Cài đặt và cấu hình ISA Server Firewall 2005
Trang 1Cài đặt và cấu hình ISA Server Firewall 2004 (chapter 6)
Tác giả: www.nis.com.vn
Chương 6: Cài đặt và cấu hình DNS Server với chức năng Caching-only trên Perimeter Network Segment
DNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses Khi các Computers dùng các ứng dụng Internet (Web, mail, FTP, Chat,
Game Online, Voice over IP ), luôn cần phải biết IP address của các
Internet Server trước khi có thể connect đến những Server này.
Toàn bộ hệ thống Internet, sử dụng giao thức TCP/IP (và UDP/ IP), cho nên việc xác định IP address là điều bắt buộc khi thực hiện giao tiếp giữa Clients với các Internet Server Tuy nhiên thói quen của người dùng Internet khi truy cập đến các Internet Server là dùng tên (có lẽ
vì dễ nhớ hơn so với IP address), ví dụ
http:// www.nis.com.vn (dễ nhớ)
http:// 207.46.225.60/ (khó nhớ)
cho nên hệ thống Internet vốn dùng TCP/IP, bắt buộc phải có DNS để giải quyết Hostname ra IP address
Một caching-only DNS server là một loại DNS không cần phải được sự ủy quyền hoạt
động (not authoritative )của bất cứ Internal Domain Điều này có nghĩa là một
caching-only DNS server không nhất thiết phải chứa bất cứ name records của một hay nhiều Domain cố định nào Thay vào đó cách hoạt động của nó là: Nhận các truy vấn tên từ DNS clients, giải quyết yêu cầu này cho DNS Clients, lưu giữ lại kết quả vừa trả lời trong
cache (nhằm phục vụ đối tương Clients tiếp theo) Khá đơn giản, các DNS Admin không
phải cấu hình phức tạp cho loại DNS này, không cần phải tạo ra bất kì Forward hay Reverse lookup Zones, để phục vụ cho nhu cầu tìm tên của các Clients trong Internal Domain, như chúng ta đã thực hiện ở phần trước với Internal Domain DNS server (được cài trên Domain controller- 10.0.0.2)
Sử dụng một caching-only DNS server là điều không bắt buộc Nhưng nếu khi triển khai
ISA Server 2004 Firewall, lên kế hoạch tạo một perimeter Network segment (hay còn được goi là DMZ- demilitarized zone), nên tuân theo các hướng dẫn sau
Trang 2Mô tả về Perimeter Network:
Trong mô hình Lab của chúng ta, như các bạn đã thấy trên hình về một Perimeter Network (hay DMZ Network- vùng phi quân sự, khái niệm này ra đời từ cuộc chiến Nam, Bắc Triều Tiên) Trong hệ thống Network của một Tổ chức, ví dụ như các ISP (Internet Servies Provider) Khi triển khai cung cấp các Service cho khách hàng, như Web Hosting, Mail thường đặt các Servers cung cấp các Service này tại DMZ Network, phân vùng Network này tách biệt với Internal Network (Network làm việc của các nhân viên và chứa các tài nguyên nội bộ) Mô hình Network trong Lab này, ISA Server 2004
Firewall (ISALOCAL), là một hệ thống Tree-homed Host (gắn 3 Network Interface
Cards)
Network Interface 1 (WAN): Tạo kết nối ra Internet
Network Interface 2 (DMZ): Tạo kết nối đến DMZ Network
Network Interface 3: (LAN)Tạo kết nối đến Internal Network
Như vậy thông thường các Tổ chức triển khai DMZ Network (nằm phía sau Firewall), nhằm cung cấp cho các External clients (như khách hàng, người dùng Internet, đối tác ) truy cập đến các tài nguyên công cộng của mình (Web, FTP publish resourses…) Nếu DMZ Network bị tấn công, attackers cũng chưa thể xâm nhập ngay vào Internal Network
