Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall LI CM N -- ơ -- Tôi xin chân th nh c m ơn Ban giám hiu trờng i hc Vinh, ban chủ nhiệm khoa Công Nghệ Thông Tin, cùng các thầy cô giáo đã tận tình giảng dạy, trang bị cho tôi những kiến thức cần thiết trong những năm học tại trờng. Và quãng thời gian đó thật hữu ích làm tôi trởng thành lên rất nhiều khi chuẩn bị ra trờng đó là những hành trang không thể thiếu trong công việc sau này. Tôi xin chân th nh c m ơn Th.s Trần Xuân Hào đã tận tình quan tâm, giúp đỡ và hớng dẫn tôi trong suốt thời gian làm đồ án để tôi hoàn thành tốt khóa luận này. Tôi xin chân thành cảm ơn các anh chị và các bạn đã có những nhận xét, ý kiến đóng góp, động viên và quan tâm giúp đỡ tôi trong khi tôi làm đồ án này. Cuối cùng con xin cảm ơn cha mẹ, gia đình đã tạo điều kiện, động viên , khích lệ và hỗ trợ con trong suốt thời gian qua. Vinh, ng y 07 tháng 05 n m 2010 Sinh viên thc hin Nguyễn Mạnh Cờng Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 1 Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall Lời nói đầu Ngày nay, Internet là một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong sản xuất kinh doanh đã trở thành đối tợng cho nhiều ngời tấn công với các mục đích khác nhau. Đôi khi, cũng chỉ đơn giản là để thử tài hoặc đùa giỡn với ngời khác. Cùng với sự phát triển của Internet và các dịch vụ trên Internet, số l- ợng các vụ tấn công cũng tăng theo cấp số nhân. Các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm và an toàn dữ liệu cho các máy tính đợc kết nối vào mạng Internet. Không chỉ số lợng các cuộc tấn công tăng lên nhanh chóng, mà các ph- ơng pháp tấn công cũng liên tục đợc hoàn thiện. Những cuộc tấn công chủ yếu đoán tên ngời sử dụng, mật khẩu (User ID- Password) hoặc sử dụng một số lỗi của các chơng trình và hệ điều hành làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn công vào thời gian gần đây nh giả mạo địa chỉ IP. Do vậy, nhu cầu bảo vệ thông tin cũng đợc các nhà quản trị nâng cao thông qua môi trờng tờng lửa, một ứng dụng đợc sử dụng để bảo mật thông tin cho những Công ty, doanh nghiệp trên cả nớc. ở đây tôi nghiên cứu một ứng dụng của tờng lửa đợc ứng dụng trong các mạng doanh nghiệp đó là ISA Server 2006 Firewall. Bố cục của đồ án gồm hai phần: Phần I : Phần cơ sở lý thuyết gồm hai chơng Chơng I: Giới thiệu tổng quan về mạng và an ninh mạng Chơng II: Giới thiệu về tờng lửa và ứng dụng ISA Server 2006 Firewall Phần II: Phần thực hành gồm hai chơng Chơng I: Cài đặt và cấu hình các máy chủ, máy trạm, và máy cài đặt dùng làm tờng lửa. Chơng II: Các thiết lập và cài đặt trên máy dùng làm tờng lửa. Danh sách các từ viết tắt dùng trong đồ án: Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 2 Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall DNS Domain Name System DHCP Dynamic Host Configuation Protocol NAT Network Address Translation TCP/IP Transmission Control Protocol/Internet Protocol ISA Internet Sercurity Accelartor LAN Local Area Network WAN Wide Area Network CNAME Can NAME Mục lục Lời cảm ơn 1 Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 3 Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall Lời nói đầu .2 Phần I cơ sở lý thuyết 7 CH ơNG I TNG QUAN Về AN TON THÔNG TIN MNG . .7 1.1.1. Mng máy tính v v n an to n m ng . 