Bài báo cáo về quản trị hệ thống tường lửa TMG FOREFRONT 2010

Bài báo cáo về quản trị hệ thống tường lửa TMG FOREFRONT 2010

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

.o0o

MÔN: Xây Dựng Chuẩn Chính Sách

An Toàn Thông Tin Trong Doanh Nghiệp

TMG FOREFRONT 2010

Thành Phố Hồ Chí Minh

-25/04/2012-

1

Mục lục

1 Giới thiệu 4

2 DOWNLOAD và INSTALL 9

2.1 Download 9

2.2 Install 9

3 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT 11

3.1 Cài đặt Forefont TMG 2010 Server 11

3.2 Cấu hình để máy client đồng bộ với Forefont TMG Server: 15

4 FIREWALL POLICY 19

4.1 Access Rule 19

4.1.1 Tạo rule cho phép traffic DNS Query để phân giải tên miền 19

4.1.2 Định nghĩa Group Policy cho Firewall Policy 21

4.1.3 Định nghĩa giờ làm việc 23

4.1.4 Tạo Group trang web cho phép hay muốn cấm 24

5.3 HTTPS inspection : phát hiện các khả năng khi chạy giao thức https 36

5.4 Web Proxy 37

6 E-MAIL POLICY 38

6.1 Public Mail Server 38

6.2 Cấu hình E-mail Policy 39

6.3 Spam Filtering 41

6.3.1 IP Allow List 42

6.3.2 IP Block List 43

6.3.3 Content Filtering 44

6.3.4 Recipient Filtering 45

6.3.5 Sender Filtering 46

6.3.6 Sender Reputation 47

6.4 Virus và Content Filtering 47

6.4.1 File filtering 47

6.4.2 Message Body Filtering 49

6.4.3 Virus Filtering 50

7 MONITORING : xem hoạt động của TMG 51

8 NETWORKING 54

9 LOGS & REPORTS : Tạo report 1 lần duy nhất hay tạo theo yêu cầu mà mình mong muốn (ngày , giờ) 57

10 REMOTE ACCESS POLICY 58

10.1 VPN client to gateway 58

10.2 VNP dùng giao thức SSTP 63

11 UPDATE CENTRER 86

12 TROUBLESHOOTING 89

3

1 Giới thiệu

Sự xuất hiện của Microsoft Forefront Threat Management Gateway (TMG) 2010 đã manglại khá nhiều điều thú vị và có nhiều lý do thuyết phục cho việc nâng cấp từ các phiên bảnMicrosoft ISA Server trước đây Một trong số đó là các tính năng bảo mật mới có trong sảnphẩm, chẳng hạn như lọc URL, chống virus trên web, chống malware, chuyển tiếp SSL, hệ thốngphát hiện và ngăn chặn xâm nhập hoàn toàn mới, khả năng bảo vệ email Bên cạnh đó còn có vô

số những thứ khác cũng được thay đổi để cho phép nhiệm vụ quản lý hàng ngày đối với TMG trởnên dễ dàng hơn Trong đồ án này, chúng em sẽ giới thiệu một số tính năng cơ bản được ưa thích

và một số cải tiến trong TMG để có thể cho administrator triến khai từ đơn giản đến phức tạp

Chức năng chính của Forefont TMG 2010

Forefont TMG 2010 đáp ứng đầy đủ tất cả các tính năng của firewall Được đa số doanh nghiệpvừa và nhỏ triển khai vì chi phí thấp, dễ sử dụng, đáp ứng mọi mô hình mạng Được phát triểndựa trên phiên bản ISA 2006 của Microsoft đã thành công trước đó Tiếp nối thành công đó,Forefont TMG 2010 ra đời

Các tính năng nổi trội của Forefont TMG 2010

 Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG

 ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường truyền

internet

 Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác khi truy cập

web

5

 URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội

dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat

 HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần

mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate

 E-mail protection subscription service: tích hợp với Forefront Protection 2010 for

Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware,spam e-mail trong hệ thống Mail Exchange

 Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ hổng bảo

mật

 Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra tình

trạng an toàn của các client trước khi cho phép client kết nối VPN

 Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP

 Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 & Windows

Server 2008 R2 64-bit

Bảng so sánh tính năng ISA Server 2006 và Forefront TMG

Các yêu cầu phần cứng khi cài đặt Forefont TMG

7

Các yêu cầu phần mềm khi cài đặt :

 Network Policy and Access Server

 Active Directory Lightweight Directory Services (ADLDS)

