Tiểu luận ứng dụng truyền thông và an toàn thông tin Configuring Firewalls

Ngay cả khi một người sử dụng máy tính tại nhà kết nối internet thôngqua các kết nối của nhà cung cấp dịch vụ internet ISP thì các ISP này phải thường xuyêncài đặt phần mềm, phần cứng tư

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG VÀ TRUYỀN THÔNG

***000***

BÁO CÁO ĐỒ ÁN

CẤU HÌNH TƯỜNG LỬA

MÔN: ỨNG DỤNG TRUYỀN THÔNG

SINH VIÊN THỰC HIỆN: GIÁO VIÊN HƯỚNG DẪN:

Nhóm 6: ThS Tô Nguyễn Nhật Quang Nguyễn Lâm 08520194

Cao Nhật Quang 08520304

Ngô Tấn Tài 08520323

Lâm Văn Tú 08520610

-14/4/2012-

MỤC LỤC 1 GIỚI THIỆU VỀ BÀI HỌC 4

2 PHẦN 1: TÌM HIỂU VỀ TƯỜNG LỬA 5

2.1 TÌM HIỂU VỀ TƯỜNG LỬA 5

2.1.1 Những vấn đề cơ bản của tường lửa 5

2.1.2 Điều kiện bắt buộc của một tường lửa 6

2.1.3 Các chức năng cơ bản của một tường lửa 6

2.1.4 Address, Port, Protocol và Service 7

2.2 TƯỜNG LỬA VÀ MÔ HÌNH OSI 8

2.3 CÁC LOẠI TƯỜNG LỬA PHỔ BIẾN 9

2.3.1 Các tường lửa lọc gói tin đơn giản 9

2.3.2 Tường lửa trạng thái 10

2.3.3 Tường lửa dựa trên ứng dụng 11

2.4 XÂY DỰNG CÁC QUY TẮC CHO TƯỜNG LỬA 12

2.5 CÁC MÔ HÌNH LIÊN KẾT PHỔ BIẾN TƯỜNG LỬA 12

2.5.1 Perimeter Firewall 12

2.5.2 Three-Legged (DMZ) Firewall Topology 13

2.5.3 Chained (DMZ) Firewall Topology 14

2.6 NHỮNG MẶT HẠN CHẾ CỦA TƯỜNG LỬA 15

3 PHẦN 2: CẤU HÌNH MICROSOFT FOREFRONT THREAT MANAGEMENT GATEWAY 2010 (TMG) 15

3.1 GIỚI THIỆU 15

3.2 CẤU HÌNH TMG FOREFRONT SERVER VÀ TMG CLIENT 20

3.2.1 Cài đặt Forefont TMG 2010 Server 20

3.2.2 Cấu hình để máy client đồng bộ với Forefont TMG Server 24

3.3 FIREWALL POLICY 30

3.3.1 Tạo rule cho phép traffic DNS Query để phân giải tên miền 30

3.3.2 Định nghĩa Group Policy cho Firewall Policy 32

3.3.3 Định nghĩa giờ làm việc 34

3.3.4 Tạo Group trang web cho phép hay muốn cấm 35

3.3.5 Application Filter 37

3.3.6 Publish Web Server 38

3.4 WEB ACCESS POLICY 44

3.4.1 Web Caching 44

3.4.2 Malware Inspection 45

3.4.3 HTTPS inspection 48

3.4.4 Web Proxy 49

3.5 MONITORING 50

3.6 NETWORKING 52

3.7 LOGS & REPORTS 56

3.8 REMOTE ACCESS POLICY 56

3.8.1 VPN client to gateway 56

3.8.2 VPN gateway to gateway 59

3.8.3 VNP dùng giao thức SSTP 62

3.8.4 UPDATE CENTRER 66

4 PHẦN 3: KHÁI NIỆM VỀ IPTABLES 68

4.1 GIỚI THIỆU VỀ IPTABLES 68

4.1.1 Cơ chế xử lý packet trong IPTables 69

4.1.2 Một số khái niệm trong IPTables 72

4.2 CẤU HÌNH IPTABLES 74

4.2.1 Cài đặt IPTables 74

4.2.2 Xử lý khi IPTables không khởi động 74

