CÀI ĐẶT TMG VỚI MỘT SỐ TÍNH NĂNG WEB ACCESS, MALWARE INSPECTION, INSTRUCTION DETECTION, VPN TO SITE

Microsoft Forefront Threat Management Gateway ( Forefront TMG ) phát hành 17 tháng 11 năm 2009, trước đây gọi là Microsoft Internet Security and Acceleration Server ( ISA Server ), là một bộ định tuyến mạng, tường lửa, chương trình chống virus, náy chủ VPN và bộ nhớ web của Microsoft . Nó chạy trên Windown Server và hoạt động bằng cách kiểm tra tất cả lưu lượng mạng đi qua nó.Microsoft Forefront TMG cung cấp một bộ các tính năng bao gồm: Định tuyến và truy cập từ xa các tính năng: Microsoft Forefront TMG có thể hoạt động như một bộ định tuyến , một Internet cổng , một mạng riêng ảo máy chủ (VPN), một network address translation máy chủ (NAT) và một máy chủ proxy .Các tính năng bảo mật: Microsoft Forefront TMG là một tường lửa có thể kiểm tra lưu lượng mạng (bao gồm nội dung web, nội dung web an toàn và email) và loại bỏ phần mềm độc hại , cố gắng khai thác lỗ hổng bảo mật và nội dung không khớp với chính sách bảo mật được xác định trước. Về mặt kỹ thuật, Microsoft Forefront TMG cung cấp bảo vệ lớp ứng dụng , lọc trạng thái , lọc nội dung và chống phần mềm độc hại .Các tính năng hiệu suất mạng: Microsoft Forefront TMG cũng có thể cải thiện hiệu năng mạng: Nó có thể nén lưu lượng web để cải thiện tốc độ truyền thông. Nó cũng cung cấp bộ đệm web : Nó có thể cache nội dung web truy cập thường xuyên để người dùng có thể truy cập chúng nhanh hơn từ bộ nhớ cache mạng cục bộ. Microsoft Forefront TMG 2010 cũng có thể bộ nhớ cache dữ liệu nhận được thông qua dịch vụ thông minh nền , như cập nhật phần mềm được công bố trên trang web Cập nhật của Microsoft .Tường lửa ISA đã có lịch sử phát triển khá lâu, các phiên bản dần được nâng cấp lên theo thời gian và tiến trình phát triển.Năm 2010, phiên bản kế tiếp của tường lửa ISA không chỉ có các tính năng và chức năng mới đáng chú ý, nó còn mang một cái tên mới – tên ISA đã được thay bằng TMG Threat Management Gateway 2010. Đây là một thay đổi lớn về mặt quan điểm và là một tín hiệu tốt về tính hiệu quả trong tiến trình phát triển bảo mật của Microsoft, Microsoft đã hoàn toàn thay đổi cách tạo phần mềm và tập trung vào vấn đề bảo mật trong mọi giai đoạn phát triển.

TRƯỜNG ĐẠI HỌC KHOA CÔNG NGHỆ THÔNG TIN

-*** -ĐỀ TÀI:

CÀI ĐẶT TMG VỚI MỘT SỐ TÍNH NĂNG WEB ACCESS,

MALWARE INSPECTION, INSTRUCTION DETECTION, VPN TO SITE

Giảng viên hướng dẫn Sinh viên thực hiện Nhóm: 03

Lớp: Mạng máy tính 58

Hà Nội - 2017

HỆ ĐIỀU HÀNH MÃ NGUỒN MỞ CHUYÊN NGÀNH

M c L c ụ ụ

I MICROSOFT FOREFRONT THREAT MANAGEMENT GATEWAY (TMG)

1 Khái niệm TMG

Microsoft Forefront Threat Management Gateway ( Forefront TMG ) phát hành

17 tháng 11 năm 2009, trước đây gọi là Microsoft Internet Security and AccelerationServer ( ISA Server ), là một bộ định tuyến mạng, tường lửa, chương trình chống virus,náy chủ VPN và bộ nhớ web của Microsoft Nó chạy trên Windown Server và hoạt độngbằng cách kiểm tra tất cả lưu lượng mạng đi qua nó

Microsoft Forefront TMG cung cấp một bộ các tính năng bao gồm:

- Định tuyến và truy cập từ xa các tính năng: Microsoft Forefront TMG có thể hoạtđộng như một bộ định tuyến , một Internet cổng , một mạng riêng ảo máy chủ(VPN), một network address translation máy chủ (NAT) và một máy chủ proxy

