Một ISA Server 2004 client là máy tính kết nối đến các nguồn tài nguyên khác thông qua ISA Server 2004 firewall. Nhìn chung, các ISA Server 2004 client thường được đặt trong một Internal hay perimeter network –DMZ và kết nối ra Internet qua ISA Server 2004 firewall.
Có 3 loại ISA Server 2004 client:
• SecureNAT client
• Web Proxy client
• Firewall client
Một SecureNAT client là máy tính được cấu hình với thông số chính Default gateway giúp định tuyến ra Internet thông qua ISA Server 2004 firewall. Nếu SecureNAT client nằm trên Mạng trực tiếp kết nối đến ISA Server 2004 firewall, thông số default gateway của SecureNAT client chính là IP address của network card trên ISA Server 2004 firewall gắn với Network đó . Nấu SecureNAT client nằm trên một Network ở xa ISA Server 2004 firewall, khi đó SecureNAT client sẽ cấu hình thông số default gateway là IP address của router gần nó nhất, Router này sẽ giúp định tuyến thông tin từ SecureNAT client đến ISA Server 2004 firewall à ra Internet.
Một Web Proxy client là máy tính có trình duyệt internet (vd:Internet Explorer) được cấu hình dùng ISA Server 2004 firewall như một Web Proxy server của nó. Web browser có thể cấu hình để sử dụng IP address của ISA Server 2004 firewall làm Web Proxy server của nó –cấu hình thủ công, hoặc có thể cấu hình tự động thông qua các Web Proxy autoconfiguration script của ISA Server 2004 firewall. Các autoconfiguration script cung cấp mức độ tùy biến cao trong việc điều khiển làm thế nào để Web Proxy clients có hể kết nối Internet. Tên của User –User names được hi nhận trong các Web Proxy logs khi máy tính được cấu hình như một Web Proxy client.
Một Firewall client là máy tính có cài Firewall client software. Firewall client software chặn tất cả các yêu cầu thuộc dạng Winsock application (thông thường, là tất cả các ứng dụng chạy trên TCP và UDP) và đẩy các yêu cầu này trực tiếp đến Firewall service trên ISA Server 2004 firewall. User names sẽ tự động được đưa vào Firewall service log khi máy tình Firewall client thực hiện kết nối Internet thông qua ISA Server 2004 firewall.
Bảng dưới đây tóm tắt các tính năng được cung cấp bởi mỗi loại client.
Table 1: Các loại ISA Server 2004 Client và những đặc điểm
Feature
SecureNAT client
Firewall client
Web Proxy client
Cần phải cài đặt ?
Không, chỉ cần xác lập thông số default gateway
Yes. Cần cài đặt software
Không, chỉ cần cấu hình các thông số phù hợp tại trình duyệt Web- Web browser
Hỗ trợ Hệ điều hành nào ?
Bất cứ OS nào hỗ trợ TCP/IP
Chỉ Windows
Bất kì OS nào có hỗ trợ các Web application
Hỗ trợ Protocol
Nhờ có bộ lọc ứng dụng -Application filters có thể hỗ trợ các ứng dụng chạy kết hợp nhiều protocols - multiconnection
protocols
Tất cả các ứng dụng Winsock
Applications. Có nghĩa là hầu hết các ứng dụng trên Internet hiện nay
HTTP, Secure HTTP
(HTTPS), và FTP
Có hỗ trợ xác thực người dùng hay không ? Nhằm kiểm soát việc User truy cập ra ngoài
Yes, nhưng chỉ dành cho VPN clients
Yes
Yes
Cấu hìnhSecureNAT Client
Cấu hình SecureNAT client là việc rất đơn giản ! Client chỉ việc cấu hình thông số default gateway giúp client định tuyến ra Internet thông qua ISA Server 2004 firewall. Có 2 cách chính được dùng để cấu hình một máy trở thành một SecureNAT client:
• Xác lập các thông số TCP/IP thủ công trên máy
• Cung cấp thông số default gateway address tư động thông qua các xác lập DHCP scope option trên DHCP Server
Trong kịch bản đã từng đề cập của sách thì domain controller đã được cấu hình như một SecureNAT client. Network servers như domain controllers, DNS servers, WINS servers và Web servers thông thường cũng được cấu hình như các SecureNAT clients.
Domain controller đã được cấu hình thủ công làm SecureNAT client.
Trong chương 4 của sách chúng ta đã cài đặt DHCP server và tạo ra một DHCP scope (một vùng IP addresses). DHCP scope đã được cấu hình với một scope option cấp phát cho DHCP clients thông số default gateway address chính là IP address của Internal interface trên ISA Server 2004 firewall. Cấu hình mặc định của Windows systems là sử dụng DHCP để nhận các xác lập về thông tin IP address.
Nếu bạn sử dụng cấu hính Network được mô tả trong chương của sách ,Internal network client được cấu hình với IP address tĩnh. Trong hướng dẫn theo sau, chúng ta sẽ cấu hình Internal network client dùng DHCP để mô tả cách thức DHCP hoạt động, sau đó chúng ta sẽ quay trở lại dùng IP tĩnh. Tiến hành các bước sau cấu hình DHCP client trên máy Windows 2000 và sau đó quay lại dùng IP tĩnh.
1. Tại máy CLIENT, right click My Network Places icon trên desktop và click Properties.
2. Trong Network and Dial-up Connections, right click Local Area Connection và click Properties.
3. Trong Local Area Connection Properties dialog box, click Internet Protocol
(TCP/IP) , click Properties.
4. Trong Internet Protocol (TCP/IP) Properties dialog box, chọn Obtain an IP address
automaticallyvà Obtain DNS server address automatically. Click OK.
5. Click OK trong Local Area Connection Properties dialog box.
6. Xác định IP address mới được cấp phát, thông qua lệnh ipconfig. Click Start ,
Run. Trong Open box, đánh lệnh cmd.
7. Trong Command Prompt window, lệnh ipconfig /all , ENTER. Ở đây bạn có thể thấy được IP address được cấp phát cho Clientvà các thông số IP address khác mà Client dùng như: DNS, WINS và default gateway
8. Đóng Command Prompt. Quay trở lại TCP/IP Properties dialog box và thay đổi máy CLIENT dùng lại IP tĩnh. IP address sẽ là 10.0.0.4; subnet mask 255.255.255.0; default gateway 10.0.0.1, và DNS server address 10.0.0.2.
Cấu hình Web Proxy Client
Cấu hình Web Proxy client yêu cầu trình duyệt Web (vd: Internet Explorer) sử dụng ISA Server 2004 firewall như là Web Proxy server của mình. Có một số cách để cấu hình Web browser với vai trò một Web Proxy client. Có thể là:
• Cấu hình thủ công sử dụng IP address của ISA Server 2004 firewall là Web
Proxy server
• Cấu hình thủ công thông qua sử dụng các file script tự động- autoconfiguration script
• Cấu hình tự động thông qua cài phần mềm Firewall client (các bạn nhớ kĩ cách cấu hình này nhé)
• Cấu hình tự động sử dụng thành phần wpad được hỗ trợ với DNS và DHCP
Trong chương 5 của sách, các bạn đã tạo các wpad entries trong DNS và DHCP đễ hỗ trợ việc tự động cấu hình Web Proxy và Firewall client. Tính năng tự động khám phá của Wpad- Wpad autodiscovery được xem là phương pháp cấu hình Web Proxy client, và cho phép User t7 động nhận được các thông số xác lập Web Proxy mà không cần phải thủ công cấu hình trên trình uyệt web –web browsers của các Clients.
Một cách khác để cấu hình tự động Web browsers thành Web Proxy clients , đó là khi Firewall client được setup trên clients..
Và chắc chắn rằng các bạn nên chọn các phương thức triển khai cấu hình tự động trên những hệ thống Mạng lớn, nơi mà việc cấu hình thủ công quá bất tiện, và hệ thống mạng thường xuyên có sự vào ra của các máy tính mobile (labtop..).
Nếu chúng ta vẫn đang dùng cấu hình thiết lập Mạng của sách DNS và DHCP servers sẽ được cấu hình để cung cấp các thông số wpad cho Web browsers để chúng có thể tự cấu hình. Tuy nhiên, nếu chúng ta không chọn cấu hình tự động, thì vẫn có thể cấu hính thủ công trên các browsers cho các Clients. Cúng ta sẽ xem xét cấu hình browser trong suốt quá trình cài đặt Firewall client ở phần tới.
Tiến hành thủ công các bước sau để cấu hình cho Explorer 6.0 Web browser:
1. Trên máy CLIENT, right click Internet Explorer icon nằm trên desktop,click Properties.
2. Trong Internet Properties dialog box, click Connections tab. trên Connections tab, click LAN Settings button.
3. Có vài lựa chọn cấu hình Web proxy trong Local Area Network (LAN) Settings dialog box. Đánh dấu check vào Automatically detect settings check box để cho phép browser dùng các xác lập wpad trong DNS và DHCP. Đây là lựa chọn mặc định trên các Internet Explorer Web browsers. Đặt một checkmark vào Use automatic configuration script check box, và điền vào vị trí lưu trữ autoconfiguration script trên ISA Server 2004 firewall như sau:
http://ISALOCAL.msfirewall.org:8080/array.dll?Get.Routing.Script
Dĩ nhiên máy client phải có khả năng giải quyết tên ISALOCAL.msfirewall.org (ISA Server 2004 firewall) ra IP address (IP address này nằm trênInternal interface của firewall. Chú ý một điều, nếu Client có thể dùng wpad để Automatically detect settings, thì các thông tin cấu hình tự động nằm rong autoconfiguration script sẽ được download đến trình duyệt Web Proxy client. Đặt một checkmark vào Use a proxy server for your LAN (These settings will not apply to dial-up or VPN connections) check box, và điền vào IP address của Internal interface trên ISA Server 2004 firewall trong Address text box.