4.2.3 Các tham số chuyển mạch (switching) quan trọng của IPTables 75

4.2.4 Sử dụng chain tự định nghĩa (user defined chains) 77

4.2.5 Cơ chế NAT trong IPTables 78

4.2.6 Transparent proxy 79

4.3 PHÒNG CHỐNG TẤN CÔNG VÀ MỘT SỐ VÍ DỤ 79

4.3.1 Phòng chống tấn công từ chối dịch vụ (DOS) 79

4.3.2 Một số ví dụ về IPTables Firewall 80

4.4 KẾT LUẬN 83

5 PHẦN 4: TRIỂN KHAI CÁC CÔNG NGHỆ FIREWALL 84

5.1 MÔ HÌNH TỔNG QUAN 84

5.2 MỘT SỐ THAO TÁC CẤU HÌNH TRÊN CISCO ASA 5510 85

5.2.1 Cấu hình interface 85

5.2.2 Cấu hình telnet 86

5.2.3 Cấu hình SSH 87

5.2.4 Cho phép cấu hình ASA bằng ASDM 87

5.2.5 Quản lý license 88

5.2.6 Thực hiện NAT cho mạng bên trong đi ra ngoài 88

5.2.7 Thực hiện NAT cho Inside đi vào vùng DMZ2 88

5.2.8 Thực hiện một số cấu hình về dịch vụ truy cập trên Server 89

5.2.9 Cấu hình default route 89

5.2.10 Cấu hình ASA giao tiếp và nhận certification từ CA Server 89

5.2.11 Một số cấu hình liên quan đến bảo mật traffic 90

5.3 TRIỂN KHAI MỘT SỐ CHÍNH SÁCH TRÊN FIREWALL TMG 91

1 GIỚI THIỆU VỀ BÀI HỌC

Trong bài này, chúng ta sẽ nghiên cứu sâu hơn về các loại tường lửa và cách cấu hình một

số loại tường lửa phổ biến hiện nay: Microsoft Forefront Threat Management Gateway 2010 (TMG), IPTables Firewall, Cisco ASA

Bài học gồm những phần sau đây:

Ta sẽ giải thích tại sao tường lửa ra đời Các loại tường lửa phổ biến và cáchthức hoạt động chung của những loại tường lửa như thế nào Tường lửa giúp ích

gì cho hệ thống mạng và những gì chúng không thể làm được

Trong phần này ta sẽ nghiên cứu và cấu hình một phiên bản tường lửa mới nhất của Microsoft là TMG 2010 Là phiên bản nâng cấp từ Firewall ISA 2006, TMG có những đặc tính và những công nghệ nổi bật hơn so với Firewall ISA 2006

Nếu ở phần 2 ta nói về một phiên bản Firewall mới nhất của Microsoft là TMG, thì ở phần này ta sẽ nghiên cứu về một loại tường lửa được tích hợp trongnhân của hệ điều hành Linux, đó là IPTables Firewall IPTables được đánh giá

là loại tường lửa rất mạnh và có tốc độ xử lý nhanh hơn các loại tường lửa khác

do được ứng dụng trên giao diện dòng lệnh Nhưng để hiểu sâu về IPTables, người quản trị cần phải có kiến thức tốt về cách thức kết nối và xử lý gói tin Dovậy, việc cấu hình IPTables không phải đơn giản

Ở phần này, ta sẽ ứng dụng Firewall vào một mô hình thực tế Một mô hình bảo mật với sự kết hợp giữa 2 loại tường lửa phần cứng và phần mềm, đó là Cisco ASA và Microsoft TMG 2010 Ta sẽ tham khảo cách cấu hình Cisco ASA

