Lý do chọn đề tài Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề phát triển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo đi
Trang 1MỤC LỤC
DANH SÁCH HÌNH ẢNH
BẢNG BIỂU
Trang 2DANH SÁCH TỪ VIẾT TẮT
TMG Thread Management Gateway Tên firewall mềm TMG 2010 HTTP Hyper Text Transfer Protocol Giao thức truyền tải siêu văn bản DNS Domain Name System Hệ thống phân giải tên miền SMNP Simple Network Management
mạng SMTP Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn
giản NFS Network File System Dịch vụ chia sẻ tài nguyên
TCP Transmission Control Protocol Giao thức điều khiển truyền vận UDP User Datagram Protocol Giao thức mạng
ICMP Internetwork Control Message
FTP File Transfer Protocol Giao thức truyền tập tin
VPN Virtual private network Mạng riêng ảo
NAT Network Address Translation Dùng để phiên dịch địa chỉ IP
private sang địa chỉ IP public
ISA Internet Security Aceleration Chương trình firewall/security
do Microsoft phát triển
Trang 3CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI
1.1 Lý do chọn đề tài
Cùng với sự ra đời của mạng máy tính và các ứng dụng, đã tạo nên nhiều tiền đề phát triển mới của tương lại: rút ngắn khoảng cách giữa các quốc gia trên địa cầu, tạo điều kiện thuận lợi cho sự kết nối giữa các doanh nghiệp trong và ngoài nước Tuy nhiên đây cũng là thách thức to lớn cho tất cả những doanh nghiệp muốn tồn tại và phát triển trong không gian kết nối mạng
Cùng với những nhu cầu về bảo mật thông tin của doanh nghiệp, nhiều ứng dụng bảo mật được triển khai với nhiều hình thức nhằm giữ toàn vẹn thông tin của doanh nghiệp được ra đời ví dụ: Cisco – bảo vệ mạng doanh nghiệp thông qua hạ tầng phần cứng kết nối mạng được cung cấp bở hãng Cisco ISA (Internet Sercurity Acceleration) Server - ứng dụng bảo vệ mạng theo mô hình phân lớp mạng, lọc gói tin, … được cung cấp bởi hãng Microsoft
Trước những sự tấn công không ngừng đó thì các ứng dụng bảo mật hệ thống mạng là tấm khiêng che chắn khá vững chắc cho mạng doanh nghiệp và ứng dụng bảo mật hệ thống mạng doanh nghiệp đó cũng chính là đề tài mà em lựa chọn và triển khai cài đặt - ứng dụng Microsoft Forefront TMG 2010 trong bảo mật mạng cho Công ty TNHH Hà Nội Computer
1.2 Mục tiêu của đề tài
- Tìm hiểu tổng quan về TMG 2010
- Lịch sử, quá trình phát triển của TMG 2010
- Tính năng mới của TMG so với các phiên bản trước là ISA 2006, ISA 2004,
…
- Cấu hình được các Access Rule, triển khai giải pháp bảo mật cho doanh nghiệp dựa trên mô hình mạng của doanh nghiệp
- Tiến hành Remote Access các máy trong mô hình mạng của công ty
1.3 Giới hạn và phạm vi của đề tài
- Tìm hiểu lý thuyết tổng quan về TMG 2010, những tính năng mới, nổi bật hơn so với các phiên bản ISA trước đây của Microsoft
Trang 4- Đưa ra được giải pháp bảo mật cho công ty, cấu hình các luật trong TMG để tiến hành giám sát mạng , các tài khoản người dùng trong công ty, tiến hành
mô phỏng giả lập trên môi trường máy ảo
1.4 Nội dung thực hiện
- Tìm hiểu lý thuyết về tổng quan TMG 2010, nắm được những tính năng nổi bật cần áp dụng cho hệ thống mạng doanh nghiệp đòi hỏi tính an toàn và bảo mật cao
- Nắm được các mô hình firewall, cấu hình thiết lập mạng
- Tiến hành cài đặt trên máy ảo, nhằm mô phỏng quá trình quản lý, giám sát bảo mật cho doanh nghiệp
- Đưa ra nhận xét
1.5 Phương pháp tiếp cận
- Cách tiếp cận: Nghiên cứu quản trị mạng với TMG 2010
- Sử dụng các phương pháp nghiên cứu:
o Phương pháp đọc tài liệu;
o Phương pháp phân tích mẫu;
o Phương pháp thực nghiệm;
Trang 5CHƯƠNG 2: CƠ SỞ LÝ THUYẾT VỀ TMG 2010
2.1 Tổng quan về Forefront TMG 2010
Hình 2-1: Forefront Threat Managerment Gateway
Theo lời ông Stefan Tanase, nhà nghiên cứu cao cấp về bảo mật Kaspersky Lab, tất cả các tổ chức và thậm chí cá nhân trên toàn cầu đều đang đối mặt với một nguy cơ chung từ các malware có khả năng xâm nhập và đánh cắp dữ liệu
Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall)
là chương trình chuyên về bảo mật hệ thống mạng Mọi thông tin ra vào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN, các người dùng trong công ty sử dụng Internet để kinh doanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọa khác Nó cung cấp nhiều lớp bảo vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào một, (TMG) cho phép bạn
dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo mật web Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của chúng ta sẽ được chia ra làm 3 phần riêng biệt:
• Internal Network - Bao gồm tất cả máy tính có trong mạng chúng ta.
