 firewall, its default gateway is set to the IP address of the network card on the ISA Server associated with that network If the SecureNAT client is located on a remote network away from the ISA Server firewall, its default gateway should be configured to the IP address of the nearest router, which then routes the traffic from the client to the ISA Server firewall for internet access.
A Web Proxy client is a computer with a web browser (e.g., Internet Explorer) configured to use the ISA Server 2006 firewall as its Web Proxy server Web browsers can be manually set to use the ISA Server 2006 firewall's IP address as the Web Proxy server or automatically configured through ISA Server's Web Proxy autoconfiguration scripts These scripts offer high customization in controlling how Web Proxy clients connect to the Internet Additionally, the username is recorded in the Web Proxy logs when a computer is configured as a Web Proxy client, ensuring proper monitoring and accountability.
A Firewall client is a computer with Firewall client software installed which blocks all Winsock application requests, typically including all applications running on TCP and UDP This software redirects these requests directly to the Firewall service on ISA Server 2006 User login information is automatically recorded in the Firewall service log whenever the Firewall client connects to the internet through the ISA Server 2006 firewall.
Dươi đây là bảng so sánh các dạng ISA server 2006 Client Feature SecureNAT client Firewall client Web Proxy client
Cần phải cài ðặt Không, chỉ cần xác lập thông số default gateway
Yes Cần cài ðặt software
Không, chỉ cần cấu hình các thông số phù hợp tại trình duyệt Web- Web browser
Hỗ trợ Hệ ðiều hành nào
Bất cứ OS nào hỗ trợ TCP/IP
Chỉ Windows Bất kì OS nào có hỗ trợ các Web application
Hỗ trợ Protocol Nhờ có bộ lọc ứng dụng
-Application filters có thể hỗ trợ các ứng dụng chạy kết hợp nhiều protocols – multiconnectionprotocols
Hầu hết các ứng dụng trên Internet hiện nay
Có hỗ trợ xác thực ngýời dùng hay không Nhằm kiểm soát việc User truy cập ra ngoài có, nhýng chỉ dành cho VPN clients có có
Cấu hình
Tại máy CLIENT, right click My Network Places icon trên desktop và click Properties
Trong Network and Dial-up Connections, right click Local Area Connection và click Properties
Trong Local Area Connection Properties dialog box, click Internet Protocol (TCP/IP) , click Properties
Trong Internet Protocol (TCP/IP) Properties dialog box, chúng ta khai báo
IP, Subnet mask, DNS, quan trọng nhất là khai báo Default Gateway sao cho mọi thông tin hướng ra internet phải được định tuyến đến ISA server
Chúng ta cấu hình trên Internet Explorer
Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,click Properties
Trong Internet Properties dialog box, click Connections tab trên Connections tab, click LAN Settings button
Trong Local Area Network (LAN) Settings dialog box Tại Proxy server chúng ta điền IP của ISA server và port 8080
Vào thư mục Client trong đĩa ISA 2006 chạy file setup.exe
Chọn option I accept the terms in the licene agreement Next Next
Chọn option Connect ti this ISA server computer, nhập vào IP internal của máy ISA Next Install.
Triển khai ISA server 2006
Tạo Rule
Tạo Rule cho phép quản trị viên kiểm soát truy cập mạng bằng cách cho phép hoặc cấm bất kỳ máy nào trong mạng hoặc toàn bộ mạng Để thiết lập một Access Rule, người quản trị cần thực hiện các bước cụ thể để đảm bảo an toàn và quản lý dễ dàng Các bước này bao gồm xác định mục tiêu của Rule, cấu hình các điều kiện phù hợp và áp dụng chúng đúng cách vào hệ thống mạng Việc tạo Rule một cách chính xác giúp tăng cường bảo mật mạng và kiểm soát lưu lượng dữ liệu hiệu quả hơn.
