ISA
Chia sẻ bởi Nguyễn Đăng Khoa |
Ngày 29/04/2019 |
69
Chia sẻ tài liệu: ISA thuộc Bài giảng khác
Nội dung tài liệu:
Microsoft Certified Professional
MCSA on Microsoft Windows Server 2003
Cấu hình ISA Server 2004
Cấu hình ISA Server 2004
Buổi 1:
1. Căn bản về bảo mật mạng
2. Giới thiệu ISA Server 2004
Buổi 2:
3. Cài đặt ISA Server 2004
4. Cài đặt Microsoft ISA Server 2004 như một Firewall Edge
Buổi 3:
5. Bảo mật ISA Server 2004
6. Publishing Resources được bảo vệ bởi ISA Server 2004
Buổi 4:
7. Hiện thực Clients
8. Hiện thực ISA Server như một Proxy Caching
Buổi 5:
9. Configuring Network Infrastructure Services trong ISA Server 2004
Cấu hình ISA Server 2004 (cont.)
Buổi 6:
10. Cấu hình ISA Server 2004 như một VPN Server
Buổi 7:
11. Hiện thực Security and Administration
Buổi 8:
12. Giám sát ISA Server
13. Cấu hình ISA Server chống lại các lưu thông mạng không mong muốn
Buổi 9:
14. Bài tập 1
Buổi 10:
15. Bài tập 2 + Kiểm tra cuối khóa
Buổi 1:
1. Căn bản về bảo mật mạng
2. Giới thiệu ISA Server 2004
1. Căn bản về bảo mật mạng
1.1. Sự cần thiết phải bảo mật mạng
1.2. Cơ chế và chính sách bảo mật mạng
1.3. Tấn công hệ thống và cách đối phó
1.1. Sự cần thiết phải bảo mật mạng
Ngăn không cho người không được quyền truy cập, thay đổi, và xóa thông tin
Bảo về các nguồn tài nguyên trước các cuộc tấn công trên mạng
Bảo vệ hệ thống máy tính trước virus
1.2. Cơ chế và chính sách bảo mật mạng
Sắp đặt chướng ngại vật
Sắp đặt chướng ngại vật xung quanh khu vực mạng cần được bảo vệ. Ví dụ, giữa hệ thống mạng Internal của tổ chức với mạng Internet hay hệ thống tài chính của tổ chức
Các chướng ngại vật có thể ngăn lưu thông không được phép hay giới hạn các user có thể và không thể truy cập phần nào mạng
Theo dõi truy cập (Logging)
Cơ chế này bao gồm ghi nhận tất cả các truy cập tới chướng ngại vật giữa các mạng, bao gồm các yêu cầu được phép và không được phép
1.2. Cơ chế và chính sách bảo mật mạng (tt.)
Nếu một cuộc tấn công thông thường từ bên trong tổ chức, nó sẽ rất khó lần ra vì người dùng bên trong có thể che dấu hành động của họ bên trong các việc thông thường. Log có thể được dùng để theo dấu nguồn của một cuộc tấn công và sau đó có thể dùng như một tình huống phạm tội
Cách sử dụng băng thông
Một điểm tiện lợi của việc cài đặt chướng ngại vật bảo vệ là một lượng lớn băng thông có thể được giới hạn. Điều này thuận lợi cho hiệu suất mạng. Nó cũng tiện lợi về mặt tài chính cho tổ chức cho việc truy cập mạng tính trên đơn vị băng thông
1.3. Tấn công hệ thống và cách đối phó
Các cuộc tấn công từ bên ngoài
Internet là nơi ẩn náu cho ai muốn gây ảnh hưởng xấu đến các tổ chức hoặc đánh cấp bí mật để tạo lợi thế so với đối thủ cạnh tranh
Bằng cách kết nối Internet, bộ mặt của tổ chức có thể bị tổn hại bởi nhiều cá nhân với nhiều mục đích khác nhau, bao gồm:
Chứng minh sự hiểu biết của mình và sự nể sợ của nạn nhân bằng cách cho nạn nhân biết kẻ tấn công đang điều khiển môi trường mạng của họ
1.3. Tấn công hệ thống và cách đối phó (tt.)
Đánh cấp thông tin, có thể được thực hiện bằng nhiều cách. Ví dụ, dùng phần mềm theo dõi mạng (spyware) có thể được dùng để thu thập thông tin cá nhân từ thông tin hệ thống để phá hủy bí mật khách hàng của một tổ chức
Dùng máy tính khác để thực hiện tấn công, làm cho khó truy lùng thủ phạm hơn
Ngăn chặn truy cập thông tin bằng cách tấn công Denial-of-Service
Dùng băng thông của các kết nối có tốc độ cao hơn để thực hiện tấn công DDoS đối với các tổ chức lớn
Chống đối tổ chức hoặc bày tỏ quan điểm chính trị thông qua các hành động này
1.3. Tấn công hệ thống và cách đối phó (tt.)
Các kết nối của nhiều gia đình và các doanh nghiệp nhỏ không được cấu hình bảo mật tốt có thể được dùng bởi kẻ xấu trên mạng Internet. Nếu kẻ tấn công có thể dễ dàng truy cập một lượng lớn các kết nối tốc độ cao, họ có thể thực hiện cuộc tấn công với bất kỳ tổ chức nào trong khi vẫn làm cho rất khó để lần ra nguồn của cuộc tấn
Các cuộc tấn công từ bên trong
Bên cạnh việc bảo vệ các cuộc tấn công từ bên ngoài dựa trên Internet, thông tin nhạy cảm phải được bảo vệ trước những người dùng bên trong mạng của tổ chức. Các thông tin nhạy cảm của tổ chức nên được bảo vệ trước một số người nào đó bên trong mạng công ty, bao gồm những người làm công, và cả những đại lý, nhà thầu, và các khách hàng
1.3. Tấn công hệ thống và cách đối phó (tt.)
Ví dụ, các thông tin nhạy cảm bao gồm:
Tiền lương
Phụ cấp
Bí mật cá nhân
Các kế hoạch tài chính trong tương lai
Không tổ chức nào được đánh giá thấp rủi ro trước những thông tin nhạy cảm không được bảo vệ. Kẻ tấn công, có thể từ bên ngoài hay bên trong mạng, có thể tạo ra nhiều mối đe dọa khác nhau, tuy nhiên, ở đây ta chỉ bàn đến những mối đe dọa mà tường lửa có khả năng giảm bớt được
1.3. Tấn công hệ thống và cách đối phó (tt.)
Các mối đe dọa từ sự xâm nhập
Các mối đe dọa từ sự xâm nhập có thể có nhiều dạng. Một số dạng xâm nhập như thực hiện việc ping tới địa chỉ server, trông có vẻ vô hại, nhưng một khi đã biết được sự có mặt của server, hacker có thể thực hiện các kiểu tấn công nguy hiểm khác. Nói cách khác, mọi sự xâm nhập đều ẩn chứa sự nguy cơ trong đó. Nó có thể là việc truy cập tài liệu nhưng không thay đổi chúng, nhưng dữ liệu có thể mang tính bí mật và hữu ích cho đối thủ cạnh tranh hay những nhân viên bất mãn với công ty. Vài sự xâm nhập khác thực hiện việc thay đổi hệ thống – như thay đổi giao diện trang web, hay làm sai cơ sở dữ liệu – trong khi một số khác có thể làm sập hệ thống
