GIỚI THIỆU FIREWALL ISA SERVER 2006
Giới thiệu về Firewall
Firewall, hay còn gọi là bức tường lửa, là một giải pháp bảo mật quan trọng giúp ngăn chặn truy cập trái phép từ hacker và bảo vệ thông tin Nó hoạt động như một bộ lọc, kiểm tra dữ liệu đi vào và ra khỏi máy tính, đảm bảo chỉ những gói dữ liệu hợp lệ được cho phép đi qua, trong khi loại bỏ tất cả các gói không hợp lệ Do đó, Firewall đóng vai trò thiết yếu trong việc bảo vệ hệ thống mạng.
2 Chức năng chính của Firewall
Kiểm soát nguồn thông tin giữa mạng Internet và máy tính
Cho phép hoặc không cho phép những dịch vụ truy cập từ hệ thống ra bên ngoài
Cho phép hoặc cấm những dịch vụ truy cập từ ngoài vào trong hệ thống
Chức năng theo dõi luồng dữ liệu mạng giữa Internet và máy tính kết nối mạng
Kiểm soát địa chỉ truy cập của người sử dụng và nội dung nhận được từ Internet
Chống lại những đợt truy cập bất hợp pháp của các hacker.
ISA Sever 2006
1 Giới thiệu về ISA Sever 2006
ISA Server 2006 hoạt động chủ yếu như một Firewall, với chức năng chính là bảo vệ hệ thống mạng Khi triển khai ISA Server 2006, mặc định nó sẽ chặn tất cả các giao dịch giữa các mạng trong hệ thống, đảm bảo an toàn cho dữ liệu và thông tin.
ISA Server 2006 được thiết kế chủ yếu để hoạt động như một tường lửa
ISA Server là công cụ quan trọng trong chiến lược bảo mật mạng của tổ chức, hoạt động tại điểm kết nối giữa mạng nội bộ và Internet Nó cho phép tổ chức áp dụng các chính sách bảo mật, cung cấp nhiều mức độ truy cập Internet cho người dùng Ngoài ra, ISA Server cũng hỗ trợ người dùng từ xa truy cập vào các máy chủ trong mạng của tổ chức.
2 Các đặc điểm của ISA Sever 2006
Cung cấp tính năng Multi-Networking cho phép thiết lập các chính sách truy cập dựa trên địa chỉ mạng, đồng thời thiết lập Firewall để lọc thông tin theo từng địa chỉ mạng con.
Chính sách mạng độc nhất theo từng mạng: Đặc điểm của multi-networking trong ISA giúp bảo vệ hệ thống mạng cục bộ bằng cách hạn chế quyền truy cập của các máy khách ra ngoài Internet Chỉ những máy khách bên ngoài mới được phép truy cập vào các server trên mạng ngoại vi, trong khi truy cập vào mạng nội bộ bị cấm.
- Stateful inspection of all traffic: cho phép giám sát tất cả các lưu lượng mạng
- NAT and Route network relationships: Cung cấp kĩ thuật NAT và định tuyến dữ liệu cho các mạng con
- Network template: Cung cấp các mô mẫu về một số kiến trúc mạng, kèm theo một số luật cần thiết cho các network template tương ứng
Bài viết này cung cấp những đặc điểm mới trong việc thiết lập mạng riêng ảo (VPN), bao gồm khả năng truy cập từ xa, ghi nhận log, và quản lý phiên cho từng VPN Server Nó cũng đề cập đến việc thiết lập chính sách truy cập cho từng VPN Client và tính năng tương thích với các hệ thống VPN khác.
- Cung cấp một số kĩ thuật bảo mật và thiết lập tường lửa cho hệ thống như Authentication, Publish Server
- Cung cấp một số kĩ thuật Cache thông minh để tăng tốc độ truy xuất mạng, giảm tải cho đường truyền, Web Proxy để chia sẻ cung cấp Web
- Cung cấp một số tính năng quản lý như: giám sát lưu lượng, reporting qua Web, export và import cấu hình từ XML
- Application Layer – Filtering (ALF): là một trong những đặc điểm mạnh của ISA Server 2006, không giống như packet filtering Firewall truyền thống
3 Các đặc tính của ISA Sever 2006
Access policy: xác định các giao thức và nội dung mà các client trong internal network được phép truy cập
VPNs : Mở rộng một mạng riêng bằng cách sử dụng các liên kết qua mạng chia sẻ hoặc mạng công cộng nhưInternet
Packet filtering :Điều khiển lưu lượng gói IP đến và từ adapter bên ngoài mạng ISA
Các bộ lọc ứng dụng cho phép thực hiện các giao thức cụ thể hoặc các tác vụ hệ thống như xác thực, nhằm cung cấp thêm một lớp bảo mật cho Firewall.