Điền tiếp TCP port number mà danh sách các Web Proxy filter trên ISA sẽ lắng nghe trên Porttext box, theo mặc định là port 8080. Click OK trong Local Area Network (LAN) Settings dialog box.
4. Click OK trong Internet Properties dialog box.
Web browser hiện giờ đã được cấu hình thành một Web Proxy client, theo cả 3 cách cấu hình khác.
Cấu hình Firewall Client
Phần mềm Firewall client cho phép bạn điều khiển ai được quyền truy cập Internet (trên hầu hết tất cả Application kết nối ra Internet – Winsock TCP/UDP) căn cứ trên mỗi User hoặc Group.
Firewall client software sẽ tự động gửi quyền truy cập của User (User Credential: Username+Password) đến ISA Server 2004 firewall. User accounts có thể là tài khoản nội bộ trên chính ISA Server 2004 firewall (tức là các accounts nằm trong Sam database)nếu cả ISA Server 2004 và clients đều thuộc cùng một Windows domain, thì các user accounts có thể nằm trên Windows NT 4.0 SAM hoặc Windows 2000/Windows Server 2003 Active Directory. Tôi nhắc lại, trong môi trường Domain 2000/2003, Active directory database (trên Domain controller là nơi lưu trữ tất cả tài khoản User của Domain đó)
Firewall client software có thể được setup từ ISA Server 2004 hoặc bất kì máy nào có chứa phầm mềm này trên mạng, rất đơn giản. Tuy nhiên, nếu bạn muốn cài đặt Firewall client software từ ISA Server 2004 firewall computer, trước hết hãy bật System Policy Rule nhằm cho phép truy cập đến share có chứa source này. Sau này bạn nên chuyển Source này đến một File server trên mạng để việc truy cập được an toàn hơn, hiện giờ nó đang được đặt trên ISA. Theo các bước sau để cài Firewall client trên 2 computer: domain controller và Windows 2000 client computer.
1. Chèn ISA Server 2004 CD-ROM trên domain controller. Trên menu, click Install ISA Server 2004 icon.
2. Trên Welcome to the Installation Wizard for Microsoft ISA Server 2004 page, click Next.
3. Trên License Agreement page, chọn I accept the terms in the license agreement, click Next.
4. trên Customer Information page, điền User name, Organization và Product
Serial Number của bạn. Click Next.
5. trên Setup Type page, chọn Custom.
6. Trên Custom Setup page, click Firewall Services entry và click This feature will not be available option. Click ISA Server Management entry và click This feature will not be available option. Click Firewall Client Installation Share và click This feature, and all subfeatures, will be installed on the local hard drive. Click Next.
7. Click Install trên Ready to Install the Program page.
8. Click Finish trên Installation Wizard Completed page.
Bây giờ bạn có thể cài Firewall client software từ Firewall client share trên domain controller. Tiến hành các bước sau để cài Firewall client software:
1. Tại CLIENT computer trên Internal network, click Start và click Run
command. trong Open text box, điền vào EXCHANGE2003BEmspclntsetup và click OK.
2. Click Next trên Welcome to the Install Wizard for Microsoft Firewall Client.
3. Click Next trên Destination Folder page.
4. Trên ISA Server Computer Selection page, chọn Automatically detect the appropriate ISA Server computer option. Chọn lựa này sẽ làm việc bởi vì bạn đã tạo wpad entry trong DNS. Nếu bạn chưa tạo một wpad entry, bạn có thể chọn Connect to this ISA Server computer option và điền vào tên hay IP address của ISA Server 2004 firewall trong text box. Click Next.
5. Click Install trên Ready to Install the Program page.
6. Click Finish trên Install Wizard Completed page.
Bước kế tiếp cần cấu hình Firewall client hỗ trợ Internal network. Tiến hành các bước sau trên ISA Server 2004 firewall:
1. Mở Microsoft Internet Security and Acceleration Server 2004 management
Console, mở server name. mở tiếp Configuration node và click trên Networks node. Right click trên Internal Network và click Properties.
2. Trong Internal Properties dialog box, click vào Firewall Client tab. Xác định là đã đánh dấu vào Enable Firewall client support for this network check box.
Xác định là cũng đã đánh dấu vào Automatically detect settings và Use automatic configuration script check boxes trong khung Web browser configuration on the Firewall client computer. Đánh dáu tiếp vào Use a Web proxy server check box. Sử dụng tên đầy đủ của ISA Server 2004 firewall -FQDN trong ISA Server name or IP address text box. Trong vd này FQDN của ISA Server 2004 computer là ISALOCAL.msfirewall.org. Click Apply.
3. Click vào Auto Discovery tab. Đánh dấu vào Publish automatic discovery information check box. Để port mặc định này, không thay đổi 80. Click Apply
4. Click Apply để lưu những thay đổi và cập nhật firewall policy.
5. Click OK trong Apply New Configuration dialog box.
Bây giờ chúng ta có thể cấu hình Firewall client. Tiến hành các bước sau trên CLIENT.
1. Tại CLIENT computer, double click biểu tượng Firewall client icon trên khay hệ thống.
2. Trong Microsoft Firewall Client for ISA Server 2004 dialog box, xác nhận rằng đã đánh dấu checkmark trong Enable Microsoft Firewall Client for ISA Server 2004 check box.
Xác nhận tiếp đã chọn Automatically detect ISA Server
3. Click Detect Now button. Tên của ISA Server 2004 firewall sẽ xuất hiện trong Detecting ISA Server dialog box khi Client tìm ISA Server 2004 firewall. Click Close.
4. Xác nhận rằng đã đánh dấu vào Enable Web browser automatic configuration checkbox và click Configure Now button. Cũng lưu ý rằng, dựa tên các xác lập mà chúng ta đã tạo trên ISA Server 2004 firewall, browser đã được cung cấp các thông số cấu hình tự động.
Click OK trong Web Browser Settings Update dialog box.
5. Click Apply và sua đó click OK trong Microsoft Firewall Client for ISA Server 2004 dialog box.
Giờ đây Máy đã được cấu hình như một Firewall client và có thể truy cập ra Internet dựa tên các quy tắc truy cập - Access Rules đã được xác lập trên ISA Server 2004 firewall.
Kết luận
Trong chương này của sách, đã đề cấp đến các loại ISA Server 2004 client khác nhau và những tính năng riêng trên mỗi loạiChúng ta cũng đã tiến hành cài đặt mỗi loại theo một số cách. Trong chương tới của sáchchúng ta sẽ phác thảo các thủ tục để tạo hoặc chỉnh sửa các quy tắc trên chính sách truy cập ra ngoài Internet -outbound access policy rules thông qua các Network Templates.
Theo Ho Viet Ha
Owner
Network Information Security Vietnam, Inc.
http://nis.com.vn
networksecurity@Nis.com.vn
http://www.hocquantrimang.net/forum/showthread.php?t=384
11 thg 5, 2008
Tổng quan về Firewall
Firewall là gì ?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này.
Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công. Để bảo vệ dữ liệu bên trong người ta thường dùng firewall. Firewall có cách nào đó để cho phép người dùng hợp đi qua và chặn lại những người dùng không hợp lệ.
Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy trên host bảo đảm hoặc kết hợp cả hai. Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài. Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet. Các firewall đầu tiên là các router đơn giản.
Chức năng của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet.
• Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.
• Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
• Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng.
Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó có đạt chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị hủy. Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể được sử dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh chóng khi kẻ thù hoặc kẻ không được phân quyền đột nhập. Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng. Điều này còn được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu lượng mạng. Điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói.
Một số firewall có chức năng thú vị và cao cấp, đánh lừa được những kẻ xâm nhập rằng họ đã phá vỡ được hệ thống an toàn. Về cơ bản, nó phát hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo bằng tiếp cận “nhà phản chiếu” (hall of mirrors). Nếu kẻ tấn công tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xa hơn, các hoạt động của kẻ tấn công có thể được ghi lại và theo dõi.
Nếu có thể giữ kẻ phá hoại trong một thời gian, người quản trị có thể lần theo dấu vết của họ. Ví dụ, có thể dùng lệnh finger để theo vết kẻ tấn công hoặc tạo tập tin “bẫy mồi” để họ phải mất thời gian truyền lâu, sau đó theo vết việc truyền tập tin về nơi của kẻ tấn công qua kết nối Internet.
Nguyên lý hoạt động của Firewall
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật tón chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm:
• Địa chỉ IP nơi xuất phát (Source)
• Địa chỉ IP nơi nhận ( Destination)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP
• Giao diện packet đến
• Giao diện packet đi
Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ. Cũng nên lưu ý là do việc kiểm tra dựa trên header của các packet nên bộ lọc không kiểm soát được nội dụng thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Trong các phần sau chúng ta sẽ cùng tìm hiểu các kỹ thuật để vượt tường lửa.
