Professional Documents
Culture Documents
Mục lục ...................................................................................................................1
á CHƯƠNG I ...................................................................................................5
Giới thiệu hệ thống VietCERT và cấu hình các dịch vụ cần thiết...............5
1. Cài đặt Web Server IIS 6.0................................................................................. 6
2. Cài đặt và cấu hình DNS ................................................................................. 14
3. Cài đặt và cấu hình Certificate Authoritive Server ..................................... 28
4. Xin cấp phát một Certificate cho Web Server .............................................. 35
5. Cấu hình Web Server sử dụng SSL................................................................ 50
6. Xây dựng hệ thống Active Directory ............................................................ 56
7. Cấu hình dịch vụ chứng thực bằng RADIUS............................................... 64
á CHƯƠNG II................................................................................................73
Cài đặt ISA Server 2006 .....................................................................................73
8. Giới thiệu mô hình thực hành ........................................................................ 74
9. Cài đặt Service Pack cho Windows ............................................................... 74
á CHƯƠNG III ............................................................................................101
Cấu hình Outbound Internet Acccess ..........................................................101
á CHƯƠNG IV ............................................................................................225
Cấu hình các tính năng Firewall trên ISA Server 2006..............................225
á CHƯƠNG V..............................................................................................271
Cấu hình Publishing với ISA Server 2006 ...................................................271
á CHƯƠNG VI ............................................................................................309
Kết hợp ISA Server 2006 và Exchange Server 2003 ....................................309
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 2
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
38. Cấu hình RPC Publishing Rule ................................................................ 335
á CHƯƠNG VII ..........................................................................................349
Sử dụng các bộ lọc trên ISA Server 2006......................................................349
á CHƯƠNG VIII.........................................................................................373
Cấu hình VPN trên ISA Server 2006 .............................................................373
á CHƯƠNG IX ............................................................................................456
Triển khai Caching trên ISA Server 2006.....................................................456
á CHƯƠNG X ..............................................................................................503
Monitor ISA Server 2006 .................................................................................503
3
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
56. Tổng quan về hệ thống Monitor .............................................................. 504
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 4
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
á CHƯƠNG I
Giới thiệu hệ thống VietCERT và cấu hình
các dịch vụ cần thiết
Trong chương này thực hành cấu hình các dịch vụ cơ bản, cần thiết cho các bài thực hành
trong các chương sau như Web Server, Mail Server, Certificate Authoritive Server.
5
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
1. Cài đặt Web Server IIS 6.0
Web Server sẽ được cài đặt chung với Certificate Server ở bài thực hành số 5.
Phần này chúng tôi trình bày cách cài riêng IIS Server. IIS Server tích hợp sẵn
trong Windows Server 2003 và được cài đặt thông qua phần Add/Remove
Windows Components
Vào Control Panel chọn Add/Remove Programs
Sử dụng Add/Remove Programs để cài thêm dịch vụ Web Server cho Windows
Chọn tiếp mục Add/Remove Windows Components
Add/Remove Windows Components
Click chọn Application Server
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 6
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Web Server IIS 6.0 trên Windows 2003 nằm trong phần Application Server của Windows.
Click Next
Ghi chú : độc giả nên chú ý dấu check FTP và SMTP, NNTP không bật lên trong Application Server vì
chúng tôi chưa cài Exchange Server 2003. Những dịch vụ này rất dễ dàng bị tấn công nên chỉ bật lên
khi nào thực sự cần thiết.
Khai báo đường dẫn i386 của Windows 2003 và click OK
Cài đặt dịch vụ thêm yêu cầu phải có Source của Windows 2003 để Windows chép thêm tập tin
Có thể sẽ phải khai báo đường dẫn này nhiều lần trong quá trình cài IIS 6.0
Chúng tôi sử dụng Internet Information Service Console để quản lý Web Server
7
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
IIS trên Windows 2003. Version của IIS trên Windows 2003 là 6.0
Internet Information Service Manager sử dụng để quản lý Web Server trên Window 2003
Giao diện của Internet Information Service Console như trong hình sau. Tất cả các
trang web trên Server này đều chứa trên Web Server. Trên IIS khi cài luôn có một
Web Site mặc định được tạo sẵn mang tên Default Web Site. Độc giả không nên
xóa Web Site này vì nó được dùng cho nhiều mục đích. Microsoft sử dụng web
site này để cấu hình các dịch vụ trên Web của mình như Share Point Portal, CRM
... và cả Certificate Service như chúng ta đang thực hành ở đây.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 8
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Default Web Site – một web site được tạo sẵn và sử dụng cho các dịch vụ khác của Windows
Cấu hình tạo trang web trên IIS Server 6.0
Tạo nhiều trang web trên IIS Server cùng sử dụng port 80 chúng tôi sử dụng Host
Header để đặt tên cho các trang web. Để phân giải được tên của các trang web
này, chúng tôi phải cấu hình DNS Server trong vùng DMZ để phân giải được tên
miền. Chúng ta sẽ đề cập đến phần cấu hình DNS sau
Ghi chú : Bên đội phát triển phần mềm của VietCERT đã cung cấp cho chúng tôi bộ Source và cài sẵn
cơ sở dữ liệu chạy trên nền SQL 2005 cho chúng tôi. Toàn bộ nội dung trang web chúng tôi lưu tại một
thư mục trên Local : D:\Web Sites
Click phải vào Web Sites chọn New Web Site
9
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click chọn New Web Site để tạo một Web Site mới trên IIS Server
Description gõ Hoc Mạng.com
Description mô tả cho trang web Học Mạng.com
Phần mô tả cho trang web, chỉ có giá trị hiển thị nhưng sẽ có lợi nếu nhà quản trị biết tận dụng
Click Next
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 10
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Khai báo cho Windows thông số kết nối cho Web Site này. Chúng tôi sử dụng
Host Header cho trang web, buộc người dùng phải gõ http://www.hocmang.com
mới có thể truy cập được vào trang web của chúng tôi.
Host Header và thông tin của trang web. Một khi đã cấu hình Host Header cho trang Web, người
dùng phải gõ đúng tên Host Header khai báo trong trang web mới có thể truy cập đúng được Web
Server.
Click Next
Home Directory chúng tôi click Browse và chọn E:\Web Sites là nơi chứa trang
web hocmạng.com
Khai báo đường dẫn cho trang Web chứa trên Local. Nội dung trang web chúng tôi được bên thiết ké
11
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Web cung cấp sẵn.
Click Next
Cấu hình Permission cho trang web. Chúng tôi để mặc định Read cho tất cả mọi người. Không nên để
quyền Browse và Execute nếu không sử dụng CGI cho Web để bảo mật ở mức độ cơ bản.
Để Default các thông số và click Next
Click Finish
Tiếp theo chúng tôi quy định trang web index.hml sẽ được nạp khi User vào
trang web http://hocmang.com hay còn gọi là trang chủ. Mặc định khi thuê Host
chúng ta đã được cấu hình sẵn, các tập tin làm trang chủ thường phải là index.*
hoặc default.*
Click phải vào trang web Hoc Mạng.com và chọn Properties
Click chọn Tab Documents
Kiểm tra tập tin index.htm có hay chưa, Remove những tên không cần thiết ra
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 12
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tab Documents trong IIS cho phép nhà quản trị chọn trang web nào sẽ là trang chủ cho tòan bộ trang
web. Trang chủ (hay còn gọi là homepage) sẽ được nạp đầu tiên khi người dùng gõ
www.hocmang.com
Kiểm tra lại trang web vừa tạo bằng cách click phải chọn Browse
Click phải chọn Browse để thử hiển thị nội dung trang web trên IIS Server Console
13
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Nội dung trang Web của hocmang.com được bên thiết kế Web Site cung cấp cho
chúng tôi đã hiển thị trên màn hình của IIS.
Nội dung trang web họcmạng.com được hiển thị ngay trong cửa sổ IIS khi nhà quản trị sử dụng chức
năng Test trên IIS Server.
Chú ý : có thể độc giả bị lỗi ngay phần này vì không thể Browse được nội dung của trang web vừa cấu
hình. Nguyên nhân cũng không phức tạp lắm, do DNS các bạn chưa cấu hình để phân giải tên Host
www của Domain hocmang.com. Độc giả phải có kiến thức cơ bản về DNS để cấu hình Domain Name
hocmang.com chứa host www chỉ về địa chỉ IP của Web Server.
Cài đặt DNS Server trong mạng LAN
Vào Add/Remove Windows Components trong Control Panel
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 14
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cài đặt thêm DNS Service bằng Wizard Add/Remove Windows Components của Windows 2003
Click chọn Add/Remove Windows Components
Windows Components
Click chọn tiếp Nework Services
Đừng click chọn phần Network Services mà bấm chọn Details để chọn chi tiết bên
trong.
15
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Không click vào Network Services mà chọn nut Details để hiển thị chi tiết dịch vụ nào cần cài đặt
Click Domain Name System (DNS) và Click OK
Chúng tôi chỉ cài DNS Server trên Server này và không chọn các dịch vụ khác.
Click OK
Tiếp theo cấu hình DNS Server chỉ về chính mình trên máy sử dụng DNS Server.
Thực ra DNS Server không cần thiết phải cài đặt vì chúng ta có thể sử dụng DNS
Server trên Domain Controllers. Khi lên DCPROMO, Windows bắt buộc chúng ta
phải cấu hình DNS Server trên Domain Controller để tận dụng tính năng tích hợp
Zone vào Active Directory.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 16
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình TCP/IP trên DNS Server.
Trên ISA Server chúng ta sử dụng 3 Interface để giao tiếp với 3 Networks là
Internal, DMZ Network và External, trong đó chỉ có External là cấu hình Default
Gateway. Thực ra trên ISA Server chúng ta phải cấu hình Routing Table trong
dịch vụ Routing and Remote Access.
Cấu hình DNS Server TCP/IP Settings trên ISA Server
Chúng ta chỉ cấu hình DNS trên Internal interface của ISA Server, tất cả các yêu
cầu về phân giải tên trên ISA Server sẽ được gửi vào bên trong DNS Server của
mạng LAN và từ DNS Server này sẽ thực hiện Forwarder đến DNS Server ở vùng
DMZ Network.
Trên External Interface của ISA Server hòan tòan không cấu hình gì liên quan đến
DNS. Chúng ta phải cấu hình trên Internal để ISA Server có thể tự đăng ký Host
Records cho mình trong DNS Zone, hỗ trợ cho tính năng Auto Discovery của
Clients.
17
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
ISA Server sử dụng Internal Interface để sử dụng DNS Server trong mạng nội bộ. Tất cả các
Clients/Member Server trong mạng LAN đều sử dụng DNS Server trong mạng nội bộ. Trên Local
DNS Server sử dụng chức năng Forwarder đến Public DNS và đến DNS Server trong vùng mạng
DMZ.
Trong DNS Server ở mạng Internal phải cấu hình Forwarder đến DNS Server ở
vùng DMZ phân giải tên miền cho trang Web VietnamLAB.com, VnCERT.com và
ICTExpress.com. Chúng tôi sử dụng tính năng Conditional Forwarder trên
Windows 2003
Click phải vào DNS Server trong LAN chọn Properties
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 18
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Properties DNS Server để cấu hình Forwarder
Chọn tiếp Tab Forwarder
Click NEW
Cấu hình Conditional Forwader trên DNS Server trong Local
19
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Ghi chú : Tính năng Conditional Forwader chỉ có trên Windows 2003 sẽ Forwarder đến các DNS
Server khác nhau để phân giải những tên miền được khai báo.
Gõ tên Domain Vietnamlab.com
Tên miền tạo ra cho Forwader là vietnamlab.com
Click OK
Điền số IP của DNS Server trong vùng DMZ là 203.162.23.35
Cấu hình địa chỉ IP của DNS Server sử dụng để phân giải tên miền vietnamlab.com
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 20
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click ADD để thêm IP này vào và sẽ sử dụng địa chỉ IP của DNS Server này khi
phân giải tên miền vietnamlab.com
Tiếp tục click New Domain Name và gõ tên Domain ICTExpress.com
Click OK
Điền số IP của DNS Server trong vùng DMZ là 203.162.23.35
Click ADD
Làm tương tự cho VnCERT.com
Click OK
Điền số IP của DNS Server trong vùng DMZ là 203.162.23.35
Tiếp tục cấu hình Forwader đến các tên miền trong vùng mạng DMZ
Click OK đóng cửa sổ Properties của DNS Server và tiếp theo là kiểm tra
Forwarder của DNS Server.
21
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra DNS Server Forwarder
Trên ISA Server 2006 chạy NSLOOKUP
RUN gõ CMD
Gõ lệnh NSLOOKUP
Gõ tiếp tên Domain của 3 Domain đã cấu hình Forwarder trên
C:\>NSLOOKUP
Default Server: dc1.vietcert.com
Address: 192.168.0.2
> vietnamlab.com
Server: dc1.vietcert.com
Address: 192.168.0.2
Non‐authoritative answer:
Name: vietnamlab.com
Address: 203.162.24.35
> VnCERT.com
Server: dc1.vietcert.com
Address: 192.168.0.2
Non‐authoritative answer:
Name: VnCERT.com
Address: 203.162.24.35
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 22
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
> ICTExpress.com
Server: dc1.vietcert.com
Address: 192.168.0.2
Non‐authoritative answer:
Name: ICTExpress.com
Address: 203.162.24.35
>
Cấu hình DNS Server trong vùng DMZ
DMZ DNS Server chúng ta sẽ tạo các Zone trong vùng Forward Lookup Zone.
Tên miền chúng tôi sẽ tạo là hocmang.com và chứa Host www chỉ về địa chỉ IP
203.162.23.34 là web Server đang chạy IIS – Hosting của trang
www.hocmạng.com
Vào DNS Server trên Server 203.162.23.35 chọn Forward Lookup Zone
Click phải chọn New Zone
Tạo New Zone cho DNS Server trong vùng DMZ Network
Click Next
23
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Zone type chúng tôi để mặc định là Primary cho Zone đầu tiên
Hình 28: Primary Zone cho phép DNS Server tự quản lý được DataBase của mình. DNS Server giữ
Primary được tòan quyền thay đổi Zone. DNS Server đầu tiên trong hệ thống chắc chắn sẽ giữ
Primary Zone
Zone Name gõ hocmang.com
DNS Server trong vùng DMZ sẽ phần giải tên miền họcmạng.com
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 24
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click Next
Để mặc định phần Zone File và Click Next
Zone File nếu Zone ở dạng Standard mặc định được chứa ở %systemroot%\system32\dns\ với tên
tập tin domain.com.dns
Không chọn phần Allow Dynamic Update và Click Next
25
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Dynamic Update trong trường hợp này không cần bật lên vì Public DNS Zone không cần cập nhật
động như Zone của Active Directory. Tắt tính năng Dynamic Update để bảo mật cho tên mìên.
Click Finish
Tiếp theo tạo Host www cho Zone hocmang.com, click phải vào Zone chọn New
Host
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 26
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo Host Record mới cho Web Server trong vùng DMZ Network. DNS Server này mang Public IP
và sẽ được chỉ định làm Nam Server của Zone này
Gõ www và phần IP gõ 203.162.23.34
Địa chỉ IP của Web Server trong vùng DMZ Network của VietCERT là 203.162.23.34
Click OK
Kiểm tra bằng cách gõ tên miền http://www.hocmang.com sẽ thấy hiện ra nội
dung trang web giống với khi chúng ta gõ http://203.162.23.34
Nội dung trang web www.hocmang.com được hiển thị khi dùng DNS Server trong vùng DMZ
Network để phân giải địa chỉ IP
27
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Certificate Authority chúng tôi sử dụng trên Windows 2003
Vào Control Panel
Click chọn Add/Remove Programs
Sử dụng chức năng Add/Remove Programs của Control Panel để thêm dịch vụ trong Windows
Click tiếp Add/Remove Windows Components
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 28
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click chọn Add/Remove Windows Components để thêm dịch vụ cho Windows
Click chọn Certificate Authority. Khi chọn Certificate chúng tôi phải chú ý rằng
Web Server đã được cài đặt.
Certificate Services trên Windows 2003 quản lý các Certificate, Private Key/Public Key trên Windows
2003
Windows sẽ thông báo cho người dùng biết nếu cấu hình Certificate Services sẽ
29
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
không thể thay đổi tên Server được nữa. Click YES để tiếp tục quá trình cấu hình.
Sau khi cài đặt Cerfiticate Service thì không thể đổi tên máy tính được nữa vì tên máy đã được ký
nhận trong Root Certificate của Certificat Server
Và Click chọn thêm Application Server để cài Web Server cho CA Server.
Standalone CA Server chỉ có thể cấp phát Certificate qua Web Site.
Click OK
Tiếp theo là cấu hình thông tin cho Certificate Authority Server, chúng tôi sử
dụng Standalone Server vì không muốn liên quan đến Domain, và CA Server này
sẽ được sử dụng cho User Internet. Standalone Server phải có thêm Web Server
IIS để CILent có thể xin được Certificate bằng Web.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 30
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Standalone Cerficate Server phục vụ cho tất cả mọi người và chỉ có thể cấp phát Certificate qua Web
Site
Click Next
Khai báo thông tin về Certificate Service sẽ cấu hình. Thời gian Expire cho
Certificate cấp bởi Server này nên để khỏang 2 năm là hợp lý. Certificate tự cấp
như VietCERT chúng tôi chỉ có thể sử dụng cho SSL mã hóa đường truyền cho
đúng thủ tục. Chức năng chính của Certificate là xác nhận Server (Authenticate)
nhưng việc xác nhận lúc này trở nên vô nghĩa vì không ai trên Internet trust
Certificate Server của chúng tôi.
Khai báo thông tin về Certficate Server
Click Next
Khai báo đường dẫn đến Database của Certificate Server.
31
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Khai báo đường dẫn lưu trữ dữ liệu cho Certificate
Để mặc định và Click Next
Windows yêu cầu đĩa chứa Source i386 của 2003. Chúng tôi sử dụng phiên bản
Windows 2003 Standard Edition nên phải cung cấp đúng i386 của Standard.
Windows yêu cầu đĩa Service Pack hoặc đĩa Source của Windows 2003
Click Next để tiến hành cài Certificate
Certificate Service cảnh báo với người dùng là sẽ tự bất ASP.NET Service lên để
hỗ trợ cho trang Web xin Certificate. Nếu nhà quản trị không bật dịch vụ này thì
không thể xin Certificate bằng Web được mà Standalone Cerficate Service chỉ hỗ
trợ xin Certificate bằng Web.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 32
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Trang web xin Certificate đượv viết bằng ASP.net nên hệ thống phải bật lên ASP.net để hỗ trợ trang
web này.
Click YES để tiếp tục cài
Cuối cùng Click Finish để kết thúc quá trình cài đặt Cerficate Service
Về công cụ quản trị, Windows cung cấp cho chúng ta công cụ Certificate
Authority Management Console
Sử dụng Snap‐in Certificate Authority để quản lý các Certificate đã chứng nhận cho
User/Service/Server
Với công cụ này chúng ta có thể quản lý việc cấp phát Certificate hoặc thu hồi
chúng.
33
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Giao diện của công cụ Certificate Authority trên Windows 2003
Với những Certificate đang ở trạng thái chờ được cấp phát sẽ nằm trong mục
PENDING
Các Pending Certificate nằm trong vùng Pending. Với Standalone Server thì việc cấp phát này phải
làm bởi Administrator
Và những Certificate đã cấp phát nằm trong mục ISSUED
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 34
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Những Certificate đã chứng nhận và cấp phát cho Clients được lưu trong khu vực Issued Certificates
Họăc danh sách những Certificates đã hết hạn và thu hồi lại nằm trong mục
Revocation List
Quy trình chung khi thực hiện xin Certificate cho một Web Site là vào Web Server
và tạo ra Private Key/Public Key và xuất riêng Public Key của Web Server thành
mộ tập tin
Xin Certificate Service chứng thực Public Key của Web Server là đúng với những
gì chủ Web Site cung cấp trong quá trình xin Certificate. Certificate Service sẽ tạo
một Certificate cho Web Site và Import Certificate này vào Web Server để có thể
chạy được với SSL.
Chúng tôi thực hiện bước 1 – Tạo Key và Xuất Public Key cho Web
Vào IIS Server và chọn trang web www.hocmang.com sẽ cấu hình HTTPS, click
phải chọn Properties
Vào Tab Directory Security chọn tiếp nút Server Certificate.
35
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình xin Certificate cho Web Site trên IIS Server 6.0
Windows sẽ tiếp tục một Wizard giúp cho nhà quản trị khai báo thông tin cho
Web Site và tạo cặp Key Private/Public
Click chọn Option Create a New Certificate để tạo một Certificate mới cho
Clients.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 36
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo một Certificate Request để gửi đến Certificate Web Site để xin chứng thực
Click Next
Chọn Prepare the request now, but sent it later để tạo một Public Key và xuất
thành tập tin
Tạo tập tin Certificate Request dạng PlainText để nhờ Certificate Server chứng thực
37
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click Next
Khai báo thông tin cho Web Site khi cấu hình SSL. Độc giả chú ý Common Name
phải đúng với tên miền đăng ký trên internet và là tên người dùng sẽ truy cập
vào trang web : www.hocmang.com
Tên của Certificate và chiều dài của Key sử dụng để mã hóa
Click Next
Khai báo thông tin về công ty đang chưa trang web www.hocmang.com, nếu cần
thiết, Certificate Admin phải có trách nhiệm kiểm chứng tính chính xác của thông
tin trên.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 38
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Khai báo thông tin về Certificate Organization
Click Next
Khai báo Common Name cho Certificate. Common Name phải đúng với tên đăng
ký và tên trang web khi người dùng truy cập vào trang này.
Common Nam là tên được hiển thị trên Certificate. Common Name được lưu trong Certificate và tên
trang Web này phải khớp với tên trang Web khi User truy cập.
Click Next
39
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Khai báo thông tin về công ty, quốc gia
Khai báo thông tin về tổ chức đang xin cấp Certificate này
Thông tin về doanh nghiệp đang sở hữu trang web cần chứng thực. Những thông tin này sẽ được mã
hóa để tạo nên Public Key và được chứa trên Certificate.
Click Next
Xác định đường dẫn chứa tập tin Public Key của trang web. Nội dung tập tin này
sẽ được chứng thực bằng một Certificate Service.
Đường dẫn lưu tập tin chứa Public Key của Trang web học mạng.com chúng tôi vừa cấu hình. Nội
dung của Public Key cũng có liên quan đến những thông tin đã khai báo trong Wizard
Click Next
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 40
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tổng hợp lại tòan bộ thông tin đã khai báo trong Wizard. Độc giả phải kiểm tra
lại Common Name, rất quan trọng nếu không chính xác Common Name khi xin
Certificate.
Click Finish
Bước 2 – xin chứng thực Public Key và tạo Certificate
Standalone CA Server chỉ có thể hỗ trợ xin Certificate từ Web Site của CA Server
Vào trang web xin Certificate tại địa chỉ
http://192.168.0.2/certsrv
Giao diện trang web cấp Certificate của Cerficate Service trên Windows 2003.
Click chọn tiếp Advanced Cerrtificate Request để truy cập vào trang Web cho
phép cấp Certificate cho Web Server.
41
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn Advanced Option để xin Certificate bằng một Web Site đặc biệt trong trường hợp Public Key đã
tạo trước
Trang web tiếp theo hiển thị nội dung cần khai báo. Chúng tôi chọn Option thứ 2
để khai báo nội dung Public Key đã có sẵn trong tập tin Certreq.txt
Chọn Option này để xin cấp phát một Certificate từ một tập tin chứa Public Key có sẵn
Copy tòan bộ nội dung của tập tin Certreq.txt vào cửa sổ trên trang web của
Certificate Service
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 42
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Nội dung của tập tin certreq.txt có thể hiển thị bằng Notepad vì tập tin này là PlainText. Nội dung
chứa bên trong tập tin này là Public Key của Web Site cần được chứng thực để cấp một Certificate.
Copy tòan bộ nội dung của tập tin này vào cửa sổ Save Request
Dán tòan bộ nội dung của tập tin certreq.txt vào cửa sổ Web Site trên Certificate Server.
Click Submit để gửi đến Certificate Server.
43
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Dựa vào Request ID có thể biết được Certificate Server này đã cấp bao nhiêu Certificate.
Thời gian chờ bao lâu là do Certificate Administrator có cấp phát Certificate hay
không.
Cấp một Certificate đang ở trạng thái chờ (Pending)
Nhà quản trị phải lên CA Server Console và click chọn Issue, hiện tại Certificate
này đang ở trạng thái Pending
Cấp phát Certificate với Standalone Certificate Server chỉ có thể thực hiện Manual
Quay lại trang web của CA Server để Download Certificate và Download
Certificate Chain để Import Root CA Server Certificate để thực hiện việc Trust
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 44
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Xem trạng thái của Certificate đã được cấp phát bởi Administrator hay chưa
Trên Client, chúng ta sử dụng Certificate Snap‐in để quản lý. Những Certificate
sử dụng cho Web được xếp vào Service Certificate
Click Link để Download Certificate đã được chứng nhận và cấp phát bởi Certificate Authority
Click chọn Download Certificate Chain để Download Certificate cho Web Server
và Download luôn Root Certificate để thực hiện Trust Certificate Server.
Click Download Certificate để tải Certificate cho Web Site
45
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click Save để lưu lại tập tin Certnew.cer
Click Save để Download Certificate dạng .CER file
Chọn đường dẫn lưu Certificate tại C:\CertNew.cer
Lưu tập tin Certificate vào Desktop
Click Close. Không sử dụng chức năng Open tập tin Certificate này.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 46
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tiếp theo Download Certificate Chain
Download Certificate từ Certificate Authority
Click Save tập tin Certificate Chain
Tập tin Certificate Chain được lưu ở dạng tập tin p7b chứa 2 Certificates bên trong gồm 1 của Root
Certicicate Authority Server và 1 của Web Server.
Chúng tôi cũng lưu tập tin này trong đường dẫn C:\ cùng với tập tin Certnew.cer
Click OPEN để mở tập tin này và chạy vào đúng đường dẫn CERTNEW.P7B Æ
Certificate, Double Click vào VietCERT Certificate Service để thực hiện Trust
Certificate Authority Server VietCERT.
47
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click OPEN để mở Certificate và tiến hành Install Certificate
Click Install Certificate để Import Certificate vào Web Server. Quá trình này chỉ
để Trust Certificate Authority Server.
Install Root Certificate của VietCERT Certificate Service để Trust Server này
Tiếp theo Wizard và chọn đúng mục Trusted Root Certification Authorities bằng
nút Browse
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 48
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Import Certificate vào Trusted Root Certification Authorities để thực hiện trust với Certificate
Authority Server
Click Next
Click Finish để Import Certificate vào Web Server thực hiện quá trình Trust
Trên máy Web Server mở tiếp Certificate www.hocmạng.com để xem Certificate
có được Trust hay chưa
49
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Biểu tượng này cho biết Certificate đã được Trust. Web Server đã Trust với Certificate Authority
trong quá trình Install Certificate trước.
Tiếp theo chúng ta sẽ cấu hình Certificate này cho trang web www.hocmạng.com
trên DMZ Network.
Click phải chuột vào trang web HocMang.com và chọn Properties
Click chọn tab Security và chọn Server Certificate
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 50
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình khai báo Certificate cho Web Server sau khi đã được cấp phát bởi Certificate Authority
Giờ đây không cần cấu hình Request mà chỉ cần chọn Process the pending
request and install the certificate
Click chọn Process tiếp quá trình cấu hình HTTPS cho Web Site
Click next
Khai báo đường dẫn của tập tin certs.crt
51
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Khai báo đường dẫn Certificate File cho Web Site
Click next
Chọn Port sử dụng cho Web Site này ở HTTPS là 443
Cấu hình Port cho Web Site khi sử dụng SSL
Click Next
Tổng hợp lại nội dung về trang web
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 52
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tổng kết quá trình cấu hình Certificate cho Web Site họcmạng.com
Click Finish
Buộc User phải truy cập vào trang web này bằng SSL
Click phải vào trang web chọn Properties
Click chọn Tab Directory Security
Click Edit Settings
Click Edit để cấu hình bắt buộc sử dụng SSL cho trang web này
Click chọn Require secure channel (SSL) và Click chọn Requre 128 bit encryption
53
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Yêu cầu Clients phải sử dụng HTTPS khi truy cập vào trang Web này
Click OK
Nếu User nào truy cập vào trang web này bằng HTTP sẽ bị báo lỗi
Thử nghiệm lại trang web bằng cách vào Internet Explorer gõ dòng địa chỉ
http://www.hocmang.com, chúng ta sẽ nhận được thông báo là phải truy cập
trang web bằng đường dẫn Secure tức là https
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 54
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Internet Explorer yêu cầu phải sử dụng HTTPS khi truy cập vào trang web họcmạng.com
Truy cập lại trang web bằng đường Link sau https://www.hocmang.com
Trang web truy cập bình thường
Nội dung trang Web họcmạng.com hiển thị bằng HTTPS. Chú ý bên dưới góc phải cửa sổ có hình ổ
khóa màu vàng – chứng tỏ trang web này đang sử dụng HTTPS
55
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
6. Xây dựng hệ thống Active Directory
Hệ thống Active Directory của VietCERT.com đã được xây dựng trong bộ tài liệu
thực hành môn 70‐294 của nhóm biên sọan VietCERT. Trong vùng DMZ Network
có thể chúng tôi sẽ xây dựng một hệ thống Domain ICTExpress.com để chứng
thực Single Sign On cho cả hệ thống DMZ.
Việc cấu hình Active Directory trên vùng DMZ cũng không quá phức tạp, chúng
tôi dùng một Server trong vùng này và chạy DCPROMO
Vào RUN gõ DCPROMO
Sử dụng Wizard DCPROMO để cấu hình Active Directory trên Server thành Domain Controller
Click Next để chọn kiểu cấu hình cho Domain Controller.
Cấu hình Domain Controller cho một Domain mới với Option Domain Controller for a New
Domain. Chức năng này được sử dụng khi tạo một Domain Controller mới cho một Forest, Tree hoặc
một Child Domain.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 56
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click chọn Domain in a new Forest
Một Forest mới ra đời được đánh dấu bằng một Domain Controller đầu tiên của Domain đầu tiên
trong tòan Forest. Hệ thống hiện tại của chúng ta chưa có Domain nào nên bắt buộc chúng tôi phải
chọn Options này.
Bước tiếp theo xác định tên Domain dạng DNS
Tên Domain dạng DNS được chúng tôi sử dụng là ICTExpress.com. Thông thường tên Domain sẽ là
tên công ty .com. ICTExpress.com sẽ là Domain đầu tiên của Forest trong vùng DMZ Network, nó
đóng vai trò Forest Root Domain và Server1.ICTExpress..com là Domain Controller đầu tiên của
Forest.
Xác định tên của Active Directory sẽ xây dựng, trong tòan mô hình, chúng tôi
dựng hệ thống Active Directory mang tên ICTExpress.com (tên không phân biệt
57
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
chữa hoa hay thường). DNS Domain Name sẽ mang tên ICTExpress.com
Tiếp theo xác định NetBIOS Domain Name cho Active Directory. Tên này sẽ được
các Clients trước Windows 2000 sử dụng để phân giải thông tin của Active
Directory.
NetBIOS Domain Name mặc định sẽ được lấy từ DNS Domain Name cắt bỏ phần đuôi .com phía
sau. NetBIOS Domain Name được Clients trước Windows 2000 sử dụng.
Click Next, để mặc định cấu hình trên
Click Next xác định Database của Active Directory sẽ chứa ở đường dẫn nào.
NTDS là nơi chứa Active Directory DataBase của mỗi Domain Controller. Thư mục này cần bảo đảm
độ Performance của nó nên tốt hơn hết là Move sang một SCSI Drive dùng riêng.
Thư mục SYSVOL là nơi chứa Group Policy DataBase cho tòan bộ Domain này
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 58
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sysvol Folder cho biết đây là máy Domain Controller của một Domain. Sysvol chứa tòan bộ GPO
dưới dạng GUID Folder.
Click Next, nếu độc giả cấu hình đúng thì quá trình DCPROMO sẽ hiển thị như
sau.
DCPROMO thông báo quá trình kiểm tra DNS Zone
Cấu hình Permission thực ra là cấu hình Domain Functional Level cho Domain
họat động ở mức độ nào. Domain Functional Level có 3 cấp độ Mixed‐Mode,
Native Mode và Server 2003.
59
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình cho Domain họat động ở Native Mode. Nếu độc giả chọn Option ở trên, Mixed Mode sẽ
được thiết lập phù hợp cho hệ thống còn sử dụng Windows NT 4.0 làm Domain Controller.
Cấu hình Password cho Administrator ở chế độ Restore Mode
Restore mode Password được cấu hình riêng cho từng Administrator trên Local của từng Domain
Controller. Local Administrator sử dụng trong Restore Mode Password được chứa trong file SAM
của riêng mỗi Domain Controller.
Chờ quá trình DCPROMO hòan tất, khởi động lại Server.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 60
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Biểu tượng xây dựng một Domain Controller hòan tòan mới.
Độc giả phải khởi động lại Server sau khi đã chạy xong DCPROMO
Khởi động lại Server để kết thúc quá trình lên Domain.
Sau khi khởi động lại Server, Server đã trở thành một Domain Controller đầu tiên
cho Forest.
Cho các Server trong vùng DMZ Network tham gia vào Domain ICTExpress.com
để có thể thực hiện Single Sign On. Việc đầu tiên khi cấu hình tham gia Domain
là cấu hình TCP/IP Settings chỉ DNS Server về máy Domain Controller
61
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình DNS trên TCP/IP Configuration chỉ về DNS Server của DMZ Network. Nếu cấu hình sai,
SRV không được phân giải thành địa chỉ IP của Domain Controller, quá trình tham gia Domain sẽ
thất bại.
Tiếp theo vào Computer Settings phần Computer Name chọn Change
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 62
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click Change để đổi tên máy tính/đổi vai trò của máy tính là thành viên của Domain hoặc Workgroup
Click phần Member Of và gõ tên Domain ICTExpress.com
Member Of Domain cho biết Clients/Member Server này sẽ là thành viên của Domain tên
ICTExpress.com. Chúng tôi tham gia Domain này bằng DNS Domain Name và cần phải có DNS
SRV trên DNS Server.
Gõ Username/Password của bất kỳ một User trên Domain.
Khởi động lại Server sau khi tham gia Domain thành công
Tiếp theo cấu hình Trusting giữa 2 Forest VietCERT.com và ICTExpress.com, kiểu
Trust thực hiện là External Trust để có thể sử dụng Single Sign On giữa 2 Forest
này thông qua ISA Server. Cấu hình Trusting Domain các bạn tham khảo thêm
bên Tài Liệu Thực Hành môn 294 của VietCERT.
Ghi chú : Để Client ở cả 2 Domain có thể liên lạc được với nhau, trusting có thể chạy được chúng ta
phải cấu hình ISA Server mở các traffic cần thiết cho Kerberos.
63
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
7. Cấu hình dịch vụ chứng thực bằng RADIUS
Trên các thiết bị Firewall, để chứng thực bằng Username/Password chúng ta phải
có một Authentication Server. Windows chúng ta sử dụng RADIUS Server (trên
Windows gọi là Internet Authentication Server – IAS).
RADIUS Server sẽ quyết định việc đăng nhập thành công hay thất bại vào ISA Server. RADIUS sử
dụng Protocol UDP trong quá trình truyền gửi nên có thể bị tấn công. ISA Server có thể sử dụng
RADIUS để chứng thực User trong Access Rule.
Cài đặt RADIUS
Vào Control Panel chọn Add/Remove Programs
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 64
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Add/Remove Programs để cài đặt dịch vụ RADIUS Server vào Windows 2003. RADIUS Server là
dịch vụ miễn phí tích hợp trong Windows 2003.
Click chọn Add/Remove Windows Components
Các dịch vụ cộng thêm của Windows được thêm vào bằng Add/Remove Windows Components
Click chọn Network Services
Chúng tôi không click chọn Network Services mà thay vào đó là bấm Details để chọn duy nhất dịch vụ
Internet Authentication Service (IAS) là RADIUS trên Windows 2003.
Click Details chọn tiếp Internet Authentication Service (IAS)
65
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn dịch vụ Internet Authentication Service và Click OK sẽ tiến hành cài đặt RADIUS Server trên
Server này.
Click OK
Click OK và khai báo đường dẫn thư mục i386 của Windows 2003
Để giảm nhẹ hệ thống, Windows 2003 không chứa sẵn Source i386 trong bộ cài đặt mà thay vào đó
người dùng phải khai báo Source CD trong quá trình cài RADIUS
Cấu hình RADIUS Server cho phép ISA Server chứng thực
Tiếp theo là cấu hình IAS Server (RADIUS Server) và khai báo ISA Server thành
Client của RADIUS Server.
Vào Administrative Tools chọn Internet Authentication Service
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 66
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
RADIUS Server trên Windows 2003 với tên gọi Internet Authentication Service
Giao diện của IAS Server trên Windows 2003
Giao diện của RADIUS Server trên Windows 2003.
Click chọn RADIUS Clients và click phải chọn New để khai báo ISA Server làm
Clients của RADIUS Server
67
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo RADIUS Clients trên RADIUS Server của Windows 2003.
Friendly Name chúng ta gõ tên hiển thị của ISA Server là Firewall
Tiếp theo gõ địa chỉ IP của ISA Server
Địa chỉ IP của RADIUS Clients – địa chỉ IP của Firewall ISA Server 2006
Click Next
Xác định thông số liên lạc với Client tức RADIUS Server. ISA Server muốn chứng
thực bằng RADIUS Server phải khai báo chính xác Share Key được cấu hình trên
RADIUS Server.
Chúng tôi cấu hình Shared Key là 123abc !@#
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 68
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Shared Key được sử dụng để RADIUS Clients chứng thực với RADIUS Server. Shared Key phải
giống nhau trên Clients và Server.
Click Next
Kết thúc quá trình tạo RADIUS Client trên RADIUS Server.
Cấu hình ISA Server 2006 sử dụng RADIUS Server
Vào ISA Server Management Console chọn mục Configuration
Chọn tiếp mục General
Trong cửa sổ Details chọn Specify RADIUS and LDAP Servers
69
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sử dụng chức năng cấu hình RADIUS trong mục General của ISA Server Management Console.
Click Add để thêm RADIUS Server vào ISA Server. ISA Server sẽ là Client của
RADIUS Server.
Click Add để thêm RADIUS Server sẽ dùng để chứng thực các traffic từ Clients.
Khai báo thông tin về RADIUS Server.
Server IP là 192.168.1.2 là địa chỉ IP của RADIUS Server.
Phần Description chúng ta không cần quan tâm
Và quan trọng nhất là phần Shared Secret phải khớp với chuỗi ký tự đã khai báo
trên RADIUS Server là 123abc !@#
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 70
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Khai báo thông tin về RADIUS Server cho ISA Server. ISA Server sẽ gửi Authentication Request đến
đúng RADIUS Server đã cấu hình, sử dụng Shared Secret Key để chứng thực với RADIUS Server.