1.3. Tấn công hệ thống và cách đối phó (tt.)
Packet Sniffers – (Đánh hơi các gói)
Một packet sniffer là một phần mềm ứng dụng hay một thiết bị phần cứng được nối vào hệ thống mạng LAN và sẽ thu thập các thông tin từ Ehternet frame. Cách xâm nhập này bắt nguồn từ việc các hệ thống được xử lý sự cố và phân tích các lưu thông trong mạng bằng cách giám sát Ethernet frame và đi sâu vào trong từng Ehternet frame để xem xét từng gói IP một. Sniffer là một kiểu tấn công dự vào ngẫu nhiên, nó sẽ lắng nghe mọi packet trên mạng. Nhiều ứng dụng, như Telnet, Simple Mail Transfer Protocol (SMTP), và File Transfer Protocol (FTP) gởi thông tin username và password dưới dạng ký tự rõ ràng và có thể được hiển thị trong các chương trình snifffer. Khi nhận ra user dùng cùng username và password cho các ứng dụng khác,hacker có thể cấp quyền truy cập vào các ứng dụng đó bằng username và password đã được giải mã
1.3. Tấn công hệ thống và cách đối phó (tt.)
Sniffing không thể bị loại trừ, tuy nhiên ta có thể giới hạn nó bằng một số cách. Vì sniff khó bị phát hiện, ta có thể giới hạn các giá trị của bất kỳ thông tin nào có thể được đọc, bằng cách:
Xác thực - dùng một cơ chế xác thực mạnh, chẳng hạn như hệ thống password một lần (one-time password system) (như xác thực Challenge Handsake Authentication Protocol (CHAP) hay MS-CHAP) hoặc dùng một token card (thẻ mật mã). Sniffer có thể thấy password, nhưng không thể biết được ngay tức thì, vì chúng đã được mã hóa
1.3. Tấn công hệ thống và cách đối phó (tt.)
Hạ tầng chuyển mạch (Switch Infrastructure) – nếu phần cứng chuyển mạch được sử dụng, một sniffer chỉ được thấy data frame trên port bị tấn công. Nó cũng có thể thấy được các lưu thông quảng bá (broadcast traffic) và thông tin port flooding (quá tải thông tin qua port) mặc dù chúng được giới hạn dùng. Thực hiện chia VLAN cũng có thể giới hạn việc truy cập thông tin
Các công cụ anti-sniffer – một số sản phẩm phần mềm của nhà sản xuất thứ ba có thể phát hiện bất kỳ sự kiện bất thường nào khi sniffer hoạt động
1.3. Tấn công hệ thống và cách đối phó (tt.)
Cryptography (mật mã) – một cách khác là mã hóa mọi dữ liệu trên mạng, ví dụ, thông qua việc sử dụng Internet Protocol Security (IPSec), sniffer vẫn có thể thấy dữ liệu, nhưng không thể đọc nó và sử dụng nó sau đó
1.3. Tấn công hệ thống và cách đối phó (tt.)
IP Spoofing (đánh lừa IP)
IP Spoofing xảy ra khi địa chỉ IP đích của một packet bị thay đổi để che giấu nhận dạng của người gởi. Vì cơ chế định tuyến trên Internet chỉ sử dụng địa chỉ đích để gởi dữ liệu dựa vào đó mà không cần biết nó đến từ đâu. Spoofing không dẫn đến phá hủy hệ thống, nhưng nó báo hiệu một cuộc xâm nhập. Địa chỉ có thể từ bên ngoài mạng (để che giấu nhận dạng của người xâm nhập) hoặc có thể là địa chỉ được tin cậy bên trong mạng của công ty với quyền truy cập bí mật. Spoofing là một dạng điển hình của kiểu tấn công Denial-of-Service (DoS). Ta có thể ngăn IP Spoofing bằng một hoặc nhiều cơ chế:
1.3. Tấn công hệ thống và cách đối phó (tt.)
Điều khiển truy cập – từ chối truy cập đối với các packet đến từ Internet có địa chỉ nguồn là địa chỉ trong mạng nội bộ
RFC 2827 Filtering (bộ lọc RFC 2827) – Cần chắc rằng không có IP Spoofing hoạt động trên lưu thông đi ra ngoài. Các spoof packet phải bắt nguồn từ ai đó trên mạng. Phải chắc rằng mạng của không được dùng cho spoofing
Vì vậy, ta cần chặn tất cả các lưu thông đi ra từ mạng của ta mà lại không có địa chỉ nguồn, điều này có thể thực hiện thông qua cơ chế Access Control List (ACL – danh sách điều khiển truy cập) trên bộ định tuyến để chặn bất kỳ lưu thông nào lưu thông nào có địa chỉ nguồn không phải không phải do mạng của ta cấp. ISP của ta có thể chặn các lưu thông giả mạo từ mạng của ta bằng cách kiểm tra địa chỉ nguồn có thuộc về mạng của ta hay không. Lọc các lưu thông đi ra không lợi ích gì cho ta, nhưng có thể ngăn các cuộc tấn công spoofing trên mạng của ta
1.3. Tấn công hệ thống và cách đối phó (tt.)
Tấn công Denial-of-Service (từ chối dịch vụ)
Tấn công DoS là một trong những kiểu tấn công khá chặn nhất. Tấn công DoS có rất nhiều dạng khác nhau và nó không là nguyên nhân gây tổn hại lâu dài đối với mạng của ta; thay vào đó, nó sẽ cố gắng dừng một số chức năng của mạng bằng cách tấn công dồn dập vào một máy tính nào đó (một server hay một thiết bị mạng nào đó)
Tấn công DoS rất dễ thực hiện. Ví dụ, một máy tính hay một thiết bị trên mạng của ta có thể gởi một lệnh ping, nó sẽ được trả lời về 5 gói tin, không làm ảnh hưởng gì đến liên kết mạng. Nếu lệnh ping yêu cầu 4 triệu gói tin trả về, liên kết mạng của ta có thể bị sụp đổ (người gởi cũng có thể bị sụp theo, để tránh điều này, người gởi thường giả mạo địa chỉ nguồn tới một địa chỉ của ai đó làm cho họ bị sụp đổ theo)
1.3. Tấn công hệ thống và cách đối phó (tt.)
Có rất nhiều kiểu tấn công DoS, chủ yếu dựa vào điểm yếu trong thiết kế của giao thức TCP/IP, như quá tải lưu thông và khóa các port lại để không kết nối nào được thực hiện tiếp. Trong một ví dụ lớn hơn của kiểu tấn công DoS được thực hiện từ nhiều máy cùng lúc. Ví dụ, hacker có thể gởi một gói ping giả mạo tới nhiều máy và yêu cầu một lượng lớn gói tin trả lời lệnh ping đó tới hệ thống mạng của ta. Nếu mạng trả lời các yêu cầu này, hệ thống sẽ bị sụp đổ và làm nghẽn mạng. Loại tấn công này còn được biết với tên gọi Distributed Denial-of-Service (DDoS)