Firewall trong các mô hình mạng OSI và TCP/IP
Firewall hoạt động ở các lớp khác nhau sử dụng các chuẩn khác nhau để hạn chế lưu lượng. Lớp thấp nhất mà firewall hoạt động là lớp 3. Trong mô hình OSI đây là lớp mạng. Trong mô hình TCP/IP đây là lớp IP (Internet Protocol). Lớp này có liên quan tới việc định tuyến các gói tới đích của chúng. Ở lớp này, một firewall có thể xác định rằng một gói từ một nguồn đáng tin cậy, nhưng không xác định gói chứa những gì. Ở lớp transport, firewall biết một ít thông tin về gói và có thể cho phép hoặc từ chối truy cập dựa vào các tiêu chuẩn. Ở lớp ứng dụng, firewall biết nhiều về những gì đang diễn ra và có sự lựa chọn trong việc gán quyền truy cập.
IP spoofing (sự giả mạo IP)
Nhiều firewall nghiên cứu các địa chỉ IP nguồn của các gói để xác nhận nếu chúng hợp lý. Một firewall có thể cho phép luồng lưu thông nếu nó đến từ một host đáng tin cậy. Một cracker giả mạo địa chỉ IP nguồn của các gói gửi tới firewall. Nếu firewall nghĩ rằng các gói đến từ một host tin cậy, nó có thể cho chúng đi qua trừ khi một vài chuẩn khác không thỏa. Tất nhiên cracker muốn tìm hiểu về luật của firewall để khai thác vào điểm yếu này.
Một biện pháp hiệu quả chống lại sự giả mạo IP là việc sử dụng giao thức mạng riêng ảo (Virtual Private Network - VPN) như là IPSec. Biện pháp này đòi hỏi việc mã hóa dữ liệu trong các gói cũng như địa chỉ nguồn. Phần mềm hoặc phần sụn VPN giải mã gói và địa chỉ nguồn để tiến hành một cuộc kiểm tra (checksum). Nếu cả dữ liệu lẫn địa chỉ nguồn đã bị giả mạo thì gói sẽ bị hủy.
IPSec
IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng ta cố giải quyết nó với firewall.
IPSec (IP Security) đề ra một tập các chuẩn được phát triển bởi Internet Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây hại cho bộ giao thức IP: Sự xác thực host-to-host (cho các host biết là chúng đang nói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặn những kẻ tấn công xem dữ liệu trong luồng lưu lượng giữa hai máy).
Đây là các vấn đề mà firewall cần giải quyết. Mặc dù firewall có thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa, nhưng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng khác nhau. IPSec giúp giải quyết các vấn đề này.
Có vài khả năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các firewall với các host cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “just trusting
http://www.hocquantrimang.net/forum/showthread.php?t=244
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và hạn chế sự xâm nhâp không mong muốn vào hệ thống. Firewall được miêu tả như là hệ phòng thủ bao quanh với các “chốt” để kiểm soát tất cả các luồng lưu thông nhập xuất. Có thể theo dõi và khóa truy cập tại các chốt này.
Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công. Để bảo vệ dữ liệu bên trong người ta thường dùng firewall. Firewall có cách nào đó để cho phép người dùng hợp đi qua và chặn lại những người dùng không hợp lệ.
Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm chạy trên host bảo đảm hoặc kết hợp cả hai. Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một cho mạng mà nó bảo vệ, một cho mạng bên ngoài. Firewall có thể là gateway hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công cộng như là Internet. Các firewall đầu tiên là các router đơn giản.
Chức năng của Firewall
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet.
• Cho phép hoặc cấm những dịch vụ truy cập ra ngoài.
• Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong.
• Theo dõi luồng dữ liệu mạng giữa Internet và Intranet
• Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập
• Kiểm soát người sử dụng và việc truy cập của người sử dụng. Kiểm soát nội dung thông tin lưu chuyển trên mạng.
Một firewall khảo sát tất cả các luồng lưu lượng giữa hai mạng để xem nó có đạt chuẩn hay không. Nếu nó đạt, nó được định tuyến giữa các mạng, ngược lại nó bị hủy. Một bộ lọc firewall lọc cả lưu lượng ra lẫn lưu lượng vào. Nó cũng có thể quản lý việc truy cập từ bên ngoài vào nguồn tài nguyên mạng bên trong. Nó có thể được sử dụng để ghi lại tất cả các cố gắng để vào mạng riêng và đưa ra cảnh báo nhanh chóng khi kẻ thù hoặc kẻ không được phân quyền đột nhập. Firewall có thể lọc các gói dựa vào địa chỉ nguồn, địa chỉ đích và số cổng của chúng. Điều này còn được gọi là lọc địa chỉ. Firewall cũng có thể lọc các loại đặc biệt của lưu lượng mạng. Điều này được gọi là lọc giao thức bởi vì việc ra quyết định cho chuyển tiếp hoặc từ chối lưu lượng phụ thuộc vào giao thức được sử dụng, ví dụ HTTP, FTP hoặc Telnet. Firewall cũng có thể lọc luồng lưu lượng thông qua thuộc tính và trạng thái của gói.
Một số firewall có chức năng thú vị và cao cấp, đánh lừa được những kẻ xâm nhập rằng họ đã phá vỡ được hệ thống an toàn. Về cơ bản, nó phát hiện sự tấn công và tiếp quản nó, dẫn dắt kẻ tấn công đi theo bằng tiếp cận “nhà phản chiếu” (hall of mirrors). Nếu kẻ tấn công tin rằng họ đã vào được một phần của hệ thống và có thể truy cập xa hơn, các hoạt động của kẻ tấn công có thể được ghi lại và theo dõi.
Nếu có thể giữ kẻ phá hoại trong một thời gian, người quản trị có thể lần theo dấu vết của họ. Ví dụ, có thể dùng lệnh finger để theo vết kẻ tấn công hoặc tạo tập tin “bẫy mồi” để họ phải mất thời gian truyền lâu, sau đó theo vết việc truyền tập tin về nơi của kẻ tấn công qua kết nối Internet.
Nguyên lý hoạt động của Firewall
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật tón chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng. Bao gồm:
• Địa chỉ IP nơi xuất phát (Source)
• Địa chỉ IP nơi nhận ( Destination)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP
• Giao diện packet đến
• Giao diện packet đi
Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ. Cũng nên lưu ý là do việc kiểm tra dựa trên header của các packet nên bộ lọc không kiểm soát được nội dụng thông tin của packet. Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu. Trong các phần sau chúng ta sẽ cùng tìm hiểu các kỹ thuật để vượt tường lửa.
Firewall trong các mô hình mạng OSI và TCP/IP
Firewall hoạt động ở các lớp khác nhau sử dụng các chuẩn khác nhau để hạn chế lưu lượng. Lớp thấp nhất mà firewall hoạt động là lớp 3. Trong mô hình OSI đây là lớp mạng. Trong mô hình TCP/IP đây là lớp IP (Internet Protocol). Lớp này có liên quan tới việc định tuyến các gói tới đích của chúng. Ở lớp này, một firewall có thể xác định rằng một gói từ một nguồn đáng tin cậy, nhưng không xác định gói chứa những gì. Ở lớp transport, firewall biết một ít thông tin về gói và có thể cho phép hoặc từ chối truy cập dựa vào các tiêu chuẩn. Ở lớp ứng dụng, firewall biết nhiều về những gì đang diễn ra và có sự lựa chọn trong việc gán quyền truy cập.
IP spoofing (sự giả mạo IP)
Nhiều firewall nghiên cứu các địa chỉ IP nguồn của các gói để xác nhận nếu chúng hợp lý. Một firewall có thể cho phép luồng lưu thông nếu nó đến từ một host đáng tin cậy. Một cracker giả mạo địa chỉ IP nguồn của các gói gửi tới firewall. Nếu firewall nghĩ rằng các gói đến từ một host tin cậy, nó có thể cho chúng đi qua trừ khi một vài chuẩn khác không thỏa. Tất nhiên cracker muốn tìm hiểu về luật của firewall để khai thác vào điểm yếu này.
Một biện pháp hiệu quả chống lại sự giả mạo IP là việc sử dụng giao thức mạng riêng ảo (Virtual Private Network - VPN) như là IPSec. Biện pháp này đòi hỏi việc mã hóa dữ liệu trong các gói cũng như địa chỉ nguồn. Phần mềm hoặc phần sụn VPN giải mã gói và địa chỉ nguồn để tiến hành một cuộc kiểm tra (checksum). Nếu cả dữ liệu lẫn địa chỉ nguồn đã bị giả mạo thì gói sẽ bị hủy.
IPSec
IPSec có vai trò rất quan trọng trong việc giải quyết các vấn đề mà chúng ta cố giải quyết nó với firewall.
IPSec (IP Security) đề ra một tập các chuẩn được phát triển bởi Internet Engineering Tast Force (IETF). IPSec giải quyết hai vấn đề gây hại cho bộ giao thức IP: Sự xác thực host-to-host (cho các host biết là chúng đang nói chuyện với nhau mà không phải là sự giả mạo) và việc mã hóa (ngăn chặn những kẻ tấn công xem dữ liệu trong luồng lưu lượng giữa hai máy).
