Ứng dụng của phần mền ISA SERVER 2004 trong hệ thống máy tính và bảo mật mạng

Ứng dụng của phần mền ISA SERVER 2004 trong hệ thống máy tính và bảo mật mạng

Lời mở đầu

Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếuchứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụngcông nghệ thông tin Bảo mật thông tin không chỉ thuần túy là những công cụ(Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn

đề

Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia vềCNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt độngsản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừng lại ở mức công cụ,

và đôi khi nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở,không đem lại những hiệu quả thiết thực cho những Tổ chức sử dụng nó Ứng dụng công nghệ thông tin một cách có hiệu quả và “bền vững”, là tiêuchí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ Xét trênbình diện một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũngluôn mong muốn có được điều này Tính hiệu quả là điều bắt buộc, và sự “bềnvững” cũng là tất yếu Khi triển khai một hệ thống thông tin và xây dựng được

cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho

hệ thống thông tin của doanh nghiệp hoặc một tổ chức đó Và tất cả chúng tađều hiểu rằng giá trị thông tin của doanh nghiệp hay doanh nghiệp… Là tài sản

vô giá Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếmđược như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịchvới khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khácnhau… Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đâykhông còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thốngthông tin (PCs, Enterprise Networks, Internet, etc…)

Theo tạp chí computer Economics mỗi năm các cuộc tấn công mạng trêntoàn thế giới gây thiệt hại cho nền kinh tế thế giới hàng tỷ USD có thể kể ranhững nỗi “ám ảnh” của thế giới như vụ bùng phát vius code red năm 2001 chỉsau 24h sau khi virus này bắt đầu phát tán 341.015 máy chủ (server) trên toàn

thế giới đã bị lây nhiễm, gây thiệt hại vào khoản 2,6 tỷ USD Tháng 1/2002Cloud Nine nhà cung cấp dịch vụ tại châu âu đã bị phá sản vì các cuộc tấn công

từ chối dịch vụ…Việt Nam đang là nước có tình trang tin tặc lộng hành rất phổbiến chỉ tính riêng năm 2007 thiệt hại do virus gây ra vào khoảng hơn 2000 tỷđồng( trung bình khoảng 591.000 đồng /1 PC), với 6752 virus mới xuất hiệntrong năm( trung bình 18,49 virus/ngày) Năm 2007 cũng là năm báo động đỏcủa an ninh mạng việt nam khi có đến 342 website bị hacker trong và ngoàinước tấn công Bên cạnh những thiệt hại có thể thống kê bằng các con số nhưtrên, thì không thể thống kê được nhưng lòng tin của người sử dụng dịch vụ, củathị trường vào hệ thống cung như các dịch vụ cung cấp qua mạng internet bịgiảm sút và chính viễn cảnh thiếu an toàn cũng khiến không ít cơ sở ngừng kinhdoanh việc bán hàng trực tuyến

Tháng 10/2008 theo thống kê của Trung tâm an ninh mạng Bkis đã có 3910dòng virus mới xuất hiện tại việt nam, 50 website của các cơ quan doanh nghiệpcủa Việt Nam bị hacker xâm nhập Ngoài ra bkis còn phát hiện lỗ hổng của 11website của các cơ quan và doanh nghiệp thuộc chính phủ Mặc dù tình trạn anninh mạng ở Việt mnam đang ở tình trạng “báo động đỏ” nhung phần lớn ngườidùng, tổ chức hay các cơ quan doanh nghiệp chưa được trang bị những kiến thứccần thiết để đảm bảo an ninh mạng, hơn thế nữa hệ thống an ninh mạng của các

tổ chức hay doanh nghiệp còn nhiều lỗ hổng thậm trí doanh nghiệp hoặc tổ chứccòn không có nhưng thiết bị anh ninh mạng và bảo mật mạng Và chính vì vậy,tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử

lý để đối phó với những cuộc tấn công và nguy cơ mất an ninh mạng

Để có thể chống lại những cuộc tấn công và nguy cơ an ninh mạng trướchết là do ý thức của người sử dụng Yếu tố con người chính là yếu tố quan trongnhất, và cuối cùng là những công cụ đắc lực nhất đó chính là tường lửa

‘firewall’ Có rất nhiều hãng sản xuất và thiết kế tường lửa trên thế giới như:Symantec, Cisco, hay Microsoft… Được sử dụng cho rất nhiều hệ điều hànhcũng như với những hệ thống mạng khác nhau Có 2 loại firewall chính đó làfirewll cứng và firewall mền, các sản phẩm firewall mền thường không đắt bằng

firewll cứng, thậm chí có nhưng sản phẩm còn được sử dụng miễn phí So vớifirewall cứng thì firewall mền linh động hơn có thể chạy tốt trên các hệ điềuhành khác nhau và một trong nhưng firewall mền nổi tiếng đó là: ISA,Zonealarm… Nhưng nổi lên hơn cả đó chính là ISA server ‘Microsoft InternetSecurity and Acceleration Server’ là phần mềm chia sẻ Internet của Microsoft.

Có thể nói đây là phần mềm chia sẻ Internet khá hiệu quả, ổn định, dễ cấuhình, thiết lập tường lửa tốt Tốc độ nhanh nhờ chế độ cache thông minh, vớitính năng lưu cache trên đĩa giúp bạn truy xuất thông tin nhanh hơn, vàtính năng Schedule Cache (lập lịch cho tự download thông tin trên cácWebServer lưu vào cache và máy con chỉ cần lấy thông tin trên các WebServer

đó bằng mạng LAN) Nội dung đồ án bao gồm 3 chương:

- Chương I: TỔNG QUAN VỀ ISA SERVER 2004 Nghiên cứu về ISA

server 2004 một các tổng quan Em đã đưa nhưng lý thuyết mình nắm bắt được,những nguyên lý vận hành những và hoạt động của ISA server 2004

- Chương II: THIẾT LẬP FIREWALL VÀ CÁC RULE VỚI ISA server.

Tìm hiểu về tường lửa trong ISA server 2004 nội dung chính của phần này đãnêu ra cá nhìn tổng quan nhất về tường lửa, và ứng dụng của tường lửa trongISA server 2004 và đặc biệt là “rule” trong ISA server được thiết lập và cấuhình, áp dụng vào thực tế

- Chương III: THIẾT LẬP VÀ CẤU HÌNH VPN VỚI ISA server 2004.

Chương này đã nghiên cứu về VPN trong ISA SERVER 2004 Ở chương này

em đã trình bày 1 cách tổng quan nhất về VPN và đặc biệt là ứng dụng của VPNđược áp dụng trong ISA SERVER 2004

Mục đích của đồ án là đưa ra một cái nhìn tổng quan về ứng dụng củaphần mền ISA SERVER 2004 trong hệ thống máy tính và bảo mật mạng đồngthời đưa ra khuyến nghị nhằm hỗ trợ các tổ chức hay các doanh nghiệp trongqua trình phát triển của công nghệ thông tin hiện nay tăng cường bảo mật chốnglại sự xâm nhập từ bên ngoài cũng như bên trong mạng

Qua quá trình học tập và thực tập tại công ty IDG (tập doàn dữ liệu quốctế), để hoàn thành đồ án này em đã nhận được sự chỉ bảo tận tình của các anhchị trong công ty, thầy giáo hướng dẫn và các thầy cô giáo trong khoa CNTT

Vì thời gian có hạn và kiến thức còn hạn chế nên khó tránh khỏi nhưng thiếuxót Em mong được sự đóng góp ý kiến từ thầy cô và bạn bè

Với lòng biết ơn sâu sắc Em xin chân thành cảm ơn tới thầy giáo hướngdẫn đã hướng dẫn em hoàn thành đồ án này

Em xin chân thành cảm ơn!