và triển khai chính sách bảo mật trên hai tường lửa này

2 PHẦN 1: TÌM HIỂU VỀ TƯỜNG LỬA

2.1 TÌM HIỂU VỀ TƯỜNG LỬA

Công nghệ cơ bản của tường lửa lần đầu tiên xuất hiện trong hệ thống mạng vào đầunhững năm 1990 Khi mạng lưới interne đã phát triển và ngày càng tiến bộ thì vấn đề vềbảo mật càng được chú trọng Bên cạnh đó các hệ thống tường lửa cũng đã phát triển, chúngphát triển từ các gatekeeper đơn giản cho đến các công cụ bảo mật hoàn thiện để có thể làmviệc cùng với các hệ thống phát hiện xâm nhập và các chương trình quét phần mềm độc hại.Bảo mật trở thành vấn đề lớn cho các hệ thống kêt nối với internet Xâm nhập mạng vàcác cuộc tấn công trở nên phổ biến, rủi ro là một phần không thể tránh khỏi trong hoạt độngkinh doanh của các tổ chức sử dụng hệ thống mạng Trong một mạng lưới hiện đại, côngnghệ tường lửa là một thành phần thiết yếu cho bất kỳ một tổ chức nào đã xây dựng một môhình an ninh mạng Ngay cả khi một người sử dụng máy tính tại nhà kết nối internet thôngqua các kết nối của nhà cung cấp dịch vụ internet (ISP) thì các ISP này phải thường xuyêncài đặt phần mềm, phần cứng tường lửa để cung cấp biện pháp bảo vệ cho hệ thống người

sử dụng dịch vụ Hầu hết trong hệ thống mạng, tường lửa là những phương châm đẩu tiêncủa sự phòng ngừa tấn công mạng, và chính vì như vậy, làm việc 1 cách chắc chắn và amhiểu về tường lửa là bản chất của hệ thống mạng lưới tiến bộ Trong bài này, ta sẽ nghiêncứu như thế nào để cấu hình và triển khai hai nền tảng tường lửa phổ biến: MicrosoftForefront Threat Management Gateway 2010 (TMG) của Microsoft và IPTables của Linux

2.1.1 Những vấn đề cơ bản của tường lửa

Cơ bản của tường lửa là gì ? Làm thế nào để chúng có thể hoạt động một cách hiệuquả? Ta có thể xây dựng một hệ thống mạng an toàn bằng cách áp đặt những quy tắchoạt động của hệ thống mạng lên tường lửa qua việc cấu hình chúng Điều này sẽ đạthiệu quả cao nếu trả lời được những câu hỏi sao đây:

 Tường lửa là gì?

 Điều kiện liên kết các tường lửa phổ biến hiện nay?

 Chức năng cơ bản của một tường lửa là gì?

 Address, port, protocol và service hoạt động như thế nào trên tường lửa?

 Các loại tường lửa phổ biến hiện nay?

 Xây dựng các “quy tắc” của một tường lửa như thế nào?

 Những mô hình mạng phổ biến sử dụng tường lửa?

 Tại sao phải sử dụng một tường lửa?

 Tường lửa không thể bảo vệ những gì?

2.1.2 Điều kiện bắt buộc của một tường lửa

Chúng ta đều biết rằng mạng máy tính được tạo ra từ các hệ thống đa kết nối vớinhững mức độ khác nhau Liên hệ với con người, những sự tương tác hằng ngày của bạnvới những người xung quanh là một minh họa tốt nhất trong việc quản lý về các kết nốitin cậy Lấy ví dụ, bạn có thể tin tưởng vào người bạn tốt nhất của bạn, nhưng không thểtin tưởng vào những người xa lạ

Trong một môi trường mạng, sự tương tác của những khu vực này được gọi là “khuvực được tin cậy” Một số ví dụ phổ biến của khu vực này sẽ là local network, hệ thốngmạng nội bộ là nơi có mức độ tin cậy cao Internet là khu vực tin tưởng ít hoặc thậm chí

là không

Hình 1: Khu vực tin cậy riêng biệt của những tường lửa.

Thế giới mạng đã cho ra đời một loạt thuật ngữ như: Internet, Extranet, intranet vàDMZ Chúng ta có thể dùng các thuật ngữ này để định nghĩa các khu vực tin cậy, nhữngvấn đề này thường thấy trong bất kỳ một môi trường mạng nào

2.1.3 Các chức năng cơ bản của một tường lửa

Chức năng chính của tường lửa là kiểm soát các thông tin liên lạc giữa các hệ thốngvới các mức độ tin cậy khác nhau Sự kiểm soát của tường lửa cho việc truyền thônggiữa các hệ thống mạng được tin cậy, chúng cho phép ta thực thi các chính sách bảomật Điều này cho phép ta tạo một mô hình kết nối mạng cơ bản dựa trên các quy tắc vàthiết lập các mức độ truy cập khác nhau dựa trên nguồn, đích đến, giao thức và các dịch

vụ truyền thông mạng

Hình 2: tường lửa thực thi các quy tắc truy cập giữa các khu vực tin cậy

2.1.4 Address, Port, Protocol và Service

Tất cả các hệ thống liên lạc dựa trên Internet Protocol sẽ có một vài thuộc tínhchung Những thuộc tính chung này sẽ cho phép tường lửa thực hiện được hầu hết cácchức năng của nó Ở đây có 5 điểm chung cơ bản hiện diện trong mạng lưới thông tinliên lạc thông qua Internet Protocol