2 DOWNLOAD và INSTALL

2.1 Download

B1:Vào trang microsoft để tìm kiếm và tải về B2:Tải bản cập nhật SP1 cho TMG

2.2 Install

B1:click vào file đã tải về sau đó chạy cập nhận

B3: cài đặt services, features và management

consolse cần thiết

B4 : trong quá trình cài đặt

9

B6: quá trình cài đặt

3 CẤU HÌNH TMG FOREFRONT SERVER và TMG CLIENT

3.1 Cài đặt Forefont TMG 2010 Server

( Chọn các mô hình để triển khai firewall) : Chọn 3-Leg

perimeter  Next

B3 : Chọn network adapter kết nối với mạng cục

bộ

B4 : Chọn network adapter kết nối với ISP bên ngoài

B5: Chọn network adapter kết nối với vùng

DMZ

B6: Nhấn finish để hoàn thành

11

B7 : Chọn Configure system settings B8: Chọn Next

B9 : chọn Define deployment options B10 : Chọn Use the Microsoft Update service

to check for updates (recommended) để

update TMG

B11 : Chọn thời gian cập nhật TMG

13

B12 : Chọn No, I don’t want to participate B13 : Chọn Basic hoặc Advanced

B14 : Chọn Close để hoàn thành Đây là giao diện để cấu hình của Forefront TMG

3.2 Cấu hình để máy client đồng bộ với Forefont TMG Server:

Có 3 cơ chế để các Clients trong nội bộ truy cập internet thông qua Forefront TMG Server là

Secure NAT Client, Web Proxy Client & Forefront TMG Client với các đặc điểm được so

sánh trong bảng sau:

Với các đặc điểm trong bảng so sánh trên, sẽ thấy ưu điểm của Forefront TMG Client là vừa hỗtrợ được tất cả protocols vừa hỗ trợ kiểm soát truy cập theo User account, vì vậy trong hệ thốngForefront TMG 2010 nên sẽ cấu hình cho các máy Clients truy cập Internet bằng cơ chếForefront TMG Client Và để TMG Client tự động dò & kết nối đến TMG Server bằng cách cấuhình chức năng Auto Discovery trên Forefront TMG 2010

Các bước sẽ thực hiện :

1.Bật chức năng Auto Discovery tren Forefront TMG Server

2.Cấu hình Auto Discovery

3.Cài đặt Forefront TMG Client

15

 Bật chức năng Auto Discovery trên Forefront TMG Server

B1 : bên trái chọn Network Bên phải chọn Internal sau đó

Properties

B2 : qua tab Auto Discovery chọn check vào Publish automatic discovery information for this network

 Cấu hình Auto Discovery bằng Công cụ TMGADConfig

Microsoft Forefront TMG cung cấp một tính năng mới giúp tự động hóa tiến trình kiểm tra của

máy chủ TMG được thực hiện trên các máy trạm TMG(AD Marker) Không giống như những

phiên bản máy trạm Firewall khác, giờ đây Forefront TMG Client có thể sử dụng một vạch dấu

trong Active Directory để kiểm tra máy chủ TMG tương ứng TMG Client sẽ sử dụng LDAP để

kiểm tra những thông tin cần thiết trong Active Directory

 Cài đặt Forefront TMG Client

Đề triển khai cài đặt Forefront TMG Client cùng lúc cho tất cả các máy Clients, trong hệ thống

thực tế các bạn có thể sử dụng chức năng Deploy Software của GPO hoặc SCCM Trong bài viết

này, để hiểu rõ vấn đề cài đặt Forefront TMG Client nên chúng tôi sẽ cài bằng tay

Trên các máy Client, mở source cài đặt Forefront TMG 2010, vào thư mục client, chạy file

TMGClient_ENU_x86.exe (đối với hệ điều hành 32 bit ) hay file TMGClient_ENU_x64.exe

(đối với hệ điều hành 64 bit) để cài đặt

B1 : Chọn file TMG client B2 : Hộp thoại Welcome, chọn Next

B3 : chọn I accept the terms in the license

agreement  Next B4 : Connect to this Forefront TMG computer :khai báo bằng tay

Automatically detect the appropriate Forefront TMG computer : tự động dò và kết nối với TMG

