triển khai cấu hình ISA Server Firewall 2004 phần 3

Chia sẻ: Nguyễn Hà Mỹ Ngọc | Ngày: | Loại File: PDF | Số trang:23

Thêm vào BST

Báo xấu

60
lượt xem 21
download

triển khai cấu hình ISA Server Firewall 2004 phần 3

Mô tả tài liệu

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Chương 6: Cài đặt và cấu hình DNS Server với chức năng Caching-only trên Perimeter Network Segment DNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi các Computers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voice over IP..), luôn cần phải biết IP address của các Internet Server trước khi có thể connect đến những Server này.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: triển khai cấu hình ISA Server Firewall 2004 phần 3

Chương 6: Cài đặt và cấu hình DNS Server với chức năng Caching-only trên Perimeter Network Segment DNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi các Computers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voice over IP..), luôn cần phải biết IP address của các Internet Server trước khi có thể connect đến những Server này. Toàn bộ hệ thống Internet, sử dụng giao thức TCP/IP (và UDP/IP), cho nên việc xác định IP address là điều bắt buộc khi thực hiện giao tiếp giữa Clients với các Internet Server. Tuy nhiên thói quen của người dùng Internet khi truy cập đến các Internet Server là dùng tên (có lẽ vì dễ nhớ hơn so với IP address), ví dụ http:// www.nis.com.vn (dễ nhớ) http:// 207.46.225.60 (khó nhớ) cho nên hệ thống Internet vốn dùng TCP/IP, bắt buộc phải có DNS để giải quyết Hostname ra IP address. Một caching-only DNS server là một loại DNS không cần phải được sự ủy quyền hoạt động (not authoritative )của bất cứ Internal Domain. Điều này có nghĩa là một caching-only DNS server không nhất thiết phải chứa bất cứ name records của một hay nhiều Domain cố định nào. Thay vào đó cách hoạt động của nó là: Nhận các truy vấn tên từ DNS clients, giải quyết yêu cầu này cho DNS Clients, lưu giữ lại kết quả vừa trả lời trong cache (nhằm phục vụ đối tương Clients tiếp theo). Khá đơn giản, các DNS Admin không phải cấu hình phức tạp cho loại DNS này, không cần phải tạo ra bất kì Forward hay Reverse lookup Zones, để phục vụ cho nhu cầu tìm tên của các Clients trong Internal Domain, như chúng ta đã thực hiện ở phần trước với Internal Domain DNS server (được cài trên Domain controller- 10.0.0.2) Sử dụng một caching-only DNS server là điều không bắt buộc. Nhưng nếu khi triển khai ISA SERVER 2004 Firewall, lên kế hoạch tạo một perimeter network segment (hay còn được goi là DMZ- demilitarized zone), nên tuân theo các hướng dẫn sau Trang 47 Triển khai ISA Server Firewall 2004
Mô tả về Perimeter Network: Trong mô hình Lab của chúng ta, như các bạn đã thấy trên hình về một Perimeter Network (hay DMZ Network- vùng phi quân sự, khái niệm này ra đời từ cuộc chiến Nam, Bắc Triều Tiên). Trong hệ thống Mạng của một tổ chức, ví dụ như các ISP (Internet Servies Provider). Khi triển khai cung cấp các dịch vụ cho khách hàng, như Web Hosting, Mail..thường đặt các Servers cung cấp các dịch vụ này tại DMZ network, phân vùng Mạng này tách biệt với Internal Network (Mạng làm việc của các nhân viên và chứa các tài nguyên nội bộ). Mô hình Mạng trong Lab này, ISA SERVER 2004 Firewall (ISALOCAL), là một hệ thống Tree-homed Host (gắn 3 Network Interface Cards) Network Interface 1 (WAN): Tạo kết nối ra Internet Network Interface 2 (DMZ): Tạo kết nối đến DMZ network Network Interface 3: (LAN)Tạo kết nối đến