LAB 23: Publ sh Server với ISA Server 2004 Các mô hình Firewall Publish Server mang Private IP Publish Remote Desktop Publish Mail Server Publish Mail/Mail Online Server Su dun
Trang 1LAB 23: Publ sh Server với ISA Server 2004
Các mô hình Firewall
Publish Server mang Private IP
Publish Remote Desktop
Publish Mail Server
Publish Mail/Mail Online Server
Su dung NSLOOKUP de kiem tra Mail
Su dung chuc nang Publish Mail
Cau hinh OutLookExpress
Publish Server mang Public IP
Server Publishing
Sử dụng ISA Server 2004 làm Firewall, Publish (không nên dịch thành “xuất bản”) Web Site, FTP Site, Remote Desktop Với ISA Server, Admin có thể cho phép User từ Internet (mang Public IP) tương tác với các Server đặt trong công ty Các Server này có thể mang IP Private hoặc IP Public Trên thực tế, để tiết kiệm và tăng tính Secure, các Server này sẽ mang IP Private và sử dụng cơ chế NAT để Publish ra ngoài Internet qua Firewall ISA Server
Trong bài LAB này chúng ta sẽ thực hiện Publish Web Server, Remote Desktop Server nằm trong vùng Perimeter cho phép User bên ngoài Internet truy cập với sự bảo vệ của ISA Server 2004 Các Server trong vùng DMZ mang Public IP và mang Private IP, tùy theo nhu cầu cấu hình của từng hệ thống Khi sử dụng Publishing, thực ra cơ chế là NAT ngược từ ngoài vào trong và được sự bảo vệ của Firewall ISA Server sử dụng chức năng NAT của Routing and Remote Access trong Windows 2003 để NAT cho các Servers Chúng ta sử dụng NAT khi Publish các Server mang IP Private
ISA Server 2004 dành riêng một Wizard cho việc Publish Web Site vì phải hỗ trợ thêm những tính năng đặc biệt của Web Site như Bridging SSL và HTTPS…
Sử dụng Publishing Rule, Web Server phải mang Private IP, như vậy mới cần đến chức năng NAT Nếu Server mang Public IP, ta không cần sử dụng Publishing Rule, chỉ cần sử dụng chức năng Routing giữa External Interface và DMZ Interface là OK
Trang 2Publish Server với Private IP trong LAN - sử dụng cơ chế NAT
Nhưng với Server nằm trong vùng DMZ mang Public IP thì việc NAT không cần thiết, chỉ cần thực hiện Routing từ External Interface vào trực tiếp Server cần Publish là OK Lúc này ISA Server đóng vai trò là Router
Các mô hình Firewall trong ISA Server 2004
Trang 3ISA Server 2004 hỗ trợ các mô hình mạng rất đa dạng, nhưng cũng như các sản phẩm Firewall khác, ISA có các mô hinh chung:
Admin có thể tham khảo thêm trong Tab Templates của ISA Server Cho dù biến tấu thế nào, mô hình với Firewall có thẻ được chia làm 3 dạng Các Templates trong ISA cung cấp sẵn, nhưng Admin không nên sử dụng những Templates này vì chúng có một số vấn đề về Configuration Admin tự cấu hình để
có thể nắm chặt hơn quá trình thao tác
• Bastion Host Trong mô hình này, ISA Server đóng vào trò chính, bảo vệ cho toàn mạng, mô
hình này đơn giản nhất trong ba mô hình Trong ISA Server 2004, Bastion Host được gọi tên Edge Firewall (Firewall nằm ngoài ranh giới mạng)
Trang 4Phần LAN đối với ISA Server là bảng LAT – nhưng trong ISA Server 2004, LAT không còn sử dụng, ISA Server 2004 coi mạng LAN là Internet Network, các mạng còn lại, kể cả Internet được coi là External (non-trusted Network) và mặc định ISA Server cấm External Network truy cập vào Internal Network
• Three-homed Trách nhiệm của ISA Server ở mô hình này rất nặng, ngoài việc bảo vệ các
Client trong Interrnal Network, ISA còn phải làm nhiệm vụ Firewall cho các máy Server nằm trong vùng DMZ (De-militarized Zone – vùng phi quân sự)
DMZ Server mang Public IP (IP thật, có giá trị ngoài Internet, hoặc mang Private IP) ISA Server sẽ public các Server mang IP thật này bằng cách Routing – ISA đóng vai trò một Router, Admin phải cấu hình Routing Rule cho ISA để biết hướng Forward Packet cho đúng Network, hoặc Private IP trong vùng DMZ sẽ được Public bằng NAT