Hà nội, ngày … tháng 4 năm 2009

Chương I TỔNG QUAN VỀ ISA SERVER

I GIỚI THIỆU VỀ ISA SERVER

1.1 GIỚI THIỆU CHUNG.

- Microsoft Internet Security and Acceleration Server (ISA Server) là

phần mềm chia sẻ Internet của Microsoft Có thể nói đây là phần mềm chia sẻInternet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa tốt

- ISA được thiết kế chủ yếu để hoạt động như một tường lửa, nhằm đảm

bảo rằng tất cả những lưu lượng (traffic) không trông đợi từ internet được chặnlại bên ngoài của tổ chức Đồng thời ISA có thế cho phép người dùng (user) bêntrong mạng tổ chức truy cập một cách có chọn lọc đến các tà nguyên trêninternet và các user trên internet có thể truy cập vào bên trong mạng tổ chức saocho phù hợp với các qui tắc (rule) của ISA server

- ISA là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật

mạng và tổ chức Vai trò của của ISA server rất trọng yếu Bởi vì nó được triểnkhai tại điểm kết nối giữa mạng bên trong tổ chức và internet Hầu hết các tổchức cung cấp một vài mức độ truy cập internet cho người dùng của họ ISAserver có thể áp đặt các chính sách bảo mật (sercurity polices) để phân phát đếnngười dùng (user) một số cách thức truy cập internet cho nguời dùng của họ.Đồng thời nhiều tổ chức cũng cung cấp cho các user ở xa (remote user) một sốcách thức truy cập đến các máy chủ trong mạng tổ chức

- Ngoài ra, ISA server còn cung cấp các tính năng mở rộng như:

+ Multi-Networking: Kĩ thuật thiết lập các chính sách truy cập dựa trên địa chỉ

mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con

+ Unique per-network policies: đặc điểm multi-networking được cung cấp trong

ISA server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuấtcủa các client bên ngoài internet, bằng cách tao ra một vùng ngoại vi perimeternetwork (được xem là vùng DMZ, demilitazed zone, hoặc sreened subnet), chỉ

cho phép các client bên ngoài truy xuất vào các server trên mạng ngoại vi,không cho phép các client truy xuất trực tiếp vào mạng nội bộ.

+ Stateful inspection of all trafic: cho phép giám sát tất cả lưu lượng mạng + NAT and route network relationships: cung cấp kỹ thuật NAT và định tuyến dữ

liệu cho mạng con

+ Network templates: cung cấp các mô hình mẫu (network templates) về một số

kiến trúc mạng kèm theo một số luật cần thiết cho network templates tương ứng

+ VPN network: truy cập từ xa cho doanh nghiệp giám sát , ghi nhận log , quản

lý session cho từng VPN server, thiết lập access policy cho từng VPN client,cung cấp tính năng tương thích với VPN trên các hệ thống khác

+ Security: thiết lập firewall cho hệ thống như Authentication, publish server,

giới hạn một số lưu lượng (traffic)

+ Web cache: để tăng tốc độ truy suất mạng, giảm tải cho đường truyền, web

proxy để chia sẻ truy xuất web

-Cung cấp một số tinh năng quản lý hiệu quả như: giám sát lưu lượng, reportingqua web, export và import cấu hình từ XML configuration file, quản lý lỗi hệthông thông qua kỹ thuật gửi thông báo qua e-mail…

+ Application layer filtering (ALF): là một trong nhưng điểm mạnh của ISA

server 2004, không giống như packet filtering firewall truyền thống, ISA 2004

có thể thao tác sâu hơn như có thể lọc các thông tin trong tầng ưng dụng Một sốđặc điểm nổi bật của ALF:

 Cho phép thiết lập bộ lọc HTTP inbound và oubound HTTP

 Chặn được các loại tập tin thực thi chạy trên nền windown như: pif, com,

…

 Có thế giới hạn HTTP download

 Có thể truy suất web cho tất cả các client dự trên nội dung truy cập

 Có thể điều truy xuất HTTP dựa trên chữ ký (signature)

 Điều khiển một số phương thức truy xuất của HTTP

I.2 CÁC CHỨC NĂNG CỦA ISA SERVER.

I.2.1 Chức năng tường lửa.

Tường lửa (firewall) là một thiết bị được đặt giữa một phân đoạn mạngvới một phân đoạn mạng khác trong một mạng Firewall được cấu hình vớinhững qui tắc (rule) lọc lưu lượng (traffic), trong đó định nghĩa những loại lưulượng mạng (network traffic) sẽ được phép đi qua Firewall có thể được bố trí vàcấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong để bảo vệ mộtvùng đặc biệt trong mạng Trong hầu hết trường hợp, firewall được triển khai ởvành đai mạng Chức năng chính của firewall trong trường hợp này là đảm bảokhông có lưu lượng nào từ Internet có thể tới được mạng bên trong (internalnetwork) của tổ chức trừ khi nó được cho phép

Ví dụ, trong tổ chức bạn có một web bên trong mạng (internal WebServer) cần cho người dùng internet (internet user) có thể tới được Firewall cóthể được cấu hình để cho phép các lưu lượng (traffic) từ Internet chỉ được truycập đến Web Server đó.Về mặc chức năng ISA Server chính là một firewall Bởimặc định, khi bạn triển khai ISA Server, nó sẽ khóa tất cả ‘traffic’ giữa cácmạng mà nó làm Server, bao gồm ‘internal network’, vùng DMZ (DemilitarizedZone) và Internet ISA Server 2004 dùng 3 loại quy tắc lọc (filtering rule) đểngăn chặn hoặc cho phép các lưu lượng mạng (network traffic), đó là: packetfiltering, stateful filtering và application-layer filtering

a Packet Filtering (Lọc gói tin).

Packet filtering làm việc bằng cách kiểm tra thông tin mào đầu (header)

của từng gói tin mạng (network packet) đi tới firewall Khi gói tin (packet) đi tớigiao tiếp mạng của ISA Server, ISA Server sẽ xem phần mào đầu (header) củacủa gói tin (packet) và kiểm tra thông tin (địa chỉ nguồn và đích, và địa chỉ cổng

‘port’ nguồn và đích) ISA Server so sánh thông tin này dựa vào các luật ‘rule’của firewall, đã định nghĩa gói tin nào ‘packet’ nào được cho phép Nếu địa chỉnguồn và đích được cho phép, và nếu cổng ‘port’ nguồn và đích được cho phép,gói tin ‘packet’ được đi qua firewall để đến đích Nếu địa chỉ và cổng ‘port’

không chính xác là những gì được cho phép gói tin sẽ bị loại bỏ bà không được

đi qua firewall

b Stateful Filtering (Lọc trạng thái).

Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với gói tin mạng

‘network packet’ để dẫn đến quyết định có cho qua hay là không Khi ISA Severdùng một sự xem xét kỹ trạng thái, nó kiểm tra các mào đầu ‘header’ củaInternet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạngthái của một gói tin ‘packet’ bên trong nội dung của những ‘packet’ trước đó đã

đi qua ISA Server, hoặc bên trong nội dung của một phiên (session) TCP

Ví dụ, một người dùng ‘user’ trong ‘internal network’ có thể gửi một yêucầu ‘request’ đến một Web Server ngoài Internet Web Server đáp lại yêu cầu

‘request’ đó Khi gói tin ‘packet’ trả về đi tới firewall, firewall kiểm duyệt thôngtin phiên của TCP ‘TCP session’ (là một phần của ‘packet) Firewall sẽ xác địnhrằng ‘packet’ thuộc về một phiên ‘session’ đang hoạt động mà đã được khởi tạobởi một ‘user’ trong ‘internal network’, vì thế gói tin ‘packet’ được chuyển đếnmáy tính của ‘user’ đó Nếu một ‘user’ bên ngoài mạng cố gắng kết nói đến mộtmáy tính bên trong mạng tổ chức, mà firewall xác định rằng ‘packet’ đó khôngthuộc về một ‘session’ hiện hành đang hoạt động thì gói tin đó sẽ bị loại bỏ

c Application-Layer Filtering (Lọc lớp ứng dụng).

ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một

‘packet’ có được cho phép hay là không ‘Application-layer filtering’ kiểm tranội dung thực tế của ‘packet’ để quyết định liêu ‘packet’ có thể được đi quafirewall hay không ‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữliệu thực sự bên trong nó trước khi đưa ra quyết định cho qua.Ví dụ, một ‘user’trên Internet có thể yêu cầu một trang từ ‘internal Web Server’ bằng cách dùnglệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol) Khi ‘packet’

đi tới firewall, ‘application filter’ xem xét kỹ ‘packet’ và phát hiện lệnh “GET”

‘Application filter’ kiểm tra chính sách của nó để quyết định Nếu một ‘user’ gửimột ‘packet’ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thôngtin lên Web Server, ISA Server một lần nữa kiểm tra ‘packet’ ISA Server nhận

thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết định rằnglệnh này không được phép và ‘packet’ bị đánh rớt.‘HTTP application filter’được cung cấp cùng với ISA Server 2004 có thể kiểm tra bất kỳ thông tin nàotrong dữ liệu, bao gồm: ‘virus signature’, chiều dài của ‘Uniform ResourceLocation’ (URL), nội dung ‘page header’ và phần mở rộng của ‘file’ Ngoài

‘HTTP filter’, ISA Server còn có những ‘application filter’ khác dành cho việcbảo mật những giao thức và ứng dụng khác

I.2.2 chức năng bảo mật truy cập internet.

Hầu hết các tổ chức đều phải cho nhân viên của mình truy cập internet và

sử dụng World Wide Web như một nguồn tài nguyên và một công cụ giao tiếp.Điều đó có nghĩa là không tổ chức nào tránh được việc truy cập internet, và việcbảo mật kết nối internet trở nên thiết yếu ISA Server có thể được dùng để bảomật các kết nối của máy trạm đến nguồn tài nguyên trên internet Để làm đượcđiều đó, cần phải cấu hình tất cả máy trạm đều phải thông qua ISA Server để kếtnối internet Khi đó ISA Server sẽ hoạt động như một ‘proxy server’ giữa máytrạm trong mạng tổ chức và nguồn tài nguyên trên internet Điều này có nghĩa làkhi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có kếtnối trực tiếp giữa máy trạm đó và Web Server

Thành phần ‘proxy server’ trên ISA Server sẽ làm việc trực tiếp với WebServer (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web Serverhồi đáp lại cho máy trạm trong mạng nội bộ) Nhờ đó mà thông tin mạng củamáy trạm sẽ không bị phơi bài ra mạng bên ngoài.Và việc máy trạm dùng ứngdụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũngđược ISA Server kiểm soát ISA Server cũng hoạt động như một‘cachingserver’

I.2.3 Cho phép truy cập nguồn tài nguyên nội bộ một cách bảo mật.

Một số tổ chức muốn người dùng trên internet có thể truy cập đến nguồntài nguyên đặc trong mạng nội bộ của tổ chức Tối thiểu, hầu hết tổ chức đềumuốn cung cấp khả năng truy cập tới Website của tổ chức, nhất là đối với cácdoanh nghiệp mà hoạt động kinh doanh của họ chủ yếu dựa trên nền Web

Nhiều tổ chức cũng cần cung cấp khả năng truy cập đến những nguồn tàinguyên không dựa trên nền Web như DNS Server, hoặc Database Server.Cho phép tài nguyên trong mạng nội bộ có thể được truy cập thông qua internet

sẽ làm tăng các nguy cơ về bảo mật cho một tổ chức Để giảm thiểu các nguy cơ

đó, ‘firewall’ đặc ở vành đai mạng phải có khả năng chặn tất cả lưu lượng

‘traffic’ có hại đi vào mạng của tổ chức, và đảm bảo rằng người dùng trêninternet chỉ có thể truy cập đến những máy chủ cho phép

Để cấu hình việc ‘publish’ trong ISA Server, chúng ta cấu hình một

‘publishing rule’ để chỉ định cách thức mà ISA Server đáp lại những yêu cầu từinternet ISA Server cung cấp 3 loại ‘publishing rule’ khác nhau: Webpublishing rule, secure Web publishing rule, và Server publishing rule

I.2.4 chức năng VPN.

Ngoài việc cho phép người dùng trên internet được phép truy cập đến cácmáy chủ đặc biệt trong mạng nội bộ, nhiều tổ chức còn có nhu cầu cung cấp chongười dùng ở xa khả năng truy cập đến các tài nguyên đặc trên các máy chủ nội

bộ Hoặc một tổ chức có văn phòng đặc ở nhiều nơi, nhân viên từ một vănphòng có nhu cầu truy cập đến tài nguyên mạng ở một nơi khác Để cho phépmức độ truy cập như vậy, nhiều tổ chức đã triển khai VPN (Virtual PrivateNetwork – Mạng riêng ảo)

Một VPN là một kết nối mạng bảo mật được tạo thông qua một mạngdùng chung như internet VPN được bảo mật bằng cách sử dụng chứng thực và

mã hóa, vì thế, thậm chí nếu ‘network packet’ bị bắt lấy trên mạng dùng chung(internet) thì ‘packet’ đó cũng không thể mở ra hoặc đọc được VPN có thể đượctạo ra giữa một người dùng với mạng nội bộ (Client-to-Site) hoặc giữa hai vănphòng của công ty với nhau (Site-to-Site)

Một người dùng có thể kết nối đến internet từ bất kỳ đâu và sau đó kết nốiđến ‘gateway’ của VPN Tất cả ‘packet’ gửi qua internet dùng VPN được bảomật.ISA Server cung cấp một giải pháp truy cập VPN từ xa được tích hợp trongfirewall Khi những máy trạm ở xa kết nối đến ISA Server bằng VPN, thì cácmáy trạm đó được đưa vào mạng ‘VPN Clients network’ Mạng này được xem

như bất kỳ một mạng nào khác trên ISA Server, nghĩa là bạn có thể cấu hình

‘firewall rule’ để lộc tất cả ‘traffic’ từ các máy trạm VPN ISA Server còn cungcấp chức năng giám sát cách ly VPN (VPN quarantine control) ‘VPNquarantine control’ hoãn lại sự truy cập từ xa đến một mạng riêng cho đến khicấu hình của máy trạm truy cập từ xa được kiểm định và công nhận bởi một

‘client-side-script’ Nếu bạn bậc ‘VPN quarantine control’, tất cả các máy trạmVPN được cho là ‘Quarantined VPN Clients network’ cho đến khi họ vượt quanhững sự kiểm tra bảo mật đặc biệt Bạn có thể cấu hình ‘firewall rule’ để lộc tất

cả các ‘traffic’ từ các máy trạm trong ‘Quarantine VPN Clients network’ đến bất

‘traffic’ được phép trao đổi giữa các mạng

I.3 CÁC ỨNG DỤNG CỦA ISA SERVER.

Chúng có thể dùng ISA Server 2004 để cung cấp tính bảo mật cho sự truycập đến Internet và đến ‘internal network’ từ Internet Cấu hình chính xác củaISA Server sẽ tùy thuộc vào những đòi hỏi về truy cập và bảo mật của từng tổchức Phần này sẽ thảo luận đến hầu hết các tình huống thông thường nhất, baogồm: làm sao để ISA Server được dùng như một vành đai bảo mật chính yếuhoặc một firewall thứ hai trong một cấu hình nhiều firewall; và làm thế nào ISAServer có thể được sử dụng cho cả những tổ chức lớn có văn phòng ở nhiều nơi

và tổ chức nhỏ chỉ cần duy nhất một máy ISA Server

I.3.1 ISA Server hoạt động như một Internet-edge firewall

Một trong các tình huống triển khai chính của ISA Server 2004 là nó hoạtđộng như một Internet-edge firewall Một Internet-edge firewall được triển khaitại điểm kết nối giữa Internet và internal network Trong tình huống này, ISA

Server cung cấp các cổng bảo vệ (secure gateway) cho user bên trong mạng rainternet và một firewall ngăn chặn truy cập trái phép và độc hại vào bên trongmạng.