1.3. Tấn công hệ thống và cách đối phó (tt.)
Tấn công DoS rất khó chống vì hầu hết chúng bắt nguồn từ nhiều vùng mạng khác nhau, các phương thức phòng chống sau có thể được dùng:
Anti-spoof – hiện thực các tính năng anti-spoof trên bộ định tuyến và tường lửa, như phớt lờ các lệnh ping từ Internet và kiểm tra địa chỉ nguồn của nguồn của gói tin có phải là do ta cấp hay không
Anti-DoS – cấu hình các tính năng trên bộ định tuyến và tường lửa để giới hạn một nữa số kết nối được phép mở ra trong cùng một thời điểm, đặc biệt là trên router biên
1.3. Tấn công hệ thống và cách đối phó (tt.)
Giới hạn tầng xuất lưu thông mạng – liên hệ với ISP để xem họ có thể giới hạn một lượng lớn các lưu thông không cần thiết để có thể nhận vào thời điểm khác
1.3. Tấn công hệ thống và cách đối phó (tt.)
Các tấn công ở lớp Application
Các tấn công ở lớp Application thường là dạng tấn công được công khai, thường lợi dụng khai tác các điểm yếu thông dụng trong chương trình, chẳng hạn như Web server và server cơ sở dữ liệu. Vấn đề là các server này được thiết kế để có thể được truy cập từ các người dùng công cộng, những người mà ta không biết họ là ai, và họ không thể tin cậy được. Hầu hết các cuộc tấn công đều nhằm vào các điểm yếu đã được biết của sản phẩm
1.3. Tấn công hệ thống và cách đối phó (tt.)
Network Reconnaissance (do thám mạng)
Do thám mạng là dò các mạng để tìm các địa chỉ IP có giá trị, DNS name, và IP port trước khi thực hiện tấn công. Do thám mạng bản thân nó không nguy hại gì, nhưng khám phá các địa chỉ được dùng có thể giúp ai đó thực hiện tấn công. Xem log (nhật ký) trên tường lửa ta có thể thấy được hầu hết các cuộc xâm nhập kiểu này.Điển hình như dò các lắng nghe TCP và UDP port…
1.3. Tấn công hệ thống và cách đối phó (tt.)
Virus và Trojan Horse
Virus là một dạng của tấn công xâm nhập trên một máy tính hay một server có thể gây ra các hậu quả khác nhau, bao gồm việc làm sai lạc hay làm ngập lụt hệ thống bằng vào cách khác nhau. Hầu hết các virus thông dụng lây lan qua e-mail sau đó nó sẽ gởi chính nó cho các member trong address book của ta.
Trojan Horse là một dạng virus có thể xuất hiện để thực hiện các việc không nguy hiễm, nhưng nó có thể cư trú trong hệ thống cho phép hacker khai thác từ xa trong một thời gian dài. Kiểm tra log của tường lửa sẽ thấy các cuộc thăm dò thường xuyên của hacker trên hệ thống của ta
2. Giới thiệu ISA Server 2004
2.1. Firewall là gì?
2.2. Firewall không thể làm gì ?
2.3. Các tính năng của Firewall hiện đại
2.4. Các lớp Firewall
2.5. Mô hình kiến trúc Firewall
2.1. Firewall là gì?
Firewall là một bộ điều khiển các điểm truy cập cho tất cả các lưu thông đi vào và đi ra mạng nội bộ
2.2. Firewall không thể làm gì ?
Một firewall không thể bảo vệ mạng trước trước các mối đe dọa từ bên trong mạng nội bộ
Firewall không thể bảo vệ mạng chống lại virus
Firewall không thể bảo vệ các cuộc tấn công vào mạng không đi qua firewall
2.3. Các tính năng của Firewall hiện đại
Tùy vào tính năng mà firewall hỗ trợ, lưu thông được phép và bị chặng bằng nhiều kỹ thuật khác nhau. Các kỹ thuật này tùy vào khả năng bảo vệ của firewall
Lọc các gói tin đi vào card mạng
Static packet filter (bộ lọc gói tĩnh)
Network Address Translation (NAT – chuyển đổi địa chỉ mạng)
Stateful inspection (kiểm tra trạng thái kết nối)
Circuit-level inspection
Application layer filtering (lọc ở lớp ứng dụng)
3.4. Các lớp Firewall
Persional firewall
Router firewall
Low-end hardware firewall
High-end hardware firewall
Server firewall
2.5. Mô hình kiến trúc Firewall
Tùy thuộc vào yêu cầu của tổ chức, và để giảm nhẹ điểm yếu của nó, firewall có khả năng được triển khai tùy theo thiết kết của hệ thống, bao gồm:
Single-tier egress và ingress
Tow-tier
Multi-tier
Buổi 2
3. Cài đặt ISA Server 2004
4. Cài đặt Microsoft ISA Server 2004 như một Firewall Edge
3. Cài đặt ISA Server 2004
3.1. Yêu cầu phần cứng
3.2. Tiến trình cài đặt
3.3. Dừng và tắt các dịch vụ
3.4. Khả năng phát triển
3.5. Tạo một Share Folder để cài đặt Firewall Client
3.6. Các cài đặt mặc định
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy
3.1. Yêu cầu phần cứng
3.1. Yêu cầu phần cứng (tt.)
CPU 550 MHz hoặc cao hơn
Hệ điều hành Microsoft Windows Server 2003 hay Windows 2000 Server
RAM 256 MB
Card mạng cho LAN
Card mạng cho các mạng sẽ kết nối đến
Đĩa cứng định dạng NTFS, trống ít nhất 150 MB
3.2. Tiến trình cài đặt
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.3. Dừng và tắt các dịch vụ
Trong tiến trình cài đặt, các dịch vụ sau sẽ được tắt đi:
Internet Connection Firewall or Internet Connection Sharing
IP Network Address Translation
Các dịch vụ sau sẽ được dừng lại:
SNMP
FTP Publish service
Network News Transfer Protocol (NNTP)
IIS Admin service
World Wide Web Publishing service
3.4. Khả năng phát triển
Để xác định phần cứng cần thiết cho một ISA server, cần trả lời các câu hỏi sau:
1. Cần bao nhiêu bộ vi xử lý, và loại vi xử lý nào được yêu cầu ?
2. Cần bao nhiêu RAM và không gian đĩa cứng còn trống, và bao nhiêu card mạng được yêu cầu ?
3. Băng thông cho kết nối Internet nên dùng bao nhiêu ?
3.5. Tạo một Share Folder để cài đặt Firewall Client
Khi ta cài đặt Firewall Client share, một system policy rule có tên Allow access to firewall client to trusted computer được tạo ra, cho phép các client trong mạng nội bộ có thể truy cập thư mục chia sẻ. Quy tắc này cho phép các client cài đặt phần mềm từ thư mục chia sẻ.
