Xem mẫu
- Chương 6: Cài đặt và cấu hình DNS Server với chức năng
Caching-only trên Perimeter Network Segment
DNS servers hỗ trợ cho các Clients giải quyết Name ra IP addresses. Khi các
Computers dùng các ứng dụng Internet (Web, mail, FTP, Chat, Game Online, Voice
over IP..), luôn cần phải biết IP address của các Internet Server trước khi có thể
connect đến những Server này. Toàn bộ hệ thống Internet, sử dụng giao thức TCP/IP
(và UDP/IP), cho nên việc xác định IP address là điều bắt buộc khi thực hiện giao
tiếp giữa Clients với các Internet Server. Tuy nhiên thói quen của người dùng
Internet khi truy cập đến các Internet Server là dùng tên (có lẽ vì dễ nhớ hơn so với
IP address), ví dụ
http:// www.nis.com.vn (dễ nhớ)
http:// 207.46.225.60 (khó nhớ)
cho nên hệ thống Internet vốn dùng TCP/IP, bắt buộc phải có DNS để giải quyết
Hostname ra IP address.
Một caching-only DNS server là một loại DNS không cần phải được sự ủy quyền
hoạt động (not authoritative )của bất cứ Internal Domain. Điều này có nghĩa là một
caching-only DNS server không nhất thiết phải chứa bất cứ name records của một
hay nhiều Domain cố định nào. Thay vào đó cách hoạt động của nó là: Nhận các truy
vấn tên từ DNS clients, giải quyết yêu cầu này cho DNS Clients, lưu giữ lại kết quả
vừa trả lời trong cache (nhằm phục vụ đối tương Clients tiếp theo). Khá đơn giản,
các DNS Admin không phải cấu hình phức tạp cho loại DNS này, không cần phải tạo
ra bất kì Forward hay Reverse lookup Zones, để phục vụ cho nhu cầu tìm tên của các
Clients trong Internal Domain, như chúng ta đã thực hiện ở phần trước với Internal
Domain DNS server (được cài trên Domain controller- 10.0.0.2)
Sử dụng một caching-only DNS server là điều không bắt buộc. Nhưng nếu khi triển
khai ISA SERVER 2004 Firewall, lên kế hoạch tạo một perimeter network segment
(hay còn được goi là DMZ- demilitarized zone), nên tuân theo các hướng dẫn sau
Trang 47 Triển khai ISA Server Firewall 2004
- Mô tả về Perimeter Network:
Trong mô hình Lab của chúng ta, như các bạn đã thấy trên hình về một Perimeter
Network (hay DMZ Network- vùng phi quân sự, khái niệm này ra đời từ cuộc chiến
Nam, Bắc Triều Tiên). Trong hệ thống Mạng của một tổ chức, ví dụ như các ISP
(Internet Servies Provider). Khi triển khai cung cấp các dịch vụ cho khách hàng, như
Web Hosting, Mail..thường đặt các Servers cung cấp các dịch vụ này tại DMZ
network, phân vùng Mạng này tách biệt với Internal Network (Mạng làm việc của các
nhân viên và chứa các tài nguyên nội bộ). Mô hình Mạng trong Lab này, ISA SERVER
2004 Firewall (ISALOCAL), là một hệ thống Tree-homed Host (gắn 3 Network
Interface Cards)
Network Interface 1 (WAN): Tạo kết nối ra Internet
Network Interface 2 (DMZ): Tạo kết nối đến DMZ network
Network Interface 3: (LAN)Tạo kết nối đến Internal network
Như vậy thông thường các tổ chức triển khai DMZ network (nằm phía sau Firewall),
nhằm cung cấp cho các External clients (như khách hàng, người dùng Internet, đối
tác..) truy cập đến các tài nguyên công cộng của mình (Web, FTP publish
resourses…). Nếu DMZ network bị tấn công, attackers cũng chưa thể xâm nhập ngay
vào Internal Network (LAN bên trong), vì Attacker cần phải tiếp tục chọc thủng
Firewall. Đến đây, có lẽ các bạn cũng đã hình dung phần nào về DMZ network.