Internal network Như vậy thông thường các tổ chức triển khai DMZ network (nằm phía sau Firewall), nhằm cung cấp cho các External clients (như khách hàng, người dùng Internet, đối tác..) truy cập đến các tài nguyên công cộng của mình (Web, FTP publish resourses…). Nếu DMZ network bị tấn công, attackers cũng chưa thể xâm nhập ngay vào Internal Network (LAN bên trong), vì Attacker cần phải tiếp tục chọc thủng Firewall. Đến đây, có lẽ các bạn cũng đã hình dung phần nào về DMZ network. Các DNS servers được sử dụng trong DMZ network có hai mục đích chính: Trang 48 Triển khai ISA Server Firewall 2004
• Giải quyết các truy vấn tên cho các DNS Clients trong Domain dưới sự kiểm soát và ủy quyền của Domain • Caching-only DNS services phục vụ cho các Internal network clients, hoặc nếu không giải quyết được các yêu cầu truy vấn tên, nó có thể chuyển (forwarder) đến các DNS servers khác của Internal network Một DNS server tại DMZ network, có thể chứa những thông tin phục vụ cho publish domain (Internet Domain, được đăng kí thông qua những nhà cung cấp tên miền Internet). Ví dụ, nếu đã xây dựng hạ tầng DNS, tách biệt nhóm DNS server chuyên trả lời các yêu cầu truy vấn tên của domain nội bộ (Internal Hostname) cho Internal DNS Clients, thì nên đặt các DNS server này trong Internal Network. Nhóm các DNS server còn lại, phục vụ cho yêu cầu truy vấn tên xuất phát từ External Clients (ví dụ các Internet Clients) có thể được đặt trên DMZ network Khi các Internet Clients này cần truy cập các DMZ servers (Web, FTP, SMTP., các server này được đưa ra phục vụ Internet thông qua ISA SERVER 2004 Firewall .), các DNS server trên DMZ network sẽ phục vụ cho những yêu cầu này. DNS server trên DMZ network cũng có thể hoạt động như một caching-only DNS server. Trong vai trò này, DNS server sẽ không chứa thông tin về name recor. Thay vào đó, caching-only DNS server sẽ giải quyết các yếu cầu tìm Internet host names và chỉ lưu giữ lại (cache) các kết quả này. Sau đó có thể sử dụng cache, để trả lời các yêu cầu tương tự cho các Internet hostname đã cache. Nếu chưa cache bất cứ Internet hostname nào, cahing-only DNS server sẽ chuyển các yêu cầu này (Forwarder) đến các Internet DNS server (ví dụ các DNS của ISA gần nhất), sau khi nhận được kết quả truy vấn, sẽ cache lại và trả lời cho DNS Clients Trong phần này, chúng ta sẽ thực hiện • Cài đặt DNS server service • Cấu hình DNS server trở thành một caching-only DNS server an toàn (secure caching-only DNS server) Cài đặt DNS Server Service trên DMZ network DNS server này, sẽ có hai vai trò: Là một secure caching-only DNS server và chuyển các yêu cầu truy cập từ bên ngoài (của Internet Clients) đến Web, SMTP server Tiến hành các bước sau để cài một DNS server service trên DMZ network (trên server TRIHOMELAN1) 1. Click Start, Control Panel. Click Add or Remove Programs. 2. Trong Add or Remove Programs, click Add/Remove Windows Components 3. Trên Windows Components page, keo xuống danh sách Components, chọn Networking Services. Click Details. 4. Trong Networking Services dialog box, check vào Domain Name System (DNS) check box và click OK. Trang 49 Triển khai ISA Server Firewall 2004