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.6. Các cài đặt mặc định
Sau khi cài đặt, ISA Server 2004 dùng các cài đặt mat95 định sau:
User permission – các member của group administrators trên local computer mới có thể cấu hình chính sách firewall
Internal Network – Internal Network chứa các mục được chỉ định trong quá trình cài đặt
Network Settings – các network rule được tạo ra:
Local Host Access – Định nghĩa đường đi giữa mạng Local Host và các mạng khác. Quy tắc này định nghĩa mối quan hệ giữa một mạng với các mạng khác, được cần bởi các dịch vụ chạy trên ISA Server
3.6. Các cài đặt mặc định (tt.)
Internet Access – định nghĩa một Network Address Translation (NAT) của mạng liên quan từ Internal Network, Quanrantines VPN Clients network, và VPN Clients netwok với External Network. Việc truy cập chỉ được phép khi ta cấu hình chính sách truy cập thích hợp
VPN Client to Intenal Network – Định nghĩa đường đi giữa VPN Client network và Internal network. Truy cập chỉ được phép khi ta bật Virtual Private Network (VPN) Client access
3.6. Các cài đặt mặc định (tt.)
Firewall Policy (chính sách tường lửa)
Một default rule (tên Default Rule) ngăn lưu thông giữa các mạng
System Policy (chính sách hệ thống)
Theo mặc định ISA Server được bảo vệ trong khi cho phép một vài dịch vụ để thực hiện các tính năng của nó. Trong lúc cài đặt, vài system policy rule được bật cho phép các dịch vụ cần thiết chạy
Web chaining
Một default rule (có tên là Defult Rule) chỉ ra tất cả các Web Proxy client yêu cầu được lấy về trực tiếp từ Internet
3.6. Các cài đặt mặc định (tt.)
Caching
Độ lớn của cache được đặt là 0. Mọi lưu trữ trước đó đều bị xóa đi
Alerts (cảnh báo)
Hầu hết các cảnh báo đều được bật
Client Configuration (cấu hình client)
Khi được cài đặt và được cấu hình, Firewall và Web Proxy Client sẽ tự động được bật. Ứng dụng Web trên Firewall client được cấu hình khi Firewall client được cài đặt
3.6. Các cài đặt mặc định (tt.)
3.6. Các cài đặt mặc định (tt.)
Internal Network
3.6. Các cài đặt mặc định (tt.)
Network Settings
3.6. Các cài đặt mặc định (tt.)
Firewall Policy (chính sách tường lửa)
3.6. Các cài đặt mặc định (tt.)
System Policy (chính sách hệ thống)
3.6. Các cài đặt mặc định (tt.)
Web chaining
3.6. Các cài đặt mặc định (tt.)
Caching
3.6. Các cài đặt mặc định (tt.)
Alerts (cảnh báo)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy
Áp dụng một Network Template
ISA Server bao gồm một số Network Template được định nghĩa sẵn để dùng cho các mô hình mạng thông dụng. Khi cài đặt ISA Server trên một máy tính có một card mạng ta nên cấu hình ISA Server Single Network Adater network template
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình forward Web Proxy và Caching – cấu hình forward Web Proxy và Caching bao gồm các bước sau:
Cấu hình Client Proxy settings. Cấu hình Web Proxy settings trên trình duyệt web của client trỏ tới ISA Server hoặc dùng cấu hình tự động
Cấu hình Internal Network lắng nghe yêu cầu từ Web Proxy client
Cấu hình chứng thực trên Internal Network. Để chắc rằng yêu cầu xuất phát Web Proxy client đã được chứng thực, ta có thể chọn cấu hình chứng thực trên network, hay trên một access rule được chỉ định. Nếu ta chọn Require all user to authenticate trong Internal Network properties, sẽ xảy ra các trường hợp sau:
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Tất cả các user phải được chứng thực, không cho phép các yêu cầu từ người dùng nặc danh (anonymous)
ISA Server luôn hỏi quyền hạn của user trước khi kiểm tra access rule. Nếu Require all users to authenticate không được bật, quyền hạn của client chỉ được gởi yêu cầu nếu chứng thực của client thỏa giá trị của một access rule
Bật Caching. Nếu muốn bật Caching cho Web, bật caching trên Server bằng cách cấu hình Cache Size lớn hơn 0, sau đó cấu hình Cache Rule duy trì thường xuyên các đối tượng Web được yêu cầu luôn sẵn sàng trong cache cho các yêu cầu của client
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình Cache Rule. Cài đặt cache rule để chỉ định đối tượng nào được cache và cách mà chúng được cấp cho client. Trước khi ISA thực hiện một yêu cầu tới Internet, nó sẽ kiểm tra xem đối tượng được yêu cầu đã có sẵn trong cache chưa và cung cấp nó cho user nếu đối tượng đó phù hợp với Cache Rule
Cấu hình Access Rule. Trước khi áp đặt Single Network Adapter template, chỉ có một access rule từ chối truy cập với tất cả các network. Mặc dù tất cả địa chỉ IP được nhận ra là một phần của Internal Network trong một card mạng, các yêu cầu của client bị từ chối bởi rule mặc định này. Cài đặt access rule để cho phép web client sử dụng HTTP, HTTPS và FTP nếu cần. Source và destination network trong rule phải được đặt là Internal
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình client proxy setting (Internet Explorer)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình Internal Network lắng nghe các yêu cầu từ Web Proxy client
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình xác thực trên Internal Network
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình Caching
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình Cache Rule
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình Access Rule
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
4. Cài đặt Microsoft ISA Server 2004 như một Firewall Edge
Cài đặt ISA Server như một Firewall Edge để:
Chặn mọi lưu thông từ Internet không được phép
Xuất bản Internal Server, như Web Server
Cung cấp VPN Gateway cho remote user
Cung cấp proxy và caching service
Cài đặt ISA Server như một Firewall Edge, ISA Server là một điểm bảo mật giữa Internal Network và Internet. ISA Server được triển khai với một card mạng kết nối Internet và một card mạng kết nối Internal Network
4. Cài đặt Microsoft ISA Server 2004 như một Firewall Edge (tt.)
4.1. Các bước cài đặt ISA
4.1. Các bước cài đặt ISA
1. Xác định vành đai mạng – Nhiệm vụ chính của Firewall là bảo vệ vành đai mạng. Bước đầu tiên của triển khai Firewall là thiết kế cấu hình vành đai mạng và xác định nhiệm vụ của Firewall trong cấu hình này
2. Cấu hình các Network và các Rule của các Network – Bước thứ hai trong triển khai ISA Server như một Firewall là cấu hình Network và các rule của Network dựa trên vành đai mạng đã thiết kế
3. Cấu hình system policy – System policy được dùng trong ISA Server để định nghĩa cách mà ISA Server được quản lý
4.1. Các bước cài đặt ISA (tt.)
4. Cấu hình phát hiện xâm nhập (Intrusion Detection) – ISA Server cung cấp khả năng phát hiện xâm nhập. Cấu hình phát hiện xâm nhập để ta được cảnh báo khi một cuộc tấn công xảy ra trên ISA Server
5. Cấu hình Access Rule Elements và Access Rules – Để cấp cho user quyền truy cập Internet
6. Cấu hình Server và Web Publishing – Đây là bước cuối cùng trong cấu hình ISA Server như một Firewall và Web Publishing. Bước này giúp cho tài nguyên bên trong mạng có khả năng truy cập từ Internet
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
Ôn tập
MCSA on Microsoft Windows Server 2003
Cấu hình ISA Server 2004
Cấu hình ISA Server 2004
Buổi 1:
1. Căn bản về bảo mật mạng
2. Giới thiệu ISA Server 2004
Buổi 2:
3. Cài đặt ISA Server 2004
4. Cài đặt Microsoft ISA Server 2004 như một Firewall Edge
Buổi 3:
5. Bảo mật ISA Server 2004
6. Publishing Resources được bảo vệ bởi ISA Server 2004
Buổi 4:
7. Hiện thực Clients
8. Hiện thực ISA Server như một Proxy Caching
Buổi 5:
9. Configuring Network Infrastructure Services trong ISA Server 2004
Cấu hình ISA Server 2004 (cont.)