Hình 1ISA Server sẽ được triển khai với một giao tiếp mạng (network interfacecard – NIC) kết nối đến internet và một NIC thứ hai kết nối đến internalnetwork Trong một vài trường hợp, ISA Server có thể có một NIC thứ ba kếtnối đến perimeter network (DMZ) Trong trường hợp này, xãy ra như sau:

- ISA Server khóa tất cả lưu lượng (traffic) từ internet vào bên trong mạng

tổ chức trừ khi có sự cho phép Tất cả các thành phần firewall của ISA Serverđều được triển khai, bao gồm lọc lưu lượng đa tầng (multilayered trafficfiltering), lọc ứng dụng (application filtering) và phát hiện xâm nhập Thêm vào

đó, hệ điều hành trên máy ISA Server phải được bảo vệ chắc chắn để tránhnhững sự tấn công nhấm vào hệ điều hành

- ISA Server được dùng để tạo điều kiện cho một số máy chủ hoặc dịch

vụ trong internal network có khả năng truy cập từ internet Những sự truy cậpnày được cấu hình bằng cách phổ biến (publishing) máy chủ hoặc cấu hình cácluật truy cập (access rule) ISA Server lọc tất cả yêu cầu vào bên trong và chỉcho phép những traffic được xác định bởi access rule

- ISA Server cũng có thể là một điểm truy cập VPN đến internal network.Trong trường hợp này, tất cả các kết nối VPN từ internet được định tuyến thông

qua ISA Server Tất cả luật truy cập (access rule) và những yêu cầu cách ly dànhcho VPN client được áp đặt bởi ISA Server

- Tất cả yêu cầu của client đến tài nguyên trên internet đều thông qua ISAServer ISA Server áp đặt một chính sách của tổ chức định nghĩa những ngườidùng (user) nào được phép truy cập internet, ứng dụng và giao thức nào có thểdùng để làm điều đó, và những website nào

I.3.2 ISA Server hoạt động như một Back-End Firewall.

Trong một số trường hợp, một tổ chức có thể chọn triển khai ISA Servernhư một firewall thứ hai trong một cấu hình đa firewall Tình huống này chophép nhiều tổ chức tiếp tục dùng firewall đã có, đồng thời cho phép sử dụng ISAServer như một firewall nâng cao với khả năng lọc ứng dụng.được cho phép

Hình 2Nhiều tổ chức triển khai một cấu hình back-to-back firewall Trong môhình này, một network adapter trên front-end firewall được kết nối internet trongkhi network adapter thứ hai trên firewall kết nối tới perimeter network Back-end firewall có một network adapter kết nối đến perimeter network và networkadapter thứ hai kết nối với internal network Tất cả network traffic qua lại giữainternet và internal network phải đi qua cả hai firewall và perimeter network

Đối với những tổ chức có một firewall trên nền tảng phần cứng(hardware-based) đã được triển khai như Internet-edge firewall, ISA Server cóthể cung cấp chức năng bổ sung đáng giá như một back-end firewall Riêngtrong trường hợp này, chức năng lọc ứng dụng nâng cao của ISA Server có thểđảm bảo các ứng dụng xác định được phổ biến (publish) một cách an toàn.Trong tình huống này, ISA Server làm như sau:

- ISA Server có thể được dùng để cung cấp truy cập an toàn đến nhữngmáy Exchange Server của tổ chức Bởi vì những máy tính đang chạy ExchangeServer phải là những thành viên của Active Directory domain, có vài tổ chứckhông thích đặt những máy Exchange Server bên trong perimeter network ISAServer cho phép truy cập đến những máy Exchange Server trong internalnetwork thông qua: sercure OWA publishing, secure SMTP server publishing,

và secure Exchange RPC publishing dành cho các Outlook client

- ISA Server cũng có thể được dùng để publish các secure Website hoặcsecure Web application Nếu các Web server được đặt trong internal network,ISA Server có thể được cấu hình để publish Web server ra internet Trongtrường hợp này, những bộ lọc ứng dụng nâng cao của ISA Server có thể đượcdùng để xem xét tất cả các network traffic được chuyển tiếp đến Web server

- ISA Server cũng có thể được dùng như một Web proxy và cachingserver trong tình huống này Nếu thế, tất cả client yêu cầu truy cập tài nguyêntrên internet hoặc bên trong perimeter network phải thông qua ISA Server ISAServer sẽ có thể áp đặt các chính sách của tổ chức cho việc bảo mật truy cậpinternet

I.3.3 ISA Server hoạt động như một Branch Office Firewall

Tình huống triển khai thứ ba dành cho một ISA Server là nó đóng vai tròBranch office firewall Trong tình huống này, ISA Server có thể được sử dụng

để bảo mật mạng của văn phòng chi nhánh khỏi các sự đe dọa từ bên ngoài cũngnhư là kết nối từ mạng của văn phòng chi nhánh đến trụ sở chính dùng các kếtnối VPN site-to-site

Hình 3Dành cho những tổ chức có sự phân bố văn phòng ở nhiều nơi, ISAServer có thể hoạt động như một branch office firewall trong sự liên kết vớinhững ISA Server ở những nơi khác Nếu một chi nhánh có kết nối trực tiếp đếninternet, ISA Server có thể hoạt động như một Internet-edge firewall cho chinhánh, bảo mật mạng của chi nhánh cũng như phổ biến các nguồn tài nguyênmáy chủ ra internet Nếu chi nhánh chỉ có một kết nối WAN đến các văn phòngkhác, ISA Server có thể được dùng để phổ biến những máy chủ trong chi nhánhnhư Microsoft SharePoint Portal Server hoặc Exchange Server cục bộ.Một trongcác lợi ích của việc dùng ISA Server như một branch office firewall là nó có thểhoạt động như một VPN gateway để kết nối mạng của chi nhánh đến mạng củavăn phòng chính dùng một kết nối VPN site-to-site VPN site-to-site cung cấpmột phương thức bảo mật giá rẽ cho kết nối giữa các văn phòng Trong tìnhhuống này, ISA Server có thể thực hiện các chức năng sau:

- ISA Server có thể được dùng để tạo một VPN từ một chi nhánh vănphòng đến những văn phòng ở nơi khác VPN gateway ở những chỗ khác có thể

có các máy tính chạy ISA Server hoặc những VPN gateway của một hãng thứ ba

(third-party) ISA Server hổ trợ sử dụng 3 giao thức đường hầm (tunnelingprotocol) cho việc tạo VPN: IPSec tunnel mode, Point-to-Point TunnelingProtocol (PPTP), và Layer Two Tunneling Protocol (L2TP) over IPSec

- ISA Server có thể tiến hành xem xét kỹ trạng thái và lọc lớp ứng dụng(application-layer filtering) của VPN traffic giữa những văn phòng của tổ chức.Điều này có thể được dùng để giới hạn những mạng ở xa có thể truy cập mạngcục bộ và đảm bảo rằng chỉ những network traffic được chấp thuận mới có khảnăng truy cập đến

II CÀI ĐẶT ISA 2004

II.1 YÊU CẦU CÀI ĐẶT

II.1.1 yêu cầu phần cứng và phần mền.

Thành phần Yêu cầu đề ngị

Bộ xử lý ( CPU) Intell hoặc AMD 500 Mhz trở lên

Hệ điều hành (OS) Windows 2003 hoặc Windows 2000 (Service pack

4)

Bộ nhớ (Memory) 256 (MB) hoặc 512 MB cho hệ thống không sử

dụng Web caching, 1GB cho Web-caching ISA firewalls

không gian đĩa (Disk

II.1.2 các bước cài đặt.

Máy cài ISA phải có 2 card khi đó ta cấu hình IP

-Card trong nội bộ đặt tên là: LAN

-Card đi ra ngoài internet tên là: WAN

B1 Cho đĩa ISA vào ổ CD rồi chọn install ISA Server 2004 Khi đó nó sẽ xuất

hiện hôp thoại ‘welcome to the installation wizard for microsoft ISA server

2004’ Chọn next Màn hình xuất hiện hộp thoại licens agreement.