RADIUS sử dụng UDP Port 1812.
Click OK
Trở lại với phần cấu hình Authentication Servers và kiểm tra IP, Port của
RADIUS Server sử dung là 1812 UDP.
71
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sau khi cấu hình ADD thêm RADIUS Servercho ISA Server, chúng tôi kiểm tra lại phần cấu hình
trong ISA Server. Kiểm tra lại địa chỉ IP và số Port sử dụng. Nếu cấu hình sai phần này, ISA Server
sẽ bị lỗi khi sử dụng RADIUS Server để chứng thực.
Click OK
RADIUS Server sẽ được sử dụng khi cấu hình Access Rule, VPN, Web Proxy trên
ISA Server
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 72
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
á CHƯƠNG II
Cài đặt ISA Server 2006
Giới thiệu sơ lược về chương
73
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
8. Giới thiệu mô hình thực hành
Công ty VietCERT thuê khỏang địa chỉ IP Public 203.162.23.32/28 gồm 16 địa chỉ
IP, chúng tôi sử dụng những địa chỉ IP này cho những Server trong vùng DMZ
Network. ISA Server đóng vai trò Firewall (mô hình Three‐home) gồm 3 Interface
tương tác đến các mạng External, Internal và DMZ Network.
Hệ thống mạng chúng tôi thiết kế cho VietCERT bao gồm 3 hệ thốn gồm 2 LAN và một vùng mạng
DMZ. Hệ thóng DMZ chúng tôi sử dụng Public IP. Hệ thống LAN còn lại chúng tôi sử dụng
Private IP.
ISA Server sẽ bảo vệ hệ thống mạng LAN khỏi sự tấn công của Hacker. Nếu hệ
thống DMZ bị tấn công (vì Internet Clients truy cập trực tiếp vào DMZ) cũng
không ảnh hưởng đến LAN vì qua ISA Server các Attack Traffic này bị lọc lại.
Trong suốt các bài thực hành chúng tôi cấu hình các tính năng của ISA Server
2006 theo mô hình trên.
Các Server Web Server, Mail Server, Chat Server và Studying Online Server các
bạn thường truy cập chúng tôi đặt trong vùng DMZ (Local Hosting).
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 74
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Độc giả có thể download phiên bản Trial của Windows 2003 sử dụng trong 180
ngày (phải Activate). Mỗi CD KEY của Windows 2003 Trial được Activate một
lần cho phép sử dụng trong 180 ngày và được Update Service Pack và Hotfix đầy
đủ.
Download Windows 2003 Service Pack 1 tại địa chỉ
http://www.microsoft.com/technet/downloads/winsrvr/servicepacks/sp1/default.
mspx
Ghi chú: tại thời điểm viết cuốn sách này, Windows Server 2003 đã có phiên bản Service Pack 2 RC
cho Windows 2003 nhưng do đây là bản Release Candidate nên chúng tôi chưa đưa vào sử dụng.
Trước khi Update Service Pack cho hệ thống, đội ngũ IT phải kiểm tra rất kỹ mọi Hotfix bằng cách lập
hệ thống giả lập trên Virtual Server 2005 R2 (đây là một phiên bản miễn phí của Microsoft cho phép
giả lập hệ thống Server với Clustering trên Windows 2003). Sau khi cập nhật thành công trên hệ thống
Server ảo, chúng tôi mới thực sự cho tiến hành cập nhật thực tế.
VietCERT sử dụng hệ thống cập nhật tự động bằng sản phẩm SMS (System
Management Server)của Microsoft để cập nhật tòan bộ HotFix, Service Pack và cả
những bản vá lỗi của các chương trình không phải từ Microsoft như chương trình
quản lý khách hàng – một dự án cũng là mô hình đối chứng cho khách hàng nào
quan tâm đến hệ thống CRM và ERP đã triển khai và đưa vào sử dụng tại
VietCERT.
Độc giả có thể tải bản thử nghiệm của SMS 2003 tại địa chỉ
http://www.microsoft.com/smserver/evaluation/2003/r2.mspx
Việc cập nhật hệ thống rất quan trọng. Bản thân ISA Server 2004 cũng như 2006
đã hòan thành tương đối tốt việc bảo mật trên sản phẩm của mình, nhưng cũng
có hệ thống bị tấn công. Đa số các cuộc tấn công vào Firewall là do hai nguyên
nhân sau đây:
Nguyên nhân thứ nhất: Việc cấu hình quá lỏng lẻo, người quản trị không nắm
hết được các tình húông khi cấu hình, mở quá nhiều Port, mở nhiều ứng dụng vì
suy nghĩ theo hướng chỉ cần là được, hệ thống của mình chắc là không ai tấn
công …
Nguyên nhân thứ hai là hệ thống cập nhật các bản vá lỗi không được triển khai
(một trong các nguyên nhân để không triển khai được hệ thống này là do không
có License) nên Windows Server (2000/2003) có lỗi, từ những lỗi này Hacker có
thể tấn công qua ISA Server 2004/2006.
Để đơn giản hóa việc cập nhật và cạnh tranh với các sản phẩm Firewall khác (hạ
giá thành, tăng tính bảo mật và xây dựng Wizard giúp cho việc cấu hình dễ hơn
75
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
bao giờ hết) ISA Server có dòng sản phẩm dạng Appliance (ISA Server 2006 được
tích hợp trên thiết bị phần cứng, nhưng dòng sản phẩm này hiện chưa được bán
rộng rãi tại Vietnam)
Một số Appliance tiêu biểu
American Research Machines (ARM) ‐ S.I.A.S.A
http://www.microsoft.com/isaserver/hardware/arm.mspx
Celestix Networks
http://www.microsoft.com/isaserver/hardware/Celestix.mspx
Hewlett‐Packard
http://www.microsoft.com/isaserver/hardware/hp.mspx
Network Engines
http://www.microsoft.com/isaserver/hardware/NetworkEngines.mspx
Otto Security and Software Technologie
http://www.microsoft.com/isaserver/hardware/Otto.mspx
Pyramid Computer
http://www.microsoft.com/isaserver/hardware/Pyramid.mspx
Whale Communications
http://www.microsoft.com/isaserver/hardware/WhaleCommunications.mspx
Wortmann AG
http://www.microsoft.com/isaserver/hardware/WortmannAG.mspx
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 76
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Thiết bị ISA Server Appliance của Celestix tích hợp bộ ISA Server 2006 với phần cứng rất gọn gàng,
tiết kiệm được phần License cho Windows 2003 và hệ thống phần cứng phức tạp của một Server
chuyên nghiệp.
Dòng thiết bị của Colestix
Mô hình đề xuất của Celestix ISA Server Appliance có thể chạy được với nhiều hệ thống, mô hình đa
77
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
dạng. ISA Server có thêm dòng Appliance được xem là một thế mạnh, cấu hình dễ dàng hơn so với các
dòng Firewall khác.
Mô hình Firewall của Colestix với Firmware là ISA Server 2006 được khuyến cáo
sử dụng như trên. Ngòai thiết bị ra, ISA Server thường được cài đặt trên một
Server đang chạy hệ điều hành Windows 2003 Sp1 cũng được thiết kế với mô
hình tương tự như chạy bằng Appliance.
Giao diện cấu hình của ISA Server 2006 Appliance Celestix. Hệ thống giao diện được phát triển dựa
trên bộ ISA Server 2006 SDK. Cấu hình Appliance hòan tòan bằng Web Site tích hợp trên thiết bị ở
Port 10002.
Cấu hình trên thiết bị
Dòng thiết bị của HP Proliant tích hợp bộ ISA Server 2006 Standard Edition với ổ cứng Strip và đầu
DVD, USB cho phép Import cấu hình từ ngòai vào ISA Server dễ dàng.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 78
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Dòng thiết bị của HP
Trên ISA Server, nắm được nguyên tắc họat động của ISA Server là có thể cấu
hình tốt trên các thiết bị Microsoft ISA Server 2006 Appliance.
Ghi chú: ISA Server 2004 cũng có dòng Appliance nhưng chỉ với phiên bản Enterprise, và cũng không
bán ở thị trường Việt Nam.
Bastion Host
Mô hình mạng Bastion Host với Firewall là ISA Server (có thể là Application họăc Appliance đều
được). Trong mô hình này, ISA Server sẽ bảo vệ mạng Internal và cung cấp VPN Connection cho
Remote Users.
Trong mô hình này, ISA Server một mình bảo vệ cho hệ thống mạng LAN và
cung cấp Internet cho User trong mạng LAN. Trong mạng LAN của ISA Server có
thể có Domain Controller, DHCP Server, DNS Server, WINS Server và Web
Server, Mail Server. Những Server này có thể chỉ sử dụng trong mạng LAN, hoặc
được sử dụng trực tiếp từ Internet User (chỉ đối với Web Server và Mail Server,
đôi khi Domain Controller cũng được sử dụng để chứng thực cho Internet User).
Trong hệ thống LAN của ISA lúc này bao gồm 2 hệ thống LAN (1 là Internal cho
User trong công ty và một là hệ thống DMZ chứa các Server được truy cập trực
tíep từ Internet User)
79
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình IP và Gateway của hệ thống Bastion Host với Public IP từ ISP được cấp xuống cho Router
ADSL. Nếu cấu hình Public IP trên Router ADSL sẽ không cần thiết phải NAT trên Router và khi đó
không cần cấu hình Gateway tĩnh cho ISA Server.
Để cấu hình IP cho hệ thống Basion Host chúng ta phải cấu hình như sau
Trên ISA Server
Cấu hình IP bao gồm 2 Interface Internal và External, 2 Connection này kết nối
đến 2 NIC vật lý khác nhau. Trong bài thực hành, độc giả có thể sử dụng một
NIC với 2 địa chỉ IP nhưng dễ xảy ra lỗi. Chúng tôi không khuyến cáo độc giả sử
dụng cách này.
Cấu hình IP cho Bastion Host trên ISA Server sử dụng Network Connection trên Windows.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 80
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Internal kết nối ISA Server với mạng LAN bao gồm Domain Controllers, DNS
Server, DHCP Server ... và các máy Clients trong LAN. Trên Internal Interface của
ISA Server sẽ được cấu hình như sau
Internal Interface của ISA Server kết nối ISA với mạng LAN mang Network 192.168.1.0 sẽ không
được cấp Default Gateway. Trên mỗi Host, kể cả ISA Server, Gateway có thể có nhiều nhưng Default
Gateway chỉ có một (Default Gateway = Default Route)
Chú ý sử dụng DNS trong mạng LAN cho ISA Server phân giải tên miền nội bộ
(trong trường hợp truy cập Web Server, Mail Server bằng Host Header, ISA
Server sẽ sử dụng DNS Server để phân giải tên). Không nên cấu hình DNS trên
ISA Server chỉ trực tiếp ra ISP như 210.245.31.130 hoặc 203.162.4.190, ... vì lúc này
ISA Server không thể nhìn thấy được Local Web Server hoặc Mail Server.
External Interface kết nối ISA Server với Internet. ISA Server sử dụng Interface
RJ45 để kết nối ra Internet nên không thể kết nối trực tiếp đến nhà cung cấp dịch
vụ (ISP) mà phải thông qua một Router hoặc Modem (bộ chuyển tín hiệu).
Với External, cấu hình IP sẽ như sau
81
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
External Interface của ISA Server phải có Default Gateway hoặc độc giả có thể cấu hình Default Route
cho ISA Server cũng tương đương với Default Gateway
Clients và các Servers trong LAN
Cấu hình IP trên các Clients và Servers trong LAN phải mang Network ID giống
với ISA Server Internal Interface nghĩa là phải tương tác đến được ISA Server
bằng Internal Interface. Để ra được một Network ID khác, các Clients và Servers
trong LAN cần có một Default Gateway (là một IP trên một Interface của Router
gần với LAN nhất), lúc này, Default Gateway là địa chỉ IP của Internal Interface
trên ISA Server 2006.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 82
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Ở mô hình này, ISA Server sẽ là Gateway cho tất cả các máy trong LAN. Trên Clients chúng tôi cấu
hình 192.168.1.1 là Gateway cho tất cả các Clients. Cấu hình IP của Clients có thể gán tĩnh hoặc động
qua dịch vụ DHCP.
Và trên DMZ Server mang Public cũng cấu hình chỉ về ISA Server/Appliance làm
Gateway
83
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình IP và Gateway của các máy trong vùng DMZ Network. Chúng tôi sử dụng Public IP cho
DMZ Network và ISA Server mang địa chỉ IP 203.162.23.33 là địa chỉ IP đầu tiên trong Network
203.162.23.32/28.
Tóm lại, cấu hình IP của các máy trong LAN và ISA Server sẽ như sau
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 84
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chú ý địa chỉ IP của DNS Server và địa chỉ IP trong cấu hình TCP của ISA Server
(Internal Interface)
Mô hình Back‐End Firewall
Mô hình thứ 2 này cũng thường được sử dụng. ISA Server nhẹ gánh hơn các mô
hình khác là bảo vệ mạng LAN trong trường hợp FrontEnd Firewall bị đánh sập,
các Server trong vùng mạng DMZ bị tấn công và từ đó Hackers có thể tấn công
tiếp vào trong mạng LAN
ISA Server đóng vai trò Back‐End Server cho một Firewall khác. Khu vực giữa Frontend và Backend
Firewall là vùng DMZ chứa các Server sẽ được Published cho Internet Users
ISA Server có thể làm FrontEnd Firewall, nhưng trong Version từ 2004 trở đi,
Microsoft khuyến cáo nên dùng ISA Server (dạng Application) với vai trò
BackEnd là tốt nhất. Appliance có Performance tốt hơn và bảo mật hơn (vì nhẹ
phần Hệ điều hành).
Trong mô hình này, ISA Server cũng mang 2 Interface (External kết nối đến hệ
thống LAN có DMZ và Gateway của ISA Server sẽ là Internal Interface của
FrontEnd Firewall. Cấu hình trên Firewall và trên Router nói chung, nên sử dụng
Routing Table để cấu hình cho các thiết bị này. Với ISA Server, Routing Table
được cấu hình bằng dịch vụ Routing and Remote Access hoặc ROUTE ADD
Command.
Các Client trong mạng LAN do ISA Server quản lý cấu hình IP tương tự như mô
hình ở Bastion Host, Gateway chỉ đến ISA Server (Internal Interface).
Server trong vùng DMZ cấu hình IP khác Network ID với mạng LAN, và cùng
Network ID với External IP của ISA Server và Internal IP của FrontEnd Firewall.
85
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
FrontEnd Firewall lúc này có thể là PIX Firewall cũng gồm 2 Interface External
và Internal, cấu hình IP với Gateway (hoặc Default Route) về Modem truy cập
Internet.
Mô hình Backend với ISA Server cụ thể hơn khi chúng tôi gán Network ID cho các mạng có liên quan.
Trong mô hình này, ISA Server mang một địa chỉ IP Public nằm trong mạng 203.162.23.32/28
Cấu hình IP rất quan trọng, độc giả không được lẫn lộn chỗ này, nếu sai, tòan bộ
mô hình sẽ hỏng.
Cấu hình IP trên Frontend Firewall – có thể đây là một Appliance của ISA Server
hoặc một thiết bị khác với chứ năng Firewall
External Interface – cấu hình mang Public IP với gateway cấu hình về ISP. Trên
Server này có thể không cần cấu hình Routing Table với Destination là Network
ID của mạng LAN vì nếu User muốn truy cập từ internet vào LAN phải thực hiện
quay VPN 2 lần để vào đến ISA Server.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 86
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
External Interface của Frontend Firewall mang Public IP và cấu hình Gateway chỉ về địa chỉ IP của
ISP.
Internal Interface cũng mang Public IP với khỏang IP được cấp từ ISP, chú ý
khỏang IP này không trùng với khỏang IP sử dụng cho External của FrontEnd
Firewall
87
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Internal Interface của FrontEnd Firewall chỉ có cấu hình địa chỉ IP, ngòai ra không cần cấu hình gì
hết, kể cả Gateway và DNS.
Cấu hình IP trên ISA Server, ISA mang 2 Interfaces tương tác với mạng DMZ và
LAN.
External Interface mang Public IP nằm trong khỏang IP public do ISP cấp phát,
Network ID trùng với Network ID của DMZ Servers.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 88
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
External Interface của ISA Server mang Public IP nằm trong khỏang mạng của DMZ và sử dụng
FrontEnt Firewall làm Router (Default Gateway)
Internal Interface mang Private IP cùng mạng với Corp LAN. Độc giả không cấu
hình Gateway trên Interface này.
89
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tương tự như Bastion Host, ISA Server không cấu hình Gateway trên Internal Interface của mình,
chỉ cấu hình DNS để phân giải tên trong mạng nội bộ.
Cấu hình IP trên Clients trong Corp LAN cấu hình chỉ Gateway về địa chỉ IP
Internal của ISA Server. Network ID 192.168.1.0/24
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 90
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Trên Clients trong mạng LAN chỉ cấu hình Gateway đến 192.168.1.1 mà không cần biết bên ngòai
ISA Server còn một Firewall khác nữa. Nguyên tắc của Gateway là Router gần nhất.
Cấu hình IP trên DMZ Server mang Public IP do ISP cấp phát và chỉ Gateway về
Internal interface của Frontend Firewal.
Trên các Servers của hệ thống DMZ chúng tôi cấu hình IP tĩnh và chỉ Gateway về IP của FrontEnd
Firewall. DNS Server chúng tôi sử dụng chính máy 203.162.23.35 vì Server này sẽ là Domain
Controller cho hệ thống Forest của DMZ
91
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
FrontEnd 203.162.23.33 N/A 203.162.23.34 203.162.2334
Firewall DNS Server
Internal IP trong vùng
DMZ
192.18.1.3
Mô hình Three‐Homed
ISA Server có trách nhiệm nặng nhất là bảo vệ mạng LAN, đồng thời bảo vệ
mạng DMZ chứa các Server được truy cập trực tiếp từ Internet User.
Mô hình Three‐homed với ISA Server làm Firewall sẽ là mô hình chúng tôi chọn để cấu hình trong
suốt Tài Liệu Thực Hành này. DMZ và LAN đều kết nối vào ISA Server, mỗi mạng kết nối với ISA
Server bằng một Interface riêng với Network ID khác nhau. ISA Server đóng vai trò Router và
Firewall cho các mạng này.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 92
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
ISA Server sẽ có 3 Interface kết nối với 3 Network khác nhau: External, Internal
và DMZ kết nối với DMZ Network. Mô hình này giống với Bastion Host, chỉ có
thêm một Interface DMZ để tách mạng DMZ ra khỏi mạng LAN.
Mạng DMZ tách biệt khỏi mạng LAN để không bị tấn công từ phía ngòai, DMZ
thường xuyên được truy cập từ Internet nên nguy cơ tấn công rất cao. Microsoft
xem DMZ Network như Semi‐Trusted Network.
Cấu hình IP cũng tương tự như Bastion Host
Mô hình Three‐homed được minh họa rõ hơn với Network ID được đưa vào. Mạng DMZ chúng tôi
vẫn sử dụng Public IP với khỏang IP không đổi là 203.162.23.32/28
ISA Server External Interface cấu hình mang địa chỉ IP thật, tĩnh trong khỏang IP
được ISP cấp phát.
93
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
External Interfae của ISA Server mang một địa chỉ IP Public tĩnh, cấu hình về Gateway trên ISP. Độc
giả chú ý phần Subnet Mask trong địa chỉ IP trên, Network ID chỉ gồm 2 địa chỉ IP là 203.162.24.33
và 203.162.24.35 kết nối đến ISP.
ISA Server Internal Interface mang địa chỉ Private IP để tương tác với mạng LAN
mang Network ID 192.168.1.0/24
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 94
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Internal Interface của ISA Server không cấu hình Gateway, chỉ sử dụng Gateway trên External của
ISA Server
DNS Server trong LAN sẽ cấu hình Forwarder đến DNS Server trong mạng DMZ,
giúp ISA Server phân giải được tên miền của DMZ trong trường hợp sử dụng
Publishing Rule.
Trong mô hình này, ISA Server mang thêm một Interface để kết nối với DMZ
Network. DMZ Network chúng tôi cấu hình mang Public IP tĩnh nên Interface
này cũng phải mang Public IP cùng Network ID với DMZ Network.
Phần DMZ Interface chúng tôi cũng không cấu hình Gateway, được xem như Internal của ISA
Server nhưng mang địa chỉ IP Public.
Clients trong LAN mang địa chỉ IP nằm trong Network ID 192.168.1.0/24 và cấu
hình chỉ Default Gateway đến Interface Interface của ISA Server. DNS Server chỉ
về DNS Server trong mạng LAN. Từ DNS Server này sẽ forwarder những
Request đến các Server trong vùng DMZ hoặc Public DNS Server.
95
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Clients trong mạng LAN tất cả cấu hình Gateway chỉ về ISA Server (phải là Internal Interface của
ISA Server)
Servers trong mạng DMZ mang địa chỉ IP tĩnh và sử dụng ISA Server làm
Gateway.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 96
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Server trong mạng DMZ của ISA Server cũng mang địa chỉ IP tĩnh và sử dụng ISA Server làm
Gateway
Tóm tắt các địa chỉ IP cấu hình trên ISA Server, LAN Clients và DMZ Servers.
192.168.1.3
Ghi chú: ISA Server 2006 không sử dụng Firewall Clients cho Clients nữa mà có thể sử dụng LDAP
Server để thực hiện quá trình Single Sign On cho Clients.
Chạy file Setup.exe để bắt đầu cài đặt
Hình
Trong quá trình cài, ISA Server yêu cầu xác định Internal Network là mạng LAN
do ISA Server quản lý. Internal Network là một khỏang địa chỉ IP (tính từ
97
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Network ID đến Broadcast IP) được ISA Server hiểu với tên mặc định là Internal.
Sau khi cài đặt ISA Server, nhà quản trị có thể tạo thêm các Network mới với kiểu
là “Internal”. Vai trò của những Networks này tương đương với Internal mặc
định.
Chú ý: Internal Network hay bất kỳ Network nào được tạo ra trên ISA Server là một Range IP trong
đó phải bao gồm địa chỉ IP của Interface trên ISA Server kết nối với Network đó.
Click Next để tiếp tục
Chờ ISA Server hòan tất quá trình cài đặt. Chúng tôi khuyến cáo độc giả nên khởi
động lại Server sau khi cài đặt ISA Server 2006 hòan tất. Quá trình khởi động sẽ
làm mới lại Registry và khởi động lại các dịch vụ của ISA Server vừa được cài
đặt.
12. Những công việc cần làm sau khi cài đặt
Sau khi cài đặt ISA Server chúng tôi sẽ thực hiện những thao tác sau để kiểm tra
ISA Server đã cài đặt hòan tất.
Kiểm tra các dịch vụ của ISA Server
Sử dụng Snap‐in Services.msc
Kiểm tra các dịch vụ sau đây
ISA Server Control
Microsoft Firewall Service
ISA Server Job Scheduler
ISA Server Storage
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 98
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra các dịch vụ của ISA Server sau khi cài đặt là việc làm cần thiết. Quan trọng nhất là dịch vụ
Microsoft Firewall sẽ kiểm sóat Firewall Engine của ISA Server.
Nếu các dịch vụ chưa được Start, tiến hành Start các dịch vụ này. Mặc định sau
khi cài, các dịch vụ này đã được khởi động.
Kiểm tra Services bằng ISA Server Management Console
Vào ISA Server Management Console chọn mục Monitoring
Chọn Tab Services
Xác định các dịch vụ đang ở trạng thái Running
99
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra dịch vụ của ISA Server bằng chính giao diện ISA Server Management Console. Sử dụng
ISA Server Management Console độc giả có thể bật/tắt dịch vụ
Nếu ở trạng thái Stop, sử dụng ISA Server Management Console để start Services
Khởi động dịch vụ bằng cach Click phải chọn Start
Đến bước này có thể xem ISA Server 2006 đã dược cài đặt hòan chỉnh, nhưng
chúng tôi khuyến cáo độc giả nên kiểm tra lại cấu hình IP đã thiết lập trước khi
cài. Việc sai cấu hình IP là điều dễ xảy ra nhất với người mới cấu hình IP. (để hiểu
tốt về IP và Gateway, tham khảo thêm Tài Lịệu thực hành môn 70‐291 của công ty
VietCERT)
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 100
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
á CHƯƠNG III
Cấu hình Outbound Internet Acccess
Cho phép Clients trong LAN được truy cập Internet thông qua ISA Server 2006, giới thiệu các
kiểu Clients của ISA Server 2006
101
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
13. Mô hình cho bài thực hành
14. Các lọai Clients của ISA Server 2006
ISA Server có thể sử dụng các lọai Clients sau đây:
SecureNAT: tất cả các Host TCP/IP có một địa chỉ IP và cấu hình ISA Server
thành Gateway. Việc cấu hình Gateưay có thể tiến hành bằng tay, cấu hình
Manually hoặc cấu hình bằng một Server, chạy dịch vụ DHCP Server.
SecureNAT Clients có thể là một thiết bị, có thể là một Host Windows 2000, XP,
hoặc một máy tính đang sử dụng Linux. Clients sử dụng SecureNAT không thể
tận dụng hết được tính năng của ISA Server.
SecureNAT chỉ cần cấu hình Gateway sử dụng ISA Server là Gateway, chúng tôi
có thể cấu hình địa chỉ IP tĩnh cho các Clients.
Cấu hình TCP/IP sử dụng ISA Server làm Gateway là chấp nhận làm SecureNAT Clients của ISA
Server.
Hoặc sử dụng DHCP Option số 003 để cấu hình cho Clients làm Gateway, Clients
sẽ nhận cấu hình IP này và sử dụng ISA Server làm Gateway.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 102
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Có thể sử dụng DHCP Server Option 003 Router để cấu hình Gateway cho các máy Clients trong
LAN.
SecureNAT Clients bắt buộc phải cấu hình, cho dù chúng ta có cài Firewall
Clients hay không.
Web Proxy Clients: ISA Server họat động vơi tính năng Proxy rất tốt. Proxy
Server cung cấp cho Clients tính năng Cache cho Web. Web Caching trên ISA
Server sử dụng rất tốt. ISA Server Cache nội dung Web trên RAM nên tốc độ cải
thiện đáng kể. Tất cả các Web Browser hỗ trợ được tính năng Proxy là có thể sử
dụng ISA Server làm Proxy Server. Các Browser như IE, Firefox, Avant Browser
có thể dùng ISA Server 2006 làm Proxy Server. Các Proxy Clients không cần sử
dụng Default Gateway cũng có thể truy cập HTTP và FTP bình thường. Tính
năng Proxy trên ISA Server nếu sử dụng Web Proxy Clients chỉ hỗ trợ cho HTTP
và FTP.
Web Proxy Settings có thể cấu hình bằng Policy từ Domain hoặc cấu hình bằng
tay
Cấu hình Proxy Settings bằng Policy
Từ một GPO hợp lý trên Domain, click chọn Edit, ví dụ chúng tôi cấu hình Policy
trên OU Marketing
103
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn OU hợp lý để tác dụng Policy. Sử dụng Domain/OU Policy hiệu quả sẽ mang đến việc quản lý
Active Directory rất dễ dàng.
Thiết lập Proxy Settings cho Clients
Vào User Configuration Æ Windows Settings Æ Internet Explorer Maintenance
Æ Connection
Chọn tiếp Proxy Settings và Double Click
Thay đổi Option Proxy Settings trong một GPO đang áp dụng lên OU Marketing để cấu hình Proxy
cho tòan bộ nhân viên trong OU này.
Điền thông số vào Policy này.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 104
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Giao diện cấu hình Proxy Settings trong Policy.
Click OK
Trên Clients lúc này đã có sự thay đổi về IE Settings nhưng User có thể tự thay
đổi lại, chúng tôi sẽ tiếp tục dùng một Policy nữa để cấm không cho User thay
đổi Policy Settings.
Vào User Configuration Æ Administrative Templates Æ System Components Æ
Internet Explorer
Chọn tiếp Setting Prohibit Changing Proxy Settings
105
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tắt tính năng đổi Proxy bằng tay trong Internet Explorer. Chúng tôi sử dụng Proxy để cấm User tự
ý thay đổi.
Double Click va chọn Enable
Click Enable Option Disable changing proxy settings và Click OK
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 106
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click OK
Sau khi bị tác dụng bởi Policy này, trên Clients sẽ không thể cấu hình lại Proxy
Settings được nữa
Sau khi kiểm tra Clients trong LAN chúng tôi nhận thấy điều mong muốn là Proxy Settings đã bị vô
hiệu hóa, nhưng nội dung vẫn là 192.168.1.1 với Port 8080 của ISA Server.
Muốn thay đổi Proxy Setting, nhà quản trị sẽ sử dụng Policy để cấu hình lại mà
không cần cấu hình trên từng Clients.
Ghi chú: Sau khi thay đổi Policy, trên Clients muốn tác dụng ngay lập tức phải gõ lệnh GPUPDATE
/FORCE hoặc lần sau khi Clients Login sẽ bị ảnh hưởng Policy này. Thực ra nhóm quản trị chúng tôi
có thể Log Off User từ xa, nhưng việc này không cần thiết và không được quyền làm như vậy.
Cấu hình Proxy Settings trên từng Clients
Chúng tôi sử dụng cách này để cấu hình trên các Clients không tham gia Domain.
Chúng tôi cấu hình trên Internet Explorer.
Click Menu Tools Æ Internet Option
107
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Proxy từ Internet Explorer bằngInternet Option
Chọn tiếp Tab Connection
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 108
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn Tab Connection và tiếp tục chọn LAN Settings để cấu hình Proxy cho từng máy Clients.
Click LAN Settings
Click chọn Use the following Proxy Settings
Khai báo địa chỉ IP của ISA Server và Port sử dụng cho Proxy là 8080
Điền IP của ISA Server là 192.168.1.1 và Port chúng tôi sử dụng là 8080.
Firewall Clients: Lọai Clients này cần cài đặt một chương trình trên máy Clients.
Clients của ISA Server chỉ có thể cài trên hệ điều hành Windows nên lọai Clients
này chỉ đặc biệt dùng cho Windows. Clients của ISA Server sẽ tạo kết nối đến ISA
Server bằng một Tunnel riêng có mã hóa gọi là WinSOCKS, tất cả các traffic sẽ
được chuyển đến ISA Server và ISA Server sẽ đóng vai trò Proxy cho tất cả các
lọai traffic. Clients có cài đặt chương trình Firewall Clients có thể tận dụng tính
năng Single Sign On với User Account trên Active Directory.
Cấu hình Firwall Clients cần cài đặt thêm một chương trình trên Clients. Chương
trình này được lấy từ một thư mục Share trên ISA Server. ISA Server tự tạo Rule
cho phép Clients trong Internal được truy cập vào ISA Server lấy tài nguyên
Share này.
Kết nối lên ISA Server tại địa chỉ 192.168.1.1 lấy tài nguyên trên thư mục Share
MSPLNT và chạy tập tin Setup.exe
109
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kết nối đến ISA Server tại địa chỉ 192.168.1.1 lấy Firewall Clients và chạy cài đặt trên máy Clients.
Chạy tập tin Setup.exe
Hòan tất chương trình cài đặt
Cấu hình ISA Server Clients
Gõ địa chỉ IP của ISA Server và chọn Check Now
Chọn Tab Web Browser và Click Configure Now để ISA Clients tự động cấu hình
IE Proxy Settings.
Network Definition: được ISA Server hiểu là một khỏang địa chỉ IP kết nối đến
ISA Server. Khỏang địa chỉ IP này được đặt một Network Name. ISA Server sẽ
quản lý Network này qua Network Name trên ISA Server. Quản lý Network
Definition trên ISA 2006 ở mục Configuration Æ Network
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 110
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Giao diện cấu hình Networks Definition trên ISA Server 2006
Network Rule: quy định các mối liên hệ giữa các Networks trong ISA Server. Các
Networks này được ISA Server kết nối với nhau. Giữa hai mạng khi đi qua ISA
Server sẽ sử dụng một trong hai cơ chế sau đây: ROUTE hoặc NAT.
Routing không thay đổi Source IP khi đi qua ISA Server, gói tin được giữ nguyên
Source và Destination IP và được Forward đến Destination.
NAT thay đổi địa chỉ Source IP trong gói tin và Forward đến Destination. Ở
Destination chúng ta chỉ thấy gói tin đến từ External Interface của ISA Server mà
không biết được địa chỉ IP thật của gói tin.
Access Rule: quy định những lọai traffic nào được đi qua ISA Server. Access Rule
là thành phần quan trọng nhất của Firewall ISA Server 2006. Độc giả cần nắm
vững Access Rule để có thế cấu hình tốt ISA Server.
111
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Phần cấu hình chính nhất của ISA Server là Firewall Policy – nơi cấu hình tất cả các điều kiện cho
ISA Server.
Tất cả những bài thực hành dù cao hay thấp trên ISA Server 2006 đều được thực
hiện qua Access Rule. Những tình huống của ISA Server 2006 thực ra là sự kết
hợp giữa các Components của Access Rule Componenents với nhau.
Tạo Network mới trên ISA Server
Khi có một Network mới (một Network ID mới) kết nối trực tiếp đến ISA Server
chúng ta sẽ phải tạo một Network Defintion mới trên ISA Server. Network
Definition bao gồm khỏang địa chỉ IP của Network đó và đặt tên cho Network
Definition.
Trong mô hình trên, VietCERT có thểm một mạng LAN thứ 2 kết nối vào ISA
Server và mạng DMZ kết nối vào ISA Server, chúng tôi sẽ tiến hành tạo 2
Network cho ISA Server.
Tạo Network LAN 01
Vào ISA Server Management Console
Chọn tab Configuration
Chọn tiếp Network
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 112
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Network Definition bằng ISA Server Management Console trên Windows 2003
Chọn Tab Networks
Network Definition trong ISA Server Management Console trên Windows 2003
Trên cửa sổ Task Pane chọn Create a New Network
113
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sử dụng Network Tasks để tạo Network mới trong ISA Server Management Console.
Network Name gõ LAN 01
Network Name chúng tôi tạo cho ISA Server là LAN 01 quản lý mạng LAN 01 của hệ thống
VietCERT
Click Next
Network Type chọn Internal. Internal Network cho ISA Server biết đây là một
mạng LAN (trusted‐Network) là mạng được ISA Server bảo vệ hòan tòan.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 114
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Lọai Network sử dụng cho LAN 01 là Internal. Internal Network sử dụng trong LAN và được ISA
Server bảo vệ (Trusted Network)
Click Next
Click Add Range để thêm khỏang địa chỉ IP đang sử dụng trong mạng LAN 01
115
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Add Range để thêm khỏang IP cần cấu hình cho ISA Server. Range IP được Add trong khỏang này
dùng cho mạng LAN 01
Gõ khỏang IP xác định trong bảng trên
Khỏang IP sử dụng trong LAN 01 là 192.168.1.0/24. Chú ý trong khỏang IP này phải chứa cả địa chỉ
IP của ISA Server Interface kết nối với mạng này.
Click OK
Kiểm tra lại những IP đã ADD có nằm trong cửa sổ Wizard hay chưa
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 116
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại khỏang IP đã thêm vào ISA Server cho mạng LAN 01
Click Next
Review lại quá trình tạo Network. Trong bước này độc giả có thể xác định là
mình tạo đúng hay sai các thông tin để có thể thay đổi kịp thời.
Kiểm tra lại Network LAN 01 với khỏang IP 192.168.1.0/24
Click Finish kết thúc quá trình tạo Network.
Tạo Network DMZ
Vào ISA Server Management Console
117
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn mục Configuration, chọn mục con Networks
Cấu hình Networks Definitions trong ISA Server 2006 trên Windows 2003.
Chọn tiếp Tab network trong cửa sổ giữa
Các Network Definitions trên ISA Server 2003
Trong cửa sổ Task Pane chọn Create a New Network
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 118
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo Network Definition trên Network Tasks
Network Name gõ DMZ Network
Network Name chúng tôi sử dụng cho mạng DMZ là DMZ Network
Network Type xác định là Perimeter. Perimeter Network cũng là một mạng LAN
trong ISA Server nhưng Perimeter chứa các Server được truy cập từ Internet nên
có thể xem như không đủ bảo mật. ISA Server và các Firewall khác tách DMZ
(Perimeter) ra khỏi mạng LAN và xem như Semi‐Trusted Network. DMZ
Network nếu có bị tấn công cũng chỉ có thể leo thang đến các Server trong vùng
119
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
DMZ. ISA Server sẽ bảo vệ tuyệt đối Internal Network trong trường hợp DMZ bị
tấn công.
DMZ Network tương đương với Perimeter Network
Click Add Range để thêm khỏang IP cho vùng DMZ Network
Add range để thêm khỏang địa chỉ IP cho DMZ Network
Address Range gõ như cấu hình IP đã thống nhất trong kế họach
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 120
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Khỏang IP chúng tôi sử dụng cho DMZ Network là Public IP cố định
Click OK và kiểm tra lại khỏang IP đã cấu hình trong bảng trước. Việc kiểm tra
này không thừa, phải chắc rằng địa chỉ IP của ISA Server cũng nằm trong khỏang
này.
Khỏang IP chúng tôi đã gán cho DMZ Network gồm 16 địa chỉ IP tĩnh.
Click Next
Kiểm tra lại quá trình cấu hình Network.
121
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click Finish sau khi kiểm tra lại những phần đã cấu hình.
Click Finish
Cấu hình Network Rule
Network Rule cho ISA Server biết mối quan hệ giữa các Network với nhau trên
ISA Server. Nếu 2 Network cùng lọai IP sẽ sử dụng ROUTE trên ISA Server khi
tương tác. Hai Network khác lọai IP (Private/Public) sẽ sử dụng cơ chế NAT khi
tương tác với nhau qua ISA Server.
Xét những mối quan hệ của các Network với nhau trong ISA Server ở mô hình
sau
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 122
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Network Rules chỉ mối quan hệ giữa các mạng với nhau. Khi thiết kế hệ thống phải nhìn ở tầm tổng
quan hệ thống để xác định khi nào cần Route và NAT.
Chúng ta thấy giữa các mạng LAN với nhau mang địa chỉ IP Private sẽ tương tác
đến DMZ và mạng Internet (ISA Server hiểu Internet là External) bằng cơ chế
NAT. Quá trình NAT sẽ sử dụng Public IP của External Interface trên ISA Server
để giao tiếp với mạng Internet.
All LANS of ISA Server Æ Internet: NAT
All LANS of ISA Server Æ DMZ: NAT
Giữa 2 mạng LAN của ISA Server là Internal và LAN 01 kết nối với nhau qua ISA
Server. Hai mạng LAN này sử dụng cùng lại địa chỉ IP là Private IP nên sẽ sử
dụng cơ chế ROUTE để giao tiếp
LAN 01 Æ Internal: ROUTE
Và cuối cùng là DMZ Network với Internet. Chúng ta xét về lọai địa chỉ IP sử
dụng ở đây cùng là Public IP nên hai mạng này sẽ giao tiếp với nhau bằng cơ chế
ROUTE.