Các DNS servers được sử dụng trong DMZ network có hai mục đích chính:
Trang 48 Triển khai ISA Server Firewall 2004
- • Giải quyết các truy vấn tên cho các DNS Clients trong Domain dưới sự kiểm soát và
ủy quyền của Domain
• Caching-only DNS services phục vụ cho các Internal network clients, hoặc nếu
không giải quyết được các yêu cầu truy vấn tên, nó có thể chuyển (forwarder) đến
các DNS servers khác của Internal network
Một DNS server tại DMZ network, có thể chứa những thông tin phục vụ cho publish
domain (Internet Domain, được đăng kí thông qua những nhà cung cấp tên miền
Internet). Ví dụ, nếu đã xây dựng hạ tầng DNS, tách biệt nhóm DNS server chuyên
trả lời các yêu cầu truy vấn tên của domain nội bộ (Internal Hostname) cho Internal
DNS Clients, thì nên đặt các DNS server này trong Internal Network. Nhóm các DNS
server còn lại, phục vụ cho yêu cầu truy vấn tên xuất phát từ External Clients (ví dụ
các Internet Clients) có thể được đặt trên DMZ network Khi các Internet Clients này
cần truy cập các DMZ servers (Web, FTP, SMTP., các server này được đưa ra phục vụ
Internet thông qua ISA SERVER 2004 Firewall .), các DNS server trên DMZ network
sẽ phục vụ cho những yêu cầu này.
DNS server trên DMZ network cũng có thể hoạt động như một caching-only DNS
server. Trong vai trò này, DNS server sẽ không chứa thông tin về name recor. Thay
vào đó, caching-only DNS server sẽ giải quyết các yếu cầu tìm Internet host names
và chỉ lưu giữ lại (cache) các kết quả này. Sau đó có thể sử dụng cache, để trả lời
các yêu cầu tương tự cho các Internet hostname đã cache. Nếu chưa cache bất cứ
Internet hostname nào, cahing-only DNS server sẽ chuyển các yêu cầu này
(Forwarder) đến các Internet DNS server (ví dụ các DNS của ISA gần nhất), sau khi
nhận được kết quả truy vấn, sẽ cache lại và trả lời cho DNS Clients
Trong phần này, chúng ta sẽ thực hiện
• Cài đặt DNS server service
• Cấu hình DNS server trở thành một caching-only DNS server an toàn (secure
caching-only DNS server)
Cài đặt DNS Server Service trên DMZ network
DNS server này, sẽ có hai vai trò: Là một secure caching-only DNS server và chuyển
các yêu cầu truy cập từ bên ngoài (của Internet Clients) đến Web, SMTP server
Tiến hành các bước sau để cài một DNS server service trên DMZ network (trên
server TRIHOMELAN1)
1. Click Start, Control Panel. Click Add or Remove Programs.
2. Trong Add or Remove Programs, click Add/Remove Windows Components
3. Trên Windows Components page, keo xuống danh sách Components, chọn
Networking Services. Click Details.
4. Trong Networking Services dialog box, check vào Domain Name System
(DNS) check box và click OK.
Trang 49 Triển khai ISA Server Firewall 2004
- 5. Click Next trên Windows Components page.
6. Click OK trong Insert Disk dialog box. Trong Files Needed dialog box, đưa
đường dẫn đến Folder i386 trong Copy files from text box và click OK.
7. Click Finish trên Completing the Windows Components Wizard page.
Bước tiếp theo, cấu hình DNS server trở thành một secure caching-only DNS
server. DNS server trên DMZ network sẽ tiếp xúc trực tiếp với các Internet hosts.
Những Hosts này có thể là các Internet DNS clients có nhu cầu truy cập các tài
nguyên của chúng ta (Web, Mail, FTP server..),nằm trong DMZ network, như vậy
Internet DNS clients phải gửi các yêu cầu này đến DNS server trên DMZ network.
