Tìm hiểu và triển khai công nghệ bảo mật của Microsoft trên hệ thống mạng cho công ty Media Post

Để giúp cho các công ty đảm bảo an toàn thông tin cũng như tài nguyên, tài liệuquan trọng một cách tốt nhất thì việc sử dụng các công nghệ bảo mật vào các hệ thốngmạng của công ty là điề

Để giúp cho các công ty đảm bảo an toàn thông tin cũng như tài nguyên, tài liệuquan trọng một cách tốt nhất thì việc sử dụng các công nghệ bảo mật vào các hệ thốngmạng của công ty là điều cần thiết Nhưng vấn đề đặt ra là việc lưa chọn công nghệ bảomật phù hợp với từng công ty Vì vậy, nhóm đã thống nhất và quyết định chọn đề tài

“Tìm hiểu và triển khai công nghệ bảo mật của Microsoft trên hệ thống mạng cho công ty Media Post ”.

Qua quá trình tìm hiểu và nghiên cứu, nhóm được biết có rất nhiều công nghệ bảomật mạng với những tính năng khác nhau, nhưng phổ biến và khá tối ưu là ISA Servervới các phiên bản ISA Server 2000, ISA Server 2004, ISA Server 2006 của Microsoft.ISA Server này có một bề dạy lịch sử về các phiên bản của nó Qua thời gian nó ngàycàng được nâng cấp để tối ưu hơn Và phiên bản mới nhất Microsoft đã ra mắt thị trường

là Forefront Threat Management Gateway (TMG) 2010 Phiên bản này là một sự kế thừatoàn bộ những tính năng mà ISA Server 2006 đã có đồng thời tích hợp thêm một số tínhnăng bảo mật vượt trội khác Từ những ưu điểm mà TMG 2010 mang lại và sự phù hợpvới điều kiện của công ty nên nhóm đã quyết định chọn phần mềm TMG 2010 để triểnkhai cho công ty Media Post

1.2 Mục tiêu nghiên cứu.

- Tìm hiểu các chức năng và cách quản lý trong TMG 2010

- Ứng dụng các chức năng vào những tình huống yêu cầu đặt ra trong môi trường hệthống mạng của công ty Media Post

1.3 Nhiệm vụ nghiên cứu.

- Tìm hiểu một số cách bảo vệ hệ thống mạng cho doanh nghiệp

- Tìm hiểu các tính năng kế thừa từ ISA Server 2006 và các tính năng mới vượt trộitrong TMG

- Cài đặt thành công TMG trên nền Windowns Server 2008 64 bit

- Nghiên cứu các chức năng và cách quản lý TMG

- Tìm hiểu hệ thống mạng công ty Media Post và đưa ra hướng ứng dụng TMG vào hệthống mạng đó

1.4 Phương pháp nghiên cứu.

- Phương pháp lý luận: Tham khảo tài liệu trên sách báo, trên các trang web, đặc biệt làcác diễn đàn công nghệ và đọc dịch tài liệu tiếng anh

- Phương pháp điều tra: Khảo sát hệ thống mạng của công ty Media Post và từ đó đưa racác hướng áp dụng TMG vào hệ thống để cải tiến việc quản lý hệ thống mạng

- Phương pháp xử lý thông tin: Tiếp cận thông tin, phân loại và phân tích thông tin đồngthời sắp xếp các thông tin một cách logic để tạo điều kiện thuận lợi cho việc triển khaicông nghệ bảo mật cho công ty một cách tốt nhất

1.5 Ý nghĩa của đề tài.

- Về mặt lý luận: Đề tài là kết quả của nhóm nghiên cứu nhằm củng cố kiến thức đã học

vào thực tế Đề tài cũng là một tài liệu tham khảo cho tất cả mọi người quan tâm đếncông nghệ bảo mật TMG hứa hẹn sẽ là một công nghệ được áp dụng rộng rãi trong các

tổ chức doanh nghiệp trong thời gian tới đây

- Về mặt thực tiễn: Đề tài giúp cho nhóm nghiên cứu hoàn chỉnh kĩ năng nghề nghiệp

sau này của từng thành viên Nhóm nghiên cứu tin tưởng rằng đề tài nghiên cứu này cóthể đóng góp một phần nào đó để công ty Media Post nâng cấp hệ thống bảo mật củadoanh nghiệp mình

PHẦN II: CƠ SỞ LÝ THUYẾT

Chương 1: Tổng quan về bảo mật trong hệ thống mạng.