DMZ Æ Internet: ROUTE
Ghi chú: DMZ Network có thể mang địa chỉ IP Private hoặc địa chỉ IP Public tùy
theo hệ thống cấu hình thế nào. Nếu DMZ mang địa chỉ Public IP thì mối quan hệ
với các mạng khác cũng được xét: nếu cùng lọai, sử dụng ROUTE, khác lọai sử
dụng NAT. DMZ mang địa chỉ Private IP sẽ kết nối với Internet bằng cơ chế NAT
vì Private IP không thể trực tiếp đi ra Internet với Public IP bằng cơ chế ROUTE
123
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
được.
Tạo Network Rule giữa Internal và Externals
Mặc định ISA Server có một Rule gọi là Internet Access giữa Internal Network và
External (Internet) sử dụng cơ chế NAT nên ở phần này chúng ta không cần tạo
Network Rule cho Internal và External.
Vào Tab Configuration chọn tiếp mục Networks
Cấu hình Network Rules trong phần Networks của ISA Server Management Console trên Windows
2003
Chọn Networks Rules trong cửa sổ Detail Pane
Chọn Tab Network Rules trong phần Networks chỉ mối quan hệ giữa các mạng gồm ROUTE/NAT
Double Click hoặc chọn Properties Internet Access Rule
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 124
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Properties Network Rule hiện tại của ISA Server. Internet Access từ Internal ra External sẽ sử dụng
NAT
Kiểm tra phần Source Networks
Source Network bao gồm Internal và VPN Clients. VPN Clients cũng được xếp trong khỏang IP
Private. Private IP có mối quan hệ với Public IP là NAT.
Kiểm tra phần Destination Networks
125
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Destination Network là External đại diện cho mạng Internet.
Kiểm tra tiếp Tab Network Rule ta thấy đã sẵn sàng với cơ chế NAT. Giữa Private
IP Network và Public IP phải sử dụng cơ chế NAT.
Tab Network Relationship chỉ mối quan hệ giữa các mạng. NAT thay thế địa chỉ Source IP của gói
tin.
Click OK đóng cửa sổ Properties lại. Như vậy chúng ta không cần cấu hình
Internet Access cho việc NAT Internal và LAN ra Internet. Để cấu hình Internet
chúng ta chỉ cần cấu hình Access Rule.
Tạo Network Rule giữa LAN 01 và External
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 126
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
LAN 01 sử dụng Private IP sẽ kết nối với External bằng cơ chế NAT trên ISA
Server.
Network Rule chúng ta sẽ tạo gồm
Vào ISA Server Management Console
Chọn mục Configuration, chọn tiếp mục Networks
Cấu hình Network Rules sử dụng Networks trong ISA Server Management Console.
Chọn tiếp tab Network Rule để cấu hình mối quan hệ giữa mạng LAN 01 và
Internet
Tab Network Rules quy định mối quan hệ giữa các mạng
127
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click trên cửa sổ Task Pane của ISA Server chọn Create a New Network Rule
Sử dụngNetwork Task để tạo một Network Rule mới
Rule Name gõ LAN 01 <> External
Mối quan hệ giữa LAN 01 và External sẽ là NAT. Chúng tôi đặt tên cho Network Rule để dễ nhận
biết.
Click Next
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 128
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Source Network click Add để chọn LAN 01
Click ADD để thêm Source Network
Browse phần Networks Definition và Double Click vào LAN 01
Source Network sẽ là LAN 01. ISA Server dựa trên địa chỉ IP của Source Packet và so với khỏang địa
chỉ IP của Network LAN 01
Click Close
Kiểm tra lại Network vừa thêm vào Source Networks
129
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra Network LAN 01 sau khi Click Add trong Network Components
Click Next
Click Add để thêm External vào Destination Network
Tiếp tục Destination chúng tôi chọn External đại diện cho Internet
Double External và click Close
Click Next
Trong phần chọn Relationship chúng ta chọn NAT để 2 mạng này kết nối với
nhau bằng NAT.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 130
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Mối quan hệ giữa LAN 01 và External là NAT. Địa chỉ IP Source của gói tin được thay thế bằng địa
chỉ IP Public của ISA Server.
Click Next
Review lại quá trình tạo Rule trong cửa sổ cuối cùng, kiểm tra kỹ phần này để có
thể xác định lỗi trong quá trình tạo.
131
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra lại cấu hình và Click Finish
Click Finish
Tạo Network Rule giữa LAN 01 và Internal
Hai mạng LAN kết nối với nhau qua ISA Server sử dụng cùng lọai Private IP nên
kết nối với nhau bằng cơ chế ROUTE.
Network Rule chúng ta sẽ tạo như sau
Vào ISA Server Management Console
Chọn mục Configuration, chọn mục Networks
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 132
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Network Rule được cấu hình trong mục Networks của ISA Server Management Console.
Chọn tiếp tab Network Rule
Network Rules được cấu hình trong Tab Network Rules
Click trên cửa sổ Task Pane của ISA Server chọn Create a New Network Rule
133
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo Network Rule mói bằng Tab Task trong Task Pane
Rule Name gõ LAN 01 <> Internal
Rule Name hiển thị mối quan hệ giữa các mạng. Rule Name chỉ có giá trị hiển thị, không có giá trị với
ISA Server.
Click Next
Source Network click Add để chọn LAN 01
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 134
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click ADD để thêm Source Network cho Rule
Double Click vào LAN 01, click Close
Source Network là LAN 01 gồm khỏang IP Private trong LAN của VietCERT
Kiểm tra lại Network LAN 01 trong phần Source Networks
135
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra Network Source sau khi Add từ cửa sổ Network Components
Click Next
Click Add để thêm Internal và Destination Network
Destination của Rule này là Internal – mạng LAN mặc định của VietCERT
Click Next
Trong phần chọn Relationship chúng ta chọn NAT để 2 mạng này kết nối với
nhau bằng ROUTE.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 136
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Mối quan hệ giữa 2 mạng này là ROUTE – không thay đổi địa chỉ Source IP của gói tin. Network
Rules cấu hình có tác dụng 2 chiều
Click Next
Review lại quá trình tạo Rule trong cửa sổ cuối cùng, kiểm tra kỹ phần này để có
thể xác định lỗi trong quá trình tạo.
137
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra lại quá trình cấu hình và Click Finish
Click Finish
Tạo Network Rule giữa các mạng LAN với DMZ Network
DMZ Network của VietCERT lúc này sử dụng Public IP nên kết nối với các mạng
LAN sử dụng Private IP phải dùng cơ chế NAT.
Ghi chú: nhiều độc giả hỏi chúng tôi rằng Public IP và Private IP trên cùng một
ISA Server trong mạng LAN, lúc này Public IP vẫn chưa ra ngòai Internet mà chỉ
truy cập vào trong DMZ thôi, liệu chúng tôi có thể sử dụng cơ chế ROUTE để kết
nối được không. Câu trả lời của chúng tôi là không, vì mặc định các lọai Firewall
nói chung và ISA Server nói riêng không cho phép sử dụng cơ chế ROUTE giữa
Private IP và Public IP.
Network Rule giưa các mạng LAN và DMZ sẽ được tạo như sau
LAN 01
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 138
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Vào ISA Server Management Console
Chọn mục Configuration, chọn mục Networks
Network Rule được cấu hình trong mục Networks của ISA Server Management Console.
Chọn tiếp tab Network Rule
Network Rules Tab để cấu hình các mối quan hệ giữa các mạng
Click trên cửa sổ Task Pane của ISA Server chọn Create a New Network Rule
139
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sử dụng Network Rule Task để tạo thêm Rule cho Network của mạng LAN và DMZ Network với
Public IP
Rule Name gõ All LANS <> DMZ
Network Rule Name giữa các mạng LAN với DMZ Network
Click Next
Source Network click Add để chọn LAN 01 và Internal
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 140
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click ADD thêm phần Source Network
Double Click vào LAN 01, double click tiếp vào Internal
Chọn LAN 01 và Internal làm Source Network cho Rule
Click Close
Kiểm tra lại Source Networks, phần này là hai chiều
141
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra lại Network Source sau khi ADD
Click Next
Click Add để thêm DMZ vào Destination Network
Destination Network sẽ là DMZ Network đại diện cho mạng Perimeter mang Public IP.
Double DMZ và click Close
Kiểm tra lại DMZ Networks trong phần Destination Networks của Wizard
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 142
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại mạng DMZ Network đã thêm trong Wizard
Click Next
Trong phần chọn Relationship chúng ta chọn NAT để 2 mạng này kết nối với
nhau bằng NAT.
Mối quan hệ giữa mạng mang Private IP và Public IP sẽ là NAT. NAT thay thế địa chỉ IP của Source
IP trong Packet gửi ra ISA Server.
Click Next
Review lại quá trình tạo Rule trong cửa sổ cuối cùng, kiểm tra kỹ phần này để có
143
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
thể xác định lỗi trong quá trình tạo.
Kỉểm tra lại phần tổng hợp Rule và Click Finihs
Click Finish
Tạo Network Rule giữa DMZ Network mang Public IP với External
DMZ Network có thể mang Private IP hoặc Public IP. Tùy theo kiểu IP của DMZ
Network chúng ta sẽ sử dụng các cơ chế NAT hoặc ROUTE tùy biến.
Nếu DMZ mang Private IP khi đi ra Internet sẽ sử dụng cơ chế NAT và DMZ với
Public IP sẽ sử dụng cơ chế ROUTE khi ra ngòai Internet.
Trong mô hình mạng chúng tôi đang sử dụng DMZ với Public IP nên sẽ cấu hình
Network Rule như sau cho DMZ Network và Internet
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 144
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Network
Vào ISA Server Management Console
Chọn mục Configuration chọn mục Networks
Networks trong Configuration sử dụng cấu hình Network Rule
Chọn tiếp tab Network Rule trong cửa sổ Detail Pane
Cấu hình Network Rule quy định mối quan hệ giữa DMZ và External
Click trên cửa sổ Task Pane của ISA Server chọn Create a New Network Rule
145
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo Network Rule bằng Task Pane
Rule Name gõ DMZ Network <> External
Rule Name chúng tôi đặt trong Wizard là DMZ Network <> External hiển thị mối quan hệ trong
Rule.
Click Next
Source Network click Add để chọn DMZ Network
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 146
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click ADD để thêm Source Network cho Rule
Double Click vào DMZ Network
Source Network sẽ là DMZ Network.
Click Close
Kiểm tra lại DMZ Network trong phần Source Networks
147
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra Network DMZ sau khi thêm vào Wizard
Click Next
Click Add để thêm External và Destination Network
Destination Network của Rule là External – đại diện cho mạng Internet.
Double External và click Close
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 148
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại External là Destination Network
Click Next
Trong phần chọn Relationship chúng ta chọn NAT để 2 mạng này kết nối với
nhau bằng ROUTE. Trên Router kết nối Internet phải cấu hình thêm Routing
Entry cho Router này.
Mối quan hệ giữa 2 mạng này là ROUTE vì cùng mang địa chỉ IP Public.
Click Next
Review lại quá trình tạo Rule trong cửa sổ cuối cùng, kiểm tra kỹ phần này để có
149
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
thể xác định lỗi trong quá trình tạo.
Kiểm tra lại Rule và click Finish
Click Finish
Sau khi cấu hình tất cả các Network Rule cho những mối quan hệ qua ISA Server
2006, chúng ta kiểm tra tổng quan lại lần cuối trên ISA Server 2006
Click ISA Server chọn Configuration Æ Networks
Chọn Tab Network Rules và nhìn tổng quan những Rule đã tạo
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 150
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sau khi cấu hình trên ISA Server, chúng tôi Click Apply để tác dụng cấu hình này vào ISA Server.
Click Apply để chấp nhận những thay đổi này, ISA Server sẽ cập nhật những
thông tin về Network Rule sau khỏang thời gian 5 giây.
Phần tiếp theo là cấu hình Access Rule do độ phức tạp của Access Rule nên
chúng tôi sẽ hướng dẫn tiếp trong phần thực hành sau.
ISA Server cung cấp 2 tính năng cho một hệ thống, đó là Security (tính năng
Firewall) và Accelerator (tăng tốc Internet bằng tính năng Proxy Server). Mọi
traffic khi đi qua ISA Server sẽ được ISA Server kiểm tra theo các trình tự sau
151
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
ISA Server sử dụng Access Rule để kiểm tra tất cả các lọai traffic đi qua ISA Server. Access Rule là
phần chính cần cấu hình kỹ trên ISA Server. Các Network Components kết hợp lại tạo thành điều kiện
cho Access Rule.
ISA Server cấm tuyệt đối các Traffic từ ngòai vào ISA Server. Đối với Traffic từ
trong mạng LAN ra Internet, ISA Server sẽ kiểm tra lần lượt xem
User/Computer/Protocol/Source/Destination của Traffic đó có hợp lệ hay không
để đi đến một Action (quyết định cuối cùng) là Allow hoặc Deny. Lần lượt tất cả
các thông số trong Packet của Clients khi gửi ra ngòai sẽ được ISA Server kiểm
tra rất kỹ. Access Rule là khung chuẩn các điều kiện để xác định kết quả cuối
cùng của Packet đó.
Access Rule trên ISA Server có cấu trúc như sau. Access Rule này áp dụng cho
ISA Server 2004 và 2006, trên thiết bị Appliance lẫn Application trên Server 2003.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 152
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Access Rule bao gồm các điều kiện, khi thỏa mãn các điều kiện này, Access Rule sẽ cho ISA Server biết
quyết định như thế nào với luồng traffic này: ALLOW hoặc DENY
Ngọai trừ phần Allow/Deny là Action, các phần còn lại trong Access Rule được
xem là thành phần của Rule đó (hay gọi là Components). Trong đó
Protocol/IP Port/Type: kiểu Packet gửi từ Clients ra ISA Server. Những thông
tin này ISA Server sẽ đọc trong IP TCP Header của gói tin.
Source Network/IP, Destination Network/IP: thông tin này ISA Server đọc
được từ Packet của Clients gửi đến ISA Server. Dựa trên thông tin này, ISA
Server xét xem có hội đủ các điều kiện hay không. Đây là phần chính mà chúng ta
quan tâm. Ở Source/Destination chúng ta có thể sử dụng Network Definition để
thay cho từng địa chỉ IP riêng lẻ. Source/Destination cũng được xem là Access
Rule Component.
Schedule: Thông số này không cấu hình ngay trong lúc tạo Access Rule mà chỉ có
thể tạo được sau khi đã cấu hình Rule, thông qua cửa sổ Properties chúng ta có
thể cấu hình Scheduler. Scheduler cũng là Access Rule Component.
Content Type: Phần này chỉ áp dụng với gói tin HTTP. Những file được chuyển
tải qua gói tin dạng HTTP sẽ được kiểm tra dựa trên tên đuôi của file, hoặc dựa
trên đường dẫn của file đó trong gói HTTP. HTTP là Application Protocol sử
dụng TCP Port 80. Tương tự như Scheduler, Content Type không thể cấu hình
trực tiếp trong lúc tạo Access Rule mà phải thông qua cửa sổ Properties của Rule.
User: xác định User nào được phép sử dụng Rule này. User có thể là Local User
trên chính máy ISA Server hoặc User trên RADIUS Server, riêng với ISA Server
2006 có thể sử dụng một LDAP Server để thực hiện việc chứng thực Users.
153
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Access Rule thực ra là kết hợp các Access Rule Components lại với
nhau gồm Source/Destination, User, Protocol, Scheduler và Content Type với
nhau để có được kết luận cuối cùng là Allow hoặc Deny. Để cấu hình Access
Rule, chúng ta sẽ tiến hành tạo các Component trước.
Tóm tắt các thành phần trong Access Rule. Để xét Allow hoặc Deny khi thỏa mãn đúng các điều kiện
trong Rule.
Tạo Network Object
Network Object là phần thường xuyên sử dụng nhất và không thể thiếu được
trong mọt Access Rule. Network Object có thể là một Network (một mạng LAN),
một Computer (máy tính nào đó dựa trên địa chỉ IP), Address Range (khỏang địa
chỉ IP) hoặc một tập hợp các Network nào đó (gọi là Network Set) … chúng ta sẽ
lần lượt tạo các Network Object cho ISA Server.
Tạo Computer
Chúng tôi sử dụng Computer Network Object để xác định một máy tính nào đó
dựa rên địa chỉ IP của máy tính này. Khi ISA Server nhận được gói tin nó sẽ xác
định Computer này dựa trên Source IP của gói tin.
Vào Task Pane chọn Tab Tool Box
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 154
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Network Objects trong phần Tool Box của mục Firewall Policy.
Chọn Network Object, những thành phần trong này sẽ đóng vai trò chính trong
Access Rule
Mục Computer đại diện cho một địa chỉ IP trong mạng (hoặc ngòai mạng) của ISA Server. ISA
Server không quan tâm đến Computer Name mà chỉ biết đến Source IP của gói tin gửi qua ISA
Server.
Click vào Menu New chọn Computer
155
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click New Æ Computer để tạo một máy tính mới, thực chất là một địa chỉ IP.
Trong cửa sổ Computer phần Name chỉ là phần hiển thị Object trên ISA Server.
Thông qua Nme này chúng ta sẽ quản lý máy tính này trên ISA Server. Name gõ
Director Computer
Phần IP chúng ta gõ địa chỉ IP của máy tính của ông Tỏan – giám đốc công ty
VietCERT là 192.168.1.5
Tạo một Computer mới trên ISA Server.
Click OK
Kiểm tra lại trong Task Pane, một Computer mới đã được tạo
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 156
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại Computer sau khi tạo trên ISA Server. Computers nằm trong mục Computers của
Network Components
Computer này hiện tại chưa tác dụng lên một Policy nào cả, chúng tôi sẽ cấu hình
sau.
Tạo Protocol Definition
Trong ISA Server có sẵn rất nhiều Protocol nhưng vẫn chưa đáp ứng đủ nhu cầu
của nhà quản trị. Chúng ta có thể tạo thêm các Protocol Definition trên ISA Server
cho phép quản lný các Protocol không nằm trong danh sách sẵn có của ISA. Một
trong những Protocol mà nhiều người quan tâm là Yahoo Messenger và Skype.
Yahoo Messenger sử dụng TCP port 5050, 5100 và 5000 cho ba dịch vụ Chat,
Voice và Webcam. Chúng ta sẽ tạo một Protocol mới trên ISA Server. Chú ý khi
tạo chỉ là tạo Component, chưa thực sự đưa vào Access Rule.
Vào Task Pane, chọn Tab Tool Box
157
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Các Protocol thông dụng nằm trong mục Common Protocols của Netwok Components
Click Menu New chọn Protocol
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 158
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo Protocol mới cho Network Components bằng cách click New Æ Protocol
Phần Name gõ tên hiển thị là Yahoo Messenger.
Protocol Name chúng tôi tạo cho ISA Server là Yahoo Messenger. Protocol name chỉ có giá trị hiển
thị.
Click Next
Ở phần Primary Connection chúng ta click New
159
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click New để tạo thêm Connection cho Protocol này.
Trong cửa sổ tạo Protocol mới chọn kiểu Protocol là TCP
Port Range chạy từ 5050 đến 5050
Connection bao gồm Protocol, Port sử dụng và hướng của Traffic
Click OK
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 160
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tiếp theo Click New 2 lần nữa để tạo tiếp Protocol Definition cho Port 5100 và
5000
Click New để thêm Connection mới cho protocol Yahoo Messenger
Tạo tiếp Range Port 5100
Protocol, Port và hướng của Traffic sử dụng cho Yahoo Voice Chat
Click New tiếp tục để tạo Range 5000
161
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click NEW để tạo thêm Connection cho Yahoo Webcam
Range Port 5000 hướng Outbound
Port sử dụng cho Yahoo Webcam, hướng vẫn là Outbound
Kiểm tra lại Protol sau khi tạo
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 162
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại các Connectoin đã tạo cho Protocol Yahoo Messenger
Click Next
Ở phần Secondary Connection chúng ta không tạo, click Next
Secondary Connection chúng tôi không sử dụng.
Kiểm tra lại quá trình tạo trong cửa sổ Review
163
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra lại Protocol Definition và click Finish
Click Finish
Đối với Skype thì Protocol sử dụng là TCP Port 80 – HTTP nên không cần tạo vì
tren ISA Server mặc định đã hiểu được HTTP
Click vào Task Pane chọn Tab Protocol Definition Æ Common Protocol để xem
HTTP
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 164
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sau khi cấu hình Protocol chúng ta có thể thay đổi bằng cửa sổ Properties
Click phải chọn Properties hoặc Double Click vào HTTP
Chọn tab Parameter và xem Port, Direction và Protocol của HTTP
165
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
HTTP Protocol mặc định được gán Filter Web Proxy cho phép ISA Server lọc các traffic của HTTP và
Cache lại cho dù Clients sử dụng chức năng Secure NAT.
Và chú ý HTTP có hướng Outbound
Tạo User
Vào ISA Server Management chọn mục Firewall Policy
Click chọn Tool Box, chọn tiếp phần Users
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 166
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sử dụng ToolBox trong Firewall Policy để tạo thêm User Definition mới
Click phải chuột chọn New Users
Tạo New User Definition trên ISA Server
Những User này sẽ được thêm vào Policy, User có thể lấy trực tiếp từ Windows
User (SAM hoặc Active Directory). Name chúng tôi chọn Staff Members chứa
những Account các nhân viên trong phòng giám đốc.
167
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Staff Members chỉ là tên hiển thị chúng tôi muốn tạo trên ISA Server bao gồm tất cả các User trong
phòng Training
Click Add để thêm User vào Component này
Click ADD để thêm User vào User Defitnition Staff Members
ISA Server có thể sử dụng chứng thực Windows User/Group hoặc sử dụng
RADIUS Server. Trên RADIUS Server phải cấu hình thêm Remote Access Policy
cho phép nhóm User được truy cập. RADIUS Server trên một Server đã tham gia
Domain sẽ cho phép ISA Server 2006 chứng thực bằng Domain User mà không
cần tham gia Domain.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 168
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Thêm User từ RADIUS Server. ISA Server hỗ trợ chứng thực bằng Windows User (SAM hoặc
Domain), LDAP Server hoặc RSA SecurID
Click Next
ISA Server 2006 hiển thị một cửa sổ nhỏ cấu hình, chúng tôi chọn All users in this
namespace
Chọn tất cả các User trên RADIUS Server.
Click OK
169
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
RADIUS Server đã được thêm vào Wizard và được ISA Server hiểu với tên Staff Members
Click Next
Kiểm tra lại trong cửa sổ Review
Kiểm tra lại User Set và Click OK.
Click Finish
Trong phần User Components xuất hiện thêm một nhóm Users mang tên All Staff
Members
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 170
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sau khi tạo User Set và kiểm tra lại trong mục Users trên ToolBox
Tạo Scheduler
Scheduler sử dụng để quy định khi nào Rule này có tác dụng. Scheduler có 2
trạng thái Active và Inactive.
Trong giờ làm việc, nhân viên của VietCERT không được phép truy cập Internet
trong giờ làm việc. Vào giờ nghỉ trưa, mọi người có thể truy cập Internet.Chúng
tôi tạo thêm một Scheduler là ngòai giờ làm việc cho Active Rule, trong giờ làm
việc không cho Active Rule.
Vào Task Pane, Tool Box và click chọn Scheduler
171
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Scheduler trên ISA Server cho biết khi nào Rule có tác dụng
Click phải chọn New Scheduler (hoặc Click Menu New chọn Scheduler)
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 172
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo thêm Scheduler cho ISA Server bằng cách Click phải chọn New Scheduler
Name chỉ là phần hiển thị trên ISA Server, chúng tôi đặt là Out of work
Phần Active chúng tôi thiết lập như trong hình, từ 11h đến 13h Rule sẽ Active.
Tạo Scheduler trên ISA Server chỉ cần quy định giờ nào ISA Server được Active/Inactive. Scheduler
Click OK
Kiểm tra lại Scheduler vừa tạo
173
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Scheduler Out of work vừa tạo trên ISA Server được quản lý bằng mục Scheduler trong ToolBoxx
Scheduler này sẽ được kết hợp với một Access Rule cho phép truy cập Internet
nhưng chỉ vào giờ 11h‐13h khi đó Rule được Active.
Tạo Content Type
Content Type quy định kiểu dữ liệu chuyển qua HTTP Traffic. Content type xác
định dựa trên File Type Extension (tên tập tin mở rộng).
Ngòai nhóm R & D, VietCERT không cho nhân viên truy cập Internet và
Download bất kỳ tập tin nào có khả năng chạy. Chúng tôi sẽ tạo một Content
Category bao gồm tất cả các tập tin mở rộng có khả năng chạy như .EXE, .COM,
.MSI, .CAB (chứa tập tin chạy), .MSC …
Vào Task Pane chọn Tab Tool Box
Chọn mục Content Type
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 174
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Content Type trong mục ToolBox quy định kiểu dữ liệu được chuyển tải qua ISA Server. Content
Type chỉ tác dụng với HTTP Traffic.
Content type tổ chức các tập tin theo hạng mục (gọi là Category)
Content Type đã được quy định sẵn trên ISA Server.
Click phải chọn New Content Type Set … để tạo thêm hạng mục mới
175
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo mới Content Type bằng Context Menu của ToolBox
Gõ tên Category là Executable Files
Phần Details quy định những tên tập tin mở rộng, gõ tên tập tin và click Add
Thêm vào các tên tập tin mở rộng có khả năng chạy được như trên
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 176
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo thêm Content Type Category trên ISA Server. Content Type này chỉ tác dụng trên HTTP Traffic
Click OK
Ghi chú: tất cả những Content Type vừa tạo chỉ áp dụng cho HTTP Traffic.
Kiểm tra lại Component Content Type vừa tạo
177
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Content Type Category vừa tạo được hiển thị trong mục ToolBox trên ISA Server.
Những Content Type này sẽ được đưa vào các Policy chúng ta cấu hình sau.
Tổng hợp lại các Component vừa tạo để cấu hình một Access Rule
Tiếp theo các ghép các Components này lại với nhau thành một Rule trong mục
Firewall Policy. Những Components này là điều kiện cho ISA Server quyết định
là Allow hoặc Deny Rule đó.
Để tiện cho việc tạo Rule, chúng tôi đưa ra một tình huống cụ thể như sau:
Yêu cầu 1: Khỏang địa chỉ IP từ 192.168.1.30 đến 192.168.1.80 là máy của các nhân
viên, và trong giờ làm việc họ chỉ được sử dụng Internet để Check Mail và không
được sử dụng Web hoặc nghe nhạc Online.
Cấu hình: Để cấu hình khỏang địa chỉ IP, chúng tôi sử dụng Address Range
trong Tool Box của ISA Server, quy định Range IP là 192.168.1.30 đến
192.168.1.80.
Xét về Protocol thì những Clients này chỉ có thể truy cập Mail Traffic gồm POP3,
IMAP4 và SMTP. Clients có thể truy cập trực tiếp bằng địa chỉ IP của Mail Server
hoặc sử dụng tên miền. Trong trường hợp dùng tên miền, Clients phải có DNS để
phân giải tên miền nên trong phần Protocol chúng tôi sẽ cho phép Clients đi bằng
DNS.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 178
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Source Network: Các Clients trong mạng LAN nhưng không phải tất cả, chỉ gồm
khỏang IP 192.168.1.30 đến 192.168.1.80 nên Source sẽ là Address Range.
Destination Network: Mail Server hệ thống VietCERT sử dụng là Mail Online
ngay trong vùng DMZ. Clients trong LAN sẽ truy cập Mail Server đặt tại DMZ
của Sài Gòn HQ. Destnation sẽ chọn chính xác địa chỉ IP của Mail Server trong
vùng DMZ. Clients chỉ có thể Check Mail từ Mail Server trong DMZ của
VietCERt mà thôi.
Users: Rule này áp dụng cho tất cả các User của Domain, chúng tôi để mặc định
là All Users.
Scheduler: Cho phép Clients truy cập vào Mail Server tại bất kỳ thời điểm nào,
trong giờ làm việc cũng như giờ nghỉ nên chúng tôi sử dụng Scheduler mặc định
là Always
Content Type: Phần này chỉ áp dụng cho HTTP Traffic nên không cần cấu hình ở
mục này.
Cấu hình Access Rule trên ISA Server
Click Firewall Policy
179
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Access Rule bằng Firewall Policy
Trong cửa sổ Task Pane chọn Create Access Rule
Tạo Access Rule bằng Task Pane
Name gõ Mail in work hours. Chú ý phần Name này sẽ giúp Admin có thể quản
lý tốt hơn các policy do mình tạo ra.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 180
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chúng tôi đặt Access Rule Name là Mail in Work hours chỉ cho phép Users sử dụng Mail trong giờ
làm việc.
Rule Action cho phép đi qua, chọn Allow
Cho phép User sử dụng Mail chúng tôi chọn Action là Allow
Click Next
Traffic click chọn Selected Protocol
181
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click chọn Selected Protocols và Click ADD để thêm Protocol vào Rule.
Click Add
Ở phần Common Protocol chọn và Double Click vào các Protocol DNS, SMTP,
POP3, IMAP4
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 182
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Lần lượt chọn các Protocol trong Network Components của ISA Server để thêm vào Rule
Click Close
Chỉ có những Protocol sau đây được phép đi qua ISA Server
183
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Quay lại với Wizard và kiểm tra Protocol trong Wizard
Click Next
Phần Source Network click Add
Click ADD đẻ thêm Source Network vào Rule
Khỏang IP 192.168.1.30 đến 192.168.1.80 chúng ta chưa tạo. Để tạo trực tiếp trong
lúc tạo Access Rule, click Menu New
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 184
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Thêm khỏang IP vào Network Component. Address Range gồm một khỏang địa chỉ IP do nhà quản trị
quy định
Chọn Address Range
Trong cửa sổ Address Range gõ khỏang IP như trong bảng và phần Name gõ
Clients Network
Cấu hình Address Range trên ISA Server, chúng tôi đặt tên là Clients Network
Click OK
Double Click vào Clients Network vừa tạo
185
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sau khi ADD, Clients Network được hiển thị trong Network Entities của ISA Server.
Click Close để quay lại Wizard
Access Rule Source chúng tôi thêm khỏang Clients Network
Click Next
Click Add
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 186
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click ADD để thêm Destination cho Rule
Access Rule Destination chúng tôi chọn External và DMZ vì Mail Server nằm ở
Internet và cả trong vùng DMZ.
Chọn External Network và DMZ Network để thêm vào Destination cho Rule
Click Close để quay lại Wizard
Kiểm tra lại Rule Destination gồm những mạng DMZ Network và External.
Click Next
187
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Phần Users để mặc định All Users
User Set chúng tôi cho tất cả mọi người đều được phép sử dụng Rule này. Chọn All Users
Click Next
Review lại quá trình vừa tạo để có thể sửa những sai sót bằng cách Click Back
Kiểm tra lại Access Rule gồm các lọai Protocol nào và Click Finish
Click Finish kết thúc quá trình tạo Rule.
Trong cửa sổ Firewall Policy giờ đây đã xuất hiện thêm một Rule mới mang tên
Mail in work hours và chú ý phần Order, Rule này đang mang số 1.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 188
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Vào Firewall Policy để kiểm tra lại Rule vừa tạo
Cấu hình Chat và Web Rule
Yêu cầu: Nhân viên ngòai giờ làm việc có thể sử Internet ở dạng Web và Chat
bằng Yahoo Messenger. Tuy nhiên trên Yahoo Messenger nhân viên không được
sử dụng chức năng Send file với bất kỳ dạng nào.
Cấu hình:
Protocol: Yêu cầu trên chỉ cho sử dụng Web dạng HTTP, Yahoo Messenger
nhưng không cho chức năng Send File cũng như không được xem phim online
dạng Streaming Media như WMV hoặc WMA. Phần này thực ra không khó,
nguyên tắc họat động của Firewall là chỉ cho phép những gì cần thiết, còn lại là
khóa tất cả.
Source: cũng là Clients Network, áp dụng với các máy con trong khỏang địa chỉ
IP từ 192.168.1.30 đến 192.168.1.80.
Destination: Web Server Clients sẽ truy cập lúc này nằm trên mạng Internet nên
không thể xác định cụ thể địa chỉ IP nào sẽ được gán, chúng tôi sử dụng Network
External đại diện cho Internet.
Users: All Users
Scheduler: Chỉ bật Rule này ngòai giờ làm việc từ 11h‐13h nên Scheduler Out of
work sẽ được sử dụng. Scheduler này chúng ta đã tạo trong phần trước của bài
thực hành này.
Content Type: Cho phép dùng Internet nhưng không cho Download hoặc Send
File nên phải thực hiện cấm trên Content Type. Phần này chỉ áp dụng với HTTP.
189
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chúng tôi chỉ cho phép dạng Web được phép sử dụng. Với Yahoo Messenger lúc
này phải gán thêm một Application Filter Web Proxy Filter cho Protocol Yahoo
Messenger để có thể tác dụng Content Type vào Protocol này.
Cấu hình trên ISA Server
Vào ISA Server Management Console
Chọn Firewall Policy
Dùng chức năng Firewall Policy để tạo thêm Access Rule cho ISA Server
Trong cửa sổ Task Pane chọn Create New Access Rule
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 190
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo Access Rule bằng Network Tasks trong mục Firewal Policy
Rule Name gõ Web while Free
Rule Name chúng tôi đặt là Web ưhile free cho phép nhân viên sử dụng Internet trong giờ rỗi
Rule Action chọn Allow cho phép qua ISA Server
191
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Action chọn Allow cho phép nhân viên được truy cập Internet.
Protocol click chọn Seleted Protocol và Click Add
Chọn Seletected Protocol và click ADD để thêm Protocol vào Rule.
Trong phần Component Double Click vào các Protocol HTTP, DNS, HTTPS và
Yahoo Messenger.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 192
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Yahoo Messenger Protocol chúng tôi đã tạo trong phần Protocol Definition
Click Close quay lại Wizard, kiểm tra các Protocol vừa thêm vào Policy
193
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Các Protocol chúng tôi đã thêm vào Rule. Nguyên tắc của nhà quản trị khi cấu hình Firewall là chỉ
cho phép hạn chế, khi nào thiếu Protocol chúng ta có thể thêm sau
Click Next
Phần Source click Add
Source Network cho Rule, Click ADD để thêm vào Rule
Trong mục Address Range chọn Clients Network chúng ta đã tạo chứa khỏang
địa chỉ IP 192.168.1.30 đến 192.168.1.80.
Click ADD vào Clients Network để thêm vào Rule
Click Close quay lại Wizard
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 194
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại Network Clients Network sau khi quay lại Wizard
Click Next
Phần Destination chúng ta cho phép các Clients này ra Internet nên sẽ add vào
External Network. Click Add chọn mục Networks
Click ADD để thêm Destination vào Rule
Double click vào External và DMZ Networks
195
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn mạng External đại diện cho Internet vào Source
Click Close quay lại Wizard
Kiểm tra lại Network trong phần Destination trong Rule.
Click Next
Phần Users cho phép tòan bộ Users có thể truy cập được Internet nên chúng tôi
chọn All Users.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 196
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
User set tác dụng cho Rule này là All Users – cho phép tất cả các User trong LAN
Click Next
Kiểm tra lại Rule sau khi cấu hình và click Finish
Review quá trình cấu hình
Click Finish
Sau khi cấu hình tạo Rule, chúng tôi tiếp tục cấu hình Scheduler và Content
Type. Scheduler và Content Type chỉ có thể cấu hình bừang cửa sổ Properties của
Rule sau khi đã tạo xong.
197
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Vào Firewall Policy click chọn Rule cần cấu hình. Rule của chúng ta tên Web
while free
Click phải chọn Properties
Sử dụng Firewall Policy và Properties Rule đã tạo để thay đổi những phần đã cấu hình
Chọn Tab Scheduler và click chọn Scheduler Out of work chúng ta đã tạo trong
phần trước của bài thực hành này
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 198
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tác dụng Scheduler cho Access Rule sau khi tạo xong bằng cửa sổ Properties
Click chọn tiếp Tab Content Type và không chọn All Content mà chọn the
Following Content
Click chọn những Content nào không cho phép như Applications, Documents, …
199
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn Content Type cho Rule sau khi tạo bằng cửa sổ Properties của Rule
Click OK đóng cửa sổ Properties của Rule lại
Kiểm tra lại Policy trong cửa sổ Details Pane
Điều kiện vừa cấu hình thêm cho Access Rule là All Users và Out of work
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 200
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Access Rule cho DMZ mang Public IP
Yêu cầu: Các Server trong vùng DMZ được phép truy cập ra ngòai Internet và
User từ Internet cũng có thể truy cập vào các Server trong vùng mạng DMZ của
VietCERT. Tuy nhiên các lọai traffic cũng phải hạn chế. Những lọai Traffic sau
đây sẽ được sử dụng ở DMZ và Internet là Mail, Web, Video online cho các đọan
phim Host tại VietCERT phục vụ cho trang web vietnamlab.com
Cấu hình
Protocol: Sử dụng Web chúng ta sẽ cấu hình HTTP, HTTPS và Internet User
được truy cập FTP Server nên Protocol FTP cũng sẽ được cấu hình. Streaming
Media đã được ISA Server hỗ trợ sẵn trong phần Protocol Definition. Ngòai ra
phần Mail nằm trong phần Common Protocol cũng đã được ISA Server hỗ trợ
sẵn.
Source: Áp dụng cho các Server trong vùng DMZ. Mạng DMZ đã được chúng ta
tạo sẵn trên ISA Server ở phần thực hành trước mang tên DMZ Network và
ngược lại trong Source cũng có External cho phép Internet truy cập vào các Server
trong vùng DMZ.
Destination: DMZ được truy cập Internet và ngược lại nên phần Destination sẽ
bao gồm DMZ Network và External.
Users: All Users
Scheduler: DMZ Server luôn sẵn sàng phục vụ 24/7 nên Scheduler chúng tôi chọn
Always
Content Type: Cho phép tất cả các lọai tập tin được chuyển bằng HTTP qua Rule
này nên chúng tôi chọn Apply to All Content Type.
Nội dung của Rule chúng ta sẽ tạo như sau
201
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình trên ISA Server
Vào ISA Server Management Console
Chọn Firewall Policy
Sử dụng Firewall Policy để cấu hình Access Rule
Trong phần Task Pane chọn Tab Task, click New Access Rule
Tạo thêm Access Rule bằng Task Pane trong ISA Server Management Console.