Hoặc trường hợp ngược lại là DNS server trên DMZ network của chúng ta sẽ tiếp xúc
DNS servers của các tổ chức khác trên Internet (ví dụ như ISP DNS), để phục vụ giải
quyết hostname cho các Internal network clients có nhu cầu truy cập ra ngoài
Internet.
Trong ví dụ này, DNS server của DMZ network, sẽ đóng vai trò một caching-only
DNS server và không quản lý các name records của các Publish Server trong Internal
Domain
Tiến hành các bước sau trên DNS server thuộc DMZ network, để trở thành một
secure caching-only DNS server:
1. Click Start, Administrative Tools. Click DNS.
2. Trong DNS management console, right click trên server name, click Properties.
3. Trong DNS server’s Properties dialog box, click Root Hints tab. Xuất hiện các
DNS server ở cấp cao (root) của hệ thống Internet DNS. Danh sách Name Servers tại
Root Hints này, được caching-only DNS server của chúng ta, sử dụng để giải quyết
các truy vấn tên (Internet Hostnames) từ DNS Clients. Nếu không tồn tại danh sách
Trang 50 Triển khai ISA Server Firewall 2004
- các Name Servers này trong Root Hints, caching-only DNS server sẽ không thể giải
quyết hostname của các Computer trên Internet.
4. Click trên Forwarders tab. Chú ý, không check vào Do not use recursion for
this domain check box. Nếu check vào lựa chọn này, caching-only DNS server sẽ
không dùng được các Internet DNS Servers trong danh sách của Root Hints cho việc
giải quyết Internet host names. Chỉ chọn nó, nếu bạn quyế định dùng chức năng
Forwarder. Trong trường hợp này, chúng ta không dùng Forwarder.
Trang 51 Triển khai ISA Server Firewall 2004
- 5. Click Advanced tab. Xác nhận, đã check vào Secure cache against pollution
check box. Điều này giúp ngăn chặn các cuộc tấn công từ Attackers hoặc các
Internet DNS servers. Các name records mạo nhận (ý đồ của attackers), có thể được
ADD vào DNS cache của chúng ta, và điều đó khiến cho các truy vấn từ Internal DNS
Clients đến caching-only DNS server sẽ được dẫn đến những Server “bẫy”. Ví dụ DNS
Clients type http://www.vnbank.com.vn (IP address A.B.C.D) sẽ bị dẫn đến một
Host giả có IP address là X.Y.Z.K do ý đồ của attackers, và những thông tin giao dịch
với Host giả này, có thể bị ghi lại và sử dụng bất hợp pháp. Kiểu tấn công này đôi khi
còn được gọi là “co-coordinated DNS attack”
Trang 52 Triển khai ISA Server Firewall 2004
- 6. Click Monitoring tab. Check vào A simple query against this DNS server và A
recursive query to other DNS servers check boxes, để thực hiện kiểm tra DNS
server. Click Test Now. Chú ý kết quả hiện ra trong khung results cho thấy Simple
Query chỉ Pass, trong khi Recursive Query trình bày Fail. Chúng ta nhận được kết
quả này là vì chưa tạo Access Rule trên ISA SERVER 2004 Firewall để cho phép
caching-only DNS server truy cập Internet DNS servers. Sau này khi cấu hình ISA
Server 2004 firewall, sẽ tạo một Access Rule cho phép DNS server gửi yêu cầu
(outbound access) đến các DNS servers trên Internet.
Trang 53 Triển khai ISA Server Firewall 2004
- 7. Click Apply và click OK trong DNS server’s Properties dialog box.
8. Đóng DNS management console.
Tại thời điểm này, caching-only DNS server của chúng ta đã có thể giải quyết
Internet host names. Nhưng sau đó, chúng ta sẽ phải tạo thêm Access Rules để
cho phép các Internal network Clients dùng DNS Server này để giải quyết các
Internet host names. Các Admin xem xét kĩ ý này, để tránh nhầm lẫn.