1.1 Khái niệm bảo mật mạng.

Bảo mật mạng là khả năng ngăn chặn và xử lý tất cả các mối đe dọa gây ảnhhưởng xấu đến hệ thống mạng Đồng thời luôn đảm bảo cho hệ thống mạng tính tin cậy,thông tin không thể bị truy nhập bởi những người không có thẩm quyền

1.2 Phân loại các mối đe dọa đến bảo mật hệ thống mạng.

Mối đe dọa ở bên trong

Thuật ngữ “Mối đe dọa ở bên trong” được sử dụng để mô tả một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng Mối

đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu

bí mật của công ty Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và

họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền truy cập server để quy định cho sự bảo mật bên trong Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản

Để đảm bảo những thông tin quan trọng không bị xâm phạm thì không chỉ cần chốnglại sự xâm nhập từ bên ngoài mà còn cần phải bảo mật ngay cả trong nội bộ công ty Khi

có những thông tin hay tài liệu mà chỉ có một số người nào đó hay một số bộ phận có liênquan mới được sử dụng thì chúng ta cũng cần phải áp dụng những biện pháp bảo mật đểtránh tình trạng mật cắp dữ liệu do những nhân viên có ý đồ xấu

Một doanh nghiệp nếu chỉ quan tâm vấn đề mua sắm trang thiết bị và hạ tầng bảomật mà quên yếu tố con người, thì dù hệ thống bảo mật có nghiêm ngặt đến mức nàochăng nữa thì cũng đều có thể bị “xuyên thủng” Vì vậy, ngoài việc trang bị tường lửa, hạtầng mạng bảo mật, doanh nghiệp cũng nên chú trọng vào con người bằng các chính sáchbảo mật thông tin rõ ràng, chặt chẽ Sự đầu tư phù hợp sẽ giúp mang lại hiệu quả cho sự

an toàn thông tin tại doanh nghiệp

Mối đe dọa ở bên ngoài

Mối đe dọa ở bên ngoài là từ các tổ chức, chính phủ, hoặc cá nhân cố gắng truy cập từbên ngoài mạng của công ty và bao gồm tất cả những người không có quyền truy cập vàomạng bên trong Thông thường, các kẻ tấn công từ bên ngoài cố gắng từ các server quay

số hoặc các kết nối Internet Mối đe dọa ở bên ngoài là những gì mà các công ty thường phải bỏ nhiều hầu hết thời gian và tiền bạc để ngăn ngừa

Việc đảm bảo an toàn thông tin là điều cần thiết nhưng làm sao cho các công ty có thểtránh hay hạn chế được những xâm nhập của các hacker vào hệ thống mạng của công tythì đòi hỏi phải có một công nghệ bảo mật tốt và thích hợp

Bạn có thể hình dung một công ty khi có những tài liệu được sử dụng nội bộ haynhững tài liệu quan trọng của công ty mà không có sự bảo vệ, ngăn chặn xâm nhập từ bênngoài thì hacker sẽ dễ dàng xâm nhập và lấy đi những tài liệu đó Và nếu những tài liệu

đó vào tay của những đối thủ cạnh tranh thì hậu quả sẽ ra sao?

Tại Việt Nam, qua nhiều sự kiện như các trang web bị tấn công, dữ liệu bị đánhcắp,… các doanh nghiệp đã chú ý hơn việc bảo vệ thông tin, bí mật kinh doanh và uy tínthương hiệu, nhờ đó thị trường sản phẩm bảo mật diễn ra sôi động hơn

Mối đe dọa không có cấu trúc

Mối đe dọa không có cấu trúc là mối đe dọa phổ biến nhất đối với hệ thống của một công ty Các hacker mới vào nghề, thường được gọi là script kiddies, sử dụng các phần mềm để thu thập thông tin, truy cập hoặc thực hiện một kiểu tấn công Dos vào một hệ thống của một công ty Script kiddies tin tưởng vào các phần mềm và kinh nghiệm của các hacker đi trước

