Xây dựng một số giải pháp bảo mật cho hệ thống mạng trường đh CNTTTT sử dụng microsoft forefront TMG 2010

LỜI CAM ĐOAN Em xin cam đoan: Nội dung của đề tài đồ án tốt nghiệp với tên đề tài “Xây dựng một số giải pháp bảo mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2

LỜI CẢM ƠN

Để hoàn tất đồ án với sự cố gắng và tìm hiểu Bản thân em trong những tháng ngày học tập tại trường, em luôn ghi nhận những sự đóng góp giúp đỡ nhiệt tình của những người bên cạnh mình, sự ủng hộ của thầy cô và bạn bè đã giúp em có thêm động lực để hoàn thành đồ án, nhân đây em muốn gửi lời cảm

ơn chân thành nhất tới thầy cô và bạn bè

Lời cảm ơn trân trọng đầu tiên em muốn dành tới cô giáo Ths.Nguyễn Thị Duyên, người cô đã dìu dắt và hướng dẫn em trong suốt quá trình làm đồ án, sự chỉ bảo và định hướng của cô giúp em tự tin tìm hiểu về đề tài của mình

Em xin trân trọng cảm ơn các thầy giáo, cô giáo trong bộ môn mạng và truyền thông, khoa công nghệ thông tin – Trường đại học Công nghệ thông tin & truyền thông đã giúp em hoàn thành được đồ án này

Em muốn gửi lời cảm ơn chân thành đến tập thể lớp MMT-K10A đã cùng

em đi qua những tháng ngày miệt mài học tập, cùng chia sẻ những niềm vui, nỗi buồn, động viên em đi qua những khó khăn, để em vững bước vượt qua những vất vả

Thái Nguyên, ngày… tháng … năm 2016

Sinh viên thực hiện

TẠ VĂN HÙNG

LỜI CAM ĐOAN

Em xin cam đoan: Nội dung của đề tài đồ án tốt nghiệp với tên đề tài

“Xây dựng một số giải pháp bảo mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010” là không sao chép nội

dung từ bất kỳ bản đề tài nào không phải do em làm ra

Những phần sử dụng tài liệu tham khảo trong bài báo cáo đã được ghi rõ trong phần tài liệu tham khảo Các số liệu, kết quả trình bày trong đồ án là hoàn toàn trung thực

Nếu sai em xin chịu mọi hình thức kỷ luật của trường Đại học Công nghệ thông tin và truyền thông – Đại học Thái Nguyên