Kết luận:
Trong chương này, đã đề cập đến việc sử dụng một cachingonly DNS server tại DMZ
network, cách thức cài đặt và cấu hình Microsoft DNS server service. Trong các phần
sau, chúng ta sẽ sử dụng Access Policies trên ISA SERVER 2004 để cho phép các
Internal network Clients dùng DNS server này và cho phép caching-only DNS server
kết nối đến Internet.
Trang 54 Triển khai ISA Server Firewall 2004
- Chương 7: Cài đặt ISA SERVER 2004 trên Windows Server 2003
Cài Đặt ISA Server 2004 trên Windows Server 2003 thực sự không quá phức tạp
(phức tạp nằm sẽ ở phần cấu hình các thông số). Chỉ có một vài yêu cầu cần xác
nhận tại quá trình này. Phần cấu hình quan trọng nhất trong suốt quá trình cài đặt
đó là xác định chính xác vùng địa chỉ IP nội bộ- Internal network IP address
range(s). Không giống như ISA Server 2000, ISA Server 2004 không sử dụng bảng
Local Address Table (LAT) để xác định đâu là Mạng đáng tin cậy (trusted Networks),
và đâu là Mạng không được tin cậy (untrusted networks). Thay vào đó, ISA Server
2004 firewall các IP addresses nội bộ được xác nhận bên dưới Internal network.
Internal network nhằm xác định khu vực có các Network Servers và các Services
quan trọng như: Active Directory domain controllers, DNS, WINS, RADIUS, DHCP,
các trạm quản lý Firewall , etc..Tất cả các giao tiếp giữa Internal network và ISA
Server 2004 firewall được điều khiển bởi các chính sách của Firewall (firewall’s
System Policy). System Policy là một tập hợp các nguyên tắc truy cập được xác định
trước (pre-defined Access Rules), nhằm xác định loại thông tin nào được cho phép
vào (inbound), ra (outbound) qua Firewall, ngay sau khi Firewall này được cài đặt.
System Policy có thể cấu hình, cho phép các Security Admin, thắt chặt hoặc nới lõng
từ các Access Rules mặc định của System Policy..
Trong phần này, chúng ta sẽ đế cập đến các vấn đề sau:
• Cài đặt ISA Server 2004 trên Windows Server 2003
• Xem lại các chính sách hệ thống mặc định trên ISA SERVER 2004 Firewall (Default
System Policy)
Installing ISA Server 2004
Cài đặt ISA Server 2004 trên Windows Server 2003 là vấn đề tương đối không phức
tạp. Như tôi đã đề cập ở phần trên , sự quan tâm chính nằm ở các xác lập về Internal
network (những IP addresses nào sẽ được xác định tại phần này). Cấu hình các địa
chỉ cuả Internal network là một phần quan trọng, bởi vì chính sách hệ thống của
Firewall (firewall’s System Policy ) sẽ căn cứ và đây để định nghĩa các nguyên tắc
truy cập- Access Rules
Tiến hành các bước sau để cài đặt ISA Server 2004 software trên dual-homed (máy
gắn hai Network Cards) Windows Server 2003 Computer:
1. Chèn ISA Server 2004 CD-ROM vào ổ CD. Autorun menu sẽ xuất hiện
2. Trên Microsoft Internet Security and Acceleration Server 2004 page, click
liên kết Review Release Notes và xem những lưu ý về cài đặt sản phẩm. Release
Notes chứa những thông tin quan trọng về các chọn lựa cấu hình, và một số vấn đề
khác.Đọc xong release notes, đóng cửa sổ lại và click Read Setup and Feature
Guide link. Không cần phải đọc toàn bộ hướng dẫn nếu như bạn muốn thế, cũng có
thể in ra để đọc sau. Đóng Setup and Feature Guide. Click Install ISA
Server 2004 link.
3. Click Next trên Welcome to the Installation Wizard for Microsoft ISA Server
2004 page.
4. Chọn I accept the terms in the license agreement trên License Agreement
page. Click Next.
Trang 55 Triển khai ISA Server Firewall 2004
- 5. Trên Customer Information page, điền Tên và Tên tổ chức của bạn trong User
Name và Organization text boxes. Điền tiếp Product Serial Number. Click Next.
