isa server 2006 internet security accerleration

Proxy server  Một trong những đặc trưng khiến proxy server được ưa chuộng là khả năng caching, tức là khả năng lưu trữ các trang web mà proxy server từng truy cập  ISA server sẽ có kh

G H G

G Ẳ G H H G

H I – I HỌ

Ồ HI H H G G

Sinh viên thực hiện: H H H

MỤC LỤC

I Introduction ISA 4

1 Standard 4

2 Enterprise 4

II Setup ISA 5

1 i d t 5

2 Cấu hình ISA Client 9

III.Proxy server 10

1 ơ chế reverse caching 10

2 ơ chế forward caching 10

3 Xác lập dung lượng lưu trữ Cache 11

4 Một số vấn đề liên quan tới ỗ đĩa cache 12

5 Cache rule 12

6 Chỉ định loại nội dung được lưu trữ 13

7 Cách thu thập nội dung web v cách đáp ứng cho client trên cơ sở TTL 14

8 Tạo rule cấm cache trang google 15

9 Content download job 19

10 Tạo 1 content download job để download trang vnexpress 23

IV ACCESS RULE 26

1 Giới thiệu về Access Rule 26

2 Hướng dẫn thực hiện một số Rule 26

a Tạo rule cho phép traffic D S Query để phân giải tên miền 26

b Tạo Rule cho phép mọi User sử dụng mail 29

c Tạo Rule cho phép sử dụng Internet không hạn chế trong giờ làm việc 31

IV.Configuring ISA Server as a Firewall 33

1 Template 33

2 Edge Firewall 34

3 Leg Perimeter 34

4 Front/Back Firewall 35

5 Single Network Adapter 36

6 Cách thực hiện 36

VI Intrustion Detection 39

VII Application Filter 45

1 HTTP Filter 45

a Cấu hình bộ lọc HTTP Filter 45

2 SMTP Filter 51

a Giới hiệu ề S essage Screener 51

3 SMTP Filter: 51

a Chọn Firewall Policy->New->Mail Server Publishing Rule 51

b Cấu hình Outbound SMTP Relay Server Publishing Rule: 53

c Cấu hình Inbound SMTP Relay Server Publishing Rule 54

VIII Publishing Rule 56

1 Publish SMTP, POP3, OWA 63

2 Publish OWA 67

ISA SERVER 2006

INTERNET SECURITY ACCERLERATION

I Introduction ISA

 ISA là một sản phẩm tường lửa (firewall)của Microsoft được người sử dụng hiện nay rất ưa chuộng nhờ khả năng bảo vệ hệ thống mạnh mẽ cùng cơ chế quản lý linh hoạt

 ISA có 2 phiên bản chính là Standard và Enterpris

1 Standard

 Dành cho các doanh nghiệp có qui mô vừa và nhỏ

 Xây dựng để kiểm soát các luồng dữ liệu vào ra của hệ thống mạng nội bộ

 Triển khai các hệ thống VPN site to site,Remote Access để hỗ trợ truy cập từ xa,trao đổi dữ liệu giữa các văn phòng chi nhánh

 Xây dựng các dùng DMZ riêng biệt cho các máy server của công ty (Web,Mail… )

 Ngoài ra còn có hệ thống đệm(caching) giúp kết nối web nhanh hơn

2 Enterprise

 Đây là phiên bản dành cho các doanh nghiệp có qui mô lớn

 Có đầy đủ các tính năng của phiên bản Standard bên cạnh đó còn cho phép thiết lập mảng các ISA server cung cấp khả năng Load Balancing

II Setup ISA

1 i d t

 Chọn Install ISA Server 2006

 Chọn chế độ cài đặt Custom

 Xác định đường mạng mà ISA server quản lý

 Tiếp đó nhấn Finish để hoàn thành quá trình cài đặt

 Sau khi cài đặt thử ping từ máy client tới máy isa server

 Từ mạng ngoài ping tới máy isa server

 Máy client truy cập internet

 Như vậy ngay sau quá trình cài đặt ISA sẽ khóa tất cả mọi cổng ra vào của mạng

chúng ta

ịa chỉ của máy ISA server

 Web Proxy Client

Cấu hình máy ISA server làm proxy server

 Firewall Client

Với Firewall Client ta sẽ tận dụng được tất cả các ưu điểm của Secure NAT và Proxy

nhưng đòi hỏi chúng ta phải cài đặt một công cụ Firewall Client cho tất cả các máy tính

