ISA SERVER 2006 internet security accerleration

Proxy server  Một trong những đặc trưng khiến proxy server được ưa chuộng là khả năng caching, tức là khả năng lưu trữ các trang web mà proxy server từng truy cập  ISA server sẽ có khả

 Dành cho các doanh nghiệp có qui mô vừa và nhỏ

 Xây dựng để kiểm soát các luồng dữ liệu vào ra của hệ thống mạng nội bộ

 Triển khai các hệ thống VPN site to site,Remote Access để hỗ trợ truy cập từ xa,trao đổi dữ liệu giữa các văn phòng chi nhánh

 Xây dựng các dùng DMZ riêng biệt cho các máy server của công ty (Web,Mail… )

 Ngoài ra còn có hệ thống đệm(caching) giúp kết nối web nhanh hơn

Enterprise

 Đây là phiên bản dành cho các doanh nghiệp có qui mô lớn

 Có đầy đủ các tính năng của phiên bản Standard bên cạnh đó còn cho phép thiết lập mảng các ISA server cung cấp khả năng Load Balancing

II Setup ISA

 Chọn Install ISA Server 2006

 Chọn chế độ cài đặt Custom

 Xác định đường mạng mà ISA server quản lý

 Tiếp đó nhấn Finish để hoàn thành quá trình cài đặt

 Sau khi cài đặt thử ping từ máy client tới máy isa server

 Từ mạng ngoài ping tới máy isa server

 Máy client truy cập internet

 Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mạng chúng ta

Cấu hình ISA Client

 Để sử dụng ISA Server thì các client trên mạng phải cấu hình một trong ba loại sau:

 SecureNAT

Đây là phương pháp đơn giản nhất,ta chỉ cần cấu hình default gateway trỏ về card mạng bên trong của ISA server là được

Địa chỉ của máy ISA server

Proxy ClientCấu hình máy ISA server làm proxy server

 Firewall Client

Với Firewall Client ta sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy nhưng đòi hỏi chúng ta phải cài đặt một công cụ Firewall Client cho tất cả các máy tính trong mạng

III Proxy server

 Một trong những đặc trưng khiến proxy server được ưa chuộng là khả năng caching, tức là khả năng lưu trữ các trang web mà proxy server từng truy cập

 ISA server sẽ có khả năng thực hiện forward caching và reverse caching

Cơ chế reverse caching

 Khi có một internet client truy cập vào một internal web server được publish thông qua ISA server,proxy server trên ISA sẽ truy cập web server,nhận phản hồi,cung cấp nội dung web cho client và lưu trữ nội dung website

 Khi các internet client khác truy cập vào internal web server,nếu nội dung có sẵn trong cache thì proxy server sẽ lấy ra mà không cần phải truy cập web server nữa

Cơ chế forward caching

 Khi 1 internal client truy cập vào trang web nào đó thì ISA sẽ tự động lưu nội dung trang web đó trong cache của mình

 Nếu 1 internal client khác truy cập vào trang web mà ISA đã cache lại thì ISA sẽ lấy nội dung lưu trong cache truyền cho client đó

Xác lập dung lượng lưu trữ Cache

 Cần lưu ý rằng ISA server mặc định không có khả năng cache Nếu muốn dùng, quản trị viên phài chủ động kích hoạt tính năng cache

 Sau khi kích hoạt, cả 2 chức năng forward và reverse cache đều mặc nhiên hoạt động Quản trị viên kích hoạt tính năng cache bằng xác lập dung lượng và ổ đĩa lưu trữ (define cache drive)

 Tại ISA Server trong màn hình bên phải chọn Tab Cache Drivers tiếp tục nhấp phải vào Cache Driverchọn Properties

 Set giá trị Cache cho ISA Trên thực tế nên Set giá trị này càng cao càng tốt khoảng 5Gb trở lên

 Chọn Save the changes and restart the services

Một số vấn đề liên quan tới ỗ đĩa cache

 Đĩa cache phải là ổ đĩa cục bộ (local drive)

 Đĩa cache phải được định dạng NTFS

 Để tối ưu hóa hiệu năng, nên lưu cache trên một đĩa vật lý khác với đĩa hệ thống và đĩa cài đặt chương trình ISA

 Bên cạnh đó ta còn có thể tạo các cache rule để tùy biến hoặc điều khiển các hoạt động cache

- Thiết lập cache rule ứng với một hoặc một số trang web xác định

- Trong một rule, có thể xác lập cache ứng với một hoặc một số loại nội dung xác định