6. Trên Setup Type page, chọn Custom option. Nếu bạn không muốn cài đặt ISA
Server 2004 software trên C: drive, click Change để thay đổi vị trí cài đặt chương
trình trên đĩa cứng. Click Next.
7. Trên Custom Setup page, bạn có thể lựa chọn những thành phần cài đặt. Mặc
định thì, Firewall Services và ISA Server Management sẽ được cài đặt. Còn
Message Screener, được sử dụng giúp ngăn chặn thư rác (spam) và các file đính
kèm (file attachments) khi chúng được đưa vào Mạng hoặc từ bên trong phân phối ra
ngoài, thành phần này theo mặc định không được cài đặt. Thành phần tiếp theo cũng
không được cài đặt là Firewall Client Installation Share. Bạn cũng nên lưu ý, cần
cài đặt IIS 6.0 SMTP service trên ISA Server 2004 firewall computer trước khi bạn
cài Message Screener. Dùng xác lập mặc định để tiếp tục và click Next.
Trang 56 Triển khai ISA Server Firewall 2004
- 8. Trên Internal Network page, click Add. Internal network khác hơn LAT (được sử
dụng trong ISA Server 2000). Khi cài đặt ISA Server 2004, thì Internal network sẽ
chứa các Network services được tin cậy và ISA Server 2004 firewall phải giao tiếp
được với những Services này
Ví dụ những dịch vụ như Active Directory domain controllers, DNS, DHCP, terminal
services client management workstations, và các dịch vụ khác, thì chính sách hệ
thống của Firewall sẽ tự động nhận biết chúng thuộc Internal network. Chúng ta sẽ
xem xét vấn đề này trong phần System Policy
Trang 57 Triển khai ISA Server Firewall 2004
- 9. Trong Internal Network setup page, click Select Network Adapter
10. Trong Select Network Adapter dialog box, remove dấu check tại Add the
following private ranges… checkbox. Check vào Add address ranges based on
the Windows Routing Table checkbox. Check tiếp vào Network Card nào, trực tiếp
kết nối vào LAN tại Select the address ranges…Internal network adapter . Lý
Trang 58 Triển khai ISA Server Firewall 2004
- do không check vào add private address ranges checkbox là bởi vì, chúng ta
muốn dùng những vùng địa chỉ này cho DMZ ( perimeter networks). Click OK.
11. Click OK trong Setup Message dialog box xác nhận rằng Internal network đã
được định nghĩa hoạt độn dựa trên Windows routing table.
12. Click OK trên Internal network address ranges dialog box.
Trang 59 Triển khai ISA Server Firewall 2004
- 13. Click Next trên Internal Network page.
14. Trên Firewall Client Connection Settings page, check vào Allow
nonencrypted Firewall client connections và Allow Firewall clients running
earlier versions of the Firewall client software to connect to ISA Server
checkboxes. Những xác lập này sẽ cho phép chúng ta kết nối đến ISA Server 2004
firewall khi đang sử dụng những hệ điều hành đời cũ, hoặc ngay cả khi dùng
Windows 2000/Windows XP/Windows Server 2003 nhưng đang chạy Firewall Clients
là ISA Server 2000 Firewall client. Click Next.
Trang 60 Triển khai ISA Server Firewall 2004
- 15. Trên Services page, click Next.
16. Click Install trên Ready to Install the Program page.
17. Trên Installation Wizard Completed page, click Finish.
18. Click Yes trong Microsoft ISA Server dialog box xác nhận rằng Computer phải
restarted.
19. Log-on lại vào Computer bằng tài khỏan Administrator
Xem xét System Policy
Trang 61 Triển khai ISA Server Firewall 2004
- Theo mặc định, ISA Server 2004 không cho phép các truy cập ra ngoài Internet
(outbound access), từ bất cứ máy nào nằm trong phạm vi kiểm soát của bất cứ Mạng
được bảo vệ (protected network), và cũng không cho phép các Computers trên
Internet truy cập đến Firewall hoặc bất kì Networks đã được bảo vệ bởi Firewall. Như
vậy sau khi triển khai ISA SERVER 2004 Firewall, theo mặc định thì “Nội bất xuất,
ngoại bất nhập” . Tuy nhiên, một System Policy trên Firewall đã được cài đặt, cho
phép thực hiện các tác vụ Quản trị Mạng cần thiết.
