Xây Dựng Hệ Thống Tường Lửa Cho Doanh Nghiệp Với Microsoft ISA Server

Xây Dựng Hệ Thống Tường Lửa Cho Doanh Nghiệp Với Microsoft ISA Server Thế giới trong những thập niên vừa qua, nhất là từ khi thực hiện cuộc cách mạng khoa học – kỹthuật vào thập niên 80 đã có những bước phát triển thần kỳ và thật sự mạnh mẽ với hàng loạt thành tựu về kinh tế, khoa học – kỹ thuật, chính trị, xã hội, an ninh,… Nguyên nhân chính cho sựphát triển đó là sự xuất hiện của Internet. Sự xuất hiện của Internet đã thúc đẩy thế giới tiến nhanh về phía trước và đưa cả thế giới bước sang một kỷ nguyên mới, kỷ nguyên bùng nổ thông tin.

Trang 1

ĐỒ ÁN TỐT NGHIỆP:

XÂY DỰNG HỆ THỐNG TƯỜNG LỬA CHO

DOANH NGHIỆP VỚI MICROSOFT ISA SERVER

TP.Hồ Chí Minh, Ngày 12 Tháng 06 Năm 2011

GVHD: Thầy Dương Minh Trung

SVTH: - Trần Thế Cường

- Phan Đình Đảm

- Phạm Gia Nguyên Huy

Chuyên Ngành: Quản Trị Mạng Máy Tính Lớp: 01CCHT02

Niên Khóa: 2008 – 2011

Xin chân thành cảm ơn đến Thầy Trần Văn Tài, Thầy Nguyễn Siêu Đẳng – Giảng viên Trường CĐ Nghề CNTT iSpace đã củng cố kiến thức cho nhóm Chúng em thực hiện đề tài hoàn chỉnh

Xin chân thành cảm ơn đến Anh Nguyễn Văn Vinh, Anh Lưu Tuấn Phát – Bộ phận IT - Công ty Cổ phần Chứng khoán Việt Quốc Security đã trang bị cho nhóm Chúng em về kiến thức áp dụng trong thực tế

Mặc dù đã cố gắng rất nhiều, tuy nhiên nội dung của Đồ án này có thể còn nhiều thiếu sót Nhóm Chúng em xin chân thành cảm ơn ý kiến đóng góp của các bạn đọc cũng như nhận xét của Giảng Viên

để nội dung của Đồ án ngày càng hoàn thiện hơn

Cuối cùng, xin chúc tất cả mọi người sức khỏe và trân trọng cảm ơn!

Trường CĐ Nghề CNTT iSpace – Khoa CNTT

Sinh Viên Thực Hiện Đề Tài:

Trần Thế Cường Phan Đình Đảm Phạm Gia Nguyên Huy

Trang 3

NHẬN XÉT, KẾT LUẬN CỦA GIẢNG VIÊN HƯỚNG DẪN

1 NHẬN XÉT:

2 KẾT LUẬN:

Giảng Viên Hướng Dẫn:

MỤC LỤC

A- MỞ ĐẦU 7

I- Lời Nói Đầu: 7

II- Lý Do Chọn Đề Tài 7

III- Mục Tiêu 7

IV- Tổng Quan Microsoft ISA Server 8

1 Giới Thiệu 8

2 Cơ Chế Client Tham Gia Vào ISA Server 9

3 Một Số Tính Năng Của ISA Server 10

4 Cách Thức Làm Việc Của ISA Server 11

5 Cơ Chế Hoạt Động Của ISA Server 13

6 Chính Sách Bảo Mật Trong ISA Server 14

7 Các Mô Hình Triển Khai ISA Server 15

8 ISA Server Bảo Mật Truy Cập Internet 18

B- NỘI DUNG 19

I- Mô Tả Thông Tin 19

II- Yêu Cầu Đề Tài 19

III- Phân Tích Đề Tài 20

IV- THIẾT KẾ 22

1 Sơ Đồ Luận Lý Tổng Quát 22

2 Sơ Đồ Luận Lý Chi Tiết 23

C- TRIỂN KHAI 24

I- Hoạch Định Địa Chỉ IP, Computer Name 24

1 Trụ Sở Chính – Quận 1 24

Trang 5

6 Triển Khai Wildcard Certificate 39

7 Triển Khai FTP Server 57

8 Triển Khai File Server 60

III Xây Dựng Hệ Thống Tường Lửa ISA Server 68

1 Triển Khai Network Loab Balancing 68

2 Access Rule 74

3 Publishing Server Ra Internet 89

4 Triển khai VPN ISA 101

5 Triển Khai Phát Hiện Xâm Nhập Với IDS 114

6 Triển khai Antivirus và Antisyware 119

7 Giám sát hoạt động hệ thống mạng 122

D- HƯỚNG MỞ RỘNG 133

I Đánh Giá Đề Tài 133

II Định Hướng Hệ Thống Trong Tương Lai 133

TÀI LIỆU THAM KHẢO

[1] Tô Thanh Hải, Phương Lan – Triển khai Firewall với Microsoft ISA Server 2006 (Quý III/ 2010), Nhà xuất bản Lao động Xã hội

