tìm hiểu proxy và triển khai proxy với isa

Proxy application chính là chương trình trên application level, gatewayfirewall hoạt động trên hình thức chuyển đổi những yêu cầu người sử dụng thôngqua firewall, tiến trình này được thự

Trang 1

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN

………

Trang 3

LỜI NÓI ĐẦU

Thế kỷ 21 được mệnh danh là thế kỷ của công nghệ thông tin, với sự bùng nổ mạnh

mẽ về khoa học công nghệ Đây là kỷ nguyên của nền văn minh dựa trên cơ sở côngnghiệp trí tuệ Ngày nay, tin học đã trở thành một môn khoa học quan trọng trên thếgiới

Sự phát triển mạnh mẽ như vậy thì vấn đề quản lý nguồn tài nguyên “côngnghệ” đặt ra cho người sử dụng là một vấn đề cấp thiết hiện nay Để đáp ứng nhữngnhu cầu của người sử dụng khi cần truy xuất đến những ứng dụng cung cấp bởiinternet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ Trong hầu hếtnhững phương pháp được đưa ra để giải quyết điều này là cung cấp một host đơn đểtruy xuất đến Internet cho tất cả những người sử dụng Tuy nhiên, phương pháp nàykhông phải là phương pháp giải quyết thỏa mãn nhất bởi vì nó tạo cho người sửdụng cảm thấy không thoải mái Khi truy xuất đến internet thì họ không thể thựchiện những công việc đó một cách trực tiếp, phải login vào dual_homed host, thựchiện tất cả những công việc ở đây, và sau đó bằng cách nào đó chuyển đổi kết quảđạt được của công việc trở lại workstation sở hữu

Proxy server giúp người sử dụng thoải mái hơn và an toàn cho dual homedhost, thay thế yêu cầu của người sử dụng bằng cách gián tiếp thông qua dual homedhost Hệ thống proxy cho phép tất cả những tương tác nằm dưới một hình thức nào

đó User có cảm giác làm việc trực tiếp với server trên internet mà họ thật sự muốntruy xuất

Proxy application chính là chương trình trên application level, gatewayfirewall hoạt động trên hình thức chuyển đổi những yêu cầu người sử dụng thôngqua firewall, tiến trình này được thực hiện trình tự như sau:

* Thành lập một kết nối application trên firewall

* Proxy application thu nhận thông tin về việc kết nối và yêu cầu của user

* Sử dụng thông tin để xác nhận yêu cầu đó được xác nhận không, nếu chấpnhận proxy sẽ tạo sự kết nối khác từ firewall đến máy đích

* Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa client

Trang 4

Proxy systems giúp giải quyết được những rủi ro trên hệ thống bởi vì userlogin vào hệ thống và ép buộc user thông qua phần mềm điều khiển, thông quachính sách truy cập(access policy).

Do thời gian thực hiện đồ án ngắn, nên sẽ có nhiều hạn chế và sai sót trongqúa trình thực hiện, mong các giảng viên và các bạn đóng góp ý kiến để đề tài củatôi được hoàn chỉnh hơn Từ đó làm cơ sở để tôi có thể củng cố và phát triển thêm Cuối cùng, tôi xin chân thành cảm ơn các giảng viên và bạn bè đã giúp đỡtôi thực hiện thành công đề tài này