- Các tính năng bảo mật: Microsoft Forefront TMG là một tường lửa có thể kiểm tralưu lượng mạng (bao gồm nội dung web, nội dung web an toàn và email) và loại

bỏ phần mềm độc hại , cố gắng khai thác lỗ hổng bảo mật và nội dung không khớpvới chính sách bảo mật được xác định trước Về mặt kỹ thuật, Microsoft ForefrontTMG cung cấp bảo vệ lớp ứng dụng , lọc trạng thái , lọc nội dung và chống phầnmềm độc hại

- Các tính năng hiệu suất mạng: Microsoft Forefront TMG cũng có thể cải thiệnhiệu năng mạng: Nó có thể nén lưu lượng web để cải thiện tốc độ truyền thông Nócũng cung cấp bộ đệm web : Nó có thể cache nội dung web truy cập thường xuyên

để người dùng có thể truy cập chúng nhanh hơn từ bộ nhớ cache mạng cục

bộ Microsoft Forefront TMG 2010 cũng có thể bộ nhớ cache dữ liệu nhận đượcthông qua dịch vụ thông minh nền , như cập nhật phần mềm được công bốtrên trang web Cập nhật của Microsoft

Tường lửa ISA đã có lịch sử phát triển khá lâu, các phiên bản dần được nâng cấplên theo thời gian và tiến trình phát triển

Năm 2010, phiên bản kế tiếp của tường lửa ISA không chỉ có các tính năng vàchức năng mới đáng chú ý, nó còn mang một cái tên mới – tên ISA đã được thay bằngTMG - Threat Management Gateway 2010 Đây là một thay đổi lớn về mặt quan điểm và

là một tín hiệu tốt về tính hiệu quả trong tiến trình phát triển bảo mật của Microsoft,Microsoft đã hoàn toàn thay đổi cách tạo phần mềm và tập trung vào vấn đề bảo mậttrong mọi giai đoạn phát triển

Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) làchương trình chuyên về bảo mật hệ thống mạng Mọi thông tin ra vào hệ thống đượckiểm duyệt rất kỹ lưỡng.

Trong số đó, công ty phần mềm hàng đầu thế giới Microsoft đã trình làngMicrosoft Forefront Threat Management Gateway (TMG) 2010, một thế hệ mới của phầnmềm tường lửa, phát triển trên nền tảng Microsoft Internet Security Acceleration (ISA)

2006, tích hợp các tính năng mới có khả năng cảnh báo, ngăn chặn tấn công và lọc các

mã độc hại khi truy cập Internet

Hơn thế nữa, Microsoft Forefront TMG 2010 chính là phiên bản tích hợp các ứngdụng: Microsoft ISA Server 2006, Forefront Client Security, Forefront Security forExchange Server và Forefront Security for Sharepoint nên nó cung cấp các đặc điểm nổibật về bảo mật như:

- Bảo vệ hệ thống đa dạng và hoàn thiện

- Phát hiện virus, malware và ngăn chặn tấn công

- Giao diện quản lý thân thiện và dễ dàng

- Giám sát hệ thống mạng được tăng cường

Theo Microsoft giới thiệu thì Forefront TMG là một bức tường lửa (Firewall) làchương trình chuyên về bảo mật hệ thống mạng Mọi thông tin ra vào hệ thống của chúng

ta đều phải qua Forefront TMG kiểm duyệt rất kỹ lưỡng

Microsoft Forefront TMG 2010 cho phép thiết lập bảo mật hệ thống mạng LAN,các người dùng trong công ty sử dụng Internet để kinh doanh mà không cần lo ngại vềphầm mềm độc hại và các mối đe dọa khác

Thách thức đối với các thiết lập tường lửa TMG mới là học những vấn đề cơ bản.Chúng ta đã trải qua hàng thập kỷ làm việc với ISA và hầu hết trong mọi quản trị viênđều hiểu rất sâu về các chi tiết kỹ thuật cũng như các kịch bản triển khai phức tạp của nó.Tuy nhiên có rất nhiều người gặp phải vấn đề khi truy cập cũng như cách làm việc củatường lửa TMG Rất nhiều quản trị viên TMG mới đã tập trung vào tìm hiểu cách điềukhiển truy cập gửi vào (cho ví dụ, để điều khiển sự truy cập đến Exchange vàSharePoint) Và lúc này họ muốn biết cách điều khiển truy cập các kết nối gửi ra Đó là lý

do mà chúng tôi giới thiệu cho các bạn bài viết này, bài viết sẽ tập trung vào các nhữngvẫn đề cơ bản của Access Rules