Trang 6• Local Host - là một bức tường ngăn cách giữa mạng chúng ta và thế giới,
chính là máy Forefront TMG
• External Network - là mạng Internet, như vậy mạng Internet được xem
như là một phần trong mô hình Forefront TMG mà thôi
2.2 Lịch sử, quá trình phát triển của Forefront TMG 2010
2.2.1 Lịch sử
Hình 2-2: Sự phát triển của Forefront TMG 2010
Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA
2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server 2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008 Vì thế để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software mới của Microsoft đó là Microsoft forefront Threat Management Gateway 2010
2.2.2 Quá trình phát triển:
Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn phát triển sau:
1/1997 - Microsoft Proxy Server v1.0 (Catapult).
18/03/2001-Microsoft Internet Security and Acceleration Server 2000 (ISA
Server 2000)
08/09/2004-Microsoft Internet Security and Acceleration Server 2004 (ISA
Server 2004)
Trang 7 17/10/2006-Microsoft Internet Security and Acceleration Server 2006 (ISA
Server 2006)
17/11/2009-Microsoft Forefront Threat Management Gateway 2010 (Forefront
TMG 2010)
2.3 Bảng giá của từng phiên bản Forefront TMG 2010
Bảng 2-1: Thông tin prices và licenses của các phiên bản Forefront
Bảng 2-2: Thông tin Price và Licenses của Windows Server 2008
2.4 Các tính năng của TMG 2010
• Enhanced Voice over IP - Cho phép kết nối & sử dụng VoIP thông qua
TMG
Trang 8• ISP Link Redundancy - Hỗ trợ Load Balancing & Failover cho nhiều
đường truyền internet
• Web Anti-Malware - Quét virus, phần mềm độc hại & các mối đe dọa
khác khi truy cập web
• URL Filtering - Cho phép hoặc cấm truy cập các trang web theo danh
sách phân loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat
• HTTPS Inspection - Kiểm soát các gói tin được mã hóa HTTPS để
phòng chống phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate
• E-mail Protection Subscription Service - Tích hợp với Forefront
Protection 2010 for Exchange Server & Exchange Edge Transport Server
để kiểm soát virus, malware, spam e-mail trong hệ thống Mail Exchange
• Network Inspection System (NIS) - Ngăn chặn các cuộc tấn công dựa
vào lỗ hổng bảo mật
• Network Access Protection (NAP) Integration - Tích hợp với NAP để
kiểm tra tình trạng an toàn của các client trước khi cho phép client kết nối VPN
• Security Socket Tunneling Protocol (SSTP) Integration - Hỗ trợ
VPN-SSTP
• Windows Server 2008 with 64-bit support - Hỗ trợ Windows Server
2008 & Windows Server 2008 R2 64-bit
2.5 Các mô hình Firewall
Forefront TMG sử dụng một khái niệm “multi networking” Để định nghĩa topo mạng, đầu tiên chúng ta cần tạo các mạng trong Forefront TMG Sau khi đã tất
cả các mạng cần thiết, chúng ta cần được tạo quan hệ cho các mạng này với nhau dưới dạng các network rule Forefront TMG hỗ trợ hai kiểu network rule đó là:
Trang 9• Route – Đây là kiểu sẽ thiết lập một kết nối mạng hai chiều giữa hai
mạng, kiểu thiết lập này sẽ định tuyến các địa chỉ IP gốc giữa hai mạng
• NAT – Đây là kiểu thiết lập kết nối mạng theo một hướng duy nhất giữa
hai mạng, kiểu thiết lập này sẽ che giấu các địa chỉ IP trong các đoạn mạng bằng địa chỉ IP của network adapter tương ứng
Sau khi đã tạo các mạng và các network rule cho mạng, bạn phải tạo các rule cho tường lửa để cho phép hoặc từ chối traffic giữa các mạng được kết nối
2.5.1 Network template.
Để dễ dàng cho việc cấu hình Forefront TMG, TMG cung cấp các mẫu được thiết kế sẵn (Network Template) để cho phép tạo các kịch bản Firewall điển hình Bạn hoàn toàn có thể thay đổi thiết kế mạng sau cài đặt ban đầu Ở đây tất cả những
gì bạn cần thực hiện là chạy Getting Started Wizard trong giao diện quản lý TMG Management
Hình 2-3: Network setup wizard
2.6 Yêu cầu hệ thống
2.6.1 Yêu cầu phần cứng:
Yêu cầu tối thiểu cho TMG 2010 là:
Một phiên bản 64-bit của Windows Server 2008 Standard, Enterprise, hoặc data center RTM với Service Pack 2 (SP2) hoặc R2
Trang 10- 2 GB bộ nhớ RAM.