 Source address: địa chỉ nguồn của thông tin

 Destination address: địa chỉ đích của gói tin

 Protocol used: các giao thức ở đây có thể sẽ là TCP, UDP, ICMP, IGMP

 Target port: cổng là một thiết bị kết nối mạng logic Số hiệu của cổng này là mộtyêu cầu mạng xác định một dịch vụ cụ thể từ một nguồn tài nguyên ở xa trên mạng(IANA RFC quy định cụ thể về các con số của cổng)

 Service: Đây là ứng dụng dùng để cung cấp dữ liệu hoặc yêu cầu thiết thực bởikết nối mạng Nói chung, dịch vụ (service) lắng nghe những yêu cầu của một cổng cụthể trên một giao thức cụ thể

2.2 TƯỜNG LỬA VÀ MÔ HÌNH OSI

Công nghệ tường lửa hiện nay hoạt động trên các lớp của mô hình OSI

Hình 3: Tường lửa hoạt động tại tầng 2,3,4 và 7 trong mô hình OSI

Tường lửa thường hoạt động tại những mức độ tương ứng với các lớp của mô hình OSI,

2, 3, 4 và 7 Các chức năng mạng phổ biến là địa chỉ nguồn, đích, giao thức, cổng và dịch vụhoạt động trên các lớp của mô hình OSI

 Layer 2 (Data-link) : là lớp thấp nhất có chứa địa chỉ xác định địa chỉ nguồn và đích

đến cụ thể Tất cả những địa chỉ này là MAC (Media Access Control) và được chỉđịnh bởi card mạng Lấy ví dụ, một địa chỉ MAC của một card mạng là một ví dụcủa địa chỉ lớp 2 Đây là một trong những lớp được dùng bởi tường lửa để phân biệtđịa chỉ nguồn, địa chỉ đích cho việc kiểm soát thông tin truyền thông

cung cấp cơ chế chuyển mạch và định tuyến, tạo ra mạng ảo (các đường dẫn logic),

và truyền dữ liệu kiển point to point Địa chỉ nguồn, địa chỉ đích, định tuyến, chuyểntiếp, sắp xếp gói tin, xử lý lỗi, và xử lý lưu lượng được xử lý tại lớp này Giống nhưlớp 2, lớp 3 cũng được dùng bởi tường lửa để phân biệt địa chỉ nguồn , địa chỉ đíchcho việc kiểm soát các thông tin

đổi thông tin Đây là lớp chỉ định các giao thức vận chuyển VD:TCP,UDP,ICMP,v.v… Và các cổng nguồn và đích được quy định rất cụ thể Tườnglửa có thể thực thi các giao thức và cổng thông tin từ lớp thứ 4 và dùng những giá trịnày để kiểm soát việc truyền thông mạng

 Layer 7 (Application): Hỗ trợ cả ứng dụng (dịch vụ) và các tiến trình người dùng.

Lớp này là nơi mà những thứ như các đối tác truyền thông, chứng thực, chất lượngdịch vụ Mọi thứ tại lớp này là những ứng dụng cụ thể Dữ liệu sẽ được truyền đi từchương trình, sau đó đóng gói và truyền qua các lớp bên dưới Tường lửa có thể sửdụng một máy chủ lưu trữ thông tin, và quản lý thông tin thông qua nó

2.3 CÁC LOẠI TƯỜNG LỬA PHỔ BIẾN

2.3.1 Các tường lửa lọc gói tin đơn giản

Tường lửa lọc gói tin đơn giản là loại cơ bản nhất của tường lửa Chúng kiểm traviệc gửi đến hoặc gửi đi các gói tin và so sánh chúng với một “quy tắc” đã thiết lập đểxác định gói tin được cho phép hoặc từ chối

Các tường lửa lọc gói tin hoạt động tại tầng 2 và tầng 3 của mô hình OSI Chúngcung cấp việc kiểm soát truy cập mạng bằng cách so sánh các quy tắc thiết lập thông tinchứa trong các gói tin như:

 Địa chỉ nguồn của gói tin là những địa chỉ IP của hệ thống gửi đi

 Địa chỉ đích của gói tin là những địa chỉ IP của hệ thống mà các gói tin được gửiđến

 Các giao thức mạng được dùng để truyền thông giữa địa chỉ nguồn và địa chỉđích

 Một số bộ lọc gói tin đơn giản cũng bao gồm một số đặc điểm của tầng 4 về sựtruyền thông như cổng nguồn và cổng đích của kết nối

 Nếu tường lửa là ‘multi-home’ tới 3 hoặc nhiều phân đoạn mạng (chẳng hạn nhưtrong cấu hình DMZ 3 đường) Một tường lửa lọc gói cũng đọc thông tin gói tinliên quan đến interface của tường lửa cho gói tin đích

Hình 4: Một tường lửa lọc gói tin đơn giản hoạt động tại những tầng 2,3

2.3.2 Tường lửa trạng thái

Những tường lửa lọc gói tin đơn giản hoạt động trên các lớp 2 và 3 của mô hình OSI.Các tường lửa kiểm tra tình trạng gói tin thêm lớp 4 ngoài lớp 2, 3 Vì thế, chúng có thểtheo dõi các kết nối ảo một cách hợp lý, những bức tường lửa này đôi khi được gọi lànhững tường lửa cấp độ Circle

Hình 5: Các lớp trong mô hình OSI của tường lửa trạng thái

Bộ lọc gói theo trạng thái cũng sử dụng các bộ quy tắc để kiểm soát gói tin Nhưngchúng bổ sung thêm một vài tính năng nhằm tăng cường hiệu suất và giải quyết một vàivấn đề của tường lửa lọc gói tin đơn giản

Những bức tường lửa theo dõi tình trạng của tất cả các kết nối trong bảng dữ liệunằm bên trong bộ nhớ Điều này cho phép tường lửa xác định một gói tin đến hoặc làmột kết nối mới hoặc là kế nối hiện đang thiết lập

Một khi các phiên kết nối đã kết thúc hoặc hết thời gian, thì mục của nó tương ứngvới bảng trạng thái đã được loại bỏ, một số ứng dụng sẽ gửi những gói tin “keepalive”theo chu kỳ để các tường lửa từ bỏ các kết nối ít được sử dụng

2.3.3 Tường lửa dựa trên ứng dụng

Tường lửa ứng dụng (Cũng có thể gọi là Proxy-Gateway) là những tường lửa tinh vikết hợp kiểm tra cả kiểm soát truy cập ở lớp dưới với lớp 7 trong mô hình OSI Tườnglửa ứng dụng kiểm soát định tuyến của các gói dữ liệu giữa những khu vực tin cậy vàkhông tin cậy được cấu hình trên tường lửa dựa trên ứng dụng hoặc dịch vụ đang gửihoặc nhận các gói dữ liệu tất cả các gói dữ liệu mạng vượt qua được tường lửa thì phảichịu sự kiểm soát của các phần mềm ứng dụng proxy

Hình 7: các lớp trong mô hình OSI của tường lửa ứng dụng.

Tường lửa ứng dụng có khả năng kiểm tra sâu vào các gói tin để đánh giá chính xácnhững kết nối nào là cho phép và những kết nối nào là từ chối Bằng cách đọc dữ liệuthực tế bên trong một gói tin , ứng dụng tường lửa có thể phát hiện ra bằng việc cố gắngxâm nhập chẳng hạn như những sự truyền thông không được phép gán mặt nạ bên tronggói tin gửi đi trên cổng cho phép Lấy ví dụ, ẩn những gói tin truyền thông IRC bằngcách sử dụng port 80 để giả mạo HTTP Các tường lửa truyền thống không thể phát hiện

Tuờng lửa ứng dụng thường có khả năng yêu cầu chứng thực với mỗi user hoặc hệthống truyền dữ liệu đi qua tường lửa Vì thế, loại tường lửa này có ưu điểm hơn so vớihai loại trên.