HUẾ, 11/03/11Dương Đức Hưng

Trang 5

MỤC LỤC

TÌM HIỂU VỀ PROXY VÀ TRIỂN KHAI PROXY VỚI ISA 2

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN 3

LỜI NÓI ĐẦU 5

MỤC LỤC 7

CHƯƠNG 1: TÌM HIỂU VỀ PROXY 7

1.1.Khái niệm 7

CHƯƠNG 2: TRIỂN KHAI MÔ HÌNH PROXY VỚI ISA 13

Phần 1: Chuẩn bị trước khi cài đặt 13

1.1 Cấu hình máy chủ cần thiết: 13

Phần 2: Tiến hành cài đặt ISA Server 2006 20

2.1 Giới thiệu 20

2.2 Chuẩn bị 20

2.3 Thực hiện 21

2.3.1 Cài đặt ISA Server 2006 21

2.3.2 Cài đặt và cấu hình Firewall Client trên máy DC - Tại máy DC, logon MSOpenLab\Administrator 30

2.3.3 Cấu hình Auto Discovery 34

2.3.4 Tạo Access Rule để kiểm tra kết nối Internet 38

KẾT LUẬN 45

1.Ưu điểm 45

2 Nhược điểm 45

3 Hướng phát triển của đồ án 45

TÀI LIỆU THAM KHẢO 46

Trang 6

CHƯƠNG 1: TÌM HIỂU VỀ PROXY

1.1.Khái niệm

Proxy cung cấp cho người sử dụng truy xuất internet với những host đơn Nhữngproxy server phục vụ những nghi thức đặc biệt hoặc một tập những nghi thức thựcthi trên dual_homed host hoặc basion host Những chương trình client của người sửdung sẽ qua trung gian proxy server thay thế cho server thật sự mà người sử dụngcần giao tiếp

Proxy server xác định những yêu cầu từ client và quyết định đáp ứng hay không đápứng, nếu yêu cầu được đáp ứng, proxy server sẽ kết nối với server thật thay choclient và tiếp tục chuyển tiếp đến những yêu cầu từ client đến server, cũng như đápứng những yêu cầu của server đến client Vì vậy proxy server giống cầu nối trunggian giữa server và client

1.2.Tại Sao Ta Phải Cần Proxy

Để đáp ứng những nhu cầu của người sử dụng khi cần truy xuất đến những ứngdụng cung cấp bởi internet nhưng vẫn đảm bảo được an toàn cho hệ thống cục bộ.Trong hầu hết những phương pháp được đưa ra để giải quyết điều này là cung cấpmột host đơn để truy xuất đến internet cho tất cả những người sử dụng Tuy nhiên,phương pháp này không phải là phương pháp giải quyết thỏa mản nhất bởi vì nó tạocho người sử dung cảm thấy không thoải mái Khi truy xuất đến internet thì họkhông thể thực hiện những công việc đó một cách trực tiếp, phải login vàohual_homed host, thực hiện tất cả những công việc ở đây, và sau đó bằng cách nào

đó chuyển đổi kết quả đạt được của công việc trở lại workstation sử hữa

Điều này trở nên rất tồi tệ ở những hệ thống với nhiền hệ điều hành khác nhau, vd:nếu hệ thống là bastion_host nhưng riêng dual_host là unix

Khi dual_home host được thiết kế trên mô hình không có proxy, điều đó sẽ khiếncho người sử dụng thêm bực bồiva đáng chú ý hơn là giảm đi những tiện ích màintenet cung cấp, tồi tệ hơn là chúng thường không cung cấp một cách không antoàn và đầy đủ,khi một máy gồm nhiều người sử dụng tất nhiên độ an toàn của nó sẽgiảm, đặt biệt khi cố gắn bắt với vạn vật bên ngoài

Proxy server gíup người sử dụng thoải mái hơn và an toàn cho dual homed host,thay thế yêu cầu của người sử dụng bằng cách gián tiến thông qua dual homed host

Hệ thống proxy cho phép tất cả những tương tác nằng dưới một hình thức nào đó.User có cảm giác làm việc trực tiếp với server trên internetmà họ thật sự muốn truyxuất

Proxy application chính là chương trình trên applycation level gateway firewallhành động trên hình thức chuyển đổi những yêu cầu người sử dụng thông quafirewall, tiến trình này được thực hiện trình tự như sau:

Trang 7

* Proxy applycation thu nhận thông tin về việc kết nối và yêu cùa của user

* Sử dụng thông tin để xác nhận yêu cầu đó được xác nhận không, nếu chấp nhậnproxy sẽ tạo sự kết nối khác từ firewall đến máy đích