Trang 3(LAN bên trong), vì Attacker cần phải tiếp tục chọc thủng Firewall Đến đây, có lẽ các bạn cũng đã hình dung phần nào về DMZ Network
Các DNS servers được sử dụng trong DMZ Network có hai mục đích chính:
• Giải quyết các truy vấn tên cho các DNS Clients trong Domain dưới sự kiểm soát và ủy quyền của Domain
• Caching-only DNS services phục vụ cho các Internal Network clients, hoặc nếu không giải quyết được các yêu cầu truy vấn tên, nó có thể chuyển (forwarder) đến các DNS servers khác của Internal Network
Một DNS server tại DMZ Network, có thể chứa những thông tin phục vụ cho publish
domain (Internet Domain, được đăng kí thông qua những nhà cung cấp tên miền
Internet) Ví dụ, nếu đã xây dựng hạ tầng DNS, tách biệt nhóm DNS server chuyên trả lời các yêu cầu truy vấn tên của domain nội bộ (Internal Hostname) cho Internal DNS Clients, thì nên đặt các DNS server này trong Internal Network Nhóm các DNS server còn lại, phục vụ cho yêu cầu truy vấn tên xuất phát từ External Clients (ví dụ các Internet Clients) có thể được đặt trên DMZ Network Khi các Internet Clients này cần truy cập các DMZ servers (Web, FTP, SMTP., các server này được đưa ra phục vụ Internet thông qua ISA Server 2004 Firewall ), các DNS server trên DMZ Network sẽ phục vụ cho những yêu cầu này
DNS server trên DMZ Network cũng có thể hoạt động như một caching-only DNS
server Trong vai trò này, DNS server sẽ không chứa thông tin về name record Thay vào đó, caching-only DNS server sẽ giải quyết các yếu cầu tìm Internet host names và chỉ lưu giữ lại (cache) các kết quả này Sau đó có thể sử dụng cache, để trả lời các yêu cầu tương tự cho các Internet hostname đã cache Nếu chưa cache bất cứ Internet hostname nào, cahing-only DNS server sẽ chuyển các yêu cầu này (Forwarder) đến các
Internet DNS server (ví dụ các DNS của ISA gần nhất), sau khi nhận được kết quả truy
vấn, sẽ cache lại và trả lời cho DNS Clients
Trong phần này, chúng ta sẽ thực hiện
• Cài đặt DNS server service
• Cấu hình DNS server trở thành một only DNS server an toàn (secure caching-only DNS server)
Cài đặt DNS Server Service trên DMZ Network
DNS server này, sẽ có hai vai trò: Là một secure caching-only DNS server và chuyển các yêu cầu truy cập từ bên ngoài (của Internet Clients) đến Web, SMTP server
Tiến hành các bước sau để cài một DNS server service trên DMZ Network (trên server
Trang 41 Click Start, Control Panel Click Add or Remove Programs.
2 Trong Add or Remove Programs, click Add/Remove Windows Components
3 Trên Windows Components page, keo xuống danh sách Components, chọn
Networking Services Click Details.
4 Trong Networking Services dialog box, check vào Domain Name System (DNS)
check box và click OK
5 Click Next trên Windows Components page.
6 Click OK trong Insert Disk dialog box Trong Files Needed dialog box, đưa đường dẫn đến Folder i386 trong Copy files from text box và click OK.
7 Click Finish trên Completing the Windows Components Wizard page.
Bước tiếp theo, cấu hình DNS server trở thành một secure caching-only DNS server.
