Xây dựng hệ thống bảo mật ạng thông qua ISA firewall server 2006

LỜI MỞ ĐẦUNgày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hếtcác thông tin của doanh nghiệp như chiến lược kinh doanh, các thông tin vềkhách hàng, nhà cung cấp, tài chính

TRờng đại học vinh Khoa công nghệ thông tin

===  ===

thái viết hùng

xây dựng hệ thống bảo mật mạng thông qua isa firewall server

khoa Công Nghệ Thông Tin trường Đại học Vinh, các bạn trong lớp đã độngviên, giúp đỡ trong suốt quá trình nghiên cứu và thực hiện Đồ án Lời cảm ơnsâu săc nhất đó chính là gia đình, những người đã động viên, giúp đỡ và tạođiều kiện thuận lợi nhất giúp em hoàn thành đồ án này.

Đặc biệt, em gửi lời cảm ơn trân trọng nhất tới Thầy giáo hướng dẫn

PGS TS Mai Văn Trinh, phó khoa Công Nghệ Thông Tin, giảng viên khoa

Công Nghệ Thông Tin trường Đại học Vinh đã hết lòng giúp đỡ, hướng dẫn,chỉ dạy tận tình trong suốt quá trình em hoàn thành Đồ án tốt nghiệp

Trong khuôn khổ cho phép của một Đồ án tốt nghiệp còn nhiều hạnchế, em mong nhận được sự đóng góp từ phía Thầy Cô và bạn bè để có thểhoàn thiện đề tài này trong một công trình khác về sau

Kính chúc toàn thể các Thầy, Cô giáo và các bạn luôn mạnh khỏe,hạnh phúc

Vinh, ngày 10 tháng 05 năm 2010

Sinh viên thực hiện:

Thái Viết Hùng

BẢNG DANH MỤC CÁC TỪ VIẾT TẮT

Dạng viết tắt Dạng đầy đủ và Nghĩa

ISA Internet Security and Acceleration: Phần mềm An ninh

và tăng tốc Internet

IP Internet Protocol: Giao thức giao tiếp mạng Internet

TCP/IP Transmission Control Protocol/ Internet Protocol: Giao

thức mạngDNS Domain Name System: Hệ thống phân giải tên miềnDHCP Dynamic Host Configuration Protocol: Hệ thống giao

DC Domain Controller: Hệ thống tên miền

NIC Network Interface Controller: Cạc giao tiếp mạng

LỜI MỞ ĐẦU

Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hếtcác thông tin của doanh nghiệp như chiến lược kinh doanh, các thông tin vềkhách hàng, nhà cung cấp, tài chính, mức lương nhân viên,… đều được lưutrữ trên hệ thống máy tính Cùng với sự phát triển của doanh nghiệp là nhữngđòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cầnphải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internethay Intranet Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đếntài chính, danh tiếng của công ty và quan hệ với khách hàng Vì vậy ngaytrong ghế nhà trường tôi sinh viên với sự nhiệt tình ham tìm hiểu dưới sựhướng dẫn tận tình của quý thầy cô Đang dần hoàn thiện kiến thức của mình

về công nghệ thông tin cùng các ứng dụng của nó

Em thực hiện tìm hiểu vấn đề đang dần được áp dụng rộng rãi cho thị

trường, được rất nhiều các công ty lớn nhỏ áp dụng Đó là vấn đề “Bảo mật

cho hệ thống mạng máy tính của doanh nghiệp thông qua công cụ ISA

Firewall Server 2006”.

Quá trình tìm hiểu những vấn đề nêu trên dưới sự hướng dẫn của thầygiáo PGS TS Mai Văn Trinh Ngoài việc tìm hiểu các tài liệu chuyên ngành

em có tìm hiểu thêm các thông tin trên mạng và trao đổi thông tin với bạn bè

Do thời gian và kiến thức có hạn nên bài viết còn nhiều hạn chế, rất mongđược sự góp ý của các Thầy, Cô giáo cùng các bạn

Thu được kết quả như vậy, em xin chân thành cảm ơn Khoa công nghệthông tin đã tạo điều kiện cho em được tìm hiểu những lĩnh vực trên Và chânthành cảm ơn thầy giáo hướng dẫn PGS TS Mai Văn Trinh đã nhiệt tình