Khi script kiddies không có nhiều kiến thức và kinh nghiệm, họ có thể tiến hành phá hoại lên các công ty không được chuẩn bị Trong khi đây chỉ là trò chơi đối với các kiddie, các công ty thường mất hàng triệu đô la cũng như là sự tin tưởng của cộng đồng Nếu một web server của 1 công ty bị tấn công, cộng đồng cho rằng hacker đã phá vỡ được sự bảo mật của công ty đó, trong khi thật ra các hacker chỉ tấn công được 1 chỗ yếu của server Các server Web, FTP, SMTP và một vài server khác chứa các dịch vụ có rất nhiều lổ hổng để có thể bị tấn công, trong khi các server quan trọng được đặt sau rất nhiều lớp bảo mật Cộng đồng thường không hiểu rằng phá vỡ một trang web của một công ty thì dễ hơn rất nhiều so với việc phá vỡ cơ sở dữ liệu thẻ tín dụng của công ty đó Cộng đồng phải tin tưởng rằng một công ty rất giỏi trong việc bảo mật các thông tin riêng

tư của nó

Mối đe dọa có cấu trúc

Mối đe dọa có cấu trúc là khó ngăn ngừa và phòng chống nhất vì nó xuất phát từ các

tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực hiện tấn công Các hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra mối đe dọa này

Các hacker này biết các gói tin được tạo thành như thế nào và có thể phát triển mã đểkhai thác các lỗ hổng trong cấu trúc của giao thức Họ cũng biết được các biện pháp được

sử dụng để ngăn ngừa truy cập trái phép, cũng như các hệ thống IDS và cách chúng pháthiện ra các hành vi xâm nhập Họ biết các phương pháp để tránh những cách bảo vệ này Trong một vài trường hợp, một cách tấn công có cấu trúc được thực hiện với sự trợ giúp

từ một vài người ở bên trong Đây gọi là mối đe dọa có cấu trúc ở bên trong Cấu trúchoặc không cấu trúc có thể là mối đe dọa bên ngoài cũng như bên trong

1.3 Một số phương thức tấn công hệ thống mạng nguy hiểm và phổ biến.

- Phương thức tấn công Scanner

Scanner là một chương trình tự động rà soát và phát hiện những điểm yếu về bảomật trên một trạm làm việc cục bộ hoặc trên một trạm ở xa Với các chức năng này, một

kẻ phá hoại sử dụng chương trình Scanner có thể phát hiện ra lỗ hổng về bảo mật trênmột server ở xa Các chương trình Scanner thường có một cơ chế chung là rà soát và phát

triển những port TCP/UDP được sử dụng trên một hệ thống cần tấn công từ đó phát hiệnnhững dịch vụ sử dụng trên hệ thống đó Sau đó các chương trình Scanner ghi lại nhữngđáp ứng trên hệ thống ở xa tương ứng với các dịch vụ mà nó phát hiện ra Dựa vào nhữngthông tin này, những kẻ tấn công có thể tìm ra những điểm yếu trên hệ thống Những yếu

tố để một chương trình Scanner có thể hoạt động như sau:

+ Yêu cầu về thiết bị và hệ thống: Một chương trình Scanner có thể hoạt động được nếumôi trường đó hỗ trợ TCP/IP (bất kể hệ thống là UNIX, máy tính tương thích với IBM,hoặc dòng máy Macintosh)

+ Hệ thống đó phải kết nối vào Internet

Tuy nhiên không phải đơn giản để xây dựng một chương trình Scanner, những kẻ pháhoại cần có kiến thức sâu về TCP/IP, những kiến thức về lập trình C, PERL và một sốngôn ngữ lập trình shell Ngoài ra, người lập trình (hoặc người sử dụng) cần có kiến thức

là lập trình socket, phương thức hoạt động của các ứng dụng client/server Các chươngtrình Scanner có vai trò quan trọng trong một hệ thống bảo mật, vì chúng có khả năngphát hiện ra những điểm yếu kém trên một hệ thống mạng Đối với người quản trị mạngnhững thông tin này là hết sức hữu ích và cần thiết; đối với những kẻ phá hoại nhữngthông tin này sẽ hết sức nguy hiểm