* Sau đó thực hiện sự giao tiếp trung gian, truyền dữ liệu qua lại giữa client vàserver proxy systtôi giải quyết được những rủi ro trên hệ thống bởi tránh user loginvào hệ thống và ép buộc thông qua phần mềm điều khiển

1.3.Sự cần thiết của Proxy

Proxy cho user truy xuất dịch vụ trên internet theo nghĩa trực tiếp Với dual hosthomed cần phải login vào host trước khi sử dụng dịch vụ nào trên internet Điều nàythường không tiện lợi, và một số người trể nên thất vọng khi họ có cảm giác thôngqua firewall, với proxy nó giải quyết được vấn đề này Tất nhiên nó còn có nhữnggiao thức mới nhưng nói chung nó cũng khá tiện lợi cho user Bởi vì proxy chophép user truy xuất những dịch vụ trên internet từ hệ thống cá nhân của họ, vì vậy

nó không cho phép packet đi trực tiếp giữa hệ thống sử dụng và internet đường đi

là giáng tiếp thông qua dual homed host hoặc thông qua sự kết hợp giữa bastionhost và screening rounter

Thực tế proxy hiểu được những nghi thức dưới, nên logging được thực hiện theohướng hiệu quả đặc biệt, vd: thay vì logging tất cả thông tin thông qua đườngtruyền, một proxy FPT server chỉ log những lệnh phát ra và server đáp ứng mà nhậnđược Kết quả này đơn giản và hữa dụng hơn rất nhiều

1.4.Những khuyết điểm của Proxy

Mặc dù phần mềm prory có hiệu quả rộng rải những dịch vụ lâu đời và đơn giànnhư FPT và Telnet, những phần mềm mới và ít được sử dụng rộng raãi thì hiếm khithấy Thường đó chính là sự chậm trễ giữa thời gian xuất xuất hiện một dịch vụ mới

và proxy cho dịch vụ đó, khoảng thời gian phụ thuộc vào phương pháp thiết kếproxy cho dịch vụ đó, điều này cho thấy khá khó khăn khi đưa dịch vụ mới vào hệthống khi chưa có proxy cho nó thì nên đặt bên ngoài fire wall, bởi vì nếu đặt bêntrong hệ thống thì đó chính là yếu điểm

Đôi khi cần một proxy khác nhau cho mỗi nghi thức, bởi vì proxy server phải hiểunghi thức đó để xác định những gì được phép và không được phép Để thực hiệnnhiệm vụ như là client đến server thật và server thật đến proxy client, sự kết hợp ,install và config tất cả những server khác nhau đó có thể rất khó khăn

Những dịch vụ proxy thường sửa đổi chương trình client, procedure hoặc cả hai.Ngoại trừ một số dịch vụ được thiết kế cho proxying , proxy server yêu cầu sửa đổivới client hăọc procedure, mỗi sự sửa đổi có những bất tiện riêng của nó, không thểluôn luôn sử dụng công cụ có sẵn với những cấu trúc hiện tại của nó

Proxying dựa vào khà năng chèn vào proxy server giữa server thật và client mà yêu

Trang 8

Những dịch vụ proxy không bảo vệ cho hệ thống ứng với những nghi thức kém chấtlượng Như một giải pháp an toàn, proxying dựa vào những khả năng xác địnhnhững tác vụ trong nghi thức an toàn Không phải tất cả các dịch vụ đều cung cấptheo khuynh hướng an toàn này, như nghi thức Xwindows cung cấp khá nhiềunhững tác vụ không an toàn

1.5.Proxying đã thực hiện như thế nào?