B2 Chọn I acceppt the term in the license agreement ta bấm Next Màn hình

xuất hiện customer information chúng ta gõ tên user name, và product serial

number đã có sẵn trong đĩa vào Ta tiếp tục bấm Next

B3 Màn hình xuất hiên setup type (kiểu cài đặt) Ta chọn Custom rồi Next tiếp

Màn hình Custom Setup xuất hiện:

- Frewall services: Những dịch vụ về Frewall

- ISA server Management: giao diện quản lí ISA

- Frewall Client Installation Share: Mục này dành cho client

- Message Screener : Hỗ trở cho ISA lọc lựa gói tin SMTP (muốn cài

được gói này cần cài SMTP , NNTP và IIS trước đã ) Ta chọn 4 mục và Next

Sau đó màn hình xuất hiện Internal Network Ta sẽ đi định nghĩa vùng Internal

Network chọn Add Ta sẽ cho biết địa chỉ card IP Internal chạy từ bao nhiêu

đến bao nhiêu

B4 Ngoài ra ta còn có thể chọn Select Network Adapter Ngoài cách định nghĩa vùng Internal Network rõ ràng như cách hồi nãy ta làm , Thì ở đây cho ta chọn lựa một cách nhanh chóng bằng cách bấm vào Select Network

Adapter Trong đây nó chọn sẵn dùm ta những đoạn địa chỉ thuộc về Private là Internal 10.xxx 192168.xx 172.16xx đây chính là đoạn Private IP mà nó định

nghĩa là Internal Ta đừng bao giờ chọn theo kiểu này, mà ta nên định nghĩa rõ ràng như lúc đầu ta làm bởi vì kiểu trong Select Network adapter nó làm dùm

ta nhanh và tiện nhưng đồng thời nó định nghĩa vùng quy hoạch quá rộng và quá

dư thừa nó bao hàm cả card bên ngoài là external và sẽ gây ra lỗi Nên ta đừng

bao giờ chọn rồi Cancel rồi Ok.

B5 Màn hình xuất hiện hộp thoại firewall client connection setting Ta tiếp tục chọn Next Ta check vào mục: Allow computer running earlier vesion

of the Firewall client software to connec to ISA Server Ta chọn Next Allow computer running earlier vesion of the Firewall client software to connec to ISA Server: trước đó ta cài ISA 2000 bầy giờ ta chuyển qua 2004 thì check vào

cái mục này thì nó hỗ trợ Sau đó chúng ta next cho đến Khi nó chạy xong ta bấm

Next rồi bấm Finish vậy là quá trình cài ISA xong.Khi ISA được cài vào thì

chuyện đầu tiên ISA sẻ cấm mọi người ping tới nó và không cho ra Internet vậy muốn ping hay ra Internet thì ta làm ra cái rule và Allow cho nó Ta mở ISA lên bấm vào Firewall Policy nhìn vào cửa sổ ở giữa nó sẻ liệt kê hiện trong

Policy có 1 rule Rule này có tên là Last Default rule và rule này là rule mặc

định nên ta không thể nào xoá được Rule này nói lên là đang thực thi 1 hành động là cấm đoán “Deny” Nó cấm đoán tất cả mọi hành động “All Traffic” Và cấm tất cả mọi người ở vùng Network nào “ All Network (and Local Host)

Đi đâu cũng cấm “All Network (and Local Host)” Đối với người nào cũng cấm “All Users” ISA hệ thống được sắp xếp theo thứ tự rule từ trên xuống thoả

rule nào thì được ứng xử theo hành động rule đó

Chương II THIẾT LẬP FIREWALL VÀ CÁC RULE TRONG ISA SERVER

I TỔNG QUAN VỀ TƯỜNG LỬA (firewall).

I.1 KHÁI NIỆM VỀ FIREWALL

Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng đểngăn chặn, hạn chế hỏa hoạn Trong công nghệ thông tin, firewall là một kỹ thuậtđược tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép, bảo vệ cácnguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tinkhác không mong muốn Cụ thể hơn, có thể hiểu firewall là một cơ chế bảo vệ giữamạng tin tưởng (trusted network), ví dụ mạng intranet nội bộ, với các mạng khôngtin tưởng mà thông thường là Internet Về mặt vật lý, firewall bao gồm một hoặcnhiều hệ thống máy chủ kết nối với bộ định tuyến (Router) hoặc có chức năngRouter firewall Dùng để ngặn chặn và bảo vệ những thông tin và chống việc truycập bất hợp pháp của các hacker Firewall là một giải pháp dựa trên phần cứng vàphàn mền dùng để kiểm tra dữ liệu đi từ bên ngoài vào máy tính hoặc từ máy tính

ra ngoài mạng Internet , có thể nói Firewall là nguời bảo vệ có nhiệm vụ kiểm tra “giấy thông hành” của bất kì gói dử liệu đi vào hoặc đi ra Nó chỉ cho phép nhũnggói dử liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ Vì vậy màFirewall rất cần thiêt cho hệ thông mạng

I.1.1 Phân loại firewall.

a Firewall phần mền: được sử dụng cho các Windown, đối với windown XP

đã được tích hợp sẵn Firewall phần mền thường không đắt bằng phần cứng thậmchí còn cho sử dụng miển phí, so với Firewall phần cứng thì Firewall phần mềnlinh động hơn nó có thể chạy tốt trên nhiều Hệ Điều Hành khác nhau Một trongnhũng Firewall phần mền phổ biến là Zonealarm, ISA

b Firewall phần cứng: Có chức năng mức độ bảo vệ cao hơn so với Firewall

phần mền và dể bảo trì hơn không chiếm dụng tài nguyên hệ thống như Firewall

phần mền Một trong những hãng chuyên cung câp Firewall phần cúng là Linkksys

và NetGar

c Bộ định tuyến không dây: Được sử dụng cho mạng không dây Nó được

xem như một Firewall và củng được tích hợp một số chức năng tương tự nhưFirewall

I.1.2 Chức năng của Firewall.

a Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực

hiện thông qua firewall

b Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ (trusted

network) mới được quyền lưu thông qua firewall

c Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm:

- Quản lý xác thực (Authentication): có chức năng ngăn cản truy cập trái

phép vào hệ thống mạng nội bộ Mỗi người sử dụng muốn truy cập hợp lệ phải cómột tài khoản (account) bao gồm một tên người dùng (username) và mật khẩu(password)

- Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng tài

nguyên cũng như các nguồn thông tin trên mạng theo từng người, từng nhóm người

sử dụng

- Quản lý kiểm toán (Accounting Management): cho phép ghi nhận tất cả các

sự kiện xảy ra liên quan đến việc truy cập và sử dụng nguồn tài nguyên trên mạngtheo từng thời điểm (ngày/giờ) và thời gian truy cập đối với vùng tài nguyên nào đãđược sử dụng hoặc thay đổi bổ sung …

I.1.3 Các kiến trúc Firewall cơ bản.