Buổi 6:
10. Cấu hình ISA Server 2004 như một VPN Server
Buổi 7:
11. Hiện thực Security and Administration
Buổi 8:
12. Giám sát ISA Server
13. Cấu hình ISA Server chống lại các lưu thông mạng không mong muốn
Buổi 9:
14. Bài tập 1
Buổi 10:
15. Bài tập 2 + Kiểm tra cuối khóa
Buổi 1:
1. Căn bản về bảo mật mạng
2. Giới thiệu ISA Server 2004
1. Căn bản về bảo mật mạng
1.1. Sự cần thiết phải bảo mật mạng
1.2. Cơ chế và chính sách bảo mật mạng
1.3. Tấn công hệ thống và cách đối phó
1.1. Sự cần thiết phải bảo mật mạng
Ngăn không cho người không được quyền truy cập, thay đổi, và xóa thông tin
Bảo về các nguồn tài nguyên trước các cuộc tấn công trên mạng
Bảo vệ hệ thống máy tính trước virus
1.2. Cơ chế và chính sách bảo mật mạng
Sắp đặt chướng ngại vật
Sắp đặt chướng ngại vật xung quanh khu vực mạng cần được bảo vệ. Ví dụ, giữa hệ thống mạng Internal của tổ chức với mạng Internet hay hệ thống tài chính của tổ chức
Các chướng ngại vật có thể ngăn lưu thông không được phép hay giới hạn các user có thể và không thể truy cập phần nào mạng
Theo dõi truy cập (Logging)
Cơ chế này bao gồm ghi nhận tất cả các truy cập tới chướng ngại vật giữa các mạng, bao gồm các yêu cầu được phép và không được phép
1.2. Cơ chế và chính sách bảo mật mạng (tt.)
Nếu một cuộc tấn công thông thường từ bên trong tổ chức, nó sẽ rất khó lần ra vì người dùng bên trong có thể che dấu hành động của họ bên trong các việc thông thường. Log có thể được dùng để theo dấu nguồn của một cuộc tấn công và sau đó có thể dùng như một tình huống phạm tội
Cách sử dụng băng thông
Một điểm tiện lợi của việc cài đặt chướng ngại vật bảo vệ là một lượng lớn băng thông có thể được giới hạn. Điều này thuận lợi cho hiệu suất mạng. Nó cũng tiện lợi về mặt tài chính cho tổ chức cho việc truy cập mạng tính trên đơn vị băng thông
1.3. Tấn công hệ thống và cách đối phó
Các cuộc tấn công từ bên ngoài
Internet là nơi ẩn náu cho ai muốn gây ảnh hưởng xấu đến các tổ chức hoặc đánh cấp bí mật để tạo lợi thế so với đối thủ cạnh tranh
Bằng cách kết nối Internet, bộ mặt của tổ chức có thể bị tổn hại bởi nhiều cá nhân với nhiều mục đích khác nhau, bao gồm:
Chứng minh sự hiểu biết của mình và sự nể sợ của nạn nhân bằng cách cho nạn nhân biết kẻ tấn công đang điều khiển môi trường mạng của họ
1.3. Tấn công hệ thống và cách đối phó (tt.)
Đánh cấp thông tin, có thể được thực hiện bằng nhiều cách. Ví dụ, dùng phần mềm theo dõi mạng (spyware) có thể được dùng để thu thập thông tin cá nhân từ thông tin hệ thống để phá hủy bí mật khách hàng của một tổ chức
Dùng máy tính khác để thực hiện tấn công, làm cho khó truy lùng thủ phạm hơn
Ngăn chặn truy cập thông tin bằng cách tấn công Denial-of-Service
Dùng băng thông của các kết nối có tốc độ cao hơn để thực hiện tấn công DDoS đối với các tổ chức lớn
Chống đối tổ chức hoặc bày tỏ quan điểm chính trị thông qua các hành động này
1.3. Tấn công hệ thống và cách đối phó (tt.)
Các kết nối của nhiều gia đình và các doanh nghiệp nhỏ không được cấu hình bảo mật tốt có thể được dùng bởi kẻ xấu trên mạng Internet. Nếu kẻ tấn công có thể dễ dàng truy cập một lượng lớn các kết nối tốc độ cao, họ có thể thực hiện cuộc tấn công với bất kỳ tổ chức nào trong khi vẫn làm cho rất khó để lần ra nguồn của cuộc tấn
Các cuộc tấn công từ bên trong
Bên cạnh việc bảo vệ các cuộc tấn công từ bên ngoài dựa trên Internet, thông tin nhạy cảm phải được bảo vệ trước những người dùng bên trong mạng của tổ chức. Các thông tin nhạy cảm của tổ chức nên được bảo vệ trước một số người nào đó bên trong mạng công ty, bao gồm những người làm công, và cả những đại lý, nhà thầu, và các khách hàng
1.3. Tấn công hệ thống và cách đối phó (tt.)
Ví dụ, các thông tin nhạy cảm bao gồm:
Tiền lương
Phụ cấp
Bí mật cá nhân
Các kế hoạch tài chính trong tương lai
Không tổ chức nào được đánh giá thấp rủi ro trước những thông tin nhạy cảm không được bảo vệ. Kẻ tấn công, có thể từ bên ngoài hay bên trong mạng, có thể tạo ra nhiều mối đe dọa khác nhau, tuy nhiên, ở đây ta chỉ bàn đến những mối đe dọa mà tường lửa có khả năng giảm bớt được
1.3. Tấn công hệ thống và cách đối phó (tt.)
Các mối đe dọa từ sự xâm nhập
Các mối đe dọa từ sự xâm nhập có thể có nhiều dạng. Một số dạng xâm nhập như thực hiện việc ping tới địa chỉ server, trông có vẻ vô hại, nhưng một khi đã biết được sự có mặt của server, hacker có thể thực hiện các kiểu tấn công nguy hiểm khác. Nói cách khác, mọi sự xâm nhập đều ẩn chứa sự nguy cơ trong đó. Nó có thể là việc truy cập tài liệu nhưng không thay đổi chúng, nhưng dữ liệu có thể mang tính bí mật và hữu ích cho đối thủ cạnh tranh hay những nhân viên bất mãn với công ty. Vài sự xâm nhập khác thực hiện việc thay đổi hệ thống – như thay đổi giao diện trang web, hay làm sai cơ sở dữ liệu – trong khi một số khác có thể làm sập hệ thống