Real-time monitoring: giám sát thời gian thực cho phép bạn tập trung theo dõi ISA Server hoạt động, bao gồm các cảnh báo, phiên họp, và dịch vụ
Alerts: Thông báo cho bạn khi sự kiện cụ thể xảy ra và thực hiện hành động tương ứng
Reports : tóm tắt và phân tích hoạt động xảy ra trên một hoặc nhiều ISA server
4 Cách thức làm việc của ISA Sever 2006
ISA Server được phát triển nhằm bảo vệ vành đai mạng của tổ chức, thường nằm giữa mạng cục bộ (LAN) và mạng công cộng như Internet.
Sơ đồ hoạt động của ISA Sever
XÂY DỰNG VÀ TRIỂN KHAI ISA SEVER 2006 TRONG HỆ THỐNG MẠNG
Cài đặt dịch vụ ISA Sever 2006
1 Nâng cấp Sever lên domain controler
Domain Controller for a new domain: Tạo ra một Domain mới, Server hiện thời sẽ trở thành một domain controller đầu tiên trong domain mới này
Domain lựa chọn: Domain in a new forest: tạo một domain hoàn toàn mới trong một rừng mới
Hiện cửa sổ New Domain
Name, nhập vào tên domain cntt.com
Hệ thống sẽ lưu trữ cơ sở dữ liệu của Active Directory trên đĩa cứng, nơi chứa toàn bộ thông tin về tài nguyên của hệ thống.
Diagnostics Hệ thống kiểm tra cài đặt DNS, cài đặt DNS trên máy tính như một DNS server
Hệ thống yêu cầu đặt
Password, tiếp theo là tổng hợp những thông tin đã cấu hình Active Directory và tiến hành cài đặt Quá trình hệ thống bắt đâu lên domain
2 Cấu hình dịch vụ Domain Name System (DNS)
Cấu hình DNS để có thể phân giải địa chỉ IP 172.16.0.2 thành địa chỉ server.cntt.com và ngược lại Mở DNS trong Administrative Tools
Click chuột phải trên Reverse
Zone Next Cửa sổ Zone
Nếu máy server muốn là DNS chính, vì chưa có DNS nên chọn chính máy này là DNS chính
Chọn mục to all domain controllers in the Active directory domain cntt.com, click Next
Nhập địa chỉ IP là 172.16.0
Kết thúc quá trình click
Trên màn hình cửa sổ DNS right click vào cntt.com trong
New Host Nhập tên ở phần
Name, tên này chính là tên mà DNS dùng để phân giải,nhập IP address là
172.16.0.2 là địa chỉ của DNS máy server, add host
3 Cài đặt ISA server 2006 trên máy ISA Server
Bỏ đĩa ISA vào rồi chọn install
Chấp nhận License: Chấp nhận những yêu cầu mà nhà cung cấp dịch vụ đưa ra, click next để tiếp tục cài đặt
Cửa sổ tên đăng ký, tên tổ chức và Serial Number
Nhập vào dãy IP có quyền truy cập Internet, bao gồm cả IP của máy chủ
ISA yêu cầu tương thích giữa phiên bản ISA 2000 và ISA
2004 nếu máy tính đã cài đặt
Click next và cài đặt đến khi kết thúc
Khi ISA được cài đặt, nó sẽ chặn mọi yêu cầu "ping" từ các máy trong mạng đến máy đó Trong chính sách tường lửa của ISA, có một quy tắc mặc định không thể xóa được, gọi là "Last Default rule" Quy tắc này thực hiện hành động cấm đoán, ngăn chặn tất cả các hoạt động.