Thái Nguyên, ngày… tháng … năm 2016

Sinh viên thực hiện

TẠ VĂN HÙNG

MỤC LỤC

LỜI CẢM ƠN 1

LỜI CAM ĐOAN 2

MỤC LỤC 3

DANH MỤC HÌNH 5

DANH MỤC BẢNG 7

DANH MỤC CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT 8

LỜI NÓI ĐẦU 9

TỔNG QUAN ĐỀ TÀI 10

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 12

1.1 Tổng quan về Firewall 12

1.1.1 Khái niệm Firewall 12

1.1.2 Chức năng chính 12

1.1.3 Nguyên lý hoạt động của Firewall 13

1.1.4 Ưu nhược điểm của Firewall 14

1.1.5 Những hạn chế của firewall 14

1.2 Giới thiệu về Forefront TMG 15

1.2.1 Lịch sử về TMG 2010 15

1.2.2 Quá trình phát triển của TMG 2010 16

1.3 Các tính năng của TMG 2010 17

1.3.1 Các chức năng chính của TMG 2010 17

1.3.2 Các tính năng nổi bật của TMG 2010 18

1.4 Lý do chọn TMG thay vì ISA 18

1.5 Giao diện của TMG 2010 22

CHƯƠNG 2: KHẢO SÁT & PHÂN TÍCH HỆ THỐNG MẠNG TẠI TRƯỜNG ĐH CNTT&TT 24

2.1 Khảo sát hệ thống mạng của Trường ĐH CNTT&TT 24

2.1.1 Khảo sát hiện trạng 24

2.1.2 Mô hình mạng của trường ĐH CNTT&TT 27

2.2 Phân tích hệ thống mạng của Trường ĐH CNTT&TT 33

2.2.1 Phân tích hệ thống mạng 33

2.2.2 Đề xuất một số giải pháp bảo mật có thể áp dụng 34

2.2.3 Lựa chọn giải pháp và xây dựng quy trình bảo mật 35

2.3 Yêu cầu hệ thống 37

2.3.1 Yêu cầu phần cứng 37

2.3.2 Yêu cầu phần mềm 38

CHƯƠNG 3: XÂY DỰNG CHƯƠNG TRÌNH DEMO 39

3.1 Cài đặt forefront TMG 2010 39

3.1.1 Yêu cầu mô phỏng cài đặt 39

3.1.2 Cài đặt forefront TMG 2010 39

3.2 Cấu hình các Access Rule 41

3.2.1 Web Access 41

3.2.2 DNS Query 44

3.2.3 HTTPS Inspection 46

3.2.4 Tạo rule cho phép người sử dụng Internet trong giờ làm việc 50

3.2.5 HTTP Filter 50

3.2.6 Tạo rule cấm các trang web có trong danh sách 52

3.2.7 Malware Inspection 54

3.2.8 Cấu hình network ispection system (NIS) 57

3.2.9 Cấu hình Intrucsion Detection 60

KẾT LUẬN 62

TÀI LIỆU THAM KHẢO 63

DANH MỤC HÌNH

Hình 1.1: Mô hình tổng quan 3 lớp mạng của tường lửa 16

Hình 1.2: Các chức năng chính của TMG 2010 17

Hình 1.3: Giao diện của TMG 22

Hình 1.4: Web Access Policy 23

Hình 2.1: Mô hình cơ sở hạ tầng Trường ĐH CNTT&TT 25

Hình 2.2: Sơ đồ tổ chức của trường ĐH CNTT&TT 26

Hình 2.3: Mô hình logic tổng quát 30

Hình 2.4: Mô hình vật lý tầng 1 nhà điều hành C1 31

Hình 2.5: Mô hình vật lý tầng 2 nhà điều hành C1 31

Hình 2.6: Mô hình vật lý tầng 3 nhà điều hành C1 32

Hình 2.7: Mô hình vật lý tầng 4 nhà điều hành C1 32

Hình 2.8: Mô hình vật lý tầng 5 nhà điều hành C1 33

Hình 2.9: Triển khai TMG trên VLAN 37

Hình 3.1: TMG yêu cầu khai báo internal network trong quá trình cài đặt 40

Hình 3.2: Giao diện Forefront TMG 40

Hình 3.3: Tạo mới một Access rule 41

Hình 3.4: đặt tên cho rule mới 41

Hình 3.5: Thiết lập điều kiện cho rule là Allow 42

Hình 3.6: Các giao thức được áp dụng cho rule 42

Hình 3.7: Tùy chọn cấu hình Malware Inspection cho rule 43

Hình 3.8: Cấu hình source và destination network cho rule 43

Hình 3.9: Cấu hình hoàn tất, Apply để lưu cấu hình trên Forefront 44

Hình 3.10: Tạo mới Access rule 44

Hình 3.11: Chọn giao thức là DNS 45

Hình 3.12: Cấu hình source và destination cho rule 45

Hình 3.13: Hoàn thành access DNS 46

Hình 3.14: Bật tính năng HTTPs Inspection 46

Hình 3.15: Cấu hình cài đặt chứng chỉ nhận diện mã độc 47

Hình 3.16: Cài đặt chứng chỉ thành công 47

Hình 3.17: Triển khai chứng chỉ trên domain 48

Hình 3.18: Triển khai chứng chi trên domain 48

Hình 3.19: Download file từ eicar.org sử dụng giao thức bảo mật 49

Hình 3.20: Cấm download 49

Hình 3.21: Bật allow web internal 50

Hình 3.22: Chọn thời gian cho phép truy cập internet 50

Hình 3.23: Bật configure HTTP 51

Hình 3.24: Kết quả khi download 1 file exe sẽ bị cấm 52

Hình 3.25: Tạo luật cấm 52

Hình 3.26: Chọn giao thức cấm 53

Hình 3.27: Add trang web muốn cấm truy cập 53

Hình 3.28: Kết quả trang web bị cấm 54

Hình 3.29: Bật tính năng Malware Inspection 55

Hình 3.30: Thực hiện cấu hình trong mục Properties 55

Hình 3.31: Các tùy chọn nâng cao của Malware Inspection với Rule Setting 56

Hình 3.32: Trang eicar.org cung cấp mẫu virus thử nghiệm tường lửa 56

Hình 3.33: TMG thực hiện block chức năng download ngay khi phát hiện virus57 Hình 3.34: Bật tính năng NIS 57