- Phương thức tấn công Password Cracker

Password Cracker là một chương trình có khả năng giải mã một mật khẩu đã được

mã hóa hoặc có thể vô hiệu hóa chức năng bảo vệ mật khẩu của hệ thống Để hiểu cáchthức hoạt động của các chương trình bẻ khóa chúng ta cần hiểu cách thức mã hóa để tạo

ra mật khẩu Hầu hết việc mã hóa mật khẩu được tạo ra từ một phương thức mã hóa Cácchương trình mã hóa sử dụng các thuật toán mã hóa để mã hóa mật khẩu Nguyên tắchoạt động của chương trình loại này là tạo ra một danh sách các từ và được mã hóa đốivới từng từ Sau mỗi lần mã hóa, chương trình sẽ so sánh với mật khẩu đã mã hóa cầnphá Nếu thấy thông tin trùng hợp, quá trình quay lại Phương thức bẻ khóa này còn gọi làbruce-force Yếu tố về thiết bị phần cứng thì trong thực tế các máy tính dùng để bẻ khóathường có cấu hình cao và mạnh Có nhiều trường hợp kẻ bẻ khóa có thể thực hiện việc

bẻ khóa trên một hệ thống phân tán, để giảm bớt được các yêu cầu thiết bị so với làm tại

một máy Nguyên tắc của một số chương trình bẻ khóa có thể khác nhau Một vài chươngtrình tạo một danh sách các từ giới hạn, áp dụng một số thuật toán mã hóa, từ kết quả sosánh với password đã mã hóa cần bẻ khóa để tạo ra một danh sách khác theo một logiccủa chương trình, cách này tuy không chuẩn tắc nhưng khá nhanh vì dựa vào nguyên tắckhi đặt mật khẩu người sử dụng thường tuân theo một số quy tắc để thuận tiện khi sửdụng Đến giai đoạn cuối cùng, nếu thấy phù hợp với mật khẩu đã được mã hóa, kẻ phákhóa sẽ có được mật khẩu dạng text thông thường.

- Phương thức tấn công Trojan

Dựa theo truyền thuyết cổ Hy Lạp “Ngựa thành Trojan”, Trojan là một chươngtrình chạy không hợp lệ trên một hệ thống với vai trò như một chương trình hợp pháp.Những chương trình này thực hiện những chức năng mà người sử dụng hệ thống thườngkhông mong muốn hoặc không hợp pháp Thông thường, Trojan có thể chạy được là docác chương trình hợp pháp đã bị thay đổi mã bất hợp pháp Các chương trình virus là mộtloại điển hình của Trojan Những chương trình virus che giấu các đoạn mã trong cácchương trình sử dụng hợp pháp Khi những chương trình này được kích hoạt thì nhữngđoạn mã ẩn dấu sẽ được thực thi để thực hiện một số chức năng mà người sử dụng khôngbiết Một định nghĩa chuẩn tắc về các chương trình Trojan như sau: chương trình Trojan

là một chương trình thực hiện một công việc mà người sử dụng không biết trước, giốngnhư ăn cắp mật khẩu hay copy file mà người sử dụng không nhận thức được Các tác giảcủa các chương trình Trojan được tạo ra dựa trên một kế hoạch Xét về khía cạnh bảo mậttrên Internet, một chương trình Trojan sẽ thực hiện một trong những công việc sau:

+ Thực hiện một vài chức năng hoặc giúp người lập trình phát hiện những thông tinquan trọng hoặc thông tin cá nhân trên một hệ thống hoặc một vài thành phần của hệthống đó

+ Che giấu một vài chức năng hoặc giúp người lập trình phát hiện những thông tin quantrọng hoặc thông tin cá nhân trên một hệ thống hoặc một vài thành phần của hệ thống đó.Một vài chương trình Trojan có thể thực hiện cả hai chức năng này Ngoài ra một sốchương trình Trojan còn có thể phá hủy hệ thống bằng cách phá hoại những thông tin trên

ổ đĩa cứng (ví dụ trường hợp của virus Melisa lây qua đường thư điện tử) Các chương

trình Trojan có thể lây lan qua nhiều phương thức, hoạt động trên nhiều môi trường hệđiều hành khác nhau Đặc biệt Trojan thường lây lan qua một số dịch vụ phổ biến nhưMail, FTP… hoặc qua các tiện ích, chương trình miễn phí trên mạng Internet Chươngtrình Trojan ảnh hưởng đến các truy cập của khách hàng hoặc tạo ra lỗ hổng bảo mật cómức độ ảnh hưởng rất nghiêm trọng.