Triển khai dịch vụ ISA Sever 2006
1 Thiết lập các quy tắc trong ISA 2006
1.1 Tạo quy tắc mở các kết nối trong mạng nội bộ và Internet
B.2:Nhập vào mô tả tên rule : “alow web”
All outbound traffic, click Next
B.5: Trong “Access rule Source” chọn
B.6: Trong “Access rule Destinations” chọn External, local
B.7: chọn All Users, click Next
B.8 Kết thúc quá trình tạo rule, finish và áp dụng quy tắc vừa tạo
1.2 Join ISA server vào Domain controller
Mở 2 luật 17 và 18 trong ISA
Tạo rule mở cổng 143 để kết nối client đến dịch vụ Active
Chọn giao thức vừa tạo trong cửa sổ protocol, áp dụng quy tắc cho Internal, local host tới Internal, local host, cho tất cả các
Tiến hành Join domain máy ISA vào domain cntt.com
Truy cập từ các máy trong mạng vào địa chỉ 172.16.0.4 để cài
Firewall client cho các máy internal để chứng thực các User trên domain cho máy
1.3 Thiết lập quy tắc truy cập Internet (Access rule)
1.3.1 Tạo các User trong domain
User and Computer, tạo group ‘User’ gồm các User
-User : dung1, dung2 không thuộc nhóm nào
1.3.2 Cấm nhóm User truy cập Internet trong giờ làm việc
Tại ISA Managerment chọn Toolbox, All
New, nhập tên là ‘User group’
Tạo Rule mới để cấm nhóm User
Destinations:External áp dụng quy tắc cho nhóm User
Mở thuộc tính của quy tắc cấm, chọn tab
Schedule, chọn New để định nghĩa thời gian
1.3.3 Cấm hình ảnh với User ketoan
Tại ISA Managerment chọn Toolbox, click
Tìm đến ketoan Next, finish
-Destinations:External áp dụng quy tắc cho
Mở thuộc tính quy tắc cấm, tab ‘Content
Images và video để cấm hình ảnh, video
User kế toán, các trang web sẽ không có hình ảnh và các đoạn video
1.3.4 Cấm User truy cập vào trang bất kỳ
Cấm người dùng kỹ thuật truy cập vào trang http://vnexpress.net; khi cố gắng truy cập, họ sẽ được chuyển hướng đến trang http://google.com.vn Định nghĩa về người dùng kỹ thuật được nêu trong mục New.
Rule: deny express, truy cập vào thì chuyển qua trang tìm kiếm http://google.com.vn
ULR set nhập vào trang http://vnexpress.net
Add trang vnexpress vừa định nghĩa Áp dụng với User kythuat
Mở thuộc tính của luật cấm, chọn tab Action và nhập vào trang http://google.com.vn
2.1 Xây dựng máy chủ Web Sever
Website của công ty được đặt trên máy Domain controller
Conponents để cài đặt IIS Cài đặt xong nhấn Finish để kết thúc
Administrative tools, tạo một website mới trong mục Websites
Ip là địa chỉ webserver, cổng mặc định 80 dành cho giao thức HTTP,
HTTPS và tên miền website
Browse đến thư mục chứa website nắm trên Domain
Allow anonymous access to this Web
Mở web properties, add tệp chạy của trang web vào mục
Home Directory check vào mục
Khởi động DNS trong công cụ Quản trị, trong miền cntt.com, tạo một bản ghi alias và duyệt đến nguồn của host để phân giải tên miền thành địa chỉ IP.