- Chỉ định loại nội dung được lưu trữ và tùy biến cách đáp ứng cho proxy client tùy theo trang web hoặc nội dung mà client yêu cầu

- Chỉ định khoảng thời gian tồn tại hợp lệ (TTL: Time-To-Live) và cách đáp ứng proxy client khi nội dung cache quá hạn

Chỉ định loại nội dung được lưu trữ

- Dynamic content: Nội dung loại này thường xuyên thay đổi và vì thế đượcđánh dấu là không thể cache.Tuy nhiên nếu chọn phương thức này trong rule thì nội dung động sẽ vẫn được lưu cho dù

nó được đánh dấu là không thể cache

- Content for offline browsing (302, 307 reponses): Nội dung có thể truy cập khi không kết nối đến web server Nếu chọn phương thức này trong rule thì ISA sẽ lưu mọi nội dung trang web, kể cả phần đã được đánh dấu là khôngthể cache

- Content requiring user authentication for retrieval: Nếu chọn phương thức này ISA sẽ lưu các nội dung mà trang web yêu cầu chứng thực trước khi cho phép truy cập

Cách thu thập nội dung web và cách đáp ứng cho client trên cơ sở TTL

• Only if a valid version of the object exists in cache If no valid version exists, route the request: Chỉ cung cấp nội dung lưu trữ còn hợp lệ cho client Nếu nội dung quá hạn thì ISA sẽ truy cập web server

để tải về.Cấu hình này bảo đảm cho client có được nội dung mới nhất (trong một thời hạn nhất định.)

• If any version of the object exists in cache If none exists, route the request: Cung cấp nội dung lưu trữ cho client bất kể thời hiệu Chỉ khi không có lưu trữ thì mới tải về.Cấu hình này bảo đảm cho client luôn luôn có được nội dung cần thiết, bất kể tính cập nhật

• If any version of the object exists in the cache If none exists, drop the request: Cung cấp nội dung lưu trữ cho client bất kể thời hiệu Nếu không có lưu trữ thì bỏ qua yêu cầu của client

 Mặc định ISA sẽ Cache toàn bộ các trang Web mà User truy cập Với một số trang Web mà nội dung thường xuyên thay đổi (các trang Web chứng khoán ) thì tính năng Cache này không khả thi

 Bây giờ ta sẽ tạo các một Rule nhằm loại trừ một số trang mà ta không muốn ISA Cache chúng

Tạo rule cấm cache trang google

 Trước tiên ta cần tạo 1 URL Set chứa địa chỉ của trang google

 Chọn New Cache rule

 Đặt tên cho Rule này là Deny Goole

Destination chọn url google vừa tạo

 Giữ nguyên các giá trị mặc định khác

 Bỏ tính năng HTTP caching để không cache trang này

 Hoàn tất việc tạo cache rule

Content download job

 Như vậy với một số trang Web mà ta muốn ISA tự động Cache vào thời điểm nhất định nào đó thì

ta phải tạo một Job cho ISA cập nhật chủ động trang này

 ISA server được lập lịch biểu để truy cập web server và tải về vào những thời điểm nhất định Mục đích là đáp ứng nhanh nhất cho client (khi client truy cập thì nội dung đã được lưu sẵn tại ISA)

 Lưu ý rằng tác vụ tải xuống theo lịch biểu sẽ không thể hoàn tất nếu trang web mục tiêu đòi hỏi chứng thực người dùng

 Khi tạo tác vụ tải xuống đầu tiên, thực chất là thiết lập một số cấu hình hệ thống của ISA Chỉ sau khi chấp thuận đề nghị của ISA và áp đặt (apply) cấu hình, ta mới có thể lập lịch biểu tài xuống

 Cấu hình hệ thống này bao gồm 03 yếu tố mà ta có thể tự thực hiện:

 Kích hoạt LocalHost lắng nghe yêu cầu HTTP của web proxy client

 Kích hoạt 01 configuration group có tên "Scheduled Download Job"

 Kích hoạt system rule thứ 29.