[2] Giáo trình Triển khai An toàn mạng – Khoa CNTT – Trường CĐ Nghề CNTT iSpace

[3] Diễn đàn Nhất nghệ: http://nhatnghe.com/forum/

[4] MS Open Lab: http://msopenlab.com/

[5] Diễn đàn Kỹ thuật viên: http://www.kythuatvien.com/forum/

[6] Diễn đàn CNTT: http://diendancntt.vn/

Trang 7

A- MỞ ĐẦU

I- Lời Nói Đầu:

- Thế giới trong những thập niên vừa qua, nhất là từ khi thực hiện cuộc cách mạng khoa học – kỹ thuật vào thập niên 80 đã có những bước phát triển thần kỳ và thật sự mạnh mẽ với hàng loạt thành tựu về kinh tế, khoa học – kỹ thuật, chính trị, xã hội, an ninh,… Nguyên nhân chính cho sự phát triển đó là sự xuất hiện của Internet Sự xuất hiện của Internet đã thúc đẩy thế giới tiến nhanh về phía trước và đưa cả thế giới bước sang một kỷ nguyên mới, kỷ nguyên bùng nổ thông

tin

- Như chúng ta đã biết, bất cứ vật thể nào cũng tồn tại hai mặt tích cực và tiêu cực Chúng ta không thể nào phủ nhận những mặt tích cực mà Internet mang lại, vấn nạn lừa đảo phát triển ngày càng mạnh mẽ và Internet là một công cụ hữu hiệu cho những kẻ tấn công vào các hệ thống mạng với mục đích tư lợi hay chứng tỏ bản thân mình Chính vì vậy, trong thời đại “phẳng” như ngày nay, vai trò bảo mật hệ thống mạng là vô cùng quan trọng

II- Lý Do Chọn Đề Tài

- Nhóm chúng tôi đã quyết định chọn đề tài: “Xây dựng hệ thống tường lửa cho Doanh nghiệp với Microsoft ISA Server” vì đề tài rất thực tế, giúp chúng tôi có thêm kinh nghiệm và ứng dụng thực tiễn sau khi ra trường

III- Mục Tiêu

- Ứng dụng Tường lửa ISA Server quản lý hệ thống Mạng Doang nghiệp với mục tiêu:

1 Đảm bảo hệ thống tường lửa hoạt động ổn định

2 Bảo mật và An toàn hệ thống mạng

3 Giám sát và quản lý hệ thống mạng hiệu quả

IV- Tổng Quan Microsoft ISA Server

1 Giới Thiệu

- Microsoft Internet Security and Acceleration (ISA) là phần mềm Share Internet của tập đoàn

Microsoft

- Đây là một phần mềm thiết lập như một tường lửa (Firewall) và cho phép mạng nội bộ truy cập

Internet linh hoạt nhờ chế độ Cache thông minh

- ISA Server 2006 có hai phiên bản Standard và Enterprise, phục vụ cho những môi trường khác nhau

ISA Server 2006 Standard:

- ISA Server 2006 đáp ứng nhu cầu bảo vệ và chia sẻ băng thông cho các công ty có quy mô trung bình Với phiên bản này chúng ta có thể xây dựng firewall để:

- Kiểm soát các luồng dữ liệu vào và ra hệ thống mạng nội bộ của công ty

- Kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp, thời gian không thích hợp (ví dụ như giờ làm việc)

- Bên cạnh đó chúng ta còn có thể triển khai hệ thống VPN site to site hay remote access hỗ trợ việc truy cập từ xa vào hệ thống mạng nội bộ của công ty, hoặc trao đổi dữ liệu giữa văn phòng và hội

sở

- Đối với các công ty có những hệ thống máy chủ public như Mail Server, Web Server, FTP Server cần có những chính sách bảo mật riêng thì ISA Server 2006 cho phép triển khai vùng DMZ nhằm ngăn ngừ sự tương tác trực tiếp giữa người dùng bên trong và bên ngoài hệ thống

- Ngoài các tính năng bảo mật thông tin trên, ISA Server 2006 bản standard còn có chức năng tạo cache cho phép rút ngắn thời gian, tăng tốc độ kết nối internet của mạng nội bộ

- Chính vì lý do đó mà sản phẩm firewall này có tên gọi là Internet Security & Aceleration (bảo mật

và tăng tốc Internet)

ISA Server 2006 Enterprise:

- ISA Server 2006 Enterprise được sử dụng trong các mô hình mạng lớn, đáp ứng nhiều yêu cầu truy

Trang 9

 Lập Firewall Server, kiểm soát, khống chế các luồng dữ liệu truy cập từ ngoài vào mạng nội

bộ hoặc ngược lại

 Tăng tốc truy cập Web bằng giải pháp Cache trên Server

 Hổ trợ thiết lập hệ thống VPN (mạng riêng ảo) với ISA Server làm VPN Server

 ISA Server 2006 Enterprise còn có thêm tính năng “Load Balancing” hổ trợ giải pháp cân bằng tải giữa hai hay nhiều đường truyền internet

2 Cơ Chế Client Tham Gia Vào ISA Server

- Client có thể tham gia vào ISA Server với các cơ chế sau đây:

 SecureNAT:

- SecureNAT Clients có thể là một thiết bị, có thể là một Host Windows 2000, XP, hoặc một máy tính đang sử dụng Linux Clients sử dụng SecureNAT không thể tận dụng hết được tính năng của ISA Server

- Để sử dụng SecureNAT, các máy Clients chỉ cần cấu hình Default Gateway trỏ về địa chỉ IP của ISA Server

Cấu hình TCP/IP sử dụng ISA Server làm Gateway là chấp nhận làm SecureNAT Clients của ISA Server

- Hoặc sử dụng DHCP Server để cấu hình Default Gateway cho Clients trỏ về địa chỉ ISA Server

Sử dụng DHCP Server cấu hình Gateway cho các máy Clients trong LAN.