Hình 3.35: Thêm dãy địa chỉ ip cần giám sát 58

Hình 3.36: Cho phép NIS phản ứng lại trước những traffic bất thường 58

Hình 3.37: Nhập địa chỉ IP cần giám sát 59

Hình 3.38: Dữ liệu client cần giám sát được ghi nhận bởi NIS 59

Hình 3.39: Cấu hình phát hiện tấn công 60

Hình 3.40: Kết quả Scan 60

Hình 3.41: Thông tin tấn công được TMG ghi nhận 61

DANH MỤC BẢNG

Bảng 2.1: Địa chỉ IP của các VLAN 29

Bảng 2.2: Các thiết bị mạng 29

Bảng 2.3: Các máy chủ của trường 30

Bảng 2.4: Yêu cầu phần cứng 38

Bảng 3.1: Địa chỉ máy ảo 39

DANH MỤC CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT

ADSL Asymmetric Digital Subscriber Line

BSSs Independent Basic Service sets

DHCP Dynamic Host Configuration Protocol

HTTP/HTTPs HyperText Transfer Protocol/ Hyper Text Transfer

Protocol Secure

ICMP Internet Control Message Protocol

IGMP Internet Group Messages Protocol

SSID Service Set Identifier

SMTP Simple Mail Transfer Protocol

UPS Uninterruptible Power Supply

LỜI NÓI ĐẦU

Với sự phát triển nhanh chóng của mạng internet và đặt biệt là các công nghệ mạng, kèm theo đó là vấn đề bảo vệ các tài nguyên thông tin trên mạng, tránh sự mất mát, xâm phạm là việc cần thiết và cấp bách Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho các thành phần mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên trên mạng tránh được việc đánh cắp thông tin, đồng thời tăng tính bảo mật thông tin cho mạng được cao hơn

Vấn đề bảo mật, an toàn cho hệ thống mạng cần phải được đặt lên hàng đầu trước khi đi xây dựng một hệ thống mạng cho người sử dụng Vậy nên việc

sử dụng các thiết bị tường lửa trong các hệ thống mạng để đảm bảo an ninh, an toàn mạng là rất cần thiết Nhằm ngăn chặn các kết nối không mong muốn, giảm nguy cơ mất kiểm soát hệ thống hoặc bị tấn công và lây nhiễm các chương trình

và mã độc hại

Trong bài đồ án em tìm hiểu về vấn đề “Xây dựng một số giải pháp bảo mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010”

Dù đã cố gắng rất nhiều trong quá trình tìm hiểu và viết báo cáo, nhưng chắc chắn không thể tránh khỏi những sai lầm và thiếu sót Em rất mong nhận được những ý kiến đóng góp và chỉ bảo thêm của các thầy, cô giáo giúp em hoàn thiện bài hơn

Thái Nguyên, ngày… tháng … năm 2016

Sinh viên thực hiện

TẠ VĂN HÙNG

TỔNG QUAN ĐỀ TÀI

 Lý do chọn đề tài

Ngày nay việc sử dụng Internet đã phổ biến gần như toàn bộ trong các công

ty, các doanh nghiệp, các trường học Các ứng dụng của mạng Internet giúp công việc của các trường học diễn ra nhanh chóng thuận tiện và hiệu quả cao hơn Do đó hiện nay ở các khu vực trung tâm, các trường học đều trang bị tối thiểu một đường internet, thậm chí có thể nhiều hơn thế Tuy nhiên bên cạnh những tiện ích và hiệu quả mà mạng Internet đem lại thì việc quản lý sử dụng internet vẫn chưa được xem xét và quan tâm đúng mức có thể xảy ra một số hệ quả

- Virus từ trên internet lây lan và nhiễm vào hệ thống mạng vào máy tính

- Dữ liệu quan trọng bị rỏ rỉ do các yếu tố con người, virus

- Cán bộ nhân viên sử dụng internet chưa đúng mục đích

- Hacker tấn công vào hệ thống mạng nội bộ, lấy đi những tài liệu quan trọng

- Một số trang web đen, web cấm chưa được ngăn chặn

- Chưa giới hạn và phân loại được các website cần truy cập hoặc không cần truy cập