Đây là các vấn đề mà firewall cần giải quyết. Mặc dù firewall có thể làm giảm nguy cơ tấn công trên Internet mà không cần sự xác thực và mã hóa, nhưng vẫn còn hai vấn đề lớn ở đây: tính toàn vẹn và sự riêng tư của thông tin đang truyền giữa hai host và sự giới hạn trong việc đặt ra các loại kết nối giữa các mạng khác nhau. IPSec giúp giải quyết các vấn đề này.
Có vài khả năng đặc biệt khi chúng ta xem xét sự kết hợp giữa các firewall với các host cho phép IPSec. Cụ thể là, VPN, việc lọc gói tốt hơn (lọc những gói mà có tiêu đề xác thực IPSec), và các firewall lớp ứng dụng sẽ cung cấp sự xác minh host tốt hơn bằng cách sử dụng tiêu đề xác thực IPSec thay cho “just trusting
http://www.hocquantrimang.net/forum/showthread.php?t=244
Tạo VPN Site-to-site trên ISA 2006 toàn tập
Tạo VPN Site-to-site trên ISA 2006 (Phần 1)
Cấu hình một mạng riêng ảo VPN Site-to-site, sử dụng chương trình kết nối Branch Office Connection Wizard như thế nào.
Branch Office Domain Controller
Một trong những cải tiến nâng cao ở phiên bản Enterprise Edition của ISA Firewall là chương trình Branch Office Connectivity Wizard (dùng để kết nối chi nhánh với trụ sở chính cho các công ty). Trong ISA 2000, chương trình Site to Site VPN Wizard đã được tích hợp, giúp bạn dễ dàng tạo mạng riêng ảo Site-to-site. Nhưng ISA 2004 lại bỏ qua chức năng này, khiến việc tạo VPN site-to-site giữa hai tường lửa ISA Firewall trở nên khó khăn. May mắn là phiên bản mới nhất, ISA 2006 đã tích hợp lại thành phần này dưới cái tên Branch Office Connectivity Wizard.
Branch Office Connectivity Wizard sử dụng thông tin nằm trong cấu hình Remote Site tại trụ sở chính, giúp bạn dễ dàng hơn khi tạo mạng riêng ảo VPN Site to Site. Khi làm việc với Wizard, một file sẽ được tạo giúp bạn có thể dùng ISA Firewall ở văn phòng chi nhánh trong việc hình thành mạng riêng ảo VPN site-to-site. Wizard còn cung cấp tùy chọn tạo ISA Firewall Domain Member Branch Office (ISA Firewall cho văn phòng chi nhánh thành viên miền), là ISA Firewall thực tế nhất. Vấn đề bảo mật của domain member ISA Firewall đã mạnh hơn rất nhiều, có thể đứng riêng thành một ISA Firewall độc lập.
Trong loạt bài về sử dụng ISA Firewall Branch Office Connectivity Wizard để tạo mạng riêng ảo site-to-site này, phần đầu tiên chúng tôi sẽ giới thiệu về quá trình tạo kết nối VPN site to site sử dụng Wizard. Sau đó sẽ là tạo các Access Rule (tức các quy tắc được sử dụng), cho phép máy chủ quản lý miền hoặc máy khách thành viên miền được đặt vị trí tại văn phòng chi nhánh và dùng đặc quyền tối thiểu nhất để trong việc này.
Hình bên dưới minh họa khái quát ở mức cao của mạng thí nghiệm dùng trong loạt bài của chúng ta.
Hình 1 - Có 5 máy được dùng:
• Dedicated CSS (css2006.msfirewall.org): một CSS chuyên dụng sẽ được dùng để cung cấp chỗ trú CSS cho các mảng tường lửa ISA Enterprise Edition. Có hai mảng ISA Firewall: một dành cho mảng ISA Firewall tại trụ sở chính và một dành cho văn phòng chi nhánh. Chúng ta không thể đặt tường lửa ISA Firewall cho trụ sở chính và văn phòng chi nhánh vào cùng một mảng, vì các phương tiện liên lạc bên trong dành cho tất cả thành viên phải trên cùng một ID mạng. Điều này không thể thực hiện được khi thành viên mảng nằm trên văn phòng chi nhánh. Tuy nhiên bạn có thể áp dụng chính sách doanh nghiệp này cho tất cả các mảng trong cùng một ISA Firewall Enterprise.
• Domain Controller (dc.msfirewall.org): Tất cả các máy trong trường hợp này đều thuộc cùng một domain, là msfirewall.org.
• Main office ISA Firewall (isa2006se.msfirewall.org): máy này là ISA Firewall ở trụ sở chính và thuộc về một mảng có tên Main. Đây là một thành viên miền, có giao diện nội bộ và ngoại diên.
• Branch office ISA Firewall (isa2006branch.msfirewall.org): Máy này là ISA Firewall ở văn phòng chi nhánh, là thành viên của domain sử dụng Branch Office Connectivity Wizard. Máy này sử dụng Windows Server 2003 và ban đầu là một server độc lập. ISA 2006 sẽ được cài đặt trên máy khi nó là một server độc lập. Sau khi cài đặt xong ISA 2006 Enterprise Edition, chúng ta sẽ chạy Branch Office Connectivity Wizard cũng trên máy này để tạo mạng riêng ảo VPN site-to-site và kết hợp máy vào domain. Wizard cũng sẽ kết nối ISA Firewall branch office vào mảng chi nhánh văn phòng cấu hình trên CSS tại trụ sở chính.
• Branch office Domain Controller: Đây là máy chủ điều khiển miền (Domain Controller - DC) ở chi nhánh văn phòng. Người dùng ở các chi nhánh đó sẽ sử dụng để chứng thực thông tin. Chúng ta sẽ tạo các Access Rule tùy biến cho phép DC liên kết với DC ở trụ sở chính.
Chúng ta cũng sẽ tạo các thay đổi cho cấu hình DNS (Domain Name System - Hệ thống tên miền) của ISA Firewall văn phòng chi nhánh để có thể dùng branch office DC sau khi cấu hình hoàn tất.
Site-to-site Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet.
Site-to-site VPN có thể thuộc một trong hai dạng sau:
- Intranet VPN
Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có một mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất.
- Extranet VPN
Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng LAN và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên.
Các thủ tục bao gồm:
• Cấu hình DNS server trụ sở chính để loại bỏ các bản update động và thêm các điểm vào DNS tĩnh cho tên mảng và ISA Firewall văn phòng chi nhánh.
• Cài đặt CSS trên máy CSS chuyên dụng.
• Cài đặt các dịch vụ Firewall trên ISA Firewall trụ sở chính.
• Cài đặt CSS cục bộ và các Firewall Service trên ISA Firewall nhánh văn phòng.
• Tạo file trả lời tại ISA Firewall main office, sẽ được dùng trong Branch Office Connectivity Wizard.
• Chạy Branch Office Connectivity Wizard trên ISA Firewall branch office.
• Tạo các Access Rule cho phép liên lạc bên trong miền giữa các domain controller ở trụ sở chính và văn phòng chi nhánh.
• Cài đặt DC ở văn phòng chi nhánh.
• Tạo các thay đổi DNS tại văn phòng chi nhánh để ISA Firewall sử dụng DC branch office.
Một số điểm cần chú ý về các VPN Site to Site
Một trong những khu vực nhộn nhịp nhất của website ISA server.org là các mảng về VPN. Trong đó, vấn đề được đề cập đến nhiều nhất là kết nối VPN site to site. Lý do chắc hẳn là vì nhiều người không hiểu cách thức hoạt động của chúng ra sao và không biết một số điều kiện tiên quyết cơ bản khi muốn tạo ra chúng là như thế nào.
VPN Gateway chính là Router cho mạng riêng ảo.
Khi ISA Firewall được cấu hình như một cổng vào (gateway) cho VPN site to site, nó trở thành một router với các ID mạng đặt sau cổng vào VPN từ xa. Ví dụ, giả sử trụ sở chính được đặt ở ID mạng là 10.1.0.0/16 và các địa chỉ IP của văn phòng chi nhánh được đặt trên ID mạng 10.2.0.0/16. Khi một host ở trụ sở chính cần kết nối tới ID mạng từ xa 10.2.0.0/16, nó phải thực hiện qua cổng vào mạng riêng ảo tại trụ sở chính.
Để thực hiện việc này, các máy khách trên mạng ở trụ sở chính phải được cấu hình với một địa chỉ cổng vào biết định hướng tới ID mạng 10.2.0.0/16. ISA Firewall hoàn hoàn có thể thực hiện được chức năng này nên các client được cấu hình sử dụng ISA Firewall như một cổng vào mặc định. Với các hệ thống client không dùng ISA Firewall mặc định, các host phải được cấu hình sử dụng rounter LAN với chức năng định tuyến điểm vào bảng để gửi các kết nối tới ID mạng 10.2.0.0/16 và địa chỉ IP mạng LAN của ISA Firewall.
Tôi thấy có rất nhiều câu hỏi liên quan đến cách làm thế nào “sửa chữa” được vấn đề gặp phải khi lớp cục bộ và lớp từ xa có cùng một ID mạng. Nhiều người thắc mắc liệu có cách nào xử lý được vấn đề này không. Câu trả lời là KHÔNG, dưới góc độ định tuyến. Vì các hệ thống client thực hiện kết nối với ID của mạng cục bộ sẽ không bao giờ gửi kết nối tới địa chỉ cổng vào. Vậy tại sao các client vẫn gửi kết nối tới ID mạng cục bộ và các gateway dù không được yêu cầu và vi phạm tất cả nguyên lý của các quy tắc định tuyến TCP/IP?