MỤC LỤC

LỜI CẢM ƠN 1

BẢNG DANH MỤC CÁC TỪ VIẾT TẮT 2

LỜI MỞ ĐẦU 3

Phần 1 TỔNG QUAN ĐỀ TÀI 6

1.1 Lý do chọn đề tài 6

1.2 Phương pháp thực hiện đề tài 7

1.3 Công cụ cài đặt 7

Phần 2 KHẢO SÁT TÌNH HÌNH THỰC TẾ 8

2.1 Tình hình thực tế của công ty 8

2.2 Yêu cầu của công ty 9

2.3 Giải pháp 10

Phần 3 CÁC KIẾN THỨC CƠ BẢN 11

3.1 Mạng máy tính là gì? 11

3.1.2 Các ứng dụng của mạng máy tính: 11

3.2 Firewall là gì ? 13

3.2.1 Chức năng chính 15

3.2.2 Phân loại Firewall 15

3.2.3 Nhiệm vụ của Firewall 16

3.3 Hiểu rõ về Window Server 2003 18

3.3.1 Giới thiệu về Window Server 2003 18

3.3.2 Hướng dẫn cách cài đặt Window server 2003 19

3.3.3 Nâng cấp Domain cho Windows Server 2003 21

3.3.4 Tạo các tài khoản Nhóm, người dùng (OU, User) 22

3.3.5 Cài đặt và Cấu hình DNS 25

3.3.6 Cài đặt và Cấu hình DHCP 30

3.3.7 Xây dựng Webserver cho công ty 34

3.3.8 Join máy tính ISA,máy tính User vào Domain của công ty Vispro.com 36

Phần 4 ISA FIREWALL SERVER 2006 37

4.1 Giới thiệu ISA 37

4.2 Cài đặt ISA Server 2006 Firewall 40

Phần 5 TRIỂN KHAI MÔ HÌNH BẢO MẬT MẠNG THÔNG QUA ISA FIREWALL SERVER 2006 42

5.1 Mô hình mạng sử dụng ISA Firewall 42

5.2 Triển khai chi tiết các Ruler Access trên ISA Firewall Server 2006 .44

5.2.1 Cho phép các User truy vấn DNS 44

5.2.2 Tạo Ruler access cho phép Internal và ISA ra Internet 46

5.2.3 Cho phép các User trong công ty truy cập Website Vispro.com trong giờ làm việc (7hAM - 5hPM từ thứ 2 đến thứ 6) 49

5.2.4 Cấm truy cập các trang Web có nội dung không tốt 51

5.2.5 Public Web của công ty Vispro ra Internet để người dùng ngoài mạng có thể truy cập vào Website Vispro 55

5.2.6 Cấu hình Intrusion Detection 60

5.2.7 Báo cáo thống kê các giao dịch thông qua ISA Server 2006 62

5.2.8 Backup và Restore 65

KẾT LUẬN 69

HƯỚNG PHÁT TRIỂN CỦA ĐỒ ÁN 70

TÀI LIỆU THAM KHẢO 71

Phần 1

TỔNG QUAN ĐỀ TÀI

1.1 Lý do chọn đề tài

Vấn đề bảo mật đã và đang là một đề tài hết sức nóng bỏng Vì dữ liệu

là quan trọng là cả một tài sản của một tổ chức, do đó bảo mật dữ liệu là vấn

đề được các tổ chức quan tâm hàng đầu Các hệ thống máy tính lưu giữ rấtnhiều thông tin và tài nguyên cần được bảo vệ Trong một công ty, nhữngthông tin và tài nguyên này có thể là dữ liệu kế toán, thông tin nguồn nhânlực, thông tin quản lý, bán hàng, nghiên cứu, sáng chế, phân phối, thông tin

về nhà máy và thông tin về các hệ thống nghiên cứu Đối với rất nhiều công

ty, toàn bộ dữ liệu quan trọng của họ thường được lưu trong một cơ sở dữ liệu

và được quản lý và sử dụng bởi một chương trình phần mềm Các tấn côngvào hệ thống có thể xuất phát từ những đối thủ kinh doanh, khách hàng,những nhân viên biến chất Nếu như một tổ chức yếu kém vể bảo mậtAttacker có thể trực tiếp tấn công thẳng vào hệ thống mạng và lấy đi những

dữ liệu quý báu Vì những lí do đó cùng với niềm đam mê của mình là Quản

trị mạng nên em chọn đề tài: “Xây dựng hệ thống Bảo mật mạng thông qua

ISA Firewall Server 2006” Với mục đích tìm hiểu và đưa ra những phương

thức bảo mật cho doanh nghiệp có thể hạn chế tối đa những kẻ tấn công tráiphép, đảm bảo hệ thống hoạt động an toàn hơn