Microsoft Forefront TMG 2010 chính là một giải pháp hữu ích giải quyết tất cả các vấn đề trên mà các trường học đang tìm kiếm Nhằm đáp ứng nhu cầu bảo mật dữ liệu và quản lý việc sử dụng Internet của hệ thống mạng trường ĐH

CNTT&TT nên em đã lựa chọn đề tài “Xây dựng một số giải pháp bảo mật cho hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010”

 Mục tiêu đề tài

- Nghiên cứu và nắm vững kiến thức về tường lửa TMG 2010

- Hiểu được cách thức hoạt động của tường lửa TMG 2010

- Sử dụng được phần mềm mô phỏng Vmware 11.0

- Mô phỏng được trên Vmware 11.0

- Thiết lập các Rule bảo vệ hệ thống theo yêu cầu của cho hệ thống mạng Trường ĐH CNTT&TT

- Khảo sát & phân tích hệ thống mạng của Trường ĐH CNTT&TT

- Xây dựng chương trình demo

 Phương pháp tiếp cận

- Cách tiếp cận: nghiên cứu về Firewall và các tính năng của TMG 2010

- Sử dụng phương pháp nghiên cứu:

Phương pháp đọc tài liệu Phân tích thực trạng và yêu cầu của trường học

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT

1.1 Tổng quan về Firewall

1.1.1 Khái niệm Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng

để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơ chế (mechanism) để bảo

vệ mạng tin tưởng (Trusted network) khỏi các mạng không tin tưởng (Untrusted network) Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, ngành hay một quốc gia, và Internet Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet)

và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet

1.1.2 Chức năng chính

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet

và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet

 Chức năng cụ thể là:

- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài

- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong

- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet

- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập

- Kiểm soát người sử dụng và việc truy nhập của người sử dụng

- Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng

 Các thành phần Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

- Bộ lọc packet (packet-filtering router)

- Cổng ứng dụng (application-level gateway hay proxy server)

- Cổng mạch (circuite level gateway)

1.1.3 Nguyên lý hoạt động của Firewall

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức TCI/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được

từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data pakets) rồi gán cho các paket này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet

và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng Đó là:

- Địa chỉ IP nơi xuất phát (IP Source address)

- Địa chỉ IP nơi nhận (IP Destination address)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

- Dạng thông báo ICMP (ICMP message type)

- Giao diện packet đến (incomming interface of packet)

- Giao diện packet đi (outcomming interface of packet)

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục

bộ

1.1.4 Ưu nhược điểm của Firewall

 Ưu điểm

- Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những

ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet

đã được bao gồm trong mỗi phần mềm router

- Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

 Nhược điểm

- Việc định nghĩa các chế độ lọc package là một việc khá phức tạp: đòi hỏi người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng packet header, và các giá trị cụ thể có thể nhận trên mỗi trường Khi đòi hỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển

- Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không kiểm soát được nội dung thông tin của packet Các packet chuyển qua vẫn

có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu drivent attack) Khi có một số chơng trình đợc chuyển theo thư điện tử, vượt qua firewall vào trong mạng được bảo vệ và bắt đầu hoạt động ở đây

Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có rất nhiều cách để mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall

Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được áp dụng rộng rãi

1.2 Giới thiệu về Forefront TMG

1.2.1 Lịch sử về TMG 2010

Khi nhắc đến tường lửa, hầu hết ai có chút kiến thức về IT đều liên tưởng đến ISA, phần mềm tường lửa khá nổi tiếng của Microsoft Tuy nhiên phiên bản cuối cùng của ISA đã dừng lại ở version 2006 Phiên bản tiếp theo của hệ thống tường lửa này được gọi với một tên khác: Forefront Threat Management Gateway - Tường lửa TMG bao gồm toàn bộ các chức năng của ISA, tuy nhiên

có thêm nhiều cải tiến đáng kế trên giao diện cũng như hiệu quả hơn trong quá trình đảm nhiệm chức năng tường lửa của mình

Trước kia, Microsoft đã đưa ra 2 phiên bản software firewall đó chính là ISA 2004, ISA 2006 nhưng 2 phiên bản firewall này chỉ được hỗ trợ trên các hệ điều hành trước đó như: Windows Server 2000, Windows XP, Windows Server