- Cơ chế SecureNAT không thể kiểm soát và chứng thực User, password, trang web, trong hệ thống mạng

 Web Proxy Clients:

- ISA Server hoạt động vơi tính năng Proxy rất tốt Proxy Server cung cấp cho Clients tính năng Cache cho Web Web Caching trên ISA Server sử dụng rất tốt ISA Server Cache nội dung Web trên RAM nên tốc độ cải thiện đáng kể Tất cả các Web Browser hỗ trợ được tính năng Proxy là có thể

sử dụng ISA Server làm Proxy Server Các Browser như IE, Firefox, Avant Browser có thể dùng ISA Server 2006 làm Proxy Server Các Proxy Clients không cần sử dụng Default Gateway cũng có thể truy cập HTTP và FTP bình thường

- Tính năng Proxy trên ISA Server nếu sử dụng Web Proxy Clients chỉ hỗ trợ cho HTTP và FTP Web Proxy Settings có thể cấu hình bằng Policy từ Domain hoặc cấu hình bằng tay

4 Cách Thức Làm Việc Của ISA Server

- ISA Server được thiết kể để bảo vệ vành đai của mạng tổ chức Trong hầu hết trường hợp, vành

đai này là giữa mạng cục bộ (LAN) của tổ chức và mạng dùng chung (như Internet) Hình 1 cho

chúng ta một ví dụ đơn giản về việc triển khai một ISA Server

Hình 1: Mô hình ISA đơn giản

- Mạng bên trong (Interal network) hay gọi là mạng được bảo vệ thường được đặt trong tổ chức và

có sự giám sát của nhân viên IT trong tổ chức Internal network coi như đã được bảo mật một cách tương đối, tức là thông thường những User đã được chứng thực mới có quyền truy cập vật lý đến Interal network Ngoài ra, Nhân viên IT có thể quyết định những loại traffic nào được cho phép trên Internal Network

- Thậm chí cho dù Interal network an toàn hơn Internet, thì bạn cũng không nên có ý ngh sai lầm rằng, bạn chỉ cần bảo vệ vành đai mạng Để bảo vệ mạng của bạn một cách đầy đủ, bạn phải vạch

ra kế hoạch bảo vệ theo chiều sâu, nó bao gồm nhiều bước để đảm bảo cho mạng của bạn được

an toàn, thậm chí trong trường hợp vành đai bị “thủng” Nhiều cuộc tấn công mạng gần đây như Virus và Worm đã tàn phá những mạng có vành đai an toàn ISA Server là thiết yếu trong việc bảo

vệ vành đai mạng, nhưng bạn đừng ngh , sau khi triển khai ISA Server thì việc của bạn đã xong

- Một tổ chức không có sự giám sát xem ai truy cập Internet hoặc bảo mật các traffic của mạng trên Internet Thì bất kỳ một người nào trên thế giới với một kết nối Internet đều có thể xác định và truy cập vào các kết nối Internet khác sử dụng hầu như bất kỳ giao thức và ứng dụng gì Ngoài ra, những gói tin trên mạng (Network packet) gửi qua Internet không được an toàn, bởi vì chúng có thể bị bắt lấy và xem trộm bởi bất kỳ ai đang chạy Packet Sniffer trên một phân đoạn mạng Internet Packet Sniffer là một ứng dụng mà bạn có thể sử dụng để bắt lấy và xem tất cả các traffic trên một mạng, điều kiện để bắt được traffic mạng là Packet Sniffer phải kết nối được đến phân đoạn mạng giữa hai Router

- Internet là một phát minh khó tin và đầy quyến rũ Bạn có thể tìm kiếm trên mạng này nhiều thông tin hữu ích Bạn có thể gặp gỡ những người khác, chia sẽ với họ sở thích của bạn và giao tiếp với

họ Nhưng đồng thời Internet cũng là một nơi nguy hiểm, rất đơn giản, bởi lẽ ai cũng truy cập được Ví dụ, Internet không thể biết được ai là một người dùng bình thường vô hại, ai là tội phạm mạng – những kẻ phá hoại, cả hai đều có quyền truy cập Internet Điều đó có ngh a là, không sớm thì muộn, khi tổ chức của bạn tạo một kết nối đến Internet thì kết nối đó sẽ được phơi bài ra cho bất kỳ ai kết nối Internet Đó có thể là một người dùng hợp pháp tìm kiếm thông tin trên Website của tổ chức, đó cũng có thể là kẻ xấu cố gắng „deface‟ toàn bộ dữ liệu trên Website hoặc đánh cấp

dữ liệu khách hàng từ tổ chức của bạn Vì đó là bản chất hết sức tự nhiên của Internet, việc bảo mật cho nó là hầu như không thể Nên tốt nhất, bước đầu tiên trong việc bảo vệ kết nối Internet của bạn là xem tất cả „user‟ kết nối đến bạn đều là “kẻ xấu” cho tới khi “thân phận” của họ được chứng minh