Server Option này được chọn  Next

17

B5 : Chọn Automatically detect the appropriate

Forefront TMG computer  Next

B6 : Chọn Finish

4 FIREWALL POLICY

4.1 Access Rule

4.1.1 Tạo rule cho phép traffic DNS Query để phân giải tên miền

B1 : Firewall Policy  New  Access Rule B2 : Access rule name điền DNS Query

19

B3 : chọn Allow B4 : Chọn Add  DNS  Next

B5 : chọn Add  Internal B6 : chọn Add  External

B6 : chọn Next B7 : Kiểm tra tại máy domain

4.1.2 Định nghĩa Group Policy cho Firewall Policy

B1 : Firewall Pocily

 ToolboxUsers 

New

21

B2 : Hộp thoại Welcome to the New User Set

Winzard : đặt tên Giangvien

B3 : Hộp thoại Users : Add -> Windows users and

groups

B4 : Location  caonhatquang.com B5 : Chọn Next

B6 : Hộp thoại Completing the New User Set

B2 : Hộp thoại New schedule Name  giờ

làm việc Thiết lập giờ làm việc  OK

4.1.4 Tạo Group trang web cho phép hay muốn cấm

B2 : Hộp thoại New Domain Name Set Policy

ElementName : Allow website Add để

Tab Content Types Tùy chọn nội dung

trang web được xem

Tab Malware Inspection coi có bật tính năng

B2 : Tab Method  Add và thêm những

phương thức muốn cấm hay cho phép

4.1.7 Publish Web Server

B1 : Fiwall Policy  New  Web Site Publishing

Rule

B2 : đặt tên ở Web publishing rule name

27

B3 : chọn Allow B4 : Publish a single web site or load

balancer(khi chỉ có 1 web server).Option này được

chọn  Next

Publish a server farm of load balanced Web server (khi có nhiều server và cân bằng tải cho nó) Publish multiple Web sites (khi có nhiều Web site)

B7 : Chọn Any domain name  Next B8 : chọn New

with clients

29

B11 : Chọn External B12 : Chọn No Authentication

B15: Chọn Listen 80 For CA Server B16 : chọn No delegation, and client cannot

authenticate directly

31

B17 : Chọn Next B18 : chọn Finish

B19 : Đứng từ 1 máy bên ngoài để kiểm tra Trên máy

Web Server (AD) tạo trang web mặc định ở folder

wwwroot

B20 : kết quả khi kết nối

caching download 1 website nào đó vào theo ngày giờ

B4 : Tab Source Exceptions nguồn đi ra sẽ

không kiểm tra malware trên TMG Muốn

thêm nhấn Add

B5 : Tab Inspection Settings cách thực hiện

của Malware Inspection

B6 : Tab Storage chứa file của Malware

35

5.4 Web Proxy

B1 : Chọn Web Access

Policy  Web Proxy

B2 :Tab Web Proxy bật tính năng Web Proxy

37

6 E-MAIL POLICY

6.1 Public Mail Server

B1: Click vào Publich Mail Servers và điền tên rule

B4: Điền địa chỉ của Mail Server B5: Chọn IP lắng nghe yêu cầu cho published

server

6.2 Cấu hình E-mail Policy

B1: kích vào E-mail Policy và Configure E-mail

39

B3: nhập tên của máy chủ SMTP và địa chỉ

IP máy chủ(hoặc có thể sử dụng nút Browse)

B4: Kích vào Add và thêm vào domain namechấp nhận email gửi đến

 Content Filtering: Cho phép chặn email dựa trên nội dung của thư

 Recipient Filtering: Cho phép điều khiển sự phân phối email dựa trên người nhận.

 Sender Filtering : cho phép điều khiển sự phân phối email dựa trên người gửi.

 Sender ID: Điều khiển cho phép hoặc từ chối email dựa trên sự có mặt của bảng ghi