• Back to Back sử dụng đến 2 ISA Server làm nhiệm vụ bảo vệ LAN và bảo vệ Server cần
Publish ra Internet ISA Server bảo vệ mạng Server (gồm các Server chạy dịch vụ phục vụ cho Internet Clients) được xem là “tiền tuyến” (Front End Server), ISA Server bảo vệ LAN được xem
là “hậu phương” (Back End Server)
Trang 5Các Server trong vùng DMZ của mô hình Back to Back sử dụng Private IP (IP chỉ có giá trị trong mạng LAN) nên Front-end ISA sẽ publish bằng cách NAT
TIPS Mô hình Back to Back thực ra là 2 mô hình Bastion host kết hợp lại
TIPS ISA Server có thể Publish Server trong vùng DMZ bằng 2 cách là NAT và Routing NAT sử dụng với trường hợp Server mang Private IP sử dụng Publishing Rule của ISA Server, Routing sử dụng với Server mang Public IP sử dụng chức năng Routing và Access Rule của ISA Server
Cấu hình Web Server với Public IP trong vùng DMZ, thực hiện chức năng Routing của ISA Server
Với Public IP Server trong vùng DMZ, ISA Server 2004 đóng vai trò Router và Firewall Router Routing traffic giữa vùng External (Internet) với DMZ Segment, giữa DMZ Segment với Internal Network Các công việc cần làm với ISA Server 2004
• Network Definition tạo định nghĩa khoảng IP của vùng DMZ gồm các IP bao nhiêu
• Network Rule giữa vùng DMZ Segment Public IP với External Æ Routing, giữa DMZ Segment với
Internal Network Æ NAT
• Access Rule cho phép các loại traffic được phép đi từ External vào DMZ và từ Internal đựơc phép
truy cập DMZ Segment
Minh h ọa th ành c ông
Publish Remote Desktop trên ISA Server 2004
Remote Desktop sử dụng Protocol TCP Port 3389 Publish Remote Desktop qua ISA Server cho phép Admin có thể kết nối vào Server trong vùng DMZ (thường là mang Public IP) để quản lý từ xa
Publish trên ISA Server Trong trường hợp này, Server mang IP Private, Admin sẽ dùng Wizard Publishing Rule để thực hiện Click chọn Firewall Policy Æ Create new Server Publishing Rule
Trang 6Đặt tên cho Rule – để dễ quản lý, Admin nên đặt tên gợi nhớ, dễ quản lý và nhất là khi gặp sự cố tránh được trừơng hợp rối trí
Server cần Publish mang IP 192.168.1.100 (Private IP)
Trang 7Chọn Protocol RDP (Remote Desktop Protocol) với Direction là Inbound Ở đây, khi cần Publish một Server nào đó không có sẵn trong danh sách Protocol, Admin có thể chọn New để tạo Protocol mới
Listen on IP Address – ISA Server lắng nghe trên IP bao nhiêu Khi có Reqquest đến từ mạng External (hoặc
có thể chỉ định cụ thể một Computer nào đó thông qua IP Address), Request đó sẽ được NAT đến Server 192.168.1.100 nằm trong Internal hoặc DMZ mang Private IP
OK, quá trình Publish Remote Desktop kết thúc, tóm lại, những công việc ta cần làm
• Chọn Server mang IP Private trong LAN
• Xác định Protocol sử dụng
Publish Mail Server – Mail Online
Mail Server của bạn đặt tại Local và mang Private IP, không có giá trị ngoài Internet? Đây là giải pháp
có thể chấp nhận được cho các doanh nghiệp vừa và nhỏ là NAT cho Mail Server, sử dụng Mail Server
là một Mail Server Online
ISA Server có riêng chức năng Publish cho Mail Server, chỉ cần kết thúc Wizard là bạn có thể sử dụng Mail Online được rồi Nhưng chú ý, muốn các Mail Server khác trên Internet biết hệ thống của bạn có Mail Server, phải đăng ký tên Domain thật và cấu hình MX Record chỉ về IP thật của ISA Server
Trang 8• Cấu hình MX Record trên Public Domain Name thuê ngoài Internet chỉ định về External
Interface của ISA Server làm IP Mail Server Từ External Interface của ISA Server sẽ NAT vào
Mail Server trong LAN mang Private IP sử dụng tính năng Server Publishing của ISA Server
2004
QUESTION Tại sao trong mô hình DMZ có Server mang IP Private Admin lại phải NAT mà không thể
Routing?