Ngoài ra với ý thức học hỏi tiếp cần với những yêu cầu từ thực tế Khichưa có khả năng sáng tạo ra cái mới Trước hết cần làm được những cái đã

có.Nên em chọn “Xây dựng hệ thống Bảo mật mạng thông qua ISA

Firewall Server 2006” vừa có tính ứng dụng thực tế vừa có cơ hội cho mình

nghiên cứu thực tiễn

1.2 Phương pháp thực hiện đề tài

Bài toán được thực hiện dựa trên kết quả khảo sát và phân tích thực

trạng hệ thống mạng và các vấn đề bảo mật của Công ty cổ phần phát triển

công nghệ thông tin Vispro, tìm hiểu các tài liệu về xây dựng hệ thống mạng

doanh nghiệp, an ninh, bảo mật hệ thống mạng máy tính của doanh nghiệp…

1.3 Công cụ cài đặt

- Phần mềm Firewall ISA Server 2006 trên máy tính sử dụng hệ điềuhành Window Server 2003

- Các máy tính sử dụng hệ điều hành Window Server 2003, XP, Vista…

- Các phần mềm hỗ trợ: Phần mềm giả lập máy ảo WMware WorkStation 6.0, Photoshop 7.0…

- Có 01 swicht nối vào Route ADSL để sự dụng Internet.

Mô hình mạng tổng quát của công ty như sau:

- Độ an toàn và tính bảo mật không cao, do người sử dụng quy định:Việc bảo mật và an toàn mạng ngang hàng thể hiện qua việc định rõ mật mãcho một tài nguyên nào đó, chẳng hạn như một thư mục dùng chung trênmạng Vì tất cả người dùng trong mạng ngang hàng tự mình thiết lập hệ thốngbảo mật mã riêng, và việc chia sẻ tài nguyên có thể xảy ra ở bất cứ máy nàochứ không xảy ra ở máy tập trung, nên rất khó điều khiển tập trung Điều nàytác động đến sự an toàn của mạng vì nhiều khi có một vài người dùng không

hề thi hành biện pháp bảo mật nào cả Nếu xem tính bảo mật là vấn đề quan

trọng chúng ta nên cân nhắc sử dụng mạng dựa trên máy phục vụ.Vì vậy đó là

cơ hội tố cho kẻ xấu tấn công vâò hệ thống

2.2 Yêu cầu của công ty

Yêu cầu đặt ra của công ty là phát triển cổng thông tin thương mại điện

tử gồm:

+ Đối với hệ thống bên trong mạng:

- Nhóm User ở bộ phận kế toán cho phép sử dụng tài nguyên nội bộnhư các phần mềm kế toán, được phép truy cập Internet nhưng hạn chế vềthời gian truy cập, chỉ được truy cập trong giờ làm việc

- Nhóm User ở bộ phận kinh doanh cho sử dụng các phần mềm kinhdoanh, không được sử dụng chương trình của nhóm user kế toán

- Nhóm User ở bộ phận nhân sự cho sử dụng Mail và Internet

- Nhóm User bộ phận giám đốc được truy cập tất cả, không hạn chế

- Các User được phân quyền phù hợp với nhu cầu công việc của mình

- Có File Server chia sẽ dữ liệu

- Có Web Server publish ra internet, phát triển cổng thông tin thươngmại điện tử Nhưng vẫn đảm bảo tính an toàn cho hệ thống, hạn chế tối đa sựtấn công trên Internet thông qua Firewall

- Xây dựng giải pháp VPN Server trên Firewall để cung cấp việc truyxuất các tài nguyên trong mạng doanh nghiệp khi các nhân viên phải đi côngtác xa.

+ Đối với hệ thống bên ngoài:

- Giám sát người ngoài Internet truy cập trái phép (Nhận diện được cáchình thức xâm nhập bất hợp pháp, Cảnh báo ngay cho Admin ngay khi có cáchiện tượng thăm dò, quét mạng, scan port máy chủ của hacker để có giải phápphòng chống và triệt tiêu kịp thời các mối đe dọa)

- Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet

- Ngăn chặn các tấn công, thâm nhập trái phép từ Internet

- Cung cấp cho user trong công ty sử dụng chức năng Remote Accesskhi ở ngoài công ty truy xuất thuận tiện cho công việc khi ở xa thông quamạng Internet

2.3 Giải pháp

Do nhu cầu công ty như vậy, nên em có giải pháp như sau:

- Công ty cần xây dựng 1 hệ thống mạng theo mô hình Domain để quản

lý tập trung tạo điều kiện thuận lợi cho việc quản trị hệ thống mạng

- Hiện nay, công ty có nhu cầu chia sẽ FILE Server, Web Server,và cácdịch vụ DNS, DHCP… Công ty nên xây dựng các dịch vụ trên chung vàomột máy chủ nội bộ để tiết kiệm chi phí