2003 mà không được hỗ trợ trên các hệ điều hành mới của Microsoft như: Windows 7, Windows Server 2008 Vì thế để cài đặt một tường lửa trên các hệ điều hành như Windows 7 hay Windows Server 2008 chúng ta sẽ phải sử dụng đến một software mới của Microsoft đó là Microsoft forefront Threat Management Gateway 2010 Một thế hệ mới của phần mềm tường lửa phát triển trên nền tảng Microsoft Internet Security Acceleration (ISA) 2006, tích hợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấn công và lọc các mã độc hại khi truy cập Internet Hơn thế nữa, Microsoft Forefront TMG 2010 chính là phiên bản tích hợp các ứng dụng: Microsoft ISA Server 2006, Forefront Client Security, Forefront Security for Exchange Server và Forefront Security for Sharepoint nên nó cung cấp các đặc điểm nổi bật về bảo mật như:

- Bảo vệ hệ thống đa dạng và hoàn thiện

- Phát hiện virus, malware và ngăn chặn tấn công

- Giao diện quản lý thân thiện và dễ dàng

- Giám sát hệ thống mạng được tăng cường

Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) là chương trình chuyên về bảo mật hệ thống mạng Mọi thông tin ra vào hệ thống của chúng ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN, các người dùng trong công ty sử dụng Internet để kinh doanh mà không cần lo ngại về phầm mềm độc hại và các mối đe dọa khác Nó cung cấp nhiều lớp bảo

vệ liên tục được cập nhật, bao gồm tất cả các tính năng được tích hợp vào một, TMG cho phép bạn dễ quản lý mạng, giảm chi phí và độ phức tạp của việc bảo mật web Hay nói cách khác khi dựng Forefront TMG lên mô hình mạng của chúng ta sẽ được chia ra làm 3 phần riêng biệt:

- Internal Network: Bao gồm tất cả máy tính có trong mạng chúng ta

- Local Host: Là một bức tường ngăn cách giữa mạng chúng ta và thế giới, chính là máy Forefront TMG

- External Network: Là mạng Internet, như vậy mạng Internet được xem như là một phần trong mô hình Forefront TMG mà thôi

Hình 1.1: Mô hình tổng quan 3 lớp mạng của tường lửa

1.2.2 Quá trình phát triển của TMG 2010

 Quá trình phát triển của MS Forefront TMG 2010 trãi qua các giai đoạn phát triển sau:

- 1/1997: Microsoft Proxy Server v1.0 (Catapult)

- 18/03/2001: Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000)

- 08/09/2004: Microsoft Internet Security and Acceleration Server 2004 (ISA Server 2004)

- 17/10/2006: Microsoft Internet Security and Acceleration Server 2006 (ISA Server 2006)

- 17/11/2009: Microsoft Forefront Threat Management Gateway 2010 (Forefront TMG 2010)

1.3.2 Các tính năng nổi bật của TMG 2010

- Enhanced Voice over IP: cho phép kết nối và sử dụng VoIP thông qua TMG

- ISP Link Redundancy: hỗ trợ load Balancing và Failover cho nhiều đường truyền Internet

- Web Anti-Malware: quét virus, phần mềm độc hại và các mối đe dọa khác khi truy cập web

- URL-Filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân loại nội dung sẵn có

- HTTPS Insdection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống phần mềm độc hại và kiểm tra tính hợp lệ của các SSL Certificate

- E-Mail Protection Subscription service: tích hợp với Forefront Protection

2010 For Exchange Server và Exchange Edge Transport Server để kiểm soát viruses, malware, spam Email trong hệ thống Mail Exchange

- Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào

- Tuy nhiên bù lại TMG có một chức năng rất hữu ích, đó là chức năng

gỡ rối Troubleshooting, Chức năng này giúp cho người dùng không chuyên cũng

có thể quản trị dễ dàng TMG

1.4 Lý do chọn TMG thay vì ISA

Các mối đe dọa đã thay đổi đáng kể kể từ khi lần đầu tiên Microsoft phát hành ISA Server 2006 cách đây gần mười năm Với việc phát hành Forefront Threat Management Gateway (TMG) 2010, Microsoft đã cung cấp cho chúng ta một giải pháp bảo mật tích hợp cạnh đó có thể cung cấp mức độ bảo vệ các kỹ sư

an ninh của chúng ta yêu cầu từ một cổng web hiện đại và an toàn Với sự hỗ trợ chủ đạo cuối cùng của ISA server 2006 SP1 nhiều tổ chức bây giờ cuối cùng cũng đã bắt đầu xem xét việc nâng cấp cơ sở hạ tầng ISA hiện tại