trong mạng

III Proxy server

 Một trong những đặc trưng khiến proxy server được ưa chuộng là khả năng caching,

tức là khả năng lưu trữ các trang web mà proxy server từng truy cập

 ISA server sẽ có khả năng thực hiện forward caching và reverse caching

1 ơ chế reverse caching

 Khi có một internet client truy cập vào một internal web server được publish thông

qua ISA server,proxy server trên ISA sẽ truy cập web server,nhận phản hồi,cung cấp

nội dung web cho client và lưu trữ nội dung website

 Khi các internet client khác truy cập vào internal web server,nếu nội dung có sẵn

trong cache thì proxy server sẽ lấy ra mà không cần phải truy cập web server nữa

2 ơ chế forward caching

 Khi 1 internal client truy cập vào trang web nào đó thì ISA sẽ tự động lưu nội dung

trang web đó trong cache của mình

 Nếu 1 internal client khác truy cập vào trang web mà ISA đã cache lại thì ISA sẽ lấy

nội dung lưu trong cache truyền cho client đó

3 ác lập dung lượng lưu trữ Cache

 Cần lưu ý rằng ISA server mặc định không có khả năng cache Nếu muốn dùng, quản trị viên phài chủ động kích hoạt tính năng cache

 Sau khi kích hoạt, cả 2 chức năng forward và reverse cache đều mặc nhiên hoạt động Quản trị viên kích hoạt tính năng cache bằng xác lập dung lượng và ổ đĩa lưu trữ (define cache drive)

 Tại ISA Server trong màn hình bên phải chọn Tab Cache Drivers tiếp tục nhấp phải vào Cache Driver chọn Properties

 Set giá trị Cache cho ISA Trên thực tế nên Set giá trị này càng cao càng tốt khoảng 5Gb trở lên

 Chọn Save the changes and restart the services

4 ột số vấn đề liên quan tới ỗ đĩa cache

 Đĩa cache phải là ổ đĩa cục bộ (local drive)

 Đĩa cache phải được định dạng NTFS

 Để tối ưu hóa hiệu năng, nên lưu cache trên một đĩa vật lý khác với đĩa hệ thống và đĩa cài đặt chương trình ISA

 Bên cạnh đó ta còn có thể tạo các cache rule để tùy biến hoặc điều khiển các hoạt động cache

- Thiết lập cache rule ứng với một hoặc một số trang web xác định

- Trong một rule, có thể xác lập cache ứng với một hoặc một số loại nội dung xác định

- Chỉ định loại nội dung được lưu trữ và tùy biến cách đáp ứng cho proxy client tùy theo trang web hoặc nội dung mà client yêu cầu

- Chỉ định khoảng thời gian tồn tại hợp lệ (TTL: Time-To-Live) và cách đáp ứng proxy client khi nội dung cache quá hạn

6 hỉ định loại nội dung được lưu trữ

- Dynamic content: Nội dung loại này thường xuyên thay đổi và vì thế đượcđánh dấu là không thể cache.Tuy nhiên nếu chọn phương thức này trong rule thì nội dung

động sẽ vẫn được lưu cho dù nó được đánh dấu là không thể cache

- Content for offline browsing (302, 307 reponses): Nội dung có thể truy cập khi không kết nối đến web server Nếu chọn phương thức này trong rule thì ISA sẽ lưu mọi nội dung trang web, kể cả phần đã được đánh dấu là khôngthể cache

- Content requiring user authentication for retrieval: Nếu chọn phương thức này ISA sẽ lưu các nội dung mà trang web yêu cầu chứng thực trước khi cho phép truy cập

7 ách thu thập nội dung web v cách đáp ứng cho client trên

cơ sở L

• Only if a valid version of the object exists in cache If no valid version exists, route the request: Chỉ cung cấp nội dung lưu trữ còn hợp lệ cho client Nếu nội dung quá hạn thì ISA sẽ truy cập web server để tải về.Cấu hình này bảo đảm cho client có được nội dung mới nhất (trong một thời hạn nhất định.)

• If any version of the object exists in cache If none exists, route the request: Cung cấp nội dung lưu trữ cho client bất kể thời hiệu Chỉ khi không có lưu trữ thì mới tải về.Cấu hình này bảo đảm cho client luôn luôn có được nội dung cần thiết, bất kể tính cập nhật

• If any version of the object exists in the cache If none exists, drop the request: Cung cấp nội dung lưu trữ cho client bất kể thời hiệu Nếu không có lưu trữ thì bỏ qua yêu cầu của client