- Phương thức tấn công Sniffer

Đây là một chương trình ứng dụng bắt giữ được tất cả các gói lưu chuyển trên

mạng Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic.Tuy nhiên, do một số ứng dụng gửi dữ liệu qua mạng dưới dạng clear text (telnet, FTP,SMTP, POP3…) nên Sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạycảm như: username, password, và từ đó có thể truy xuất vào các thành phần khác củamạng Khả năng thực hiện Packet Sniffer có thể xảy ra từ trong các segment của mạngnội bộ, các kết nối RAS hoặc phát sinh trong WAN Ta có thể cấm packet Sniffer bằngmột số cách như sau:

- Phương thức tấn công Mail Relay

Đây là phương pháp phổ biến hiện nay Email Server nếu cấu hình không chuẩnhoặc Username/ Password của người sử dụng mail gây ngập mạng, phá hoại hệ thốngemail khác Ngoài ra, với hình thức gắn thêm các đoạn script trong mail hacker có thểgây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủDatabase nội bộ hoặc các cuộc tấn công DoS vào một mục tiêu nào đó Phương phápgiảm thiểu:

+ Giới hạn dung lương Mail box

+ Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTPserver, đặt password cho SMTP

+ Sử dụng gateway SMTP riêng.

- Phương thức tấn công hệ thống DNS

DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là

hệ thống quan trọng nhất trong hệ thống máy chủ Việc tấn công và chiếm quyền điềukhiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạtđộng của hệ thống truyền thông trên mạng

+ Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

+ Cài đặt hệ thống IDS Host cho hệ thống DNS

+ Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS

- Phương thức tấn công Man- in- the- middle attack

Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng.Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tất cả các gói tinmạng của các công ty khác thuê đường Leased line đến ISP đó để ăn cắp thông tin hoặctiếp tục session truy nhập vào mạng riêng của công ty khách hàng Tấn công dạng nàyđược thực hiên nhờ một packet Sniffer Tấn công dạng này có thể hạn chế bằng cách mãhóa dữ liệu được gửi ra Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đãđược mã hóa

- Phương thức tấn công thăm dò mạng

Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về hệthống mạng Khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thậpđược thông tin về mạng càng nhiều càng tốt trước khi tấn công Điều này có thể thực hiệnbởi các công cụ như DNS queries, ping sweep, hay port scan Ta không thể ngăn chặnđược hoàn toàn các hoạt động thăm dò kiểu như vậy Ví dụ ta có thể tắt đi ICMP echo vàecho- relay, khi đó có thể chặn được ping sweep, nhưng nó lại khó cho ta khi mạng có sự

cố, cần phải chẩn đoán lỗi do đâu NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạtđộng thăm dò xảy ra trong mạng

- Phương thức tấn công Trust redirection

Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đốivới mạng Ví dụ bên ngoài firewall Khi bên ngoài hệ thống bị xâm hại, các hacker có thể

lần theo quan hệ đó để tấn công vào bên trong firewall Có thể giới hạn các tấn công kiểunày bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mứctruy nhập nào sẽ được truy nhập vào các tài nguyên nào của mạng.

- Phương thức tấn công Port redirection

Tấn công này là một loại của tấn công Trust exploitation, lợi dụng host đã bị độtnhập đi qua firewall Ví dụ một firewall có 3 interface, một host ở outside có truy cậpđược một host trên DMZ, nhưng không thể vào được một host ở inside Host ở DMZ cóthể vào được host ở inside, cũng như outside Nếu hacker chọc thủng được host trênDMZ, họ có thể cài phần mềm trên host của DMZ để bẻ hướng traffic từ host outside đếnhost inside Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server.HIDS có thể giúp phát hiện được các chương trình lạ hoạt động trên server đó

- Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Một trongnhững cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm như sendmail,HTTP, hay FTP Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sửdụng những port cho qua bởi firewall Ví dụ các hacker tấn công web server bằng cách sửdụng TCP port 80, mail server bằng TCP port 25 Một số cách để hạn chế các tấn cônglớp ứng dụng:

+ Lưu lại logfile, và thường xuyên phân tích logfile

+ Luôn cập nhật các patch cho hệ điều hành và các ứng dụng

+ Dùng IDS, có 2 loại IDS: HIDS cài đặt trên mỗi server một agent của HIDS để pháthiện các tấn công lên server đó NIDS xem xét tất cả các gói tin trên mạng (collisiondomain) khi nó thấy có một gói tin hay một chuỗi các gói tin giống như bị tấn công nó cóthể cảnh báo hay cắt các session đó Các IDS phát hiện các tấn công bằng cách dùng cácsignature Signature của một tấn công là một profile về loại tấn công đó Khi IDS pháthiện thấy traffic giống như một signature nào đó, nó sẽ phát cảnh báo

Chương 2: Tìm hiểu công nghệ bảo mật Microsoft.