Lưu ý:
Khái niệm Mạng được bảo vệ (protected network), là bất cứ Network nào được định
nghĩa bởi ISA Server 2004 firewall không thuộc phạm vi của các Mạng bên ngoài
(External network), như Internet.
Tiến hành các bước sau để duyệt qua chính sách mặc định của Firewall (default
firewall System Policy):
1. Click Start, All Programs. Chọn Microsoft ISA Server và click ISA Server
Management.
2. Trong Microsoft Internet Security and Acceleration Server 2004
management console, mở rộng server node và click vào Firewall Policy node.
Right click trên Firewall Policy node, trở đến View và click Show System Policy
Rules.
Trang 62 Triển khai ISA Server Firewall 2004
- 3. Click Show/Hide Console Tree và click Open/Close Task Pane. Nhận được thông
báo rằng ISA Server 2004 Access Policy giới thiệu một danh sách các Policy được sắp
xếp theo trình tự. Các policy sẽ được Firewall xử lý từ trên xuống dưới, điều mà
Access Policy trên ISA Server 2000 đã không quan tâm đến trình từ xử lý này. Theo
mặc định, System Policy giới thiệu một danh sách mặc định những nguyên tắc truy
cập đến và từ ISA Server 2004 firewall. Cũng lưu ý rằng, các nguyên tắc tại System
Policy Rules luôn được sắp xếp có thứ tự như đã đề cập, kể cả những chính sách
sau này các Security Admin tạo ra, như vậy những policy mới này sẽ đứng bên trên
và được xử lý trước. kéo xuống danh sách của System Policy Rules. Nhận thấy
rằng, các nguyên tắc được xác định rõ bởi:
Số thứ tự (Order number)
Tên (Name Rule)
Hành động đưa ra đối với nguyên tắc đó (Cho phép hoặc ngăn chặn -Allow or
Deny)
Dùng giao thức nào (Protocols)
Từ Mạng hoặc Computer nguồn- From (source network or host)
Đến Mạng hay Computer đích- To (destination network or host)
Điều kiện- Condition (đối tượng nào hay những gì nguyên tắc này sẽ áp dụng)
Ngoài ra, có thể sẽ phải kèm theo những mô tả về nguyên tắc, tại phần mở rộng của
cột tên nguyên tắc, điều này giúp các Security Admin dễ dàng theo dõi và quản lý
các Rule của mình hơn.
Chúng ta nhận thấy rằng, không phải tất cả các Rules đều được bật- enabled. Chính
sách Disabled mặc định của System Policy Rules được thể hiện bằng những biểu
tượng mũi tên xuống màu Đỏ bên góc phải. Khi cần thiết phục vụ cho yêu cầu nào
đó, các Admin có thể enabled các Rule này.Ví dụ như chúng ta muốn cho phép truy
cập VPN- thực hiện enable VPN access.
Chúng ta nhận thấy có một trong số các System Policy Rules cho phép Firewall thực
hiện các truy vấn tên- DNS queries, đến các DNS servers trên tất cả các Networks.
Trang 63 Triển khai ISA Server Firewall 2004
- 4. Bạn có thể thay đổi các xác lập trên một System Policy Rule bằng cách double-
click trên rule.
Trang 64 Triển khai ISA Server Firewall 2004
- 5. Xem lại System Policy Rules và sau đó giấu nó bằng cách click Show/Hide
System Policy Rules ở Bảng chứa các nút này.
Bảng dưới đây bao gồm một danh sách đầy đủ về System Policy mặc định:
Bảng 1: System Policy Rules
Trang 65 Triển khai ISA Server Firewall 2004
- Trang 66 Triển khai ISA Server Firewall 2004
nguon tai.lieu . vn