 Mặc định ISA sẽ Cache toàn bộ các trang Web mà User truy cập Với một số trang

Web mà nội dung thường xuyên thay đổi (các trang Web chứng khoán ) thì tính

năng Cache này không khả thi

 Bây giờ ta sẽ tạo các một Rule nhằm loại trừ một số trang mà ta không muốn ISA

Cache chúng

8 ạo rule cấm cache trang google

 Trước tiên ta cần tạo 1 URL Set chứa địa chỉ của trang google

 Chọn New Cache rule

ặt tên cho Rule này là Deny Goole

Destination chọn url google vừa tạo

 Giữ nguyên các giá trị mặc định khác

 Bỏ tính năng HTTP caching để không cache trang này

 Hoàn tất việc tạo cache rule

9 Content download job

 Như vậy với một số trang Web mà ta muốn ISA tự động Cache vào thời điểm nhất định nào đó thì ta phải tạo một Job cho ISA cập nhật chủ động trang này

 ISA server được lập lịch biểu để truy cập web server và tải về vào những thời điểm nhất định Mục đích là đáp ứng nhanh nhất cho client (khi client truy cập thì nội dung đã được lưu sẵn tại ISA)

 Lưu ý rằng tác vụ tải xuống theo lịch biểu sẽ không thể hoàn tất nếu trang web mục tiêu đòi hỏi chứng thực người dùng

 Khi tạo tác vụ tải xuống đầu tiên, thực chất là thiết lập một số cấu hình hệ thống của ISA Chỉ sau khi chấp thuận đề nghị của ISA và áp đặt (apply) cấu hình, ta mới có thể lập lịch biểu tài xuống

 Cấu hình hệ thống này bao gồm 03 yếu tố mà ta có thể tự thực hiện:

 Kích hoạt LocalHost lắng nghe yêu cầu HTTP của web proxy client

 Kích hoạt 01 configuration group có tên "Scheduled Download Job"

 Kích hoạt system rule thứ 29

10 ạo 1 content download job để download trang

vnexpress

 Chọn yes

 Đặt tên cho Content download job

 Chọn Daily để thực hiện cache mỗi ngày

 Chỉ định giờ thực hiện Cache chủ động cho ISA trong Daily Frequency

 Nhập địa chỉ trang Web muốn Cache chủ động vào

 Giữ nguyên giá trị mặc định trong màn hình Content Caching

Chọn Finish để hoàn tất việc tạo download job

 Bật chức năng Content download job

IV ACCESS RULE

1 Giới thiệu về ccess ule

• Access Rule điều khiển các truy cập ra bên ngoài từ 1 Network được bảo vệ nằm trong đến 1 Network khác không được bảo vệ nằm ngoài

• ISA Server 2006 quan tâm đến tất cả Networks không nằm ngoài –External.còn những Networks

ược xác định l External thì không được bảo vệ

 Các Networks được bảo vệ:

 VPN Client Network

 Quaranined Vpn clients(mạng vpn client bị cách ly)

 Localhost Network(chính các isa server firewall)

 Internal Network(mạng Lan)

 Perimeter networks-DMZ

 Mạng vành đai

2 Hướng dẫn thực hiện một số ule

a Tạo rule cho phép traffic DNS Query để phân giải tên miền

 Bước 1: vào ISA management->Firewall policy

->New Rule

 Bước 2: Gõ “DNS Query” vào Access name->next

 Bước 3: Action chọn Allow->next

 Bước 4:Trong This Rule apply to:chọn ”Select Protocols”->Add->Comand protocol

là DNS->Ok->next

 Bước 5:Trong Access Rule Source chọn Add Network là

Internal->Add->close->next

 Bước 6:Trong Access Rule Destination chọn Add Network là

External->Add->close->next

 Bước 7:Trong User sets chọn giá trị mặc định là All user->next->finish(chọn nút

apply phía trước có dấu chấmthan



Bước 8:Dùng lệnh Nslookup để phân giải một tên miền bất kỳ

b ạo ule cho phép mọi ser sử dụng mail

Tạo Access Rule theo các thông số sau:

-Rule Name: Allow Mail (SMTP + POP3)

-Action: Allow

-Protocols: POP3 + SMTP

-Source: Internal

-Destination: External

-Users: All Users

Các thao tác thực hiện như phần một

1 Cấm xem một số trang web như(vnexpress.net)

 Định nghĩa các trang web muốn cấm

Bước 1:ISA management->firewall policy->tool box->Network Object->New->URL set

Bước 2:Dòng name đặt tên là vnexpress->New khai 2 dòng http://vnexpress.net và

http://vnexpress.net/*->ok

 Tạo Rule

-Rule Name: Web bi cam

-Action: Deny

-Protocols: All Outbound Traffic

-Source: Internal

-Destination: URL Set “vnexpress”