Những chi tiếc trong việc proxying thực hiện như thế nào khác nhau từ dịch vụ nàyđến dịch vụ khác, khi setup proxying, có một vài dịch vụ thưc hiện dể dàng hoặc tựđộng, nhưng vài dịch vụ có sự chuyển đổi rất khó khăn Tuy nhiện, trong hầu hếtnhững dịch vụ ngoài yêu cầu những phần mềm proxy server tương ứng, trên clientcũng cần phải có những yêu cầu như sau:

Custum client software: phần mềm loại này phải biết như thế nào để liên kết vớiproxy server thay server thật khi user yêu cầu và yêu cầu proxy server những gìserver thật kết nối đến Những phần mềm custom client thường chỉ có hiệu quả chỉmột vài platform

Vd: packet getaway từ Sun là một proxy packet cho FTP và Telnet, nhưng nó chỉđược sử dụng trên hệ thống SUN bởi vì nó cung cấp recompiled Sun binaries

Mặc dù nếu phần mềm hiệu quả cho platform tương ứ ng, nó cũng có thể khôngphải điều mà user mong muốn, vd: macintosch có hàng chục chương trình PTFclient, một trong vài số đó có những giao diện khá ấn tượng với user, những phầnkhác có những đặc điểm hữa dụng khác Anarchie là chương trình mà nó kết hợpmột archie client và FPT client bên trong chương trình đơn, vì vậy user có thể tìmfile với archie và dùng FPT để lất nó, tất cả với giao diện người sử dụng thích hợp,điều này sẽ không may mắn cho chúng ta nếu muốn hổ trợ proxy server

Sử dụng những chuyển đổi client cho proxying không dễ dàng thuyết phục user.Trong hầu hết những hệ thống sử dụng client không chuyển đổi những kết nối bêntrong và một số chuyển đổi chỉ với những kết nối bên ngoài

Custom user procedure: user dùng phần mềm client chuẩn để giao tiếp với proxyserver và nó kết nối với server thật, thay thế trực tiếp server thật

Proxy server được thiết kế thực thi với phần mềm client chuẩn Tuy nhiên, chúngyêu cuầ user theo những custom procedure User trước tiên kết nối với proxy server

và sau đó cung cấp proxy server tên host mà nó muốn kết nối đến Bởi vì một vàinghi thức được thiết để chuyển những thông tinnày, user không phải nhớ tên proxyserver nhưng củng phải nhớ tên host mà nó muốn giao tiếp

Như thế nào để thực hiện công việc này, cần phải nắm được những thủ tục đặctrưng theo sau mỗi nghi thức

Trang 9

thực hiện những bước sau:

* Sử dụng bất kỳ FTP client , user kết nối đến proxy server thay thế trực tiếp đếnanonumous FTP server

* Tại dấu nhắc user name, trong việc thêm vào tên chỉ định muốn sử dụng, user phảichỉ định tên server thật muốn kết nối

1.6.Các dạng Proxy Systems

1.6.1Dạng kết nối trực tiếp

Phương pháp đầu tiên được sử dụngtrong kỹ thuật proxy là cho user kết nối trựctiếp đến firewall proxy, sau đó proxy hỏi user cgo địa chỉ host hướng đến, đó là mộtphương pháp brute force sử dụng bởi firewall một cách dể dàng, và đó cũng lànguyên nhân tại sao nó là phương pháp ít thích hợp

Trước tiên, yêu cầu user phải biết địa chỉ của firewall, kế tiếp nó yêu cầu user nhậpvào hai địa chỉ hai địa chỉ cho mỗi kết nối: địa chỉ của filewall và địa chỉ đíchhướng đến Cuối cùng nó ngăn cản những ứng dụng hoặc những nguyên bản trênmáy tính của user điều đó tạo sự kết nối cho user, bởi vì chúng không biết như thếnào điều khiển những yêu cầu đặc biệt cho sự truyền thông với proxy

1.6.2 Dạnh thay đổi Client

Phương pháp kế tiếp sử dụng proxy setup phải thêm vào những ứng dụng tại máytính của user User thưc thi những ứng dụng đặc biệt đó với việc tạo ra sự kết nốithông qua firewall User với ứng dụng đó hành động chỉ như những ứng dụngkhông sửa đổi User cho địa chỉ của host hướng tới Những ứng dụng thêm vào biếtđịa chỉ firewall từ file config cuc bộ, setup sự kết nối đến ứng dụng proxy trênfirewall, và truyền cho nó địa chỉ cung cấp bởi người sử dụng Phương pháp này rấtkhó hiệu quả và có khả năng che dấu người sử dụng, tuy nhiên, cần có một ứngdụng client thêm vào cho mỗi dịch vụ mạng là một đặt tính trở ngại