Rule Name gõ DMZ and Internet
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 202
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Rule name chúng tôi tạo DMZ and Internet quy định traffic giữa DMZ và Internet
Access Rule Action chọn Allow cho phép Servers trong vùng DMZ truy cập
Internet
Chọn Allow cho phép traffic đi qua nếu khớp với các điều kiện trong Rule này
Protocol click chọn Seleted Protocol và Click Add
203
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click ADD khi chọn Selected Protocol để thêm vào các Protocol cho phép đi qua Rule này.
Trong phần Component Double Click vào các Protocol HTTP, DNS, HTTPS và
Streaming Media.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 204
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Thêm Protocol trong mục Streaming
Click Close quay lại với Wizard
205
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click Next
Phần Source click Add
Click Add để thêm Source Network cho Rule
Trong mục Address Range chọn DMZ Network và External, Rule này sẽ cho
phép truy cập 2 chiều
Chọn Source Network là DMZ Network trong cửa sổ Network Entities
Click Close quay lại với Wizard
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 206
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra Network Source sau khi đã Add
Click Next
Phần Destination chúng ta cho phép DMZ Network và External được truy cập lẫn
nhau
Click Add để thêm Network vào Destination của Rule
Double click vào External và DMZ Network
207
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Thêm Network DMZ vào Rule
Click Close quay lại với Wizard
Network DMZ và External sẽ được xét trong Rule này
Click Next
Phần Users cho phép tòan bộ Users có thể truy cập được Internet nên chúng tôi
chọn All Users.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 208
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tất cả các User đều được sử dụng Rule này
Click Next
Review quá trình cấu hình
Kiểm tra lần cuối khi Click Finish
Click Finish
Những Rule đã cấu hình đều có thứ tự, những thứ tự này sẽ được xét khi có
traffic đi qua ISA Server. Những Policy sau khi cấu hình có thể thay đổi bằng cửa
sổ Properties. Các Rule được chứa trong phần Firewall Policy.
209
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chú ý những biểu tượng có ý nghĩa trên ISA Server Management Console để biết Rule đó đang ở
trạng thái họat động hay không
Sau khi xem và kiểm tra độ chính xác của những Policy vừa tạo, click Apply để
chấp nhận sự thay đổi trong ISA Server.
Click APPLY để lưu các thông số đã cấu hình trên ISA Server và cho chúng có tác dụng
Ghi chú: Phần cấu hình Access Rule như vậy xem như tạm ổn. DMZ Network mang địa chỉ IP Public
nên sẽ đi với Internet bằng ROUTING. Khi Routing, ISA Server không sử dụng chức năng NAT nên
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 210
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
không cần phải sử dụng chức năng Publishing Rule. Publishing Rule sử dụng Protocol với hướng đi
Inbound.
Ngòai những Policy đã tạo ra, khi có nhu cầu cấu hình trên ISA Server chúng tôi
sẽ tiến hành tạo tiếp Policy dựa trên những thành phần cơ bản trong ISA Server
đẻ tiếp tục tạo. Độc giả chỉ cần nắm vững và hiểu được các thành phần của ISA
Server là có thể cấu hình tốt trong mọi tình huống.
Click vào Firwall Policy
Cấu hình Access Rule bằng Firewall Policy
Trong cửa sổ Task Pane chọn Export Firewall Policy
211
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Xuất Firewall Policy gồm các Access Rule thành File
Click Next và chọn Export Confidential Information và gõ Password để bảo vệ
tập tin XML này.
Phần Access Rule quan trọng nhất trọng nhất trên ISA Server nên bạn phải đặt Password để bảo
đảm thông tin không bị lộ
Click Browse và chọn tập tin lưu trữ Access Rule
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 212
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn nơi lưu trữ tập tin XML
Click Open để lưu lại
Xác định đường dẫn lưu tập tin XML
Review lại những gì đã cấu hình
213
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Nội dung tập tin XML sẽ được mã hóa
Click Finish
ISA Server sẽ thông báo cho User khi xuất xong tập tin XML
Quá trình xuất tập tin XML thành công
Mở tập tin XML đã xuất bằng Notepad để xem cấu hình được lưu thế nào
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 214
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sử dụng Notepad để xem nội dung các tập tin XML
Notepad hiển thị các tập tin dạng PlainText
Mở nội dung tập tin XML, tập tin này đã được mã hóa
Các tập tin Backup này sẽ được sử dụng để Import lại vào ISA Server khi gặp sự
cố họăc Import vào một ISA Server khác để giữ đúng cấu hình chuẩn.
XML là gì?
XML viết tắt của chữ eXtensible Markup Language (ngôn ngữ nâng cấp có thể
mở rộng) là một bộ qui luật về cách chia một tài liệu ra làm nhiều phần, rồi đánh
dấu và ráp các phần khác nhau lại để dễ nhận diện chúng. Ðược chỉ đạo bởi Tổ
hợp Web toàn cầu (W3C), XML trở thành một đặc điểm kỹ thuật chính thức.
Tổ hợp Web toàn cầu W3C gọi XML là ʺmột cú pháp thông dụng cho việc biểu thị
cấu trúc trong dữ liệuʺ. Dữ liệu có cấu trúc tham chiếu đến dữ liệu được gán
nhãn cho nội dung, ý nghĩa, hoặc công dụng.
Ví dụ : Trong một trang Web ta dùng những Tag Pairs (cặp nhãn hiệu mở đóng)
để đánh dấu như <BODY> và </BODY>. Hãy quan sát một trang Web dưới đây:
<HTML>
<HEAD>
215
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
<TITLE>Welcome To Lê Hưng</Title>
</HEAD>
<body>
<H1>Ðịnh Nghĩa</H1>
A: ʺSao anh lại cắt dây điện ở phòng họp?ʺ<BR>
B: ʺVì dây điện nhà tôi thiếu mất một khúcʺ.<BR>
A: ʺNhư vậy là lấy công làm tư!ʺ <BR>
B: ʺKhông, như vậy là lấy dài nuôi ngắn!ʺ <BR>
</BODY>
</Html>
Trong HTML Web page các Tag Pair đều được định nghĩa trước và không chứa
đựng ý nghĩa gì về dữ kiện mà chúng kẹp bên trong, trừ trường hợp cho TITLE.
Thí dụ H1 có nghĩa display hàng chữ bên trong (Ðịnh Nghĩa) theo cở lớn nhất,
nhưng hàng chữ ấy có thể là bất cứ thứ gì, không nhất thiết phải là từ (Ðịnh
Nghĩa) ở đây. Còn XML thì cho phép ta tự do đặt tên các Tag Pair để dùng khi
cần. Nếu tính ra, Dynamic HTML có đến khoảng 400 Tags mà nếu muốn dùng ta
phải nhớ hết. Trong khi đó, XML không có giới hạn về con số Tags và ta không
cần phải nhớ Tag nào cả. Ý nghĩa của các Tag rất linh động và ta có thể sắp xếp
các tags của XML theo loại cho hợp lý. Thí dụ muốn làm một trang XML về môn
Văn học ta cần những Tag diễn tả nhân vật, ngày sanh, ngày tử,...
Tham khảo thêm XML tại trang web Echip
http://www.echip.com.vn/echiproot/weblh/ctv/2001/lehung/xml/xml.html
Vào ISA Server Management Console
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 216
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Access Rule bằng Firewall Policy
Chọn tiếp mục Firewall Policy. ISA Server hỗ trợ Import cấu hình của từng phần,
nếu độc giả muốn Import của phần nào, vào đúng phần đó để thực hiện Import.
Trong bài thực hành này chúng ta Import Access Rule vào một ISA Server mới
chưa có cấu hình.
Import Firewall Policy từ tập tin XML
Click Import Firewall Policy trong cửa sổ Task Pane
Chọn đường dẫn lưu tập tin XML. Có thể sử dụng chức năng Browse để tìm tập
tin XML.
217
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn đúng đường dẫn XML đã lưu cấu hình
Click Next
Không click chọn Option Import Server‐Specific Information
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 218
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Import những thông tin chứa riêng cho Server này
Click Next
Nhập Password của tập tin XML được thiết lập trong lúc xuất cấu hình từ ISA
Server. Password của chúng ta trong bài thực hành này là 12345678
Nhập đúng Password khi lưu tập tin XML. Tập tin XML lưu trữ Password trong chính tập tin đó
dưới dạng HASH MD5
Click Next
Click Review lại quá trình đã làm
219
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Quá trình Import thành công
Click Finish
Kiểm tra các Policy đã đựợc Import
Kiểm tra tòan bộ nội dung củ Access Rule sau khi Import, trở về trạng thái như ban đầu lúc Backup
tập tin XML
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 220
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Ghi chú: khi Import phải thực hiện tuần tự các Components trước, sau đó mới đến phần Network,
Network Rules, Access Rule và System Policies.
Private IP được sử dụng trong mạng LAN
Public IP được sử dụng rộng rãi trên mạng Internet. Mỗi Host trên Internet
mang một Public IP và là duy nhất.
Cơ chế NAT thay đổi địa chỉ Source IP của gói tin
Cơ chế NAT sẽ chuyển địa chỉ IP Private trong LAN thành địa chỉ IP Public của
ISA Server khi gói tin này đi qua ISA Server và đi ra bằng Interface External của
ISA Server.
Trong hệ thống mạng nếu có Private IP và muốn sử dụng Internet bằng một địa
chỉ IP trên ISA Server (Public IP) nên phải sử dụng cơ chế NAT. Địa chỉ Source IP
của gói tin sẽ được thay thế bằng địa chỉ IP Public trên External Interface của ISA
Server.
221
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Hệ thống LAN mang Private IP phải sử dụng cơ chế NAT khi ra Internet
Khi Clients gửi gói tin PING đến Web Server, địa chỉ IP thu được sẽ là
203.162.24.33 là địa chỉ IP của External Interface trên ISA Server.
Và giữa vùng DMZ & Internal sẽ kết nối bằng NAT qua ISA Server
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 222
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
DMZ Network mang Public IP nên mạng LAN cũng phải sử dụng cơ chế NAT
Sử dụng Ethereal để bắt gói tin, chúng ta có Source IP là địa chỉ IP của Interface
ngòai trên ISA Server.
Hình
Muốn sử dụng cơ chế NAT trên ISA, chúng ta sử dụng chức năng Network Rule
trên ISA Server.
Properties Network Rule Internet Access trên ISA Server, kiểm tra phần Network
Relationship ta thấy đang ở chế độ NAT
Hiển thị Rule mặc định trên ISA Server cho phép Clients truy cập Internet bằng cơ chế NAT
ISA Server có vùng DMZ Network mang Public IP, khỏang IP này sẽ kết nối với
Internet qua cơ chế ROUTING
223
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
DMZ Network mang Pulbic IP sử dụng ROUTE để giao tiếp với Internet.
Thông tin về ROUTE có thể được tóm tắt như sau
ROUTE chỉ chuyển gói tin nhưng không thay đổi nội dung của phần Source IP
Gói tin từ DMZ Network gửi đến Web Server ngòai Internet sẽ mang Source IP là
203.162.23.34 của chính Server trong vùng mạng DMZ gửi ra. ROUTE không thay
đổi địa chỉ Source IP của gói nên từ Web Server sẽ nhận thấy gói tin đến từ Server
trong vùng mạng DMZ.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 224
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
á CHƯƠNG IV
Cấu hình các tính năng Firewall trên ISA
Server 2006
ISA Server 2006 bao gồm 2 phần Internet và Security. ISA Server 2006 có thể họat động đơn
thuần như một Proxy Server cho chức năng Caching Web, hoặc cao cấp hơn và là tính năng
chính của ISA Server 2006 là Firewall ở tầng Application (Application Firewall)
225
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
21. Phân tích cấu trúc của một gói tin
Mô hình OSI gồm 2 phần, một của TCP/IP gồm 4 lớp chính
Mô hình TCP/IP
Và một là chuẩn của ISO gồm 7 lớp
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 226
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Mô hình OSI Layer và so sánh với mô hình TCP/IP – chúng có sự tương đồng
Dữ liệu được đóng gói (Encapsulation) từ máy gửi (Sender) và Mở gói (De‐
Encapsulation) ở máy nhận (Rereiver). Trong quá trình Encapsulation, dữ liệu
được gửi qua các lớp khác nhau của OSI Layer, ở mỗi Layer có cấu trúc dữ liệu
khác nhau nên chúng ta có được cấu trúc dữ liệu đi qua các lớp này
Từ các kiểu dữ liệu và Protocol họat động ở tầng này, chúng ta có thể xây dựng
được cấu trúc gói tin chuẩn như sau
Cấu trúc chuẩn của một gói tin
Trong đó TCP Header có cấu trúc chi tiết như sau
227
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
TCP header theo tài liệu RFC
Và IP Header có cấu trúc chi tiết như sau
Cấu trúc IP Header theo tài liệu RFC
Hoặc ICMP Header
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 228
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu trúc một ICMP Header theo RFC
ARP Header
ARP Header
Phần còn lại là dữ liệu của gói tin
229
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Ethereal (được biết với tên Wired‐Shark) dịch nội dung của các gói tin thành ngôn ngữ có thể đọc
hiểu dễ dàng.
Chúng ta có thể sử dụng công cụ Ethereal để bắt lại các gói tin và xem cấu trúc
của nó. Trên Ethereal có 3 phần cửa sổ chỉnh: Tổng quan số lượng gói, chi tiết gói
ở dạng Readable và chi tiết gói ở dạng HEX và BIN.
Tổng quan giao diện Ethereal
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 230
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sử dụng Ethereal có thể cho chúng ta xem cấu trúc gói tin, và phần chúng ta
thường sử dụng chính là cửa sổ giữa của Ethereal (cấu trúc chi tiết ở dạng
Readable)
Xem nội dung của một TCP Header đã được dịch bằng Ethereal
Sau khi capture các gói tin bằng Ethereal, chúng ta có thể lưu lại tập tin này dưới
dạng File .CAP và sau đó mở ra để phân tích sau. Tập tin .CAP có thể tương thích
với chương trình Network Monitor của Windows Server 2003.
So với Network Monỉtor, Ethereal mạnh hơn nhiều về phần hiển thị và các chức
năng hỗ trợ khi phân tích gói. Ethereal phân lọai gói tin theo màu giúp nhà quản
trị dễ dàng nhận dạng lọai gói tin.
Công cụ Network Monittor trên Windows 2003 cũng có thể sử dụng quan sát thông tin trên mạng
231
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
LAN
Và chức năng Filter để phân gói các Session riêng biệt, tiện cho việc phân tích.
Ethereal có tính năng Monitor theo Session và chỉ hỗ trợ nếu kết nối bằng TCP. UDP không có
Session
Tiếp theo Ethereal sẽ hiển thị nội dung của các gói tin trong Session này ở dạng
PlainText
Nội dung của Session sẽ được hiển thị bằng PlainText trên Ethereal
Để làm việc được tối với Ethereal, chúng tôi khuyên bạn nên tìm đọc cuốn
Syngress Ethereal Packet Sniffing
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 232
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Độc giả có thể tham khảo thêm Ethereal với tài liệu Ethereal Packet Sniffing của nhà xuất bản
Syngress
Cấu trúc gói tin TCP/IP sẽ được gửi qua ISA Server và ISA Server phân tích dựa
trên IP Header, TCP Header và cả phần Application Data vì ISA Server là một
Application Firewall.
Packet Filter: phân tích Packet dựa trên TCP Header và IP Header, ngòai ra lọai
Firewall này không phân tích được dữ liệu ở tầng Application. Packet Filter họat
động ở tầng 3 và hầu hết các Router đều có tính năng này (hay còn gọi là Access
List)
Application Firewall: Họat động ở tầng Application trong mô hình OSI.
Application Firewall có thể phân tích được User Data trong phần Data của Packet
gửi qua Firewall. Thường thì lọai Virus, Trojan, Worm và Key Logger … sử dụng
phần Application Data để chuyển dữ liệu. ISA Server là một ví dụ của
Application Firewall. ISA Server lọc tốt nhất các gói HTTP (HTTP là một
Application Protocol sử dụng TCP Port 80).
233
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
23. Cấu hình Perimeter Network
Perimeter Network (DMZ Network) có thể tạm dịch là vùng phi quân sự vì trong
vùng này chứa các Server cho phép Internet User truy cập, nhưng các Server này
vẫn nằm trong sự quản lý của LAN Admin. Perimeter thực ra là một phần của
mạng LAN, nhưng vì không an tòan lắm khi cho những Server này nằm chung
trong phần mạng LAN cần được bảo mật tuyệt đối nên các nhà quản trị tách ra
thành một khu vực mạng riêng gọi là DMZ.
DMZ Network được kết nối đến ISA Server bằng một Interface riêng biệt. Trên
ISA Server phải tạo một Network mới và trong Network này chứa khỏang địa chỉ
IP của những Server nằm trong vùng DMZ.
Xét về địa chỉ IP của DMZ Server, những Server này có thể sử dụng địa chỉ IP
Public hoặc IP Private đều được. Khi sử dụng địa chỉ IP Public, Server sẽ được
truy cập trực tiếp từ Internet thông qua cơ chế Route của ISA Server. Và nếu sử
dụng Private IP, Internet User sẽ truy cập Server này thông qua Public IP của ISA
Server và được NAT vào Server theo một Port nào đó (cơ chế NAT).
Routing trên ISA Server được thực hiện như một traffic bình thường đi từ trong
LAN ra ngòai Internet nhưng chỉ khác là đổi Source/Destination từ LAN thành
Internet và ngược lại. Hướng của traffic đi vẫn là Outbound.
Nếu sử dụng Private IP trong DMZ, ISA Server sẽ sử dụng tính năng Publishing
Rule để cho phép Internet User truy cập vào DMZ qua cơ chế NAT. Traffic sử
dụng với Publishing Rule có hướng là Inbound.
Phần còn lại cấu hình chi tiết trên ISA Server chúng ta sẽ tìm hiểu trong các bài
thực hành chi tiết hơn.
Trên ISA Server có cung cấp sẵn các Template để có thể tự thiết lập hệ thống và
cấu hình ISA Server theo những mô hình mạng chuẩn. Khi chạy các Wizard này,
ISA Server sẽ tự động cấu hình và nhà quản trị sẽ phải cung cấp thông tin vào
Wizard, phần còn lại ISA Server sẽ cấu hình tự động.
Vào mục Configuration Æ Networks
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 234
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Trong phần Task Pane chọn Tab Templates
Chọn mục Templates trên ISA Server Management Console.
Xem qua các Templates trong ISA Server 2006 gồm các mô hình
ISA Server cung cấp các Template với cấu hình chuẩn cho người dùng
Chúng ta sẽ cấu hình ISA Server 2006 bằng Template Edge Firewal
235
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Mô hình Firewal Edge hay còn gọi là Bastion Host
Click Edge Firewall trong phần Task Pane sẽ có một cửa sổ Wizard xuất hiện
Tiếp theo các thông tin trong cửa sổ này
ISA Server sẽ cảnh báo người dùng nếu các thông số trên ISA Server đã cấu hình
trước, vì quá trình cấu hình bằng Templates sẽ ghi đè tất cả những thông tin trên
ISA Server hiện tại. Trong quá trình làm, ISA Server cho phép người dùng sử
dụng chức năng Export để lưu lại tòan bộ cấu hình trên ISA Server của mình rồi
mới tiếp tục.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 236
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Trước khi cấu hình bằng Template, người dùng có thể xuất cấu hình hiện tại thành tập tin XML
Click Next
Cấu hình khỏang địa chỉ IP Private sử dụng trên ISA Server. Click Add/modify
để thêm hoặc đổi khỏang địa chỉ IP.
237
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Network Range bằng Template
Click Next, chọn Access Rule sẽ áp dụng cho Clients. ISA Server có chú thích cho
người dùng ở cửa sổ Description bên dưới. Sau khi cấu hình chúng tôi phải kiểm
tra lại những gì ISA làm có đúng với nhu cầu hay không, và sau đó thay đổi cho
phù hợp với từng tình huống cụ thể.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 238
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Đến việc cấu hình Access Rule cũng bằng Template
Click Next, xem lại quá trình cấu hình và Click Finish
239
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kết thúc Wizard cấu hình Network sử dụng Template
Click Finish
Quay lại ISA Server kiểm tra phần Firewall Policy chúng tôi thây ISA Server cấu
hình hợp lý. Những Templates trên ISA Server có thể xem là cấu hình chuẩn nếu
bạn muốn tham khảo.
Những Access Rule cấu hình bằng Network Template được cấu hình rất bài bản nhưng khá cơ bản
Tiếp theo chúng tôi kiểm tra Network Internal đã cấu hình đúng hay chưa
Phần Network đã thay đổi đúng như những gì đã khai báo trong Wizard
Network Definition cũng được cấu hình từ Network Template
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 240
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Firewall Policy gồm hai phần: Access Rule và System Policy. System Policy không
tác dụng đến các Clients đi đến hoặc qua ISA Server mà chỉ tác dụng lên chính
ISA Server. System Policy cũng không thường xuyên sử dụng lắm vì chính ISA
Server đã được thiết kế theo kiểu luôn an tòan. Tránh những lỗi bảo mật do việc
cấu hình sai của nhà quản trị.
Cấu hình System Policy bằng Firewall Policy
Vào ISA Server Management Console và chọn mục Firewall Policy
Cấu hình System Policy trong mục Firewall Policy
Click vào Task Pane chọn Edit System Policy
241
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn Edit System Policy bằng mục Task Pane
Giao diện của System Policy như sau
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 242
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tổng quan về System Policy trên ISA Server 2006
Nhận IP từ External DHCP Server (Router)
ISA Server có External Interface sẽ nhận IP từ DHCP Server trên ADSL Router.
Địa chỉ IP thật từ ADSL Router sẽ chuyển về ISA Server. Mặc định System Policy
chỉ cho phép ISA Server nhận IP từ một DHCP Server nằm trong vùng mạng
Internal.
ISA Server nhân IP động từ Router – chúng tôi sử dụng phương pháp này để nhận IP thật từ Router
trong trường hợp khách hàng muốn sử dụng ISA Server làm VPN Server, Web Server Publishing
trên đường ADSL.
Muốn ISA Server nhận IP từ một DHCP Server bên ngòai mạng LAN thì phải cấu
hình System Policy trên ISA Server. Ở đây có 2 cách cấu hình là chúng ta sẽ thêm
mạng External vào System Policy hoặc cấu hình Computer là địa chỉ IP của ADSL
Router. Chúng tôi sẽ cấu hình Computer cấu hình cụ thể IP của Router ADSL vì
như vậy bảo mật hơn.
Click Add
243
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình điều kiện cho System Policy
Trong cửa sổ Component chúng tôi chọn tiếp Computer và click phải chọn New
Computer
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 244
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo Network Object để làm điều kiện cho System Policy
Name tên ADSL Router và địa chỉ IP là 10.0.0.2 là địa chỉ IP của Router ADSL
Tạo Computer làm điều kiện cho System Policy
Click OK
245
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra lại Component vừa tạo trong cửa sổ Component phần Computer
Double click vào ADSL Router Computer để Add Component này vào System
Policy
Computer sau khi tạo nằm trong phần Network Object và có thể sử dụng cho System Policy hoặc
Access Rule
Click OK để đóng cửa sổ Add này lại
Kiểm tra lại nội dung chúng ta thấy System Policy đã cho phép ISA Server nhận
IP từ Router ADSL mang địa chỉ IP 10.0.0.2
Để tránh sai sót khi nhận IP, chúng tôi lọai bỏ Network Internal ra khỏi System
Policy bằng cách Lick Remove
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 246
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Lọai bỏ Network Internal sau khi thêm Computer mang địa chỉ IP của Router ADSL. Chúng tôi chỉ
muốn ISA Server nhận IP thật từ Router ADSL mà không nhận từ DHCP trong mạng LAN
Hiển thị System Policy
Trên ISA Server mặc định chỉ hiển thị Access Rule trong phần Firewall Policy,
nếu nhà quản trị muốn luôn luôn hiển thị System Policy thì có thể sử dụng
Option sau
247
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Hiển thị System Policy trên ISA Server Management Console.
Vào Task Pane click chọn phần System Policy và Click vào Show System Policy.
Lúc này trong Content Pane đã xuất hiện thêm hàng lọat các System Policy
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 248
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
System Policy hiển thị hòan tòan trên ISA Server Details Pane
Muốn thay đổi System Policy nào thì chúng ta chỉ cần Double Click vào Option
đó và thay đổi nội dung bên trong của Policy.
Thay đổi System Policy trực tiếp bằng giao diện Detail Pane
System Policy chủ yếu là cấu hình Enable hoặc Disable
Bật hoặc tắt System Policy
Hoặc cấu hình với kiểu tương tự như Add/Remove Network
249
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình điều kiện cho System Policy
Và cuối cùng chúng tôi muốn độc giả chú ý là System Policy chỉ ảnh hưởng với
chính máy ISA Server và dùng vào mục đích bảo mật cho ISA Server.
Ghi chú: System Policy thực chất cũng là Access Rule nhưng Microsoft cấu hình
thành một phần riêng với Wizard cho phép người dùng dễ dàng cấu hình cho
riêng ISA Server. Nếu muốn tìm hiểu, độc giả có thể Click phải chọn Properties
vào System Policy thay vì Click Edit System Policy.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 250
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Thay đổi nội dung cho System Policy và chúng ta nhận thấy rằng System Policy thực chất cũng là
một Access Rule với điều kiện tác dụng lên chính bản thân ISA Server
Hệ thống IDS chỉ làm chức năng Lưu lại cuộc tấn công, nội dung các gói tin tấn
công và hệ thống vào phần Alert trên phần Monitoring của ISA Server
Để bật tính năng IDS trên ISA Server chúng ta làm như sau
Vào ISA Server Management Console và chọn mục Configuration Æ General
Sử dụng General cấu hình các tính năng phụ cho ISA Server
Trong cửa sổ Content Pane click chọn Enable Intrusion Detection and DNS Attack
Detection
251
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình tính năng cảnh báo tấn công (IDS) cho ISA Server 2006
Trên Tab Common Attacks và Click chọn Enable instrusion detection
Các kiểu tấn công sẽ được lưu lại trên Alert và Logging của ISA Server
Và chọn tiếp các kiểu tấn công sẽ được lưu lại
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 252
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Windows out‐of‐band (WinNuke). ISA Server sẽ lưu lại nếu gặp kiểu tấn công
out‐of‐band denial of service bằng Protocol NetBIOS vào hệ thống bên trong ISA
Server như mạng LAN (Internal), DMZ hoặc chính ISA Server.
Land. Kiểu tấn công này sẽ gửi một gói tin vào ISA Server hoặc một máy tính bên
trong mạng của ISA Server với Source Address/Source Port và Destination
Address/Destination Port giống y như nhau. ISA Server sẽ lưu vào Log nếu gặp
kiểu tấn công này.
Ping of death. ISA Server lưu lại Log nếu gặp gói tin PING với dung lượng quá
lớn (lớn hơn 65535 bytes).
IP half scan. Lưu lại kiểu Scan Port nếu ISA Server nhận liên tục các gói SYN
nhưng lại không có ACK trả lời để hòan tất kết nối theo cơ chế Three‐way
Handshake.
Quá trình Three‐way handshake để đảm bảo cả hai bên TCP Clients và Server đều muốn khởi tạo kết
nối. Trong bước khởi tạo này, Clients và Server sẽ thống nhất với nhau số Sequence Number,
Windows Size cho nhau. Hacker có thể lợi dụng kết cấu chặt chẽ này của TCP để thục hiện nhiều kiểu
tấn công khác nhau.
UDP bomb. Đây là kiểu tấn công thường gặp nhất nhưng chủ yếu là trong LAN,
Hackers sẽ gửi hàng lọat các gói tin UDP không cần cơ chế Flow Control (UDP
không có Flow Control) với ý định làm hao tốn băng thông của hệ thống. Nếu
gặp kiểu tấn công này, ISA Server sẽ lưu lại.
253
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cơ chế lỏng lẻo của UDP tạo cơ hội cho Hacker tấn công chiếm bandwidth của Server. UDP không hề
kiểm tra bằng ACK hoặc Windows Size.
Port scan. Chống Scan Port nếu phát hiện hàng lọat gói SYN được gửi liên tục
vào các Port trên ISA Server hoặc một máy bên trong DMZ. Nếu chọn Option này
chúng ta phải chọn thêm một trong 2 Options sau:
Detect after attacks on well‐known ports. Xác định số lượng Well‐known Port
bị Scan, khi nào đúng với số lượng Port như trong phần này, ISA Server mới tạo
một Alert. Well‐known Port có giá trị từ 0 ‐ 2048
Detect after attacks on ports. Phần này cũng tương tự như phần trên nhưng nói
Port chung chung đi từ 0 ‐ 65535.
Click OK
Click Apply để lưu thay đổi của ISA Server. Kể từ bây giờ nếu ISA Server phát
hiện một trong các kiểu tấn công trên, ISA Server sẽ lưu lại phần Log vào Alert
trên Monitoring
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 254
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Alert sẽ thông báo tình hình của ISA Server trong đó có luôn tình hình bị tấn công bằng những kiểu
nào trong mục IDS vừa cấu hình ở trên
Ghi chú: Để thực hiện các kiểu tấn công trên, độc giả phải có kiến thức về Hacking cơ bản và không
được sử dụng các công cụ tấn công này để thử nghiệm với hệ thống thật (cho dù của công ty mình
hoặc một nơi khác). Với kiểu UDP Flood rất dễ thực hiện, độc giả có thể tự tìm cho mình một công cụ
tấn công kiểu UDP Flood tại trang web google.com.vn với từ khóa “UDP Flood”
Các kiểu tấn công DNS
DNS Server chứa Public Domain của công ty được chuyển về DMZ Area, và DNS
Server này là một DNS Server trong hệ thống DNS Server tòan cầu, được Upper
Level DNS Server cấu hình NS Record vào Public IP của DNS Server. Để làm
được DNS Server trong vùng DMZ chứa Public Domain Name, chúng tôi phải
thực hiện
255
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Đăng ký tên miền
Đăng ký NS Record cấu hình về một địa chỉ IP thật và tĩnh trên một Server
đang chạy dịch vụ DNS với tên Zone cùng tên với tên miền chúng tôi đăng ký
Public Domain Name chúng tôi đăng ký nhưng NS Records cấu hình chỉ về DNS Server mang Public
IP trong hệ thống mạng DMZ.
DNS Server trong vùng DMZ được ISA Server bảo vệ và sẽ thông báo nếu DNS
Server này bị tấn công. Cấu hình IDS cho DNS Attacks
Vào ISA Server Management Console chọn mục Configuration Æ General
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 256
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình phần cảnh báo tấn công DNS bằng ISA Server Management Console.
Click chọn Enable Intrusion Detection and DNS Attack Detection
Cảnh báo tấn công DNS là một phần của tính năng IDS trên ISA Server
Trên Tab DNS Attacks, click chọn Enable detection and filtering of DNS attacks
257
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Các kiểu tấn công DNS sẽ được ISA Server lưu lại khi xảy ra
Và chọn tiếp các kiểu tấn công sau đây
DNS host name overflow. Kiểu tấn công này sẽ gửi một truy vấn đến DNS
Server với một tên Host Name dài quá quy định (hơn 64 ký tự trong 1 level hoặc
hơn 254 ký tự cho cả một DNS FQDN).
DNS length overflow. Lỗi này xảy ra nếu DNS Server trả lời một địa chỉ IP lớn
hơn 4 byte (trong trường hợp có một Octect lớn hon 255).
DNS zone transfer. Nếu có một Clients nào từ ngòai Internet muốn Transfer
Zone (dạng Secondary Zone) sẽ được lưu lại. Nếu cho phép Clients transfer Zone
thì Hacker có thể biết được bên trong Zone đang có chứa những gì.
Click OK
Click Apply để lưu lại thay đổi cho ISA Server.
Cấu hình Log Dropped Packets
Trên ISA Server muốn lưu lại các gói tin tấn công đã lọc bởi IDS và độc giả có thể
kiểm tra lại các gói này sau
Vào ISA Server Management Console và chọn mục Configuration Æ General
Cấu hình Lưu giữ những Packet tấn công
Click chọn Enable Intrusion Detection and DNS Attack Detection
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 258
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình phần Logging những Packet sử dụng tấn công
Click chọn tiếp Option Log Dropped Packets trong Tab Common Attacks
Tính năng Logging được bật lên mặc định
Thực ra chức năng này đã là mặc định khi cài đặt ISA Server, nhưng chúng ta có
259
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
tắt nó đi vì mục đích tăng Performance.
27. Cấu hình tính năng Flood Mitigation của ISA Server 2006
Flood Mitigation cho phép nhà quản trị xem được các Log file liên quan đến
những cuộc tấn công bằng Malicous Code (Virus, Trojan) vào ISA Server, hoặc
các kiểu tấn công trên ISA Server hoặc vào các Server trong vùng DMZ do ISA
Server quản lý. Để cấu hình các tính năng liên quan đến Flood Mitigation trên
ISA Server 2006 chúng ta làm như sau
Vào ISA Server Management Console và chọn mục Configuration Æ General
Cấu hình tính năng Flood Mitigation trong mục General trong ISA Server Management Console.
Click chọn Configure Flood Mitigation Settings
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 260
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Flood Mitigation trên ISA Server 2006
Đây mới thực sự là tính năng của một Firewall mạnh xứng tầm như ISA Server
2006. ISA Server sẽ chặn các kết nối hoặc gói tin có những dấu hiệu tấn công sau
đây. Và đây là tính năng mới chỉ có trên ISA Server 2006
261
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Edit để thay đổi điều kiện cho các mục Flood Mitigation
Mitigate flood attacks and worm propagation
Check chọn Option này để bật tính năng phát hiện Virus, Trojan (hay gọi chung
là Malicous Code)
Maximum TCP requests per minute, per IP address: Edit
ISA Server có thể chống Flood dựa trên số lượng TCP Connection kết nối vào ISA
Server hoặc một Host bên trong ISA Server. ISA Server có thể phát hiện xâm nhập
khi có một chương trình Trojan hoặc Virus xâm nhập vào hệ thống.
Bấm Edit để chọn số lượng gói tin yêu cầu khởi tạo kết nối (SYN Packet) đồng
thời có thể chấp nhận từ một địa chỉ IP.Mặc định số lượng kết nối cho tất cả các
địa chỉ IP là 600 kết nối. Trường hợp ngọai lệ cho phép đến 6,000 cho một địa chỉ
IP nào đó.
Maximum concurrent TCP connections per IP address: Edit
Chống Flood vào ISA Server hoặc Host trong vùng DMZ dựa trên số lượng kết
nối TCP hòan chỉnh vào ISA Server hoặc vào một Host trong vùng DMZ.
Click Edit để chỉnh lại số lượng kết nối mặc định là 160. Trường hợp ngọai lệ cho
một địa chỉ IP đó là 400.
Ghi chú: SYN Packet sử dụng trong khởi tạo kết nối và chỉ là 1 phần của quá trình Three‐way
handshake. Sau khi hòan tất quá trình Three‐way handshake (gồm 2 gói SYN và một gói ACK) khi đó
mới thực sự có một TCP Connection được khởi tạo.
Maximum half‐open TCP connections: View
ISA Server chống lại SYN Flood Attack bằng cơ chế này. Trong kiểu tấn công
SYN Flood Attack này, Hacker từ Internet sẽ gửi hàng lọat gói SYN vào ISA
Server với địa chỉ IP Spoof nhằm mục đích phá vỡ quá trình Three‐way
handshake. Kết quả là trên Server sẽ tạo ra hàng lọat kết nối ở trạng thái
LISTENING gây hao tốn tài nguyên cho Server hoặc Firewall.
Phần này ISA Server sẽ tự động cấu hình cho chúng ta và bạn không thể thay đổi
được thông sô smặc định này.
Maximum HTTP requests per minute per IP address: Edit
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 262
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
ISA Server dùng cơ chế này để chống DoS vào Web Server. Trong kiểu tấn công
DoS, Hacker gửi hàng lọat các gói tin HTTP Request vào Web Server làm hao tốn
tài nguyên trên Web Server.
Click Edit để thay đổi số lượng kết nối của mỗi địa chỉ IP đến Web Server, mặc
định là 600. Trường hợp ngọai lệ cho mỗi địa chỉ IP là 6,000 kết nối HTTP
Request.
Maximum new non‐TCP sessions per minute per rule: Edit
Hacker có thể tấn công DoS vào Server trong mạng DMZ bằng các gói tin không
phải TCP (ví dụ như ICMP). Trong kiểu tấn công này, Hackers gửi hàng lọat các
gói tin Non‐TCP vào Host trong vùng DMZ. Tất cả những gói tin không phải
TCP sẽ bị từ chối.
Click Edit để thay đổi số lượng kết nối Non‐TCP vào ISA Server hoặc DMZ
Server từ một địa chỉ IP nào đó. Mặc định con số này là 1,000 và độc giả không
thể thay đổi phần Exception (ngọai lệ) của kiểu tấn công này.
Maximum concurrent UDP sessions per IP address: Edit
ISA Server sử dụng cơ chế này để chống lại kiểu tấn công UDP Flood vào Host
trong vùng DMZ. Trong kiểu tấn công này, Hacker sẽ gửi hàng lọat gói tin UDP
dung lượng lớn vào Host gây nghẽn mạng.
Nếu gặp phải kiểu tấn công UDP Flood, ISA Server sẽ không chấp nhận thêm bất
kỳ kết nối UDP nào nữa vào Host, lúc này số lượng kết nối UDP hiện tại là số
được quy định trong ISA Server.
Click Edit để thay đổi số lượng kết nối UDP tối đa có thể được thực hiện từ một
địa chỉ IP. Mặc định, con số này là 80. Trường hợp ngọai lệ lên đến 400.
Specify how many denied packets trigger an alert: Edit
ISA Server sẽ tạo ra một Alert trong phần Monitoring nếu số lượng gói tin bị từ
chối đạt đến ngưỡng quy định. Ngưỡng quy định này được tính cho tòan bộ các
địa chỉ IP, không tính riêng địa chỉ IP nào cả.
Click Edit để thay đổi số lượng gói tin bị từ chối và nếu ISA Server đếm đủ số
lượng gói này sẽ tạo ra một Alert, chúng tôi chọn 2000 gói.
Log traffic blocked by flood mitigation settings
263
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn Option này để ISA Server lưu lại các cuộc tấn công kiểu Flood mà ISA
Server phát hiện. Chúng tôi khuyến cáo độc giả nên bật tính năng này lên để có
thể phát hiện được địa chỉ IP nào đã thực hiện tấn công vào ISA Server và vào
thời điểm nào để có thể khắc phục kịp thời và đổi lại chúng ta sẽ phải sử dụng
nhiều tài nguyên hơn trên ISA Server cho tính năng này.
Các gói tin IP lớn hơn kích cỡ bình thường được host phân mảnh đê gửi đi gọi là
Fragment Packet. Những Fragment Packet có thể là kiểu tấn công DoS nên nhà
quan trị có thể buộc ISA Server cấm những gói tin này.
