Công cụ quản trị remote management

Cong cu quan tri : Remote Management+ Remote Desktop + MMC --> ISA SERVER MANAGEMANT Click chuot phai FireWall Policy --->Edit System Policy ---> Terminal Server --> Chon Tab From --> Ch

Lab723DC1 IP: 192.168.123.235(235-254: IP danh cho Server)

Domain: lab723-plus.com

Cai DHCP

Thiet lap card mang: Local Only

Chay Sysprep tren may ISA (Support\Tools\Deploy.cab, copy toan bo file trong thu muc Deploy.cab

sang o C:\foder\ )

May ISA chay 2 Cardmang

Ten may ISA: lab709ISA1

ISA SERVER IP: 192.168.123.254

Ten mang ngoai: External IP:192.168.1.123

Ten mang ben trong: Internal

Fix IP tinh cho Card Internal

May Client IP dong

Cau hinh bao ve ISA:

Doi voi card mang External:bo lua chon Cient for Microsoft Network va File and Printer sharing

Trong phan thuoc tinh advance TCP/IP: trong phan DNS , Clear register connection Trong phan WINS: Disable bios over TCP va disable lmhost lookup

Cau hinh GPO, tao OU ISA SerVer trong A.D

Chuyen tai khoan Computer Account cua may ISA sang OU IsaServer

Ap dung group Policy cho OU IsaServer

Cau hinh bao mat: Computer Configuration -> Windows Settings > Security Settings Copy file EC-MemberServer Baseline.inf

Cach dung security Template: Import Security Template

Computer Configuration -> Windows Settings ->Security Settings , chuot phai -> Import Policy

Computer Configuration -> Windows Settings -> System Services > Remote Access Connection manager > Define > Manual

Routing and Remote Access > Define > Manual

Telephony > Define > Manual

Secondary Logon > Define > Automatic

Cong cu quan tri : Remote Management

+ Remote Desktop

+ MMC > ISA SERVER MANAGEMANT

Click chuot phai FireWall Policy ->Edit System Policy -> Terminal Server > Chon Tab From >

Chon Remote Management Computers > Edit > Chon ten, subnet, IP cho phep Remote Management

(Ap dung trong truong hop Firewall Rule ko cho phep bat cu giao thuc nao tu Internal, External to Localhost

_ _ _ _ _ _ _ _

Cai ISA tren may Client,chon ISA SERVER MANAGEMENT.(Quan tri ISA Server tu may Client)

Sau khi cai xong, muon quan tri dc ISA Server, mo ISA server tu may client, menu Action > Connect to >

Another COmputer(Chon isa server muon quan tri), va Connect using other users

credentials

Lua chon nhom, user quan tri ISA: Chuot phai ISASERVER > Administration

Delegation

Cau hinh ISA FIREWALL CLIENT tren may chu ISA, chon network > Internal

> properties > Firewall client > chon Enable Firewall Client ,

uncheck Automatic detect settings va use automatic configuration scripts va Use

webproxy server

Configuration >network > Internal > properties > Web Proxy -> Authentication > Maximum Connection va timed out (Maximum connection cung phu thuoc vao license Windows)

Tao web chaining: Xu ly chuoi ( tu may isa van phong ket noi toi cac may isa home office)

Configuration >network > Internal > New Web chaining Rule > Rule Name > Destination

> External > click Redirect Request to Specified upstream server > ISA SERVER NAME(home office)

> Retrieve requests directly from the specified Destination ( hoac cac lua chon khac)

Tao Access Rule:

- protocols

- Users Set

- Content Types ( avi, mp3 )

- Schedules

- Domain name Set ( co tac dung voi tat ca protocol http, ftp )

- URL ( Chi ap dung voi http)

- Protocols:

https: Outbout

https Server: Inbout

Dang sau co duoi "server": giao thuc Inbout ( cho phep external to Internal)

Tao Rule dau tien:

DNS lookup Policy, Protocol "DNS" From: SERVER , To: External (1)

Managers Access Policy, All Protocol.(2)

Tao All Staff Policy, Protocol: http, https From: Internal, To: External(3) ( Chu y thu tu cua rule)

Tao new role không cho phép all users download các file Audio, video, Application, power point

Nhưng các domain admin được phép download các file application

Và Managers được phép download các file PowerPoint

Cách làm:

- Đầu tiên tạo ra các content types: Audio, video, application, PowerPoint

- Tạo ra User Set: Domain Admin và Managers

- Tạo ra Rule Access

- Protocol: all trafics

- Lưu ý cuối cùng là thứ tự sắp xếp các Rule

- Tao new Rule: Deny All Users download Policy

- Access Action: Deny

- Source: Internal

- Destination: External

- Protocol: all

- User: all user

- “Deny All users download Policy” -> Properties -> Content Types -> Select Content Types

- Note: “Deny All users download Policy” -> Properties -> Users -> Chon

Exception Add User( loại trừ users ko bị ảnh hưởng bởi những rule đã tạo – được phép thực hiện tất cả các hạn chế mà rule đã tạo)

- Tao rule cho nhóm Managers: Rule name: “Allow Managers Download

Policy”, Protocol: all, Source: Internal, Destination: External, User: Managers, Content Types: Select Content Types( PowerPoint Content Types)

- Tao Rule cho Domain Admins: Rule name: “Allow Domain Admins Download Policy”…

Bổ sung:

- Tạo thêm Rule: users chỉ cho phép truy cập Internet ngoài giờ làm việc (12h-2h),

- Domain Admins được truy cập vào Website của Microsoft trong giờ làm việc

- Managers được phép truy cập Internet (Không giới hạn thời gian)

Cách làm:

- Tao new Schedule : Overtime - > 12 – 2h

- Thay đổi schedule bằng Overtime trong All Staff Policy

- Tao New Rule:Domain Admins, Protocol:All, From:Internal, To: Domain Name Set  Microsoft Domain  và Schedule “Working time” 8h-12h, 2h-6h

Friday 5th Oct 2007

Máy chủ DC ko thể connect vào Internet vì máy chủ DC hỗ trợ Secure Nat

Client , chỉ hỗ trợ all user trong khi đó máy chủ ISA tạo các rule hỗ

hỗ trợ All Authenticate Users.( Firewall Client hỗ trợ All Authentication)

- Tạo DC Access Policy

o Source: DC Computer

o Protocol: http, https

o Action: allow

o User set: all users

o Muốn thực hiện được, move DC Access Policy rule lên hàng thứ 2, sau chính sách DNS

Triển khai lưu đệm (Caching)

Nhược điểm caching: lưu được kết quả cũ

Caching: Cache Rule, Content download Job

Lưu Cache tối đa 1 file cdat là 64GB

Cấu hình lưu Cache: Configuration Cache  Define Cache Drivers … And Restart ISA SERVICES

Cấu hình caching: right panel  Configure Cache Settings

Cách xem thông tin Cache:

Right Panel  Configure Web Proxy  Cache Information  Apply

Right Click  Add Remove Columns  Add  Move up

Open Performance Console from Start  All Program  Administrative Tools

 Performance

Click Delete Key  Click Add (+)  Click ISA SERVER CACHE  Click All

 Add

Click View Report ( Ctrl R) để dễ nhìn

Start Logging in monitoring tool

Xóa Cache trên máy Client: Internet properties  Advanced  Security  check Empty Temporary Internet file… Để kiểm tra lưu cache

Yếu điểm: Lưu cache cũ

Tạo ra 1 Cache Rule:

- Tao Aprotrain Site Cache Rule, Destination: Tạo 1 url set : www.aprotrain.edu,

- Content Retrieval: click lựa chọn thứ nhất

- Cache content:

- Sau đó chay file delete.vbs để xóa file cache hiện tại trên máy chủ ISA để update thông tin mới

Cách xem nội dung trong cache:

- Giải nén phần mềm CacheDirPack vào folder C:\program file\ Microsoft

Isaserver\

- Chạy file CacheDir.exe

Muốn xem đc Cache, Restart Microsoft Firewall Services Click CacheDir.exe để xem nội dung cache

Bài tập:

- Cache Rule Microsoft URL ( URL SET)  Chỉ Cache với HTTP(Ko cache FTP)

Cách làm:

Right Panel  Create Cache Rule Tạo Cache Rule “Microsoft Site Cache Rule”

 Cache Destination  Click Add 

Microsoft URL trong Url Set

 Content Retrival: Chon lựa chọn defaul ( lựa chọn thứ nhất)

 Chọn “If source and request header indicate to cache”

 Cache SSL (https) (nếu muốn cache được các trang https thì check vào box này),

‘Don not cache objects larger than …’ box này là thông số ko lưu cache với những object lơn hơn…

 HTTP CACHING: Click “enable http caching”

 FTP CACHING: DISABLE

- Apply

Content download job

- Schedule: daily, weekly… and content download and thời gian lưu Cache nội dung tải về