Tạo 1 content download job để download trang vnexpress

 Chọn yes

 Đặt tên cho Content download job

 Chọn Daily để thực hiện cache mỗi ngày

 Chỉ định giờ thực hiện Cache chủ động cho ISA trong Daily Frequency

 Nhập địa chỉ trang Web muốn Cache chủ động vào

 Giữ nguyên giá trị mặc định trong màn hình Content Caching

 Chọn Finish để hoàn tất việc tạo download job

 Bật chức năng Content download job

IV ACCESS RULE

Giới thiệu về Access Rule

• Access Rule điều khiển các truy cập ra bên ngoài từ 1 Network được bảo vệ nằm trong đến 1 Network khác không được bảo vệ nằm ngoài

• ISA Server 2006 quan tâm đến tất cả Networks không nằm ngoài –External.còn những Networks

Được xác định là External thì không được bảo vệ

 Các Networks được bảo vệ:

 VPN Client Network

 Quaranined Vpn clients(mạng vpn client bị cách ly)

 Localhost Network(chính các isa server firewall)

 Internal Network(mạng Lan)

 Perimeter networks-DMZ

 Mạng vành đai

Hướng dẫn thực hiện một số Rule

1. Tạo rule cho phép traffic DNS Query để phân giải tên miền

 Bước 1: vào ISA management->Firewall policy->New Rule

 Bước 2: Gõ “DNS Query” vào Access name->next

 Bước 3: Action chọn Allow->next

 Bước 4:Trong This Rule apply to:chọn ”Select Protocols”->Add->Comand protocol là

DNS->Ok->next

 Bước 5:Trong Access Rule Source chọn Add Network là Internal->Add->close->next

 Bước 6:Trong Access Rule Destination chọn Add Network là External->Add->close->next

 Bước 7:Trong User sets chọn giá trị mặc định là All user->next->finish(chọn nút apply phía trước có

dấu chấmthan

)Bước 8:Dùng lệnh Nslookup để phân giải một tên miền bất kỳ

2 Tạo Rule cho phép mọi User sử dụng mail

Tạo Access Rule theo các thông số sau:

-Rule Name: Allow Mail (SMTP + POP3)

-Action: Allow

-Protocols: POP3 + SMTP

-Source: Internal

-Destination: External

-Users: All Users

Các thao tác thực hiện như phần một

2. Cấm xem một số trang web như(vnexpress.net)

 Định nghĩa các trang web muốn cấm

Bước 1:ISA management->firewall policy->tool box->Network Object->New->URL set

Bước 2:Dòng name đặt tên là vnexpress->New khai 2 dòng http://vnexpress.net và

http://vnexpress.net/*->ok

-Destination: URL Set “vnexpress”

-User: All Users

Các thao tác làm tương tự như phần 1

Sau khi tạo rule, click nút phải chuột, chọn

“Move Up” cho đến khi giá trị order bằng 1

 Kiểm tra

Thử logon vô một User nào đó rồi vào trang vnexpress

4 Tạo Rule cho phép sử dụng Internet không hạn chế trong giờ làm việc

a Định nghĩa giờ làm việc

Bước 1:ISA management->Firewall policy->toolbox->Schedule->New

 User: All Users

 Các thao tác làm tương tự như phần 1

 Sau khi tạo rule xong, chọn properties của rule vừa tạo chọn Schedule là Giờ làm

việc->Apply

c Kiểm tra

Log on vào một user nào đó ví dụ như u1 Sửa lại giờ trên máy ISA trùng giờ làm việc Truy cập internet

V Configuring ISA Server as a Firewall

 ISA Server firewall mang đến cho chúng ta những thuận lợi to lớn , một trong những số đó là các Network Temlates.Với sự hỗ trợ các Templates mà chúng ta có thể cấu hình tự động các thông số Network , Network Rule và Access Rules

 Network Templates được thiết kế nhanh chóng tạo được cấu hình nên tảng cho những gì mà chúng

ta có thể xây dựng

 Các loại Network Templates

Edge Firewall

 Với mô hình này chúng ta chỉ cần dựng một ISA Server duy nhất và trên đó có 2 Card Lan:

- Card thứ 1 nối với các máy trong Internal Network ISA Server sẽ mở các Port Outbound tại Card này

- Card thứ 2 nối với các máy trong External Network ISA Server sẽ mở các Port Inbound tại Card này

 Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính trong mạng Internal Network Với mô hìnhnày tuy hệ thống vẫn được bảo mật nhưng còn ở tầm rất hạn chế.

3-Leg Perimeter

 Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2 nhóm

- Nhóm thứ 1 là các máy như Mail Server, Web Server… để người dùng từ External Network có thể truy cập vào

- Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1

 Tại máy ISA Server ta cần đến 3 Card Lan

- Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Network ISA Server sẽ mở các Port Outbound tại Card này

- Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Network ISA Server sẽ mở các Port Outbound/Inbound tại Card này

- Card thứ 3 nối với các máy trong External Network ISA Server sẽ mở các Port Inbound tại Card này

 Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm thứ 1 trong mạng Internal Network Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm

 Mô hình này tuy là có độ an toàn cao nhưng bù lại chi phí đầu tư cho nó là rất tốn kém.