5. Click Next trên Windows Components page. 6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưa đường dẫn đến Folder i386 trong Copy files from text box và click OK. 7. Click Finish trên Completing the Windows Components Wizard page. Bước tiếp theo, cấu hình DNS server trở thành một secure caching-only DNS server. DNS server trên DMZ network sẽ tiếp xúc trực tiếp với các Internet hosts. Những Hosts này có thể là các Internet DNS clients có nhu cầu truy cập các tài nguyên của chúng ta (Web, Mail, FTP server..),nằm trong DMZ network, như vậy Internet DNS clients phải gửi các yêu cầu này đến DNS server trên DMZ network. Hoặc trường hợp ngược lại là DNS server trên DMZ network của chúng ta sẽ tiếp xúc DNS servers của các tổ chức khác trên Internet (ví dụ như ISP DNS), để phục vụ giải quyết hostname cho các Internal network clients có nhu cầu truy cập ra ngoài Internet. Trong ví dụ này, DNS server của DMZ network, sẽ đóng vai trò một caching-only DNS server và không quản lý các name records của các Publish Server trong Internal Domain Tiến hành các bước sau trên DNS server thuộc DMZ network, để trở thành một secure caching-only DNS server: 1. Click Start, Administrative Tools. Click DNS. 2. Trong DNS management console, right click trên server name, click Properties. 3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xuất hiện các DNS server ở cấp cao (root) của hệ thống Internet DNS. Danh sách Name Servers tại Root Hints này, được caching-only DNS server của chúng ta, sử dụng để giải quyết các truy vấn tên (Internet Hostnames) từ DNS Clients. Nếu không tồn tại danh sách Trang 50 Triển khai ISA Server Firewall 2004
các Name Servers này trong Root Hints, caching-only DNS server sẽ không thể giải quyết hostname của các Computer trên Internet. 4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion for this domain check box. Nếu check vào lựa chọn này, caching-only DNS server sẽ không dùng được các Internet DNS Servers trong danh sách của Root Hints cho việc giải quyết Internet host names. Chỉ chọn nó, nếu bạn quyế định dùng chức năng Forwarder. Trong trường hợp này, chúng ta không dùng Forwarder. Trang 51 Triển khai ISA Server Firewall 2004
5. Click Advanced tab. Xác nhận, đã check vào Secure cache against pollution check box. Điều này giúp ngăn chặn các cuộc tấn công từ Attackers hoặc các Internet DNS servers. Các name records mạo nhận (ý đồ của attackers), có thể được ADD vào DNS cache của chúng ta, và điều đó khiến cho các truy vấn từ Internal DNS Clients đến caching-only DNS server sẽ được dẫn đến những Server “bẫy”. Ví dụ DNS Clients type http://www.vnbank.com.vn (IP address A.B.C.D) sẽ bị dẫn đến một Host giả có IP address là X.Y.Z.K do ý đồ của attackers, và những thông tin giao dịch với Host giả này, có thể bị ghi lại và sử dụng bất hợp pháp. Kiểu tấn công này đôi khi còn được gọi là “co-coordinated DNS attack” Trang 52 Triển khai ISA Server Firewall 2004
6. Click Monitoring tab. Check vào A simple query against this DNS server và A recursive query to other DNS servers check boxes, để thực hiện kiểm tra DNS server. Click Test Now. Chú ý kết quả hiện ra trong khung results cho thấy Simple Query chỉ Pass, trong khi Recursive Query trình bày Fail. Chúng ta nhận được kết quả này là vì chưa tạo Access Rule trên ISA SERVER 2004 Firewall để cho phép caching-only DNS server truy cập Internet DNS servers. Sau này khi cấu hình ISA Server 2004 firewall, sẽ tạo một Access Rule cho phép DNS server gửi yêu cầu (outbound access) đến các DNS servers trên Internet. Trang 53 Triển khai ISA Server Firewall 2004