- Vấn đề bảo mật được quan tâm hàng đầu nên Triển khai dịch vụ ISAFirewall Server 2006 để đảm bảo an ninh, kiểm soát các truy cập trái phépngoài mạng cũng như các User trong mạng

 Các hệ thống đầu cuối (end system) kết nối với nhau tạo thành

mạng, có thể là các máy tính hoặc các thiết bị khác Nói chung hiện nay ngàycàng nhiều các loại thiết bị có khả năng kết nối vào mạng máy tính như điệnthoại di động, PDA, tivi,

 Môi trường truyền (media) mà các thao tác truyền thông được thực

hiện qua đó Môi trường truyền có thể là các loại dây dẫn (dây cáp), sóng điện

từ (đối với các mạng không dây)

 Giao thức truyền thông (protocol) là các quy tắc quy định cách trao

đổi dữ liệu giữa các thực thể

3.1.2.Các ứng dụng của mạng máy tính:

 Trong các tổ chức: Trước khi có mạng, trong các tổ chức, mỗi nơi

đều phải có chỗ lưu trữ dữ liệu riêng, các thông tin trong nội bộ sẽ khó đượccập nhật kịp thời; một ứng dụng ở nơi này không thể chia sẻ cho nơi khác.Với một hệ thống mạng người ta có thể:

1 Chia sẻ các tài nguyên: Các ứng dụng, kho dữ liệu và các tài nguyênkhác như sức mạnh của các CPU được dùng chung và chia sẻ thì cả hệ thốngmáy tính sẽ làm việc hữu hiệu hơn

tính bị hỏng thì các máy còn lại vẫn có khả năng hoạt động và cung cấp dịch

vụ không gây ách tắc

3 Tiết kiệm: qua kỹ thuật mạng người ta có thể tận dụng khả năng của

hệ thống, chuyên môn hoá các máy tính, và do đó phục vụ đa dạng hoá hơn.Thí dụ: Hệ thống mạng có thể cung cấp dịch vụ suốt ngày và nhiều nơi có thểdùng cùng một chương trình ứng dụng, chia nhau cùng một cơ sở dữ liệu vàcác máy in, do dó tiết kiệm được rất nhiều

4 Ngoài ra, khi tạo mạng, người chủ chỉ cần đầu tư một hoặc vài máytính có khả năng hoạt động cao để làm máy chủ cung cấp các dịch vụ chínhyếu và đa số còn lại là các máy khách dùng để chạy các ứng dụng thôngthường và khai thác hay yêu cầu các dịch vụ mà máy chủ cung cấp Một hệ

thống như vậy gọi là mạng có kiểu chủ - khách (client- server model).

5 Người ta còn gọi các máy dùng để nối vào máy chủ là máy trạm

(work- station) Tuy nhiên, các máy trạm vẫn có thể hoạt động độc lập mà

không cần đến các dịch vụ cung cấp từ máy chủ

6 Mạng máy tính còn là một phương tiện thông tin mạnh và hữu hiệugiữa các cộng sự trong tổ chức

 Cho nhiều người: Hệ thống mạng cung cấp nhiều tiện lợi cho sự

truyền thông tin trong các mối quan hệ người với người như là:

1 Cung cấp thông tin từ xa giữa các cá nhân

2 Liên lạc trực tiếp và riêng tư giữa các cá nhân với nhau

3 Làm phương tiện giải trí chung: như các trò chơi, các thú tiêu khiển,chia sẻ phim ảnh, vv qua mạng

Các ứng dụng quan trọng hiện tại qua mạng là: thư điện tử, hội nghị

truyền hình (video conference), điện thoại Internet, giao dịch và lớp học ảo (e- learning hay virtual class), dịch vụ tìm kiếm thông tin qua các máy truy

tìm, vv

 Các vấn đề xã hội: Quan hệ giữa người với người trở nên nhanh

chóng, dễ dàng và gần gũi hơn cũng mang lại nhiều vấn đề xã hội cần giảiquyết như:

1 Lạm dụng hệ thống mạng để làm điều phi pháp hay thiếu đạo đức:Các tổ chức buôn người, khiêu dâm, lường gạt, hay tội phạm qua mạng, tổchức tin tặc để ăn cắp tài sản của công dân và các cơ quan, tổ chức khủngbố,