Vào ISA Server Management Console click chọn phần Configuration Æ General
Bật/tắt các tính năng bảo mật cho ISA Server trong mục General
Trong cửa sổ Content Pane click chọn Define IP Protection
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 264
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình những tính năng bảo mật cho IP trên ISA Server
Chọn tab IP Fragment và click dấu chọn Block IP Fragment
Cấm những gói tin IP phân mảnh
Click chọn đồng ý lời cảnh báo của ISA Server.
265
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
ISA Server muốn khẳng định việc cấm các gói tin phân mảnh
Click OK
Sau khi click họn Option này và Apply thay đổi cho ISA Server nó lập tức có hiệu
lực.
Ghi chú: Nếu ISA Server có tham gia Domain và sử dụng chứng thực Kerberos V5 (sử dụng Protocol
UDP và gói tin này thường xuyên bị phân mảnh – Fragment) thì có thể không chứng thực được vì ISA
Server bị nhầm lẫn khi cấm tất cả các gói tin Fragment. Nhưng thông thường ISA Server không được
tham gia vào Domain.
IP Options
Vào ISA Server Management Console và chọn Configuration Æ General
Cấu hình IP Options trong mục General trên ISA Server Management Console.
Click chọn phần IP Protection
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 266
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình các tính năng IP
Chọn Tab IP Options và chọn Enable IP Options Filtering
267
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cho phép hoặc không cho phép những gói tin mang IP Option
Và chọn tiếp một trong các Option sau đây
Deny all packets with any IP option
Deny packets with the selected IP options
Deny packets with all except selected IP options
ISA Server sẽ lọai bỏ những gói tin có những Option như trong mục chọn
IP Routing
Mặc định ISA Server sử dụng tính năng Routing để chuyển các gói tin giữa các
Network trên ISA Server, chúng ta có thể tắt tính năng Routing này đi bằng cách
sau
Vào ISA Server Management Console và chọn mục Configuration Æ General
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 268
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình IP Routing trên ISA Server
Chọn tiếp mục IP Preferences trong Content Pane
Cấu hình IP Routing trên ISA Server
Chọn Tab IP Routing và Click bỏ dấu chọn Enable IP Routing
269
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Bật hoặc tắt IP Routing trên ISA Server
Click OK
Click Apply thay đổi cho ISA Server.
Khi bỏ Option này sẽ giảm tính Performance trên ISA Server nhưng lại tăng tính
bảo mật vì ISA Server sẽ không Forward nguyên cả gói tin từ Clients ra ngòai mà
chỉ gửi phần Data với phần IP là của ISA Server (cơ chế NAT)
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 270
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
á CHƯƠNG V
Cấu hình Publishing với ISA Server 2006
Sử dụng ISA Server làm Boundary Firewall bảo vệ tòan bộ hệ thống mạng, hoặc sử dụng ISA
Server để bảo vệ riêng hệ thống DMZ chứa các Servers sẽ được Publish ra bên ngòai
Internet. ISA Server phục vụ rất tốt việc cho phép Clients từ Internet (Internet Users) truy cập
vào bên trong các Servers trong vùng DMZ hoặc LAN bằng tính năng Publishing Rule.
271
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
29. Cấu hình DNS cho Publishing Rule
Publising Rule cho phép Clients từ Internet có thể kết nối vào Web Server, Mail
Server, Application Server, … có thể sử dụng DNS Name hoặc sử dụng địa chỉ IP
Public. Trường hợp Server trong vùng mạng DMZ sử dụng Private IP Æ chúng ta
sử dụng Publishing Rule, Protocol sử dụng trong Publishing Rule là Inbound
Direction.
ISA Server sẽ thực hiện một kết nối đến Web Server bên trong vùng DMZ. Trên
Web Server chúng tôi cấu hình Host Header để đặt tên cho các trang web trên IIS
Server. Để truy cập các trang web này chúng ta phải sử dụng tên miền để truy
cập vào trang web, ví dụ: http://www.vietcert.com; trong đó www.vietcert.com là
Host Header của trang web, chúng tôi tạo nhiều trang web trên IIS Server và đặt
lần lượt là www.vietcert.com, www.ictexpress.com, www.vietnamlab.com.
Trong DMZ Network chúng ta đặt một DNS Server để phân giải cho Server trong
mạng DMZ. DNS Server này chứa các Zone trong vùng DMZ. ISA Server không
cấu hình trực tiếp đến DNS Server trên DMZ mà sẽ cấu hình vào local DNS
Server Æ từ Local DNS Server sẽ Forwarder.
Trong mô hình bên dưới chúng ta không có DNS Server trong vùng mạng DMZ
Network mà sử dụng Local DNS Server để phân giải địa chỉ IP Public của các
Server trong vùng mạng DMZ Network. ISA Server cấu hình chỉ trực tiếp DNS
trong Local Network, trên Local DNS Server chứa thông tin A Host của những
Server trong vùng DMZ.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 272
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình DNS trong TCP/IP Settings của ISA Server khi sử dụng cơ chế Pulbishing Rule
Bên ngòai Internet, để Clients có thể truy cập được vào ISA Server (hoặc IP Public
của DMZ Server) công ty chúng tôi phải đăng ký các tên miền vietcert.com,
ictexpress.com, vietnamlab.com và cấu hình Host chỉ về ISA Server. Cách thứ
nhất chúng tôi cấu hình NS Record vẫn giữ nguyên DNS Server trên ISP (nơi
cung cấp), ngòai ra chúng tôi có thể cấu hình NS Record chỉ về DNS Server mang
Public IP đặt trên hệ thống DMZ Network (lúc này DMZ phải mang Public IP),
bằng cách này chúng tôi có thể dịch chuyển DNS Server về mạng LAN của công
ty.
Ghi chú: có những ISP không cho phép khách hàng tự cấu hình NS Record để chuyển DNS Server.
Nếu gặp trường hợp này các bạn phải liên hệ với nhà cung cấp tên miền để được chuyển. Khi thuê
Domain các bạn được cấp một Cpanel để cấu hình NS Record.
ISA Server có thể Publish một lúc nhiều trang web bằng Port 80 dựa trên Domain
Name mà chúng ta chọn. ISA Server 2006 cung cấp Wizard sử dụng cho việc
Publishing rất dễ dàng.
Web Server trong mạng LAN chúng tôi vẫn ở địa chỉ IP 192.168.1.5 và chạy 2
trang web vietcert.com và crm.vietcert.com là một trang web riêng nhưng cũng
chạy trên Web Server 192.168.1.5
Publish Multiple Web Sites
Vào Firewall Policy
273
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sử dụng chức năng Pulbishing Rule trong mục Firewall Policy
Ở mục Task Pane chọn Publish Web Sites
Cấu hình Publishing Rule bằng chúc năng Publish Web Site trong Task Pane của ISA Server
Tiếp tục cửa sổ quen thuộc của Wizard, chúng tôi đặt tên là Publish
VietCERT.com
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 274
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Rule Name cho biết chúng tôi đang muốn Publish trang web nào
Click Next
Chọn Allow cho phép Clients được truy cập từ Internet. Nếu chọn Deny, ISA
Server sẽ cấm không cho phép truy cập vào bên trong Web Server này nếu các
điều kiện của Rule khớp.
Cho phép User truy cập vào trang ưeưb này từ Internet.
Click Next
Chọn mục Publish MultiPle Web Sites
275
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
ISA Server 2006 có thể Publishing một lúc nhiều trang Web trong cùng một Wizard
Click Next
Tiếp theo là thêm vào những trang web nào bạn muốn Publish, ISA Server 2006
cho phép Publish cùng lúc nhiều trang web chỉ với một Wizard
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 276
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click ADD để thêm Web Site vào Wizard
Click Add để thêm trang web. Trang www.vietcert.com sẽ được Publish. ISA
Server kết nối đến Web Server này bằng SSL chỉ thành công nếu chúng tôi đã cấu
hình thành công SSL trên trang web www.vietcert.com trên Server 192.168.1.5
Chú ý chỉ ADD thêm phần đầu của Web Site, không ADD Fully Qualified Domain Name (FQDN)
Click OK
Click ADD để thêm một địa chỉ nữa chúng tôi muốn Publish là crm.vietcert.com
277
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chúng tôi thêm Web Site CRM của hệ thống VietCERT
Click OK
Click Next
Và trong Wizard này chúng tôi sẽ publish 2 trang web: www và crm
Click Next tiếp tục
Gõ tên Domain của 2 trang web trên. Muốn truy cập được tên Domain này từ
Internet, chúng tôi đã đăng ký VietCERT.com với hệ thống quản lý tên miền quốc
tế.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 278
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tên miền sử dụng chung cho 2 trang web này là vietcert.com. Publishing Multiple Web Sites chỉ có
thể sử dụng nếu các trang ưeb này sử dụng cùng tên đuôi (DNS Suffix)
Click Next
Bước tiếp theo rất quan trọng là tạo Web Listener cho ISA Server biết phải lắng
nghe Port bao nhiêu, tên miền gì và kết quả là sẽ dẫn vào đúng 2 trang web đã
cấu hình trên.
Tạo Web Publishing Rule
Click New để thêm Web Listener cho ISA Server
279
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo Web Listener cho ISA Server lắng nghe 3 trang web này
Click New
Tên Listener chúng tôi chọn là CRM Site.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 280
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Web Listener lắng nghe coh 2 trang web. Web Listenter Name
Click Next
Hiện tại chúng tôi chưa thể chọn SSL đến Clients vì chưa cấu hình SSL Certificate
trên ISA Server. Cơ chế Publishing Web lúc này là dạng Bridging, ISA Server sẽ
tạo một kết nối đến Publishing Server và một kết nối đến Clients. Mọi thông tin
sẽ được ISA Server kiểm sóat.
Cách thức bảo mật đường kết nối giữa ISA Server và Clients, độc giả có thể chọn Secure bằng HTTPS
hoặc sử dụng HTTP
Click Next
Cấu hình ISA Server lắng nghe trên Interface nào của mình.
281
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Lắng nghe traffic Web Request từ Clients ở Internet, và sẽ dẫn traffic vào Web Server
Click Next
Tiếp theo là cấu hình kiểu chứng thực với User từ Internet, chúng tôi chọn HTTP
Authentication
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 282
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn kiểu chứng thực cho Web Listener, chúng tôi sử dụng Basic Authentication với HTTP
Authentication. Phần sau chúng tôi sẽ hướng dẫn cấu hình HTTPS để bảo mật Username/Password
gửi bằng PlainText trên đường HTTP
Click Next
Sing Sign On trên Web chỉ hỗ trợ nếu chọn HTML Form Authentication. Hiện tại
chúng tôi chọn HTTP Authentication nên không thể bật tính năng Single Sign On.
283
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
HTTP Authentication không thể tận dụng được tính năng Single Sign On (SSO) với các trang web
như SharePoint Portal và CRM …
Click Next
Kiểm tra lại quá trình cấu hình
Tổng hợp quá trình tạo Web Listener trên ISA Server.
Click Finish kết thúc phần tạo Web Listener, quay lại với Wizard và chọn Web
Listener.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 284
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn Web Listener vừa tạo cho Wizard Publishing Rule đang cấu hình
Click Next
Chọn Option No Delegation, but Clients may authenticate directly cho phép
Clients có thể chứng thực trực tiếp với Web Server. Trên Web Server cấu hình
Basic Authentication.
Chọn chức năng Delegate Authentication trên ISA Server và Web Server
Click Next
Tất cả mọi người đều được truy cập vào Web Site CRM của VietCERT. Nếu muốn
285
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
cấu hình thành từng nhóm User, sử dụng chức năng ADD để thêm User
Definition (là một Components của Access Rule)
Cho phép tất cả mọi người được phép truy cập vào web này này với điều kiện phải có
Username/Password
Click Next
Kiểm tra lại quá trình cấu hình
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 286
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tổng hợp quá trình tạo Publishing Rule trên ISA Server
Click Finish
Sau khi cấu hình xong, ISA Server sẽ tạo 2 Rule. Biểu tượng của 2 Publishing Rule
được hiển thị trong Firewall Policy. Kiểm tra lại Rule vừa tạo bằng cách
Properties từng Rule lên kiểm tra.
Publishing Rule sau khi tạo cxng được quản lý bằng Firewall Policy
Properties Rule số 1 chọn Tab Public Names
287
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình thông số bên trong cho Publishing Rule sau khi tạo bằng cửa sổ Properties của Rule
Click chọn Tab Bridging để biết ISA Server kết nối vào Web Server bằng giao
thức gì và có thể cấu hình để thay đổi lại
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 288
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Port sử dụng đẻ Redirect đến Web Server. HTTPS chúng tôi sử dụng Port mặc định là 443
Click OK
Đứng từ Internet gõ địa chỉ trang web http://crm.vietcert.com chúng ta sẽ được
truy cập vào máy 192.168.1.5 và vào đúng trang web crm.vietcert.com trên máy
192.168.1.5 trong mạng LAN của VietCERT.
Để từ Internet có thể truy cập được tên miền crm.vietcert.com chúng tôi phải có
Domain vietcert.com và cấu hình CNAME hoặc Host crm và chỉ về địa chỉ IP thật
của ISA Server tại địa chỉ 203.162.24.33
289
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chúng tôi sẽ Publish Remote Desktop trên một Server trong mạng LAN
192.168.1. 5 ra ngoài Internet để Mr. Thanh có thể quản trị từ xa Server này, và
thông qua Server này Mr. Thanh có thể kết nối đến các Server khác trong mạng
LAN. Chức năng Publishing Rule chúng ta chỉ sử dụng cho Server mang Private
IP. Với Public IP chúng ta chỉ đơn giản sử dụng Access Rule, Source là External
và Destination là Public IP của Server mang Public IP.
Server Publishing Rule thực ra là cơ chế NAT trên ISA Server. ISA Server sử dụng chức năng Port
Redirection với tính năng của Firewall có thể lọc được Application Data.
Remote Desktop Protocol sử dụng TCP Port 3389. Với những Protocol thông
dụng ISA Server đã tạo sẵn các Protocol Definition với các Protocol và Port định
sẵn. RDP (Remote Desktop Protocol) Server sử dụng TCP Port 3389 Inbound đã
được ISA Server tạo sẵn vì vậy chúng ta chỉ cần tạo Server Publishing Rule.
Vào ISA Server Management Console chọn Firewall Policy
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 290
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Publishing Rule trong mục Firewall Policy
Trong Task Pane chọn Create Non‐web Server Publishing Rule
Tạo những Publishing Rule không dùng cho Web và Mail Server. ISA Server 2006 hỗ trợ thêm
Wizard Publishing Share Point Portal Server.
Rule Name gõ Publish Remote Desktop Server
291
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Rule Name cho biết chúng tôi đang Publish lọai Server gì
Click Next
Server IP gõ 192.168.1.5 – Server này nằm trong mạng LAN, sử dụng IP Private
nên chúng tôi phải sử dụng Publishing Rule. Khi gặp Publishing Rule Condition,
ISA Server sẽ NAT vào bên trong Private IP
Remote Desktop Server chúng tôi chạy trên Server 192.168.1.5
Click Next
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 292
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Protocol tìm trong danh sách và chọn Remote Desktop Server (RDP), có thể kiểm
tra Protocol này bằng cách Click chọn Properties
Chọn Publishing Remote Desktop Server Protocol được cấu hình sẵn trên ISA Server
Chọn tab Parameter
Xem phần Protocol TCP Port 3389 và Direction là Inbound
293
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình các thông số bên trong Protocl này ở phần Parameter. RDP sử dụng TCP port 3389
Click OK
Click Next trong khi vẫn chọn Remote Desktop Protocol Server
Click Next
Chọn Network External cho ISA Server biết sẽ lắng nghe RDP từ Internet (các
Interface của ISA Server kết nối với mạng Internet)
Lắng nghe Remote Desktop trên Interface External, tức là User chí có thể truy cập vào Server này từ
Internet.
Click Next
Xem lại quá trình cấu hình, chúng tôi cho ISA Server lắng nghe trên External
Interface (những Interface không nằm trong Internal và DMZ là External) và
NAT traffic này vào Server 192.168.1.5 đang mở dịch vụ Remote Desktop
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 294
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tổng hợp quá trình cấu hình Publishing Rule
Click Finish
Click Apply để chấp nhận thay đổi trên ISA Server, có thể bạn phải khởi động lại
các dịch vụ của ISA Server 2006.
Sau khi tạo xong Publishing Rule, chúng tôi kiểm tra lại Protocol bằng cửa sổ
Properties
295
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Remote Desktop Rule sau khi cấu hình sẽ hiển thị trong Firewall Policy
Click chọn Tab To
Cầu hình tính năng của Publishing Rule trên ISA Server.
Chúng tôi vẫn chọn Option mặc định của ISA Server là Request appear to come
from the original Clients, Option này giúp chúng tôi Monitor được traffic từ đâu
đến, biết được Source IP của các yêu cầu dịch vụ này là từ máy nào. Nếu chọn
Option Requests appear to come from the ISA Server computer sẽ mất đi tính
năng Monitor trên Web Server, Mail Server hay nói chung là các Server được
Publish không thể biết được Source IP đến từ đâu mà chỉ thấy IP của ISA Server.
Click OK quay lại với ISA Management Console.
Ghi chú: chỉ cần khởi động dịch vụ ISA Server Control Job, Windows tự động Restart lại các dịch vụ
liên quan của ISA Server.
Đứng từ một Clients mang Public 210.245.22.91 ở một đường truyền khác kết nối
vào Public IP của ISA Server 2006 (203.162.23.33). Chúng ta không kết nối trực
tiếp vào Private IP của Remote Desktop Server ở địa chỉ IP 192.168.1.5 mà phải
kết nối vào Public IP của ISA Server, từ ISA Server sẽ tạo một kết nối vào Remote
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 296
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Desktop Server. Đứng từ Remote Deskop Server chúng ta chỉ có thể thấy được
Source IP là ISA Server (Internal IP)
Kết quả kết nối thành công đến Remote Desktop Server nhưng địa chỉ IP trên
thanh Remote Desktop là địa chỉ IP Public của ISA Server 203.162.23.33
Server MMS của VietCERt mang địa chỉ IP 192.168.1.5 trong mạng LAN, và
chúng tôi chỉ cho phép Web Server tại địa chỉ 203.162.23.34 được phép truy cập.
Chúng tôi sử dụng Publishing Rule với Port là MMS Server và đặc biệt phải cấu
hình From Network là Computer với giá trị là địa chỉ 203.162.23.34
Chỉ cho phép DMZ Server được phép truy cập vào Server trong mạng LAN, nếu User hoặc Server từ
Internet sẽ không thể truy cập vào mạng LAN bằng Streaming Media.
Vào Firwall Policy
297
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Publishing Rule bằng Firewal Policy
Trong Task Pane chọn Create Non‐web Server Publishing Rule
Cấu hình Publishing Rule sử dụng Task Pane
Rule Name gõ Publish MMS Server to DMZ
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 298
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Rule Name cho thấy chúng tôi muốn Publish Server nào ở vùng nào.
Click Next
Server IP gõ 192.168.1.5 – Server này nằm trong mạng LAN, sử dụng IP Private
nên chúng tôi phải sử dụng Publishing Rule. Khi gặp Publishing Rule Condition,
ISA Server sẽ NAT vào bên trong Private IP
Địa chỉ IP của Streaming Media chúng tôi đặt tại 192.168.1.5 trong mạng LAN. Địa chỉ IP Private
nên chúng tôi cần sử dụng tính năng Pulbishing Rule
Click Next
299
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Protocol tìm trong danh sách và chọn MMS Server, có thể kiểm tra Protocol này
bằng cách Click chọn Properties
Chọn MMS Protocol được cấu hình sẵn trên ISA Server
Chọn tab Parameter
MMS Server sử dụng 2 Connections để kết nối, TCP sử dụng trong việc truyền
thông số điều khiển, UDP sử dụng gửi nội dung Phim, nhạc
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 300
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình tham số cho MMS Server. MMS Server sử dụng cả 2 Protocol TCP và UDP đều ở Port
1755. ISA Server có chức năng Filter cho MMS ở phần Application Filter.
Click OK
Click Next trong khi vẫn chọn MMS Server
Click Next
Chọn Network External cho ISA Server biết sẽ lắng nghe MMS Server
203.162.33.34 từ mạng DMZ, chúng tôi chọn DMZ Network và Click chọn
Address và chọn chính xác địa chỉ IP 203.162.33.34 trong vùng DMZ.
301
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Lắng nghe trên DMZ Network và chỉ có DMZ Network IP có thể truy cập vào Server 1.5 bằng MMS
Protocol
Click All IP Address on the ISA Server computer that are in the selected network
để lắng nghe bằng Interface DMZ. Chúng tôi vẫn chưa thực hiện được mục đích
chỉ lắng nghe từ Computer 203.162.33.34, việc này chúng ta sẽ thực hiện sau khi
đã cấu hình xong Publishing Rule.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 302
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tất cả địa chỉ IP trong vùng mạng DMZ Network đều có thể truy cập vào MMS Server ở địa chỉ IP
192.168.1.5
Click OK quay lại với Wizard
Click Next
Xem lại quá trình cấu hình, chúng tôi cho ISA Server lắng nghe trên External
Interface (những Interface không nằm trong Internal và DMZ là External) và
NAT traffic này vào Server 192.168.1.5 đang chạy Streaming Media Service của
Microsoft
303
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tổng hợp quá trình cấu hình Pulbishing Rule cho MMS Server
Click Finish
Click phải chọn Properties trên Rule vừa tạo ra, chúng tôi sẽ tiếp tục cấu hình
From Network là DMZ nhưng phải chính xác địa chỉ IP 203.162.33.34
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 304
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình tham số cho Publishing Rule và cấu hình lại phần From chỉ chó phép một Server cụ thể nào
đó được truy cập vào MMS Server ở địa chỉ 192.168.1.5
Click Remove để bỏ khỏang Anywhere và click ADD để Add thêm một
Computer mang địa chỉ IP 203.162.33.34
305
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo một đối tượng kiểu Computer để gán vào Publishing Rule
Tên máy tính chúng tôi đặt là DMZ Web Server, mang địa chỉ IP 203.162.33.34
Computer chúng tôi đặt tên hiển thị là DMZ Web Server và địa chỉ IP của Server này trong vùng
DMZ Network.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 306
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click OK để tạo Computer và Double Click vào Computer vừa tạo để Add vào
phần From
Double Click để add đối tượng này vào Publishing Rule
Kiểm tra lại nội dung From vừa cấu hình
307
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Và chúng tôi chỉ cho phép Server này được truy cập vào MMS Server ở địa chỉ IP 192.168.1.5
Click OK
Click Apply để chấp nhận thay đổi trên ISA Server, có thể bạn phải khởi động lại
các dịch vụ của ISA Server 2006.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 308
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
á CHƯƠNG VI
Kết hợp ISA Server 2006 và Exchange
Server 2003
Sử dụng ISA Server 2006 với các tính năng Publishing, Access Rule và Security để bảo vệ hệ
thống Exchange Server 2003 bên trong vùng DMZ. Các bài LAB trong chương này sẽ cho
người đọc thấy được sự kết hợp hòan hảo giữa ISA Server 2006 và Exchange Server 2003.
309
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
34. Mô hình chung
Trong bài thực hành của chương này tập trung vào cấu hình Publishing Rule trên
ISA Server cho phép User từ Internet có thể truy cập vào Exchange Server.
Exchange Server Mail chúng tôi không đặt trong mạng LAN, nhưng do đặc thù
của bài thực hành nên tạm thời chúng tôi cho Mail Server nằm trong vùng mạng
Internet để thực hiện Publishing Rule.
Nếu Mail Server nằm trong vùng mạng DMZ với Public IP thì không cần sử dụng
tính năng Publishing Rule mà thay vào đó cấu hình Access Rule cho User đi trực
tiếp từ Internet vào DMZ Network với hướng Traffic là Outbound.
Trong mạng LAN, chúng tôi có 2 Server 192.168.1.4 chạy Mail Server Exchange
2003 và 192.168.1.5 chạy Streaming Media Server hosting các đọan Video cho
VietnamLab Web Site. Chúng ta sẽ lần lượt thực hiện các bài thực hành để đưa
những dịch vụ trên các Server này ra User từ Internet.
Mô hình thự hành chung cho phần Publishing Rule.
Cấu hình Routing và NAT bằng Network Rule, cấu hình Access Rule cho User
truy cập bình thường từ mạng LAN ra Internet. Nhưng từ Internet vào LAN phải
cấu hình Publishing Rule hay nói cách khác là NAT ngược theo Port của dịch vụ.
Trên ISA Server đã cấu hình khá nhiều Port với hướng incoming và được đánh
dấu bằng các Protocol có chữ Server phía sau. Chúng ta sẽ tận dụng các Protocol
có sẵn của ISA Server để Publish.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 310
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
35. Cấu hình SMTP Publishing Rule
Mail Server từ mạng DMZ có thể gửi Mail trực tiếp vào Mail Server bằng Protocol
SMTP ở Port 25. Chúng ta sẽ thực hiện Publishing SMTP Server hướng Inbound
vào Server 192.168.1.4. Khi Publish SMTP Server, chúng ta có thể cấu hình SMTP
Filter để lọc nội dung của Mail khi nhận từ Mail Server trên Internet.
Vào Firewall Policy
Sử dụng Firewall Policy để cấu hình Publishing Rule
Trong mục Task Pane chọn Publish Mail Servers
Publishing Mail Server là một Wizard dựng sẵn trong ISA Server cho phép đưa Mail Server trong
mạng LAN ra Internet qua cơ chế NAT
Name chúng tôi gõ Publish Mail Server non‐Secure SMTP
311
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Publishing Mail Server SMTP bằng ISA Server Wizard
Click Next
Tiếp theo chọn Server‐to‐Server communication: SMTP, NTTP
Chọn Wizard giúp cấu hình cho tương tác Mail Server từ Internet vào Local Mail Exchange Server
tại địa chỉ 192.168.1.4 làm Mail Online.
Click Next
Chọn Protocol SMTP Server sẽ Publish.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 312
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn Protocol SMTP Server cho phép Mail Server từ Internet có thể gửi Mail trực tiếp vào Server
Exchange của chúng tôi.
Click Next
Xác định địa chỉ IP của Mail Server đang chạy Exchange 2003 tại 192.168.1.4
Địa chỉ IP của Mail Exchange Server tại địa chỉ 192.168.1.4
Click Next
Chúng tôi cho ISA Server lắng nghe trên 2 Interface là DMZ và Internet. Nếu Mail
Server của khách hàng có nhu cầu gửi Mail vào công ty chúng tôi, chỉ cần Mail
Server mang địa chỉ IP Public là được phép gửi vào mail Server.
313
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình ISA Server lắng nghe trên External và DMZ Network nếu traffic SMTP đến từ Internet.
Click Next
Kiểm tra lại phần cấu hình
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 314
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại những phần đã cấu hình sau khi hòan tất các bước của Wizard
Click Finish
Sau khi tạo Rule, ISA Server xuất hiện thêm một Rule nữa trong Firewall Policy
Publishing Rule thực chất cũng được chứa trong Firewall Policy chung với các Access Rule.
Publishing Rule chỉ là một dạng biến thể của Access Rule.
315
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Độc giả có thể Enable/Disable tính năng SMTP Filter bằng mục Add‐ins trong ISA
Server Management Console.
Vào ISA Server chọn mục Add‐ins
Enable và cấu hình SMTP Filter bằng Application Filter trong mục Add‐Ins của ISA Server
Management Console trên Windows 2003
Chọn Tab Application Filter và Enable SMTP Filter
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 316
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Enable SMTP Filter để chống lại các kiểu tấn công tràn bộ đệm của Hacker
Cấu hình các chiều dài cho những câu lệnh trong SMTP Command. Thực ra bài
này chúng tôi muốn giới thiệu đến độc giả vì SMTP Filter – tính năng này đã
được bật mặc định trên ISA Server 2006 và tác dụng trên Incomming SMTP
Traffic (gồm SMTP và SMTP Server Protocol)
Cấu hình chiều dài các câu lệnh SMTP bằng cách chọn câu lệnh và Click EDIT
317
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Thay đổi chiều dài của SMTP Command. 266 là chiều dài tối đa của câu lệnh RCPT TO: để chỉ địa chỉ
Email cần gửi đến. Hacker có thể gửi một câu lệnh dài hơn 266 để gây lỗi cho hệ thống.
Click Edit
Độc giả có thể thử bằng cách cho con số 266 nhỏ hơn chiều dài của tất cả các địa
chỉ gửi trong mục TO, lá Mail sẽ bị chặn lại trên ISA Server.
Nhà quản trị có thể thay đổi chiều dài tối đa cho RCPT Command
Click OK
ISA Server 2006 có thêm một tính năng phụ chúng ta có thể cài họăc không cài
cũng được, đó là Message Screener.
Tham khảo thêm Message Screener tại địa chỉ
http://www.microsoft.com/technet/isa/2004/help/FW_SMTPFilterAbout.mspx?mf
r=true
Để truy cập vào Exchange Web Site trong mạng LAN chỉ cần gõ http://IP‐of‐
Server/exchange với IP‐of‐Server là địa chỉ IP của Exchange Server trong mạng
LAN, và gõ http://IP‐of‐Server/public để truy cập vào Public Folder trên
Exchange Server.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 318
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
User kết nối vào Exchange Server từ Internet qua ISA Server. Exchange Server
mang địa chỉ IP Private nên trên ISA Server phải thực hiện chức năng NAT theo
Port vào bên trong. Tính năng NAT trên ISA Server được gọi theo một tên khác –
Publishing Rule.
ISA Server dành riêng một phần để Publish OWA của Microsoft Exchange Server
2003, trên ISA Server Publishing Wizard dành riêng cho OWA có hộ trợ tính năng
Authentication Form nhằm bảo mật cho User khi không có điều kiện sử dụng
Microsoft Outlook 2003 để check Mail mà phải sử dụng OWA ở một nơi không
an tòan như dịch vụ Internet công cộng.
Sử dụng Wizard Publish Secure Web Site trên ISA Server
Vào Firewall Policy trong ISA Server
Chọn mục Publish Exchange Web Clients Access trong cửa sổ Task Pane
Sử dụng chức năng Publish Exchange Web Clients Access để đưa trang OWA ra ngòai internet cho
User truy cập. Request từ Clients sẽ được ISA Server nhận và chuyển tiếp vào Exchange Server.
Rule Name chúng tôi đặt Publishing ‐ OWA on 192.168.1.4
319
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Rule Name Publishing – OWA on 192.168.1.4 cho chúng tôi biết chức năng của Rule này. Rule name
tốt phải hiển thị được cho người dùng biết chức năng của nó mà chưa cần phải vào properties để xem
Click Next
Xác định lọai Exchange Server sử dụng trên máy 192.168.1.4 là Exchange Server
2003 và lọai Protocol chúng tôi muốn Publish hiện tại trong bài thực hành này chỉ
là OWA nên chọn Outlook Web Access
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 320
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn Exchange Server version và lọai Protocol sẽ Publish ra Internet. Chúng tôi chọn OWA để
Publish Web OWA trên Exchange Server
Click Next
Chọn tiếp dạng web đơn, vì chúng tôi chỉ sử dụng một địa chỉ IP 192.168.1.4 cho
Exchange Server.
Chỉ publish một trang web trên Exchange Server nên chúng tôi chọn Option Publish a single web site
321
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
or load balancer.
Click Next
Chúng tôi kết nối ISA Server 2006 với Web Server trên Exchange Server sử dụng
HTTPS. Muốn cấu hình được HTTPS, trên Exchange Server chúng tôi phải cấu
hình thêm Certificate Authoritivive Server để cấp Certificate cho Web Server trên
Exchange. Chúng tôi muốn dùng Option này để bảo mật cho traffic kết nối từ ISA
Server vào Exchange Server.
Chọn lọai kết nối giữa Exchange Server với ISA Server. ISA Server đóng vai trò Clients của Exchange
Server và chúng tôi chọn kiểu traffic là SSL để Secure trong LAN.
Click Next
Khai báo tên trang web trên Exchange Server đã cấu hình HTTPS. Tên trang web
bắt buộc phải là Mail.VietCERT.com vì chúng tôi đã khai báo Common Name
trên Certificate cấp cho trang web này là Mail.VietCERT.com
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 322
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tên miền sử dụng khi truy cập từ ISA Server vào Exchange Server. Mail.VietCERT.com là tên miền
Common Name chúng tôi khai báo trên Exchange Server Web Site khi cấu hình HTTPS nên phải
dùng mail.vietcert.com khi truy cập trang web này.
Click Next
Khai báo Public Domain Name trên Internet khi đăng ký với hệ thống tên miền
Quốc Tế. Chỉ truy cập vào ISA Server bằng đúng tên miền Public này mới được
dẫn vào Exchange Server tại địa chỉ 192.168.1.4
Public Domain Name chúng tôi sử dụng cho trang web này là
webmail.vietcert.com
323
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Web Site trên ISA Server cho phép Publish OWA
Click next
Cấu hình Web Listener cho ISA Server sử dụng để Publish OWA ra Internet.
Chúng tôi sẽ cấu hình SSL trên ISA Server để buộc User phải sử dụng HTTPS khi
truy cập vào trang OWA của ISA Server. Web Listener trên ISA Server chúng tôi
sẽ tạo lắng nghe trên Port 443 của HTTP với SSL.
Click new
Độc giả phải cấu hình thêm Web Listener cho OWA với HTTPS
Chú ý: Muốn cấu hình được SSL Web Listener, ISA Server phải có Server Certificate để chứng thực
với Clients và khởi tạo một Secure Tunnel đến Clients. Mọi traffic trong đường truyền này sẽ được mã
hóa với Key được tạo bởi Clients và Server qua quá trình trao đổi Key. Key này được đổi liên tục sau
15 phút.
Điền Listener Name là SSL Web Listener.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 324
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tên cho Web Listener với Certificate
Click Next
Chọn kiểu kết nối của Listener với Clients. Chúng tôi buộc User phải kết nối đến
ISA Server bằng HTTPS. Và trên ISA Server phải có Certificate để chứng thực với
User.
325
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cách thức truy cập từ ISA Server và Clients. Chúng tôi phải bảo đảm OWA được bảo mật nên phải
cấu hình HTTPS cho kết nối này.
Click Next
Listener này sẽ lắng nghe HTTP Traffic từ Clients ở Internet và DMZ Network.
Chọn 2 mạng DMZ Network và External
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 326
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Lắng nghe từ mạng DMZ Network và mạng Internet.
Click Next
Bứớc tiếp theo là khai báo cho ISA Server sử dụng Certificate nào để chứng thực
với Clients. Để thực hiện được bước này, độc giả phải thực hiện quá trình xuất
Certificate từ Web Server đã cấu hình trong bài thực hành xxx và đưa vào ISA
Server. ISA Server sẽ đại diện cho Web Server với Clients thực hiện quá trình
chứng thực cho Web Server. Trong phần này chúng tôi xin nhắc lại cách xuất
Certificate từ Web Server và Import vào ISA Server để tiện cho quý vị theo dõi.
Xuất Server Certificate từ Web Server và Import vào ISA Server
Trên Web Server sử dụng Snap‐in Certificate để xuất Certificate từ Web Server
thành một tập tin.
Vào RUN chạy MMC để nạp Certificates Snap‐in
327
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Khởi động MMC bằng RUN
Click OK
Vào MMC và ADD thêm Snap‐in Certificates
Thêm Snap‐in Certificate để quản lý Certificates trên máy tính
Click ADD
Và chọn Computer Account
Click Next
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 328
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Lọai Certificate sử dụng cho Web Server sẽ là Computer Account Certificae
Chọn mục Local Account để quản lý Account trên Local Computer của Web
Server.
Kết nối vào Local Computer để quản lý các Certificate từ Computer này
Click chọn mục Personal trong Snap‐in Certificates, chọn tiếp Folder Certificates
và tìm Certificate www.hocmang.com đã cấp cho trang Web hocmang.com.
Click phải chọn Export để xuất Certificate này và chuẩn bị Import vào ISA Server.
329
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sử dụng Wizard Export để xuất Certificate thành file
Click Next
Click Yes, export the private key vì phải có Private Key trong Certificate cấp cho
Web Server và sẽ chuyển cho ISA Server. Clients sẽ sử dụng Public Key của
Cerficate để k
Xuất luôn phần Private Key sử dụng để giải mã phần Key được mã hóa với Public Key từ Client
Click Next
Và chọn lọai Certificate sẽ dùng là .PFX bên trong có chứa Private Key. Chúng tôi
sử dụng Strong Encryption để bảo vệ Private Key bên trong tập tin này.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 330
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Lọai File PFX được sử dụng đê chứa Private Key và được mã hóa
Click Next
Cấu hình Password để mã hóa cho tập tin này
Đặt Password để mã hóa nội dung của tập tin PFX
Click Next
Tên tập tin chúng tôi xuất ra là hocmang.cer
331
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Xuất tập tin Certificate thành tập tin hocmang.cer.pfx
Click Next
Click Finish
Web Server sẽ báo là quá trình xuất thành công
Quá trình xuất Certificate thành công
Import Certificate vào ISA Server
Trên ISA Server sau khi copy tập tin hocmang.cer xuất ra từ Web Server, chúng
tôi Double Click vào Certificate này để Import vào ISA Server.
Double Click vào tập tin hocmang.cer.pfx
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 332
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Import Crẻtìicate với Private Key vào ISA Server
Khai báo đúng Password chúng tôi sử dụng trong quá trình xuất tập tin này
Khai báo Password để giải mã Certificate vói Private Key
Click Next
Chọn Personal bằng nút Browse và click OK
333
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Import Certificate vào đúng phần Personal trên Computer
Click Next
Click Finish
Quá trình Import thành công
Quá trình Import thành công
Kiểm tra Certificate trong Certificate Snap‐in của ISA Server ở mục Personal (thực
hiện công việc này trên ISA Server)
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 334
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra Certificate trong mục Personal của ISA Server
Tiếp theo quá trình publishing OWA
Click chọn Server Certificate và chọn đúng Certificate đã cấp phát cho Web
Server và Import vào ISA Server.
Click OK
Click Finish kết thúc phần chọn Certificate
Tiếp tục chọn kiểu chứng thực là Form‐based Authentication
Click Next
Kiểm tra quá trình Logon làn cuối
Click Finish
Microsoft Outlook 2003 có thể sử dụng Account Microsoft Exchange Server từ
Internet với địa chỉ IP Public của ISA Server tại 203.162.24.33
Vào Firewall Policy
335
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Publishing Rule trong mục Firewall Policy trên ISA Server Management Console.
Trong mục Task Pane chọn Publish Mail Servers
Chọn mục Publishing Mail Servers cho phép User từ Internet truy cập được vào Mail Exchange
Server tại địa chỉ 192.168.1.4 trong mạng LAN của VietCERT
Name của Wizard chúng tôi gõ Publish Non‐Secure RPC
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 336
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Rule name chúng tôi đặt cho Publishing Rule theo nguyên tắc Publishing –mô tả công việc của Rule
Click Next chọn Clients Access
Sử dụng Wizard Publishing Clients cho phép Clients có thể kết nối vào Exchange Server trong mạng
LAN qua cơ chế NAT
Click Next
Tiếp theo chúng tôi sẽ chọn RPC để đưa Microsoft Outlook 2003 cho phép truy
cập từ Internet.