- Một CPU lõi kép
- Một phân vùng đĩa cứng định dạng với hệ thống tập tin NTFS
- 150 MB đĩa cứng không gian
- ít nhất một card mạng tương thích với hệ điều hành và có thể giao tiếp với mạng nội bộ (ít nhất hai giao diện mạng được yêu cầu hỗ trợ chức năng tường lửa)
- Một card mạng cho mỗi mạng vật lý TMG sẽ được kết nối
2.7 Malware Inspection
2.7.1 Tìm hiểu về Inspection Malware trong TMG
TMG Malware Inspection được thiết kế để phát hiện và ngăn chặn các bit độc hại trong HTTP được gửi cho khách hàng trong các mạng được bảo vệ trước khi các bit độc hại này có thể truy cập máy tính người dùng không nghi ngờ và lây lang thiệt hại không thể khắc phục
2.8 Remote Access
2.8.1 khái niệm VPN
VPN là một mạng riêng ảo sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ
sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa Các giao thức VPN được sử dụng khác nhau tùy theo khả năng của VPN client và máy chủ cũng như các yêu cầu chức năng và an ninh của tổ chức
Bởi vì các đường hầm VPN được định để được an toàn và đáng tin cậy, cung cấp mã hóa mạnh mẽ và phương pháp xác thực Ngoài ra, nó sử dụng quản lý đường hầm để kiểm soát lưu lượng giao thông qua đường hầm Hình 2.28 minh họa mối quan hệ giữa các chức năng VPN
Trang 11Hình 2-4: Kết nối VPN
Thay đổi gần đây trong công nghệ khác nhau đã dẫn đến sự xuất hiện của một phương pháp đường hầm an toàn gọi chung là SSL-VPN Tùy thuộc vào thiết
kế sản phẩm của nhà cung cấp, họ có thể cung cấp một giải pháp VPN hạn chế hoặc hoàn toàn Bởi vì TMG không cung cấp một giải pháp SSL-VPN, nên chúng ta thảo luận về những giao thức và các kịch bản đối với các công nghệ VPN cổ điển
Trang 12CHƯƠNG 3: THIẾT KẾ VÀ CÀI ĐẶT TMG 2010 CHO CÔNG TY
TNHH HÀ NỘI COMPUTER 3.1 Khảo sát nhu cầu dự án
3.1.1 Tình huống đề tài:
Công Ty TNHH Máy Tính Hà Nội Computer có 2 trụ sở tại Hà Nội
Địa chỉ: HANOICOMPUTER-LÊ THANH NGHỊ - 131 Lê Thanh Nghị - Hà
Nội
HANOICOMPUTER-THÁI HÀ - 43 Thái Hà - Hà Nội
Lĩnh vực kinh doanh:
• Thiết bị văn phòng
• Kinh doanh các mặt hàng thiết bị điện tử máy tính, PC, Lattop,…
• Cung cấp các thiết bị số: thiết bị giám sát, an ninh, bảo mật, phụ kiện,…
• Tư vấn hỗ trợ khách hàng qua mạng
Công ty TNHH Hà Nội Computer đã có sẵng hạ tầng hệ thống công nghệ thông tin Với nhu cầu phát triển, mở rộng và đòi hỏi tính ổn định, an toàn và hiệu quả trong kinh doanh
3.1.2 Mô hình mạng logic tại trụ sở
Trang 13Hình 3-1: Mô hình logic tại các trụ sở
3.1.3 Nhu cầu của công ty TNHH Hà Nội Computer:
- Tăng cường bảo mật toàn diện cho hệ thống mạng doanh nghiệp
- Hỗ trợ người dùng di động làm việc hiệu quả
- Hỗ trợ kết nối an toàn giữa các site với vpn thông qua môi trường internet
- Quản lý theo dõi các loại traffic ra vào hệ thống
- Thiết lập cơ chế phát hiện và ngăn chặn các nguy cơ xâm nhập trái phép vào hệ thống mạng
- Lọc và ngăn chặn spam và virus cho hệ thống email
- Lọc và ngăn chặn virus mailware xâm nhập vào hệ thống mạng
3.2 Đề xuất giải pháp
- Đưa ra được giải pháp bảo mật hệ thống mạng cho công ty
- Cấu hình được các Access Rule
- Triển khai Remote Access