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông quafirewall thì điều đó có nghĩa rằng firewall hoạt động kết hợp chặt chẽ với giao thứcTCP/IP.Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được

từ các ứng dụng trên mạng, hay chính xác hơn là các dịch vụ chạy trên các giaothức (Telnet, SMTP, DSN, SMNP, NFS, ) thành các gói dữ liệu (data packets) rồi

gán cho các packet này những địa chỉ để có thể nhận dạng tái lập lại ở đích cần gửiđến, do đó các loại firewall cũng liên quan rất nhiều đến các packet và những con

số địa chỉ của chúng Ngày nay Firewall được xây dựng dựa trên cơ sở bộ lọc gói(packet filter) và Firewall xây dựng trên cổng ứng dụng (Application gateway) và

1 số firewall khác Bastion Host Firewall (pháo Đài Phòng Ngự)

a Tường lửa bộ lộc gói tin (Packet filtering firewall): Loại firewall này thực

hiện việc kiểm tra số nhận dạng địa chỉ của các packet để cho phép chúng có thểlưu thông qua lại hay không Các thông số có thể lọc được của một packet nhưsau:

- Địa chỉ IP nơi xuất phát (source IP address)

- Địa chỉ IP nơi nhận (destination IP address)

- Cổng TCP nơi xuất phát (TCP source port)

- Cổng TCP nơi nhận (TCP destination port)

Nhờ vậy mà firewall có thể ngăn cản được các kết nối vào những máy chủhoặc mạng nào đó được xác định, hoặc khóa việc truy cập vào hệ thống nội bộ từnhững địa chỉ không cho phép.Hơn nữa việc kiểm soát các cổng làm cho firewall

có khả năng chỉ cho phép một số loại kết nối nhất định vào máy chủ nào đó, hoặcchỉ có những dịch vụ nào đó (Telnet, SMTP, FTP, ) được phép mới chạy đượctrên hệ thống mạng nội bộ

Hình 4

b Cổng ứng dụng (Application gateway): Cổng ứng dụng là một thiết bị bình

phong bảo mật dùng để phân tích các gói dữ liệu được chuyển vào Khi các gói dữliệu từ bên ngoài đến cổng, chúng được kiểm tra và lượng giá để xác định xemchính sách bảo mật có cho phép chúng vào mạng hay không Máy phục vụ khôngchỉ định giá trị các địa chỉ IP mà còn xem xét dữ liệu trong các gói để tìm lỗi và sửasai

Hình 5 Một cổng tầng ứng dụng điển hình có thể cung cấp các dịch vụ ủy quyềncho các ứng dụng và giao thức như Telnet, FTP (File Transfer Protool), HTTP(Hypertext Transfer Protocol), và SMTP (Simple Mail Transfer Protocol).Cổngứng dụng này không cho phép bất kỳ một gói tin nào đi thẳng trực tiếp giữa haimạng, mà loại Firewall này được thiết kết để tăng cường khả năng kiểm soátthông qua dịch vụ người đại diện (Proxy Service) Khi một trạm bên ngoài muốnkết nối với các trạm bên trong tường lửa thông qua một dịch vụ nào đó thì trạmbên ngoài phải thông qua Proxy Service Nếu dịch vụ và địa trạm bên ngoàikhông thuộc diện cấm thông qua đối với Proxy thì Proxy Service sẽ đi tìmtrạm đích bên trong tường lửa để tạo kết nối với trạm bên ngoài và ngược lạicác trạm bên trong muốn kết nối ra ngoài cũng vậy Với cách thức này thì sẽđánh bại được một số loại tấn công cơ bản như gây tràn bộ đệm của tường lửa

Tuy nhiên cũng có một số hạn chế đối với dạng tường lửa loại này là: Đây

là loại tường lửa được cài đặt cho từng loại dịch vụ riêng rẽ trên mạng ví dụ nhưTelnet, Mail, FPT… Nếu chúng ta muốn hỗ trợ một dịch vụ nào đó cho mạngcủa mình thông qua tường lửa thì chúng ta nhất thiết phải thêm vào proxy choloại dịch vụ đó Vì vậy nếu trên mạng bên ngoài có thêm một dich vụ mới nào

đó thì người quản tri tường lửa phải xây dựng chính sách đại diện thích hơp vóidịch vụ đó Có hai nguyên tắc để tạo ra chính sách đại diện mặc định ở đây đó làhoăc từ chối tất cả những thứ không được đại diện, hoặc là chấp nhận tất cảnhững dịch vụ không có dịch vụ đại diện trên tường lửa Nhưng cả hai cách nàydều gây ra những nguy cơ an ninh và bất tiện mới cho hệ thông mạng bên trongtường lửa

c Bastion Host Firewall (Pháo đài phòng ngự): Là một trạm được cấu hình

để chặn đứng mọi cuộc tấn công từ phía bên ngoài vào Đây là điểm giao tiếp trựctiếp với mạng không tin cậy bên ngoài do đó dễ bị tấn công nhất Có hai dạng củamáy phòng thủ

Hình 6 Máy phòng thủ có hai card mạng, một nối với hệ thống bên trong (mạng nội

bộ ) và card còn lại nối với bên ngoài mạng Internet Đây là dạng tường lửa có từ

rất sớm, nó yêu cầu người sử dụng bên trong phải kết nối vơi tường lửa trước khilàm việc với mạng bên ngoài Với giải pháp này tường lửa đã cô lập được mạngbên trong với mạng bên ngoài bằng những máy phòng thủ (host) nhưng nó cũng tạo

ra một sự thiếu tự nhiên trong việc kết nối giữa người sử dụng bên trong với mạngbên ngoài

Dạng thứ hai của cơ cấu phòng thủ này là máy phòng thủ có một card mạngđược nối trực tiếp đến một hệ riêng biệt trên mạng – gateway mức úng dụng.Gateway này cung cấp điều khiển vào ra Bộ định tuyến (rounter) có nhiều chứcnăng trong cấu hình này Nó không chỉ định hướng các gói đến hệ nội bộ, mà còncho phép các hệ thống nội mở kết nối với Internet hoặc không cho phép kết nối.Kiến trúc screening subnet còn bổ sung thêm tầng an toàn để tách mạng nội bộ vớiInternet Lý do để làm việc này là tránh cho mạng nội bộ khỏi bị tấn công nếu nhưbastion host bị đánh sập

II NGUYÊN TẮC HOẠT ĐỘNG CỦA FIREWALL.

Trong phần này sẽ sâu vào 3 hoạt động chính của một tường lửa đó là:điều khiển truy nhập (Access control), quản lý xác thực (Authentication) và ghinhật ký truy nhập (activity logging) Như ở trên đã giới thiệu có hai loại tườnglửa vơi 2 cách điều khiển truy nhập khác nhau là quy chế bộ lọc gói (packetfilter) và chính sách người đại diện ung dụng Điểu khiển truy nhập phụ thuộcvào sự nhận dạng đúng đắn của các yêu cầu đôi khi còn phụ thuộc vào định nghĩaquyền xác thực của người sử dụng

II.1 ĐIỀU KHIỂN TRUY CẬP (Access Control).

II.1.1 Vị trí xảy ra quá trình xử lý gói

Để hiểu được firewall hoạt động như thế nào thì trước hết hãy quan tâmđến đường đi của các gói tin sẽ dẫn đến firewall đó Có 3 đường dẫn phổ biến màmột gói tin có thể đi qua tùy thuộc vào dạng tường lửa được cài đặt Một gói tin cóthể vựợt qua một tường lửa ỏ mức tầng ứng dụng, ở mức nhân hệ điều hànhhoặc là mức card giao tiếp mạng Hầu hết các tường lửa đều kiểm soát và cho

phép các gói đi qua 3 mức này

Những router và những trạm luân chuyển gói khác thì quá trình lọc cácgói tin thường diễn ra ở mức nhân hệ điều hành hơn là mức card giao tiếp mạng.Thông thường quá trình lọc được thực thi trên các bộ xử lý chuyên dụng cho phéptường lửa có thể thực hiện quá trình lọc và kiểm định một cách chuẩn xác, tinhxảo hơn là trên các card giao tiếp mạng tích hợp tính lọc Hơn nữa quá trình xử lýcác gói tại mức nhân hệ điều hành nhanh hơn ở mức tầng ứng dụng bởi vì quátrình lập lịch và tràn bộ nhớ được tránh Tuy nhiên quá trình xử lý nhân thườngđòi hỏi tất cả các thông tin cần thiết cho việc lọc gói phải được chứa trong bộ nhớthay vì trên đĩa Một gói phải được xử lý và được cho qua mà không cần phải đợitrên đĩa điều này sẽ làm hạn chế các dạng gói và số lượng các gói được xử lý ở

mức này.