2 Cài đặt Forefront Threat Management Gateway (TMG) 2010

DC: Domain Controller (domain mmt58.com) chạy Windows Server 2008

TMG2010: Domain Member chạy Windows Server 2008 R2

Cấu hình địa chỉ IP cho các máy

- Máy DC có một card mạng nối với card Internal máy TMG2010 địa chỉ IP như

sau:

- Máy TMG2010 có 2 card mạng:

+ Card Internal nối với máy DC có IP như sau:

+ Card External kết nối với Internet có IP như sau Chú ý: nếu cài đặt trên VMware thì đặt card mạng này ở chế độ Brigde.

2.1 Cài đặt NET Framework 3.5.1 Features

Trên cửa số Server Manager click chuột phải vào Features chọn Add Features.

Tick chọn NET Framework 3.5.1 Features

Trên cửa sổ Add role services and features required for Net framework 3.5.1

Features click Add Required Role Services.

Trên cửa sổ Web Server (IIS) click Next

Cửa sổ Select Role Services để mặc định, click Next

Trên cửa số Confirm Installation Selections click Install để cài đặt Framework

Sau khi cài đặt xong, click Close để kết thúc.

2.2 Cài đặt Forefront Threat Management Gateway (TMG) 2010

a Cài đặt Run Preparation Tool

Click đúp file cài đặt TMG 2010, trên cửa sổ Forefront Threat ManagementGateway (TMG) 2010 click Run Preparation Tool Chạy Preparation Tool để cài đặt cácRoles & Features cần thiết cho Forefront TMG Server

Trên cửa sổ Welcome click Next.

Trên cửa sổ License Agreement tick chọn I accept the term of the License

Agreement sau đó click Next.

Chọn Forefront TMG services and Management trên cửa sổ Installation

Type sau đó click Next

Sau khi cài đặt xong click Finish để kết thúc và restart lại hệ thống.

b Cài đặt Run installation Wizard

Click đúp file cài đặt TMG 2010, trên cửa sổ Forefront Threat Management Gateway (TMG) 2010 click Run installation Wizard

Quá trình khởi động cài đặt bắt đầu chạy Khi cửa sổ Welcome xuất hiện, clickNext

Trên cửa sổ License Agreement chọn I accept the terms in the license

agreement để đồng ý license Click Next.

Điền các thông tin cần thiết, click Next

Chọn Forefront TMG service and Management trên cửa sổ Setup Scenarios.

Click Next

Nếu không cần thay đổi thư mục lưu file cài đặt thì click Next

Ở phần này, phải khai báo giải mạng cho card Internal, tức card nối với máy DC

hay là mạng nội bộ bên trong Để khai báo, click Add.

Click Add Adapter

Chọn card Internal sau đó OK.

Kết quả như sau Click OK

Click Next trên cửa sổ Define Internal Network

Một số cảnh báo trên cửa sổ Services Warning, click Next để tiếp tục

Chờ hệ thống cài đặt một khoảng thời gian khá lâu Sau khi cài đặt xong, clickFinish để kết thúc và restart lại hệ thống.

c Cấu hình mạng và hệ thống

- Thiết lập cấu hình mạng: Khi hệ thống khởi động xong, vào AllPrograms mở TMG 2010 lên Trước khi sử dụng, phải chọn kiểu mạng cho hệ

thống Click Configure network settings.

Trên cửa sổ Welcome, click Next

Ở mô hình này, triển khai theo mô hình tường lửa Edge Firewall Click Next.

Tại cửa sổ LAN Settings, chọn card mạng Internal Sau đó nhấn Next

Chọn card mạng sẽ kết nối với Internet Ở đây là card External Click Next

Click Finish trên cửa sổ Completing

- Thiết lập cấu hình hệ thống:

Click Configure system settings.

Click Next trên cửa sổ Welcome

Click Next nếu không muốn thay đổi trên cửa sổ Host Identification.

Click Finish

- Cấu hình 1 số lựa chọn khác:

Click Define deployment options.

