thiết kế và bảo mật hệ thống mạng

 Firewall Client Với Firewall Client ta sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt một công cụ Firewall Client cho tất cả các máy tí

G H G

G Ẳ G H H G

H I – I HỌ

Ồ HI H H G G

Sinh viên thực hiện: H H H

MỤC LỤC

I Introduction ISA 4

1 Standard 4

2 Enterprise 4

II Setup ISA 5

1 i d t 5

2 Cấu hình ISA Client 10

III.Proxy server 13

1 ơ chế reverse caching 13

2 ơ chế forward caching 14

3 Xác lập dung lượng lưu trữ Cache 14

4 Một số vấn đề liên quan tới ỗ đĩa cache 17

5 Cache rule 17

6 Chỉ định loại nội dung được lưu trữ 19

7 Cách thu thập nội dung web v cách đáp ứng cho client trên cơ sở TTL 20

8 Tạo rule cấm cache trang google 21

9 Content download job 31

10 Tạo 1 content download job để download trang vnexpress 35

IV ACCESS RULE 41

1 Giới thiệu về Access Rule 41

2 Hướng dẫn thực hiện một số Rule 42

a Tạo rule cho phép traffic D S Query để phân giải tên miền 42

2 Edge Firewall 52

3 Leg Perimeter 53

4 Front/Back Firewall 54

5 Single Network Adapter 55

6 Cách thực hiện 55

VI Intrustion Detection 59

VII Application Filter 69

1 HTTP Filter 69

a Cấu hình bộ lọc HTTP Filter 69

2 SMTP Filter 77

a Giới hiệu ề S essage Screener 77

3 SMTP Filter: 77

a Chọn Firewall Policy->New->Mail Server Publishing Rule 77

b Cấu hình Outbound SMTP Relay Server Publishing Rule: 80

c Cấu hình Inbound SMTP Relay Server Publishing Rule 82

VIII Publishing Rule 83

1 Publish SMTP, POP3, OWA 97

2 Publish OWA 104

ISA SERVER 2006

INTERNET SECURITY ACCERLERATION

I Introduction ISA

 ISA là một sản phẩm tường lửa (firewall)của Microsoft được người sử dụng hiện nay rất ưa chuộng nhờ khả năng bảo vệ hệ thống mạnh mẽ cùng cơ chế quản lý linh hoạt

 ISA có 2 phiên bản chính là Standard và Enterpris

1 Standard

 Dành cho các doanh nghiệp có qui mô vừa và nhỏ

 Xây dựng để kiểm soát các luồng dữ liệu vào ra của hệ thống mạng nội bộ

 Triển khai các hệ thống VPN site to site,Remote Access để hỗ trợ truy cập từ xa,trao đổi dữ liệu giữa các văn phòng chi nhánh

 Xây dựng các dùng DMZ riêng biệt cho các máy server của công ty (Web,Mail… )

 Ngoài ra còn có hệ thống đệm(caching) giúp kết nối web nhanh hơn

2 Enterprise

 Đây là phiên bản dành cho các doanh nghiệp có qui mô lớn

 Có đầy đủ các tính năng của phiên bản Standard bên cạnh đó còn cho phép thiết lập

II Setup ISA

1 i d t

 Chọn Install ISA Server 2006

 Chọn chế độ cài đặt Custom

 Xác định đường mạng mà ISA server quản lý

 Tiếp đó nhấn Finish để hoàn thành quá trình cài đặt

 Sau khi cài đặt thử ping từ máy client tới máy isa server

 Từ mạng ngoài ping tới máy isa server

 Máy client truy cập internet

 Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mạng

chúng ta

2 ấu hình IS lient

ịa chỉ của máy ISA server

 Web Proxy Client

Cấu hình máy ISA server làm proxy server

 Firewall Client

Với Firewall Client ta sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt một công cụ Firewall Client cho tất cả các máy tính trong mạng

III Proxy server

 Một trong những đặc trưng khiến proxy server được ưa chuộng là khả năng caching, tức là khả năng lưu trữ các trang web mà proxy server từng truy cập

 ISA server sẽ có khả năng thực hiện forward caching và reverse caching

1 ơ chế reverse caching

 Khi có một internet client truy cập vào một internal web server được publish thông qua ISA server,proxy server trên ISA sẽ truy cập web server,nhận phản hồi,cung cấp nội dung web cho client và lưu trữ nội dung website

 Khi các internet client khác truy cập vào internal web server,nếu nội dung có sẵn trong cache thì proxy server sẽ lấy ra mà không cần phải truy cập web server nữa