2.1 Bảo mật – một xu hướng tất yếu.

Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin kháquan tâm Khi internet ra đời và phát triển làm cho nhu cầu trao đổi thông tin trở nên cầnthiết Mục tiêu của việc kết nối internet là làm cho mọi người có thể sử dụng chungnguồn tài nguyên từ những vị trí địa lý khác nhau Cũng chính vì vậy mà nguồn tàinguyên dễ bị phân tán, một điều hiển nhiên là chúng sẽ bị xâm phạm gây mất mát dữ liệucũng như các thông tin có giá trị Càng giao thiệp rộng thì lại càng dễ bị tấn công, đó làquy luật Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiên Bảo mật ra đời

Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực thông tin màcòn trong nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật trên các hệthống thanh toán điện tử và giao dịch trực tuyến

Một nguy cơ trên mạng đều là những mối nguy hiểm tiềm tàng Từ một lỗ hổng bảomật nhỏ của hệ thống, nhưng biết khai thác và lợi dụng với tần suất cao và kỹ thuật hackđiêu luyện cũng có thể trở thành tai họa

Theo thống kê của tổ chức bảo mật nổi tiếng CERT (Computer Emegancy ResponseTeam ) thì số vụ tấn công ngày càng tăng Cụ thể là năm 1989 có khoảng 200 vụ, đếnnăm 1991 có khoảng 400 vụ, đến năm 1994 con số này tăng đến mức 1330 vụ và con sốnày sẽ tăng mạnh trong thời gian tới

Như vậy, ta có thể thấy số vụ tấn công ngày càng tăng đến mức chóng mặt Điều nàycũng dễ hiểu, vì một thực thể luôn tồn tại hai mặt đối lập nhau Sự phát triển mạnh mẽcủa công nghệ thông tin sẽ làm cho nguy cơ tấn công ăn cắp thông tin hay phá hoại đangbùng phát mạnh mẽ

Internet là môi trường rất hỗn loạn Một thông tin mà bạn truyền dẫn trên mạng rất cóthể sẽ bị xâm phạm Thậm chí là công khai Bạn có thể hình dung internet như một phònghọp, những gì trao đổi trong phòng họp có thể được người khác nghe thấy Với internetthì mọi người không nhìn thấy mặt nhau và việc nge thông tin này có thể là hợp pháp hocbất hợp pháp

Tóm lại, internet là nơi không an toàn Mà không chỉ có internet, các loại mạng khácnhư LAN đến một hệ thống máy tính cũng có thể bị xâm phạm Thậm chí mạng điệnthoại, di động cũng không nằm ngoài cuộc Vì thế chúng ta nói rằng phạm vi của bảo mật

là rất lớn, nó không chỉ gói gọn trong phạm vi một máy tính của một cơ quan mà là toàncầu

2.2 Lịch sử phát triển công nghệ bảo mật Microsoft

Công nghệ bảo mật được ra đời và ngày càng hoàn thiện hơn qua các phiên bảnnhư :

2.2.1 Proxy Server 1.0

Ban đầu, Proxy 1.0 có tên là Catapult, nó được hình thành bởi các thành viên củanhóm IIS và sau đó được giao lại cho đội nghiên cứu và phát triển (R & D) ở Haifa –Israel để hoàn thành Nhóm R&D phát hành Proxy Server 1.0 vào tháng 10 năm 1996 vớikhẩu hiệu “The Only Proxy Server Fully Intergrate with Windows NT Server” (“ChỉProxy Server tích hợn đầy đỉ với Windows NT Server”) Mặc dù một số đối thủ cạnhtranh (Netscape Proxy Server, ) đã có thể chạy trên Windows NT, nhưng không ai trong

số họ sử dụng được đầy đủ các chức năng được cung cấp bởi Windows NT 4.0, IIS vàProxy Server 1.0

Phiên bản Proxy Server 1.0 được xây dựng với hai thành phần chính là WebProxy và WinSock Proxy Web Proxy hoạt động như một Internet Services ApplicationProgramming Interface (ISAPI) Plug-in cho IIS, trong khi đó Winsock Proxy lại hoạtđộng như một dịch vụ riêng biệt cho Windows NT