1.6.3 Proxy vô hình

Một phương pháp phát triển gần đây cho phép truy xuất đến proxy, trong vài hệthống firewall được biết như proxy vô hình Trong mô hình này, không cần cónhững ứng dụng thêm vào với user và không kết nối trực tiếp đến firewall hoặc biếtrằng firewall có tồn tại Sử dụng sự điều khiển đường đi cơ bản, tất cả sự kết nốiđến mạng bên ngoài được chỉ đường thông qua firewall Như những packet nhậpvào firewall, tự động chúng được đổi hướng đến proxy đang chờ Theo hướngnày,firewall thực hiện rất tốt việc giả như host đích Khi kết nối tạo ra firewallproxy , client applycation nghỉ rằng nó được kết nối đến server thật, nếu được phép,proxy applycation sau đó thực hiện hàm proxy chuẩn trong việc tạo kết nối thứ haiđến server thật

Trang 10

Proxy lớp ứng dụng thì đối nghị với proxy lớp circuuit: application_level proxyđược thực thi ở lớp ứng dụng Nó cung cấp cho từng dịch vụ riêng và interpretnhững dòng lệnh trong nghi thức đó Một circuit_level proxy tạo nên một circuitgiữa server và client không cần phải interpret những nghi thức này Nói chung,application_level proxy sử dung modified client Để tạo ra kết nối proxy, phải biết

vị trí nào muốn kết nối đến Một hybrid gateway đơn giản có thể chặn đứng kết nối,nhưng một proxy host chỉ có thể nhận kết nồima đề nghị với nó, và phải chỉ ra vị trímuốn kết nối Một application_level proxy có thể nhận thông tin trong từng nghithức riêng Một circuit_level proxy không thể interpret theo từng nghi thức và cầnphải có thông tin hổ trợ cho nó thông qua một cách nào khác ưu điểm củacircuit_level proxy server là ở đó nó cung cấp cho hầu hết các nghi thức khác nhau ,hầu như circuit_level proxy cũng là proxy server chung cho tất cả các dạng nghithức, tuy nhiên không phải tất cả các nghi thức đều dễ dàng được điều khiển bởicircuit_level proxy , khuyết điểm của circuit_level proxy là nó điều khiển những gìxảy ra thông qua proxy này như là packet filter, nó điều khiển những kết nối cơ bảndựa vào địa chỉ nguồn và địa chỉ đích và không thể xác định những lệnh đi qua nó là

an toàn hoặc những sự kiện mà nghi thức đó mong muốn, circuit_level proxy dểdàng bị đánh lừa bởi những server setup lại những cổng gán đến những server khác

Proxy chung thì đối nghịch với những proxy chuyên biệt: mặc dù

“application_level” và “circuit_level” thường được dùng, nhưng đôi khi cũng phânbiệt giữa “dedicated” và “generic” proxy server là server chỉ phục vụ một nghi thứcđơn , generic proxy server là server phục vụ cho nhiền nghi thức Thật ra, dedicatedproxy server là application_level, và generic proxy server là circuit_level

Intelligent proxy server: một proxy server có thể làm nhiều điều chứ không phải chỉchuyễn tiếp những yêu cầu, đó chính là một intelligent proxy server, vd: cern httpproxy server caches data, vì vậy nhiều yêu cầu data không ra khỏi hệ thống khi chưa

có sự xử lý ccủa proxy server Proxy server (đặt biệt là application level server) cóthể cung cấp login dễ dàng và điều khiển truy xuất tốt hơn, còn circuit proxy thường

bị giới hạn bởi những khả năng này

Using proxying với những dịch vụ internet:vì proxy server chèn vào giữa sự kết nốiclient và server, nó phải được thích ứng với từng dịch vụ riêng, đội khi một số dịch

vụ rất dễ với cách phục vụ bình thường nhưng lại rất khó khi thêm vào proxy

Trang 11

CHƯƠNG 2: TRIỂN KHAI MÔ HÌNH PROXY VỚI ISA

Phần 1: Chuẩn bị trước khi cài đặt

1.1.Cấu hình máy chủ cần thiết:

- CPU Intel hoặc AMD tối thiểu 773 MHz

- RAM tối thiểu 512MB

- Tối thiểu 02 card mạng

- Đĩa cứng trống tối thiểu 150MB, định dạng NTFS

- Hệ điều hành Windows server 2003 SP1 32 bit hoặc Windows Server 2003 R2

Số kết nối VPN đồng thời tối đa: 2000

Tham khảo thêm cấu hình tối ưu tại: http://www.microsoft.com/technet/isa/2006/perf_bp.mspx

1.2 Hoàn chỉnh bảng định tuyến (routing table)

Bảng định tuyến trên máy ISA và các router nội bộ nên được cấu hình hoànchỉnh trước khi cài ISA Bảng định tuyến phải có định tuyến mặc định (defaultroute) hướng đến cổng (gateway) phù hợp và phải có đủ các định tuyến (route)đến mọi mạng con (network - subnet) trong nội bộ Trong hầu hết các mô hìnhmạng thông dụng, định tuyến mặc định sẽ được tạo ra bằng cách khai báo giá trịdefault gateway trên card mạng mà ISA dùng để kết nối internet

Theo nguyên tắc định tuyến, chỉ có thể có 01 default gateway khả dụng (nghĩa làchỉ có 01 định tuyến mặc định khả dụng); vì thế, phải tạo thêm các định tuyếnđến các mạng con trong nội bộ để ISA có thể giao tiếp (và phục vụ) mọi thànhphần mạng trong nội bộ Xin đơn cử một cấu trúc mạng đơn giản thông thường:

Trang 12

Hình 1.2.a Sơ đồ bảng định tuyến

Chú ý rằng trên interface 192.168.3.254 của router nội bộ phải có defaultgateway 192.168.3.1

Với cấu hình IP như trên, bảng định tuyến của ISA sẽ có các định tuyến:

Dest Subnet mask Gateway Interface

0.0.0.0 0.0.0.0 192.168.0.2 192.168.0.1

192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1

192.168.3.0 255.255.255.0 192.168.3.1 192.168.3.1

Hình 1.2.b

Trang 13

Hình 1.2.c

Để ISA có thể giao tiếp với hệ thống mạng nội bộ, phải thêm 2 định tuyến:

Dest Subnet mask Gateway Interface

route add 192.168.1.0 mask 255.255.255.0 192.168.3.254 metric 1

route add 192.168.2.0 mask 255.255.255.0 192.168.3.254 metric 1

Trang 14

1.3 Chú ý thông số DNS

Để có thể phục vụ cho Proxy client và Firewall client, ISA phải có khả năngphân giải được các tên miền (DNS name) của nội bộ và của internet Để thoả yêucầu này, chỉ khai báo thông số preferred DNS server trên card mạng trong (cardnối với mạng nội bô - internal interface):

- Preferred DNS server: địa chỉ IP của máy chủ DNS nội bộ (xtôi lại hình minhhoạ)

- Alternate DNS server: địa chỉ IP của máy chủ DNS thứ hai (backup / secondaryDNS server) nội bộ

- Có thể tuỳ chọn tăng tốc phân giải bằng cách khai báo DNS forwarder trên máychủ DNS nội bộ

Cho dù ISA được triển khai trên máy đơn (stand-alone server) hay trên thànhviên của domain (domain mtôiber server) thì vẫn khai báo máy chủ DNS nhưvừa nêu trên Không bao giờ dùng máy chủ DNS của nhà cung cấp dịch vụinternet (ISP) Đây là một lỗi thường gặp khi cấu hình thông số IP trên máy ISA.Lỗi cấu hình này sẽ dẫn đến quá trình phân giải DNS của ISA bị chậm hoặc thậmchí bị thất bại

Dĩ nhiên vẫn phải loại trừ trường hợp mạng nội bộ không có máy chủ DNS nghĩa là không có domain - thì thông số DNS được cấu hình trên card mạng nốiinternet (external interface) là địa chỉ IP máy chủ DNS của ISP

-1.4 Tinh chỉnh cấu hình external interface

Để bảo đảm nhân viên bảo vệ - ISA - toàn tâm toàn ý với công việc của mình,cần có một số quy định sau đây:

- Quy định 1: Không được đi nhậu!!!