- Tiến hành cài đặt VPN site to site
- Cài đặt cân bằng tải
- Bảo mật hệ thống mạng cho công ty TNHH Hà Nội Computer
Trang 14Hình 3-2: Sơ đồ lab VPN site to stie
3.3 Danh mục thiết bị
3.3.1 Cấu hình phần cứng đề nghị cho máy cài đặt Forefront TMG
IBM® System® x3650M3 (7945 - L2A)
Hình 3-3: IBM® System® x3650M3 (7945 - L2A)
- Model: 7945L2A
- Kiểu máy chủ: Rack 2U
- Vi xử lý: 1 x Intel® Xeon® Six Core Processor X5660, 2.80GHz, 12M L3
- Bus hệ thống: Intel QuickPath Interconnect up to 6.4 GT/s
- Bộ nhớ: 3 x 4GB DDR3 1333 hỗ trợ ECC
- Ổ cứng: 300GB SEAGATE® SAVVIO® SAS2.0 6GB/S – Hot Swap
- Hỗ trợ raid: 0, 1, 5, 10
- Ổ đĩa quang: IBM UltraSlim Enhanced SATA DVD-ROM
Trang 15- Card mạng: Integrated dual Gigabit Ethernet (2 ports standard, plus 2 ports
optional) hỗ trợ 10BASE-T, 100BASE-TX, and 1000BASE-T, RJ45
- Nguồn: 1x Power Supply 675watt HS
3.4 Thực hiện
3.4.1 Cài đặt forefront tmg 2010
Các bước cấu hình:
- Windows Server 2008 R2 Enterprise 64-bit (đã update)
- Chạy Preparation Tool để cài đặt các Roles & Features cần thiết cho Forefront TMG Server
- Cài đặt Forefront TMG 2010
3.4.2 Cấu hình các Access Rule
- Web Access
- DNS Query
- Malware Inspection
- HPTPS Inspection
- URL filtering
3.4.3 Cấu hình VPN Site To Site
Hình 3-4: Kiểm tra kết nối VPN từ site 01 đến site 02
Trang 16Hình 3-5: Kiểm tra kết nối từ client site 02 đến site 01
Kiểm tra truy cập dữ liệu
Hình 3-6: Truy cập dữ liệu từ máy site 01 sang máy site 02
Trang 17Hình 3.7: Truy cập dữ liệu từ máy site 02 sang máy site 01
Trang 18CHƯƠNG 4: KẾT LUẬN
4.1 Kết quả đạt được của đề tài
- Tìm hiểu được tổng quan về TMG 2010
- Tìm hiểu được các tính năng mới của TMG so với các phiên bản trước là ISA
2006, ISA 2004,…
- Cấu hình được các Access Rule, triển khai giải pháp bảo mật cho doanh nghiệp dựa trên mô hình mạng của doanh nghiệp
- Tiến hành Remote Access được các máy trong mô hình mạng của công ty, cài đặt triển khai được VPN site to site
- Cấu hình bảo mật Malware Inspection được thiết kế để phát hiện và ngăn chặn các bit độc hại
- Cấu hình HTTPS Inspection Nhằm mục đích cài đặt chứng chỉ nhận diện mã độc, tránh việc các tài khoản người dùng trong Công ty truy cập, hoặc down load các bit độc hại
- Cấu hình chính sách URL filtering, nhằm mục đích ngăn chặn các website cấm hoặc có nội dung không lành mạnh
4.2 Hạn chế của đề tài
Do thời gian làm đồ án tốt nghiệp còn hạn chế, cũng như việc phải gấp rút hoàn thiện đồ án tốt nghiệp, chính vì thế đề tài vẫn còn những hạn chế sau:
- Chưa cấu hình được tính năng ISP Redundancy là một tính năng trong TMG cung cấp tính sẵn sàng cao hoặc chia sẻ tải trọng của kết nối Internet bằng cách sử dụng của hai link ISP
- Hệ thống mới chỉ dừng lại ở mức giả lập mô phỏng các cấu hình cài đặt trên máy ảo, chưa triển khai thực tế cho doanh nghiệp được
4.3 Hướng phát triển của đề tài
Triển khai cài đặt mở rộng phạm vi của đề tài cho Công ty, với việc đang triển khai, cấu hình mô phỏng thực hiện trên môi trường máy ảo, chưa đưa được vào thực tế cho Công ty Trong thời gian tới sẽ triển khai và áp dụng thực tế cho mô