Quá trình xử lý ở mức tầng ứng dụng có thể cung cấp một chính sách anninh tốt nhất Mức ứng dụng có thể truy cập đến tất cả các tài nguyên hệ thống baogồm đĩa, các mạng, bộ nhớ, thư viện các chương trình và cả những tiến trình khác.Tâng ứng dụng là tầng trên cùng trong cấu trúc phân tầng của giao thức mạng do

đó nó không bị giới hạn bới các tầng thấp hơn nó

Hoạt động lọc gói (Packet Filtering) Hoạt động lọc các gói có thể diễn ra ởmột trong 3 mức xử lý gói như trên đã trình bày nhưng nó thường được hỗ trợ ởmức card giao tiếp mạng hoặc mức nhân hệ điều hành Một bộ lọc gói sẽ căn cứvào phần địa chỉ IP chứa trong gói tin để quyết định xem gói đó có được chophép vượt qua hay bị chặn lại Gói được cho qua sẽ được chuyển đến trạm đíchhoặc router tiếp theo Gói bị chặn lại sẽ bị loại bỏ

II.1.2 Luật lọc (Filtering Rules).

Bộ lọc sẽ kiểm tra 5 mảng thông tin trong khối IP ở phần đầu của gói tin các thông tin đó bao gồm:

Source IP address IP của trạm nguồn gửi gói tin

Destination IP address IP trạm đích nhận gói tin

Upper level protocol (TCP or UDP) cho giao thức khác và dịch vu khác

TCP or UDP source port number cổng trạm nguồn gửi gói tin

TCP or UDP destination port number cổng trạm đích gửi gói tin

Khi có được các thông tin trên của các gói, bộ lọc sẽ so sánh chúng với mộttập hợp các luật để đưa ra quyết định Một luật lọc là sự kết hợp một giá trị hoặcmiền giá trị của mỗi trường thông tin trên và quyết định sẽ được đưa ra nếu tất cảcác thông tin của gói được so khớp với các thông tin của các luật Một bộ lọc gói sẽthực hiện việc kiểm tra sự hợp lệ của các gói rất đơn giản và rất nhanh chỉ bằng các

phép so sánh nhị phân Quyết định (cho phép hoặc cấm) sẽ được đưa ra ngay saukhi bộ lọc tìm thấy một luật nào đó hoàn toàn so khớp với thông tin mà nó có được

về gói tin do đó trật tự sắp xếp các luật cũng rất quan trọng nógóp phần làm choquá trình lọc được nhanh hơn.Có một điều đáng quan tâm ở đây đó là danh sáchluật là hữu hạn và ta không thể lường hết được các tình huống để đưa ra tất cả cácluật được vì vậy phải có một luật mặc định ở đây để nếu như khi xem xét hết tất cảcác luật trong danh sách luật rồi mà bộ lọc vẫn không thể đưa ra được quyết địnhthì luật mặc định này sẽ giúp bộ lọc đưa ra quyết định Có 2 ý tưởng chủ đạo trongviệc tạo ra luật mặc định này đó là hoặc là từ chối tất cả hoặc chấp nhận tất cả, cónghĩa là tất cả các gói có thông tin không thoả mản tập luật thì bị từ chối cho quahoặc chấp nhận cho qua hết

II.1.3 Hoạt động của tường lửa người đại diện ứng dụng (Proxy Application).

Hình 8Người sử dụng trước hết phải thiết lập một kết nối đến người đại diện ứngdụng trên tường lửa (1) Đại diện ứng dụng này sẽ tập hợp các thông tin liên quanđến mối liên kết và yêu cầu của người sử dụng (2) Tường lửa sẽ sử dụng thông tinnày để quyết định liệu yêu cầu có được cho phép thực thi hay không Nếu yêu cầu

từ phía người dùng là thoả đáng thì người đại diện trên tường lửa sẽ tạo một kết nốikhác từ tường lửa đến đích dự kiến (3) Sau đó người đại diện sẽ đóng vai trò nhưmột con thoi để truyền tải dữ liệu giữa 2 mối kết nối (4) Có 2 điểm cần lưu ý ở đây

cố đinh và thường không hỗ trợ sự vượt qua của những thông tin được thêm vào.

Để khắc phục đặc điểm này có rất nhiều giải pháp bắt buộc người sử dụng và cácứng dụng phải tuân theo

a Kết nối trực tiếp.

Đây là giải pháp đầu tiên cho phép người sử dụng thiết lập kết nối trực tiếpđến tường lửa thông qua địa chỉ và số hiệu cổng người đại diện sau đó người đạidiện sẽ hỏi người sử dụng để biết được địa chỉ của trạm mong muốn kết nối Đây làmột phương pháp thô được sử dụng bởi nhưng tường lửa sơ khai vì thế không được

ưa dùng

b Sử dụng chương trình hỗ trợ máy khách.

Giải pháp tiếp theo sử dụng trong việc cài đặt người đại diện là phải cómộtchương trinh hỗ trợ đặt trên máy của người sử dụng Người sử dụng sẽ chạyứng dụng đặc biệt để tạo kết nối đến tường lửa Người sử dụng chỉ việc cung cấpđịa chỉ hoặc tên của trạm đích cho ứng dụng bổ trợ Địa chỉ tường lửa sẽ được ứngdụng bổ trợ này lấy ra từ file cấu hình cục bộ sau đó nó sẽ thiết lập kết nối đếnngười đại diện trên tường lửa Giải pháp này tỏ ra hữu hiệu và trong suốt đối vớingười sử dụng tuy nhiên hạn chế của nó là mỗi chương trình hỗ trợ máy khách chỉthực hiện tương ứng với một dịch vụ nào đó của mạng mà thôi

c Sử dụng người đại diện tàng hình.

Một phương pháp nữa được sử dụng hiện nay cho việc kết nối đến đại diệnứng dụng trên tường lửa là sử dụng đại diên tàng hình (ẩn) Với giải pháp này thìngười sử dụng không cần đến chương trình hỗ trợ máy khách hoặc kêt nối trực tiếpđến tường lửa Ở đây người ta sử dụng phương pháp dò đường căn bản, mọi kết nốiđến các mạng bên ngoài đều phải định hướng thông qua tường lửa Các gói khi vàotrong tường lửa tự động sẽ đổi hướng đến một đại diện ứng dụng móng muốn Ứngdụng đại diện có được địa chỉ trạm đích một cách chính xác bằng cách lấy địa chỉtrạm đích của phiên Trongtrường hợp này tương lửa giã mạo thành một trạm đích

và chặn các phiên lại Khi một kết nối được thiết lập đến đại diện trên tường lửa thìtrình ứng dụng máy khách sẽ nghĩ rằng nó đang kết nối đến một trạm đích thật sự.Nếu được phân quyền thì đại diện ứng dụng trên tường lửa sẽ dùng một hàm đạidiện để tạo ra liên kết thứ hai đến trạm đích thật

II.2 QUẢN LÝ XÁC THỰC (User Authentication).

Đây là chức năng ngăn cản việc truy cập trái phép vào hệ thống mạng nộibộ.Các hệ điều hành quản lý mạng chỉ kiểm soát một cách không chặt chẽ tênngười sử dụng và password được đăng ký, và đôi lúc chính người sử dụng được ủynhiệm lại vô ý để lộ password của mình Hậu quả của việc này có khi là rất nghiêmtrọng Nó trở nên càng quan trọng hơn đối với những hệ thống mạng lớn có nhiềungười sử dụng Có hai giao thức chuẩn thông dụng nhất hiện nay để kết hợp làmviệc với LAN

-RADIUS (Remote Authen-tication Dial-In User Service)

-TACAS+ (Terminal Access Controller Access Control System Extended)

Thông thường chức năng authentication được thực hiện với sự phối hợp củamột thiết bị phần cứng hoặc phần mềm được tích hợp sẵn bên trong các phần mềm(giải mã theo thuật toán và tiêu chuẩn khóa mã định trước) Khi một thao tác truycập vào mạng được thực hiện (kiểm tra đúng User Name và Password), hệ quản lýxác thực sẽ gửi đến máy tính của người dùng đang xin truy cập vào mạng một

chuỗi các ký tự gọi là Challenge (câu thách đố), người dùng này sẽ nhập vào Tokenchuỗi Challenge và sẽ nhận được một chuỗi ký tự mới gọi là PIN (PersonalIdentification Number - số nhận dạng cá nhân) Nhờ PIN mà người dùng có thểtruy cập vào hệ thống mạng Điều đặc biệt là Challenge và PIN thay đổi từng phútmột, các Token có thể được định và thay đổi Cryptor Key (khóa mã) tùy người sửdụng nên việc bảo mật gần như là tuyệt đối.