2.4 XÂY DỰNG CÁC QUY TẮC CHO TƯỜNG LỬA

Các tường lửa có thể kiểm soát được lưu lượng mạng Khi một gói tin nhận được từtường lửa, nó sẽ kiểm tra các thuộc tính của gói tin qua các tầng mạng khác nhau Sau đó,các thông tin này sẽ được so sánh với các quy tắc đã được cấu hình trong tường lửa.Dựa trênkết quả so sánh đó, các gói dữ liệu có thể được xử lý như sau:

 Accept (cho phép): Tường lửa cho phép các gói tin đi đến đích theo yêu cầu

 Deny (từ chối): Tường lửa hủy bỏ các gói tin và trả về một thông báo lỗi về nguồn

 Discard (hủy bỏ): Tường lửa hủy bỏ gói tin, nhưng không trả lại thông báo lỗi vềnguồn

Danh sách các thuộc tính để cấu hình tường lửa :

 Domain name of source

 Domain name of destination

 Authentication

 And many other attributes

2.5 CÁC MÔ HÌNH LIÊN KẾT PHỔ BIẾN TƯỜNG LỬA

Tường lửa có thể được cài đặt trong các mô hình mạng khác nhau Có 3 mô hình tườnglửa chuẩn thường được sử dụng trong mạng Chọn đúng mô hình mạng cho hệ thống là bướcthành công đầu tiên trong việc triển khai tường lửa trên hệ thống mạng

2.5.1 Perimeter Firewall

Mô hình này đặt một tường lửa duy nhất kết nối trực tiếp giữa những hệ thống haymạng tin cậy và không tin cậy

Hình 8: ví dụ về một mô hình tường lửa.

Đây là một sự lựa chọn tốt cho một mô hình mạng khi bạn cho phép kết nối Internet

từ những mạng tin cậy của bạn, nhưng không muốn cung cấp thông tin bên trong chongười dùng từ internet

Bạn cũng có thể cấu hình Perimeter Firewall cho phép truy cập vào một số tàinguyên bên trong bằng cách tạo những quy tắc cho phép bên ngoài chỉ được truy cậpnhững nội dung này giống như mail server và web server

Tuy nhiên, tài nguyên nội bộ phải cấu hình để cho phép truy cập từ bên ngoài Vìvậy mạng bên trong sẽ dễ bị tấn công Cần tạo ra một tài nguyên cho người dụng ở khuvực không tin tưởng

2.5.2 Three-Legged (DMZ) Firewall Topology

Mô hình DMZ ba chân thường được dùng ở những nơi mà bạn cần đưa một tàinguyên đến những mạng không tin cậy như là Internet Mô hình này dùng một tườnglửa duy nhất giống như Perimeter Firewall Tường lửa phải có thêm một card mạng đểkết nối vào vùng chứa các tài nguyên bên ngoài

Các mô hình tường lửa ba chân cho phép đưa các tài nguyên bên trong ra bên ngoàitrong khi vẫn ngăn chặn tất cả các truy cập vào mạng nội bộ Trong mô hình này, cácquy tắc cấu hình khác nhau cho mạng nội bộ và DMZ Các kết nối ở mạng nội bộ phảiđược cấu hình ngăn chặn tất cả các kết nối từ bên ngoài đi vào mạng nội bộ trong khicác kết nối ở bên DMZ được cấu hình cho phép một tài nguyên cụ thể trong DMZ từmạng bên ngoài.

Cấu hình này làm tăng tính bảo mật cho hệ thống mạng nội bộ của bạn bằng cáchloại bỏ việc mở tất cả các cổng đến mạng nội Một lợi ích bảo mật bổ sung trong môhình này là nếu một tài nguyên cho phép truy cập từ bên ngoài thì mạng nội bộ vẫn antoàn

2.5.3 Chained (DMZ) Firewall Topology

Mô hình này dùng một cặp tường lửa để tạo DMZ, 2 tường lửa “đặt giữa” DMZ giữamạng nội bộ và mạng bên ngoài Mô hình Chained Firewall này được cấu hình đúng thì

nó mang lại một chế độ bảo mật cấp cao cho mạng của bạn

Hình 10: Mô hình Chained Firewall.