TMG là ứng dụng 64-bit chạy trên hệ điều hành 64-bit của Microsoft – TMG chạy trên Windows Server 2008 SP2 và R2 Với sự hỗ trợ 64-bit TMG có thể giải quyết nhiều bộ nhớ hơn so với máy chủ ISA Loại bỏ các bộ nhớ 4GB hạn chế đối với hệ điều hành 32-bit có nghĩa là TMG có thể mở rộng hiệu quả hơn và có thể xử lý lưu lượng truy cập nhiều hơn so với người tiền nhiệm của nó

Windows Server 2008/R2 bao gồm một tăng cường kết nối mạng mới có thể làm tăng sự ổn định và cung cấp các cải tiến hiệu suất đáng kể trong một số môi trường Tăng cường kết nối mạng thế hệ Windows bao gồm các tính năng như Receive Window Auto Tuning, Receive-Side Scaling (RSS), Compound TCP và Explicit Congestion Notification (ECN) Sự thay đổi quan trọng nhất trong tăng cường kết nối mạng mới là Windows Filtering Platform (WFP), cho phép TMG tích hợp với tăng cường kết nối mạng chặt chẽ nhiều hơn trong các phiên bản trước Ngoài ra, các đặc điểm kỹ thuật mới NDIS cho phép các trình điều khiển tường lửa TMG để lọc lưu lượng truy cập ở tầng hai và cung cấp hỗ trợ VLAN và NIC

Bảo vệ Web nâng cao - Giống như người tiền nhiệm của nó, TMG là một

hệ thống phòng thủ nhiều lớp ngoài ra còn cung cấp truy cập từ xa Đa số các tính năng mới trong TMG được tập trung vào kịch bản proxyforward (gửi đi), tuy nhiên để cải thiện mức độ bảo vệ được cung cấp cho client truy cập vào tài nguyên trên Internet, TMG hiện nay bao gồm các khả năng sau đây web bảo vệ tiên tiến:

- URL filtering: Với việc tích hợp bộ lọc URL, TMG có thể ngăn chặn truy cập đến các trang web được cho là độc hại hoặc không được phép bởi các chính sách sử dụng của công ty

- Web antimalware: Với chức năng quét virus và phần mềm độc hại được tích hợp, TMG có thể cung cấp bảo vệ từ các cuộc tấn công dựa trên tập tin Người dùng được bảo vệ khi tải tập tin

- Network Inspection System (NIS): NIS là một phát hiện xâm nhập mới với tính năng hấp dẫn và phòng cung cấp bảo vệ từ các cuộc tấn công dựa trên giao thức Với chữ ký được phát triển bởi Microsoft Malware Protection Center (MMPC) NIS được thiết kế để ngăn chặn các lỗ hổng trong phần mềm Microsoft được khai thác từ xa

- HTTPS Inspection: HTTPS từ lâu đã được gọi là “giao thức vượt qua tường lửa” HTTPS cung cấp mã hóa điểm tới điểm mà làm cho ngay cả các tường lửa ở lớp ứng dụng tiên tiến nhất gần như vô dụng TMG có khả năng chấm dứt và giải mã liên lạc SSL, cho phép kiểm tra ứng dụng lưu lượng truy cập đầy đủ lớp sẽ diễn ra

- Bảo vệ E-Mail nâng cao TMG có thể tích hợp mật thiết với môi trường Exchange 2007/2010 hiện tại của bạn TMG hỗ trợ trong việc cài đặt vai trò Exchange edge transport trực tiếp trên tường lửa TMG, cũng như bảo vệ Forefront for Exchange để cung cấp chống thư rác, chống lừa đảo và bảo vệ chống phần mềm độc hại