Chạy chương trình ISA bằng các click chuột vào ISA server Management Right click vào Firewall Policy chọn New chọn Access Rule
Sau đó của sổ New Access Rule wizard hiện ra chúng ta gõ tên cho Rule chẳng hạn như Allow Internal to Internet vào ô Access Rule Name Next
Sau đó chúng ta chọn hành động cho rule là Allow ( cho phép) hay Deny ( cấm ) và click next
To set up rules for network access, select the appropriate protocol, such as DNS, HTTP, HTTPS, POP3, or SMTP, especially when allowing workstations to access the Internet and email services To create a new rule, click "Add" and then proceed by clicking "Next" to apply the selected protocols effectively.
Next, select "Source" for your rule by clicking "Add," then choose the desired source; in this case, I selected "Internal" and "Local Host." These sources refer to the devices or computers you want to allow or block, ensuring proper control over your network security.
Tiếp theo chúng ta sẽ chon Destination click Add chọn điểm đến
Chọn Next sau đó chúng ta chọn User cho rule
Sau đó chúng ta có thể xem lại các option chúng ta đã chọn và finish để kết thúc việc tạo rule
Cuối cùng chúng ta chọn Apply để thực thi Rule
Publish Web
Tại máy ISA Server bật chương trình ISA lên tiếp tục trong Firewall Policy tạo một Rule mới bằng cách chọn New Web Site Publishing Rule
Sau đó chúng ta đặt tên cho Rule ( vd như Publish wed )
Trong Rule Action chọn Allow Next
Chọn Publish a single Web site or load balancer trong Publishing Type Next
In this rule, we will publish the HTTP service first by selecting the option to use non-secured connections to connect to the published web server or server farm Proceed by clicking Next to continue with the configuration.
To connect to the Wed server, enter the internal site name, then select the “Use a computer name or IP address to connect to the published server” option Next, input the IP address of the Wed server into the designated field and click "Next" to proceed with the connection.
Trong Internal Publishing Details bạn chừa trống ô Path Next
Trong tab Accept requests for chúng ta chon Any domain name Next
Trong cửa sổ Select Web Listener chưa tồn tại các Web Listener nào cả vì vậy ta phải tạo các Listener mới cho nó Nhấp New
Sau đó chúng ta đặt tên cho Web Listener Next
Tiếp tục chọn tùy chọn là Do not require SSL secured connections with clients để chỉ Publish dịch vụ HTTP mà thôi Next
Chọn External trong Web Listener IP Address Next
Tại Authentications Settings chọn No Authentication Next
Chọn tùy chọn No delegation, and cliecnt cannot authenticate directly trong Authentication Delegation Next
Chọn All Users trong User Sets
Màn hình tạo Rule Publish Web sau khi hoàn tất
To enable clients to access the network via VPN, create a user account on the ISA server by right-clicking and selecting Properties Navigate to the Dial-in tab, choose the Allow access option, and confirm with OK Next, create a group and add the user to this group to ensure proper VPN access permissions.
Tại máy ISA Server bạn chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients
Click vào Configure Address Assignment Method
Tại Tab Address Assignment, bạn cần nhập một dãy IP để gán cho các máy VPN Client trong Static address pool Dải IP này phải đảm bảo không trùng với bất kỳ dải nào trong mạng để tránh xung đột địa chỉ Việc cấu hình chính xác giúp kiểm soát và quản lý IP một cách hiệu quả, đảm bảo kết nối VPN hoạt động ổn định.
Sau khi cài đặt ISA Server hoàn tất, tính năng VPN Clients không được bật mặc định Để kích hoạt tính năng này, bạn cần chọn "Enable VPN Client Access" trong bước cài đặt đầu tiên Việc bật VPN Clients giúp người dùng có thể truy cập mạng từ xa một cách dễ dàng và an toàn, đảm bảo tính năng VPN hoạt động hiệu quả sau khi cài đặt.
To enable VPN client access, select the "Enable VPN client access" option Ensure that the value in the "Maximum number of VPN clients allowed" field is less than the IP range assigned to the VPN clients This configuration helps optimize network security and ensures proper allocation of VPN connections.