7. Click Apply và click OK trong DNS server’s Properties dialog box. 8. Đóng DNS management console. Tại thời điểm này, caching-only DNS server của chúng ta đã có thể giải quyết Internet host names. Nhưng sau đó, chúng ta sẽ phải tạo thêm Access Rules để cho phép các Internal network Clients dùng DNS Server này để giải quyết các Internet host names. Các Admin xem xét kĩ ý này, để tránh nhầm lẫn. Kết luận: Trong chương này, đã đề cập đến việc sử dụng một cachingonly DNS server tại DMZ network, cách thức cài đặt và cấu hình Microsoft DNS server service. Trong các phần sau, chúng ta sẽ sử dụng Access Policies trên ISA SERVER 2004 để cho phép các Internal network Clients dùng DNS server này và cho phép caching-only DNS server kết nối đến Internet. Trang 54 Triển khai ISA Server Firewall 2004
Chương 7: Cài đặt ISA SERVER 2004 trên Windows Server 2003 Cài Đặt ISA Server 2004 trên Windows Server 2003 thực sự không quá phức tạp (phức tạp nằm sẽ ở phần cấu hình các thông số). Chỉ có một vài yêu cầu cần xác nhận tại quá trình này. Phần cấu hình quan trọng nhất trong suốt quá trình cài đặt đó là xác định chính xác vùng địa chỉ IP nội bộ- Internal network IP address range(s). Không giống như ISA Server 2000, ISA Server 2004 không sử dụng bảng Local Address Table (LAT) để xác định đâu là Mạng đáng tin cậy (trusted Networks), và đâu là Mạng không được tin cậy (untrusted networks). Thay vào đó, ISA Server 2004 firewall các IP addresses nội bộ được xác nhận bên dưới Internal network. Internal network nhằm xác định khu vực có các Network Servers và các Services quan trọng như: Active Directory domain controllers, DNS, WINS, RADIUS, DHCP, các trạm quản lý Firewall , etc..Tất cả các giao tiếp giữa Internal network và ISA Server 2004 firewall được điều khiển bởi các chính sách của Firewall (firewall’s System Policy). System Policy là một tập hợp các nguyên tắc truy cập được xác định trước (pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phép vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài đặt. System Policy có thể cấu hình, cho phép các Security Admin, thắt chặt hoặc nới lõng từ các Access Rules mặc định của System Policy.. Trong phần này, chúng ta sẽ đế cập đến các vấn đề sau: • Cài đặt ISA Server 2004 trên Windows Server 2003 • Xem lại các chính sách hệ thống mặc định trên ISA SERVER 2004 Firewall (Default System Policy) Installing ISA Server 2004 Cài đặt ISA Server 2004 trên Windows Server 2003 là vấn đề tương đối không phức tạp. Như tôi đã đề cập ở phần trên , sự quan tâm chính nằm ở các xác lập về Internal network (những IP addresses nào sẽ được xác định tại phần này). Cấu hình các địa chỉ cuả Internal network là một phần quan trọng, bởi vì chính sách hệ thống của Firewall (firewall’s System Policy ) sẽ căn cứ và đây để định nghĩa các nguyên tắc truy cập- Access Rules Tiến hành các bước sau để cài đặt ISA Server 2004 software trên dual-homed (máy gắn hai Network Cards) Windows Server 2003 Computer: 1. Chèn ISA Server 2004 CD-ROM vào ổ CD. Autorun menu sẽ xuất hiện 2. Trên Microsoft Internet Security and Acceleration Server 2004 page, click liên kết Review Release Notes và xem những lưu ý về cài đặt sản phẩm. Release Notes chứa những thông tin quan trọng về các chọn lựa cấu hình, và một số vấn đề khác.Đọc xong release notes, đóng cửa sổ lại và click Read Setup and Feature Guide link. Không cần phải đọc toàn bộ hướng dẫn nếu như bạn muốn thế, cũng có thể in ra để đọc sau. Đóng Setup and Feature Guide. Click Install ISA Server 2004 link. 3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page. 4. Chọn I accept the terms in the license agreement trên License Agreement page. Click Next. Trang 55 Triển khai ISA Server Firewall 2004