H nh đã cho thấy một ví dụ đơn giản của một cấu hình mạng mà ở đó, ranh giới giữa Internal

network và Internet được định ngh a một cách dễ dàng Trong thực tế, việc định ngh a ranh giới

giữa Interal network của tổ chức với phần còn lại của thế giới là không hề đơn giản H nh cho

thấy một sự phức tạp hơn, nhưng thực tế hơn

 Cho phép truy cập VPN giữa những vùng địa lý khác nhau, nhờ đó User ở chi nhánh văn phòng

có thể truy cập đến tài nguyên trong Interal network

 Cho phép nhân viên ở xa truy cập Internal Mail Server, và cho phép Client truy cập VPN đến Internal File Server

- p đặc chính sách truy cập Internet của tổ chức hòng giới hạn những giao thức được dùng tới

„user‟, và lọc từng „request‟ để chắc chắn họ chỉ đang truy cập đến các tài nguyên Internet cho

phép

5 Cơ Chế Hoạt Động Của ISA Server

- ISA Server hoạt động như một Tường lửa (Firewall)

- Firewall là một thiết bị được đặt giữa một phân đoạn mạng với một phân đoạn mạng khác trong một mạng Firewall được cấu hình với những „rule‟ lọc „traffic‟, trong đó định ngh a những loại

„network traffic‟ sẽ được phép đi qua Firewall có thể được bố trí và cấu hình để bảo vệ mạng của

tổ chức, hoặc được bố trí bên trong để bảo vệ một vùng đặc biệt trong mạng

- Trong hầu hết trường hợp, firewall được triển khai ở vành đai mạng Chức năng chính của firewall trong trường hợp này là đảm bảo không có „traffic‟ nào từ Internet có thể tới được „internal network‟ của tổ chức trừ khi nó được cho phép Ví dụ, trong tổ chức bạn có một „internal Web Server‟ cần cho „internet user‟ có thể tới được Firewall có thể được cấu hình để cho phép các

„traffic‟ từ Internet chỉ được truy cập đến Web Server đó

- Về mặc chức năng ISA Server chính là một firewall Bởi mặc định, khi triển khai ISA Server, nó sẽ khóa tất cả „traffic‟ giữa các mạng mà nó làm Server, bao gồm „internal network‟, vùng DMZ và Internet ISA Server 2006 dùng 3 loại quy tắc lọc („filtering rule‟) để ngăn chặn hoặc cho phép

„network traffic‟, đó là: packet filtering, stateful filtering và application-layer filtering

 Packet Filtering – Lọc gói tin

- Packet filtering làm việc bằng cách kiểm tra thông tin „header‟ của từng „network packet‟ đi tới firewall Khi „packet‟ đi tới giao tiếp mạng của ISA Server, ISA Server mở „header‟ của „packet‟ và kiểm tra thông tin (địa chỉ nguồn và đích, „port‟ nguồn và đích) ISA Server so sánh thông tin này dựa vào các „rule‟ của firewall, đã định ngh a „packet‟ nào được cho phép Nếu địa chỉ nguồn và đích được cho phép, và nếu „port‟ nguồn và đích được cho phép, „packet‟ được đi qua firewall để đến đích Nếu địa chỉ và „port‟ không chính xác là những gì được cho phép, „packet‟ sẽ bị đánh rớt

và không được đi qua firewall

 Stateful Filtering – Lọc trạng thái

- Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với „network packet‟ để dẫn đến quyết định có cho qua hay là không Khi ISA Sever dùng một sự xem xét kỹ trạng thái, nó kiểm tra các

„header‟ của Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng thái của một „packet‟ bên trong nội dung của những „packet‟ trước đó đã đi qua ISA Server, hoặc bên trong nội dung của một phiên („session‟) TCP

- Ví dụ: một „user‟ trong „internal network‟ có thể gửi một „request‟ đến một Web Server ngoài Internet Web Server đáp lại „request‟ đó Khi „packet‟ trả về đi tới firewall, firewall kiểm duyệt

thông tin „TCP session‟ (là một phần của „packet‟) Firewall sẽ xác định rằng „packet‟ thuộc về một

„session‟ đang hoạt động mà đã được khởi tạo bởi một „user‟ trong „internal network‟, vì thế „packet‟ được chuyển đến máy tính của „user‟ đó Nếu một „user‟ bên ngoài mạng cố gắng kết nói đến một máy tính bên trong mạng tổ chức, mà firewall xác định rằng „packet‟ đó không thuộc về một

„session‟ hiện hành đang hoạt động thì „packet‟ sẽ đị đánh rớt

 Application-Layer Filtering – Lọc lớp ứng dụng

- ISA Server cũng dùng bộ lọc „application-layer‟ để ra quyết định một „packet‟ có được cho phép hay

là không „Application-layer filtering‟ kiểm tra nội dung thực tế của „packet‟ để quyết định liêu

„packet‟ có thể được đi qua firewall hay không „Application filter‟ sẽ mở toàn bộ „packet‟ và kiểm tra

dữ liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua

- Ví dụ: một „user‟ trên Internet có thể yêu cầu một trang từ „internal Web Server‟ bằng cách dùng lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol) Khi „packet‟ đi tới firewall,

„application filter‟ xem xét kỹ „packet‟ và phát hiện lệnh “GET” „Application filter‟ kiểm tra chính sách của nó để quyết định

- Nếu một „user‟ gửi một „packet‟ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thông tin lên Web Server, ISA Server một lần nữa kiểm tra „packet‟ ISA Server nhận thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết định rằng lệnh này không được phép và „packet‟ bị đánh rớt