337
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn protocol sẽ được Publish. Chúng tôi chọn RPC cho phép Microsoft Outlook 2003 có thể kết nối
vào Exchange Server bằng MAPI, đường truyền Mail lúc này được mã hóa.
Click Next
Xác định địa chỉ IP của Exchange Server 2003 trong mạng LAN tại địa chỉ IP
192.168.1.4
Xác định địa chỉ IP của Mail Server trong mạng LAN mang địa chỉ IP Private là 192.168.1.4
Click Next
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 338
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cho ISA Server lắng nghe từ Internet, nếu traffic này đến từ Internet chúng sẽ
được NAT vào bên trong Exchange Server ở địa chỉ 192.168.1.4.
Lắng nghe traffic từ External trên ISA Server. Clients từ Internet kết nối vào Exchange Server từ
Internet sẽ được dẫn vào bên trong Exchange Server ở địa chỉ IP 192.168.1.4 bằng cơ chế NAT.
Click Next, kiểm tra lại quá trình cấu hình. Chúng tôi sẽ không Click Apply vì
RPC không được an tòan, dễ bị tấn công bằng các kiểu Virus như Blaster, Sasser.
Thay vì cấu hình RPC bình thường qua Internet, chúng tôi cấu hình RPC over
HTTPS, sử dụng SSL để mã hóa nội dung của RPC trong một Protocol HTTPS.
39. Cấu hình Publishing Rule cho Clients sử dụng POP3 và IMAP4
Clients từ Internet có thể truy cập vào Mail Exchange trong mạng nội bộ lấy Mail
bằng Protocol POP3 và IMAP4. Mail Server được Publishing qua ISA Server,
Clients sẽ kết nối vào Public IP của ISA Server. Trên ISA Server tạo một
Publishing Rule cho phép Clients kết nối vào bên trong. Chúng ta có thể tích hợp
một số chương trình chống Virus, Spam ngay trên ISA Server (SMTP Gateway)
để bảo mật cho hệ thống Mail.
Đối với Clients phải tạo thêm một Profile nữa cho User đặt tên Out of Office để
User có thể sử dụng dễ dàng khi làm việc ngòai văn phòng nhưng vẫn kết nối
339
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
vào Exchange để lấy Mail.
Trên ISA Server có sẵn Wizard cho phép cấu hình Publishing Rule IMAP4 và
POP3
Vào Firewall Policy
Sử dụng Firewall Policy để cấu hình Publishing Rule
Chọn mục Publishing Mail Servers trong phần Task Pane
Publishing Mail Server bằng Wizard có sẵn của ISA Server.
Name chúng tôi đặt là Mail Clients POP3 – IMAP4
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 340
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Rule Name hiển thị được chức năng của Rule tạo sự dễ dàng khi quản lý ISA Server
Click Next
Chọn Clients access: RPC, IMAP, POP3, SMTP
Chọn Clien Access để tiếp tục Wizard Publishing Protocol cho Clients
Click Next
Tiếp tục chọn lọai Clients là POP3, IMAP4 và SMTP. Phải có SMTP cho phép
Clients gửi Mail bằng Exchange Server.
341
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chúng tôi chỉ chọn POP3, IMAP4 và SMTP cho Clients truy cập từ Internet.
Click Next
Xác định địa chỉ IP của Mail Server dùng trong mạng LAN. Exchange Server 2003
của chúng tôi đang sử dụng mang địa chỉ IP 192.168.1.4.
Chuyển các tín hiệu này vào Server Mail Exchange tại địa chỉ IP 192.168.1.4
Click Next
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 342
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn lắng nghe từ Internet. Nếu User từ Internet đi đến và dùng Port POP3,
IMAP4 và SMTP sẽ dẫn vào bên trong Mail Server 192.168.1.4. Điều này chỉ áp
dụng nếu Clients gõ IP trực tiếp là của ISA Server. Nếu Clients gõ thẳng địa chỉ
IP của Mail Server mang Public trong vùng DMZ thì sẽ đi bằng Routing trực tiếp
vào Mail Server DMZ này mà không qua cơ chế Publishing Rule của ISA Server.
Lắng nghe các traffic này trên Interface Internet
Click Next
Kiểm tra lại phần cấu hình
343
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tổng hợp lại quá trình cấu hình Publishing Rule
Click Finish
Cấu hình Microsoft Outlook 2003 sử dụng POP3/SMTP
Tiếp theo cấu hình Microsoft Outlook 2003 tạo một Protfile tên Out of Office và
cấu hình POP3 hoặc IMAP4 cho User
Microsoft Outlook 2003 nằm trong bộ Microsoft Office 2003 Professional
Cấu hình Microsoft Outlook 2003 bằng Applet MAIL trong Control Panel trên các
máy Clients
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 344
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Microsoft Outlook Profile bằng chức năng Mail trong Control Panel
Tạo một Profile mới mang tên Out of Office
Chọn hiển thị các Profile hiện co trong máy tính
Click chọn Add để thêm Profile mới
345
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click ADD tạo thêm Profile mới tren máy tính
Gõ tên Profile là Out of Office
Đặt Profile name cho Profile mới
Click OK
Chọn Option Add a New Email Account để khai báo thêm Account cho Microsoft
Outlook 2003
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 346
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo thêm Account cho Profile mới
Click Next, chúng tôi cho User sử dụng POP3 khi ra khỏi văn phòng.
Chọn lọai kết nối là POP3 đến Mail Server
Click Next
347
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Khai báo thông số về Mail Server. Mail Server phải khai báo thành địa chỉ IP
public của ISA Server. Trên ISA Server chúng tôi đã cấu hình Publishing Rule
chuyển các traffic này vào trong Server 192.168.1.4.
Khai báo thông tin kết nối đến Mail Server, Username, Password và địa chỉ của Mail Server (gồm
POP3 và SMTP)
Click Next
Click Finish
User Quốc Tỏan có thể sử dụng Profile này khi kết nối từ Internet để Check Mail
bên trong Mail Server tại địa chỉ 192.168.1.4
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 348
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
á CHƯƠNG VII
Sử dụng các bộ lọc trên ISA Server 2006
Sử dụng Advanced Filter và Web Filter cho phép người quản trị lọc được các nội dung sâu
bên trong gói tin đi qua ISA Server 2006. Ngòai ra, phần Filter này, Microsoft cho phép
người lập trình có thể tự viết thêm các Module bên ngòai để chạy tích hợp với ISA Server
2006. Tính năng này nhằm mục đích tích hợp các ứng dụng của hãng thứ 3 vào ISA Server
2006.
349
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
40. Tìm hiểu Application Filter trên ISA Server 2006
Application Filter là phần mở rộng Microsoft cho phép các hãng thứ 3 có thể phát
triển các ứng dụng tích hợp vào ISA Server. Một trong các hãng phảt triển Add‐in
cho ISA Server là GFI. Tham khảo GFI tại trang web www.gfi.com. GFI hỗ trợ
ISA Server phần HTTP Filtering khá tốt.
Hình: GFI Web Monitor – sản phẩm được ưa chuộng nhất sử dụng với ISA Server 2004/2006 để
Monitor và chống Virus cho HTTP, FTP
Internet access control & real time monitoring of users’ web activity
Companies must exercise some control over users’ web browsing habits – not
only to ensure productive use of the Internet but also to safeguard users from
adult sites and to ensure that downloads are virus free. The traditional full‐blown
web proxy filters are cumbersome to install/administer and expensive to buy,
while log file analyzers are awkward to use and do not allow for real‐time
monitoring and blocking.
Virus scanning of downloads and real‐time access control
GFI WebMonitor is a utility for Microsoft ISA Server that allows you to monitor
the sites users are browsing and what files they are downloading – in REAL
TIME. In addition it can block access to adult sites as well as performing anti‐
virus scanning on all downloads. GFI WebMonitor is the perfect solution to
transparently exercise a degree of access control over users’ browsing habits and
ensure legal compliance – in a manner that will not alienate your network users!
Web Filter cho phép ISA Server quản lý được Packet Data ở tầng Application
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 350
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sử dụng Application Filter để lọc nội dung các Application data khi gửi qua ISA Server. ISA Server
là Application Protocol nên có thể đọc được Application Data ở tầng 7.
Và đặc biệt Web Application Filter được sử dụng nhiều nhất trên các Application
Firewall vì liên quan đến Web Traffic
351
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Web Filter lọc tất cả các HTTP Traffic đi qua ISA Server và có thể thay đổi nội dung của gói HTTP.
Với HTTPS, ISA Server sử dụng cơ chế Bridging để thay đổi nội dung HTTPS.
Ngòai ra, Microsoft cung cấp cho người dùng và các Developers phần ISA Server
SKD để có thể tự lập trình hoặc thay đổi ISA Server theo hướng phát triển của
riêng mình. Các Add In của ISA Server có thể Enable/Disable bằng công cụ ISA
Server Management Console trong mục Add‐ins
Download ISA Server SDK tại địa chỉ
http://www.microsoft.com/downloads/details.aspx?FamilyID=16682c4f‐7645‐
4279‐97e4‐9a0c73c5162e&DisplayLang=en
Trên ISA Server 2006, các Application Filters được đặt trong phần Add‐ins
Vào ISA Server Management Console
Chọn mục Configuration Æ chọn tiếp Add‐ins
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 352
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Application Filters trong phần Add‐ins của ISA Server. Ngòai ra trong phần Add‐ins này,
độc giả có thể thêm những Filter tự tạo bằng bộ công cụ ISA Server SDK.
Trong phần Add‐in gồm tất cả các Application Filter của ISA Server 2006, gồm 2
phần: Application và Web Filter
Các Application Filter
Trong ISA Server 2006 bao gồm sẵn khá nhiều Application Filter cho các Application tương ứng.
Và Click chọn Tab Web Filters để xem các Filter sử dụng cho Web
353
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Riêng phần Web Filter ISA Server lưu ở một phần riêng biệt vì Web đòi hỏi khá nhiều lọai Filter, một
điều nữa là Web Traffic thường xuyên được sử dụng nhất.
Chúng ta có thể Enable/Disable các Add‐ins này bằng cách Click phải chuột chọn
Enable/Disable
Cấu hình Enable/Disable các Filter bằng cách Click phải chuột, chọn Enable/Disable
Chú ý biểu tương của Add‐in để biết đang ở trạng thái Enable hay Disable
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 354
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Nhìn vào trạng thái của các Application/Web Filter có thể biết chúng đang Enable hoặc Disable.
Properties HTTP Protocol để Enable/Disable Web Proxy Filter
Vào ISA Server Management Console
Chọn Firewall Policy
Cấu hình HTTP Filter trực tiếp trong Access Rule. Access Rule được cấu hình trong Firewall Policy.
Chọn tab Tool Box trong Task Pane và tìm Protocol
355
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
HTTP Filter được cấu hình trên Protocol Definition. Chúng ta không cấu hình trực tiếp HTTP Filter
trên bộ Web Filter của ISA Server.
Chọn đúng Protocol cần cấu hình Application Filter, chúng tôi chọn HTTP
Properties Protocol này và chú ý khu vực Application Filter
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 356
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Trên HTTP Protocol Definition có áp dụng một Application Filters dùng cho Web là Web Proxy
Filter. Filter này cung cấp tính năng HTTP Filter cho ISA Server
Hiện tại HTTP đang bị tác dụng bởi Application Filter tên Web Proxy Filter. Filter
này chúng ta không thể Disable trên ISA Server được nhưng có thể Un‐Link Filter
này khỏi Protocol HTTP
Ghi chú: Đôi khi Web Proxy Filter gây ra lỗi cho Web Traffic nên có thể chỉnh sửa nhanh bằng cách bỏ
Web proxy Filter ra khỏi Protocol HTTP. Uncheck Web Proxy Filter để bỏ Filter này ra khỏi HTTP
Protocol.
Web Proxy Filter cho phép cấu hình trên HTTP Packets. Những câu lệnh và
Method hoặc những tập tin được chuyển tải trên HTTP đều có thể lọc bằng Filter
này. Để cấu hình bộ lọc HTTP Filter chúng ta chọn HTTP Protocol trong bất kỳ
một Access Rule nào đó. Chúng tôi chọn một Access Rule Internet Access trong
Firewall Policy để cấu hình HTTP Filter.
357
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình HTTP Filter ngay Access Rule nào có Protocol HTTP. Click phải chuột và chọn mục
Protocols.
Click chọn nút HTTP Filter
Protocol nào có áp dụng Web Proxy Filter sẽ mang tính năng HTTP Filter. Khi cấu hình HTTP Filter
sẽ áp dụng cho tòan bộ Protocol nào có Web Proxy Filter.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 358
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấm các phần tên mở rộng mang tên .EXE, .MSI không được tải qua đường
HTTP. Click chọn Tab Extension và ADD 2 tập tin trên. Chọn Block Specified
extensions (allow all others)
Cấu hình HTTP Filter không cho phép download những tập tin có tên mở rộng thuộc phần Executable
Files (những tập tin có thể chạy được)
Click OK
Ghi chú: Những gì chúng ta cấu hình trong HTTP Filter sẽ được lựu lại trên Web Proxy Filter và tác
dụng cho tất cả các Protocol khác của ISA Server nếu các Protocol này có áp dụng Filter Web proxy
filter. Chúng ta có thể tạo thêm một Protocol HTTP – No Proxy cho phép các Clients đi thẳng ra ngòai
Internet mà không cần Cache lại nội dung trên ISA Server. Protocol mới này cũng sử dụng Port 80
TCP nhưng không áp dụng bộ lọc Web Proxy Filter.
Hoặc Web Proxy Filter có thể chặn gói tin HTTP dựa trên HTTP Signature
359
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Trong một gói tin bắt được bằng Ethereal, cấu trúc của HTTP Header như phần trên. HTTP Header,
Signature là những phần nhận diện với ISA Server để biết gói tin đó chứa gì, đang sử dụng trình
duyệt nào …
Dựa trên Header, Signature, Method hoặc Packet Type của HTTP packet chúng ta
có thể buộc ISA Server chặn hoặc cho phép các lọai gói tin này. Tất cả những tính
năng trên là của Web Proxy Filter.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 360
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
HTTP thuộc Application Protocol nên có cấu trúc dư liệu cho riêng mình. HTTP, SMTP, FTP,
POP3, … đều là những Application Protocol. HTTP sử dụng TCP Port 80 để chuyển gói tin
Properties phần HTTP Filtering, chúng ta có thể cấu hình các thành phần của
HTTP Packet.
Ngòai ra độc giả có thể cấu hình thêm nhiều phần khác nữa với HTTP Filter. HTTP Filter chủ yếu
dựa trên nội dung của HTTP Header..
Chú ý: HTTP Packet có thể sử dụng phần Body để lọc trên ISA Server. Nếu sử dụng tính năng này,
ISA Server sẽ tốn rất nhiều tài nguyên cho việc Monitor và Analyze, sẽ không hiệu quả.
361
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo một Protocol mới cho HTTP nhưng không áp dụng Web Proxy Filter
Vào ISA Server Management Console chọn mục Tool Box trong Task Pane
Click New Æ Protocol
Cấu hình thêm Protocol mới cho ISA Server, sử dụng Tab Tool Box trên phần Task Pane. Click Menu
New chọn Protocol
Name gõ HTTP – No Proxy
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 362
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Protocol Name là phần hiển thị trên ISA Server và trong Access Rule. Protocl Name chúng ta có thể
đổi lại sau khi cấi hình bằng Tab Properties.
Click Next
Primary Connection click chọn New
Click chọn New để khai báo đặc điểm của kết nối sẽ tạo.
Protocol: TCP
Port 80 to 80
Direction: Outbound
Khai báo cho ISA Server thông tin của kết nối sẽ tạo gồm Lọai Protocol, hướng đi của dữ liệu, số Port
sử dụng
Click OK quay lại với màn hình Wizard, kiểm tra cấu hình Connection vừa tạo
363
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sau khi cấu hình chúng tôi luôn kiểm tra lại thông tin đã cấu hình, việc này khá quan trọng vì nếu sai
sẽ dãn dén vịec cáu hình sai, không tuân theo ý đồ khi thiết kế.
Click Next
Click Next bỏ qua phần cấu hình Secondary Connection
Không sử dụng Secondary Connection cho Protol, nếu dùng, chúng ta có thể tạo thêm một Protocol
khác với hướng là Inbound.
Review cấu hình vừa thực hiện
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 364
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sau khi cấu hình, luôn Review lại những gì đã làm, click Finish để hòan tất.
Click Finish
Properties Protocol vừa tạo và chú ý phần Application Filters chúng ta không áp
dụng bất cứ lọai Filter nào vào Protocol này.
Sau khi cấu hình xong Protocol, chúng ta có thể Properties Protocol để thay đổi các thông số
Kiểm tra trong Tab Parameter
365
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra trong phần Application Filter, chúng tôi không hề tác dụng thêm bất cứ Filter nào cho
Protocl này. Sử dụng Port 80 nhưng không dùng Web Proxy Filter
Những traffic nào đi bằng Protocol này không bị ảnh hưởng bởi Filter Web
proxy. Những Protocol nào không có Web Proxy Filter tác dụng sẽ không thể cấu
hình HTTP Filter.
Enable SOCKS Application Filter trên ISA
Vào ISA Server Management Console
Chọn Configuration Æ Add‐ins
Click phải lên SOCKS và chọn Enable.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 366
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Bật Sock V4 Filter cho phép ISA Server sử dụng tính năng SOCK Filter, lọc các ứng dụng chạy bằng
SOCK như Firewall Clients.
Trên Clients của ISA Server cài đặt chương trình Microsoft ISA Server Clients.
Sau khi cài, Clients sẽ tương tác đến ISA Server bằng SOCKS Traffic, nội dung
được mã hóa trên đường truyền.
367
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
SOCK Application sử dụng Firewall làm Proxy Server và chuyển tất cả các Request đến Firewall.
ISA Server sẽ kiểm sóat được nội dung của SOCK Applications.
Với FTP Traffic, ISA Server chỉ cho phép Read Only – tất cả những traffic ra lệnh
Upload trên FTP Server đều không cho phép, tức là Users chỉ có thể GET file từ
FTP mà không thể PUT file lên FTP Server.
Cấu hình FTP Filter
Vào một Protocol có hỗ trợ FTP, chọn Configuring FTP Filter
FTP Filter chỉ có thể được cấu hình trực tiếp trong Access Rule nào có FTP Protocol.
Click chọn Tab Protocol và click tiếp Filtering …
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 368
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Rule có FTP Protocol có thể cấu hình FTP Filter.
Click chọn Option Read Only
FTP Filter chỉ cho phép người dùng được quyền Read Only với FT Server mà không thể ghi file. Điều
này giúp cho nhà quản trị khỏi lo lắng với việc mất thông tin trong mạng khi người dùng chuyển tập
369
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
tin lên FTP Server.
Click OK
Click Apply để chấp nhận thay đổi trên ISA Server
Nếu Clients bên trong LAN sử dụng FTP Command – Clients này không thể thực
hiện được lệnh PUT filename
Tham khảo cấu trúc lệnh của FTP:
List of FTP commands for the Microsoft command‐line FTP client
Command‐line optionsAs youʹre starting the program from a DOS prompt:
ftp [‐v] [‐d] [‐i] [‐n] [‐g] [‐s:filename] [‐a] [‐w:windowsize] [computer]
‐v ‐ Suppresses verbose display of remote server responses.
‐n ‐ Suppresses auto‐login upon initial connection.
‐i ‐ Turns off interactive prompting during multiple file transfers.
‐d ‐ Enables debugging, displaying all ftp commands passed between the client
and server.
‐g ‐ Disables filename globbing, which permits the use of wildcard chracters in
local file and path names.
‐s:filename ‐ Specifies a text file containing ftp commands; the commands will
automatically run after ftp starts. No spaces are allowed in this parameter. Use
this switch instead of redirection (>).
‐a ‐ Use any local interface when binding data connection.
‐w:windowsize ‐ Overrides the default transfer buffer size of 4096.
computer ‐ Specifies the computer name or IP address of the remote computer to
connect to. The computer, if specified, must be the last parameter on the line.
Client commands! ‐ Runs the specified command on the local computer
? ‐ Displays descriptions for ftp commands
append ‐ Appends a local file to a file on the remote computer
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 370
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
ascii ‐ Sets the file transfer type to ASCII, the default
bell ‐ Toggles a bell to ring after each file transfer command is completed (default
= OFF)
binary ‐ Sets the file transfer type to binary
bye ‐ Ends the FTP session and exits ftp
cd ‐ Changes the working directory on the remote computer
close ‐ Ends the FTP session and returns to the command interpreter
debug ‐ Toggles debugging (default = OFF)
delete ‐ Deletes a single file on a remote computer
dir ‐ Displays a list of a remote directoryʹs files and subdirectories
disconnect ‐ Disconnects from the remote computer, retaining the ftp prompt
get ‐ Copies a single remote file to the local computer
glob ‐ Toggles filename globbing (wildcard characters) (default = ON)
hash ‐ Toggles hash‐sign (#) printing for each data block transferred (default =
OFF)
help ‐ Displays descriptions for ftp commands
lcd ‐ Changes the working directory on the local computer
literal ‐ Sends arguments, verbatim, to the remote FTP server
ls ‐ Displays an abbreviated list of a remote directoryʹs files and subdirectories
mdelete ‐ Deletes one or more files on a remote computer
mdir ‐ Displays a list of a remote directoryʹs files and subdirectories
mget ‐ Copies one or more remote files to the local computer
mkdir ‐ Creates a remote directory
mls ‐ Displays an abbreviated list of a remote directoryʹs files and subdirectories
mput ‐ Copies one or more local files to the remote computer
open ‐ Connects to the specified FTP server
prompt ‐ Toggles prompting (default = ON)
371
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
put ‐ Copies a single local file to the remote computer
pwd ‐ Displays the current directory on the remote computer (literally, ʺprint
working directoryʺ)
quit ‐ Ends the FTP session with the remote computer and exits ftp (same as
ʺbyeʺ)
quote ‐ Sends arguments, verbatim, to the remote FTP server (same as ʺliteralʺ)
recv ‐ Copies a remote file to the local computer
remotehelp ‐ Displays help for remote commands
rename ‐ Renames remote files
rmdir ‐ Deletes a remote directory
send ‐ Copies a local file to the remote computer (same as ʺputʺ)
status ‐ Displays the current status of FTP connections
trace ‐ Toggles packet tracing (default = OFF)
type ‐ Sets or displays the file transfer type (default = ASCII)
user ‐ Specifes a user to the remote computer
verbose ‐ Toggles verbose mode (default = ON)
Hoặc sử dụng các GUI Mode FTP Clients như
Total Commander
Cute FTP
SmartFTP
Download bản thử dùng thử của các phần mềm này tại trang www.tucows.com
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 372
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
á CHƯƠNG VIII
Cấu hình VPN trên ISA Server 2006
ISA Server là Firewall ở tầng Application, cho phép nhà quản trị có khả năng xét nội dung
của gói tin đi qua ISA Server ở mức độ Payload (TCP Header + Nội dung bên trong gói).
Ngòai ra, cũng như các Firewall khác, ISA Server có khả năng cấu hình thành một VPN
Server cho phép Clients từ xa truy cập (Client to Site) hoặc cấu hình làm một Gateway để kết
nối đến một hệ thống chi nhánh (Site to Site). VPN Server của chi nhánh được khuyến cáo là
một ISA Server 2006, nhưng thực tế ISA Server 2006 có thể kết nối VPN rất tốt với các thiết
bị VPN của các hãng khác.
373
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
43. Mô hình thực hành
44. Cấu hình cấp phát IP động cho VPN Clients
Clients hoặc VPN Server khi quay VPN vào ISA Server sẽ được cấp một địa chỉ IP
Private sử dụng trong VPN Tunnel. ISA và Clients sẽ sử dụng địa chỉ IP này cho
phần Routing trên VPN. Private IP đựơc cấp phát có thể lấy từ DHCP Server hoặc
lấy từ dịch vụ Routing and Remote Access trên Windows 2003.
ISA Server thực ra sử dụng Routing and Remote Access của Windows 2003 làm
VPN và Routing, ngòai ra ISA Server thêm những phần Filtering và Application
Filter của mình vào sản phẩm. Cấu hình Routing và VPN trên ISA Server dễ dàng
hơn Routing and Remote Access vì giao diện Web dễ dùng.
Ghi chú: Nhà quản trị có thể thay đổi giao diện cấu hình Web của ISA Server thông qua những trang
web có sẵn trong ISA Server.
IP Address Pool quy định trên ISA Server là một khỏang địa chỉ IP. Địa chỉ IP đầu
tiên được ISA Server sử dụng cho chính mình khi bật tính năng VPN trên ISA
Server lên. Những địa chỉ IP tiếp theo sẽ cấp phát cho Clients hoặc VPN Server
khi quay VPN vào ISA Server.
Khỏang địa chỉ IP cấp phát này không được trùng Network ID với bất kỳ lớp
mạng nào của ISA Server hoặc trong tòan hệ thống Routing. Nếu trùng Network
giữa các lớp mạng, ISA Server và Router không thể Routing được vì bị Overlap
Destination. Điều này cũng sẽ áp dụng cho 2 ISA Server quay VPN với nhau theo
mô hình Site to Site.
Cấu hình ISA Server cấp phát IP cho VPN Clients
Vào ISA Server Management Console
Chọn mục Virtual Private Network
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 374
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
VPN được cấu hình trong mục Virtual Private Networks
Chọn mục số 3 – Routing and Remote Access Properties
Click chọn Tab Address Assignment
Address Pool là khỏang IP sẽ được cấp cho Clients khi kết nối vào ISA Server bằng VPN. Click ADD
để thêm khỏang IP sẽ cấp
Click Use Static Address Pool
Click ADD để thêm khỏang IP vào Pool
Khỏang IP bắt đầu từ 172.30.1.1 đến 172.30.1.50 hỗ trợ cho 49 Clients kết nối vào
ISA Server bằng VPN.
375
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình khỏang IP sẽ cấp cho Clients khi kết nối vào ISA Server bằng VPN
Click OK quay lại với cửa sổ Properties, kiểm tra khỏang IP vừa thêm
Kiểm tra lại khỏang IP đã cấp cho Clients
Click OK
Clients khi quay vào ISA Server bằng VPN sẽ được cấp phát các địa chỉ IP nằm
trong khỏang trên, và chú ý địa chỉ IP đầu tiên được ISA Server sử dụng. Khỏang
IP này sẽ được sử dụng trong VPN Tunnel từ Clients đến ISA Server.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 376
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Bảng phân lọai các Protocol sử dụng trong việc chứng thực của VPN Server. Các Protocol này áp
dụng cho hầu hết các lọai Firewall, trong đó có ISA Server 2006
MS‐Chap V2 chỉ sử dụng cho Clients từ Windows 2000 trở lên. Nếu chúng ta
muốn kết nối Windows 9X vào hệ thống bằng VPN phải Enable thêm MSCHAP.
Cấu hình Authentication trên ISA Server bằng cách chọn mục số 3 VPN
Properties và chọn Tab Authentication, click dấu chọn MSCHAP.
Vào ISA Server Management Console và chọn Virtual Private Network
Chọn mục số 3 Remote Access Configuration
377
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình tiếp phần Remote Access Configuration
Click chọn Tab Authentication
Chúng tôi bật thêm MSCHAP Version 1 cho phép Legacy Clients (Windows 9x) kết nối vào ISA
Server bằng VPN.
Click OK
Ngòai ra những Options khác chúng ta không sử dụng, ví dụ như EAP‐TLS phải
có Smart Card mới có thể thực hiện kết nối VPN được. Smart có chứa Certificate
của User kèm theo Private Key để chứng thực User đó. Smart Card muốn sử
dụng, hệ thống chúng ta phải có Smart Card Reader. Hiện nay, Smart Card chưa
thực sự được sử dụng rộng rãi ở các hệ thống mạng ở VN.
Ngòai Windows Authentcation, ISA Server có thể sử dụng User Account tại
LDAP Server hoặc RADIUS Server.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 378
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Windows Authentication sử dụng một Group, khai báo Group này cho ISA
Server cho biết những User Account nằm trong nhóm này sẽ được quay VPN vào
ISA Server.
Tạo nhóm trên Windows
Vào COMPMGMT.MSC (Computer Management)
Vào Computer Management nhanh băng Snap‐in COMPMGMT.MSC
Chọn mục Local Users and Groups
Click phải chụột vào Groups chọn New Group
Tạo Group mới trong Local Account Database của ISA Server.
Group Name gõ VPN Clients
379
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click ADD trong lúc tạo nhóm để thêm thành viên cho nhóm. Thành viên của nhóm lúc này là User
trong Local, hoặc User trên Domain nếu ISA Server có tham gia Domain (nhưng chúng tôi không
khuyến cáo sử dụng tính năng này)
Click Add để thêm Member vào Group này. Chúng tôi có tạo sẵn một User
Account tên VPN1/123abc!@# và Add User này vào nhóm VPN Clients.
Gõ tên VPN1 vào phần tìm, click OK để Add User này vào nhóm VPN Clients
Click Advance để tìm User hoặc gõ trực tiếp tên User nếu đã biết. Click OK để thêm User vào nhóm
Click OK
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 380
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chú ý khi tạo User Account không nên Check Option User must change
password at next logon
Bạn phải bỏ tính năng User must change password at next logon để User có thể kết nối dễ dàng. User
khi sử dụng VPN sẽ ở xa công ty, xa đội ngũ Support của hệ thống nên phải được tạo thuận lợi tối đa
khi sử dụng hệ thống.
Khai báo VPN Clients Group vào ISA Server
Vào ISA Server Management Console
Chọn mục Virtual Private Network
Click chọn mục số 2 Windows Authentication
381
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình ISA Server sử dụng User trên Windows để chứng thực. Windows Users có thể là Local
User hoặc Domain User. Chúng tôi không cho ISA Server tham gia Domain nhưng sử dụng
RADIUS Server có thể giúp ISA Server chứng thực bằng Domain Users.
Click ADD
Click ADD để thêm nhóm vào phần Groups trong VPN
Gõ tên nhóm VPN Clients vào phần tìm, Click OK. Nếu gõ tên đúng, chúng ta sẽ
thêm được nhóm VPN Clients vào ISA Server. Thao tác này cho ISA Server biết
những User Account nào nằm trong nhóm này sẽ được quay VPN vào ISA
Server.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 382
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Gõ tên nhóm vào phần Enther the object names to select. Bấm Check Names để kiểm tra xem tên có
đúng không. Nếu phần Username có gạch đít (underline) là đúng.
Click OK
Click OK
Khi Clients kết nối vào ISA Server sẽ phải chứng thực bằng một User nằm trong
nhóm này. Trên ISA Server, nhà quản trị chỉ cần thêm User vào nhóm VPN
Clients hoặc bỏ User ra khỏi nhóm khi quản lý việc truy cập hệ thống bằng VPN.
Bật ISA Server VPN Function
Vào ISA Server Management Console
Click chọn phần Virtual Private Network
Click chọn mục số 1
383
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cuối cùng là bật tính năng VPN Clients trên ISA Server
Check dấu chọn Enable VPN Clients access
Xác định số lượng VPN Tunnels tối đa có thể kết nối cùng lúc lên ISA Server.
Click OK
Kiểm tra Network Rule giữa VPN Clients và Internal/External
VPN Clients với Internal sẽ sử dụng kiểu đi là ROUTE vì cùng lọai IP Private.
Mặc định ISA Server đã quy định sẵn nên chúng ta không cần cấu hình gì thêm
Vào mục Network Rules trên ISA Management Console
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 384
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Network Rules trong mục Networks của ISA Management Console
Chọn tiếp Tab Network Rules và chú ý Rule VPN Clients to Internal Network sử
dụng kiểu ROUTE
Chọn Tab Nework Rules và chú ý phần VPN Clients to Internal Network mặc định sử dụng ROUTE
VPN Clients và External sẽ sử dụng NAT để giao tiếp với nhau vì ra Internet phải
sử dụng Public IP. Private IP được NAT thành Public IP để giao tiếp với Internet.
385
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Network Rules giữa VPN Network và Internet
Chọn tiếp Tab Network Rule và xem chi tiết Rule sử dụng kiểu NAT
Mặc định ISA Server 2006 cũng đã cấu hình Rule cho VPN sử dụng NAT khi truy cập External
Windows XP quản lý kết nối mạng bằng bằng phần Network Connections trong
Windows. Để cấu hình cho Windows XP kết nối VPN chúng ta vào Network
Connections và chọn Add New Connection
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 386
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sử dụng Network Connections trên My Network Place để cấu hình tạo thêm Kết nối mới
Click chọn Option Connect to a Network at my workplace
Chọn Option Connect to the network at my workplace
Click chọn Virtual Private Network Connection
387
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo VPN Connection trên Windows XP kết nối đến VPN Server. Chúng ta chỉ thực hiện công việc
này trên máy tính của người dùng cho phép họ làm việc tại gia, kết nối từ xa qua Internet vào công
ty.
Click Next
Company Name sẽ là tên của Connection, chúng ta gõ VietCERT Co., Ltd
Đặt tên cho Kết nối sẽ tạo trên Windows XP. Khi người dùng làm việc ở nhà họ phải sử dụng kết nối
này để lấy tài nguyên trong hệ thống LAN ở sở làm
Click Next
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 388
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Destination chính là địa chỉ IP Public của VPN Server hoặc DNS Name chúng tôi
đã tạo cho VPN Server là vpnserver.vietcert.com. Tên miền này sẽ được phân giải
thành địa chỉ IP thật của ISA Server.
Địa chỉ IP hoặc Host name của VPN Server
Click Next
Kiểm tra lại những thông số đã cấu hình
Tạo một Shortcut trên màn hình nên của User tạo sự thuận tiện khi làm việc
Click chọn Add a shortcut to this connection to my desktop để tiện cho User khi
389
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
kết nối vào Corp LAN của VietCERT.
Click Finish
Kết nối Windows XP vào ISA Server bằng VPN
Double Click vào biểu tượng VietCERT VPN Connection vừa tạo
VPN Connection sau khi tạo ra cũng được quản lý bằng công cụ Network Connections trên Windows
2003
Khai báo Username/Password nằm trong nhóm VPN Clients đã tạo trên ISA
Server. User Account này chỉ có chứng năng khởi tạo kết nối đến ISA Server bằng
VPN, ngòai ra sẽ không được sử dụng để lấy tài nguyên trên hệ thống. User sau
khi kết nối vào ISA Server bằng VPN Server sẽ tiếp tục thực hiện công việc của
mình bằng User Account sử dụng hàng ngày trong Domain.
Điền Username/Password là vpn1/123abc!@#
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 390
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kết nối Windows XP vào hệ thống VPN Server trên Windows 2003
Click Connect
Nếu kết nối thành công, Windows sẽ hiển thị một cửa sổ nhỏ bên dưới thanh
Task bar cho biết thời gian kết nối đến VietCERT Network.
Sua khi kết nối thành công, VPN Connection hiển thị trên thanh Task Bar của người dùng
Trong Network Connection thì Windows hiển thị như trong hình sau
391
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Network Connection trên Windows cũng cho biết trạng thái hiện tại của kết nối này ‐ Connected
Ghi chú: Để kết nối được đến ISA Server bằng VPN thì Clients phải có đường truyền Internet để có
thể tương tác được đến địa chỉ IP của ISA Server. VPN Traffic khi đi trên Internet sẽ được mã hóa
bằng IPSec Tunnel, PPTP hoặc L2TP/IPSec.
Kết nối thành công đến ISA Server bằng VPN chúng ta sẽ được cấp một địa chỉ IP
cho kết nối VPN đến ISA Server. Mọi traffic khi này sẽ đi qua ISA Server, kể cả
những Traffic đi ra Internet.
Trên Clients gõ lệnh ROUTE PRINT để xem Routing Table của Clients sau khi
quay VPN thành công
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 392
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Routing Table trên Clients sau khi kết nối vào VPN Server. Default Route sẽ chỉ đến VPN Server làm
Gateway, mọi traffic từ Clients lúc này sẽ đi qua VPN Server trong VietCERT LAN.
Chú ý dòng Default Route đầu tiên sử dụng Gateway là 172.30.1.1. Gateway này
sẽ quản lý tất cả các kết nối ra ngòai từ VPN Clients kể cả những kết nối ra
Internet. Nhà quản trị có thể cấu hình Routing trên Clients cho User để phân
luồng dữ liệu như sau: Internet đi bằng Local Router của User, LAN Traffic đi
vào ISA Server qua đường VPN.
Sử dụng lệnh Route ADD/Route DELETE để thay đổi Routing Table của Clients.
Chúng ta sẽ bỏ Default Route của VPN và thay vào đó bằng một Destination của
LAN, Default route sẽ sử dụng Local Router ADSL của User
ROUTE DELETE 0.0.0.0
Xóa Default Route không chỉ thằng vào VPN Server của VietCERT
Lệnh này sẽ xóa tất cả các Default Route có trong Routing Table hiện tại
Và ROUTE ADD 192.168.1.0 MASK 255.255.255.0 172.30.1.2
ROUTE ADD 0.0.0.0 MASK 0.0.0.0 10.0.0.2
393
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Thay vào đó là chỉ Default Route ra Gateway là Router ADSLtại gia của người dùng và thêm một
Entry vào Routing Table của Clients cho phép truy cập mạng LAN
Sử dụng Local Router làm Default Gateway
Kiểm tra lại Routing Table bằng Command ROUTE PRINT
Sử dụng lệnh PATHPING để xem đường đi của gói tin
PATHPING 192.168.1.2
Kết quả là gói tin đi vào VPN Tunnel
Sử dụng lệnh Tracert để kiểm tra đường đi vào mạng LAN từ Clients sau khi đã kết nối VPN
PATHPING www.yahoo.com
Kết quả gói tin đi bằng Local Router ADSL để ra Internet.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 394
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Sử dụng Tracert để kiểm tra đường đi Internet. Kết quả như mong đợi, Internet Traffic đi qua
Gateway tại gia của người dùng (Router ADSL)
49. Cấu hình VPN Site to Site với ISA Server 2006
Site to Site VPN rất quan trọng khi kết nối nhiều chi nhánh với nhau và thực tế
rất nhiều hệ thống sử dụng VPN Site to Site để kết nối các chi nhánh của mình lại
với nhau.
VietCERT sử dụng VPN Site to Site trên ISA Server để kết nối các hệ thống chi
nhánh của mình với nhau, và sử dụng ISA Server làm VPN Server cho Clients kết
nối vào LAN. Việc cấu hình VPN trên ISA Server trở nên quá dễ dàng, không
giống như trên ISA Server 2000, chúng ta không cần Import bất cứ thứ gì từ 2 ISA
Server (Home hoặc Remote) mà chỉ cần cấu hình mỗi bên ISA Server một Remote
Network là xong. Network kết nối bằng VPN được tạo thành một Network
Object trên ISA Server.