Để cấu hình Mail Online, bạn phải nắm được cơ chế về việc gửi và nhận mail
Mail Server gửi phải trực tiếp nhìn thấy Mail Server nhận và 2 Mail Servers tương tác trực tiếp với nhau Mail Server gửi muốn tìm Mail Server nhận phải Query vào DNS mang Domain Name (Zone
Name) của Mail Server nhận để biết được IP của Mail Server nhận là bao nhiêu, căn cứ vào MX
Record
Sử dụng NSLOOKUP xem Mail Server của Domain
C:\Documents and Settings\Administrator>nslookup
viettel.vn MX preference = 10, mail exchanger = mail.viettel.vn
mail.viettel.vn internet address = 203.113.131.36
>
Mail Server của Domain Viettel.vn là mail.viettel.vn – 203.113.131.36
Cấu hình Publish Mail Server mang IP Private cho phép User từ Internet có thể truy cập trực tiếp làm Mail Online
Sử dụng chức năng Mail Publishing
Trang 9Cửa sổ Tasks bên phải giao diện ISA Server, Click chọn Publish a Mail Server
TIPS Trong ISA Server 2004 tất cả các thao tác đều làm theo Wizard, rất tiện lợi Admin quản lý ISA chỉ cần hiểu được nguyên tắc hoạt động là có thể làm tốt các công việc trên sản phẩm này
Trước khi cấu hình, xác định Mail Server mang IP bao nhiêu – 192.168.1.4
Trang 10• Rule Name – tên cần đặt cho Publishing Rule, nên đặt thế nào để dễ hiểu cho mình, và cho
Admin khác nếu có người tiếp quản hệ thống
Client Type – đây là phần quyết định trong việc cấu hình Publish Mail Server
• Web Client Access - sử dụng khi Client check mail thông qua trang web của Server Các sản
phẩm Mail Server đều có riêng cho mình một giao diện Web cho phép User check mail nhưng phải tương tác vào trực tiếp Server – trang web này được host trên Mail Server) Thực tế Admin phải Publish cả dạng Web và dạng POP3, SMTP vì nhu cầu check mail bằng Web là luôn có, tiện dụng
Trang 11TIPS Khi User đi công tác bên ngoài văn phòng và phải kết nối về văn phòng để check mail nhưng không muốn sử dụng Web Client để Check mail mà muốn dùng MS Outlook đẻ nhận Mail từ Mail Server công ty Riêng với OutLook, để Secure mail được gửi đi, MS cung cấp thêm tính năng RCP Over HTTP cho MS OutLook Cấu hình RPC over HTTP khá công phu, phải kết hợp với Certificate Authortitative để bảo mật
• Client Access RPC, IMAP, POP3, SMTP cho phép các User sử dụng Outlook Express, MS
OutLook,…check mail bằng các Protocol IMAP4, POP3, SMTP nhưng các Protocol này không Secure, có thể bị Sniffed (bắt gói tin) trong quá trình truyền trên mạng
• Server to Server Communication sử dụng khi nhiều Mail Server trao đổi thông tin cho nhau
(quá trình gửi mail giữa các Server) Admin phải cấu hình Option này để Mail Server ngoài internet có thể gửi mail vào Mail Server trong LAN
Cấu hình Publish Mail Online Server
Trong mạng LAN có Server Mail, công ty sử dụng IP thật và cố định nên Giám Đốc quyết định sử dụng Mail Server làm Mail Online, trực tiếp nhận mail từ Internet Mail Servers như yahoo, Hotmail và các đối tác khác Mail Online phải 24/24 thường trực và ở trạng thái Available sẵn sàng nhận mail Mail Server đặt trong mạng LAN, được bảo vệ bới ISA Server 2004 và Published thông qua Publishing Rule Æ Mail Server sử dụng Private IP
Trong phần Publishing Mail Server, chọn Server to Server Communication
Click Next tiếp tục
Trang 12Chọn chỉ Publish SMTP cho phép các Server Internet có thể gửi mail vào Server trong LAN
TIPS SMTP (Simple Mail Transfer Protocol) sử dụng để gửi mail, tương tác giữa các mail Server Nội dung bên trong SMTP Traffic là Plaintext Æ Non-secure – có thể dễ dàng bị hack bằng kiểu tấn công Sniffer hoặc Session hijacking
TIPS Đọc dòng chú thích của Wizard có thấy chức năng Message Screener – chuyên lọc Mail khi nhận
từ Mail Server khác Message Screener - một tính năng kèm theo bộ ISA Server 2004
Click Next tiếp tục
Trang 13Xác định IP của Mail Server cần Publish là bao nhiêu Theo mô hình, Athena cấu hình 192.168.1.4 là IP của Mail Server Mdaemon
Click Next tiếp tục
ISA Server yêu cầu Admin xác định Interface nào sẽ lắng nghe yêu cầu của Publishing Rule này User
từ Internet và Mail Server từ Internet tương tác vào Mail Server để gửi mail, nên ISA phải lắng nghe trên External Interface Admin chọn External
Kiểm tra lại cấu hình, Click Finish