- Quy định 2: Không được mời ai đến phòng bảo vệ để nhậu!!!

- Quy định 3: Không được nghe lời bọn xấu dụ dỗ!!!

Để tăng cường bảo vệ chính máy ISA, cần thiết lập các hạn chế trên externalinterface:

- Để thoả quy định 1 và quy định 2: External interface properties: bỏ các dấukiểm "Client for Microsoft Networks" và "File and Printer Sharing for MicrosoftNetworks"

Trang 15

Hình 1.4.a Bỏ dấu kiểm

- Để thoả quy định 3: External interface properties > Internet Protocol (TCP/IP)properties > nút Advanced > tab WINS: bỏ dấu kiểm "Enable LMHOSTSlookup" và chọn "Disable NetBIOS over TCP/IP"

Hình 1.4.b: Bỏ dấu

Trang 16

Cũng với mục tiêu "đào tạo" một nhân viên bảo vệ chuyên trách & để giúp nhânviên này "vô cảm" trước "gợi ý" của những kẻ "bất chính", nên cài ISA trên mộtmáy sạch, nghĩa là chỉ có hệ điều hành như yêu cầu.

Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc chia sẻ hiệu suấtgiành cho hoạt động định tuyến và chặn lọc thông tin

Cài thêm bất cứ dịch vụ gì trên ISA cũng đồng nghĩa với việc gia tăng nguy cơchính ISA bị tấn công

Tất nhiên không được phép tiết kiệm đến mức cài ISA ngay trên DomainController Khi đó không chỉ ISA không hoàn thành nhiệm vụ mà DomainCotroller cũng "tê liệt " nốt Nếu nhân viên bảo vệ đồng thời là giám đốcdoanh nghiệp thì xin miễn ý kiến!!!

1.6 Nên cài ISA trên stand-alone server hay domain mtôiber server?

Khi cài ISA trên stand-alone server, đương nhiên ISA sẽ không có bất cứ quan

hệ luận lý nào với domain Ưu điểm của cấu trúc này là kẻ tấn công không thểthông qua ISA để "với tới" dịch vụ danh bạ động (Active Directory service) haydomain controller Thế nhưng giá phải trả là ISA không thể kiểm soát và chứngthực được domain user nếu không thông qua RADIUS server (RtôioteAuthentication Dial-In User Service)

Chọn phương án cho ISA giao tiếp AD qua trung gian RADIUS được xtôi là mộtphương pháp tăng cường bảo vệ hệ thống bằng cách phức tạp hóa "lộ trình" đến

AD của kẻ tấn công Và tất yếu là công tác của quản trị viên cũng sẽ phức tạphơn

Cài ISA trên mtôiber server: Có thể dùng quyền local administrator để cài ISAtrên domain mtôiber server Khi cấu hình các rule với quyền của domainadministrator, có thể triển khai kiểm soát và chứng thực được domain user

Lựa chọn stand-alone hay mtôiber server có thể xtôi là lựa chọn giữa độ bảo mậtvới độ phức tạp cấu hình và túi tiền Xét trên khả năng chặn lọc hữu hiệu củaISA, đa số tổ chức thiên về phương án giảm độ phức tạp và bảo toàn ngân quỹtức cài ISA trên domain mtôiber server