-User: All Users

Các thao tác làm tương tự như phần 1

Sau khi tạo rule, click nút phải chuột, chọn

“Move Up” cho đến khi giá trị order bằng 1

 Kiểm tra

Thử logon vô một User nào đó rồi vào trang vnexpress

c Tạo Rule cho phép sử dụng Internet không hạn chế trong giờ làm việc

 Định nghĩa giờ làm việc

Bước 1:ISA management->Firewall policy->toolbox->Schedule->New

Name:giờ làm việc

Chọn Active từ 8am-6pm và ok

 User: All Users

 Các thao tác làm tương tự như phần 1

 Sau khi tạo rule xong, chọn properties của rule vừa tạo chọn Schedule là Giờ làm việc->Apply

 Kiểm tra

Log on vào một user nào đó ví dụ như u1 Sửa lại giờ trên máy ISA trùng giờ làm việc Truy cập internet

IV Configuring ISA Server as a Firewall

1 Template

 ISA Server firewall mang đến cho chúng ta những thuận lợi to lớn , một trong

những số đó là các Network Temlates.Với sự hỗ trợ các Templates mà chúng ta có

thể cấu hình tự động các thông số Network , Network Rule và Access Rules

 Network Templates được thiết kế nhanh chóng tạo được cấu hình nên tảng cho

những gì mà chúng ta có thể xây dựng

 Các loại Network Templates

3 Leg Perimeter

 Với mô hình này trong Internal Network chúng ta sẽ chia ra làm 2 nhóm

- Nhóm thứ 1 là các máy như Mail Server, Web Server… để người dùng từ External Network có thể truy cập vào

- Nhóm thứ 2 là các máy nội bộ cần được bảo mật kỹ càng hơn nhóm thứ 1

 Tại máy ISA Server ta cần đến 3 Card Lan

- Card thứ 1 nối với các máy thuộc nhóm thứ 2 trong Internal Network ISA Server

sẽ mở các Port Outbound tại Card này

- Card thứ 2 nối với các máy thuộc nhóm thứ 1 trong Internal Network ISA Server

sẽ mở các Port Outbound/Inbound tại Card này

- Card thứ 3 nối với các máy trong External Network ISA Server sẽ mở các Port Inbound tại Card này

 Như vậy nếu một Hacker từ External Network tấn công vào mạng chúng ta, sau khi đánh sập được ISA Server chúng có thể truy cập vào tất cả các máy tính thuộc nhóm thứ 1 trong mạng Internal Network Với mô hình này tuy hệ thống vẫn được bảo mật nhưng còn chưa được chặt chẽ lắm

an toàn hơn

 Mô hình này tuy là có độ an toàn cao nhưng bù lại chi phí đầu tư cho nó là rất tốn kém

 Như vậy ứng với một mô hình nào đó thay vì phải tạo các Rule như ta từng biết thì chúng ta có thể sử dụng các khuôn mẫu (Template) có sẵn trong ISA Server

5 Single Network Adapter

6 ách thực hiện

 Vào ISA, chọn Configuration/Network , ở ô cửa sổ bên phải chọn tab Templates, chọn template Edge Firewall

 Nếu ISA đã được cấu hình trước đó muốn lưu lại thì ấn Export chọn ổ đĩa và file cần lưu.Nếu không lưu thì ấn next

 Nhập vào dãy Ip của internal -> next

 Chọn Fire wall policy cho phù hợp

Tuy nhiên trên thực tế các Template này chỉ để cho chúng ta nghiên cứu mà thôi vì tầm hoạt động của chúng là quá rộng Ta nên tạo lần lượt các Rule và mở những Port nào thực sự cần thiết mà thôi, có như vậy hệ thống chúng ta mới chắc chắn và an toàn hơn

VI Intrustion Detection

 Giả sử mạng chúng ta đã dựng thành công ISA Server khi đó một Hacker nào đó từ bên ngoài mạng Internet tìm mọi cách tấn công mạng chúng ta bằng cách dò tìm các Port được mở trong mạng của ta và khai thác các lỗ hỏng trên các Port này

 Như vậy nếu hệ thống chúng ta không có ISA Server chúng ta sẽ không hề hay biết

sự nguy hiểm đang rình rập này Trong bài này chúng ta sẽ tìm hiểu về một tính

năng rất hay của ISA Server là Intrusion Detection dùng để phát hiện các tấn công

từ bên ngoài vào hệ thống mạng chúng ta

 ISA\Configuration\General\bật chức năng Enable Instruction Detection and DNS Attack Detection

 Mặc định ISA Server đã Enable một số tính năng trong Intrusion Detection nhưng không Enable tính năng Port scan

 Trong Tab Common Attacks: chọn “Port can” -> ok