3 ác lập dung lượng lưu trữ Cache

 Cần lưu ý rằng ISA server mặc định không có khả năng cache Nếu muốn dùng, quản trị viên phài chủ động kích hoạt tính năng cache

 Sau khi kích hoạt, cả 2 chức năng forward và reverse cache đều mặc nhiên hoạt động Quản trị viên kích hoạt tính năng cache bằng xác lập dung lượng và ổ đĩa lưu trữ (define cache drive)

 Tại ISA Server trong màn hình bên phải chọn Tab Cache Drivers tiếp tục nhấp phải vào Cache Driver chọn Properties

 Set giá trị Cache cho ISA Trên thực tế nên Set giá trị này càng cao càng tốt khoảng 5Gb trở lên.

 Chọn Save the changes and restart the services

4 ột số vấn đề liên quan tới ỗ đĩa cache

 Đĩa cache phải là ổ đĩa cục bộ (local drive)

 Đĩa cache phải được định dạng NTFS

 Để tối ưu hóa hiệu năng, nên lưu cache trên một đĩa vật lý khác với đĩa hệ thống và đĩa cài đặt chương trình ISA

 Bên cạnh đó ta còn có thể tạo các cache rule để tùy biến hoặc điều khiển các hoạt động cache

- Thiết lập cache rule ứng với một hoặc một số trang web xác định

- Trong một rule, có thể xác lập cache ứng với một hoặc một số loại nội dung xác định

- Chỉ định loại nội dung được lưu trữ và tùy biến cách đáp ứng cho proxy client tùy theo trang web hoặc nội dung mà client yêu cầu

- Chỉ định khoảng thời gian tồn tại hợp lệ (TTL: Time-To-Live) và cách đáp ứng proxy client khi nội dung cache quá hạn

6 hỉ định loại nội dung được lưu trữ

- Dynamic content: Nội dung loại này thường xuyên thay đổi và vì thế đượcđánh dấu là không thể cache.Tuy nhiên nếu chọn phương thức này trong rule thì nội dung động sẽ vẫn được lưu cho dù nó được đánh dấu là không thể cache

- Content for offline browsing (302, 307 reponses): Nội dung có thể truy cập khi không kết nối đến web server Nếu chọn phương thức này trong rule thì ISA sẽ lưu mọi nội dung trang web, kể cả phần đã được đánh dấu là khôngthể cache

- Content requiring user authentication for retrieval: Nếu chọn phương thức này ISA sẽ lưu các nội dung mà trang web yêu cầu chứng thực trước khi cho phép truy cập

7 ách thu thập nội dung web v cách đáp ứng cho client trên

cơ sở L

• Only if a valid version of the object exists in cache If no valid version exists, route

• If any version of the object exists in the cache If none exists, drop the request: Cung cấp nội dung lưu trữ cho client bất kể thời hiệu Nếu không có lưu trữ thì bỏ qua yêu cầu của client

 Mặc định ISA sẽ Cache toàn bộ các trang Web mà User truy cập Với một số trang Web mà nội dung thường xuyên thay đổi (các trang Web chứng khoán ) thì tính năng Cache này không khả thi

 Bây giờ ta sẽ tạo các một Rule nhằm loại trừ một số trang mà ta không muốn ISA Cache chúng

8 ạo rule cấm cache trang google

 Trước tiên ta cần tạo 1 URL Set chứa địa chỉ của trang google

 Chọn New Cache rule

ặt tên cho Rule này là Deny Goole

Destination chọn url google vừa tạo

 Giữ nguyên các giá trị mặc định khác

 Bỏ tính năng HTTP caching để không cache trang này

 Hoàn tất việc tạo cache rule

9 Content download job

 Như vậy với một số trang Web mà ta muốn ISA tự động Cache vào thời điểm nhất định nào đó thì ta phải tạo một Job cho ISA cập nhật chủ động trang này

 ISA server được lập lịch biểu để truy cập web server và tải về vào những thời điểm nhất định Mục đích là đáp ứng nhanh nhất cho client (khi client truy cập thì nội

dung đã được lưu sẵn tại ISA)

 Lưu ý rằng tác vụ tải xuống theo lịch biểu sẽ không thể hoàn tất nếu trang web mục tiêu đòi hỏi chứng thực người dùng

 Khi tạo tác vụ tải xuống đầu tiên, thực chất là thiết lập một số cấu hình hệ thống của ISA Chỉ sau khi chấp thuận đề nghị của ISA và áp đặt (apply) cấu hình, ta mới có thể lập lịch biểu tài xuống