- „HTTP application filter‟ được cung cấp cùng với ISA Server 2004/2006 có thể kiểm tra bất kỳ thông tin nào trong dữ liệu, bao gồm: „virus signature‟, chiều dài của „Uniform Resource Location‟ (URL), nội dung „page header‟ và phần mở rộng của „file‟ Ngoài „HTTP filter‟, ISA Server còn có những

„application filter‟ khác dành cho việc bảo mật những giao thức và ứng dụng khác

- Các „firewall‟ mềm hiện nay xử lý lọc „packet‟ và „stateful‟ Tuy nhiên, nhiều „firewall‟ không có khả năng thực hiện việc lọc lớp ứng dụng („application-layer‟) Và „application-layer filtering‟ đã trở thành một trong những thành phần thiết yếu trong việc bảo mật vành đai mạng

- Ví dụ: giả định rằng tất cả các tổ chức đều cho phép „HTTP traffic (port 80)‟ từ „internal network‟ đến Internet Kết quả là, nhiều ứng dụng giờ đây có thể hoạt động thông qua giao thức „HTTP‟ Chẳng hạn như Yahoo! Messenger và một vài ứng dụng mạng ngang hàng chia sẽ „file‟ như KazaA

„HTTP traffic‟ cũng có thể chứa „virus‟ và mã độc („malicious code‟) Cách ngăn chặn những

„network traffic‟ không mong muốn, trong khi vẫn cho phép sử dụng „HTTP‟ một cách phù hợp, chỉ

có thể thực hiện được bằng việc triển khai một „firewall‟ có khả năng lọc lớp ứng dụng layer firewall‟ có thể kiểm tra nội dung của các „packet‟ và ngăn „traffic‟ trên phương thức „HTTP‟ (để ngăn ứng dụng) hoặc „signature‟ (để ngăn „virus‟, mã độc hại, hoặc ứng dụng) ISA Server

„Application-Trang 15

được áp dụng Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ

hệ thống như DHCP, RDP, Ping

 Network Rule: quy định các mối liên hệ giữa các Networks trong ISA Server Các Networks này

được ISA Server kết nối với nhau Giữa hai mạng khi đi qua ISA Server sẽ sử dụng một trong hai cơ chế sau đây: ROUTE hoặc NAT Routing không thay đổi Source IP khi đi qua ISA Server, gói tin được giữ nguyên Source và Destination IP và được Forward đến Destination NAT thay đổi địa chỉ Source IP trong gói tin và Forward đến Destination Ở Destination chúng ta chỉ thấy gói tin đến từ External Interface của ISA Server mà không biết được địa chỉ IP thật của gói tin

 Access Rule: quản lý Traffic đi qua ISA Server do người quản trị định ngh a chính sách

 Publishing Rule: Công khai tài nguyên cục bộ được chỉ định ra ngoài Internet cho người sử dụng

ISA Server cung cấp 3 loại „publishing rule‟ khác nhau: Web publishing rule, secure Web publishing rule, và Server publishing rule

7 Các Mô Hình Triển Khai ISA Server

- ISA Server 2006 có thể chạy với nhiều mô hình Nếu chạy với tính năng Firewall thì ISA Server sẽ

có 2 Interface hoặc nhiều Interface Một số mô hình có thể kể đến khi sử dụng ISA Server 2006 là Bastion Host, Backend Firewall, và Proxy Server only (chỉ sử dụng ISA Server 2006 làm Proxy Server, không tận dụng tính năng Firewall của sản phẩm này

- Cấu hình IP và Gateway của hệ thống Bastion Host với Public IP từ ISP được cấp xuống cho Router ADSL Nếu cấu hình Public IP trên Router ADSL sẽ không cần thiết phải NAT trên Router và khi đó không cần cấu hình Gateway t nh cho ISA Server

 Mô hình Back-End Firewall

- Mô hình thứ 2 này cũng thường được sử dụng ISA Server nhẹ gánh hơn các mô hình khác là bảo

vệ mạng LAN trong trường hợp FrontEnd Firewall bị đánh sập, các Server trong vùng mạng DMZ bị tấn công và từ đó Hackers có thể tấn công tiếp vào trong mạng LAN

- ISA Server đóng vai trò Back‐End Server cho một Firewall khác Khu vực giữa Frontend và Backend Firewall là vùng DMZ chứa các Server sẽ được Published cho Internet Users

- ISA Server có thể làm FrontEnd Firewall, nhưng trong Version từ 2004 trở đi, Microsoft khuyến cáo nên dùng ISA Server (dạng Application) với vai trò BackEnd là tốt nhất Appliance có Performance tốt hơn và bảo mật hơn (vì nhẹ phần Hệ điều hành)

- Trong mô hình này, ISA Server cũng mang 2 Interface (External kết nối đến hệ thống LAN có DMZ

và Gateway của ISA Server sẽ là Internal Interface của FrontEnd Firewall Cấu hình trên Firewall và trên Router nói chung, nên sử dụng Routing Table để cấu hình cho các thiết bị này Với ISA Server,

Trang 17

- Mô hình Backend với ISA Server cụ thể hơn khi gán Network ID cho các mạng có liên quan.Trong

mô hình này, ISA Server mang một địa chỉ IP Public nằm trong mạng 203.162.23.32/28