Giải pháp tên
Một vấn đề phổ biến khác trong các mạng riêng ảo theo lớp là giải pháp tên. Các client ở văn phòng chi nhánh cần xử lý được các tên máy tính ở trụ sở chính, và thông thường cả ở chi nhánh nữa. Muốn thực hiện được điều đó cần phải có cơ sở hạ tầng server DNS phù hợp, có thể xử lý được tất cả các tên. Ngoài ra bạn cần phải xem xét, liệu người dùng ở văn phòng nhánh có thể xử lý được tên host Internet trực tiếp không, hay phụ thuộc vào ISA Firewall ở trụ sở chính hoặc ngay ở chi nhánh.
Có hai vấn đề chính liên quan đến giải pháp tên ở mức chi nhánh văn phòng: có hoặc không có Domain Controller (DC). Nếu công ty sử dụng DC tại các branch office, các host tại văn phòng nhánh có thể dùng Domain Controller cục bộ để đăng nhập và xử lý tên. Các máy có thể được cấu hình như một Active Directory tích hợp server DNS. Nếu không có DC tại văn phòng nhánh, các client tại văn phòng đó có thể được cấu hình để sử dụng server DNS của trụ sở chính, xử lý tên cho các server ở cả văn phòng chính và văn phòng nhánh.
Xử lý tên host Internet là vấn đề riêng biệt. Một số tổ chức vui vẻ cho phép các máy khách tự xử lý tên host Internet (dành cho các client SecureNET). Trong khi đó một số tổ chức khác muốn có khả năng kiểm soát vấn đề này chỉ cho phép ISA Firewall xử lý tên trên danh nghĩa của các máy khách.
Có nhiều phương thức xử lý tên host Internet và thật khó để nói được phương thức nào là tốt nhất. Cách thức hay được dùng nhất là thực hiện cấu hình ISA Firewall và host trên mạng hợp nhất, sử dụng Active Directory tích hợp với server DNS. Đầu tiên sẽ là xử lý tên máy, sau đó cấu hình Active Directory tích hợp DNS sử dụng bộ gửi do công ty điều khiển.
Một vấn đề quan trọng trong xử lý tên ở môi trường văn phòng nhánh là các điểm vào WPAD. Như bạn đã biết, cả Web proxy và Firewall client đều dùng điểm vào WPAD để tự động phát hiện địa chỉ cục bộ của ISA Firewall, dùng cho Web proxy và các kết nối client Firewall tới ISA Firewall. Vấn đề này có thể trở nên nan giải khi bạn dùng một cơ sở hạ tầng DNS đơn cho cả văn phòng chi nhánh và trụ sở chính, vì bạn không thể dùng điểm vào WPAD đơn cho tất cả mọi khu vực dù bạn muốn các host kết nối tới ISA Firewall cục bộ. Nhưng nếu muốn kết nối các host vào Internet qua một mảng Firewall ở trụ sở chính, bạn có thể dùng điểm vào WPAD đơn.
Bạn có thể xử lý vấn đề bằng cách tạo đa điểm vào WPAD, một cho trụ sở chính và mỗi cái còn lại cho từng văn phòng nhánh, sử dụng trật tự netmask trên các server DNS. Khi trật tự netmask được phép sử dụng, các DNS server sẽ xử lý truy vấn WPAD để khớp với ID mạng từ nơi yêu cầu được gửi đến. Có nghĩa là, khi một host ở trụ sở chính gửi truy vấn WPAD tới DNS, địa chỉ trả về là địa chỉ nằm gần ID mạng của host tại trụ sở chính nhất. Khi truy vấn WPAD được một host ở văn phòng nhánh nhận, địa chỉ trả về sẽ là địa chỉ gần ID mạng của văn phòng nhánh đó nhất.
Vấn đề cuối cùng liên quan đến DNS bạn cần xem xét là tác động của các đăng ký DDNS cho cổng vào mạng riêng ảo (VPN). Khi DDNS được sử dụng trên DNS server, giao diện RAS của Firewall sẽ tự đăng ký trong DNS và tạo các vấn đề kết nối cho Web proxy và Firewall cleint. Chúng sẽ cố gắng kết nối tới giao diện RAS mà không phải là địa chỉ mạng LAN thực của ISA Firewall. Vì lý do đó, trong các vấn đề thảo luận tới ở loạt bài này, chúng tôi sẽ ngắt chức năng DDNS trên server DNS khi tạo cổng vào VPN. Chúng tôi cũng sẽ kiểm tra xem liệu có thể ngắt phần đăng ký DDNS trong giao diện demail-dial dùng console RRAS hay không.
Các giao thức VPN
ISA Firewall hỗ trợ ba giao thức VPN cho mạng riêng ảo site-to-site: IPSec tunnel mode, L2TP/IPSec và PPTP.
IPSec tunnel mode được giới thiệu cùng ISA 2004. Với giao thức này, ISA Firewall có thể được dùng như một cổng vào VPN site-to-site cùng với các cổng vào VPN thuộc nhóm thứ ba. Điều này chỉ thực hiện được với các IPSec tunnel mode, vì mô hình này vốn bị xem là kém an toàn và khả năng thực thi thấp hơn so với L2TP/IPSec. Ngoài ra, hỗ trợ định tuyến cho mô hình IPSec tunnel mode là rất khó, nặng nề và bị giới hạn.
L2TP/IPSec là giao thức VPN site to site được yêu thích hơn vì cả hai mặt của mạng riêng ảo site-to-site đều dùng ISA Firewall và cổng vào VPN thuộc nhóm thứ ba hỗ trợ L2TP/IPSec. L2TP/IPSec hỗ trợ các khóa pre-shared nên trong môi trường sản xuất an toàn, bạn có thể dùng thông tin thẩm định chứng chỉ cho cả tài khoản máy và tài khoản người dùng để chứng thực “đường hầm” mạng riêng ảo (VPN tunnel). Đây là kiểu cấu hình rất an toàn, nhưng hầu hết các công ty đều thích dùng chế độ thẩm định non-EAP cho tài khoản người dùng giao diện deman-dial và thẩm định chứng chỉ cho tài khoản máy.
PPTP là giao thức hỗ trợ các kết nối VPN site to site dễ dàng nhất. Không cần chứng chỉ, PPTP “chỉ làm việc và làm việc”. Có một điểm hạn chế là PPTP kém an toàn hơn L2TP/IPSec vì hàm băm thông tin thẩm định được gửi qua kênh không được mã hóa. Do đó, mức bảo mật kết nối PPTP cung cấp phụ thuộc lớn vào độ phức tạp của mật khẩu. PPTP không cung cấp các chức năng từ chối và bảo vệ trong quá trình lặp lại như ở L2TP/IPSec.
Sử dụng IPSec tunnel mode để kết nối tới cổng vào mạng riêng ảo của nhóm thứ ba là cách dễ nhất. Việc đầu tiên là bạn nên xem xét thông tin sử dụng ISA Firewall với các cổng vào VPN của nhóm thứ ba tại website của Microsoft.
Nếu phần hướng dẫn này không giải quyết được vấn đề, bạn cần phải xem xét đến IPSec. Hãy đảm bảo chắc chắn rằng các tham số IPSec đã chính xác trên cả hai mặt. Ngay cả khi đã có các tham số chính xác, bạn vẫn có thể gặp phải vấn đề với cổng vào VPN phụ thuộc non-RFC. Ví dụ, tôi đã từng nghe nói đến một số báo cáo về tường lửa Sonicwall không làm việc với cổng vào ISA Firewall VPN. Lý do bởi chúng không phải là bản thể của RFC và không cho phép IKE sử dụng cổng nguồn thay vì UDP 500. Do ISA Firewall là một bản thể của RFC, nó có thể dùng một cổng luân phiên và do đó, không cần kết nối tới thiết bị Sonicwall. Với Sonicwall, bạn có thể dùng bản update phần mềm để biến thiết bị thành kiểu RFC.
Một vấn đề phổ biến khác là các tài khoản người dùng VPN site-to-site không được cấu hình chính xác phù hợp với tên giao diện demand-dial. Khi điều này diễn ra (có một số lần xuất hiện cả lúc mạng riêng ảo đã được kết nối), không có bất kỳ lưu lượng nào đi qua được cổng vào VPN từ mạng này tới mạng khác. Hoặc có thể bạn sẽ thấy dường như các kết nối được phép thực hiện, nhưng không phải từ mạng khác. Lý do là bởi kết nối VPN site-to-site không được thiết lập. Bạn có thể kiểm chứng điều này bằng cách mở console RRAS và kiểm tra nút Remote Access Clients ở khung bên trái. Nếu bạn thấy có một kết nối client truy cập từ xa cho cổng vào VPN từ xa, chứng tỏ kết nối VPN client truy cập từ xa đã được thực hiện chứ không phải là kết nối VPN site to site. Các kết nối client truy cập từ xa sẽ không cho phép định tuyến qua cổng vào VPN.