Cấu hình VPN Site to Site trên bất cứ thiết bị nào cũng phải tuân theo các nguyên
tắc gọi là cơ chế BINDING sau đây
Tạo Demand Dial Interface với Dial out Username + Dial In Username trên
VPN Server. Demand Dial Interface sẽ được tạo trên 2 VPN Servers với nguyên
tắc sau
Dial Out Username 1 = Interface Name 2
395
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Thực hiện đúng cơ chế BINDING trên cả 2 VPN Server để thực hiện VPN Site to Site theo nguyên
tắc: Dial out Username phải trùng với Interface Name của VPN Server bên kia.
Chúng tôi sẽ tạo kết nối VPN cho 2 ISA Server ở 2 chi nhánh Sài Gòn và Hà
Nội.
Bảng
Chúng ta không thực hịên tạo Demand Dial Interface những thông qua ISA
Server chúng ta tạo Remote Network – Network này sẽ được tạo trên ISA Server
và chứa các địa chỉ IP của những Clients chi nhánh Hà Nội sẽ được truy cập vào
ISA Server/Internal sau khi hệ thống VPN đã hòan chỉnh.
Vào ISA Server Management Console và chọn tiếp mục Virtual Private Network
Trong cửa sổ Details Pane chọn Tab Remote Sites
Sử dụng Tab Remote Site để tạo VPN Network cho ISA Server.
Click Create VPN Site to Site Connection trong cửa sổ Task Pane
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 396
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo VPN Network bằng Task Pane trên ISA Server Management Console.
Network Name: HaNoi – chú ý phần này chúng ta phải gõ đúng, vì Network
Name chính là phần Demand Dial Interface sẽ được tạo trên Routing and Remote
Access. Demand Dial Interface sẽ BIND đúng nếu Username sử dụng để chứng
thực với VPN Server (Dial In Username) đúng với Interface Name của Interface
này (tức HaNoi). Từ chỗ Interface Name = Username nên sau khi cấu hình xong
Remote Network chúng ta phải tạo một User Account trên ISA Server và Add
vào nhóm VPN Clients. User Account này có Username tên HaNoi, Password là
123abc!@#. User Account này sẽ được ISA Server ở chi nhánh Hà Nội sử dụng để
chứng thực khi quay vào ISA Server ở Sài Gòn.
397
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Network Name – chính là Demand Dial Interface Name sẽ được tạo trên dịch vụ Routing and Remote
Access. Interface Name phải chính xác với Dial In User Account tạo trên VPN Server này.
Click Next và chọn PPTP Connection. Chúng tôi kết nối VPN giữa 2 chi nhánh
của VietCERT bằng PPTP VPN. PPTP không bảo mật bằng LT2P, sau khi độc giả
cấu hình được PPTP chúng tôi sẽ hướng dẫn chuyển sang L2TP Connection vì
phải có IPSec hoặc Certificate.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 398
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn lọai kết nối VPN với Network này, mặc định chúng tôi chọn PPTP để có thể hỗ trợ cho những
thiết bị không phải ISA Server cũng có thể kết nối được.
Click Next
Microsoft rất kỹ khi nhắc nhở người dùng phải tạo một Account cùng tên với
Network Name chúng ta đang tạo. Click OK để tiếp tục, phần tạo User account
chúng ta sẽ thực hịên sau khi xong Wizard này.
ISA Server cảnh báo người dùng khi cấu hình Network Name là phải có một Username cùng tên với
Network name được tạo ra để VPN Server bên kia sử dụng để chứng thực
Click OK
Địa chỉ IP chúng ta khai báo khỏang địa chỉ IP sử dụng ở chi nhánh Hà Nội cho
ISA Server. Những IP chúng ta gõ ở đây sẽ được Add vào Network mang tên
399
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
HaNoi trên ISA Server 1 ở chi nhánh Sài Gòn.
Địa chỉ IP của VPN Server chi nhánh Hà Nội.
Click Next
Khai báo User Account sử dụng để chứng thực khi quay VPN với ISA Server chi
nhánh Hà Nội. User account này phải bật tính năng Dial In và trùng tên với
Network name SaiGon bên ISA Server 2006 của Hà Nội để thực hiện cơ chế
BINDING.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 400
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Khai báo Username và Password sử dụng để chứng thực với chi nhánh Hà Nội. Saigon sẽ là Interface
Name hay còn gọi là Network Name trên VPN Server Hà Nội.
Click Next
Cấu hình khỏang địa chỉ IP cấp cho mạng HaNoi. Khỏang IP này chính là khỏang
IP trong vùng LAN của ISA Server chi nhánh Hà Nội. Trên ISA Server Sài Gòn sẽ
hiểu HaNoi là một Network trong phần Network Definition và áp dụng vào Rule
như một Network thông thường.
Click ADD RANGE để thêm khỏang IP sử dụng trong VPN Network này. Với ISA Server Sài Gòn
thì Network Range sẽ bao gồm những địa chỉ IP của mạng LAN bên chi nhánh Hà Nội.
Click Add range .. để thêm khỏang IP vào Wizard. Khỏang IP chúng ta sẽ thêm là
192.168.2.0 – 192.168.2.255 là khỏang IP sử dụng bên mạng LAN chi nhánh Hà
Nội.
401
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Khỏang IP 192.168.2.0 chính là khỏang IP sử dụng trong mạng LAN của VietCERT Hà Nội.
Click OK quay lại Wizard
Kiểm tra khỏang IP vừa thêm
Kiểm tra lại khỏang IP sau khi ADD RANGE, và đặc biệt chú ý nếu sai sót chỗ này sẽ dẫn đến việc
Routing không đúng, VPN Connection bị lỗi
Click Next
Check chọn I’ll create a network rule later vì phải phân tích hệ thống và có quyết
định đúng đắn.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 402
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tự tạo Network Rule. ISA Server 2006 có thể tạo Network với các mạng khác, nhưng chúng tôi không
thực hiện tính năng này bằng Wizard
Click Next
Kiểm tra lại những gì đã cấu hình
403
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra lại tòan bộ quá trình cấu hình, có thể sử dụng nút Back để thay đổi
Chú ý Network Name phải khớp với Username chúng ta tạo ra
Click Finish
Windows cảnh báo người dùng sẽ tự động Restart lại dịch vụ Routing and
Remote Access. ISA Server tận dụng dịch vụ này của Windows để chạy VPN.
ISA Server 2004 cũng như 2006 sử dụng dịch vụ Routing and Remote Access làm VPN Server
ISA Server 2006 hơn ISA 2004 về phần tiện lợi và bảo mật. ISA Server 2006 rất kỹ
khi cảnh báo người dùng trong suốt quá trình cấu hình. ISA Server 2006 nhắc nhở
người dùng những gì cần thiết sau khi cấu hình xong Wizard này.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 404
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
ISA Server cảnh báo người dùng những việc phải làm tiếp theo sau khi cấu hình Wizard
Tiếp tục tạo User Account mang tên HaNoi trên ISA Server ở chi nhánh Sài
Gòn
Vào Computer Management (COMPMGMT.MSC)
Vào Computer Management bằng COMPMGMT.MSC
Chọn mục Local Users and Groups
Click phải chuột vào phần Users chọn New User
405
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Quản lý User Account trên file SAM bằng công cụ Computer Management
Username gõ HaNoi, Password gõ 123abc!@#
Tạo User Account bằng Computer Management và không sử dụng Option User must change
Password at next logon. Tính năng này chỉ nên dùng cho User đăng nhập hệ thống
Click OK
Vào Users trong mục Local Users and Groups và Properties User HaNoi
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 406
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Properties User account để cấu hình các tính năng cho VPN và Remote Access
Click chọn Tab Dial In
Click chọn Option Allow Access
Chọn TAB Dial In để cấu hình cho phép quay VPN
Click OK
Cấu hình VPN trên ISA Server Hà Nội
Tiếp theo cấu hình VPN trên ISA Server 2 ở chi nhánh Hà Nội. ISA Server ở chi
407
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
nhánh Hà Nội sẽ sử dụng Network Name tên SaiGon với khỏang địa chỉ IP là các
Clients trong mạng Internal của ISA Server Sài Gòn.
Vào ISA Server Management Console của chi nhánh Hà Nội
Click mục Virtual Private Network
Trên ISA Server Hà Nội, chúng tôi cũng sử dụng Tab Remote Site để cấu hình VPN Network
Click mục Create VPN Site to Site Connection
Tạo VPN Network cho ISA Server Hà Nội bằng Task Pane
Network Name chúng ta gõ SaiGon. Cũng phần chú ý tương tự như khi cấu hình
ISA Server 1 tại Sài Gòn, Network Name sẽ là Demand Dial Interface tạo ra trên
ISA Server 2 tại Hà Nội. Nếu Network Name sai Æ Interface Name sai Æ Cấu
hình VPN sẽ bị lỗi vì không thể BINDING được.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 408
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Network Name chúng tôi tạo cho ISA Server Hà Nội là SaiGon để chỉ định mạng LAN ở Sài Gòn
Click Next
Lọai VPN Protocol chúng tôi muốn cấu hình ở đây là PPTP có sẵn cơ chế mã hóa
khi truyền dữ liệu qua Internet. Sau bài thực hành này chúng tôi sẽ hướng dẫn
cấu hình VPN với L2TP/IPSec
409
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn lọai VPN Connection chúng tôi sử dụng kết nối là PPTP
Click Next
ISA Server cũng cảnh báo người dùng về việc tạo Account cùng tên với Network Name vừa tạo
Click OK
Cấu hình địa chỉ IP của ISA Server của tổng công ty VietCERT Sài Gòn. Khi được
kích họat, Connection này tự động kết nối đến VPN Server mang địa chỉ
203.162.24.33.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 410
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Địa chỉ IP của VPN Server chi nhánh Sài Gòn. IP này là IP của External Interface trên ISA Server
Click Next
Điền Username/Password để kết nối với ISA Server Sài Gòn.
Khai báo User Account trên ISA Server chi nhánh Sài Gòn để ISA Server Hà Nội có thể sử dụng để
chứng thực
Click Next
411
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click Add Range để thêm khỏang IP sử dụng cho Network SaiGon
ADD Range thêm khỏang IP của mạng LAN đang sử dụng ở hệ thống Sài Gòn.
Khai báo khỏang IP đang sử dụng ở Sài Gòn là 192.168.1.0 – 192.168.1.255
Khỏang mạng 192.168.1.0 đang được sử dụng tại VietCERT Sài Gòn
Click OK quay lại với Wizard
Kiểm tra khỏang IP vừa cấu hình, khỏang IP này không được trùng với mạng IP
hiện tại.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 412
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại Network Range sau khi thêm
Click Next
Network Rule chúng tôi sẽ tự cấu hình sau mà không cần sử dụng Wizard
Click Next, phần Routing chúng tôi sẽ cấu hình bằng Network Rule.
413
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Và cũng không sử dụng Wizard để cấu hình Access Policy. Việc này chúng ta sẽ làm sau khi cấu hình
xong Wizard
Tiếp theo cũng Click Next bỏ qua phần cấu hình Access Rule bằng Wizard, chúng
tôi sẽ cấu hình bằng Manual để độc giả dễ nắm bắt hơn.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 414
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại thông số cấu hình một lần nữa trước khi Click Finish
Review lại quá trình vừa cấu hính, Click Finish. ISA Server hướng dẫn tiếp người
dùng phải cấu hình thêm Network Rule và Access Rule mới có thể kết nối được
hai hệ thống này.
415
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
ISA Server nhắc nhở những việc làm còn thiếu trong khi cấu hình Wizard
Click OK
Sau khi cấu hình VPN, ISA Server tạo một Network mang tên Sài Gòn và nằm
trong phần VPN Remote Site.
Click APPLY để chấp nhận thay đổi trên ISA Server
Đề hiểu vấn đề hơn, chúng tôi mời độc giả Click vào phần Networks trong mục
Configuration để xem Network SaiGon được tạo ra như thế nào
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 416
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra Network Sài Gòn vừa tạo. SaiGon lúc này là một Network nằm trong ISA Server Hà Nội và
mang địa chỉ IP Range 192.168.1.0
Network SaiGon này sẽ được sử dụng trong các Rule cấu hình của ISA Server Hà
Nội.
Tiếp theo cấu hình NETWORK RULE giữa 2 Network chúng ta vừa tạo.
Ở chi nhánh Sài Gòn, trên ISA Server chúng ta xét các mối quan hệ của những
Network với nhau. HaNoi Network sẽ đi với Internal bằng ROUTE, chúng ta tạo
một Network Rule cho Internal – HaNoi đi bằng kiểu ROUTE.
Vào ISA Server Management Console chọn mục Configuration
Chọn tiếp mục Network Rules
Cấu hình Network Rule sử dụng ISA Server Management Console.
417
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click Create a Network Rule trong cửa sổ Task Pane
Tạo Network Rule bằng Task Pane
Rule Name gõ HaNoi – Internal.
Network Rule Name chỉ có giá trị hiển thị, biểu thị tính chất của Rule này
Click Next
Source Network click ADD
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 418
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click ADD để thêm Network Source vào Rule
Chọn mục Network và Double Click và Internal
Chọn Network Internal đưa vào Source.
Click Close quay lại Wizard
Kiểm tra Network vừa thêm
419
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Phần Source chúng tôi chỉ cần thêm Internal mà không cần phải thêm mạng Sài Gòn hay Hà Nội vì
Network Rule sử dụng cơ chế 2 chiều
Click Next
Tiếp tục thêm Destination Network, click ADD
Click ADD để thêm Destination Network vào Rule
Chọn mục Network và Double Click vào HaNoi
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 420
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Double click chọn Hà Nội Network vào Rule
Click Close quay lại với Wizard, kiểm tra Network vừa thêm
Click Next xác định mối quan hệ giữa 2 mạng này. Cùng lọai Private IP nên sẽ có
mối quan hệ ROUTE.
421
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Mối quan hệ giữa 2 Network này sẽ là ROUTE vì cùng mang địa chỉ IP Private
Click Next
Kiểm tra lại quá trình cấu hình, click Finish
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 422
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại việc tạo Rule trước khi click Finish
Kiểm tra lại kết quả cấu hình
Sau khi cấu hình xong, một Rule mới sẽ xuất hiện trong Network Rules
Tiếp tục tạo Network Rule Hà Nội và DMZ Network tại Sài Gòn đi bằng kiểu
NAT
Hai mạng mang 2 lọai địa chỉ IP khác nhau nên có mối quan hệ NAT
Vào ISA Server Management Console chọn mục Configuration
Chọn tiếp mục Network Rules
Network Rules quản lý các mối quan hệ giữa những Network qua ISA Server
Click Create a Network Rule trong cửa sổ Task Pane
423
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo Network Rule bằng Task Pane
Rule Name gõ HaNoi – Internal.
Network Rule name thể hiện mối quan hệ giữa các mạng
Click Next
Source Network click ADD
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 424
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click ADD để thêm Network vào Source của Rule
Chọn mục Network và Double Click vào DMZ Network
Chọn Network DMZ trên ISA Server Sài Gòn
Click Close quay lại Wizard
Kiểm tra Network vừa thêm
425
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn DMZ Network vào Source
Click Next
Tiếp tục thêm Destination Network, click ADD
ADD thêm Network vào Destination
Chọn mục Network và Double Click vào HaNoi
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 426
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Network chúng tôi sử dụng sẽ là HaNoi
Click Close quay lại với Wizard, kiểm tra Network vừa thêm
Từ DMZ Network của ISA Server Sài Gòn đến với ISA Server Hà Nội mạng Internal sử dụng Rule
này
Click Next xác định mối quan hệ giữa 2 mạng này. Cùng lọai Private IP nên sẽ có
mối quan hệ ROUTE.
427
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Và 2 Network này sẽ đi với nhau bằng cơ chế NAT vì khác lọai địa chỉ IP
Click Next
Kiểm tra lại quá trình cấu hình, click Finish
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 428
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lần cuối trước khi click Finish
Kiểm tra lại kết quả cấu hình
Sau khi cấu hình, Rule mới đã xuất hiện trong Tab Network Rule
Xét trên ISA Server 2 tại Hà Nội chúng ta tạo NETWORK RULE giữa Network
SaiGon và Internal đi bằng ROUTE
Vào ISA Server Management Console chọn mục Configuration
Chọn tiếp mục Network Rules
Cấu hình Network Rule bằng Tab Network Rule trên ISA Server Hà Nội
Click Create a Network Rule trong cửa sổ Task Pane
429
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo Network Rule bằng ISA Server Task Pane
Rule Name gõ SaiGon – Internal.
Network Name đặt cho Rule
Click Next
Source Network click ADD
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 430
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click ADD để thêm Network vào Rule
Chọn mục Network và Double Click và Internal
Double Click vào Internal để đưa vào Rule
Click Close quay lại Wizard
Kiểm tra Network vừa thêm
431
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Internal Network sẽ được đưa vào Rule
Click Next
Tiếp tục thêm Destination Network, click ADD
Click ADD để thêm Destination Network
Chọn mục Network và Double Click vào SaiGon
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 432
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Double Click vào SaiGon để thêm vào Rule
Click Close quay lại với Wizard, kiểm tra Network vừa thêm
SaiGon Network sẽ là Destination trong Rule
Click Next xác định mối quan hệ giữa 2 mạng này. Cùng lọai Private IP nên sẽ có
mối quan hệ ROUTE.
433
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Mối quan hệ giữa 2 mạng này sẽ là ROUTE vì cùng lọai địa chỉ IP
Click Next
Kiểm tra lại quá trình cấu hình, click Finish
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 434
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lần cuối trước khi click Finish
Kiểm tra lại kết quả cấu hình
Kiểm tra Rule sau khi cấu hình bằng Wizard. Chú ý phải click Apply để lưu cấu hình
Cấu hình Access Rule cho 2 Network VPN
Và cuối cùng là tạo ACCESS RULE cho cả 2 ISA Server được giao tiếp với nhau
bằng lọai traffic gì. Chúng ta thực hiện cấu hình Access Rule trên cả 2 ISA Servers
ở Sài Gòn và Hà Nội vì Access Rule không có tính năng 2 chiều. Source và
Destination phải chứa cả 2 Network mới có thể giao tiếp được 2 chiều.
Cấu hình trên ISA Server 1 ở Sài Gòn
Chúng tôi cho phép nhân viên ở Sài Gòn được kết nối ra chi nhánh Hà Nội lấy tài
nguyên Share và truy cập vào Web Server đặt tại Hà Nội
Source: Internal, HaNoi
Destination: Internal, HaNoi
Protocol: HTTP, NetBIOS Datagram
User: Everyone
Scheduler: Always
Content Type: All Content types
435
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
SaiGon – HTTP, Internal, Internal, All Users Cho phép
HaNoi NetBIOS HaNoi HaNoi User từ Sài
Datagram Gòn truy
cập ra Hà
Nội và
ngược lại
Vào ISA Server Management Console
Chọn Firewall Policy
Cấu hình Access Rule trong mục Firewall Policy
Trong cửa sổ Task Pane chọn Create New Access Rule
Tạo Access Rule bằng Task Pane
Rule Name gõ SaiGon ‐ HaNoi
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 436
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Rule name cho biết mạng này sẽ đi từ Network nào đến Network nào
Rule Action chọn Allow cho phép qua ISA Server
Cho phép Rule này được đi qua ISA Server nếu khớp với các điều kiện dưới đây
Protocol click chọn Seleted Protocol và Click Add
437
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn Selected Protocol để thêm vào những lọai traffic gì sẽ đựợc đi qua ISA Server
Trong phần Component Double Click vào các Protocol cho phép lấy tài nguyên
quan mạng: NetBIOS
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 438
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tìm và Double Click lần lượt các Protocol sẽ cho phép nếu Clients từ Source Network đi ra đúng
Destination Network
Click Close quay lại Wizard, kiểm tra các Protocol vừa thêm vào Policy
439
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Các Protocol trong bảng trên đây sẽ được cho phép đi qua ISA Server
Click Next
Phần Source click Add
Click ADD để thêm Network Source cho Rule
Trong mục Address Range chọn Internal Network bao gồm khỏang IP của mạng
LAN ở VietCERT Sài Gòn.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 440
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Double click Internal Network
Click Close quay lại Wizard
Nếu các Protocol trong bảng trên có Source IP nằm trong khỏang Internal và Hà Nội sẽ được cho
phép
Click Next
Phần Destination chúng ta cho phép các Clients này ra được truy cập qua mạng
LAN bên chi nhánh Hà Nội nên chúng tôi sẽ cấu hình Destination gồm Internal
và HaNoi Network. Click Add chọn mục Networks
441
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Thêm Destination Network cho Rule
Double click vào Internal và HaNoi cho phép 2 Networks này có thể tương tác lẫn
nhau. Nếu chỉ gán 1 Network vào Source và Destination thì traffic chỉ có thể đi
được một chiều.
Double click để thêm Internal và SàiGon Network
Click Close quay lại Wizard
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 442
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Traffic nàođi từ LAN Sài Gòn và LAN Hà Nội với các Protocol trong bảng trên sẽ được phép đi qua
ISA Server
Click Next
Phần Users cho phép tòan bộ Users có thể truy cập được Internet nên chúng tôi
chọn All Users.
All Users Set cho phép tất cả mọi người đều được đi qua ISA Server này
Click Next
443
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra trước khi Click Finish
Review quá trình cấu hình
Click Finish
Rule mới tạo ra cho phép chi nhánh Hà Nội và Sài Gòn có thể giao tiếp với nhau
sau khi kết nối VPN thành công.
Cấu hình trên ISA Server 2 ở Hà Nội
Và ngược lại trên ISA Server 2 ở chi nhánh Hà Nội chúng tôi cũng cấu hình Rule
tương tự như ở Sài Gòn, cho phép nhân viên ở Sài Gòn được truy cập vào Web
Server ở Hà Nội để lấy tài nguyên Share và truy cập Web Application ở Hà Nội.
Nếu thiếu bước cấu hình này thì VPN cho dù kết nối thành công vẫn không thể
tương tác được giữa 2 mạng vì chỉ cần 1 ISA Server không qua phép, traffic sẽ bị
chặn.
Source: Internal, SaiGon
Destination: Internal, SaiGon
Protocol: HTTP, NetBIOS Datagram
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 444
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
User: Everyone
Scheduler: Always
Content Type: All Content types
Vào ISA Server Management Console
Chọn Firewall Policy
Cấu hình Access Rule bằng Firewall Policy
Trong cửa sổ Task Pane chọn Create New Access Rule
445
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo Firewall Policy trong Task Pane
Rule Name gõ SaiGon ‐ HaNoi
Tạo Rule Name để dễ dàng quản lý
Rule Action chọn Allow cho phép qua ISA Server
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 446
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cho phép các Clients đi qua ISA Server nếu khớp với các điều kiện bên dưới
Protocol click chọn Seleted Protocol và Click Add
Click ADD đê thêm các protocol cho phép
Trong phần Component Double Click vào các Protocol cho phép lấy tài nguyên
quan mạng: NetBIOS
447
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn các Protocol như đã thống nhất trong bảng trên
Click Close quay lại Wizard, kiểm tra các Protocol vừa thêm vào Policy
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 448
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Những Protocol trong bảng này sẽ được phép qua ISA Server
Click Next
Phần Source click Add
Thêm Access Rule Source Network
Trong mục Address Range chọn Internal Network bao gồm khỏang IP của mạng
LAN ở VietCERT Sài Gòn.
Double Click để thêm các Network vào Rule
449
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click Close quay lại Wizard
Thêm mạng Internal và Sài Gòn vào Rule
Click Next
Phần Destination chúng ta cho phép các Clients này ra được truy cập qua mạng
LAN bên chi nhánh Hà Nội nên chúng tôi sẽ cấu hình Destination gồm Internal
và HaNoi Network. Click Add chọn mục Networks
Click ADD để thêm Destination Network vào Rule
Double click vào Internal và HaNoi cho phép 2 Networks này có thể tương tác lẫn
nhau. Nếu chỉ gán 1 Network vào Source và Destination thì traffic chỉ có thể đi
được một chiều.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 450
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Thêm Network vào Destination
Click Close quay lại Wizard
Destination Network phải bao gồm Internal và Sài Gòn vì Access Rule không được xét theo 2 chiều
như Network Rule
Click Next
Phần Users cho phép tòan bộ Users có thể truy cập được Internet nên chúng tôi
chọn All Users.
451
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cho phép tất cả mọi người đều được qua ISA Server theo Rule này
Click Next
Kiểm tra trước khi Click Finish
Review quá trình cấu hình
Click Finish
Sau khi cấu hình trên ISA Server Hà Nội, chúng tôi tiến hành kết nối VPN ở 2
Servers này bằng cách tạo một traffic “mồi” cho Demand Dial Interface tự kết nối.
Chúng tôi sử dụng lệnh PING
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 452
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Đứng trên ISA Server Sài Gòn thực hiện lệnh PING sau đây
PING 192.168. 2.100
C:\>ping 192.168.2.100
Pinging 192.168.2.100 with 32 bytes of data:
Destination host unreachable
Destination host unreachable
Destination host unreachable
Destination host unreachable
Request timed out.
Request timed out.
Reply from 192.168.2.100: bytes=32 time=94ms TTL=120
Reply from 192.168.2.100: bytes=32 time=134ms TTL=120
Reply from 192.168.2.100: bytes=32 time=98ms TTL=120
Với địa chỉ IP 192.168.2.100 là IP của một máy Clients trong mạng LAN của chi
nhánh Hà Nội.
Ghi chú: VPN Site to Site trên ISA Server sẽ tự động kết nối giữa 2 ISA Servers khi có một Request
nào đó muốn gửi đến 2 chi nhánh. Demand Dial Interface trên ISA Server sẽ tự động kết nối. Việc
Routing trên ISA Server sử dụng dịch vụ Routing and Remote Access nhưng thay vào đó là cấu hình
bằng Network Rule.
Cấu hình LT2P/IPSec VPN Connection
Để cấu hình L2TP VPN chúng ta cần có một trong 2 dịch vụ sau: IPSec hoặc
Certificate để mã hóa nội dung của gói L2TP (vốn L2TP không được mã hóa).
IPSec sử dụng Preshared Key để chứng thực. Trên ISA Server muốn kết nối bằng
L2TP/IPSec Preshared Key chúng ta Properties Network VPN
453
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình thông số cho Remote Site Network kết nối bằng VPN đến ISA Server này
Và chọn mục Tab Protocol
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 454
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Khai báo Preshared‐Key cho Network này. Preshared Key phải giống nhau ở cả hai bên ISA Server Hà
Nội và Sài Gòn
Check chọn Option L2TP và điền Preshared Key vào cửa sổ bên dưới. Preshared
Key phải được bảo mật, không để bị lộ.
Click OK
Tiếp tục cấu hình cùng một Preshared Key trên ISA Server ở chi nhánh còn lại
(Sài Gòn).
455
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
á CHƯƠNG IX
Triển khai Caching trên ISA Server 2006
ISA Server có một tính năng độc đáo mà ít có lọai Firewall phần cứng nào có thể sánh kịp là
cung cấp tính năng truy cập Internet vượt trội (Internet Acceleration). ISA Server được cấu
hình thành một Proxy Server để chứa nội dung trang web mà Clients truy cập, đồng thời
Proxy Server cũng được sử dụng để làm Firewall ở dạng HTTP hoặc FTP. Trong bài LAB
này chúng ta sẽ cấu hình Proxy, Caching Rule và Scheduler Download Content cho ISA
Server 2006.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 456
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cơ chế Cache giúp ISA Server tăng tốc Internet khi User truy cập. Mọi trang web
đi bằng HTTP hoặc File đi bằng FTP được ISA Server Cache lại (RAM hoặc
HDD). Khi có một Clients thứ 2 truy cập, ISA Server sử dụng Cache sẵn có để
cung cấp cho Clients.
Tính năng Cache trên ISA Server rất nhanh nhờ tận dụng Memory Cache bằng RAM
ISA Server Cache trong RAM và sau đó chuyển xuống bộ nhớ. Mặc định ISA
Server sử dụng 10% RAM cho việc Cache. Chúng ta có thể cấu hình lại số phần
trăm RAM sử dụng này sau khi cài ISA Server.
Trong lần sử dụng sau, nếu có Clients nào truy cập vào đúng trang web đã nằm
trong Cache, ISA Server sẽ lấy nội dung từ trong Cache ra
457
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tất cả các HTTP Request đều được ISA Server Cache lại.
ISA Server hỗ trợ Forward Caching cho Clients trong LAN truy cập Internet và
Reversed Caching cho Internet User truy cập vào Server trong LAN.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 458
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Mô tả về tính năng Cache trên ISA Server
Định lại Port của Proxy Server ISA
Vào ISA Server Management Console
Click chọn mục Configuration
Chọn tiếp tab Network
Cấu hình Proxy Port trong phần Network của ISA Server Management Console.
Click phải vào Network Internal và chọn Properties
459
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Port sử dụng cho Internal Network bằng mạng Internal
Chọn tiếp tab Web Proxy
Kiểm tra dấu check Enable HTTP Proxy Server
Và lắng nghe trên Port 8080
Phần SSL Proxy chúng ta chưa cần cấu hình. Chỉ cấu hình Option này nếu muốn
User sử dụng Proxy khi truy cập vào các trang web HTTPS.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 460
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Authentication cho Web Clients khi truy cập Internet.
Click Authentication để cấu hình các kiểu chứng thực đối với các User sử dụng
Internet qua Proxy.
461
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Mặc định không yêu cầu Web Proxy Clients phải chứng thực khi sử dụng Internet
Các Option cấu hình trong cửa sổ này thực ra không cần thiết, vì ISA Server đã có
cơ chế chứng thực bằng Access Rule. Nếu check Option Require all users to
authenticate có thể gây lỗi cho những session không thể cung cấp
Username/Password được như Windows Update. Microsoft không khuyến cáo
người dùng chọn Option này. Và khi quyết định sử dụng Option này, nhà quản
trị phải chắc rằng tất cả các traffic khi ra ngòai Internet qua Proxy phải có
Username/Password. Kiểu chứng thực là Integrated sử dụng
Username/Password của Windows để chứng thực.
Click OK đóng cửa sổ Properties lại
Ghi chú: Trong Network Local Host cũng có phần Web Proxy tương tự như Internal nhưng sử dụng
vào chức năng Schedule Download Content cho chính ISA Server sử dụng. Các mạng khác muốn sử
dụng chức năng Cache, nhà quản trị phải bật cấu hình Enable HTTP Cache trên Network tương ứng.
Chúng tôi click Enable HTTP Cache trên Internal điều đó có nghĩa là chỉ hỗ trợ tính năng Cache nếu
Clients sử dụng nằm trong mạng LAN Internal mang địa chỉ 192.168.1.0/24
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 462
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Web Proxy cho chính ISA Server sử dụng
Tiếp theo là định dung lượng ổ cứng sử dụng để chứa Cache trên ISA Server
Ổ cứng sử dụng để chứa Cache trên ISA Server phải được định dạng với NTFS,
dung lượng Cache chúng tôi sử dụng để lưu là 12GB và được lưu trữ trên một
khối ổ cứng riêng đang sử dụng Strip để tăng tốc tối đa quá trình ghi và đọc web
cache. RAM trên Server ISA chúng tôi sử dụng 2GB RAM và cấu hình 60% RAM
sử dụng cho Cache.
Vào ISA Server chọn mục Configuration
Chọn mục Cache và chú ý mục Cache đang ở trạng thái Disable
463
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Bật tính năng Cache trên ISA Server bằng cách khai báo ổ đĩa chứa Cache
Trong cửa sổ Task Pane chọn Define Cache Drive
Cấu hình ổ đĩa chứa Cache cho ISA Server
Chọn ổ cứng D: đang chứa Cache và ổ D: đang đựợc định dạng NTFS trên một hệ
thống Strip gồm 3 ổ cứng 4GB
Click Set
Và chú ý sự thay đổi trong cửa sổ Cache
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 464
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Xác dịnh dung lượng cho ISA Server sử dụng chứa Cache. Độc giả nên sử dụng Cache là một ổ cứng
chạy RAID để tăng tính Performance
Click OK
Chú ý phần Cache đã trở thành Enabled
465
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tính năng Cache đã được hiển thị sau khi quy định ổ cứng chứa Cache
Cấu hình % RAM sử dụng cho Cache
Click phải vào mục Cache trên ISA Server và chọn Properties
Cấu hình các tính năng của Cache bằng cửa sổ Properties
Chọn Tab Advanced
Click vào phần trăm RAM sử dụng, mặc định đang là 10%, chúng tôi cấu hình lại
thành 60% theo kế họach. Mỗi Object khi lưu trên RAM của ISA Server có dụng
lượng không quá 12,8KB. Dung lượng này càng nhỏ thì tốc độ truy cập càng
nhanh vì RAM xử lý sẽ tốt hơn.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 466
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Quy định tổng dung lượng RAM sử dụng cho việc Caching. Dung lượng được tính theo phần trăm
của tổng số RAM trên ISA Server
Click OK
Sau khi truy cập một vài trang web, nội dung Cache trên ISA Server sẽ được lưu
vào ổ cứng ở đường dẫn URLCache trên D: của ISA Server.
Cấu hình Proxy Settings trên IE
Vào Menu Tools Æ Internet Options
467
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Proxy bằng Internet Option của Internet Explorer
Chọn Tab Connection
Click chọn nút LAN Settings
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 468
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Proxy trên Clients sử dụng LAN Settings trong Browser
Click dấu Use a Proxy Server for your LAN
Và gõ địa chỉ IP của ISA Server với số Port 8080
Click chọn dấu Bypass proxy Server for local address cho phép Clients không sử
dụng Proxy Server khi truy cập các Web Server nằm trong mạng LAN.
469
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Khai báo thông tin về Proxy Server trên Internet Explorer
Cấu hình Auto IE Proxy Settings bằng Group Policy
Policy có thể được áp dụng từ OU hoặc cấp độ Domain để buộc các Clientp hải
tuân theo. Chúng tôi sử dụng một GPO trên OU VietCERT để buộc các Clients
phải tuân theo Policy này.
Edit GPO chọn mục User Configuration
Chọn Windows Settings
Chọn Internet Explorer Maintenance
Chọn Connection
Double Click mục Proxy Settings
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 470
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click Properties Proxy Settings trong Policy để cấu hình cho hàng lọat Clients
Thiết lập thông số IP và Port như cấu hình ở phần Manual
Cấu hình Proxy Settings bằng Policy trên GPO
Click OK
Đến đây, các Clients đã có cấu hình Proxy được gán từ Policy, nhưng Users vẫn
471
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
có thể thay đổi khi họ sử dụng IE. Chúng ta có thể tắt tính năng đổi Proxy
Settings trên IE của User bằng Group Policy.
Cũng trong cùng một GPO chúng tôi chọn tiếp Administrative Templates trong
phần User Configuration
Chọn tiếp mục Windows Components
Trong mục này chọn tiếp Internet Explorer
Tìm đến Option Disable changing Proxy Settings
Sử dụng Policy cấu hình để tắt tính năng thay đổi Proxy Settings trên Clients.
Double Click vào thông số này
Enable Setting
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 472
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Enable tính năng khóa Proxy và Click OK
Click OK
Click đóng cửa sổ GPO này lại
Cấu hình Mozilla Firefox thành Clients của Proxy Server.
Vào Firefox chọn Menu Tools Æ Internet Option
473
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click Option trong Menu Tools của FireFox
Chọn Tad Advanced, trong cửa sổ Advanced tiếp tục chọn Network và click nút
Settings
Sử dụng tính năng Advanced chọn tiếp Network để cấu hình Proxy Settings
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 474
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Điền thông số của Proxy Server là địa chỉ IP của ISA Server với Port 8080. Cách
điền thông tin cũng tương tự như các trình duyệt web khác.
Cấu hình Proxy Settings trên Mozilla FireFox
Chức năng của Cache Rule cho ISA Server biết cách nào để Cache Web, nội dung
Cache có dung lượng tối đã là bao nhiêu, khi nào thì Cache và trang nào không
cần Cache nội dung …
475
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Phân tích Cache Rule trên ISA Server và các giá trị mặc định của Cache Rule
Properties Cache Rule Default của ISA Server để xem các thông số này.
Chú ý những gì là Default của ISA Server thì không thể cấu hình lại được và Rule
này sẽ được áp dụng sau cùng, mức độ ưu tiên (Order) mặc định là Last.
Tạo Cache Rule
Chọn Cache trong mục Configuration
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 476
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Cache Rule trên ISA Server Management Console.
Click phải vào Cache chọn Create a Caching Rule bên cửa sổ Task Pane
Tạo Cache Rule mới bằng ISA Server Management Console.
Name chọn Cache all Microsoft Content
477
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cache Rule Name chỉ có giá trị hiển thị
Click Next
Destination xác định đối tượng nào sẽ tác dụng Rule này. Destination có thể là
một Network, hoặc có thể là một trang Web, Server IP …
Click Add để thêm Destination
Click Add để thêm Rule Destination cho biết đối tượng nào tác dụng lên Cache Rule này
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 478
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chúng tôi tạo một Component URL Set với nội dung là trang web của
Microsoft.com
Click Menu New và chọn URL Set
Destination chỉ định một trang web chúng tôi sử dụng URL Set
Name chúng tôi đặt để hiển thị là Microsoft Web Site và Click Add, chúng tôi
thêm dòng URL http://microsoft.com
479
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click ADD để thêm các Network vào URL Set
Click OK và Double Click vào Microsoft Web Site trong phần Component.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 480
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
URL Set sau khi tạo sẽ hiển thị trong Network Entities
Click Close quay kại Wizard, kiểm tra Destination vừa thêm
Click ADD để thêm Microsoft Web Site vào mục Destination
Click Next
Quy định thời gian lấy Cache từ Internet (Cache Retrieval). Để bảo đảm thông tin
luôn luôn mới, chúng tôi chọn Option đầu tiên, nếu trong Cache đã bị Expired,
ISA Server sẽ lấy Cache trực tiếp trên Internet.
481
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click chọn Option khi nào ISA Server sẽ lấy Cache từ trang Web
Click Next
Quy định nội dung nào sẽ được Cache. Chúng tôi để mặc định cho ISA Server lấy
Cache và không cần lấy nội dung của những Dynamic Web Site (Logon Session)
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 482
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Xác định khi nào sẽ lấy Cache từ Web về ISA Server
Click Next. Cache Rule này sẽ cho phép ISA Server Cache lại những nội dung đi
bằng SSL. Muốn cấu hình được Cache SSL Proxy thì ISA Server
Cho phép ISA Server Cache nội dung từ SSL Web Site
Click Next
Cho phép ISA Server Cache nội dung của HTTP và thời gian TTL cho Cache là 1
ngày.
483
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Bật tính năng Cache HTTP Web Site.