 Như vậy ứng với một mô hình nào đó thay vì phải tạo các Rule như ta từng biết thì chúng ta có thể

sử dụng các khuôn mẫu (Template) có sẵn trong ISA Server

Single Network Adapter

Cách thực hiện

 Vào ISA, chọn Configuration/Network , ở ô cửa sổ bên phải chọn tab Templates, chọn template Edge Firewall

 Nếu ISA đã được cấu hình trước đó muốn lưu lại thì ấn Export chọn ổ đĩa và file cần lưu.Nếu khônglưu thì ấn next

 Nhập vào dãy Ip của internal -> next

 Chọn Fire wall policy cho phù hợp

Tuy nhiên trên thực tế các Template này chỉ để cho chúng ta nghiên cứu mà thôi vì tầm hoạt động của chúng là quá rộng Ta nên tạo lần lượt các Rule và mở những Port nào thực sự cần thiết mà thôi, có như vậy hệ thống chúng ta mới chắc chắn và an toàn hơn

VI Intrustion Detection

 Giả sử mạng chúng ta đã dựng thành công ISA Server khi đó một Hacker nào đó từ bên ngoài mạngInternet tìm mọi cách tấn công mạng chúng ta bằng cách dò tìm các Port được mở trong mạng của

ta và khai thác các lỗ hỏng trên các Port này

 Như vậy nếu hệ thống chúng ta không có ISA Server chúng ta sẽ không hề hay biết sự nguy hiểm đang rình rập này Trong bài này chúng ta sẽ tìm hiểu về một tính năng rất hay của ISA Server là Intrusion Detection dùng để phát hiện các tấn công từ bên ngoài vào hệ thống mạng chúng ta

 ISA\Configuration\General\bật chức năng Enable Instruction Detection and DNS Attack Detection

 Mặc định ISA Server đã Enable một số tính năng trong Intrusion Detection nhưng không Enable tính năng Port scan

 Trong Tab Common Attacks: chọn “Port can” -> ok

 Tại màn hình ISA Server bật Monitoring lên chọn tiếp Tab Logging và chọn Start Query để theo dõi giám sát toàn bộ hoạt động của hệ thống mạng

 Trong này ISA sẽ ghi nhận lại toàn bộ các truy cập ra vào hệ thống mạng chúng ta một cách chi tiết

 Bây giờ tại máy Client tôi cài đặt một chương trình có tính năng Scan các Port đã mở trên ISA Server đó là SuperScan 4.0

 Chọn Tab Host and Service Discovery bỏ chọn Host Discovery đi

 Trở lại Tab Scan tiến hành Scan Port của máy ISA

 Trở lại máy ISA Server bật lại Logging sẽ thấy các truy cập từ máy Client vào mạng chúng ta

 Tuy nhiên với màn hình Logging này quá dài dòng và rối tịt, và không phải lúc nào người quản trị mạng cũng thảnh thơi ngồi quan sát từng dòng lệnh như vậy mà người ta sẽ cấu hình cảnh báo tự động sao cho ISA Server tự gởi một Email cho Administrator khi phát hiện có các xâm nhập bất hợppháp vào hệ thống mạng

 Chọn Tab Alerts chọn tiếp link Configure Alert Definitions

 Trong cửa sổ Alert Properties chọn tiếp Intrusion Detected và nhấp Edit

 Chọn tiếp Tab Actions trong Alert Actions và nhập thông tin tài khoản Email của Administrator vàođây

 Bạn có thể chọn Run a program, để kích hoạt chương trinh chống xâm nhập

 Bạn quay lại máy Client tiến hành Scan Port lại máy ISA.

 Lúc này ISA Server phát hiện ra việc Scan Port bất hợp pháp này và ngay lập tức nó gởi một Email cảnh báo cho Administrator để đưa phương án phòng thủ và bạo vệ tốt hơn

VII Application Filter

1 HTTP Filter

Cấu hình bộ lọc HTTP Filter

 Nếu bạn muốn bắt đầu cấu hình bộ lọc HTTP, kích phải chuột lên một quy tắc có chứa định nghĩa giao thức HTTP và chọn Configure HTTP từ menu ngữ cảnh

 Block High bit character

Các đường dẫn URL có chứa Ký tự byte kép (DBCS) hay kiểu Latin1 sẽ được loại bỏ nếu thiết lập này được kích hoạt Một thiết lập kích hoạt thông thường sẽ loại bỏ các ngôn ngữ đòi hỏi hơn 8 bittrong hiển thị ký tự