Để tạo được Content download job: Chon tab Content download job bên cạnh Cache Rule Tab

- Local host listen request từ Web Proxy

- System Policy: Firewall Policy Right click  Edit System policy  Various

 Schedule download

- Configuration  Localhost  Right Click  Properties  Web Proxy

Trong Content download Job  Right Panel  Schedule a Content Download Job  Yes thì ISA sẽ tự cấu hình local host và system policy cho chúng ta

Cách tạo Content Download Job

- Configuration  Cache  Right Click  New Content download job

- Sau đó cấu hình theo ý muốn

Dept of link per page: số lượng các mục con

Abc.com/thethao/ mức 2

Maximum number concurrent TCP IP connection to create for this job: Số lượng kết nối đến server để download content ( Tương đương như IDM )

Phát hiện xâm nhập

Để cấu hình ISA Server như một firewall:

- Xác đinh cấu hình mạng vành đai (parimeter)

- Cấu hình các mạng và luật quan hệ mạng

- Cấu hình phát hiện xung đột ( Intstrucsion detection )

- Cấu hình các luật truy cập

- Cấu hình các luật xuất bản máy chủ và web

* Add hai dải địa chỉ mạng trên 1 card mạng: Click local area connection  Internet Protocol  Advanced  IP settings  Add

* Tạo thêm 1 card mạng, dải IP riêng và tạo ra các rule nhất định để hạn chế

Tao “network”:

- Right Click network  New Network  đặt tên là Parimeter Network  add dải

IP 172.16.0.1 –255 ,

Tạo network rule: Right Click network  New Network Rule

- Tạo mới : Parimeter to External Network Rule ,From:Parimeter, Destination: External, Network Relationship: NAT ( 1 chiều )

- Tạo mới : Internal to Parimater Network Rule, From:Internal, Destination:

Parimeter,Network Relationship: Route ( 2 chiều )

o Thay vì cấu hình nhiều bước như trên ta có thể sử dụng các

“TEMPLATES” ( Right Panel ).

Monday, October 15, 2007

Phát hiện xâm nhậo và tối ưu IP

Configuration  General Additional Security Policy  Enable Intrusion Detection and DNS Attack Detection

Well Know Port: 0 – 2048

Muốn xem cảnh báo : Monitoring  Center Panel  Alerts

Triển khai bộ lọc ứng dụng và bộ lọc web

Firewall  Rule  Right Click  Configure HTTP

Lọc theo Method ( Post, Get), “Extension” : có thể block bất cứ extension nào

Ví dụ như exe ( http://abc/data/a.exe)

Wed, 17 Oct 2007

Chặn Application bằng ISA (Yahoo )

Firewall  Rule  Right Click  Configure HTTP  Signature

Description:

Search in:

HTTP header:

Signature:

Thực hành: Dùng filter chặn website

Mở máy Client

Mở IE, gõ 1 địa chỉ ko tồn tại VD như: microsoft.com/abc/

Trên thanh tiêu đề sẽ hiện ra “We’re …)

Mở IE thứ 2, gõ vào mã Unicode : microsoft.com/%252e

Trên thanh tiêu đề sẽ hiện ra “We’re …)

Mở IE thứ 3, gõ microsoft.com/scripts/root.exe?/dir+c

Trên thanh tiêu đề sẽ hiện ra “We’re …)

Thực hiện:

Mở máy chủ ISA

Firewall  Rule  Right Click  Configure HTTP

General tab  URL Protection  Check Verify Normalization (/%252e)

Extention tab  Trong muc Specify the action taken for the extensions chọn

“Block specified extensions (allow all others) ”  Add Extensions “.exe”

Signature  Add  Name : block abc  Search in: Request URL  Signature:

abc

Chặn Yahoo

Mở Client, run yahoo Mặc định Yahoo sẽ ko ra được Internet, nhưng nếu Yahoo chay Proxy thì vẫn vào được Internet VD: proxy server name: yahoo.com, port: 80 ( tùy chọn, ko bắt buộc phải một IP, Server cố định)

Firewall  Rule  Right Click  Configure HTTP  Signature

Name: Block YM

Search in: Request headers

HTTP header: Host:

Signature: msg.yahoo.com

Public Web

Tạo DNS: tạo Primary Zone lab723.com

• New host: www với địa chỉ IP 192.168.123.235

• New host: ftp với địa chỉ IP 192.168.123.235

• New host: secure với địa chỉ IP 192.168.123.235

Cài Ftp Services

Toolbox  Network Objects  Web listener  Name : http listener , network: External

* Trong Web server publishing Rule

Public name details:

Accepts request for:

This Domain name: Tên miền mà ISA Server cho phép External

truy cập site chỉ khi gõ đúng tên domain mà ISA public Any Domain: bất kỳ domain nào

Và chọn tên máy muốn Public

Vì vậy, muốn public 1 trang web từ máy tính:

- Web Publishing Rule  Properties  “To” tab  Check “Request appear to come from the original client”

Mục đích: lưu lại trong log file những thông tin như IP, giờ , ngày… có ích trong giám sát mạng, phòng chống hacking

 “Enable logging”  Properties  Log file directory … (đườn dẫn lưu log file)

- In “To” tab  check “Forward the original host header instead of the actual one

(Specified above)

Virtual Directory and Path Mapping

Virtual Directory

- Tạo folder “Virtual Directory”

- Trong folder “Virtual Directory” tạo 2 folder Human Resource và OnlineStore

- IIS Manager  Website  lab723.com  New Virtual Directory  Alias: Human Resource  Path: …  Permission: Read & Run Script

- Tương tự với OnlineStore ( http://lab723.com/OnlineStore/ )

Path Mapping

Firewall  Web Server Publishing Rule  Properties  “Paths” tab  Add 

Specify … blank: /OnlineStore/*

 External Path: Check “the following folder” : /shop/*

 http:.//www.lab723.com/shop/ = http:.//www.lab723.com/OnlineStore/

Mục đích của Path Mapping: Public 1 phần trang web ra Internet ( Khi path mapping

không thể truy cập được trang chủ, chỉ một phần của trang web )

Secure Socket Layer

Tao CA trên máy DC, trên máy DC phải có dịch vụ www

Add or Remove Program  Add or Remove Windows Components  Check Certificate Services  (root ở mức cao nhất, subordinate là mức thấp hơn) check Enterprise root CA

 Nhập tên CA ( Tùy chọn)  Next  …

Sau khi cài xong, vào máy ISA, mở IE gõ địa chỉ http://(tên máy DC)lab723dc1/certsrv/

sẽ hiện ra trang htm

 Click Request Cert  Advanced Cert  Create and submit a request to this CA  Certificate Template Certificate Template: chon Web Server  Identifying

Information For Offline Template  Name: secure.lab723.com

 “Key Options”  Check box Store certificate in the local computer certificate store…

 Submit

 hiện ra bảng “Certificate Issued”  click “Install this certificate”  Finish

Trên máy chủ ISA, Firewall Policy  New  Secure Web  Nhap ten : Lab723.com Secure  chon SSL Bridging  Allow  …

Cấu hình quy tắc xuất bản máy chủ

Cách xem cổng nào đang mở:

CMD  netstat ano (shift \) find “LIST”

Cấu hình xác thực RADIUS

Mục đích: Khi máy chủ ISA không phải là thành viên trong Domain (Ko thể xác thực được user trong domain) và muốn tập trung việc xác thực

Tao thêm 1 máy server mang tên Server1

Trên máy DC1, add thêm Internet Authentication Services trong Windows Components

Mở MMC , chon “Internet Authentication Services”  Right Click  Register with AD Kiểm tra lại bằng cách : vào AD  User  RAS and IAS Server , tab member phải có máy DC1

Internet Authentication Services  Raidus client  Right Click  Friendly Name: ten may chu Isa (lab723Isa1)  Next  Client – Vendor : RADIUS Standard  Share secret + Confirm ( tương đương như password ) Vi du: 1234567

Trên máy chủ ISA: - Configuration  General  Additional Security Policy  Define RADIUS Servers  Add  Server name: lab723dc1.lab723-plus.com (FQDN Name) và Secret ( nhập 1235467 )

Cấu hình Weblistener sử dụng Radius

Firewall  web publishing rule (secure.lab723.com) Properties  https listener 

Preference  Chon Authentication  bỏ lựa chon Integrated và chọn RADIUS 

Chon Require all users to authenticate

 Select Domain: lab723-plus.com

 RADIUS SERVER : lab723dc1.lab723-plus.com

Firewall  web publishing rule (secure.lab723.com) Properties  USER tab  Remove all “all users”  add “All Authenticated users”

Truy cập vào trang web secure.lab723.com, nhập User và pass: nvan vẫn ko vào được

 Active Directory  Raise Domain lên 2003

 Vào user “nvan”  Properties  “Dial in” tab  Allow Access