2 Mạng càng lớn thì nguy cơ lan truyền các phần mềm ác tính càng dễxảy ra

3 Hệ thống buôn bán trở nên khó kiểm soát hơn nhưng cũng tạo điềukiện cho cạnh tranh gay gắt hơn

4 Một vấn đề nảy sinh là xác định biên giới giữa việc kiểm soát nhânviên làm công và quyền tư hữu của họ (Chủ thì muốn toàn quyền kiểm soátcác điện thư hay các cuộc trò chuyện trực tuyến nhưng điều này có thể viphạm nghiêm trọng quyền cá nhân)

5 Vấn đề giáo dục thanh thiếu niên cũng trở nên khó khăn hơn vì các

em có thể tham gia vào các việc trên mạng mà cha mẹ khó kiểm soát nổi

6 Hơn bao giờ hết với phương tiện thông tin nhanh chóng thì sự tự dongôn luận hay lạm dụng quyền ngôn luận cũng có thể ảnh hưởng sâu rộng

hơn trước đây như là các trường hợp của các phần mềm quảng cáo (adware)

và các thư rác (spam mail)

3.2 Firewall là gì ?

Nhu cầu bảo vệ thông tin trên Internet có thể chia thành ba loại gồm:

bảo vệ dữ liệu, bảo vệ các tài nguyên sử dụng trên mạng và bảo vệ danh tiếng của cơ quan.

Bảo vệ dữ liệu

 Bảo mật: Những thông tin có giá trị về kinh tế, quân sự, chínhsách… cần được giữ kín.

 Tính vẹn toàn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo

 Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểmcần thiết

Trong các yêu cầu này, thông thường yêu cầu về bảo mật được coi làyêu cầu số 1 đối với thông tin lưu trữ trên mạng Tuy nhiên, ngay cả khinhững thông tin này không được giữ bí mật, thì những yêu cầu về tính vẹntoàn cũng rất quan trọng Không một cá nhân, một tổ chức nào lãng phí tàinguyên vật chất và thời gian để lưu trữ những thông tin mà không biết về tínhđúng đắn của những thông tin đó

 Bảo vệ các tài nguyên sử dụng trên mạng

Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi

đã làm chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụcho mục đích của mình như chạy các chương trình dò mật khẩu người sửdụng, sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các hệ thốngkhác…

 Bảo vệ danh tiếng của cơ quan

Phần lớn các cuộc tấn công không được thông báo rộng rãi, và mộttrong những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là cáccông ty lớn và các cơ quan quan trọng trong bộ máy nhà nước Trong trườnghợp người quản trị hệ thống chỉ được biết đến sau khi chính hệ thống củamình được dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uytín là rất lớn và có thể để lại hậu quả lâu dài

Để thực hiện các yêu cầu trên thì trên thế giới đã xuất hiện nhiều phầnmềm với những tính năng khác nhau mà người ta gọi là Firewall

Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xâydựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin,

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truycập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâmnhập không mong muốn vào hệ thống Cũng có thể hiểu Firewall là một cơchế (mechanism) để bảo vệ mạng tin tưởng (Trusted network) khỏi các mạngkhông tin tưởng (Untrusted network).

Thông thường Firewall được đặt giữa mạng bên trong (Intranet) củamột công ty, tổ chức, ngành hay một quốc gia, và Internet Vai trò chính làbảo mật thông tin, ngăn chặn sự truy nhập không mong muốn từ bên ngoài(Internet) và cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất địnhtrên Internet

3.2.1 Chức năng chính

Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữaIntranet và Internet Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bêntrong (Intranet) và mạng Internet Cụ thể là:

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet raInternet) Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từInternet vào Intranet) Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập Kiểm soát người sử dụng

và việc truy nhập của người sử dụng Kiểm soát nội dung thông tin lưuchuyển trên mạng

3.2.2 Phân loại Firewall

Firewall được chia làm 2 loại, gồm Firewall cứng và Firewall mềm:

Firewall cứng: Là những firewall được tích hợp trên Router

+ Đặc điểm của Firewall cứng:

- Không được linh hoạt như Firewall mềm: (Không thể thêm chứcnăng, thêm quy tắc như firewall mềm)

- Firewall cứng không thể kiểm tra được nột dung của gói tin.

+ Ví dụ Firewall cứng: NAT (Network Address Translate)

Firewall mềm: Là những Firewall được cài đặt trên Server

+ Đặc điểm của Firewall mềm:

- Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng

- Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứngdụng)

- Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các từkhóa)

+ Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall, ISA Server…

3.2.3 Nhiệm vụ của Firewall

FireWall bảo vệ cái gì ?