Tại quy tắc Allow web đã tạo ở trên, add Internal thêm vào tab ‘to’ để cho phép máy web server có thể truy cập vào website
External để cho phép các máy bên ngoài
Internet có quyền truy cập vào máy chủ web server
DNS giúp cho các máy trong và ngoài có thể phân giải tên miền ra địa chỉ của webserver
Rule để tạo quy tắc
Nhập vào địa chỉ Ip của máy Web Server để publish ra ngoài, đồng thời là máy
Protocol lựa chọn giao thức DNS
Mục Listen request from these networks chọn External,
Internal, Local host để cho phép các máy trong các mạng có thể truy cập vào web server Finish
Tạo quy tắc publish web
Web Server và nhập vào tên quy tắc publish
Website Publich nhập vào địa chỉ IP của máy Web Server
Name Details khai báo tên miền truy cập vào mục Public name là ‘www.cntt.com,
ISA sẽ tự định nghĩa site trả lời các yêu cầu truy cập web
Cửa sổ Web listener tạo new listener là các máy bên ngoài
External, các máy trong Internal và máy
ISA) Các máy đều có thể truy cập Web
Server Chọn mặc định cổng 80 cho http, https
Trở về cửa sổ Web listener chọn card lắng nghe là listener vừa tạo Tiếp theo áp dụng publish cho tất cả các User
Trong ISA chọn nhánh Networks, di chuyển đến tab
Relationship chọn mối quan hệ giữa các mạng Internal và mạng External, click vào mục Router để máy ISA làm tuyến đường lưu thông
Sau khi publish web thì các máy trong mạng Internal và ngoài mạng External có thể truy cập website công ty bằng tên miền http://www.cntt.com
III VPN client to Gateway Để cấu hình VPN tiến hành cấp quyền truy cập từ xa cho các User domain
- Máy ISA Server dùng làm máy chủ VPN
- Máy Domain Controller dung để xác thực các User trong domain và cấp quyền truy cập từ xa cho User
- Cấp quyền cho các User : ketoan, kinhte, kythuat, dung1, dung2, dung3, dung4
1 Cấp quyền kết nối từ xa cho Use
Trong domain cntt.com mở thuộc tính của các
User chọn tab Dial-in
Click chọn Allow access để cấp quyền cho
2 Tạo các quy tắc cho phép tạo đường kết nối ảo VPN
Trong cửa sổ quản lý
Access Rules để tạo quy
Trong cửa sổ Action chọn hành động cho phép
Cửa sổ protocol cho phép người dùng chọn các giao thức trong mục VPN và IPSec, tạo ra đường truyền ảo cho kết nối Quy tắc FTP được áp dụng cho các máy tính, cho phép truyền dữ liệu từ trong ra ngoài và từ ngoài vào trong.
Thiết lập quy tắc và áp dụng cho tất cả các User trong do main cntt.com
3 Cấu hình Vitual private networks
Tại cửa sổ quản lý ISA chọn Vitual Private
Networks, chọn tab tasks và Enable VPN
Access để thiết lập các thông số cho VPN client Màn hình VPN
Client Properties xuất hiện, lựa chọn số client có thể kết nối
Trong thẻ Protocols, click chọn 2 giao thức
PPTP, L2TP là 2 giao thức kết nối VPN từ điểm tới điểm với độ an toàn khác nhau
Trên thẻ tasks, trong mục Generel VPN configuration chọn
Networks, lựa chọn lớp mạng có quyền kết nối
Address Assignment, đánh dấu vào Static address pool, Add nhập vào dải địa chỉ , VNP
Server sẽ cấp phát IP cho VPN Server và
VPN client trong dải địa chỉ này để tạo một đường mạng ảo, Apply
Tạo rules VPN cho phép sau khi kết nối với VPN Server thì
VPN client có quyền truy xuất dữ liệu trong mạng nội bộ
Add vào VNP Client, máy nguồn truy cập
VPN là các máy tính trong mạng Internal
4 Tạo kết nối trên máy VPN client
VPN Client, click chọn mục Create a new connection để tạo một
Connect to the network at my workplace cho kết nối VPN, click Next
Network Connection chọn Virtual Private
Nhập tên của kết nối là
VPN connection, nhập vào địa chỉ IP của máy
VPN Server, ở đây là địa chỉ card External của máy ISA Server
Availability chọn ‘My use only’ Click Finish để kết thúc quá trình tạo kết nối
Khi tiến hành kết nối
VNP, hệ thống yêu cầu nhâp User và password được cấp phép kết nối
VPN, nhập vào User name, password, click
Khi kết nối đã thành công, trong cửa sổ trạng thái kết nối chứa các thông số kết nối Địa chỉ IP được cấp phát trong dải đã định
Sau khi kết nối VPN từ bất kỳ máy VNP Client nào trên Internet, người dùng có thể truy cập dữ liệu trong mạng nội bộ một cách tương tự như khi truy xuất trong mạng nội bộ.
CHƯƠNG III: PHÁT HIỆN SỰ XÂM NHẬP BẤT HỢP PHÁP
Khi mạng của chúng ta đã được cấu hình thành công với ISA Server, một hacker từ bên ngoài có thể tấn công bằng cách dò tìm các cổng mở và khai thác lỗ hổng trên các cổng đó Nếu không có ISA Server, chúng ta sẽ không nhận biết được sự nguy hiểm này Bài viết này sẽ khám phá tính năng Intrusion Detection của ISA Server, giúp phát hiện các cuộc tấn công từ bên ngoài vào hệ thống mạng của chúng ta Để bắt đầu, hãy mở chương trình ISA Server, chọn mục Configuration và tiếp theo là General.