5. Trên Customer Information page, điền Tên và Tên tổ chức của bạn trong User Name và Organization text boxes. Điền tiếp Product Serial Number. Click Next. 6. Trên Setup Type page, chọn Custom option. Nếu bạn không muốn cài đặt ISA Server 2004 software trên C: drive, click Change để thay đổi vị trí cài đặt chương trình trên đĩa cứng. Click Next. 7. Trên Custom Setup page, bạn có thể lựa chọn những thành phần cài đặt. Mặc định thì, Firewall Services và ISA Server Management sẽ được cài đặt. Còn Message Screener, được sử dụng giúp ngăn chặn thư rác (spam) và các file đính kèm (file attachments) khi chúng được đưa vào Mạng hoặc từ bên trong phân phối ra ngoài, thành phần này theo mặc định không được cài đặt. Thành phần tiếp theo cũng không được cài đặt là Firewall Client Installation Share. Bạn cũng nên lưu ý, cần cài đặt IIS 6.0 SMTP service trên ISA Server 2004 firewall computer trước khi bạn cài Message Screener. Dùng xác lập mặc định để tiếp tục và click Next. Trang 56 Triển khai ISA Server Firewall 2004
8. Trên Internal Network page, click Add. Internal network khác hơn LAT (được sử dụng trong ISA Server 2000). Khi cài đặt ISA Server 2004, thì Internal network sẽ chứa các Network services được tin cậy và ISA Server 2004 firewall phải giao tiếp được với những Services này Ví dụ những dịch vụ như Active Directory domain controllers, DNS, DHCP, terminal services client management workstations, và các dịch vụ khác, thì chính sách hệ thống của Firewall sẽ tự động nhận biết chúng thuộc Internal network. Chúng ta sẽ xem xét vấn đề này trong phần System Policy Trang 57 Triển khai ISA Server Firewall 2004
9. Trong Internal Network setup page, click Select Network Adapter 10. Trong Select Network Adapter dialog box, remove dấu check tại Add the following private ranges… checkbox. Check vào Add address ranges based on the Windows Routing Table checkbox. Check tiếp vào Network Card nào, trực tiếp kết nối vào LAN tại Select the address ranges…Internal network adapter . Lý Trang 58 Triển khai ISA Server Firewall 2004
do không check vào add private address ranges checkbox là bởi vì, chúng ta muốn dùng những vùng địa chỉ này cho DMZ ( perimeter networks). Click OK. 11. Click OK trong Setup Message dialog box xác nhận rằng Internal network đã được định nghĩa hoạt độn dựa trên Windows routing table. 12. Click OK trên Internal network address ranges dialog box. Trang 59 Triển khai ISA Server Firewall 2004
13. Click Next trên Internal Network page. 14. Trên Firewall Client Connection Settings page, check vào Allow nonencrypted Firewall client connections và Allow Firewall clients running earlier versions of the Firewall client software to connect to ISA Server checkboxes. Những xác lập này sẽ cho phép chúng ta kết nối đến ISA Server 2004 firewall khi đang sử dụng những hệ điều hành đời cũ, hoặc ngay cả khi dùng Windows 2000/Windows XP/Windows Server 2003 nhưng đang chạy Firewall Clients là ISA Server 2000 Firewall client. Click Next. Trang 60 Triển khai ISA Server Firewall 2004
15. Trên Services page, click Next. 16. Click Install trên Ready to Install the Program page. 17. Trên Installation Wizard Completed page, click Finish. 18. Click Yes trong Microsoft ISA Server dialog box xác nhận rằng Computer phải restarted. 19. Log-on lại vào Computer bằng tài khỏan Administrator Xem xét System Policy Trang 61 Triển khai ISA Server Firewall 2004