Cơ chế Publish Server của ISA 2004 thực ra là Access Rule với Destination là một IP trong LAN, Protocol sử dụng là Inbound Connection Protocol (các Protocol tạo ra với Direction là Inbound)
Trang 14OK, Publish xong Server Mail, nhưng Admin có nhớ là đã xác định Publish bằng dạng NAT hay Routing không? Tất cả các trường hợp sử dụng Publishing Rule với IP của Server là Private đều sử dụng cơ chế NAT
QUESTION Tìm hiểu lại cơ chế của NAT và ROUTING – xem lại bài LAB số 19 trong cuốn MCSA LAB 70-270, 70-290, 70-291
TIPS NAT có sự thay đổi về Source IP Address trong gói tin gửi đi Routing không có sự thay đổi này, chỉ đơn giản là Router Forward gói tin đi
Admin phải Properties Access Rule vừa tạo, chọn kiểu Forward gói tin
Trang 15Trong cửa sổ này có 2 Options rất quan trọng là Request appear to come from the ISA Server
computer và Request appear to come from the original client
• NAT – có sự thay đổi IP ở Source Address trong gói tin gửi đến Server Địa chỉ IP được thay
đổi trong gói tin này thành địa chỉ của ISA Server (cụ thể là Internal IP Address)
• Routing – không có sự thay đổi IP Address trong gói tin gửi đến Server, IP vẫn mang IP của
Client khi truy cập
Nếu chọn Option dưới – IP come from original Client – Admin có thể sử dụng tính năng này để Log lại các Session từ Internet truy cập vào Server Nếu chọn Come from ISA Server - đứng từ Server,
Admin chỉ có thể thấy được Request xuất phát từ máy ISA nên không thể thực hiện Logging ngay trên Server được, vì không biết Request đó đến từ đâu
Kiểm tra Mail Server bằng cách cấu hình OutLook Express trên Internet Client check mail từ Mail Daemon Server trong Local
Cấu hình OutLook Express để gửi và nhận mail
Out Look Express là ứng dụng miễn phí kèm theo Windows Khác với Microsoft OutLook, OutLook Express chức năng không nhiều bằng, chỉ gửi và nhận email Thực hiện khai báo Mail Account cho OE gửi và nhận mail
Click Add để khai báo thêm một Account email có sẵn cho Outlook Express
Trang 16• Display Name – tên có thể điền bất kỳ Thông tin trong Display Name sẽ hiển thi khi User gửi Email
(Sender)
Khai báo địa chỉ Email của User - nếu không biết email, liên hệ với Admin hệ thống xem lại trên Mail Server
đã tạo Account hay chưa
Trang 17Chọn kiểu Mail Server sẽ dùng, khai báo địa chỉ Mail Server
• Incoming mail – Server sử dụng nhận mail – POP3 Server
• Outgoing mail – Server gửi email (SMTP Server)
Click Next tiếp tục
Trang 18Không nên check Remember Password – vì password có thể Crack offline ngay trong máy Có rất nhiều
chương trình có khả năng này, thời gian crack password cũng không quá lâu
Sau khi Click Next và Finish, Outlook Express có thêm một account email mới
Trang 19Nhấn Close để đóng cửa sổ này
Kết thúc quá trình khai báo Email account cho Outlook Express Tiếp đến là gửi và nhận email, sử dụng OutLook Express
TIPS imail.athenavn.com và omail.athenavn.com là tên miền đăng ký thật ngoài Internet Muốn đăng ký được tên miền này, Athena phải đóng 15$/năm để có thể cấu hình DNS bằng Web Console của nhà cung cấp Người sử dụng muốn coi thông tin về tên miền được mua của ai, có thể vào trang web www.arin.net
Publish các Server sử dụng Public IP
Với Server sử dụng Public IP trong vùng DMZ, Admin có thể sử dụng Publishing Rule có sẵn dành cho
Web hoặc Mail Server để Publish nhưng chú ý sử dụng Public IP trong phần khai báo Server
Mô hình ISA trong trừơng hợp này phải sử dụng Three-Homed – ISA Server mang 3 Interface: Interface
Internal kết nối với mạng LAN, External kết nối với Router ra Internet và DMZ Interface kết nối với Server trong vùng DMZ
TIPS DMZ thực chất cũng là External Network đối với ISA, nhưng từ Internet muốn vào được vùng DMZ phải qua sự kiểm soát của ISA Server, nên ISA Server bảo vệ được DMZ Với ISA Server, vùng DMZ cũng thuộc dạng Non-trusted Network
Với ISA, mỗi lần gắn thêm một NIC Card (một NIC Card trong ISA Server sẽ kết nối tới một Network), Admin phải cấu hình quy định cho ISA biết NIC Card đó kết nối với loại mạng gì Các kiểu mạng trong ISA Server gồm Internal Network, Perimeter Network, VPN Site to Site Network và External Network