Sender ID

 Sender Reputation: Cho phép hay từ chối email dựa trên tên của người gửi

41

6.3.1 IP Allow List

Add để nhập IP luôn chấp nhận từ nó

B3: Nhấn OK để hoàn tất

6.3.2 IP Block List

43

6.3.3 Content Filtering

điền những từ hay cụm từ được cho phép

B3: Chọn Add phía dưới để thêm những từ

khi gặp sẽ bị block

B4: Vào tab Exceptions  Add để thêm

email sẽ không bị áp dụng rule này

6.3.5 Sender Filtering

e-mail của người gửi muốn khóa haydomail muốn khóa

B3: vào tab Action chọn hành động thực hiện

khi phát hiện

B3: Tab General đặt tên và chọn hành động

B5: chọn tên file muốn lọc

6.4.2 Message Body Filtering

B1: Click vào Message Body Filtering để cấu hình

lọc email theo nội dung

B2: đặt tên file và chọn cách thực thi

B3: ở tab Keywords thêm vào từ, cụm từ mà

có trong body email thì thư sẽ bị xóa

49

6.4.3 Virus Filtering

lọc email

chọn hành động khi đến thời giantimeout,tiêu đề không hợp lệ

7 MONITORING : xem hoạt động của TMG

Ở tab Alert : những thông báo của TMG khi làm việc

Tab Sessions : Phiên làm việc của TMG

51

Tab connectivity Verifiers : để xem các kết nối TMG khác

Tab Serviecs : để xem các services được bật

Tab Confituration : xem trạng thái cấu hình của TMG

53

8 NETWORKING

Tab Networks : các mạng hiện tại

Các Network Rules đã được cài đặt TMG

Tab Network Adapters : các interface vật lý của mạng

Tab Routing : những mạng được route Muốn tạo phương thức route mới cho 1 mạng chọnCreate Network Protocol

55

Tab ISP Redundancy : cân bằng tải giữa các ISP Muốn cấu hình chọn “Configure ISPRedundancy”

Hộp thoại ISP Redundancy mode :

Chọn Load balancing : sẽ cho 2 ISP chạy song song

Chọn Failover only : sẽ cho 1 ISP chạy Khi ISP đó không hoạt động thì sẽ chuyển qua ISP khác

Khi cấu hình xong Có thể Disable ISP Redundacy hay chuyển giữa Load Balancing và Failover

9 LOGS & REPORTS :

Tạo report 1 lần duy nhất hay tạo theo yêu cầu mà mình mong muốn (ngày , giờ)

57

10 REMOTE ACCESS POLICY

10.1 VPN client to gateway

B1 : tại máy AD vào user kt1 

properties  tab Dial-in  Allow

access

B2 : Remote Access Policy (VPN)  Confiture

Address Assignment Method

B3 : tab Address Assignment  Add 

B7 : chọn All outbound traffic B8 : chọn Add  VPN Clients

B2 : chọn Point to Point tunneling Protocol (PPTP) B3 : Nhập địa chỉ ip của remote site VPN

B4 : Hộp thoại Remote Authentication ->điền

username và password account của site 1

B5 : Hộp thoại Network Addresses điền dãy

số IP của site 1

B6 : Hộp thoại Network Addresses đặt lại tên ở

Network rule name và Add->Internal

B7 : Hộp thoại Site-to-Site Network Access Rule Apply the rule to these protocols  All outbound

traffic

B8 : Kiểm tra Access Rule đã được tạo

10.2 VNP dùng giao thức SSTP

Phần 1:

1 Cài đặt Stand-alone Root CA

2 Cấu hình CRL (Certificate Revocation List)

63

3 Tạo Local User và Group tại TMG Server

4 Tạo rule trên TMG Server

5 Publish CA Server

Phần 2:

6 TMG Server xin Certificate

7 CA Server cấp phát Certificate

8 TMG Server cài đặt Certificate

Phần 3:

9 Cấu hình VPN trên TMG Server

10 Restart RRAS(Routing and Remote Access)

Phần 1

1.Cài đặt Stand-alone Root CA

B1 :Tại máy AD check vào ô Active Directory

Certificate Services

B2 : Hộp thoại Select Role Services : check vào Certification authority và Certification Authority Web Enrollment

B3 : Hộp thoại Specify Setup Type chọn

Standalone  Next B4 : Hộp thoại Specify CA Type chọn Root CA Next

B5 : Hộp thoại Set up Private key chọn Create

a new private key

B6 : Hộp thoại Configure Cryptography for CA để thông số mặc định ->Next

65

B6 : Cuối cùng tại hộp thoại Confirm Installation Selections nhấn Install

2 Cấu hình CRL (Certificate Revocation List)

B1 :Tại máy Certification Authority Server(AD)

mở Certificate Authority, chuột phải tên

ServerProperties

B2 : Tab Extensions -> Add Gõ

http://vpn.caonhatquang.com/CertEnroll/<CaNa me><CRLNameSuffix><DeltaCRLAllowed>.crl

> OK

B3 :

Chọn yes

3.Tạo Local User và Group tại TMG server

Chuột phải user kt1 > Properties > Dial-in > ChọnAllow access

67

B3 : kiểm tra các rule

B3 : chọn Allow B4 : chọn Publish a single Web site or load

balancer

B5 : Chọn Use non-secured connections to connect B6 : điền Internal site name và IP address của CA

Server

69