Mô hình này được dùng cho cả mạng nội bộ và mạng bên ngoài cần cho việc truycập vào tài nguyên DMZ

2.6 NHỮNG MẶT HẠN CHẾ CỦA TƯỜNG LỬA

Sau đây là những vấn đề mà tường lửa không thể bảo vệ cho hệ thống:

 Các cuộc tấn công và đe dọa từ nội bộ

 Những người trong nội bộ phá hoại công ty hoặc những người vô đạo đức cố gắngphá hoại hệ thống của bạn vì mục đích cá nhân

 Các chính sách đặt mật khẩu quá yếu hoặc trình độ quản trị của người quản trị mạngquá thấp

 Tưởng lửa không thể chống lại các cuộc tấn công mà không đi qua tường lửa

 Kết nối dùng chung moderm hoặc mạng không dây với những người khác

 Không thể chống lại các cuộc tấn công vào các dịch vụ cho phép đi vào bên trongmạng của bạn

 Allow inbound traffic: Ở đây sẽ bao gồm các cuộc tấn công trên web và email Khibạn cho phép truy cập vào một web server và web server này bị dính một lỗi màchưa cập nhật Khi đó, các cuộc tấn công vào web server dựa trên những lỗi này thìtường lửa sẽ không có tác dụng trong trường hợp này

 Tường lửa không thể bảo vệ cho bạn tránh khỏi các phần mềm độc hại và các lỗhổng bảo mật trên trình duyệt web

3 PHẦN 2: CẤU HÌNH MICROSOFT FOREFRONT THREAT

MANAGEMENT GATEWAY 2010 (TMG)

3.1 GIỚI THIỆU

Sự xuất hiện của Microsoft Forefront Threat Management Gateway 2010 (TMG)

đã mang lại khá nhiều điều thú vị và có nhiều lý do thuyết phục cho việc nâng cấp từ cácphiên bản Microsoft ISA Server trước đây Một trong số đó là các tính năng bảo mậtmới có trong sản phẩm, chẳng hạn như lọc URL, chống virus trên web, chống malware,chuyển tiếp SSL, hệ thống phát hiện và ngăn chặn xâm nhập hoàn toàn mới, khả năngbảo vệ email Bên cạnh đó còn có vô số những thứ khác cũng được thay đổi để cho phépnhiệm vụ quản lý hàng ngày đối với TMG trở nên dễ dàng hơn Trong đồ án này, chúng

em sẽ giới thiệu một số tính năng cơ bản được ưa thích và một số cải tiến trong TMG để

có thể cho administrator triến khai từ đơn giản đến phức tạp

 Chức năng chính của Forefont TMG 2010:

Forefont TMG 2010 đáp ứng đầy đủ tất cả các tính năng của firewall Được đa sốdoanh nghiệp vừa và nhỏ triển khai vì chi phí thấp, dễ sử dụng, đáp ứng mọi mô hìnhmạng Được phát triển dựa trên phiên bản ISA 2006 của Microsoft đã thành công trước

đó Tiếp nối thành công đó, Forefont TMG 2010 ra đời

 Các tính năng nổi trội của Forefont TMG 2010:

Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường truyền

internet

Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác khi truy

cập web

URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân loại

nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat

HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống

phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate

E-mail protection subscription service: tích hợp với Forefront Protection 2010 for

Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware,spam e-mail trong hệ thống Mail Exchange

Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng

bảo mật

Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra tình

trạng an toàn của các client trước khi cho phép client kết nối VPN

Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 &

Windows Server 2008 R2 64-bit

 Bảng so sánh tính năng ISA Server 2006 và Forefront TMG:

 Các yêu cầu phần cứng khi cài đặt Forefont TMG

- Windows Roles and Features

+ Network Policy and Access Server + Active Directory Lightweight Directory Services (ADLDS) + Network Load Balancing (NLB)

- Microsoft® NET 3.5 Framework SP1

- Windows Web Services API

3.2 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT

3.2.1 Cài đặt Forefont TMG 2010 Server

Sau khi giải nén ra Chọn Forefront

TMG Management

B5 : Chọn Finsh để kết thúc B6 : Chọn Configure system settings

to check for updates (recommended) để

update TMG

B14 : Chọn Close để hoàn thành Đây là giao diện để cấu hình của Forefront TMG

3.2.2 Cấu hình để máy client đồng bộ với Forefont TMG Server

Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG

Server là Secure NAT Client, Web Proxy Client & Forefront TMG Client với các

đặc điểm được so sánh trong bảng sau:

Với các đặc điểm trong bảng so sánh trên, sẽ thấy ưu điểm của Forefront TMG Client là vừa hỗ trợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User

account, vì vậy trong hệ thống Forefront TMG 2010 nên sẽ cấu hình cho các máy Clients truy cập Internet bằng cơ chế Forefront TMG Client Và để TMG Client tự động

dò & kết nối đến TMG Server bằng cách cấu hình chức năng Auto Discovery trên Forefront TMG 2010