1.3. Tấn công hệ thống và cách đối phó (tt.)
Packet Sniffers – (Đánh hơi các gói)
Một packet sniffer là một phần mềm ứng dụng hay một thiết bị phần cứng được nối vào hệ thống mạng LAN và sẽ thu thập các thông tin từ Ehternet frame. Cách xâm nhập này bắt nguồn từ việc các hệ thống được xử lý sự cố và phân tích các lưu thông trong mạng bằng cách giám sát Ethernet frame và đi sâu vào trong từng Ehternet frame để xem xét từng gói IP một. Sniffer là một kiểu tấn công dự vào ngẫu nhiên, nó sẽ lắng nghe mọi packet trên mạng. Nhiều ứng dụng, như Telnet, Simple Mail Transfer Protocol (SMTP), và File Transfer Protocol (FTP) gởi thông tin username và password dưới dạng ký tự rõ ràng và có thể được hiển thị trong các chương trình snifffer. Khi nhận ra user dùng cùng username và password cho các ứng dụng khác,hacker có thể cấp quyền truy cập vào các ứng dụng đó bằng username và password đã được giải mã
1.3. Tấn công hệ thống và cách đối phó (tt.)
Sniffing không thể bị loại trừ, tuy nhiên ta có thể giới hạn nó bằng một số cách. Vì sniff khó bị phát hiện, ta có thể giới hạn các giá trị của bất kỳ thông tin nào có thể được đọc, bằng cách:
Xác thực - dùng một cơ chế xác thực mạnh, chẳng hạn như hệ thống password một lần (one-time password system) (như xác thực Challenge Handsake Authentication Protocol (CHAP) hay MS-CHAP) hoặc dùng một token card (thẻ mật mã). Sniffer có thể thấy password, nhưng không thể biết được ngay tức thì, vì chúng đã được mã hóa
1.3. Tấn công hệ thống và cách đối phó (tt.)
Hạ tầng chuyển mạch (Switch Infrastructure) – nếu phần cứng chuyển mạch được sử dụng, một sniffer chỉ được thấy data frame trên port bị tấn công. Nó cũng có thể thấy được các lưu thông quảng bá (broadcast traffic) và thông tin port flooding (quá tải thông tin qua port) mặc dù chúng được giới hạn dùng. Thực hiện chia VLAN cũng có thể giới hạn việc truy cập thông tin
Các công cụ anti-sniffer – một số sản phẩm phần mềm của nhà sản xuất thứ ba có thể phát hiện bất kỳ sự kiện bất thường nào khi sniffer hoạt động
1.3. Tấn công hệ thống và cách đối phó (tt.)
Cryptography (mật mã) – một cách khác là mã hóa mọi dữ liệu trên mạng, ví dụ, thông qua việc sử dụng Internet Protocol Security (IPSec), sniffer vẫn có thể thấy dữ liệu, nhưng không thể đọc nó và sử dụng nó sau đó
1.3. Tấn công hệ thống và cách đối phó (tt.)
IP Spoofing (đánh lừa IP)
IP Spoofing xảy ra khi địa chỉ IP đích của một packet bị thay đổi để che giấu nhận dạng của người gởi. Vì cơ chế định tuyến trên Internet chỉ sử dụng địa chỉ đích để gởi dữ liệu dựa vào đó mà không cần biết nó đến từ đâu. Spoofing không dẫn đến phá hủy hệ thống, nhưng nó báo hiệu một cuộc xâm nhập. Địa chỉ có thể từ bên ngoài mạng (để che giấu nhận dạng của người xâm nhập) hoặc có thể là địa chỉ được tin cậy bên trong mạng của công ty với quyền truy cập bí mật. Spoofing là một dạng điển hình của kiểu tấn công Denial-of-Service (DoS). Ta có thể ngăn IP Spoofing bằng một hoặc nhiều cơ chế:
1.3. Tấn công hệ thống và cách đối phó (tt.)
Điều khiển truy cập – từ chối truy cập đối với các packet đến từ Internet có địa chỉ nguồn là địa chỉ trong mạng nội bộ
RFC 2827 Filtering (bộ lọc RFC 2827) – Cần chắc rằng không có IP Spoofing hoạt động trên lưu thông đi ra ngoài. Các spoof packet phải bắt nguồn từ ai đó trên mạng. Phải chắc rằng mạng của không được dùng cho spoofing
Vì vậy, ta cần chặn tất cả các lưu thông đi ra từ mạng của ta mà lại không có địa chỉ nguồn, điều này có thể thực hiện thông qua cơ chế Access Control List (ACL – danh sách điều khiển truy cập) trên bộ định tuyến để chặn bất kỳ lưu thông nào lưu thông nào có địa chỉ nguồn không phải không phải do mạng của ta cấp. ISP của ta có thể chặn các lưu thông giả mạo từ mạng của ta bằng cách kiểm tra địa chỉ nguồn có thuộc về mạng của ta hay không. Lọc các lưu thông đi ra không lợi ích gì cho ta, nhưng có thể ngăn các cuộc tấn công spoofing trên mạng của ta
1.3. Tấn công hệ thống và cách đối phó (tt.)
Tấn công Denial-of-Service (từ chối dịch vụ)
Tấn công DoS là một trong những kiểu tấn công khá chặn nhất. Tấn công DoS có rất nhiều dạng khác nhau và nó không là nguyên nhân gây tổn hại lâu dài đối với mạng của ta; thay vào đó, nó sẽ cố gắng dừng một số chức năng của mạng bằng cách tấn công dồn dập vào một máy tính nào đó (một server hay một thiết bị mạng nào đó)
Tấn công DoS rất dễ thực hiện. Ví dụ, một máy tính hay một thiết bị trên mạng của ta có thể gởi một lệnh ping, nó sẽ được trả lời về 5 gói tin, không làm ảnh hưởng gì đến liên kết mạng. Nếu lệnh ping yêu cầu 4 triệu gói tin trả về, liên kết mạng của ta có thể bị sụp đổ (người gởi cũng có thể bị sụp theo, để tránh điều này, người gởi thường giả mạo địa chỉ nguồn tới một địa chỉ của ai đó làm cho họ bị sụp đổ theo)
1.3. Tấn công hệ thống và cách đối phó (tt.)
Có rất nhiều kiểu tấn công DoS, chủ yếu dựa vào điểm yếu trong thiết kế của giao thức TCP/IP, như quá tải lưu thông và khóa các port lại để không kết nối nào được thực hiện tiếp. Trong một ví dụ lớn hơn của kiểu tấn công DoS được thực hiện từ nhiều máy cùng lúc. Ví dụ, hacker có thể gởi một gói ping giả mạo tới nhiều máy và yêu cầu một lượng lớn gói tin trả lời lệnh ping đó tới hệ thống mạng của ta. Nếu mạng trả lời các yêu cầu này, hệ thống sẽ bị sụp đổ và làm nghẽn mạng. Loại tấn công này còn được biết với tên gọi Distributed Denial-of-Service (DDoS)
1.3. Tấn công hệ thống và cách đối phó (tt.)
Tấn công DoS rất khó chống vì hầu hết chúng bắt nguồn từ nhiều vùng mạng khác nhau, các phương thức phòng chống sau có thể được dùng:
Anti-spoof – hiện thực các tính năng anti-spoof trên bộ định tuyến và tường lửa, như phớt lờ các lệnh ping từ Internet và kiểm tra địa chỉ nguồn của nguồn của gói tin có phải là do ta cấp hay không
Anti-DoS – cấu hình các tính năng trên bộ định tuyến và tường lửa để giới hạn một nữa số kết nối được phép mở ra trong cùng một thời điểm, đặc biệt là trên router biên