- Cấu hình IP rất quan trọng,chú ý không được lẫn lộn chỗ này, nếu sai, toàn bộ mô hình sẽ

hỏng.Cấu hình IP trên Frontend Firewall – có thể đây là một Appliance của ISA Server hoặc một thiết bị khác với chứ năng Firewall External Interface – cấu hình mang Public IP với gateway cấu hình về ISP Trên Server này có thể không cần cấu hình Routing Table với Destination là Network

ID của mạng LAN vì nếu User muốn truy cập từ internet vào LAN phải thực hiện quay VPN 2 lần để vào đến ISA Server

- ISA Server sẽ có 3 Interface kết nối với 3 Network khác nhau: External, Internal và DMZ kết nối với DMZ Network Mô hình này giống với Bastion Host, chỉ có thêm một Interface DMZ để tách mạng DMZ ra khỏi mạng LAN Mạng DMZ tách biệt khỏi mạng LAN để không bị tấn công từ phía ngoài, DMZ thường xuyên được truy cập từ Internet nên nguy cơ tấn công rất cao Microsoft xem DMZ Network như Semi‐Trusted Network

8 ISA Server Bảo Mật Truy Cập Internet

- Hầu hết các tổ chức đều phải cho nhân viên của mình truy cập internet và sử dụng World Wide Web như một nguồn tài nguyên và một công cụ giao tiếp Điều đó có ngh a là không tổ chức nào tránh được việc truy cập internet, và việc bảo mật kết nối internet trở nên thiết yếu

- ISA Server có thể được dùng để bảo mật các kết nối của máy trạm đến nguồn tài nguyên trên internet Để làm được điều đó, bạn phải cấu hình tất cả máy trạm đều phải thông qua ISA Server

để kết nối internet Khi bạn cấu hình như vậy, ISA Server sẽ hoạt động như một „proxy server‟ giữa máy trạm trong mạng tổ chức và nguồn tài nguyên trên internet

- Điều này có ngh a là khi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có kết nối trực tiếp giữa máy trạm đó và Web Server Thành phần „proxy server‟ trên ISA Server sẽ làm việc trực tiếp với Web Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web Server hồi đáp lại cho máy trạm trong mạng nội bộ)

- Nhờ đó mà thông tin mạng của máy trạm sẽ không bị phơi bài ra mạng bên ngoài Và việc máy trạm dùng ứng dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng được ISA Server kiểm soát ISA Server cũng hoạt động như một „caching server‟

Trang 19

B- NỘI DUNG

I- Mô Tả Thông Tin

- Công ty cổ phần Chứng khoán Phú Gia hoạt động trong l nh vực Chứng khoán có tên miền phugiasc.vn cung cấp các dịch vụ giao dịch trực tuyến qua Internet cho phép khách hàng có thể đặt lệnh tại bất kỳ thời điểm nào Ngoài ra công ty còn cung cấp các dịch vụ hỗ trợ quản lý tài khoản giao dịch, bản tin chứng khoán, bản phân tích chứng khoán Tổng công ty chứng khoán Phú Gia có trụ sở chính tại Q.1 Tp HCM và một chi nhánh tại Q.5 Tp HCM

Hạ tầng mạng Tổng công ty gồm có:

Các máy chủ chuyên dụng:

File Server chứa toàn bộ dữ liệu của công ty

FTP Server chia sẻ dữ liệu cho nhân viên

Mail Server dùng để trao đổi mail trong hệ thống mạng nội bộ

Web Server chứa website nội bộ của công ty

Domain Controller quản trị tập trung hệ thống mạng của công ty Phú Gia với domain là phugiasc.vn Tất cả máy tính của nhân viên trong công ty đều gia nhập vào domain Các phòng ban:

II- Yêu Cầu Đề Tài

Đảm bảo an toàn và bảo mật cho hệ thống mạng công ty truy cập Internet, luôn được bảo

vệ trong thời gian làm việc và có khả năng phát hiện cuộc xâm nhập hệ thống mạng nếu

có

p dụng chính sách bảo mật dành cho Nhân viên (NV):

Phòng Kinh Doanh được phép truy cập Internet trong giờ làm việc (giờ hành chánh) nhưng không được phép truy cập vào các trang web nội dụng xấu và có tính chất giải trí, chat, game

Phòng Kế Toán , Nhân Sự không được phép truy cập Internet, nhưng vẫn sử dụng được các dịch vụ mạng trong nội bộ

Tất cả nhân viên được truy cập Internet vào giờ nghỉ trưa 11h30 → 13h30, nhưng không được chơi game online, tải nhạc, gửi file, xem phim trên Internet

p dụng chính sách bảo mật dành cho khách hàng truy cập mạng không dây tại Phòng Khách hàng:

Khách hàng không được truy cập vào hệ thống mạng nội bộ của công ty nhưng vẫn có thể truy cập Internet

Xây dựng hệ thống cân bằng tải cho tường lửa tại tổng công ty đảm bảo hệ thống luôn luôn hoạt động tốt, không bị quá tải khi người dùng kết vào hệ thống mạng

Giám sát hoạt động của hệ thống mạng để đưa ra chính sách quản lý băng thông phù hợp theo từng phòng ban, vị trí công tác của nhân viên để để đảm bảo tính ổn định của đường truyền Internet trong công ty

Đảm bảo khả năng phòng chống lây nhiễm virus và các phần mềm mã độc được tải về máy tính trong hệ thống mạng Các file tải trên mạng về máy tính của NV phải được kiểm tra virus trước khi mở