Bước 1: Bật chức năng Auto Discovery tren Forefront TMG Server

Bước 2: Cấu hình Auto Discovery

Bước 3: Cài đặt Forefront TMG Client

a Bước 1: Bật chức năng Auto Discovery trên Forefront TMG Server

Auto Discovery cung cấp thông tin tự động cho Forefront TMG client vàWeb Proxy client trên TMG Servet, logon vào Administrator, mở ForefrontTMG Management, vào Metworking, trong cửa sổ giữa, qua tab Network,nhấp chuột phải vào Internal, chọn Properties Trong hợp thoại InternalProperties, qua tab Auto Discovery, đánh dấu chọn vào ô Publish automaticdiscovery information for this network, chọn OK

B1 : bên trái chọn Network Bên phải chọn

Internal sau đó Properties

B2 : qua tab Auto Discovery chọn check

vào Publish automatic discovery

information for this network

b Bước 2: Cấu hình Auto Discovery bằng Alias record trên DNS Server

Trên DNS Server (Server02), mở DNS Management, bung Forward Lookup Zones, chuột phảitrên zone caonhatquang.com chọn New Alias (CNAME)

B1 : thực hiện tại máy DC Vào administrator tool

B2 : hộp thoại New Resource Record, khai báo các thông tin như

trong hình bên dưới, chọn OK (TMG.caonhatquang.com là tên củamáy TMG Server)

c Bước 3: Cài đặt Forefront TMG Client

Để triển khai cài đặt Forefront TMG Client cùng lúc cho tất cả các máyClients, trong hệ thống thực tế các bạn có thể sử dụng chức năng DeploySoftware của GPO hoặc SCCM Trong bài viết này, để hiểu rõ vấn đề cài đặtForefront TMG Client nên chúng tôi sẽ cài bằng tay

Trên các máy Client, mở source cài đặt Forefront TMG 2010, vào thư mục

client, chạy file TMGClient_ENU_x86.exe (đối với hệ điều hành 32 bit ) hay file TMGClient_ENU_x64.exe (đối với hệ điều hành 64 bit) để cài đặt.

B3 : chọn I accept the terms in the

license agreement  Next

B4 : Connect to this Forefront TMG

computer : khai báo bằng tay Automatically detect the appropriate Forefront TMG computer : tự động dò và kết

nối với TMG Server Option này được chọn 

Next

B5 : Chọn Automatically detect the

appropriate Forefront TMG computer

 Next

B6 : Chọn Finish

Mở Forefront TMG Client, qua tab

Setting, kiểm traTMG Client kết nối đến

TMG Server thành công, chọn Advanced

Trong hộp thoại Advanced Automatic

Detection, kiểm tra chúng ta đang sử dụng cả 3

cơ chế Auto Discover

3.3 FIREWALL POLICY

 Access Rule :

3.3.1 Tạo rule cho phép traffic DNS Query để phân giải tên miền

B1 : Firewall Policy  New  Access

Rule

B2 : Access rule name điền DNS Query

B3 : chọn Allow B4 : Chọn Add  DNS  Next

B6 : chọn Next B7 : Kiểm tra tại máy domain

B2 : Hộp thoại Welcome to the New User

Set Winzard : đặt tên Giangvien

B3 : Hộp thoại Users : Add -> Windows

users and groups

3.3.3 Định nghĩa giờ làm việc

B6 : Hộp thoại Completing the New User Set

Winzard - chọn Finish

B2 : Hộp thoại New Domain Name Set

Policy ElementName : Allow website

B1 :Chuột

phải lên rule

đã tạo 

Properties

Tab Content Types Tùy chọn nội dung

trang web được xem

Tab Malware Inspection coi có bật tính năng

phát hiện Malware

B2 : Tab Method  Add và thêm những

phương thức muốn cấm hay cho phép

3.3.6 Publish Web Server

B1 : Fiwall Policy  New  Web Site

Publishing Rule

B2 : đặt tên ở Web publishing rule name

balancer(khi chỉ có 1 web server).Option này

B9 : Web listener name  Listener web B10 : chọn Do not require SSL secured

connections with clients