1.3. Tấn công hệ thống và cách đối phó (tt.)
Giới hạn tầng xuất lưu thông mạng – liên hệ với ISP để xem họ có thể giới hạn một lượng lớn các lưu thông không cần thiết để có thể nhận vào thời điểm khác
1.3. Tấn công hệ thống và cách đối phó (tt.)
Các tấn công ở lớp Application
Các tấn công ở lớp Application thường là dạng tấn công được công khai, thường lợi dụng khai tác các điểm yếu thông dụng trong chương trình, chẳng hạn như Web server và server cơ sở dữ liệu. Vấn đề là các server này được thiết kế để có thể được truy cập từ các người dùng công cộng, những người mà ta không biết họ là ai, và họ không thể tin cậy được. Hầu hết các cuộc tấn công đều nhằm vào các điểm yếu đã được biết của sản phẩm
1.3. Tấn công hệ thống và cách đối phó (tt.)
Network Reconnaissance (do thám mạng)
Do thám mạng là dò các mạng để tìm các địa chỉ IP có giá trị, DNS name, và IP port trước khi thực hiện tấn công. Do thám mạng bản thân nó không nguy hại gì, nhưng khám phá các địa chỉ được dùng có thể giúp ai đó thực hiện tấn công. Xem log (nhật ký) trên tường lửa ta có thể thấy được hầu hết các cuộc xâm nhập kiểu này.Điển hình như dò các lắng nghe TCP và UDP port…
1.3. Tấn công hệ thống và cách đối phó (tt.)
Virus và Trojan Horse
Virus là một dạng của tấn công xâm nhập trên một máy tính hay một server có thể gây ra các hậu quả khác nhau, bao gồm việc làm sai lạc hay làm ngập lụt hệ thống bằng vào cách khác nhau. Hầu hết các virus thông dụng lây lan qua e-mail sau đó nó sẽ gởi chính nó cho các member trong address book của ta.
Trojan Horse là một dạng virus có thể xuất hiện để thực hiện các việc không nguy hiễm, nhưng nó có thể cư trú trong hệ thống cho phép hacker khai thác từ xa trong một thời gian dài. Kiểm tra log của tường lửa sẽ thấy các cuộc thăm dò thường xuyên của hacker trên hệ thống của ta
2. Giới thiệu ISA Server 2004
2.1. Firewall là gì?
2.2. Firewall không thể làm gì ?
2.3. Các tính năng của Firewall hiện đại
2.4. Các lớp Firewall
2.5. Mô hình kiến trúc Firewall
2.1. Firewall là gì?
Firewall là một bộ điều khiển các điểm truy cập cho tất cả các lưu thông đi vào và đi ra mạng nội bộ
2.2. Firewall không thể làm gì ?
Một firewall không thể bảo vệ mạng trước trước các mối đe dọa từ bên trong mạng nội bộ
Firewall không thể bảo vệ mạng chống lại virus
Firewall không thể bảo vệ các cuộc tấn công vào mạng không đi qua firewall
2.3. Các tính năng của Firewall hiện đại
Tùy vào tính năng mà firewall hỗ trợ, lưu thông được phép và bị chặng bằng nhiều kỹ thuật khác nhau. Các kỹ thuật này tùy vào khả năng bảo vệ của firewall
Lọc các gói tin đi vào card mạng
Static packet filter (bộ lọc gói tĩnh)
Network Address Translation (NAT – chuyển đổi địa chỉ mạng)
Stateful inspection (kiểm tra trạng thái kết nối)
Circuit-level inspection
Application layer filtering (lọc ở lớp ứng dụng)
3.4. Các lớp Firewall
Persional firewall
Router firewall
Low-end hardware firewall
High-end hardware firewall
Server firewall
2.5. Mô hình kiến trúc Firewall
Tùy thuộc vào yêu cầu của tổ chức, và để giảm nhẹ điểm yếu của nó, firewall có khả năng được triển khai tùy theo thiết kết của hệ thống, bao gồm:
Single-tier egress và ingress
Tow-tier
Multi-tier
Buổi 2
3. Cài đặt ISA Server 2004
4. Cài đặt Microsoft ISA Server 2004 như một Firewall Edge
3. Cài đặt ISA Server 2004
3.1. Yêu cầu phần cứng
3.2. Tiến trình cài đặt
3.3. Dừng và tắt các dịch vụ
3.4. Khả năng phát triển
3.5. Tạo một Share Folder để cài đặt Firewall Client
3.6. Các cài đặt mặc định
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy
3.1. Yêu cầu phần cứng
3.1. Yêu cầu phần cứng (tt.)
CPU 550 MHz hoặc cao hơn
Hệ điều hành Microsoft Windows Server 2003 hay Windows 2000 Server
RAM 256 MB
Card mạng cho LAN
Card mạng cho các mạng sẽ kết nối đến
Đĩa cứng định dạng NTFS, trống ít nhất 150 MB
3.2. Tiến trình cài đặt
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.2. Tiến trình cài đặt (tt.)
3.3. Dừng và tắt các dịch vụ
Trong tiến trình cài đặt, các dịch vụ sau sẽ được tắt đi:
Internet Connection Firewall or Internet Connection Sharing
IP Network Address Translation
Các dịch vụ sau sẽ được dừng lại:
SNMP
FTP Publish service
Network News Transfer Protocol (NNTP)
IIS Admin service
World Wide Web Publishing service
3.4. Khả năng phát triển
Để xác định phần cứng cần thiết cho một ISA server, cần trả lời các câu hỏi sau:
1. Cần bao nhiêu bộ vi xử lý, và loại vi xử lý nào được yêu cầu ?
2. Cần bao nhiêu RAM và không gian đĩa cứng còn trống, và bao nhiêu card mạng được yêu cầu ?
3. Băng thông cho kết nối Internet nên dùng bao nhiêu ?
3.5. Tạo một Share Folder để cài đặt Firewall Client
Khi ta cài đặt Firewall Client share, một system policy rule có tên Allow access to firewall client to trusted computer được tạo ra, cho phép các client trong mạng nội bộ có thể truy cập thư mục chia sẻ. Quy tắc này cho phép các client cài đặt phần mềm từ thư mục chia sẻ.
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.5. Tạo một Share Folder để cài đặt Firewall Client (tt.)