Vì những lý do đó, tôi luôn khuyến cáo các admin quản trị ISA Firewall nên sử dụng L2TP/IPSec với một máy thẩm định chứng chỉ. Tuy nhiên hầu hết các trường hợp triển khai ban đầu đều cài đặt mạng riêng ảo site-to-site dùng khóa “tiền chia sẻ” nhằm xây dựng khả năng đáng tin cậy vào giải pháp và loại bỏ một số thừa kế phức tạp trong PKI. Sau khi giải pháp VPN site to site hoàn chỉnh thời gian thử nghiệm cuối cùng, bạn nên chuyển khách hàng sang máy có cơ chế thẩm định chứng chỉ và nói lời tạm biệt với các khóa tiền chia sẻ.
Tóm tắt
Đây là phần đầu tiên trong loạt bài cấu hình mạng riêng ảo site-to-site (VPN site to site) sử dụng chương trình Branch Office Connectivity Wizard. Với mô hình này, một ISA Firewall sẽ được thiết lập ở văn phòng của trụ sở chính và văn phòng chi nhánh, bên cạnh các Domain Controller. Trong phần sau, chúng ta sẽ xem xét cách sử dụng Branch Office Connectivity Wizard trong ISA 2006 Enterprise Edition để tạo kết nối và sau đó là tùy biến các Access Rule, DNS cùng một số tham số cấu hình khác, hỗ trợ đầy đủ kết nối VPN site to site từ văn phòng chi nhánh.
Tạo VPN Site-to-site trên ISA 2006 (Phần 2)
Các vấn đề về DNS (hệ thống tên miền) đòi hỏi phải có các giải pháp như cài đặt CSS, tạo các mảng ISA Firewall cho văn phòng trụ sở chính và văn phòng chi nhánh.
Trong phần một của loạt bài về cách sử dụng chương trình Branch Office Connectivity Wizard để tạo mạng riêng ảo site to site giữa văn phòng chính và văn phòng chi nhánh, chúng ta đã xem xét với cơ sở hạ tầng mạng ví dụ và thảo luận một số khái niệm then chốt trong việc tạo mạng riêng ảo site to site.
Trong phần hai này chúng ta sẽ cùng khám phá các vấn đề với DNS (Domain Name System), tức hệ thống tên miền, một thành phần rất quan trọng trong việc tạo giải pháp, cài đặt CSS và tạo các mảng ISA Firewall ở văn phòng chính và văn phòng chi nhánh.
Cấu hình DNS Server để loại bỏ các update động và nhập bản ghi Host (A) cho máy tính ISA Firewall và các tên mảng.
Trước khi chúng ta bắt đầu quá trình cài đặt CSS ở văn phòng chính và các mảng ISA Firewall, bước đầu tiên cần phải làm là cấu hình DNS Server trên mạng hợp nhất, để từ chối các update động. Chúng ta cần thực hiện điều này để khi ISA Firewall ở văn phòng nhánh kết nối tới ISA Firewall ở văn phòng chính, địa chỉ IP ảo sẽ không phải đăng ký trong DNS thay cho địa chỉ IP thực. Điều này cũng ngăn ISA Firewall ở trụ sở chính đăng ký địa chỉ IP ảo của mình trong hệ thống tên miền (DNS).
Đây là vấn đề rất phổ biến trong hoạt động kết nối liên quan VPN site to site. Ví dụ, giả sử bạn dùng Web proxy và các client Firewall trên mạng ở trụ sở chính. Các client đó được cấu hình để sử dụng tên ISA Firewall, nhằm kết nối tới các dịch vụ tường lửa và Web proxy của ISA Firewall. Mọi thứ đều hoạt động tốt cho đến khi có các kết nối site-to-site. Sau khi kết nối này được thiết lập, địa chỉ IP ảo của bản thân thông tin đăng ký tại văn phòng chính nằm trong DDNS. Khi Web proxy và Firewall client cố gắng kết nối tới ISA Firewall văn phòng chính là chúng đang cố gắng kết nối với địa chỉ IP ảo của ISA Firewall ở trụ sở chính (địa chỉ giao diện RAS) và các kết nối từ Web proxy, Firewall client hỏng.
Trường hợp khác khiến các vấn đề về địa chỉ IP giao diện (RAS) ảo xuất hiện là khi Firewall ISA văn phòng nhánh cố gắng kết nối tới CSS trụ sở chính. Khi kết nối site to site hoàn tất, ISA Firewall nhánh sẽ đăng ký địa chỉ giao diện (RAS) ảo của nó trong CSS. CSS cố gắng liên lạc với Firewall mảng nhánh, dùng địa chỉ này và kết nối hỏng.
Chúng ta có thể ngăn chặn vấn đề này bằng cách ngắt DDNS trên DNS server. Có thể bạn sẽ đặt ra câu hỏi: “Chúng ta có cần giữ chế độ này lâu dài không, hay có cách khác cấu hình giao diện demand-dial không đăng ký trong DDNS?”. Câu trả lời là: “Có thể”!
Chúng ta cần tạo các bản ghi Host (A) trong Active Directory tích hợp DNS với các tên sau:
·
· isa2006se.msfirewall.org (10.0.0.1)
· isa2006branch.msfirewall.org (10.0.1.1)
· main.msfirewall.org (10.0.0.1)
· branch.msfirewall.org (10.0.1.1)
Chúng ta không cần nhập bản ghi cho CSS hay Domain Controller, vì các máy này đã được cài đặt và đăng ký trong DNS dùng DDNS. Chúng ta cũng không cần lo lắng về chúng, vì thông tin địa chỉ IP sẽ không bị thay đổi theo trạng thái của kết nối VPN site to site.
Trước khi tạo các bản ghi Host (A), bạn cần tạo miền tìm kiếm ngược chiều cho ID mạng nhánh, Trong ví dụ hiện tại của chúng ta, ID mạng nhánh này là 10.0.1.0/24. Thực hiện các bước sau để tạo vùng tìm kiếm ngược chiều:
1.
2. Trên Domain Controller, vào Start > Administrative Tools > DNS.
3. Trong console DNS management, mở rộng tên server và kích vào nút Reverse Lookup Zones.
4. Kích phải chuột lên nút Reverse Lookup Zone, sau đó bấm New Zone.
5. Trên trang Welcome to the New Zone Wizard, bấm Next.
6. Trên trang Zone Type, chọn tuỳ chọn Primary Zone và bấm Next.
Hình 1
·
· Trên trang Active Directory Zone Replication Scope, chọn To all DNS servers in the Active Directory domain msfirewall.org. Sở dĩ chọn tuỳ chọn này vì chúng ta chỉ có một domain đơn trong tổ chức. Nếu bạn có nhiều domain, bạn có thể tạo vùng tra tìm ngược chiều này cho tất cả DNS server trong forest (rừng mạng). Bấm Next.
Hình 2
·
· Trên trang Reverse Lookup Zone Name, chọn Network ID và nhập ID mạng cho văn phòng chi nhánh trong hộp tex box. Ở ví dụ này, ID là 10.0.1.0/24, vì thế chúng ta sẽ nhập 10.0.1 và ấn Next.
Hình 3
·
· Trên trang Dynamic Update, chọn Allow only secure dynamic updates (recommend for Active Directory) (chỉ cho phép sử dụng các bản update động an toàn; nên dành cho Active Directory). Chúng ta không nên dùng tuỳ chọn cho phép sử dụng các bản update động trong miền này, để các server nhánh có thể đăng ký trong DDNS. Chỉ cần tránh đăng ký giao diện demand-dial trong DNS và sau này kiểm tra lại xem chức năng này có hoạt động phù hợp không. Bấm Next.
Hình 4
·
· Bấm Finish trên trang Completing the New Zone Wizard.
· Bạn sẽ thấy miền mới ở khung bên trái console DNS management.
Hình 5
Bây giờ bạn đã tạo các bản ghi Host (A). Sử dụng thủ tục sau để thêm các bản ghi Host (A) vào DNS:
·
· Trên Domain Controller, kích vào Start, trỏ tới Administrative Tools và ấn DNS.
· Trong console DNS management, mở rộng tên server, mở nút Forward Lookup. Kích lên nút Zones msfirewall.org.
· Bấm phải chuột lên nút msfirewall.org và kích vào lệnh New Host (A).
· Trong hộp thoại New Host, nhập tên host name của server trong hộp văn bản Name (uses parent domain name if blank) (dùng tên domain cha nếu trống). Ở ví dụ này chúng ta sẽ nhập tên Firewall ISA văn phòng chi nhánh, là isa2006branch. FQDN sau đó sẽ xuất hiện trong hộp văn bản Fully qualified domain name (FQDN) (tên miền đáp ứng được đầy đủ tiêu chuẩn). Nhập địa chỉ IP nội bộ của ISA Firewall văn phòng nhánh vào ô IP address. Ở ví dụ này, địa chỉ sẽ nhập vào là 10.0.1.1. Kích vào Add Host.
Hình 6
·
· Hộp thoại New Host còn lại mở để cho phép bạn nhập thêm thông tin vào thêm cho Host (A). Nhập tên, thông tin địa chỉ IP cho các điểm vào được chú ý trong danh sách ở trên.
· Sau khi nhập xong cho mọi bản ghi, kích Cancel trong hộp thoại New Host.
· Danh sách của bạn sẽ có dạng như hình minh hoạ dưới.