Các nhân viên làm việc bên ngoài có thể kết nối vào hệ thống mạng công ty thông qua kết nối VPN (Virtual Private Network)

Mỗi ngày các NV tại phòng Quản lý ở chi nhánh Q.5 phải cập nhật dữ liệu về FileServer cho Tổng công ty một cách an toàn

Publish hệ thống web và mail server của công ty ra ngoài Internet với những cơ chế bảo mật

Các NV của công ty có thể kiểm tra mail, truy cập được website công ty thông qua đường truyền Internet ở bất kỳ địa điểm nào

Giám đốc có thể kiểm tra mail, truy cập được website nội bộ và kết nối vào File Server một cách an toàn khi đi công tác bên ngoài

Giám đốc có thể biết được hiện tại NV nào đang truy cập trang web gì

Thống kê lưu lượng sử dụng Internet và các hoạt động sử dụng hệ thống mạng và cuối mỗi tuần

III- Phân Tích Đề Tài

- Qua quá trình khảo sát, Tổng công ty Cổ phần Chứng khoán (CPCK) Phú Gia có trụ sở chính tại Q.1

Tp HCM và một chi nhánh tại Q.5 Tp HCM, mọi hoạt động của chi nhánh đều được gửi dữ liệu về trụ sở chính

DATA CHI NHÁNH

TRỤ SỞ CHÍNH

Trang 21

Internet

Web Server Mail Server

- Hạ tầng mạng tại trụ sở chính cho biết đây là một hệ thống đa máy chủ giữ các chức năng khác nhau và máy tính nhân viên được quản trị tập trung với Domain Controller server

- Các phòng ban trong công ty có các nhiệm vụ khác nhau, nội quy công ty ngăn cấm nhân viên sử dụng hệ thống mạng theo chức năng của các phòng ban Sơ đồ thể hiện chính sách bảo mật và nhu cầu của các phòng ban:

PHÒNG KINH DOANH

PHÒNG KẾ TOÁN

PHÒNG NHÂN SỰ

INTERNET INTERNAL

Nghỉ TrưaXNghỉ TrưaX

- Hệ thống mạng luôn luôn hoạt động ổn định

Mail Server

VPN

DMZ

FTP Server

.100 100 20

.100

.100 20

P KINH DOANH

ISA

Internet

10.0.0.0/ 24192.168.1.0 / 24

.1

.10

C- TRIỂN KHAI

I- Hoạch Định Địa Chỉ IP, Computer Name

1 Trụ Sở Chính – Quận 1

INTERNAL

Default Gateway 192.168.10.100 192.168.10.100 192.168.10.100 Preferred DNS Server 192.168.10.10 192.168.10.10 192.168.10.10

LOCAL HOST

Trang 27

II- Xây Dựng Hệ Thống Mạng

1 Triển khai Domain Controller

Tổng quan:

- Domain Controller là một máy chủ điều khiển, xác lập và quản lý tên miền (domain) trong hệ

thống Windows, có nhiệm vụ trả lời những yêu cầu về bảo mật, quyền truy cập, quản lý tài khoản,

… của các máy tính sử dụng các dịch vụ domain

- Domain Controller trong đề tài này được sử dụng như một máy chủ quản lý tên miền, nhóm

người dùng, tài nguyên cục bộ cho công ty Phugiasc

Triển Khai:

- Để xây dựng Domain Controller, việc đầu tiên ta cần triển khai DNS cho công ty Phugiasc với địa

chỉ 192.168.10.10 để các máy client trong công ty phân giải tên máy chủ

- Xây dựng Domain với tên miền: phugiasc.vn và sử dụng dịch vụ Active Directory Users and

Computers để lưu trữ và quản lý dữ liệu về các đối tượng trong DC như: Group, OU,User, Policy,…

2 Triển Khai ISA Server

Cài đặt ISA Storage

Tổng quan:

- ISA Storage là một máy chủ lưu trữ toàn bộ cấu hình của các máy member ISA trong hệ thống

Các máy member ISA sẽ tham gia vào hệ thống lưu trữ này qua Array đã được tạo tại ISA Storage

- Việc triển khai ISA Storage nhằm mục đích xây dựng hệ thống cân bằng tải, giúp chia tải công

việc giữa các member ISA, duy trì hoạt động hệ thống liên tục ổn định

Triển Khai:

- Giả lập xây dựng ISA Storage trên máy DC

- Triển khai ISA Storage ở chế độ cài đặt: Install Configuration Storage server

- Cài đặt hoàn tất, tiến hành tạo Array trên ISA Storage nhằm mục đích để các máy member ISA tham gia vào hệ thống lưu trữ này

- Khởi động ISA Storage -> Right click vào Arrays chọn New Array với tên: phugiasc

Trang 29

- Kết quả:

- Ủy quyền lưu trữ cho các member ISA bằng thao tác vào thẻ Toolbox/ Network Objects/ Computer Sets chọn Managed ISA Server Computers Propertise Lần lượt gán địa chỉ cho 2 máy ISA server

2.2 Cài đặt ISA Array

Tổng quan:

- ISA Array là một trong các member ISA tham gia vào hệ thống Array để đồng bộ dữ liệu với ISA

Storage Ngoài ra, ISA Array được hiểu như một Firewall Server quản lý truy xuất giữa các lớp mạng trong hệ thống qua cấu hình của người quản trị

Triển khai:

- Triển khai ISA Array lần lượt tại tại các member ISA

- Cài đặt ISA Array ở chế độ: Install ISA Server services

Trang 31

- Tham gia các member ISA này vào Array: phugiasc đã được tạo tại ISA Storage

- Gán lớp mạng Internal để quản trị

- Tương tự, thực hiện cài đặt ISA Array tại ISA2 và tham gia vào Array: phugiasc

- Tại máy DC, triển khai DNS cho máy chủ Web với địa chỉ: 172.16.10.10 và tạo Alias (CNAME):

xuất Website thông qua trình duyệt web

- Xây dựng máy chủ Web với tên truy vấn: www.phugiasc.vn qua port: 80

4 Triển Khai Mail Server

Giới thiệu:

- Mail server là máy chủ chuyên dụng để nhận và gửi mail, quản lý tài khoản người sử dụng mail và phân phối mail trong hệ thống Ngoài ra, máy chủ mail còn cho phép người sử dụng web-mail (dùng mail thông qua trình duyệt web) và các phần mềm ứng dụng để truyền tải nhận mail

- Trong đề tài, triển khai Mail server để trao đổi mail trong hệ thống Công ty Phugiasc

Triển khai:

- Tại máy DC, triển khai DNS cho máy chủ Mail với địa chỉ: 172.16.10.10 và tạo Alias (CNAME): mail.phugiasc.vn và trỏ về địa chỉ: 172.16.10.10 với mục đích phân giải tên Mail server

Trang 35

- Xây dựng Mail server với chương trình Mail Daemon với FQDN là: mail.phugiasc.vn và địa chỉ là: 172.16.10.10

5 Triển Khai Web-mail Sử Dụng Port 80

Giới thiệu:

- World Client và Web Admin là 2 ứng dụng của Mail Daemon duyệt mail thông qua giao thức HTTP Mặc định truy xuất mail qua trình duyệt web, World Client được sử dụng ở port 3000 và Web Admin được sử dụng ở port 1000

- Mục đích triển khai Web-mail sử dụng port 80 để triển khai Certificate Authority (CA) tự cấp trong cục bộ (triển khai tại phần 6.1)

Trang 37

- Trên Web Server, vào IIS lần lượt tạo Website: World Client với địa chỉ truy xuất: 172.16.10.11 và trỏ

về đường dẫn: C:\Mdaemon\WorldClient\HTML\WorldClient.dll và Web Admin với địa chỉ truy xuất qua: 172.16.10.12 và trỏ trỏ về đường dẫn: C:\Mdaemon\WebAdmin\Templates.dll

- Định ngh a file: WorldClient.dll và WebAdmin.dll, cho phép các file mở rộng này được sử dụng trong dịch vụ Web bằng thao tác tại mục Web Service Extensions chọn Add a new Web service extension trỏ đường dẫn về: C:\Mdaemon\WorldClient\HTML\WorldClient.dll đối với World Client và C:\Mdaemon\WebAdmin\Templates.dll đối với Web Admin

- Tại Mail Server: gán Security thư mục Mdaemon cho tài khoản IUSR (nhóm tài khoản khách viếng thăm vào website) với quyền Full control

- Vào dịch vụ Mail Daemon tại thẻ Setup chọn Web & SyncML Services chuyển Web mail: World Client

và sử dụng ở chế độ IIS

Trang 39

6 Triển Khai Wildcard Certificate

Tổng quan Secure Socket Layer (SSL):

- Secure Socket Layer (SSL) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet

- SSL là được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt

(browser), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia sẻ tạm thời được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua chứng chỉ điện tử (digital certificate) dựa trên mật mã công khai (thí dụ RSA)

- Giao thức SSL dựa trên hai nhóm con giao thức là giao thức "bắt tay" (handshake protocol) và giao thức "bản ghi" (record protocol) Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng

có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành

mã hoá và truyền tin hai chiều giữa hai đối tượng đó Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi "lời chào" (hello) dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng Ngoài ra, các ứng dụng còn trao đổi "số nhận dạng/khoá theo phiên" (session ID, session key) duy nhất cho lần làm việc đó Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng chỉ điện tử (digital certificate) xác thực của ứng dụng chủ (web server)

- Chứng chỉ điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (Thẩm quyền xác nhận

CA - Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín Các tổ chức này cung cấp dịch vụ "xác nhận" số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver

- Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số:

Số nhận dạng theo phiên làm việc ngẫu nhiên;

Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL;

Độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin

Triển khai:

- Công ty phugiasc đã có website trên web server đặt tại công ty và có nhu cầu publish website này ra Internet có mã hóa trên đường truyền, đồng thời để tăng cường độ tin cậy của khách hàng với doanh nghiệp khi truy cập website của mình, doanh nghiệp phải mua SSL certificate tại các nhà cung cấp chuyên bán certificate như Verisign, Rapidssl, Dynamicssl

- Giả lập đề tài, thay vì mua SSL Certificate ta xây dựng Certificate Server trên máy DC với chế độ Stand-Alone CA cục bộ cấp phát

- Khi triển khai SSL Certificate cho mỗi website ta cần phải đăng ký common name tương ứng với mỗi website

- Trong đề tài, ta đã triển khai các website: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn Thay vì triển khai common name tương ứng cho từng website, ta triển khai Wildcard Certificate (*.phugiasc.vn) để định danh chung cho tất cả website cùng domain name