3.6. Các cài đặt mặc định
Sau khi cài đặt, ISA Server 2004 dùng các cài đặt mat95 định sau:
User permission – các member của group administrators trên local computer mới có thể cấu hình chính sách firewall
Internal Network – Internal Network chứa các mục được chỉ định trong quá trình cài đặt
Network Settings – các network rule được tạo ra:
Local Host Access – Định nghĩa đường đi giữa mạng Local Host và các mạng khác. Quy tắc này định nghĩa mối quan hệ giữa một mạng với các mạng khác, được cần bởi các dịch vụ chạy trên ISA Server
3.6. Các cài đặt mặc định (tt.)
Internet Access – định nghĩa một Network Address Translation (NAT) của mạng liên quan từ Internal Network, Quanrantines VPN Clients network, và VPN Clients netwok với External Network. Việc truy cập chỉ được phép khi ta cấu hình chính sách truy cập thích hợp
VPN Client to Intenal Network – Định nghĩa đường đi giữa VPN Client network và Internal network. Truy cập chỉ được phép khi ta bật Virtual Private Network (VPN) Client access
3.6. Các cài đặt mặc định (tt.)
Firewall Policy (chính sách tường lửa)
Một default rule (tên Default Rule) ngăn lưu thông giữa các mạng
System Policy (chính sách hệ thống)
Theo mặc định ISA Server được bảo vệ trong khi cho phép một vài dịch vụ để thực hiện các tính năng của nó. Trong lúc cài đặt, vài system policy rule được bật cho phép các dịch vụ cần thiết chạy
Web chaining
Một default rule (có tên là Defult Rule) chỉ ra tất cả các Web Proxy client yêu cầu được lấy về trực tiếp từ Internet
3.6. Các cài đặt mặc định (tt.)
Caching
Độ lớn của cache được đặt là 0. Mọi lưu trữ trước đó đều bị xóa đi
Alerts (cảnh báo)
Hầu hết các cảnh báo đều được bật
Client Configuration (cấu hình client)
Khi được cài đặt và được cấu hình, Firewall và Web Proxy Client sẽ tự động được bật. Ứng dụng Web trên Firewall client được cấu hình khi Firewall client được cài đặt
3.6. Các cài đặt mặc định (tt.)
3.6. Các cài đặt mặc định (tt.)
Internal Network
3.6. Các cài đặt mặc định (tt.)
Network Settings
3.6. Các cài đặt mặc định (tt.)
Firewall Policy (chính sách tường lửa)
3.6. Các cài đặt mặc định (tt.)
System Policy (chính sách hệ thống)
3.6. Các cài đặt mặc định (tt.)
Web chaining
3.6. Các cài đặt mặc định (tt.)
Caching
3.6. Các cài đặt mặc định (tt.)
Alerts (cảnh báo)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy
Áp dụng một Network Template
ISA Server bao gồm một số Network Template được định nghĩa sẵn để dùng cho các mô hình mạng thông dụng. Khi cài đặt ISA Server trên một máy tính có một card mạng ta nên cấu hình ISA Server Single Network Adater network template
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình forward Web Proxy và Caching – cấu hình forward Web Proxy và Caching bao gồm các bước sau:
Cấu hình Client Proxy settings. Cấu hình Web Proxy settings trên trình duyệt web của client trỏ tới ISA Server hoặc dùng cấu hình tự động
Cấu hình Internal Network lắng nghe yêu cầu từ Web Proxy client
Cấu hình chứng thực trên Internal Network. Để chắc rằng yêu cầu xuất phát Web Proxy client đã được chứng thực, ta có thể chọn cấu hình chứng thực trên network, hay trên một access rule được chỉ định. Nếu ta chọn Require all user to authenticate trong Internal Network properties, sẽ xảy ra các trường hợp sau:
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Tất cả các user phải được chứng thực, không cho phép các yêu cầu từ người dùng nặc danh (anonymous)
ISA Server luôn hỏi quyền hạn của user trước khi kiểm tra access rule. Nếu Require all users to authenticate không được bật, quyền hạn của client chỉ được gởi yêu cầu nếu chứng thực của client thỏa giá trị của một access rule
Bật Caching. Nếu muốn bật Caching cho Web, bật caching trên Server bằng cách cấu hình Cache Size lớn hơn 0, sau đó cấu hình Cache Rule duy trì thường xuyên các đối tượng Web được yêu cầu luôn sẵn sàng trong cache cho các yêu cầu của client
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình Cache Rule. Cài đặt cache rule để chỉ định đối tượng nào được cache và cách mà chúng được cấp cho client. Trước khi ISA thực hiện một yêu cầu tới Internet, nó sẽ kiểm tra xem đối tượng được yêu cầu đã có sẵn trong cache chưa và cung cấp nó cho user nếu đối tượng đó phù hợp với Cache Rule
Cấu hình Access Rule. Trước khi áp đặt Single Network Adapter template, chỉ có một access rule từ chối truy cập với tất cả các network. Mặc dù tất cả địa chỉ IP được nhận ra là một phần của Internal Network trong một card mạng, các yêu cầu của client bị từ chối bởi rule mặc định này. Cài đặt access rule để cho phép web client sử dụng HTTP, HTTPS và FTP nếu cần. Source và destination network trong rule phải được đặt là Internal
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình client proxy setting (Internet Explorer)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình Internal Network lắng nghe các yêu cầu từ Web Proxy client
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình xác thực trên Internal Network
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình Caching
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình Cache Rule
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
Cấu hình Access Rule
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
3.7. Hiện thực ISA Server 2004 trên một máy tính đơn như một Forward Proxy và Caching Proxy (tt.)
4. Cài đặt Microsoft ISA Server 2004 như một Firewall Edge
Cài đặt ISA Server như một Firewall Edge để:
Chặn mọi lưu thông từ Internet không được phép
Xuất bản Internal Server, như Web Server
Cung cấp VPN Gateway cho remote user
Cung cấp proxy và caching service
Cài đặt ISA Server như một Firewall Edge, ISA Server là một điểm bảo mật giữa Internal Network và Internet. ISA Server được triển khai với một card mạng kết nối Internet và một card mạng kết nối Internal Network
4. Cài đặt Microsoft ISA Server 2004 như một Firewall Edge (tt.)
4.1. Các bước cài đặt ISA
4.1. Các bước cài đặt ISA
1. Xác định vành đai mạng – Nhiệm vụ chính của Firewall là bảo vệ vành đai mạng. Bước đầu tiên của triển khai Firewall là thiết kế cấu hình vành đai mạng và xác định nhiệm vụ của Firewall trong cấu hình này
2. Cấu hình các Network và các Rule của các Network – Bước thứ hai trong triển khai ISA Server như một Firewall là cấu hình Network và các rule của Network dựa trên vành đai mạng đã thiết kế
3. Cấu hình system policy – System policy được dùng trong ISA Server để định nghĩa cách mà ISA Server được quản lý
4.1. Các bước cài đặt ISA (tt.)
4. Cấu hình phát hiện xâm nhập (Intrusion Detection) – ISA Server cung cấp khả năng phát hiện xâm nhập. Cấu hình phát hiện xâm nhập để ta được cảnh báo khi một cuộc tấn công xảy ra trên ISA Server
5. Cấu hình Access Rule Elements và Access Rules – Để cấp cho user quyền truy cập Internet
6. Cấu hình Server và Web Publishing – Đây là bước cuối cùng trong cấu hình ISA Server như một Firewall và Web Publishing. Bước này giúp cho tài nguyên bên trong mạng có khả năng truy cập từ Internet
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
4.1. Các bước cài đặt ISA (tt.)
Ôn tập
* Một số tài liệu cũ có thể bị lỗi font khi hiển thị do dùng bộ mã không phải Unikey ...
Người chia sẻ: Nguyễn Đăng Khoa
Dung lượng: |
Lượt tài: 1
Loại file:
Nguồn : Chưa rõ
(Tài liệu chưa được thẩm định)