- Cải tiến VPN: TMG hiện nay bao gồm hỗ trợ cho Secure Socket Tunneling Protocol (SSTP) SSTP sử dụng SSL để cung cấp an toàn, thông tin liên lạc mã hóa giữa máy khách đang chạy Windows Vista SP1 hoặcWindows 7

cả khi cơ sở dữ liệu đang offiline vì lý do nào

- Triển khai tùy chọn mới: TMG dễ dàng hơn nhiều để thực hiện nhờ vào việc hỗ trợ cho một kịch bản triển khai mới mảng độc lập Bây giờ bạn có thể cấu hình một mảng của phiên bản tường lửa TMG doanh nghiệp mà không cần phải cài đặt và cấu hình một máy chủ quản lý doanh nghiệp (EMS – trước đây gọi là máy chủ lưu trữ cấu hình, hoặc CSS)

- Cải tiến mạng bổ sung: TMG hiện nay bao gồm hỗ trợ cho hai nhà cung cấp dịch vụ Internet khác nhau trong một kịch bản cân bằng tải hoặc chuyển đổi

hỗ trợ cho việc tích hợp với Exchange cung cấp bảo vệ e-mail tiên tiến Ngoài ra, TMG vẫn cung cấp truy cập từ xa an toàn với sự hỗ trợ cho việc xuất bản Exchange 2010 và SharePoint 2010 Truy cập từ xa và VPNsite-to-site vẫn được

hỗ trợ, và với việc bổ sung hỗ trợ cho giao thức SSTP, truy cập của khách hàng dựa trên VPN là mạnh mẽ hơn bao giờ hết Đã có những cải tiến trong khai thác

và báo cáo và các tùy chọn triển khai mới Cải tiến NAT hỗ trợ nhiều cho nhà cung cấp dịch vụ Internet là cả hai cải thiện chào đón rằng sẽ đáp ứng nhu cầu quan trọng đối với các quản trị viên ISA hiện tại nhiều Đó là lý do chọn TMG

1.5 Giao diện của TMG 2010

Rule Base Search – Tính năng tìm kiếm mới có trong giao diện quản lý TMG sẽ làm cho việc quản lý một số lượng lớn các rule trở nên đơn giản hơn Nếu muốn hiển thị bất cứ rule nào đang sử dụng giao thức DNS, bạn chỉ cần nhập cụm từ “DNS” vào hộp tìm kiếm và kích biểu tượng chiếc kính lúp để thực thi tìm kiếm

Hình 1.3: Giao diện của TMG

Có một số cách để xây dựng các truy vấn Bạn có thể chọn tên, các cặp name: value và cặp property: value Để có thêm thông tin, bạn có thể kích liên kết Examples bên cạnh hộp tìm kiếm

Web Access Policy – Nút Web Access Policy mới trong cây giao diện hiển thị một khung nhìn hợp nhất các rule truy cập web đã được cấu hình trong TMG

Hình 1.4: Web Access Policy

Như một chức năng tìm kiếm dựa trên rule, các quản trị viên sẽ đơn giản được đáng kể nhiệm vụ quản trị khi thực thi một số lượng lớn các rule phức tạp Một khung nhìn súc tích và rõ ràng cho các rule truy cập web sẽ giảm được lỗi cấu hình Truy cập nhanh chóng và dễ dàng vào các thiết lập trung để cho phép truy cập web cũng có trong khung nhìn này Các thiết lập nay gồm có cấu hình web proxy, thẩm định, nén, thanh tra HTTPS, thanh tra malware và web caching

CHƯƠNG 2:

KHẢO SÁT & PHÂN TÍCH HỆ THỐNG MẠNG

TẠI TRƯỜNG ĐH CNTT&TT

2.1 Khảo sát hệ thống mạng của Trường ĐH CNTT&TT

2.1.1 Khảo sát hiện trạng

Tiền thân Trường ĐH CNTT&TT là Khoa Công nghệ thông tin là đơn vị đào tạo thành viên thuộc Đại học Thái Nguyên được thành lập ngày 14/12/2001 theo Quyết Định số 6946/QĐ-BGD ĐT-TCCB của Bộ trưởng Bộ Giáo dục và Đào tạo

Khoa Công nghệ thông tin thực hiện mô hình phối hợp quản lý và đào tạo với Viện Công nghệ thông tin thuộc Viện Khoa học và Công nghệ Việt Nam có chức năng, nhiệm vụ đào tạo nguồn nhân lực, nghiên cứu khoa học và chuyển giao công nghệ trong các lĩnh vực Công nghệ thông tin và truyền thông phục vụ

sự nghiệp CNH, HĐH các tỉnh trung du và miền núi phía Bắc nói riêng, cả nước nói chung