 Cấu hình hệ thống này bao gồm 03 yếu tố mà ta có thể tự thực hiện:

 Kích hoạt LocalHost lắng nghe yêu cầu HTTP của web proxy client

 Kích hoạt system rule thứ 29

10 ạo 1 content download job để download trang

vnexpress

 Chọn yes

 Đặt tên cho Content download job

 Chọn Daily để thực hiện cache mỗi ngày

 Chỉ định giờ thực hiện Cache chủ động cho ISA trong Daily Frequency

 Nhập địa chỉ trang Web muốn Cache chủ động vào

 Giữ nguyên giá trị mặc định trong màn hình Content Caching

Chọn Finish để hoàn tất việc tạo download job

 Bật chức năng Content download job

IV ACCESS RULE

1 Giới thiệu về ccess ule

• Access Rule điều khiển các truy cập ra bên ngoài từ 1 Network được bảo vệ nằm

trong đến 1 Network khác không được bảo vệ nằm ngoài

• ISA Server 2006 quan tâm đến tất cả Networks không nằm ngoài –External.còn những Networks

ược xác định l External thì không được bảo vệ

 Các Networks được bảo vệ:

 VPN Client Network

 Quaranined Vpn clients(mạng vpn client bị cách ly)

 Localhost Network(chính các isa server firewall)

 Internal Network(mạng Lan)

 Perimeter networks-DMZ

 Mạng vành đai

2 Hướng dẫn thực hiện một số ule

a Tạo rule cho phép traffic DNS Query để phân giải tên miền

 Bước 1: vào ISA management->Firewall policy

->New Rule

 Bước 2: Gõ “DNS Query” vào Access name->next

 Bước 3: Action chọn Allow->next

 Bước 4:Trong This Rule apply to:chọn ”Select Protocols”->Add->Comand protocol

là DNS->Ok->next

 Bước 5:Trong Access Rule Source chọn Add Network là

Internal->Add->close->next

 Bước 6:Trong Access Rule Destination chọn Add Network là

External->Add->close->next

 Bước 7:Trong User sets chọn giá trị mặc định là All user->next->finish(chọn nút

apply phía trước có dấu chấmthan

) Bước 8:Dùng lệnh Nslookup để phân giải một tên miền bất kỳ

b ạo ule cho phép mọi ser sử dụng mail

Tạo Access Rule theo các thông số sau:

-Rule Name: Allow Mail (SMTP + POP3)

-Action: Allow

-Protocols: POP3 + SMTP

-Source: Internal

-Destination: External

-Users: All Users

Các thao tác thực hiện như phần một

1 Cấm xem một số trang web như(vnexpress.net)

 Định nghĩa các trang web muốn cấm

Bước 1:ISA management->firewall policy->tool box->Network Object->New->URL

Bước 2:Dòng name đặt tên là vnexpress->New khai 2 dòng http://vnexpress.net và

http://vnexpress.net/*->ok

 Kiểm tra

Thử logon vô một User nào đó rồi vào trang vnexpress

c Tạo Rule cho phép sử dụng Internet không hạn chế trong giờ làm việc

 Định nghĩa giờ làm việc

Bước 1:ISA management->Firewall policy->toolbox->Schedule->New

 User: All Users

 Các thao tác làm tương tự như phần 1

 Sau khi tạo rule xong, chọn properties của rule vừa tạo chọn Schedule là Giờ làm việc->Apply

 Kiểm tra

Log on vào một user nào đó ví dụ như u1 Sửa lại giờ trên máy ISA trùng giờ làm việc Truy cập internet

IV Configuring ISA Server as a Firewall

1 Template

 ISA Server firewall mang đến cho chúng ta những thuận lợi to lớn , một trong

những số đó là các Network Temlates.Với sự hỗ trợ các Templates mà chúng ta có thể cấu hình tự động các thông số Network , Network Rule và Access Rules

 Network Templates được thiết kế nhanh chóng tạo được cấu hình nên tảng cho

những gì mà chúng ta có thể xây dựng

 Các loại Network Templates

3 Leg Perimeter

 Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2 nhóm

- Nhóm thứ 1 là các máy như Mail Server, Web Server… để người dùng từ External Network có thể truy cập vào

- Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1

 Tại máy ISA Server ta cần đến 3 Card Lan

- Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Network ISA Server

sẽ mở các Port Outbound tại Card này

- Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Network ISA Server

sẽ mở các Port Outbound/Inbound tại Card này

- Card thứ 3 nối với các máy trong External Network ISA Server sẽ mở các Port Inbound tại Card này

 Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm thứ 1 trong mạng Internal Network Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm

5 Single Network Adapter

6 ách thực hiện

 Vào ISA, chọn Configuration/Network , ở ô cửa sổ bên phải chọn tab Templates, chọn template Edge Firewall

 Nếu ISA đã được cấu hình trước đó muốn lưu lại thì ấn Export chọn ổ đĩa và file cần lưu.Nếu không lưu thì ấn next

 Chọn Fire wall policy cho phù hợp

Tuy nhiên trên thực tế các Template này chỉ để cho chúng ta nghiên cứu mà thôi vì tầm hoạt động của chúng là quá rộng Ta nên tạo lần lượt các Rule và mở những Port nào thực sự cần thiết mà thôi, có như vậy hệ thống chúng ta mới chắc chắn và an toàn hơn

VI Intrustion Detection

 Giả sử mạng chúng ta đã dựng thành công ISA Server khi đó một Hacker nào đó từ bên ngoài mạng Internet tìm mọi cách tấn công mạng chúng ta bằng cách dò tìm các Port được mở trong mạng của ta và khai thác các lỗ hỏng trên các Port này

 Như vậy nếu hệ thống chúng ta không có ISA Server chúng ta sẽ không hề hay biết

sự nguy hiểm đang rình rập này Trong bài này chúng ta sẽ tìm hiểu về một tính năng rất hay của ISA Server là Intrusion Detection dùng để phát hiện các tấn công

từ bên ngoài vào hệ thống mạng chúng ta

 ISA\Configuration\General\bật chức năng Enable Instruction Detection and DNS Attack Detection

 Mặc định ISA Server đã Enable một số tính năng trong Intrusion Detection nhưng không Enable tính năng Port scan

 Trong Tab Common Attacks: chọn “Port can” -> ok

 Tại màn hình ISA Server bật Monitoring lên chọn tiếp Tab Logging và chọn Start Query để theo dõi giám sát toàn bộ hoạt động của hệ thống mạng

 Trong này ISA sẽ ghi nhận lại toàn bộ các truy cập ra vào hệ thống mạng chúng ta một cách chi tiết

 Chọn Tab Host and Service Discovery bỏ chọn Host Discovery đi

 Trở lại Tab Scan tiến hành Scan Port của máy ISA

 Trở lại máy ISA Server bật lại Logging sẽ thấy các truy cập từ máy Client vào

mạng chúng ta

 Tuy nhiên với màn hình Logging này quá dài dòng và rối tịt, và không phải lúc nào người quản trị mạng cũng thảnh thơi ngồi quan sát từng dòng lệnh như vậy mà

người ta sẽ cấu hình cảnh báo tự động sao cho ISA Server tự gởi một Email cho

Administrator khi phát hiện có các xâm nhập bất hợp pháp vào hệ thống mạng

 Chọn Tab Alerts chọn tiếp link Configure Alert Definitions

 Trong cửa sổ Alert Properties chọn tiếp Intrusion Detected và nhấp Edit

 Chọn tiếp Tab Actions trong Alert Actions và nhập thông tin tài khoản Email của Administrator vào đây

 Bạn có thể chọn Run a program, để kích hoạt chương trinh chống xâm nhập

 Bạn quay lại máy Client tiến hành Scan Port lại máy ISA

 Lúc này ISA Server phát hiện ra việc Scan Port bất hợp pháp này và ngay lập tức

nó gởi một Email cảnh báo cho Administrator để đưa phương án phòng thủ và bạo

vệ tốt hơn

VII Application Filter

Maximum URL Length (Bytes): độ dài lớn nhất của một URL được phép

Maximum Query length (Bytes): độ dài lớn nhất của một URL trong yêu cầu HTTP

Các đường dẫn URL có chứa Ký tự byte kép (DBCS) hay kiểu Latin1 sẽ được loại

bỏ nếu thiết lập này được kích hoạt Một thiết lập kích hoạt thông thường sẽ loại bỏ các ngôn ngữ đòi hỏi hơn 8 bit trong hiển thị ký tự

 Executables

Loại bỏ các đáp ứng chứa nội dung thực thi Windows Tùy chọn này loại bỏ việc download và thực hiện các nội dung thực thi như file EXE

Tiếp theo chúng ta sẽ cấu hình các phương thức HTTP được phép hoặc loại bỏ

 Trong ví dụ này chúng ta đang loại bỏ lệnh HTTP POST để không ai có thể upload nội dung lên các website bên ngoài