7 1.1.2. Các gii pháp cho an ninh mng 8 1.1.2.1. Gii pháp an ninh bng giao thc . 8 1.1.2.2. Gii pháp an ninh mng bng h thng . 10 1.1.3 Các thut ng 12 CH ơNG II tờng lửa và ISA SERVER 2006 FIREWALL .13 1.2.1. Khái nim tờng lửa . 13 1.2.2. Các th nh ph n ca h thng tờng lửa .13 1.2.3 Giới thiệu về ISA Server 2006 Firewall . . 17 phần ii thực hành 18 ch ơng I cài đặt chơng trình 18 2.1.1 Các thiết lập trên máy chủ, máy ISA và máy trạm . 18 2.1.1.1 Máy Server (máy chủ) . 18 2.1.1.2 Máy ISA (máy dùng làm Firewall) .26 2.1.1.3 Máy trạm .29 2.1.2 Ci t ISA Server 2006 trên Windows Server 2003 33 Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 4 Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall 2.1.3 Cu hình DHCP Server 39 2.1.4 Cu hình DNS Server .42 2.1.5 Cấu hình ISA Server 2006 client 43 Chơng ii thiết lập firewall policy 47 2.2.1 DNS Query (truy vấn DNS) .47 2.2.2 Internal Access LocalHost . 49 2.2.3 Publish Mail 51 2.2.4 VPN Client Access LAN 53 2.2.5 Allow VPN Clients Access Internal . 56 Kết luận . 59 Tài liệu tham khảo .60 Danh sách các hình Hình 1 : Mụ hỡnh tng quan tờng lửa .11 Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 5 Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall Hình 2 : Mụ hỡnh tờng lửa .13 Hình 3 : Mô hình b lc gói tin 14 Hình 4 : S h thng proxy server 15 Hình 5 : Giao diện đã kết nối Domain của máy ISA . .28 Hình 6 : Giao diện đã kết nối Domain của máy trạm 30 Phần I cơ sở lý thuyết CH ơNG I TNG QUAN V AN TO N THÔNG TIN TRÊN M NG Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 6 Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall 1.1.1. Mng máy tính v vn an ton mng Ngy nay, Internet ã tr thnh mng d liu công cng lm cho vic liên lc cá nhân, công vic tr nên thun tin hn nhiu. Khi lng trao i qua Internet c tng theo s m mi ngy. Ngy cng nhiu các công ty, các chi nhánh ngân hng thông qua mng Internet liên lc vi nhau. Cùng vi s phát trin không ngng ca Internet v các dch v trên Internet, s lng các v tn công trên Internet cng tng theo cp s nhân. Trong khi các phng tin thông tin i chúng ngy cng nhc nhiu n Internet vi nhng kh nng truy nhp thông tin dng nh n vô tn ca nó, thì các ti liu chuyên môn bt u cp nhiu n vn bo m v an ton d liu cho các máy tính c kt ni vo mng Internet. Rõ rng rng mng Internet ó lm thay i cuc sng ca con ngi, lm thay i công vic kinh doanh lm cho nó tr nên d dng hn. Nhng ng thi vi li ích to ln ca nó, mng Internet cùng vi các công ngh liên quan ó m ra mt cánh ca lm tng s lng các v tn công vo nhng công ty , Doanh nghip v c nhng cá nhân, ni lu gi nhng d liu nhy cm nh bí mt Quc gia, s liu ti chính, s liu cá nhân . Hu qu ca các cuc tn công ny có th ch l phin phc nh, nhng cng có th lm suy yu hon ton, các d liu quan trng b xóa, s riêng t b xâm phm, v ch sau vi ngy, thm chí vi gi sau, ton b h thng có th b tê lit hon ton. Song song vi vic xây dng nn tng v công ngh thông tin, cng nh phát trin các ng dng máy tính trong sn xut, kinh doanh, khoa hc, giáo dc, xã hi, . thì vic bo v nhng thnh qu ó l mt iu không th thiu. S dng các bc tng la (Firewall) bo v mng ni b (Intranet), tránh s tn công t bên ngoi l mt gii pháp hu hiu, m bo c các yu t: An ton cho s hot ng ca ton b h thng mng Bo mt cao trên nhiu phng din Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 7 Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall Kh nng kim soát cao m bo tc nhanh Mm do v d s dng Trong sut vi ngi s dng m bo kin trúc m 1.1.2. Các gii pháp cho an ninh mng 1.1.2.1. Gii pháp an ninh bng giao thc Trong mô hình TCP/IP nh ngha rt nhiu giao thc m bo tính an ninh cho mng v d liu truyn trên mng, mi giao thc hot ng mi tng riêng bit v thc hin các chc nng khác nhau. Trong phn ny em xin c trình by 2 giao thc iển hình l NAT v IPSec. - NAT (Network Address Translation) : Thông thng mt gói tin truyn t im ngun n im ích có th phi qua rt nhiu nốt mng. Tuy nhiên hu nh không có nốt no trong các nốt mng ny thay i ni dung ca gói tin tr các thông tin cn thit nh l a ch IP ích, a ch MAC. Nu ta s dng c ch NAT trong mng thì mt s thông tin ca gói tin IP s b thay i, chng hn: IP ngun, IP íchMt khác, m bo vic trao i thông tin gia các nốt mng thì những s thay i ny cn phi c lu li phc v cho vic chuyn i ngc li khi cn thit. ý ngha ca vic dùng NAT trong bo mt : Vi vic dùng NAT thì các máy bên trong mng s tr nên trong sut vi môi trng ngoi và a ch IP ca nó không hp l, vì th vic tn công vo mt máy c th no ó trong mng l iu khó khn. Gii hn ca NAT Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 8 Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall NAT không bit v các thông tin tng trên trong gói tin NAT thc hin thay i a ch IP nên không thc hin c c ch authentication trong IPSec khi kt ni end-to-end. - IPSec : Vi vic s dng NAT ta mi ch hn ch c vic tn công vo trong mng ch không m bo c tính mt (secret) v xác thc (authentication) vì thông tin vn có th b nghe trm. IPSec c thêm vo tng cng tính ton vn, xác thc v mã hóa d liu. IPSec kt ni End-to-End v to mt ng hm (tunnel) bo mt trên ó. Giao thc IPSec bao gm 2 phn: Authentication Header (AH) v Encapsulating Security Payload (ESP). - Authentication Header (AH) : Cung cp c ch xác thc v tính ton vn cho các gói tin IP truyn gia 2 h thng. iu ny có th thc hin c bng cách áp dng hm bm mt chiu i vi gói tin IP to mu thông ip (message digest). Khi mt mu thông ip c dùng xác thc thì AH ng thi t c 2 mc ích: Xác nhn tính hp l ca ngi gi và ngi gi bit khóa mt c dùng to mu thông ip ó c tính toán. Cho bit d liu không b thay i trong quá trình truyn. Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 9 Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall 1.1.2.2. Gii pháp an ninh mng bng h thng a. Firewall Firewall l mt thit b bo v, vai trò chính ca nó l bo mt thông tin, ngn chn s truy nhp không mong mun t bên ngoi (Internet) v cm truy nhp t bên trong (Intranet) ti mt s a ch nht nh trên Internet. Vì vy nó phi l mt thit b có an ton rt cao. Nu c xây dng trên h thng máy tính thì firewall phi c xây dng trên nhng h thng máy tính mnh, có kh nng chu li cao. Ngoi ra h iu hnh dùng trên máy tính ny phi l nhng phiên bn an ton, n nh. Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 10 Hỡnh 1: Mụ hỡnh tng quan Firewall . nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall 2.1.3 Cu hình DHCP Server 39 2.1.4 Cu hình DNS Server .42 2.1.5 Cấu hình ISA Server 2006 client. Giới thiệu về ISA Server 2006 Firewall Nguyễn Mạnh Cờng - Lớp 46K1 CNTT Trang 16 Đồ án tốt nghiệp Đại Học Firewall và ứng dụng ISA Server 2006 Firewall Trong