Nhiệm vụ cơ bản của FireWall là bảo vệ những vấn đề sau:

+ Dữ liệu: Những thông tin cần được bảo vệ do những yêu cầu sau:

- Bảo mật

- Tính toàn vẹn

- Tính kịp thời

+ Tài nguyên hệ thống

+ Danh tiếng của công ty sở hữu các thông tin cần bảo vệ

FireWall bảo vệ chống lại cái gì ?

FireWall bảo vệ chống lại những sự tấn công từ bên ngoài

+ Tấn công trực tiếp:

Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp Thông quacác chương trình dò tìm mật khẩu với một số thông tin về người sử dụng nhưngày sinh, tuổi, địa chỉ v.v…và kết hợp với thư viện do người dùng tạo ra, kẻtấn công có thể dò được mật khẩu của bạn Trong một số trường hợp khả năngthành công có thể lên tới 30% Ví dụ như chương trình dò tìm mật khẩu chạytrên hệ điều hành Unix có tên là * * * * *

Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân

hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được đểchiếm quyền truy cập (có được quyền của người quản trị hệ thống)

+ Nghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền quamạng thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vàochế độ nhận toàn bộ các thông tin lưu truyền qua mạng

+ Giả mạo địa chỉ IP

+ Vô hiệu hoá các chức năng của hệ thống (deny service) Đây là kiểutấn công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chứcnăng mà nó được thiết kế Kiểu tấn công này không thể ngăn chặn được donhững phương tiện tổ chức tấn công cũng chính là các phương tiện để làmviệc và truy nhập thông tin trên mạng

+ Lỗi người quản trị hệ thống

+ Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầmquan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quantrọng cho hacker

Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các

hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình.Điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng

để có thể giữ vững an toàn cho thông tin của hệ thống Đối với người dùng cánhân, họ không thể biết hết các thủ thuật để tự xây dựng cho mình mộtFirewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo mật thông tin chomỗi cá nhân, qua đó tự tìm hiểu để biết một số cách phòng tránh những sự tấncông đơn giản của các hacker Vấn đề là ý thức, khi đã có ý thức để phòngtránh thì khả năng an toàn sẽ cao hơn

3.3 Hiểu rõ về Window Server 2003

3.3.1 Giới thiệu về Window Server 2003

Như chúng ta đã biết, hệ điều hành Windows 2000 Server có 3 phiênbản chính là: Windows 2000 Server, Windows 2000 Advanced Server vàWindows 2000 Datacenter Server Với mỗi phiên bản, Microsoft bổ sungthêm các tính năng mở rộng cho từng loại dịch vụ Đến khi hệ điều hànhWindows Server 2003 ra đời thì Microsoft cũng dựa trên các tính năng củatừng phiên bản để phân loại do đó có rất nhiều phiên bản của họ Server 2003nhưng có 4 phiên bản được sử dụng rộng rãi nhất là Windows Server 2003Standard Edition, Enterprise Edition, Datacenter Edition và Web Edition.Một số điểm mới của Windows Server 2003:

- Khả năng kết chùm các Server để san sẻ tải (Network Load BalancingClusters) và cài đặt nóng RAM (hot swap)

- Hỗ trợ tốt hệ điều hành Windows XP như hiểu được chính sách nhóm(group policy) được thiết lập trong Windows XP, có bộ công cụ quản trị đầy

đủ các tính năng chạy trên Windows XP

- Tích hợp tính năng cơ bản của Mail Server: đối với các công ty nhỏkhông đủ chi phí mua Exchange để xây dựng Mail Server, có thể sử dụngdịch vụ POP3 và SMTP được tích hợp sẵn trong Windows Server 2003 đểlàm hệ thống mail đơn giản phục vụ cho công ty

- Cung cấp miễn phí hệ cơ sở dữ liệu thu gọn MSDE (MicrosoftDatabase Engine) được cắt xén từ SQL Server 2000 Tuy MSDE không cócông cụ quản trị nhưng nó giúp ích cho các công ty nhỏ triển khai được cácứng dụng liên quan đến cơ sở dữ liệu mà không phải tốn chi phí nhiều để muabản SQL Server

- NAT Traversal hỗ trợ IPSec là một cải tiến mới cho phép các máybên trong mạng nội bộ thực hiện các kết nối peer- to- peer đến các máy bênngoài internet, các thông tin được truyền giữa các máy này có thể được mãhóa hoàn toàn

- Bổ sung tính năng NetBIOS over TCP/IP cho dịch vụ RRAS (Routingand Remote Access) cho phép duyệt các máy tính trong mạng nhưng ở xathông qua công cụ Network Neughborhood.