II.2.1 Kiểm tra và Cảnh báo (Activity Logging and Alarms).

a Kiểm tra (Activity logging): Để cung cấp thông tin về những hoạt động của

mạng tới người quản trị hầu hết các tường lửa ghi chép các thông tin vào files (logfiles) và lưu giữ trên đĩa Một tường lửa hoàn chỉnh phải ghi chép đầy đủ các thôngtin về các kết nối thành công và cả không thành công Các thông tin này rất hữu íchcho việc phát hiện kịp thời những lỗ hổng trêntường lửa Một log file chuẩn phải cócác thông tin sau:

+ Thời gian bắt đầu và kết thúc của một phiên

+ Địa chỉ trạm nguồn

+ Địa chỉ trạm đích

+ Giao thức sử dụng (TCP hay UDP)

+ Cổng được mở trên trạm đích

+ Kết quả của việc kết nối (thành công hay bị từ chối)

+ Tên người sử dụng nếu xác thực được sử dụng

Ngoài ra còn có thể có thêm các thông tin về số gói được chuyển qua, số lần lặp lại của kết nối đó…

b cảnh báo (Alarm): Hoạt động báo động cũng rất quan trọng đối với người

quản trị Khi có một kết nối đến mạng thì tường lửa sẽ phát tín hiệu để ngườiquản trị biết Đồng thời hoạt động cảnh báo cũng đưa ra tình trạng lỗi của các gói.Khi một gói bị chặn lại không qua được tường lửa thì hoạt động cảnh báo củatường lửa cũng gửimột cảnh báo đến trạm nguồn thông báo về nguyên nhân loại

bỏ gói đó

III THIẾT LẬP VÀ CẤU HÌNH SỬ DỤNG CÁC RULE TRONG ISA.

III.1 CÁC MÔ HÌNH FIREWALL CƠ BẢN VÀ PHỨC TẠP.

III.1.1 Mô hình cơ bản.

Hình 9

III.1.3 Mô hình Firewall phức tạp: thường sử dụng trong các Doanh Nghiệp lớn

Nó có thể chống để các đợt tấn công và xâm nhập bức hợp pháp cả bên trông lẫnbên ngoài Internet

Hình 10

III.2 THIẾT LẬP VÀ CẤU HÌNH.

III.2.1 Tạo Rule cho Admin đi ra ngoài Internet sử dụng tất cả các giao thức.

B1 Chọn vào Firewall Policy click chuột phải chọn New rồi chọn tiếp

Access rule

B2 Xuất hiện Hộp thoại Access rule name: Ta điền Amin ra Internet rồi ta bấm Next

B3 Xuất hiện hộp thoại Rule Action (luật Hành động )

Action to take when rule condition are met:

Allow: (cho phép)

Deny: (Cấm)

Rule ở đây là ra Internet nên ta chọn Allow rồi bấm Next

B4 Màn hình xuất hiện hộp thoại Protocols (Gồm những hành động nào đi

ra ngoài) This rule applies to: Ta chọn hành động All outbound trafic: hành động này đi ra ngoài sử dụng được tất cả các Protocol v.v Ta bấm Next

Selected protocols: Muốn Protocol nào đi ra ngoài thì chọn mục này All outbound traffic except selected: Cho phép sử dụng tất cả Protocol nhưng muốn

không dùng 1 Protocol nào thì chọn mục này

B5 Acces Rule Sources (nguồn xuất phát từ đâu) Ta chọn Add xuất hiện hộp thoại Add Network Entities Ta chọn mục Network: Internal là bên trong, External là bên ngoài, Local Host là máy ISA Ta muốn ra ngoài Internet nên ta chọn nơi xuất phát từ Internal rồi Close

Lúc này Access Rule Sources có Internal ta bấm Next

B6 Access Rule Destinations (Đi Đâu) Ta tiếp tục chọn Add Muốn ra ngoài Internet ta chọn External rồi Close

Lúc này Ta thấy ngoài Access rule Destinations có External ta bấm Next

B7 Màn hình xuất hiện hộp thoại User Sets (Ai đi ra) Ta muốn Admin đi

ra thì bỏ All Users bằng cách bấm vào All Users bấm nút Remove, Rồi bấm Add

B8 Màn hình Add Users xuất hiện Ta chọn vào New

B9 Màn hình New User Set Wizard xuất hiện: Ta điền là Admin Rồi Ta Bấm Next

Khi đó Ta chọn Add nó hiện lên 3 dòng ta chọn Windows users and groups

B10 Ta chọn vào Location chọn Entire Directory rồi chọn abc.com rồi

Ok, sau đó chọn vào Advanced rồi bấm nut Find Now ta sẽ thấy mục Search results có Administrator ta chọn rồi Ok rồi Next sau đó Finish

B11 Bây giờ ta thấy có Admin do ta làm hồi nãy ta chọn Admin rồi Close

B12 Bây giờ User Sets không phải là chữ All Users mà là chữ Admin ta bấm Next tiếp rồi

Finish rồi Apply

Kể từ bây giờ admin có thể truy cập được Internet

- Bây giờ Clien bỏ DF 10.0.0.100 đi thì không vô Internet được Máy Clien

mở IE lên chọn Tab Menu Tool chọn Internet Options

38

Rồi chọn Tab Connection rồi chọn Lan Setting

Mục Proxy server

Use a proxy server for your LAN ( These setting will not apply to dial-up or VPN

connections) ta đánh dấu vô

Address ta đánh địa chỉ IP của máy ISA 10.0.0.100 Port 8080 rồi Ok Lúc này ta

lại vô được Internet

Ta không cần có DF vẫn ra Internet, 2 Kiểu đi ra Internet khác nhau là :

• Máy Clien ta để DF đến ISA lúc đó máy ISA đang đóng vai trò NAT

• Còn lúc Client trong trình duyệt IE mà cấu hình Proxy lúc đó máy ISA

39

đóng vai trò Proxy Server

Ta mở IE lên vào Proxy bỏ hết các thông số ta sẽ không đi bằng kiểu NAT hoặc

Proxy

nữa mà đi bằng kiểu 3

Máy Clien mở hộp thoại RUN lên đánh địa chỉ IP của máy ISA \\10.0.0.100 ta sẽ thấy bên máy ISA có 1 thư mục đăt tên là mspclnt ta click đôi vào đó rồi chạy file

Setup ta cứ việc Next rồi Next thêm cái nữa Màn hình ISA server Computer Selection xuất hiện

Ta chọn Connect to this ISA Server computer ta đánh IP của ISA 10.0.0.100 rồi

Next

Bấm Install rồi bấm Finish và khi cài xong máy clien sẻ có biểu tượng và lúc này

ta không có DF và Proxy nhưng vẫn truy cập được Internet

Kết luận: Máy Clien khi mà để DF thì gọi là Secure NAT

Máy Clien không để DF nhưng sử dụng Proxy gọi là Proxy Clien

Khi Clien không dùng DF và Proxy mà đi cài Tool ISA Clien gọi là Firewall

Clien

Mỗi cách sẻ có 1 ưu nhược điểm riêng Nếu ta dùng Secure NAT thì thằng Clien có thể ra Internet và dùng bất kì Protocol nào mà ISA allow cho cái rule của nó Nếu

40