Click Next
Cho phép ISA Server Cache lại nội dung của FTP Download từ những trang web
của Microsoft.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 484
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Bật tính năng Cache FTP Site
Click Next, Review lại nội dung Rule đã cấu hình
485
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Kiểm tra lại Rule sau khi cấu hình
Click Finish
Quay lại màn hình chính với Rule vừa được tạo.
Để thay đổi, Click phải chuột vào Rule này và chọn Properties.
Rule sau khi tạo sẽ hiển thị trong ISA Server Management Console.
Cache Rule không Cache một trang web
Trang web vietnamlab.com khi truy cập từ trong LAN sẽ không Cache lại trên
ISA chúng tôi sẽ tạo một Cache Rule tác dụng lên Destination là
www.vietnamlab.com và gán vào Cache Rule là không Cache nội dung từ trang
này.
Vào Cache trong mục Configuration
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 486
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Cache Rule bằng mục Cache Rule trong ISA Server Management Console.
Click vào mục Create a New Cache Rule
Tạo Cache Rule mới bằng ISA Server Management Console.
Phần Name gõ Don’t Cache Vietnamlab
Cache Rule Name chúng tôi sử dụngở đây chỉ có giá trị hiển thị trong ISA Server
Click Next
487
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Destination chúng tôi chỉ áp dụng Rule này cho những trang web không cần
Cache, một trong những trang này là ww.vietnamlab.com. Chúng tôi tiến hành
tạo một URL Set mang tên www.vietnamlab.com
Click Add để thêm Destination vào Wizard
Click ADD để thêm Destination vào Cache Rule
Click New Æ URL Set
Destination chúng tôi sẽ tạo là URL Set
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 488
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Phần Name gõ VietnamLAB Web Site
Phần URL Click New và gõ http://www.vietnamlab.com
URL Set chúng tôi thêm địa chỉ trang web vietnamlab.com
Click OK quay lại cửa sổ Component. Double Click vào URL VietnamLAB
489
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
VietnamLAB URL Set sau khi tạo được hiển thị trong Network Entities
Click Close quay lại với Wizard
Click ADD và kiểm tra lại Destination trong Wizard
Click Next. Option này có thể để mặc định vì trang web này chúng ta không
Cache thì không cần quan tâm đến.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 490
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Quy định thời gian khi nào sẽ lấy Cache
Click Next và chọn Do not Cache this Content
491
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Action quy định không Cache nội dung trang Web quy định trong Rule
Click Next
Review lại quá trình cấu hình
Kiểm tra lại Rule đã tạo để Click Finish
Click Finish
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 492
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
ISA Server Cache nội dung vào RAM và sẽ đưa vào ổ cứng
Đúng thời gian quy định, ISA Server sẽ lấy nội dung trang web. Scheduled Job có
thể được thực hiện duy nhất một lần hoặc lặp lại nhiều lần. ISA Server rất dễ cấu
hình với các Wizard được xây dựng rất trực quan.
Để cấu hình Scheduler Job ISA Server cần phải bật tính năng Proxy trên Local
Host và Enable System Policy cho phép ISA Server sử dụng tính năng này.
Enable Proxy Settings trên Local Host
Vào mục Network trong mục Configuration
493
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Proxy Settings trên Local Host trong mục Network của ISA Server Management Console.
Chọn Tab Network
Click phải vào Local Host và chọn Properties
Cấu hình Properties trên Local Host để bật tính năng Proxy cho chính ISA Server
Chọn Tab Web Proxy
Check dấu Enanable HTTP Proxy
Xác định Port mặc định là 8080
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 494
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Proxy Setting: Port trên Local Host và chỉ áp dụng cho ISA Server
Click OK
Cấu hình System Policy cho phép Scheduler Download họat động
Vào Firewall Policy
495
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình System Policy trong mục Firewall Policy của ISA Server Management Console.
ở Tab Task Pane chọn Edit System Policy
Cấu hình System Policy trên ISA Server
cấu hình System Policy và Enable tính năng Schedule Download
Bật tính năng Scheduled Download Content trên ISA Server cho phép tự download nội dung trang
web theo thời gian định trước
Click Ok
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 496
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tạo Schedule Download Job
Vào mục Cache trong Configuration chọn Tab Content Download Jobs
Cấu hình Content Download Job trên ISA Server tự động Download một trangWeb theo thời gian đã
định
Click vào mục Schedule a Content Download Job bên cửa sổ Task Pane
Click Schedule a Content Download Job để tạo một công việc mới Download trang Web về và Cache
tại ISA Server
Phần Name gõ Download ICTExpress.com
497
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Content Name cho biết sẽ Download trang web ICTExpress.com
Click Next
Click chọn Download hàng ngày
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 498
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Trang web sẽ được Download hàng ngày
Click Next
Xác định thời gian thực hiện task này, ngày nào bắt đầu, thời gian bắt đầu
Vào lúc 5h07 phút sáng trước khi người dùng đăng nhập hệ thống
Phần tiếp theo rất quan trọng, quyết định đúng sai của Schedule Job này
Web Site gõ vào http://www.ictexpress.com và chú ý phải có http:// nếu không
ISA Server sẽ báo lỗi.
Job này sẽ không Download những trang web hoặc đường Link nào ngòai trang
www.ictexpress.com và độ sâu của mối liên kết không quá 4 lần.
499
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình thông số cho Scheduler Download – quy định số lượng và độ sâu của Link
Click Next
Quy định Cache Rule cho riêng Job này. ISA Server mặc định chỉ Cache những
Object này có Cache Header. Những đối tượng Download bằng Job này có thể
cấu hình theo một Cache Rule cho riêng mình, hoặc sử dụng Cache Rule mặc
định có sẵn của Windows.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 500
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Quy định sẽ Download và Cache những gì cho trang web này
Review lại quá trình cấu hình
Kiểm tra lại tòan bộ quá trình cấu hình Schedule Download Content
501
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click Finish kết thúc quá trình tạo Schedule Job
Đúng 5h sáng hàng ngày, ISA Server sẽ tự động download tòan bộ nội dung
trang web www.ictexpress.com về và Cache lên ổ cứng.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 502
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
á CHƯƠNG X
Monitor ISA Server 2006
Công việc thường xuyên nhất và quan trọng nhất của một nhà quản trị mạng là xem xét hệ
thống mình chạy như thế nào, nhất là trên một hệ thống khá nhạy cảm là Firewall, con đường
chính của hệ thống khi ra Internet. ISA Server cung cấp cho nhà quản trị một hệ thống
Logging, Monitor trạng thái họat động của bản thân ISA Server cũng như của tòan hệ thống
một cách trực quan nhất.
503
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
56. Tổng quan về hệ thống Monitor
Nhà quản trị ISA Server chỉ cấu hình ISA Server vào những lúc hệ thống có sự
thay đổi, và chủ yếu cấu hình lúc ban đầu khi mới cài đặt ISA Server. Công việc
thường xuyên nhất của các nhà quản trị là theo dõi tình hình họat động của ISA
Server hay còn gọi là Monitoring, Auditing.
ISA Server cung cấp riêng một phần Monitoring cho nhà quản trị để có thể theo
dõi tình hình họat động của ISA Server. Chủ yếu nhà quản trị sẽ sử dụng phần
Dashboard để xem họat động chung của Server.
Sử dụng mục Monitoring trong ISA Server để quan sát tình hình họat động của ISA Server
Trong phần Dashboard, nhà quản trị có thể nhìn tổng quan về ISA Server gồm
các cửa sổ bên trong
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 504
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tổng quan giao diện Monitoring trên ISA Server
Đóng mở cửa sổ (Thu gọn cửa sổ trong Dashboard)
505
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Thu nhỏ các phần trong Dashboard
Thiết lập mật độ Refresh cho Monitoring
Trong cửa sổ Task Pane chọn Refresh Rate
Cấu hình mật độ làm tươi giao diện của Monitoring trên ISA Server
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 506
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
57. Cấu hình Alert
Chức năng Alert sẽ cảnh báo cho nhà quản trị biết một thông điệp gì đó liên quan
đến Bảo mật hoặc sự an tòan của ISA Server. Microsoft sử dụng từ ngữ Trigger để
nói lên điều này, có nghĩa là nếu ISA Server thấy một tính năng nào đó đạt đến
ngưỡng quy định sẽ tự động báo lên một Alert cho người dùng.
Vào Alert trong phần Monitoring
Xem thông tin trong Alert của ISA Server. Alert thông báo tình hình khẩn cấp trên ISA Server
Bật tính năng Alert Definition
Vào Alert chọn mục Configure Alert Definition bên cửa sổ Task Pane
507
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình các điều kiện cho Alert
Click vào Option Alert Definition và Click OK
Chọn các Alert Conđition hoặc click ADD để thêm mới
Tính năng này sẽ cho phép nhà quản trị tự định nghĩa cho ISA Server hiểu khi
nào thì cần tạo một Alert. Tiếp theo nhà quản trị sẽ tự tạo ra các định nghĩa cho
ISA Server hiểu khi nào tạo ra Alert.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 508
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Thêm Alert Definition
Vào Monitoring chọn mục Alert
Click Configure Alert Definition trong phần Task Pane và Click Add
Click ADD để thêm Alert Definition
Tiếp theo Wizard
Alert Name hiển thị được nội dung của Alert
Click Next, chọn Alert Events
509
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn lọai Event và Option thêm của Event này
Click Next, quy định hạng mục cho Alert
Phân lọai Alert sẽ thông báo trên ISA Server Monitoring
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 510
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click Next, quy định những hình thức cảnh báo cho ISA Server khi gặp
Condition thỏa mãn với Alert tạo ra.
Khai báo nơi chứa thông tin về Alert. ISA Server có thể lưu thẳng thông tin vào Windows Event Log
Click Next, chúng tôi chọn Send an email message nên ISA Server yêu cầu người
dùng cấu hình SMTP Server. Chúng tôi dùng SMTP Server của VietCERT tại địa
chỉ 203.162.23.34
511
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình thông tin về Mail Server cho phép ISA Server gửi Mail đến nhà quản trị khi có Alert xuất
hiện
Click Next
Review lại quá trình cấu hình Alert
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 512
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra trước khi Click Finish
Click Finish kết thúc quá trình tạo Alert.
Sau khi tạo Alert Definition, nhà quản trị có thể thay đổi bằng cách chọn Alert
Definition và Click Edit trong cửa sổ Task Pane Æ Configure Alert Definition
513
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Alert Definition hiển thị sau khi đã cấu hình và có thể Click Edit để thay đổi nội dung bên trong
Trong phần này chúng ta sẽ phải cấu hình Alert Condition là khi nào và trong
điều kiện nào ISA Server sẽ tạo ra Alert
Cấu hình Alert Events
Click chọn Tab Events
Và chọn tiếp những Event nào sẽ tạo ra Alert trên ISA Server.
Nếu cần thêm điều kiện phụ bạn có thể Click Additional Condition
Trên đây chỉ là điều kiện, tiếp theo nhà quản trị phải quy định tiếp Condition đó
xảy ra bao nhiêu lần, trong thuật ngữ Security chúng ta gọi là Threshold, tức là số
lần xảy ra sự kiện hay gọi là đặt ngưỡng.
Trong Tab Events chọn tiếp mục Number Of Occurrences và chọn bao nhiêu lần
sẽ xảy ra Action và tiếp tục chọn số lần Event xảy ra trong một giây trước khi
Action xảy ra
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 514
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chúng tôi chọn Only if the alert was manually reset tính từ khi Reset Alert, nếu
gặp ngưỡng mới thực sự cảnh báo thành Alert. Nếu độc giả chọn Immediately,
Alert có thể xuất hiện nhiều hơn.
Cấu hình thuộc tính cho Alert sau khi tạo bằng Wizard
Sau cùng là cấu hình Alert Action
Phần này sẽ quyết định làm gì khi có Alert xảy ra đúng theo Defition chúng ta đã
định nghĩa
Chọn Tab Action trong Alert Definition
515
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn Action sẽ thực hiện khi xuất hiện Alert này
ISA Server có thể gửi Email cảnh báo cho nhà quản trị nếu Alert này xảy ra. Để
cấu hình ISA Server gửi Email độc giả cần một SMTP Server. Chúng tôi sử dụng
SMTP Server của VietCERT tại địa chỉ 203.162.23.34
Cấu hình thông tin về Mail Server cho phép ISA Server gửi Email cho nhà quản trị
Khi gặp Alert xảy ra, ISA Server có thể chạy một chương trình nào đó để chống
lại sự kiện diễn ra trong Alert.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 516
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chạy một ứng dụng nào đó khi gặp Alert này
ISA Server có tính năng của một IPS (Instrusion Prevention System) nên có thể
Stop bất kỳ dịch vụ nào theo yêu cầu của nhà quản trị khi gặp sự cố.
Tắt hoặc mở các dịch vụ của ISA Server nếu gặp Alert này
Acklowledge một Alert
Khi có Alert cảnh báo cho nhà quản trị, công việc của anh ta cần làm là
Acklowledge cho ISA Server biết là “tôi đã biết rồi” để ISA Server không cảnh
báo nữa.
517
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click phải vào các Alert và bấm Acknowledge Seleted Alerts
Acknowledge một Alert cho ISA Server biết nhà quản trị đã nắm được tình hình về Alert này
Ghi chú: Cấu hình một tính năng khá hay của ISA Server 2006 là phát hiện nếu trong mạng có một
DHCP Server nào đó cấp sai khỏang IP cho Clients. Invalid DHCP Offer Alert được bật sẵn trong ISA
Server 2006
Tiếp theo là Reset một Alert
Vào ISA Server và chọn mục Monitoring Æ Alert
Chọn Alert cần Reset
Bên cửa sổ Task Pane Click Reset Selected Alert
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 518
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Reset một Alert bằng Task Pane
Click Yes
ISA Server muốn sự xác nhận của người dùng
Kiểm tra lại Alert vừa Reset đã mất
519
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sau khi Reset, Alert được xóa khỏi ISA Server
Bấm vào Tab Session trong phần Monitor chúng ta có thể thấy được các Session
đang kết nối vào ISA Server.
Ngắt kết nối một Session
Trong các Session này chúng ta có thể ngắt kết nối một Session nào đó
In the console tree of ISA Server Management, click Monitoring.
Chọn Tab Sessions trong cửa sổ Dettail Pane của ISA Server
Chọn Session phù hợp cần ngắt
Trên Tab Task Pane chọn Disconnect session
Filter việc Monitor Session
Hoặc chỉ Monitor một Session cụ thể nào đó thôi dựa trên địa chỉ IP của Clients
Vào ISA Server Management, click Monitoring.
Trong Details pane, Click Sessions tab.
Trong của sổ Tasks Pane, click Edit Filter.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 520
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Edit Filter để quản lý các Session
Ở của sổ mục Filter by, chọn một trong những Option sau đây:
Activation. Session đó đã được khởi tạo khi nào, tính bằng thời gian
Application Name. Filter dựa trên tên của ứng dụng gửi traffic qua ISA Server.
Client Host Name, Client IP, or Client Username. Filter dựa trên địa chỉ IP cụ
thể của mốt Host nào đó.
Session Type. Filter dựa trên lọai Clients khởi tạo kết nối: Firewall client,
SecureNAT, VPN client, VPN site‐to‐site, hoặc Web proxy Clients.
Server Name. Xác định dựa trên Server name.
Source Network. Khởi tạo từ Source Network nào
Tiếp theo trong mục Condition và Value, xác định những điều kiện phù hợp và
chọn Add to List.
Lặp lại bước 4 và 5 đồng thời thêm nhiều điều kiện vào mục Filter, sau đó chọn
Start Query.
521
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Truy vấn mục địch để lọc các Session theo điều kiện
Sai khi click Start Query, phần Monitoring Session chỉ xuất hiện những Session
nào thỏa đúng điều kiện của phần Filter.
Export Filter Definition
Tất cả những Filter Defition này chúng ta có thể lưu lại bằng tính năng Export của
ISA Server
Vào ISA Server Management, click Monitoring.
Trong Details pane, Click Sessions tab.
Trong của sổ Tasks Pane, click Export Filter Definitions.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 522
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Xuất thông tin cấu hình Session thành tập tin XML
Trong phần File name, xác định tên tập tin XML cần lưu lại và Click Save.
Chọn đường dẫn lưu tập tin XML đã được cấu hình. Tập tin XML này cũng nên được bảo mật
523
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Import Filter Definition
Và sau đó có thể nạp lại cho ISA Server trong trường hợp cần phục hồi hoặc cấu
hình mới trên một ISA Server khác.
Vào ISA Server Management, click Monitoring.
Trong Details pane, Click Sessions tab.
Trong của sổ Tasks Pane, click Import Filter Definitions.
Nếu gặp sự cố hoặc cấu hình sai có thể sử dụng lại tập tin XLM này bằng chức năng Import
Trong phần File name, xác định tên tập tin XML cần nạp và Click Load.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 524
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn tập tin XML cần nạp và click LOAD
Tạm dừng Session Monitoring
Phần monitor các phiên kết nối này có thể chiếm nhiều tài nguyên trên ISA Server
nên chúng ta có thể tạm dừng
Vào ISA Server Management, click Monitoring.
Trong Details pane, Click Sessions tab.
Trong của sổ Tasks Pane, click Pause Monitoring Sessions.
525
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạm thời ngừng tính năng kiểm sóat các phiên kết nối qua ISA Server
Hoặc ngưng luôn tính năng Monitor Session
Vào ISA Server Management, click Monitoring.
Trong Details pane, Click Sessions tab.
Trong của sổ Tasks Pane, click Stop Monitoring Sessions.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 526
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Tắt hẳn tính năng kỉem sóat các kết nối trên ISA Server
Logging theo từng dịch vụ của ISA Server
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail Pane chọn Tab Logging
Trên cửa sổ Tasks chọn những Option sau đây
Configure Firewall Logging. Cấu hình Log file cho dịch vụ Microsoft Firewall
Configure Web Proxy Logging. Cấu hình Log file cho Web Proxy
527
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Firewall Loggin và Web proxy Logging trên ISA Server
Trên Tab Log, Click chọn Option Enable logging for this service
Bật tính năng Logggin cho ISA Server
Lưu lại các Log khi chúng khớp với các Rule chúng ta tạo ra
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 528
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chúng ta có thể Log lại những Request khớp với những Access Rule tạo ra trên
ISA Server. Để cấu hình Logging trên từng Access Rule chúng ta làm như sau
Vào ISA Server Management chọn mục Firewall Policy.
Trong cửa sổ Detail chọn những Rule nào cần bật tính năng Log
Click phải vào Rule chọn Properties.
Cấu hình Logging cho từng Rule bằng mục Firewall Policy
Trên Tab Action trong cửa sổ Properties chọn Option Log requests matching this
rule.
529
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Bật tính năng Logging theo từng Rule
Chỉ Log lại những phần cần thiết, chúng ta có thể chọn
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail Pane chọn Tab Logging
Trên cửa sổ Tasks chọn những Option sau đây
Configure Firewall Logging. Cấu hình Log file cho dịch vụ Microsoft Firewall
Configure Web Proxy Logging. Cấu hình Log file cho Web Proxy
Trên tab Fields, chọn những phần nào cần Logging lại
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 530
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn từng hạng mục cần Logging
Muốn chọn tất cả Click Seletect All
Hoặc bỏ chọn tất cả Click Clear All. Những phần nào Check trong phần Field này
sẽ được lưu lại trong Log. Chúng ta có thể cấu hình Logging những phần nào cần
thiết để file Log nhỏ gọn, tiện trong việc Monitor.
Lưu Log file vào SQL Server.
Các tập tin Log có thể được lưu trực tiếp vào DataBase SQL trên SQL Server. ISA
Server khi cài sẽ có một phần SQL Clients để kết nối vào ISA Server
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail Pane chọn Tab Logging
Trên cửa sổ Tasks chọn những Option sau đây
Configure Firewall Logging. Cấu hình Log file cho dịch vụ Microsoft Firewall
Configure Web Proxy Logging. Cấu hình Log file cho Web Proxy
531
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Trên Tab Log chọn SQL database.
Chọn nơi lưu trữ các tập tin Log
Click Options để cấu hình thêm thông tin cho SQL Clients.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 532
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình thông tin SQL Server và Database cho phép ISA Server lưu trữ Log file
Lưu nội dung Log file vào Server 192.168.1.5 tại databaes Isaserver, sử dụng
Username sqldb trên Windows để lưu Log vào SQL.
Hoặc lưu các tập tin Log vào File trên ISA Server
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail Pane chọn Tab Logging
Trên cửa sổ Tasks chọn những Option sau đây
Configure Firewall Logging. Cấu hình Log file cho dịch vụ Microsoft Firewall
Configure Web Proxy Logging. Cấu hình Log file cho Web Proxy
Trong Tab Log, click File.
533
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Hoặc chọn nơi lưu trữ chính là thư mục cài đặt của ISA Server
Ngòai ra cấu hình chi tiết bằng cách click vào Options
ISALogs folder or This folder. Lựa chọn nơi lưu trữ cho Log file
Compress log files. Option này sẽ nén các tập tin Log lại
Delete log files older than (days). Xác định số ngày Log file sẽ bị xóa khỏi ISA
Server, sử dụng Option này để tự xóa và thu gọn Database.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 534
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn nơi lưu trữ tập tin Log
Chúng ta có thể giới hạn về dung lượng lưu trữ Log file
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail Pane chọn Tab Logging
Trên cửa sổ Tasks chọn những Option sau đây
Configure Firewall Logging. Cấu hình Log file cho dịch vụ Microsoft Firewall
Configure Web Proxy Logging. Cấu hình Log file cho Web Proxy
Trong Tab Log, click File.
Click nút Options
Xác định dung lượng của tập tin Log bằng cách gõ số GB vào ô Limit total size of
535
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
log files (GB). Nếu chọn Option này, độc giả có thể chọn tiếp một trong 2
Options sau đây:
Deleting older log files as necessary. Xóa đi những Log cũ khi dung lượng Log
bị đầy.
Discarding new log entries. Ngưng không tiếp nhận thêm Cache Entry nữa nếu
Cache bị đầy
ISA Server có thể tính dung lượng ổ cứng còn lại cần thiết cho họat động của ISA
Server và khi lưu Cache, ISA Server sẽ chừa khỏang dung lượng này ra không
lưu Log. Chọn Maintain free disk space (MB) và gõ dung lượng tính theo MB để
ISA Server chừa lại.
Cấu hình các thông số cho Log File
Lọc Logging theo điều kiện để hiển thị
Trên ISA Server, phần hiển thị Log cũng có thể được chọn lọc để có thể dễ dàng
quan sát
Vào ISA Server Management, click Monitoring.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 536
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Trong cửa sổ Detail Pane chọn Tab Logging
Trên cửa sổ Tasks chọn Edit Filter
Xấu hình các Filter cho mục Logging
Trong cửa sổ Filter by, chọn một trong những phần cần Log lại
Tiếp theo ở phần Condition và Value, chọn những mục cần thiết Log lại và Click
Add To List.
Lặp lại bước 4 và 5 để thêm các điều kiện vào danh sách, sau đó Click Start
Query.
537
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn các điều kiện sử dụng để truy vấn. Bấm Start Query để hiển thị đúng những thông tin khớp với
những điều kiện trên
Lưu Log Definition
ISA Server có thể lưu lại những Definition cho Log File bằng cách Export thành
tập tin XML
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail Pane chọn Tab Logging
Trên cửa sổ Tasks chọn Export Filter Definitions.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 538
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Xuất các thông tin đã cấu hình bằng tính năng Export
Trong phần File name, gõ tên tập tin .xml cần lưu lại và Click Save.
Tập tin lưu trữ dạng XML cũng nên được bảo mật
Chú ý phần này không phải lưu lại những gì đã Log, mà chỉ là lưu những phần
Log Filter Definition.
539
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Và sau đó nạp lại cho ISA Server
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail Pane chọn Tab Logging
Trên cửa sổ Tasks chọn Import Filter Definitions.
Nạp tập tin XML vào ISA Server bằng chức năng Import
Trong phần File name, gõ tên tập tin .xml cần nạp và Click Load.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 540
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn tên tập tin XML cần nạp và click LOAD
Lưu phần hiển thị Log
Và những gì hiển thị trên màn hình, chúng ta cũng có thể lưu lại
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail Pane chọn Tab Logging
Trên cửa sổ Tasks chọn những Option sau đây
Copy All Results to Clipboard. Chọn tất cả những Log đang hiển thị trong phần
Detail Pane.
Copy Selected Results to Clipboard. Chọn Option này để Copy tất cả những
phần Log Entry nào đang được chọn, sử dụng phím CTRL để chọn nhiều Entry
541
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Nhà quản trị có thể đưa những thông tin hiển thị trên màn hình ISA Server Management Console
vào Clipboad và dán ra một ứng dụng Worksheet khác như Excel
Tạo Report trong ISA Server
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail Pane, click chọn Tab Reports
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 542
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Chọn Tab Report để theo dõi các Report trên ISA Server
Trên tab Task, click Generate a New Report.
Tạo một Report mới trên ISA Server bằng Task Pane
Xác định tên Report cần tạo
543
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Việc đặt tên một đối tượng trên ISA Server tốt sẽ tạo sự dễ dàng khi quản lý
Click next, xác định nội dung của Report
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 544
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình những phần cần tạo Report
Click Next, chọn thời gian để xem Report
Thời gian sẽ tạo Report từ giai đọan nào đến thời điểm hiện tại
Click Next
Độc giả có thể sử dụng tính năng Publish Report để đưa nội dung lên một thư mục Share
Click next bỏ qua phần Publishing, chúng ta sẽ đề cập sau
Tiếp theo phần cấu hình gửi Email khi tạo Report, sẽ thông báo đến 2 địa chỉ
545
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Email trên.
Và thông báo cho nhà quản trị khi có Report mới đã hòan tất và chỉ gửi thông tin về công việc. ISA
Server không gửi Report đến địa chỉ Email cấu hình trong phần này
Click Test để kiểm tra Email có sử dụng được hay không.
Click Next
Review lại quá trình Report
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 546
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lần cuối khi cấu hình Report Generation
Click Finish
Sau khi tạo Report được liệt kê trong phần Report của Monitoring
Report Job sau khi tạo được hiển thị trên ISA Server Management Console.
547
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Muốn Xem Report click chọn Report và trong cửa sổ Task Pane chọn View
Seletected Report
Sử dụng chức năng View trong Task Pane để hiển thị nội dung của Report
Cửa sổ View Report hiện ra ở dạng Web
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 548
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Report được hiển thị bằng giao diện Web. Thông tin khá chi tiết; và người dùng có thể chọn những
hạng mục khác ở cửa sổ bên trái
Tạo Report theo thời gian thực
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail chọn Tab Reports
Trong cửa sổ Task, click Create and Configure Report Jobs.
549
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Tạo và cấu hình Report Job
Click Add để thêm thuộc tính cho Report
Click ADD để thêm Report Job cho ISA Server
Gõ tên cho Report, đây là phần hiển thị trong Snap‐in
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 550
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Report Job Name
Click Next, quy định nội dung cho Report sẽ chứa những gì
551
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Các hạng mục cần tạo Report
Click Next, quy định thời gian sẽ tạo ra Report, mặc định thời gian tạo là 1:AM
hàng ngày, nhà quản trị có thể thay đồi phần này trong phần Properties của
Report
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 552
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Quy định thời gian sẽ tạo Report, mặc định thời gian tạo là 1:00 sáng mỗi ngày
Click Next, bỏ qua phần Publish
Chúng tôi không dùng chức năng Publish bằng Wizard mà sẽ cấu hình sau
553
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click Next
Cấu hình phần Email thông báo cho nhà quản trị khi có Report đuợc tạo ra.
Cấu hình thông tin về Mail Server cho ISA Server gửi thông báo cho nhà quản trị sau khi đã tạo
Report
Click Next
Review lại quá trình cấu hình
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 554
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra Report Job
Click Finish
ISA Server đã có thể một Report Job mang tên Real‐time Monitor sẽ tự tạo Report
hàng ngày vào lúc 1:00AM. (1 giờ sáng)
Sau khi kết thúc quá trình tạo Report Job, quay lại với cửa sổ Report Jobs
Properties chúng ta có thể một Job tên Real Time Monitor
555
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Report Job sua khi tạo được hiển thị trên ISA Server
Chọn Report Job và Click Edit để thay đổi thời gian tạo Report, chúng tôi tạo ra
vào lúc 7h sáng. Thay đổi số giờ thành 7h sáng.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 556
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình lại thời gian tạo Report trên ISA Server
Click OK. Như vậy cứ mỗi 7h sáng hàng ngày ISA Server sẽ tạo ra một Report và
gửi Email thông báo cho nhà quản trị.
Tạo một cơ sở dữ liệu gồm các Report trên ISA Server
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail chọn Tab Reports
Trong cửa sổ Task, click Configure Log Summary.
557
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Cấu hình Logging và Report trên ISA Server
Trên Tab Log Summary, chọn Option Enable daily and monthly summaries.
Trong phần Specify the generation time xác định cho ISA Server biết thời gian
nào sẽ tạo Report
Tiếp theo độc giả quy định cho ISA Server biết nơi lưu trữ Report
Mặc định ISA Server sẽ sử dụng thư mục ISASummaries trên chính máy ISA
Server, chọn Option ISASummaries folder.
Nếu muốn lưu Report ở một thư mục khác, chọn This folder, và tiếp theo click
Browse và Click chọn Folder nào cần lưu Report
Cấu hình số lượng Report sẽ được lưu lại.
Trong phần Number of saved summaries, mục Daily summaries, gõ số lượng
Report Entry sẽ được log lại trong ngày.
Mục Monthly summaries xác định số lượng Report trong tháng
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 558
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Nơi lưu trữ Report và số lượng Report tối đa hàng ngày và hàng tháng ISA Server có thể tạo
Ngăn không cho tạo Database chứa Report
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail chọn Tab Reports
Trong cửa sổ Task, click Configure Log Summary.
Trong Tab Log Summary, bỏ dấu check Enable daily and monthly summaries.
559
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Bật hoặc tắt tính năng Monthly Report
Thay đổi Nội dung và Thời gian tạo ra Report
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail chọn Tab Reports
Trong cửa sổ Task, click Create and Configure Report Jobs.
Chọn Report Job cần cấu hình và Click Edit.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 560
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click Edit để thay đổi thông tin trong Report job vừa tạo
Tab Content cho phép chọn những nội dung nào sẽ được tạo
Summary
Web usage
Application usage
Traffic and utilization
Security
561
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn các hạng mục sẽ tạo Report
Tiếp theo chọn Tab Schedule
Chúng tôi muốn tạo Report hàng ngày nên chọn Every day.
Ngòai ra độc giả có thể tạo theo những ngày xác định bằng cách chọn On the
following days và chọn những ngày nào cần Report. Họăc chọn tạo Report theo
tháng, click Every month, on this date và xác định số ngày trong tháng sẽ tạo
Report
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 562
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Xác định lại thời gian khi nào được tạo Report
Sau khi có Report, chúng ta có thể xem trực tiếp tại ISA Server hoặc thực hiện
chức năng Publish Report
Cấu hình nội dung Report
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail chọn Tab Reports
Trong cửa sổ Task chọn một trong những Option sau đây để cấu hình những
phần tương ứng
Customize Summary Content
Customize Web Usage Content
Customize Application Usage Content
563
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Customize Traffic and Utilization Content
Customize Security Content
Cấu hình thông tin Report cho từng hạng mục
Trên mỗi Tab trong mục Include this number of gõ số lượng Entry sẽ được lưu
vào Report. Click OK để chấp nhận sự thay đổi này.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 564
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Xác định thông số sẽ tạo Report cho từng hạng mục
Công bố một Report
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail chọn Tab Reports, chọn Report cần Publish
Trong cửa sổ Task chọn click Publish Selected Report.
565
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sử dụng chức năng Publish Report lên một thư mục Share nào đó cho phép người khác có thể xem
qua Report bằng đường dẫn UNC
Phần Browse for folder chọn thư mục để lưu lại các Report, thư mục này phải là
một thư mục đã được Share
Chọn nơi lưu trữ Log cho ISA Server. Mặc định thư mục chứa Log nằm trong thư mục cài đặt ISA
Server\ISASummarries
Người có thẩm quyền sẽ kết nối đến thư mục Share này để xem những Report
ISA Server đã tạo ra.
Xóa Report
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 566
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Vào ISA Server Management, click Monitoring.
Trong cửa sổ Detail chọn Tab Reports, chọn Report cần xóa
Trong cửa sổ Task chọn click Delete Selected Report.
Xóa Report sử dụng ISA Management Console
Click Yes.
ISA Server luôn nhắc nhở người dùng khi quyết định một việc gì đó
Tạo một Bộ kiểm tra kết nối
Vào ISA Server Management, click chọn Tab Monitoring.
567
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Trong cửa sổ Detail Pane chọn Tab Connectivity
Chọn mục Connectivity Verifiers để cấu hình phần kiểm sóat kết nối cho ISA Server
Trên Tab Task, click chọn Create New Connectivity Verifier.
Tạo mới một Connectivity bằng ISA Server Console
Name gõ Check www.vietcert.com cho biết sẽ kiểm tra kết nối đến trang web
VietCERT.com. Name chỉ có giá trị hiển thị, không có giá trị với ISA Server
(không phân biệt chữ hoa và thường)
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 568
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Cấu hình Name cho Connectivity. Name chỉ có giá trị hiển thị
Click Next
Khai báo trang web hoặc Server cần kiểm tra, tiếp theo là chọn lọai dịch vụ cần
kiểm tra. Riêng HTTP có phần Method là GET hoặc POST, hoặc chỉ đơn thuần là
khởi tạo kết nối TCP đến Server.
569
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click chọn Category là Web
Click Next
Kiểm tra lại quá trình cấu hình bằng cửa sổ Review
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 570
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Kiểm tra lại quá trình tạo Connectivity sau khi cấu hình Wizard
Click Finish
ISA Server sẽ hỏi ý kiến người dùng khi bật tính năng này, vì Connectivity
Verifier là kiểm tra đường kết nối từ ISA Server đến Server cần kiểm tra nên phải
có một System Policy đặc biệt cho phép ISA Server khởi tạo kết nối. Hoặc nhà
quản trị có thể tạo Access Rule cho phép ISA Server (Localhost) được phép kết
nối đến Server (thường là External)
ISA Server cảnh báo phải bật tính năng cho phép ISA Server được kết nối bằng HTTP Connectivity
Click Yes
571
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Độc giả muốn tham khảo qua System Policy cho phép ISA Server được tạo kết
nối đến Server có thể vào System Policy trong phần Firewall Policy
Cấu hình System Policy trên ISA Server cho phép sử dụng tính năng HTTP Connectivity
Click OK
Quay lại với Connectivity Verifier và Properties phần Check www.vietcert.com
chúng ta vừa tạo
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 572
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click phải chọn Properties vào Connectivity để cấu hình thông số sau khi tạo
Trong cửa sổ Properties, độc giả có thể thay đổi cách thức kiểm tra với
Connectivity Verifier vừa tạo.
Properties cấu hình lại phương thức sử dụng để lấy trang Web là GET
573
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Click OK
Cấu hình mục Specify the timeout response threshold (msec) xác định số mili
giây để có kết luận Server không thể tương tác được.
Chọn Option Trigger an alert if the server response is not within the specified
timeout để khởi tạo một Alert nếu Server bị Timeout
Connectivity sẽ hiện thị thông báo trong Alert nếu không tương tác được đến đúng Server trong
khỏang thời gian Timeout quy định là 5000ms
Ở phần Group type chọn một trong những Option sau đây là lọai Server sẽ kiểm
tra.
Active Directory
DHCP
DNS
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 574
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Others
Published Servers
Web (Internet)
Tắt tính năng Kiểm tra kết nối
Vào ISA Server Management, click chọn Tab Monitoring.
Trong cửa sổ Detail Pane chọn Tab Connectivity và chọn Connectivity Verifier
nào cần xóa
Trên Tab Task, click chọn Delete
Xóa Connectivity Verifier trong ISA Management Console. Ngòai cách xóa, nhà quản trị có thể
Export thành XML file và sau đó click Disable thay vì Delete.
Vào ISA Server Management, click Monitoring.
Trong Details pane, click Services tab.
Chọn những dịch vụ cần quản lý: Microsoft Data Engine, Microsoft Firewall
service, hoặc Microsoft ISA Server Job Scheduler service.
Trong Tab Tasks, click Start Selected Service để Start dịch vụ đó hoặc click Stop
Selected Service để tắt dịch vụ đó nếu dịch đang được mở
575
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Sử dụng Task Panel trên ISA Server để tắt dịch vụ
Vào ISA Server Performance Monitor trong Start Menu
Sử dụng Snap‐in Performance trên ISA Server cho phép theo dõi ISA Server theo thời gian thực. Việc
theo dõi này rất cần thiết cho các nhà quản trị để biết được tình hình họat động của Firewall.
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 576
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Click phải vào phần biểu đồ đang chạy theo thời gian thực, click chọn Add
Counter
Click ADD COUNTER để thêm Counter vào Statistics. Counter là lọai dữ liệu cần heo dõi bằng
Performance Snap‐in.
Chọn những Counter nào cần thiết cần thêm vào quá trình Monitor
577
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Chọn Counter sẽ thêm vào cửa sổ Statistics để theo dõi. Người dùng có thể click Explain để được giải
thích thêm về Counter cần thêm.
Click Explain bạn sẽ được ISA Server giải thích Counter chức năng để làm gì
Performance có kèm theo giải thích cho từng Couter sẽ thêm vào trong Performance giúp nhà quản trị
dễ dàng quyết định khi thêm Couter
Click Close quay lại với Performance Monitor
Độc giả có thể lưu lại nội dung của Performance Monitor thành một trang web
dạng html để có thể xem lại sau.
Click phải lên màn hình Performance chọn Save as…
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 578
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Performance Snap‐in cho phép xuất kết quả hiển thị trên màn hình Statistics của mình thành tập tin
HTM bằng chức năng SAVE AS
Click chọn đường dẫn tập tin html muốn lưu lại
Tên tập tin HTM chúng tôi sẽ lưu lại kết quả của Performance là Pformance
Click Save
579
Publishing By: VietCERT.com, VietnamLAB.com, ICTExpress.com
Telecom Network Solutions
Muốn xem lại nội dung, click vào file html vừa lưu, mở Internet Explorer và tự
động view đúng tập tin cần xem
Xác định tập tin HTM được xuất ra từ Snap‐in Performance kèm theo của ISA Server.
Và xem lại nội dung bằng Internet Explorer, nội dung là tĩnh được xuất ra từ
Performance
Tài liệu: Publishing bởi VietCERT – VietnamLAB mọi ý kiến đóng góp xin gởi về: ‐ 580
Email: info@VietCERT.com – Phone: 09 1672 1672 Mr: Trần Quốc Toản
ISA Server 2006
Theo dõi tình hình họat động của ISA Server bằng giao diện performance. Trong hình là kết quả đã
được xuất ra dạng Web.