- Active Directory 1.1 cho phép ủy quyền giữa các gốc rừng với nhauđồng thời việc backup dữ liệu của Active Directory cũng dễ dàng hơn

- Hỗ trợ công tác quản trị từ xa do Windows Server 2003 cải tiến RDP(Remote Desktop Protocol) có thể truyền trên đường truyền 40Kbps Webadmin giúp người dùng quản trị server từ xa thông qua dịch vụ web một cáchtrực quan và dễ dàng

3.3.2 Hướng dẫn cách cài đặt Window server 2003

Có nhiều cách cài đặt Windows Server 2003 như:

Thông thường nhất chúng ta vẫn dùng cách cài đặt từ đĩa CD/DVD.Sau đây là một số hình ảnh về việc cài đặt HĐH Windows Server 2003

Cho đĩa Windows Server 2003 vào ổ CD, cho máy boot từ ổ CD đầutiên, sau khi ấn một phím bất kì để boot từ CD, hệ thống sẽ load tất cả nhữngphần cứng có trên máy

Ấn Enter để tiếp tục cài đặt Các thực hiện đầy đủ các bước mà hệthống yêu cầu như đăng kí Lisence, chọn phân vùng để chứa bộ cài đặt, vàcác thông tin cần thiết khác…

Tiếp theo là đặt tên cho máy Server và password cho tài khoảnAdministrator

Sau đó ấn Next để hệ thống tiếp tục việc cài đặt Khi hệ thống cài đặtxong và khởi động lại máy một lần nữa là chúng ta hoàn thành việc cài đặtWindows Server 2003

3.3.3 Nâng cấp Domain cho Windows Server 2003

Thực hiện:

B1 Vào Start/ Run gõ: DCPOROMO

Hộp thoại xuất hiện chọn NEXT/NEXT để tạo Domain mới /NEXT

Nhập tên Domain của công ty Vispo (Domain: Vispro.com)/ NEXT

Các hộp thoại tiếp theo xuất hiện chọn NEXT/ NEXT/ NEXT

Nhập vào Password cho Administrator để Restore Domain khi Domainlỗi.chọn NEXT

Bảng tổng hợp các thiết lập Domain ở các bước trên, chọn NEXT đểquá trình lên DC cài đặt

Quá trình cài đặt thành công,chọn Finish, khởi động lại máy tính

3.3.4 Tạo các tài khoản Nhóm, người dùng (OU, User)

Trên máy tính Windows Server:

 Tạo OU (Nhóm người dùng)

Vào Start/ Run: gõ Dsa.msc

Hộp thoại xuất hiện cho chúng ta tạo Nhóm người dùng (OU):

Ở đây ta tạo Nhóm OU: Kinhdoanh

Nhập tên Nhóm người dùng cần tạo rồi chọn OK.Chúng ta đã tạo xong

OU tên là Kinhdoanh.Các OU khác tạo tương tự

 Tạo User (tài khoản người dùng)

Vào Start/ Run: gõ Dsa.msc

Xuất hiện hộp thoại ta thao tác như hình sau:

Chúng ta nhập thông tin vào hộp thoại rồi chọn NEXT

Hộp thoại tiếp theo xuất hiện ta nhập Mật khẩu đăng nhập cho tàikhoản, bỏ tích chọn ở mục User must change… để không yêu cầu thay đổimật khẩu ở lần đăng nhập đầu tiên cho mỗi User mình tạo ra

Chọn NEXT/ FINISH ta có một tài khoản cho người dùng.

Các tài khoản khác chúng ta thực hiện tương tự như trên

3.3.5 Cài đặt và Cấu hình DNS (Dịch vụ phân giải tên miền cho Máy chủ Miền)

 Cài đặt DNS

Vào Start\Setting\Control Panel\Add and Remove Program\Add and

Remove Windows Components\Networking Services

Quá trình cài đặt DNS trong vài phút là thành công.chọn Finish để kếtthúc cài đặt

 Cấu hình DNS

Start / Run gõ: dnsmgmt.msc - > hộp thoại xuất hiện, chúng ta cấu hình DNS

 Cấu hình Forward lookup zone (Truy vấn thuận)

Kích phải chuột Forward lookup zone chọn New zone

Chọn Primary zone vì đây là máy chủ DNS đầu tiên và cũng là vùng

truy vấn đảo đầu tiên Next /Next đến bước tiếp theo

Nhập tên Domain của công ty vào mục Zone name, chọn NEXT

Chọn NEXT/ FINISH để kết thúc.