Proxy Server 1.0 có thể được cấu hình cho phép truy cập tới các trang web dựavào các máy chủ IIS nội bộ, nhưng không thể xuất bản các trang web nội bộ ra ngoàiInternet Proxy Server 1.0 kết thúc vào tháng 3 năm 2002

Hình 1.1 Cấu trúc chức năng Proxy Server 1.0

 Yêu cầu để cài đặt Proxy Server 1.0:

- Windows NT version 4.0 (x86 hoặc Alpha) SP1

- Internet Information Services 2.0

- IPv4 và IPX

 Những tính năng chính của Proxy Server 1.0:

- HTTP 1.0 CERN Proxy (HTTP, HTTPS, FTP, Gopher)

- HTTP 1.0 Web Plushing (chỉ dùng cho Local host)

- Web Content Caching

- Packet Filters

 Winsock Proxy Clients:

- Windows 3.0, 3.1, 3.11

- Windows NT 4.0

- Windows 95

2.2.2 Proxy Server 2.0

Nối tiếp sự ra đời của Proxy Server 1.0 là phiên bản Proxy Server 2.0 với tên gọi ban đầu

là Catapult 2, được phát hành bởi nhóm Haifa R&D tháng 12 năm 1997 Mặc dù chỉ hơnmột năm sau khi Proxy 1.0 phát hành, phiên bản mới này đã có những cải tiến một cách

rõ ràng: tích hợp thêm các tính năng mới, cải thiện hiệu suất và bảo mật

Hình 1.2 Cấu trúc chức năng Proxy Server 2.0

 Yêu cầu cài đặt của Proxy Server 2.0:

- Windows NT Version 4.0 (x86 hoặc Alpha) SP3

- Internet Information Service 3.0

- IPv4 và IPX

 Các tính năng mới trong Proxy Server 2.0 so với Proxy Server 1.0:

- HTTP 1.1 (RFC 2616)

- Distributed Web Content Caching (CARP)

- Non-local Web Plushing

ISA Server 2000 là sản phẩm proxy/firewall được tích hợp trong Small BusinessServer 2000 (SBS) phiên bản Enterprise và được tích hợp trong phiên bản SBS Enterprise

2003 ISA Server 2000 được hỗ trợ mở rộng để có thể hoạt động trên Windows Server

2003 vào tháng 4 năm 2006 nên lợi dụng được các ưu điểm và các tính năng bảo mật củaWindows Server 2003 Việc hỗ trợ này đã kết thúc hoàn toàn vào tháng 5 năm 2011

Hình 1.3 Cấu trúc chức năng ISA 2000

 Yêu cầu cài đặt:

- Windows Server 2000 (chỉ cài đặt trên bản x86)

- Chỉ sử dụng IPv4

 Những thay đổi so với Proxy Server 2.0:

- Có hai phiên bản : Standard và Enterprise

- Cấu hình phiên bản Enterprise lưu trữ trên Active Directory

- Kiểm soát băng thông

- IPX không còn được hỗ trợ

- IIS không còn cần thiêt

- H323 Gatekeeper

- SMTP Message Screener

- Kiểm tra tầng ứng dụng thông qua Application Filter và Web Filter

- Winsock Proxy Client thay đổi thành Firewall Client

đã được phát hành trong tháng 2 năm 2003 bao gồm những chức năng bổ sung cho ISAServer 2000 như sau:

- URLScan: Cùng với tiện ích ISAPI đã nghĩ ra cho IIS đã thêm vào ISA Web

Proxy Filter để cung cấp bảo mật HTTP lớn hơn cho ISA Server Web Publishing

- SecureID Authentication: Bộ lọc này cung cấp chứng thực hai yếu tố mạnh mẽ

(Licensed từ RSA Sercurity, Inc) cho việc xuất bản các trang web

- Enhanced SMTP Filter: Bộ lọc có khả năng quét nội dung bên trong của những

email không được mã hóa trước khi nó được chuyển vào Mail Server của mạng nội bộ

- Enhanced RPC Filter: Cung cấp khả năng bảo mật việc xuất bản Exchange RPC

(MAPI) Bộ lọc này cung cấp một phương thức an toàn cho phép truy cập tới ExchangeRPC email trong khi đồng thời ngăn chặn các virus Blaster