Hình 7
·
· Bây giờ chúng ta cần đưa một số thông tin vào trong cơ sở dữ liệu DNS. Có thể thực hiện bằng cách khởi động lại DNS server. Trong DNS console, kích phải chuột lên tên server, trỏ tới All Tasks, và bấm Restart.
Hình 8
Để kết thúc cấu hình DNS, chúng ta cần loại bỏ các bản update động (ít nhất là tạm thời). Ở khung bên trái DNS console, bấm lên điểm vào msfirewall.org trong nút Forward Lookup Zones. Kích phải chuột lên nút msfirewall.org và chọn Properties.
Trong hộp thoại Properties, bấm chọn tab General. Trên tab General, chọn tuỳ chọn None từ danh sách Dynamic updates sổ xuống. Ấn OK. Không cần phải khởi động lại dịch vụ DNS. Tối thiểu hoá DNS console.
Cài đặt CSS trên máy tính CSS chuyên dụng
Đây là bước cực kỳ quan trọng trong quá trình hoàn chỉnh cài đặt DNS: cài đặt CSS trên máy CSS chuyên dụng. Bạn có thể cài CSS trên DC (Domain Controller), hay thậm chí là trên bản thân mảng ISA Firewall, nhưng cấu hình tốt nhất và an toàn nhất là đặt CSS trên một thiết bị chuyên dụng, ngăn cản thành viên mảng và thành viên Domain Controller.
Với chương trình cài đặt lý tưởng, CSS được nằm trên phân đoạn bảo mật mạng chuyên dụng. Không có bất kỳ máy nào khác nằm ở đó và không có lưu lượng nào được phép chuyển tới máy CSS xuất phát từ phần đoạn khác. ISA Firewall còn được dùng để bảo vệ CSS trước tất cả các máy khác. Tuy nhiên, để đơn giản và cho dễ hiểu, chúng ta sẽ thiết lập giản ước một số thứ. Bạn có thể dùng các nguyên tắc cơ bản được thảo luận trong nhiều bài báo DMZ trên Website của chính nó, nhất là cách bảo vệ các Server FE Exchange.
Thực hiện các bước sau để cài đặt CSS trên máy tính CSS chuyên dụng:
·
· Đưa địa ISA 2006 CD vào ổ đọc hoặc ổ ghi. Nếu thực đơn chương trình chạy tự động không xuất hiện, kích đúp lên file ISAAutorun.exe.
· Trên menu autorun, kích vào liên kết Install ISA Server 2006.
· Bấm Next trên trang Welcome to the Installation Wizard for Microsoft ISA Server 2006.
· Chọn tuỳ chọn I accept the terms in the license agreement và ấn Next.
· Nhập thông tin tuỳ biến trên trang Customer Information và ấn Next.
· Trên trang Setup Scenarios, chọn tuỳ chọn Install Configuration Storage Server và ấn Next.
Hình 10
·
· Kích Next trên trang Component Selection.
Hình 11
·
· Trên trang Enterprise Installation Options, chọn Create a new ISA Server enterprise. Tuỳ chọn này cho phép bạn tạo doanh nghiệp mới. Ngược lại, tuỳ chọn Create a replica of the enterprise configuration cho phép bạn tạo bản copy một doanh nghiệp ISA Firewall đã tồn tại, có thể được dùng như một bản sao lưu CSS trong trường hợp CSS chính bị hỏng. Ở ví dụ này, chúng ta cần tạo một doanh nghiệp mới, chứa tất cả mảng, Bấm Next.
Hình 12
·
· Trên trang New Enterprise Warning, bạn có thể thấy thông tin về giá trị của việc sử dụng doanh nghiệp đơn để quản lý tất cả mảng. Bấm Next.
·
· Trên trang Create New Enterprise, nhập tên cho doanh nghiệp ISA Firewall mới trong hộp Enterprise name. Ở ví dụ này chúng ta sẽ dùng tên Enterprise . Bạn có thể đưa vào bản mô tả tóm tắt thông tin cho ISA Firewall doanh nghiệp này trong hộp Description. Bấm Next.
Hình 14
·
· Trong hộp thoại Enterprise Deployment Environment, bạn sẽ phải nói cho chương trình cài đặt Wizard Installation biết liệu các ISA Firewall và CSS có cùng domain không, hay liệu chúng có trong một nhóm làm việc không. Các ISA Firewall tốt nhất trong ở lĩnh vực bảo mật và dễ cấu hình thường có cùng domain. Trong thực tiễn bạn thường phải đối mặt với vô số đe doạ từ các hacker chiếm quyền điều khiển an ninh mạng, không cần hiểu ISA Firewall và sẽ ép bạn triển khai cấu hình nhóm làm việc ít linh hoạt hơn, ít an toàn hơn. Trong trường hợp đó bạn thường phải triển khai PKI với chứng chỉ phù hợp cho từng máy.Khi chúng ta triển khai một cấu hình an toàn, các thành viên ISA Firewall và CSS trở thành một phần trên cùng một domain. Chọn tuỳ chọn I am deploying in a single domain or in domains with trust relationships bấm Next.
Hình 15
·
· Trên trang Ready to Install the Program, bấm Next.
·
· Thanh tiến trình sẽ cung cấp cho bạn biết tình hình của quá trình cài đặt và hoạt động nào đang được bộ cài thực hiện tại một thời điểm.
·
· Trên trang Installation Wizard Completed, đặt dấu kiểm trong hộp Invoke ISA Server Management when the wizard closes. Bấm Finish.
Tạo các mảng và cấu hình Enterprise Management Station Bây giờ chúng ta đã tạo được các mảng cho văn phòng chính và văn phòng chi nhánh. Mảng là một tập hợp các ISA Firewall hoạt động như một tường lửa cục bộ đơn với cùng chính sách và cấu hình như nhau. Một mảng ISA Firewall có thể có từ 1 đến 32 server. Ít nhất một giao diện ở từng thành viên mảng ISA Firewall phải nằm trên cùng ID mạng, khi tất cả thành viên mảng ISA Firewall khác nằm trong cùng mảng ISA Firewall và giao diện này được dùng cho các liên lạc nội bộ mảng. Có nghĩa là bạn không thể mở rộng các mạng này ra liên kết WAN hoặc VPN site to site, vì tất cả giao diện trong văn phòng từ xa sẽ nằm trên ID mạng khác so với trụ sở chính.
Trong ví dụ sử dụng ở loạt bài này, chúng ta có hai mảng: một cho trụ sở chính với tên Main và một cho chi nhánh với tên Branch. Chúng ta có thể tạo đa mảng văn phòng chính và đa mảng chi nhánh, mỗi mảng có thể gồm 32 thành viên. Thực tế, các mảng văn phòng chi nhánh chủ yếu bao gồm thành viên mảng đơn, còn trụ sở chính và chi nhánh lớn sẽ có các thành viên mảng từ 2 đến 32 server.
Một trong những cải tiến nâng cao tuyệt vời nhất khi dùng thành viên đa mảng là các cơ chế tải cân bằng CARP và NLB. Chúng cho phép bạn tăng cường hiệu quả thông lượng với tổng số thành viên trên từng mảng theo thời gian tốc độ liên kết.
Ví dụ, trong chương trình kiểm tra gói tình trạng, một ISA Firewall cấu hình tiêu chuẩn có thể có lưu lượng điển hình ở mức xấp xỉ 1.5Gbps. Nếu mảng ở trụ sở chính có 5 thành viên, thông lượng tác động qua mảng là 7.5Gbps. Bạn thử kiểm tra giá cả tường lửa “phần cứng” có thông lượng 7.5Gbps và so sánh nó với chi phí bỏ ra cho mảng 5 thành viên trên kho lưu trữ ổ cứng máy tính xem sao.
Phần chênh lệch giá tiết kiệm được sẽ khiến cho bạn ấn tượng, cùng với khả năng có các bộ phận, các bộ phận thay thế chỉ ở mức giá hàng hoá khuyến mại.
Quay trở lại console ISA Firewall, sau khi kích vào nút Finish trên trang cuối của chương trình cài đặt, ISA Firewall console cũng sẽ mở, cùng với Web page security. Thực hiện các bước sau để thêm CSS vào trạm Enterprise Remote Management:
·
· Đọc trang Web Protect the ISA Server Computer và đóng lại sau khi đọc xong.
· Trong console ISA Firewall, mở rộng nút Enterprise , sau đó mở rộng nút Enterprise Policies. Bấm lên Default Policy.
Hình 19
·
· Kích vào tab Toolbox trongTask Pane. Bấm lên tiêu đề Network Objects. Bấm chọn thư mục Computer Sets và kích đúp lên điểm vào Enterprise Remote Management.
Hình 20
·
· Trong hộp thoại Enterprise Remote Management Computers Properties, kích vào nút Add và bấm lên điểm vào Computer.
Hình 21
·
· Trong hộp thoại New Computer Rule Element, nhập tên cho máy CSS, cũng hoạt động như một trạm quản lý doanh nghiệp từ xa. Chúng ta sẽ đặt tên cho máy tính này là CSS và nhập tên trong ô Name. Trong hộp Computer IP Address, nhập địa chỉ IP cho máy CSS. Ở ví dụ của chúng ta, địa chỉ này là 10.0.0.3. Ghi thông tin mô tả tóm tắt ở ô Description (optional), nhưng không bắt buộc. Ấn OK trong hộp thoại New Computer Rule Element.