Sang tab Group add Group chúng ta đã tạo trước đó
Tại tab protocols chọn giao thức bảo mật ở đây là PPTP
To allow VPN clients to access the internal network, navigate to the Firewall Policy section and create a new rule Name the rule appropriately to ensure clear identification and effective management of access permissions Properly configuring this rule enhances network security while enabling secure remote connectivity for VPN users.
Rule Action: Allow Protocol: All outbound traffic Trong Access Rule Sources bạn chọn một giao thức duy nhất đó là VPN Clients
Vì các máy Client từ bên ngoài truy cập vào bên trong Internal Network nên trong Access Rule Destinations ta chọn là Internal
Màn hình sau khi hoàn tất
Trước tiên để HCM và HANOI có thể truy cập được với nhau thông qua VPN chúng ta phải tạo User trên mỗi ISA Server
To create users on the ISA machines, set the username and password as HCM/123 for the Ho Chi Minh device and HANOI/123 for the Hanoi device Then, double-click on the respective user, select the Dial-in tab, and choose "Allow Access" in the Remote Access Permission settings Repeat these steps for both the HCM and HANOI users to enable remote access permissions.
Trên máy ISA server HCM chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites
Tiếp tục nhấp vào Create VPN Site-to-Site Connection
Sau đó nhập VPN User vừa được tạo ra trong mạng của mình ( HCM )
Chọn giao thức Point-to-Point Tunneling Protocol (PPTP) Next
Tại Local Network VPN Settings bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 11.0.0.1-
>11.0.0.100 ( dãy IP này không được trùng với bất kỳ dải IP nào trong mang )
Trong Remote Site Gateway bạn nhập IP Enternal của mạng HANOI Next
Nhập chính xác VPN User của mạng HANOI vào cửa sổ Remote Authentication Next
In the Network Addresses window, enter the entire IP address range of the HANOI network into the Address ranges field This means inputting the full IP range of HANOI's internal network to ensure proper configuration and network management.
Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule Next
Tùy theo bạn muốn các mạng truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access Rule bạn Add chúng vào Next
Màn hình sau khi hoàn tất
Vào Firewall Policy bạn sẽ thấy xuất hiện thêm một Access Rule mới
Vào Configuration/Netwoks chọn thẻ Netwok rules sẽ thấy rule HCM to Internal Netwok đã được tạo ra
Configure the ISA Server in Hanoi similarly to the setup in Ho Chi Minh City by creating a user and enabling "Allow Access" for Virtual Private Networks (VPN) Then, select the "Remote Sites" tab and click on "Create VPN Site-to-Site Connection" to establish a secure VPN connection between the sites.
Sau đó nhập VPN User vừa được tạo ra trong mạng của mình ( HANOI )
Chọn giao thức Point-to-Point Tunneling Protocol (PPTP) Next
Tại Local Network VPN Settings bạn nhập một dãy IP để gán cho các máy VPN Client trong Static address pool ở ví dụ này là dãy số 12.0.0.1-
>12.0.0.100 ( dãy IP này không được trùng với bất kỳ dải IP nào trong mang )
Trong Remote Site Gateway bạn nhập IP Enternal của mạng HCM Next
Nhập chính xác VPN User của mạng HCM vào cửa sổ Remote Authentication Next
Tiếp tục trong cửa sổ Network Addresses bạn nhập nguyên dãy IP của mạng HCM vào Address ranges Nghĩa là nhập nguyên cả dãy IP của Internal Network HCM
Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule Next
Tùy theo bạn muốn các mạng truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access Rule bạn Add chúng vào Next
Màn hình sau khi hoàn tất
Mặc định sau khi cài đặt hoàn tất ISA Server sẽ tắt Cache đi, để Enable Cache bạn chọn Cache trong mục Configuration
Tại ISA Server trong màn hình ở giữa chọn Tab Cache Drivers , ở cửa sổ bên phải chọn Tab Tasks chọn Define Cache Drives (Enable Caching)
Chọn ổ đĩa lưu Cache và dung lượng Cache nhấp set OK
Sau khi chọn "Save the changes" và khởi động lại các dịch vụ, quá trình cấu hình ISA Server Cache thụ động cho tất cả các trang web đã hoàn tất Điều này đồng nghĩa với việc các trang web có nội dung không được lưu trữ trong cache của ISA sẽ phải tải toàn bộ trang từ nguồn gốc, ảnh hưởng đến tốc độ truy cập và hiệu suất mạng.