- Outlook Web Access (OWA) Publishing Wizard: cung cấp cơ chế xuất bản web

dễ dàng hơn cho các dịch vụ Exchange OWA

Link Translator: Cung cấp cho nhà quản trị một phương tiện có thể thay đổi các

siêu liên kết trong các trang web và các kịch bản liên quan đến các chức năng bên ngoàikhác của mạng nội bộ

2.2.5 ISA Server 2004

Tên ban đầu của ISA Server 2004 là Stingray, được phát triển bởi nhóm Haifa R&D gồmhai phiên bản Standard 6/2004 và Enterprise 1/2005

Hình 1.4 Cấu trúc chức năng ISA Server 2004 và 2006

 Yêu cầu cài đặt:

- Windows Server 2000 (Standard)

- Windows Server 2003 (Standard hoặc Enterprise)

- TCP/IPv4

 Những thay đổi so với ISA Server 2000 trở đi:

- Cấu hình phiên bản Enterprise được lưu trữ trong Active Directory ApplicationMode (ADAM)

- Chính sách giao thông được ưu tiên từ trên xuống

- Kết nối giới hạn

- Kết nối kiểm định các giao thức phổ biến

- Cơ chế đăng nhập và truy vấn phiên

- Cài đặt và Update được cung cấp bởi Microsoft Installer (MSI)

- Gopher đã được giảm từ giao thức thiết lập CERN proxy

 Hỗ trợ Firewall Clients:

- Phiên bản Windows 98 Second

- Phiên bản Windows Millennium

2.2.6 ISA Server 2004 SP2

Được ra đời tháng 2 năm 2006, ISA Server 2004 SP2 chú trọng về việc cải thiện tốc

độ tiêu thụ băng thông hiệu quả Tất cả những bổ sung đã được xây dựng đặc biệt chogiao thông HTTP được xử lý bởi các Web Proxy

- DiffServ-based QoS (RFC 2745): Mặc dù cơ kiểm soát băng thông được cung cấp

trong ISA 2000 đã giảm xuống với ISA 2004, nó được thay thế bởi sự hỗ trợ choDifferentiatedServices (DiffServ), một phương pháp chuẩn cho việc ưu tiên giao thông

Vì do lượng giao thông HTTP đại diện cho phần lớn các giao thông xử lý bởi ISA Server,thêm vào DiffServ ưu tiên cho giao thông HTTP bởi các bộ lọc Web Proxy nên có thểhợp tác với các mạng trong sự ưu tiên giao thông theo ý đồ thiết kế của nhóm quản trị

BITS Caching: Background Intelligent Transfer Service (BITS) là một phương thức

quản lý vận chuyển HTTP mà cho phép các cặp Client/Server có thể trao đổi những bưukiện dữ liệu lớn trong những những phần nhỏ Điều này lần đầu tiên được giới thiệu trongWindows 2000, và được sử dụng rộng rãi cho Windows và cơ chế Microsoft Update ISAServer đã được cập nhật để hỗ trợ cơ chế chuyển giao,cung cấp mở rộng bộ nhớ cachecho Windows và Microsoft Update như WSUS và chuyển gói SMS, điều này cũng làmcho BITS được sử dụng rộng rãi hơn

HTTP Compression: Phần lớn các nội dung được phân phối bởi HTTP đều dựa

trên văn bản và văn bản thì có độ nén rất cao, dựa trên kết quả đó việc sử dụng băngthông có thể được cải tiến bởi việc nén nội dung trước khi đưa nó lên mạng, ISA Server

2004 SP2 dược tích hợp thêm bộ nén Gzip để thực hiện mục tiêu này

2.2.7 ISA Server SP3

Tiếp tục phát triển các gói dịch vụ tập chung bắt đầu từ ISA Server 2004 SP2 và tiếp tục

hỗ trợ cho các mục tiêu làm cho sản phẩm dễ dàng quản lý hơn và khắc phục các sự cốISA Server SP3 có 3 cải tiến chủ yếu:

- Troubleshooting Context: Trong giao diện điều khiển của ISA Server 2004

(MMC) đã được thay đổi để chứa một phần mới gọi là Troublshooting, Phần này đượcthực hiện những bổ sung mới có sẵn từ một nơi duy nhất để thực hiện nhiệm vụ đơn giảnnày