DNS server trên DMZ Network sẽ tiếp xúc trực tiếp với các Internet hosts Những Hosts
này có thể là các Internet DNS clients có nhu cầu truy cập các tài nguyên của chúng ta (Web, Mail, FTP server ),nằm trong DMZ Network, như vậy Internet DNS clients phải
gửi các yêu cầu này đến DNS server trên DMZ Network Hoặc trường hợp ngược lại là DNS server trên DMZ Network của chúng ta sẽ tiếp xúc DNS servers của các Tổ chức
Trang 5khác trên Internet (ví dụ như ISP DNS), để phục vụ giải quyết hostname cho các Internal Network clients có nhu cầu truy cập ra ngoài Internet
Trong ví dụ này, DNS server của DMZ Network, sẽ đóng vai trò một caching-only DNS
server và không quản lý các name records của các Publish Server trong Internal Domain
Tiến hành các bước sau trên DNS server thuộc DMZ Network, để trở thành một secure
caching-only DNS server:
1 Click Start, Administrative Tools Click DNS.
2 Trong DNS management console, right click trên server name, click Properties.
3 Trong DNS server’s Properties dialog box, click Root Hints tab Xuất hiện các DNS
server ở cấp cao (root) của hệ thống Internet DNS Danh sách Name Servers tại Root Hints này, được caching-only DNS server của chúng ta, sử dụng để giải quyết các truy vấn tên (Internet Hostnames) từ DNS Clients Nếu không tồn tại danh sách các Name Servers này trong Root Hints, caching-only DNS server sẽ không thể giải quyết hostname của các Computer trên Internet
Trang 64 Click trên Forwarders tab Chú ý, không check vào Do not use recursion for this
domain check box Nếu check vào lựa chọn này, caching-only DNS server sẽ không
dùng được các Internet DNS Servers trong danh sách của Root Hints cho việc giải quyết
Internet host names Chỉ chọn nó, nếu bạn quyế định dùng chức năng Forwarder Trong
trường hợp này, chúng ta không dùng Forwarder
Trang 75 Click Advanced tab Xác nhận, đã check vào Secure cache against pollution check
box Điều này giúp ngăn chặn các cuộc tấn công từ Attackers hoặc các Internet DNS
servers Các name records mạo nhận (ý đồ của attackers), có thể được ADD vào DNS
cache của chúng ta, và điều đó khiến cho các truy vấn từ Internal DNS Clients đến caching-only DNS server sẽ được dẫn đến những Server “bẫy” Ví dụ DNS Clients type
http://www.vnbank.com.vn (IP address A.B.C.D) sẽ bị dẫn đến một Host giả có IP address
là X.Y.Z.K do ý đồ của attackers, và những thông tin giao dịch với Host giả này, có thể bị
ghi lại và sử dụng bất hợp pháp Kiểu tấn công này đôi khi còn được gọi là “co-coordinated DNS attack”
Trang 86 Click Monitoring tab Check vào A simple query against this DNS server và A
recursive query to other DNS servers check boxes, để thực hiện kiểm tra DNS server.
Click Test Now Chú ý kết quả hiện ra trong khung results cho thấy Simple Query chỉ
Pass, trong khi Recursive Query trình bày Fail Chúng ta nhận được kết quả này là vì
chưa tạo Access Rule trên ISA Server 2004 Firewall để cho phép caching-only DNS
server truy cập Internet DNS servers Sau này khi cấu hình ISA Server 2004 Firewall, sẽ tạo một Access Rule cho phép DNS server gửi yêu cầu (outbound access) đến các DNS servers trên Internet
Trang 97 Click Apply và click OK trong DNS server’s Properties dialog box.
8 Đóng DNS management console.
Tại thời điểm này, caching-only DNS server của chúng ta đã có thể giải quyết Internet host names Nhưng sau đó, chúng ta sẽ phải tạo thêm Access Rules để cho phép các
Internal Network Clients dùng DNS Server này để giải quyết các Internet host names Các Admin xem xét kĩ ý này, để tránh nhầm lẫn
Kết luận:
Trong chương này, đã đề cập đến việc sử dụng một cachingonly DNS server tại DMZ
Network, cách thức cài đặt và cấu hình Microsoft DNS server service Trong các phần
sau, chúng ta sẽ sử dụng Access Policies trên ISA Server 2004 để cho phép các Internal
Network Clients dùng DNS server này và cho phép caching-only DNS server kết nối đến Internet