Tuy nhiên, các bước cài đặt là như nhau trên cả hai môi trường

1.7 Những lưu ý rất quan trọng khi cài đặt:

- Kích hoạt tập tin ISAAutorun.exe từ đĩa cài đặt ISA 2006

- Hộp thoại Microsoft Internet Security and Acceleration Server 2006: Nếu ISA

có thể truy cập internet, nên chọn Review Release Notes và đọc release notes.Văn bản này có một số thông tin quan trọng mô tả những thay đổi chức năng cơbản mà ta không thể tìm được trong phần giúp đỡ (Help) của chương trình ISA.Sau khi tham khảo release notes, chọn Install ISA Server 2006

Trang 17

cài Firewall Client Installation Share trên ISA server Do vậy, chỉ chọn Custom(trên hộp thoại kế tiếp, chọn Change) nếu không muốn cài ISA trên đĩa hệ thốnghiện hành Nếu không, chọn Next.

- Hộp thoại Internal Network: Khai báo tất cả các khoảng IP thuộc hệ mạng nội

bộ Giả sử hệ mạng có cấu trúc như ở đầu bài viết, cần phải khai báo 03 khoảng:192.168.1.0 - 192.168.1.255, 192.168.2.0 - 192.168.2.255 và 192.168.3.0 -192.168.3.255 (ISA tương thích RFC 1812) Nếu khai báo thiếu một phân đoạnmạng nào trong LAN thì thông tin từ phân đoạn mạng đó (khi đến với ISA) sẽ bịISA xtôi như "người ngoài" (External) ISA xtôi Internal Network là một "vùngtin cậy" (trusted zone) và dùng Internal Network trong các Systtôi Policy rule đểphục vụ hoạt động cũa hệ điều hành Khai báo Internal Network sai hoặc thiếu sẽảnh hưởng không chỉ hoạt động của các máy trong LAN mà còn ảnh hưởng đếnchính ISA

- Hộp thoại Firewall Client Connections: Chỉ cần check "Allow non-encryptedFirewall client connections" nếu trong LAN có các máy được cài các phiên bảntrước của WinSock Proxy (MS Proxy Server 2.0) hoặc Firewall Client ISA 2000.Nếu chọn phương thức này thì user name và password từ các máy trong LAN gửiđến ISA sẽ không được mã hóa Cách tối ưu là nên cài Firewall Client ISA 2006trên các máy trạm

Phần 2: Tiến hành cài đặt ISA Server 2006

2.1 Giới thiệu

ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft ISA Server Vềgiao diện thì ISA 2006 giống ISA 2004 đến 90% Tuy nhiên, nó có những tính năngmới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như:

+ Phát triển hỗ trợ OWA, OMA , ActiveSync và RPC/HTTP pubishing

+ Hổ trợ SharePoint Portal Server

+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener

+ Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules

+…

Trang 18

Hình 2.1.a: Mô hình ISA server 2006

2.2 Chuẩn bị

Bao gồm 2 máy:

- Máy DC: Windows Server 2003 đã nâng cấp lên Domain Controller

- Máy Server: Windows Sever 2003 đã Join domain

- Cấu hình TCP/IP cho 2 máy như trong bảng sau:

Preferred DNS: 172.16.1.2

IP Address: 192.168.1.1Subnet Mask: 255.255.255.0

Gateway: 192.168.1.200 (địa chỉ ADSLRouter)

Preferred DNS:

Máy DC IP Address: 172.16.1.2

Subnet Mask:

255.255.255.0Gateway: 172.16.1.1Preferred DNS: 172.16.1.2

Trang 19

2.3 Thực hiện

2.3.1 Cài đặt ISA Server 2006

- Mở Windows Explorer, vào thư mục chứa bộ cài đặt ISA SERVER 2006

- Chạy file isaautorun.exe (Bạn có thể chạy isauotorun.exe từ CD cài đặt ISA Server2006)

Hình 2.3.1.a: Chọn File

- Chọn Install ISA Server 2006

Trang 20

Hình 2.3.1.b

- Hộp thoại Welcome to the Install Wizard…, nhấn Next

Hình 2.3.1.c: Next

Định dạng
Số trang	41
Dung lượng	3,13 MB