Để ISA tự động cache các trang web vào thời điểm nhất định, bạn cần tạo một Job cho ISA để cập nhật chủ động các trang đó Việc này giúp tăng hiệu quả và đảm bảo dữ liệu luôn mới, phù hợp với các yêu cầu về caching tự động trên các trang web quan trọng Tạo Job cập nhật định kỳ cho ISA là bước cần thiết để duy trì hiệu suất và tối ưu hoá trải nghiệm người dùng.
Trở lại máy ISA Server chọn Tab Content Download Jobs trong Cache tiếp tục nhấp chọn Schedule a Content Download Job để Enable tính năng chủ động Cache lên
Nhập tên cho Schedule Next
Chọn Daily để thực hiện Cache mỗi ngày
Chỉ định giờ thực hiện Cache chủ động cho ISA trong Daily Frequency
Nhập địa chỉ trang Web mà bạn muốn Cache chủ động vào
Giữ nguyên giá trị mặc định trong màn hình Content Caching Next Finish
Sau khi hoàn tất ta start lên
Mặc định, ISA sẽ cache toàn bộ các trang web mà người dùng truy cập, giúp cải thiện tốc độ truy cập và giảm tải cho server Tuy nhiên, đối với những trang web có nội dung thường xuyên thay đổi, như các trang chứng khoán, việc cache tự động có thể gây ra những hạn chế và không khả thi Để khắc phục vấn đề này, bạn cần tạo ra các quy tắc loại trừ những trang web không muốn ISA cache, bắt đầu bằng việc tạo danh sách các trang web không cache bằng cách chọn Firewall Policy, sau đó truy cập tab Toolbox, nhấn chuột phải vào URL Sets và chọn New URL Set để cấu hình phù hợp.
Trong cửa sổ New URL Set Rule Element ta điền tên danh sách và add các trang wed không lưu cache vào trong danh sách OK
Tiếp theo trong màn hình ISA Server chọn Cache nhấp phải vào Cache chọn New -> Cache Rule Đặt tên cho Rule này là Deny Cache
Trong màn hình Cache Rule Destination ta Add vào danh sách mà ta vừa tạo lúc trước
Nhấn Next để tiếp tục Trong màn hình Content Retrieval ta chọn Option đầu tiên là Only if a valid version
Nhấn Next để tiếp tục Trong màn hình Cache Content chọn vào Never, no content will ever be cached Next
Mô hình ISA Firewall Edge là mô hình mạng có một ISA Server được kết nối trực tiếp với mạng nội bộ (Internal), giúp bảo vệ hệ thống khỏi các cuộc tấn công từ bên ngoài Tuy nhiên, nếu ISA Server bị tấn công và sập, các máy tính trong mạng Internal có thể bị ảnh hưởng và truy cập dễ dàng vào toàn bộ hệ thống Mặc dù mô hình này cung cấp một mức độ bảo mật nhất định, nhưng vẫn còn hạn chế trong khả năng phòng vệ toàn diện cho mạng nội bộ.
Trong mô hình mạng nội bộ, chúng ta chia thành hai nhóm chính Nhóm đầu tiên gồm các máy chủ như Mail Server, Web Server nhằm cho phép người dùng từ mạng bên ngoài truy cập dễ dàng và an toàn.
Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1 Tại máy ISA Server ta cần đến 3 Card Lan
Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Network ISA Server sẽ mở các Port Outbound tại Card này
Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Network ISA Server sẽ mở các Port Outbound/Inbound tại Card này
Card thứ 3 nối với các máy trong External Network ISA Server sẽ mở các Port Inbound tại Card này