Sau 10 năm xây dựng và phát triển, ngày 30/3/2011, Thủ tướng Chính phủ

ký quyết định thành lập Trường Đại học Công nghệ Thông tin và Truyền thông trên cơ sở nâng cấp Khoa CNTT thuộc Đại học Thái Nguyên

Những năm gần đây, Trường ĐH CNTT&TT của chúng ta đã và đang có nhiều thay đổi, nhiều xu hướng phát triển mới, và những thành tích tiến bộ vượt trội trong tất cả việc dạy và học Điều này phải kể đến sự đóng góp tích cực của các ngành khoa học hiện đại, đáng kể nhất là sự đóng góp của các ngành Viễn Thông – Tin Học

Cùng với sự phát triển của trường ĐH CNTT&TT, thì những nhu cầu về bảo mật thông tin của Trường ĐH CNTT&TT cần được nâng cao và cải thiện Trước những sự tấn công không ngừng của các đối tượng xấu đó thì các ứng dụng bảo mật hệ thống mạng là tấm khiêng che chắn khá vững chắc cho mạng của trường Vì lý do đó mà em muốn nghiên cứu ứng dụng bảo mật hệ thống mạng Trường ĐH CNTT&TT sử dụng Microsoft Forefront TMG 2010 trong bảo

 Cơ sở vật chất kỹ thuật

Trường ĐH CNTT&TT có cơ sở, vật chất khá đầy đủ và hiện đại Gồm một tòa nhà làm việc chính, năm giảng đường, có 12 khu nhà ký túc xá, một thư viên đa chức năng, một sân bóng với 4 sân mini Các phòng ban đều có một phòng riêng để làm việc được trang bị điều hòa, máy vi tính, điện thoại và các thiết bị chuyên dùng khác Các khoa, phòng ban, bộ phận chuyên môn được chia thành các vlan để đảm bảo sự bảo mật, có sự cập nhập thông tin với bên ngoài thông qua mạng Internet

Hình 2.1: Mô hình cơ sở hạ tầng Trường ĐH CNTT&TT

 Sơ đồ tổ chức của trường ĐH CNTT&TT

Hình 2.2: Sơ đồ tổ chức của trường ĐH CNTT&TT

2.1.2 Mô hình mạng của trường ĐH CNTT&TT

 Phân tích dải địa chỉ ip

Các khoa, phòng ban, bộ phận chuyên môn được chia làm 62 vlan như sau:

- Vlan 10 đến vlan 49: Áp dụng cho các khoa, bộ môn, phòng ban chức năng Mỗi vlan chỉ có thể truy cập, chia sẻ trong cùng 1 vlan và không thể truy cập và chia sẻ với các vlan khác với lý do bảo mật

- Vlan 50 đến vlan 59: Được quản trị mạng áp dụng khi có các kỳ thi được

tổ chức Vì khi áp dụng dải địa chỉ này sinh viên chỉ có thể truy cập vào hệ thống thi mà không thể kết nối với bất kỳ giải địa chỉ ip nào khác trong hệ thống và không có thể kết nối Internet

- Vlan 60 đến vlan 69: Được quản trị mạng áp dụng cho các phòng thực hành chỉ truy cập được Internet và không thể truy cập được nội bộ trong trường

- Vlan 100: Quản trị hệ thống chia sẻ truy cập điều khiển mọi vlan trong

Bảng 2.2: Các thiết bị mạng

Vlan 50-59 Vlan 60-69

Vlan 100

DMZ

GateWay Multilayer3_switchfirewall

Phòng đào tạo

P.113 Trưởng phòng đào tạo

Văn thư Quản trị P.102

thiết bị

P.103 chính tổng hợp

P.104

TT liên kết đào tạo

Cầu thang

WC P.105

Tổ chức cán b ộ

P.107 Công tác

Trưởng phòng HSSV

P.115 Phòng tuyển sinh

P.109

BP thanh tra giáo dục P.110

WC P.205

BM khoa học tự nhiên, lý luân chính trị, ngoại ngữ

P.205A Khoa học

cơ bản

P.209 Phó hiệu trưởng P.210

P.207

BM tin học kinh tế, tài chính, thương mại điện tử

P.206 Quản lý khoa học

P.214A

BM mạng và BM khoa học máy tínhP.214B

Hình 2.5: Mô hình vật lý tầng 2 nhà điều hành C1