 Cấu hình Reverlookup zone (Truy vấn đảo)

Chuột phải vào Reserver lookup zones chọn New zones

hiện ra của sổ wizard ấn NEXT/ NEXT đến cửa sổ Zones type chọnPrimary Zone /NEXT

Xuất hiện Wizard để chúng ta đặt địa chỉ Network ID cho truy vấnđảo, chỉ lớp NetID nào được đặt ở đây thì mới có thể truy vấn đảo và thôngthường thì NetID này trùng với NetID của truy vấn thuận và trùng với NetIDInterface của máy chủ miền Ở đây máy chủ có địa chỉ IP ở lớp B nên NetIDcủa zone em cũng đặt là lớp B

Chọn NEXT / NEXT ở các bước tiếp theo

Chọn FINISH để kết thúc

Sau đó để Cập nhật động cho DNS ta vào Run gõ: Cmd, xuất hiện hộp

thoại Command Dos ta gõ lệnh: Ipconfig /registerdns

Trong cửa sổ cmd.exe gõ tiếp Nslookup để kiểm tra DNS đã hoạt độngthành công.Phân giải từ tên máy chủ miền sang địa chỉ IP và ngược lại

Quá trình cấu hình DNS thành công

3.3.6 Cài đặt và Cấu hình DHCP (Dịch vụ cấp phát động địa chỉ IP cho Mạng)

 Cài đặt DHCP

Tương tự cài đặt DNS ta cài đặt DHCP như sau

Vào Start\Setting\Control Panel\Add and Remove Program\Add and

Remove Windows Components\Networking Services /click vào nút Detail và

đánh dấu chọn vào mục chọn Dynamic Host Configuration Protocol (DHCP)rồi ấn OK

Chọn OK/ NEXT / FINISH để kết thúc cài đặt

Name: Tên của phạm vi (scope)

Description: Mô tả tuỳ ý về phạm vi đang tạo Chọn Next

Nhập dải địa chỉ để cấp cho LAN, chọn NEXT

Start IP address: Địa chỉ IP bắt đầu của khoảng địa chỉ IP mà DHCP cóthể gán End IP address: Địa chỉ IP kết thúc của khoảng địa chỉ IP mà DHCP

có thể gán Length or Subnetmask: Mặt nạ mạng con dùng để gán cho các

Exclusion address range: Chỉ định khoảng địa chỉ mà chúng ta muốnloại bỏ khỏi pham vi đã tạo Những địa chỉ IP này sẽ không được gán cho cácDHCP của client.

Lease Duration: Chỉ định thời gian dành cho mỗi địa chỉ IP sẽ đượccấp cho máy khách Hết khoảng thời gian này các máy tính sẽ không đượccấp đại chỉ IP đó nữa Ở đây ta quy định thời gian tồn tại cho IP là 8 ngày.Chọn NEXT

Đến đây có hai lựa chọn, chọn Yes để chúng ta cấu hình ngay trongkhi tạo scope, chọn No để chúng ta cấu hình sau Chọn Yes và ấn NEXT đểtiếp tục.

Nhập vào địa chỉ của router hiện tại, đây chính là địa chỉ defaullgateway

Lựa chọn tiếp theo là đánh tên đầy đủ của domain, tên DNS server, địachỉ DNS server và các địa chỉ DNS khác mà máy tính có thể gửi truy vấn(thường là DNS của ISP) Ấn NEXT và ấn FINISH để kết thúc quá trình tạo

3.3.7 Xõy dựng Webserver cho cụng ty

Để xõy dựng WebServer ta cài đặt dịch vụ IIS tích hợp sẵn trong hệ

điều hành Windows server 2003

 Cài đặt

- Mở Add or Remove Programs Sau đó nhấn vào Add/RemoveWindows Components

- Di chuyển vệt sáng đến dòng Application Server à Nhấn vào Details

- Tiếp tục di chuyển vệt sáng đến dòng Internet Information Services(IIS) à Nhấn vào Details

- Đánh dấu vào Internet Information Manager và World Wide WebServices à OK.

- Nhấn OK à OK à Next để bắt đầu quá trình cài đặt IIS

- Nhấn Finish để kết thúc

 Kiểm tra dịch vụ

Tiếp đến chỳng ta Tạo trang Web với nội dung là “DAY LA WEBSITECUA VISPRO.COM, RAT HAN HANH KINH CHAO CAC BAN DEN VOIWEBSITE”

Có thể kiểm tra trên máy cài dịch vụ (Server)

- Mở Internet Explorer ra, gõ http://vispro.com/ (hoặc địa chỉ IP hoặctên miền) thì kết quả đều hiện ra như sau:

3.3.8 Join mỏy tớnh ISA,mỏy tớnh User vào Domain của cụng ty