Click Next trên màn hình Welcome

Chọn update hoặc không click Next

Click Yes nếu muốn tiếp tục mà không sử dụng Microsoft Update.

Click Next trên cửa số Forefront TMG Protection Features Settings

Bỏ chọn Feedback, click Next

Lựa chọn thông báo cho Microsoft khi gặp các tấn công Ở đây chọn None No

information is sent to Microsoft, click Next.

Click Finish

Click Close để hoàn thành phần thiết lập TMG

Quá trình cài đặt Forefront Threat Management Gateway (TMG) 2010 hoàn tất,dưới đây là giao diện quản trị Forefront TMG

II TRIỂN KHAI MỘT SỐ TÍNH NĂNG CƠ BẢN TRÊN TMG

 Access Rule

Access Rule được sử dụng để điều khiển truy cập gửi ra từ một mạng được bảo

vệ bởi tường lửa TMG Khi bạn muốn cho phép một máy tính nằm phía sau sự kiểm soátcủa tường lửa TMG truy cập một mạng khác (gồm có Internet), bạn cần tạo một AccessRule (luật truy cập) để cho phép kết nối đó Mặc định, không có Access Rule nào chophép các kết nối qua tường lửa, vì vậy mặc định tường lửa TMG là một bức tường gạchvững chắc bảo vệ cho mạng Trạng thái đóng cửa mặc định này là một cấu hình an toàn,tuy nhiên nó cũng có nghĩa nếu bạn muốn cho phép lưu lượng qua tường lửa TMG, bạncần phải hiểu cách Access Rule làm việc và cách tạo chúng như thế nào

Enhanced Voice over IP: cho phép kết nối & sử dụng VoIP thông qua TMG ISP Link Redundancy: hỗ trợ load balancing & failover cho nhiều đường truyền

internet

Web anti-malware: quét virus, phần mềm độc hại & các mối đe dọa khác khi

truy cập web

URL filtering: cho phép hoặc cấm truy cập các trang web theo danh sách phân

loại nội dung sẵn có như: nội dung khiêu dâm, ma túy, mua sắm, chat…

HTTPS inspection: kiểm soát các gói tin được mã hóa HTTPS để phòng chống

phần mềm độc hại & kiểm tra tính hợp lệ của các SSL Certificate

E-mail protection subscription service: tích hợp với Forefront Protection 2010

for Exchange Server & Exchange Edge Transport Server để kiểm soát viruses, malware,spam e-mail trong hệ thống Mail Exchange

Network Inspection System (NIS): ngăn chặn các cuộc tấn công dựa vào lỗ

hổng bảo mật HTTPS inspection

Network Access Protection (NAP) Integration: tích hợp với NAP để kiểm tra

tình trạng an toàn của các client trước khi cho phép client kết nối VPN

Security Socket Tunneling Protocol (SSTP) Integration: Hỗ trợ VPN-SSTP Windows Server 2008 with 64-bit support: Hỗ trợ Windows Server 2008 &

Windows Server 2008 R2 64-bit

- Theo mặc định khi cài đặt TMG thì tường lửa sẽ khóa truy cập Internet cho đếnkhi người quản trị thiết lập access rule cho phép truy cập

- Cần tạo các Access Rule cho phép phân giải bằng DNS và cho phép truy cập Webbằng HTTP và HTTPS.

Chọn Firewall Policy -> New -> Access Rule

Đặt tên cho Access Rule Nhấn Next

Chọn Allow Nhấn Next

Chọn giao thức mà rule áp dụng Nhấn Add

Ở đây chọn DNS.

Tại cửa sổ Access Rule Sources chọn Internal và Local Host Nhấn Next để tiếp tục.

Tại cửa sổ Access Rule Destinations chọn External Nhấn Next để tiếp tục.

Tại cửa sổ User Sets Chỉ định người dùng muốn áp với rule này “All users”

không có nghĩa rule sẽ áp với tất cả các tài khoản trong tổ chức mà “All users” của tườnglửa TMG có nghĩa tất cả người dùng nặc danh – các kết nối không được nhận thực

Nhấn Finish để hoàn tất quá trình.

Tương tự, tạo rule Access Internet cho phép truy cập mạng với 2 giao thức

HTTP và HTTPS Kết quả như hình dưới đây.