Theo mặc định, ISA Server 2004 không cho phép các truy cập ra ngoài Internet (outbound access), từ bất cứ máy nào nằm trong phạm vi kiểm soát của bất cứ Mạng được bảo vệ (protected network), và cũng không cho phép các Computers trên Internet truy cập đến Firewall hoặc bất kì Networks đã được bảo vệ bởi Firewall. Như vậy sau khi triển khai ISA SERVER 2004 Firewall, theo mặc định thì “Nội bất xuất, ngoại bất nhập” . Tuy nhiên, một System Policy trên Firewall đã được cài đặt, cho phép thực hiện các tác vụ Quản trị Mạng cần thiết. Lưu ý: Khái niệm Mạng được bảo vệ (protected network), là bất cứ Network nào được định nghĩa bởi ISA Server 2004 firewall không thuộc phạm vi của các Mạng bên ngoài (External network), như Internet. Tiến hành các bước sau để duyệt qua chính sách mặc định của Firewall (default firewall System Policy): 1. Click Start, All Programs. Chọn Microsoft ISA Server và click ISA Server Management. 2. Trong Microsoft Internet Security and Acceleration Server 2004 management console, mở rộng server node và click vào Firewall Policy node. Right click trên Firewall Policy node, trở đến View và click Show System Policy Rules. Trang 62 Triển khai ISA Server Firewall 2004
3. Click Show/Hide Console Tree và click Open/Close Task Pane. Nhận được thông báo rằng ISA Server 2004 Access Policy giới thiệu một danh sách các Policy được sắp xếp theo trình tự. Các policy sẽ được Firewall xử lý từ trên xuống dưới, điều mà Access Policy trên ISA Server 2000 đã không quan tâm đến trình từ xử lý này. Theo mặc định, System Policy giới thiệu một danh sách mặc định những nguyên tắc truy cập đến và từ ISA Server 2004 firewall. Cũng lưu ý rằng, các nguyên tắc tại System Policy Rules luôn được sắp xếp có thứ tự như đã đề cập, kể cả những chính sách sau này các Security Admin tạo ra, như vậy những policy mới này sẽ đứng bên trên và được xử lý trước. kéo xuống danh sách của System Policy Rules. Nhận thấy rằng, các nguyên tắc được xác định rõ bởi: Số thứ tự (Order number) Tên (Name Rule) Hành động đưa ra đối với nguyên tắc đó (Cho phép hoặc ngăn chặn -Allow or Deny) Dùng giao thức nào (Protocols) Từ Mạng hoặc Computer nguồn- From (source network or host) Đến Mạng hay Computer đích- To (destination network or host) Điều kiện- Condition (đối tượng nào hay những gì nguyên tắc này sẽ áp dụng) Ngoài ra, có thể sẽ phải kèm theo những mô tả về nguyên tắc, tại phần mở rộng của cột tên nguyên tắc, điều này giúp các Security Admin dễ dàng theo dõi và quản lý các Rule của mình hơn. Chúng ta nhận thấy rằng, không phải tất cả các Rules đều được bật- enabled. Chính sách Disabled mặc định của System Policy Rules được thể hiện bằng những biểu tượng mũi tên xuống màu Đỏ bên góc phải. Khi cần thiết phục vụ cho yêu cầu nào đó, các Admin có thể enabled các Rule này.Ví dụ như chúng ta muốn cho phép truy cập VPN- thực hiện enable VPN access. Chúng ta nhận thấy có một trong số các System Policy Rules cho phép Firewall thực hiện các truy vấn tên- DNS queries, đến các DNS servers trên tất cả các Networks. Trang 63 Triển khai ISA Server Firewall 2004
4. Bạn có thể thay đổi các xác lập trên một System Policy Rule bằng cách double- click trên rule. Trang 64 Triển khai ISA Server Firewall 2004
5. Xem lại System Policy Rules và sau đó giấu nó bằng cách click Show/Hide System Policy Rules ở Bảng chứa các nút này. Bảng dưới đây bao gồm một danh sách đầy đủ về System Policy mặc định: Bảng 1: System Policy Rules Trang 65 Triển khai ISA Server Firewall 2004
Trang 66 Triển khai ISA Server Firewall 2004