Tiếp tục nhấp chọn liên kết Enable Intrusion Detection and DNS Attack Detection
Mặc định ISA Server đã Enable một số tính năng trong Intrusion
Tại màn hình ISA Server bật Monitoring lên chọn tiếp Tab Logging và chọn Start Query để theo dõi giám sát toàn bộ hoạt động của hệ thống mạng
Trong này ISA sẽ ghi nhận lại toàn bộ các truy cập ra vào hệ thống mạng chúng ta một cách chi tiết
Bây giờ tại máy Client tôi cài đặt một chương trình có tính năng Scan các Port đã mở trên ISA Server đó là SuperScan 4.0
Chọn Tab Host and Service Discovery bỏ chọn Host Discovery đi
Trở lại máy ISA Server bật lại Logging sẽ thấy các truy cập từ máy Client vào mạng chúng ta
Màn hình Logging của ISA Server có thể quá dài dòng và rối rắm, khiến quản trị mạng không thể theo dõi từng dòng lệnh Do đó, việc cấu hình cảnh báo tự động là cần thiết, cho phép ISA Server gửi email cho quản trị viên khi phát hiện xâm nhập bất hợp pháp vào hệ thống mạng.
Chọn Tab Alerts chọn tiếp link Configure Alert Definitions
Trong cửa sổ Alert Properties chọn tiếp Intrusion Detected và nhấp Edit
Kết luận, đề tài “Triển khai ISA Firewall cho hệ thống mạng doanh nghiệp” đã nghiên cứu các giải pháp bảo mật mạng và thực hiện các dịch vụ trên nền tảng ISA Server 2004, nhằm bảo vệ tài nguyên hệ thống và ngăn chặn xâm nhập từ bên ngoài.
Trong bài viết này, tôi đã triển khai hệ thống Firewall cho mạng doanh nghiệp, thực hiện cài đặt và cấu hình các yếu tố cần thiết để nâng cao bảo mật cho hệ thống Mục tiêu là ngăn chặn quyền truy cập không mong muốn từ bên ngoài vào bên trong và ngược lại, giúp doanh nghiệp kiểm soát hoạt động của nhân viên trong giờ làm việc.
Mặc dù đã cấu hình hầu hết các dịch vụ của ISA Server, vẫn còn một số dịch vụ như lọc ứng dụng, lọc web và kích hoạt caching mà tôi chưa triển khai được.
Thông qua đề tài đồ án tốt nghiệp, em đã củng cố kiến thức đã học và nhận thấy tầm quan trọng của mạng máy tính cũng như việc bảo mật hệ thống mạng trong thời đại hiện nay.
Em xin chân thành cảm ơn ThS Nguyễn Quang Ninh cùng các thầy cô trong khoa công nghệ thông tin, cũng như các bạn đã hỗ trợ em trong quá trình hoàn thành đồ án này.
CHƯƠNG I: GIỚI THIỆU FIREWALL ISA SERVER 2006 3
2 Chức năng chính của Firewal 3
1 Giới thiệu về ISA Sever 2006 3
2 Các đặc điểm của ISA Sever 2006 4
3 Các đặc tính của ISA Sever 2006 5
4 Cách thức làm việc của ISA Sever 2006 5
CHƯƠNG II: XÂY DỰNG VÀ TRIỂN KHAI ISA SEVER 2006 TRONG HỆ THỐNG MẠNG ….7
I Cài đặt dịch vụ ISA Sever 2006 8
1 Nâng cấp Sever lên domain controler 8
2 Cấu hình dịch vụ Domain Name System (DNS) 11
3 Cài đặt ISA server 2006 trên máy ISA Server 12
II Triển khai dịch vụ ISA Sever 2006 14
1 Thiết lập các quy tắc trong ISA 2006 14
1.1 Tạo quy tắc mở các kết nối trong mạng nội bộ và Internet 14
1.2 Join ISA server vào Domain controller 16
1.3 Thiết lập quy tắc truy cập Internet (Access rule) 19
2.1 Xây dựng máy chủ Web Sever 23