Để kiểm tra, chuyển sang máy DC tiến hành truy cập Internet

gồm www.ebay.com, www.amazon.com và www.lazada.vn và kiểm tra truy cập bình

thường vào các trang Web trên

Sau khi kiểm tra, mở TMG, bật chức năng URL Filtering bằng cách chọn Web

Access Policy, trong Action Pane, chọn Configure URL Filtering

Đánh dấu check Enable URL Filtering - Nhấn OK

Cấu hình Access Rule: Bấm phải chuột vào Access Rule Allow Web Chọn Properties

-Sang Tab To, trong khung Exceptions - Nhấn Add

Chọn Shopping - Nhấn Add - Nhấn Close

Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

Sang máy DC kiểm tra không truy cập được vào các

trang www.ebay.com và www.amazon.com vì các trang Web này thuộc chủ

đề Shopping

Trong một số trường hợp do TMG không đưa một trang nào đó vào chủ đề

Shopping (cũng có thể do TMG không biết đến trang Web này) Do đó nếu muốn cấm 1trang wen cụ thể, cần bổ sung trang web này vào chủ đề Shopping bằng cách:

Chọn Web Access Policy - Configure URL Category Overrides Nhấn Add

Bổ sung URL pattern www.lazada.vn/* vào category Shopping – Nhấn Ok

Sau đó nhấn Apply - Apply - OKđể lưu sự thay đổi

Sang máy DC kiểm tra không truy cập vào trang www.lazada.vn nữa

1.2 HTTPS Inspection

HTTPS Inspection là chức năng cho phép chặn Malware được download bằng

giao thức HTTPS Trước khi cấu hình, sang máy DC cho download file eicar.com trong khung Download area using the secure, SSL enabled protocol https

Cấu hình HTTPS Inspection bằng cách chọn Web Access Policy - Configure

HTTPS Inspection

Đánh dấu check Enable HTTPS Inspection - Nhấn nút Generate

Nhấn nút Generate Certificate Now

TMG tự động phát sinh một Certificate cho chức năng HTTPS Inspection Nhấn

nút Install Certificate

Nhấn Next Chấp nhận nơi lưu trữ Certificate mặc định - Nhấn Next

Nhấn Finish

Nhấn Ok và Close tại các cửa sổ tiếp theo

Nhấn HTTPS Inspection Trusted Root CA Certificate Options

Nhấn nút Domain Administrator Credentials

Nhập Username và Password của account domain admin - Nhấn OK

Nhấn Ok tại các cửa sổ tiếp theo

Cập nhật policy bằng lệnh GPUPDATE /FORCE

Sang máy DC kiểm tra bằng cách download lại file eicar.com

Kiểm tra bạn sẽ nhận báo lỗi như hình dưới cho biết đã phát hiện và chặn file cóchứa malware

1.3 HTTP Filter

HTTP filter là chưc năng cho phép lọc và chặn dựa vào nội dung của gói tinHTTP khi truy cập Web Trên TMG có thể sử dụng chức năng này để cấm download cácloại file chỉ định, cấm theo phương thức truy cập web cũng như cấm dựa vào thông sốsignature của các ứng dụng truy cập Web như ưng dụng Chat hay Game online… Trong

ví dụ này nhóm sẽ cấu hình cấm download các loại file chỉ định

Chọn Firewall Policy Bấm phải chuột lên Access Rule Allow Web Chọn Configure HTTP

Sang Tab Extensions Chọn Block specified extensions (allow all others) Nhấn Add

-Nhập loại file mà bạn muốn cấm, ví dụ tôi muốn cấm download các file có phần

mở rộng là exe, nhập exe - Nhấn OK

Nhấn OK sau đó nhấn Apply - Apply - OK để lưu sự thay đổi

Sang máy DC, kiểm tra tìm và download một file có phần mở rộng là exe, ở đâynhóm thực hiện download file coccoc.exe trên trang coccoc.com, kết quả sẽ nhận báo lỗi

như hình dưới với thông tin Source là Web filter

2 Malware Inspection

Malware (Malicious Software) là tên gọi chung cho tất cả những phần mềm độchại đối với máy tính Malware bao gồm: Virus, Worm, Trojan, Spyware, Adware đều lànhững phần mềm gây hại cho máy tính theo những cách khác nhau Do đó việc chốngmalware là hết sức cần thiết đối với người dùng khi truy cập web Trước khi cấu hình,

Download thử các file có chứa Malware bằng cách truy cập trang Web eicar.org Chọn DOWNLOAD ANTI MALWARE TESTFILE