Hình 22
·
· Ấn OK trong hộp thoại Enterprise Remote Management Computers Properties tiếp.
· Kích Apply để ghi lại các thay đổi và update firewall policy. Bấm OK trong hộp thoại Apply New Configuration.
Bây giờ chúng ta cần tạo các mảng. Có hai kiểu mảng: một cho văn phòng chính và một cho chi nhánh văn phòng. Cả hai mảng đều được quản lý trong cùng ISA Firewall enterprise và có thể quản lý bằng các chính sách doanh nghiệp trung tâm hoá. Thực hiện các bước sau để tạo mảng Main:
·
· Ở khung bên trái console ISA Firewall, kích phải chuột lên nút Arrays. Kích vào lệnh New Array.
Hình 23
·
· Trong hộp thoại Welcome to the New Array Wizard, nhập tên cho mảng ở ô Array name. Với ví dụ của chúng ta, tên mảng là Main . Bấm Next.
Hình 24
·
· Trong ô Array DNS Name, nhập FQDN để nhận dạng tên mảng. Điều này sẽ rất hữu ích cho bạn khi dùng NLB hoặc CARP client site để cân bằng tải. Trong ví dụ này, chúng ta sẽ cùng tên main.msfirewall.org để xử lý địa chỉ IP cho giao diện nội bộ của ISA Firewall ở trụ sở chính. Nếu sử dụng NLB, tên này sẽ xử lý một VIP nội bộ. Với CARP client side, chúng ta sẽ có nhiều bản ghi đa Host (A) và dùng DNS Round Robin để phân phối cho các kết nối ban đầu nhận được thông tin bảng mảng. Kích vào Next để tiếp tục.
Hình 25
·
· Trên trang Assign Enterprise Policy, chọn tuỳ chọn mặc định Default Policy. Sau đó chúng ta sẽ kiểm tra xem liệu các chính sách doanh nghiệp (enterprise policy) có được áp dụng cho toàn bộ mảng quản lý bởi cùng một ISA Firewall enterprise không. Kích Next.
Hình 26
·
· Trên trang the Array Policy Rule Types, bạn có thể sử dụng một số điều khiển tập trung hoá qua các kiểu nguyên tắc do người quản trị cấu hình. “Bật” các thiết lập mặc định “Deny” Access Rules, “Allow” Access Rules và Publishing rules (Deny and Allow). Bấm Next.
Hình 27
·
· Kích vào nút Finish trên trang Completing the New Array Wizard.
Hình 28
·
· Thanh tiến trình Creating a new array xuất hiện khi mảng được tạo.
Hình 29
·
· Kích vào OK sau khi The new array was successfully created xuất hiện.
Hình 30
·
· Kích vào Apply để ghi lại các thay đổi và update chính sách tường lửa. Bấm OK trong hộp thoại Apply New Configuration.
Bây giờ là tạo mảng văn phòng chi nhánh:
·
· Kích phải chuột lên nút Arrays và chọn New Array.
Hình 31
·
· Nhập Branch trong ô Array name. Ấn Next.
Hình 32
·
· Nhập branch.msfirewall.org trong ô Array’s DNS name. Tuỳ chọn này sẽ xử lý địa chỉ IP nội bộ trên ISA Firewall chi nhánh. Kích Next.
Hình 33
·
· Đồng ý điểm vào Default Policy trên trang Assign Enterprise Policy và kích Next.
Hình 34
·
· Chấp nhận thiết lập mặc định trên trang Array Policy Rule Types và kích Next.
Hình 35
·
· Bấm chọn Finish trên trang Completing the New Array Wizard.
Hình 36
·
· Thanh trạng thái hiển thị quá trình tạo mảng mới.
Hình 37
·
· Bấm OK khi thấy dòng chữ The new array was successfully created.
Hình 38
·
· Kích vào Apply để ghi lại các thay đổi và update chính sách tường lửa (firewall policy). Bấm OK trong hộp thoại Apply New Configuration.
Còn một điều cuối cùng cần làm trước khi kết thúc.Kích vào liên kết nằm ở khung giữa trên đầu, liên quan đến chương trình nâng cao kinh nghiệm người dùng. Liên kết này sẽ mở ra Customer Feedback (phản hồi của khách hàng). Các bạn nên tham gia và chương trình này, vì nó sẽ giúp nhóm sản xuất ISA Firewall hiểu cách bạn sử dụng ISA Firewall và cách trả lời nhanh hơn trước các vấn đề bạn gặp phải khi dùng ISA Firewall. Bạn không gặp phải vấn đề nguy hiểm gì về bảo mật khi gửi cho Microsoft thông tin liên quan đến sử dụng ISA Firewall. Sản phẩm sẽ trở nên an toàn và linh hoạt hơn với sự đóng góp ý kiến của người dùng.
Hình 39
Kết luận
Trong bài về cách tạo VPN site to site sử dụng Branch Office Connectivity Wizard này, chúng ta đã cấu hình máy chủ quản lý hệ thống tên miền DNS server với các bản ghi Host (A) hỗ trợ. Sau đó, chúng ta tiếp tục cài đặt CSS trên một máy chuyên dụng và cấu hình các mảng cho trụ sở chính và chi nhánh trên CSS. Trong bài tới chúng ta sẽ tiếp tục sử dụng Branch Office Connectivity Wizard để tạo file trả lời, sau đó sử dụng file trả lời này để tạo kết nối VPN site to site và liên kết ISA Firewall ở chi nhánh với miền và CSS ở trụ sở chính
http://www.hocquantrimang.net/forum/showthread.php?t=404
Cấu hình một mạng riêng ảo VPN Site-to-site, sử dụng chương trình kết nối Branch Office Connection Wizard như thế nào.
Branch Office Domain Controller
Một trong những cải tiến nâng cao ở phiên bản Enterprise Edition của ISA Firewall là chương trình Branch Office Connectivity Wizard (dùng để kết nối chi nhánh với trụ sở chính cho các công ty). Trong ISA 2000, chương trình Site to Site VPN Wizard đã được tích hợp, giúp bạn dễ dàng tạo mạng riêng ảo Site-to-site. Nhưng ISA 2004 lại bỏ qua chức năng này, khiến việc tạo VPN site-to-site giữa hai tường lửa ISA Firewall trở nên khó khăn. May mắn là phiên bản mới nhất, ISA 2006 đã tích hợp lại thành phần này dưới cái tên Branch Office Connectivity Wizard.
Branch Office Connectivity Wizard sử dụng thông tin nằm trong cấu hình Remote Site tại trụ sở chính, giúp bạn dễ dàng hơn khi tạo mạng riêng ảo VPN Site to Site. Khi làm việc với Wizard, một file sẽ được tạo giúp bạn có thể dùng ISA Firewall ở văn phòng chi nhánh trong việc hình thành mạng riêng ảo VPN site-to-site. Wizard còn cung cấp tùy chọn tạo ISA Firewall Domain Member Branch Office (ISA Firewall cho văn phòng chi nhánh thành viên miền), là ISA Firewall thực tế nhất. Vấn đề bảo mật của domain member ISA Firewall đã mạnh hơn rất nhiều, có thể đứng riêng thành một ISA Firewall độc lập.
Trong loạt bài về sử dụng ISA Firewall Branch Office Connectivity Wizard để tạo mạng riêng ảo site-to-site này, phần đầu tiên chúng tôi sẽ giới thiệu về quá trình tạo kết nối VPN site to site sử dụng Wizard. Sau đó sẽ là tạo các Access Rule (tức các quy tắc được sử dụng), cho phép máy chủ quản lý miền hoặc máy khách thành viên miền được đặt vị trí tại văn phòng chi nhánh và dùng đặc quyền tối thiểu nhất để trong việc này.
Hình bên dưới minh họa khái quát ở mức cao của mạng thí nghiệm dùng trong loạt bài của chúng ta.
Hình 1 - Có 5 máy được dùng:
• Dedicated CSS (css2006.msfirewall.org): một CSS chuyên dụng sẽ được dùng để cung cấp chỗ trú CSS cho các mảng tường lửa ISA Enterprise Edition. Có hai mảng ISA Firewall: một dành cho mảng ISA Firewall tại trụ sở chính và một dành cho văn phòng chi nhánh. Chúng ta không thể đặt tường lửa ISA Firewall cho trụ sở chính và văn phòng chi nhánh vào cùng một mảng, vì các phương tiện liên lạc bên trong dành cho tất cả thành viên phải trên cùng một ID mạng. Điều này không thể thực hiện được khi thành viên mảng nằm trên văn phòng chi nhánh. Tuy nhiên bạn có thể áp dụng chính sách doanh nghiệp này cho tất cả các mảng trong cùng một ISA Firewall Enterprise.
• Domain Controller (dc.msfirewall.org): Tất cả các máy trong trường hợp này đều thuộc cùng một domain, là msfirewall.org.
• Main office ISA Firewall (isa2006se.msfirewall.org): máy này là ISA Firewall ở trụ sở chính và thuộc về một mảng có tên Main. Đây là một thành viên miền, có giao diện nội bộ và ngoại diên.
• Branch office ISA Firewall (isa2006branch.msfirewall.org): Máy này là ISA Firewall ở văn phòng chi nhánh, là thành viên của domain sử dụng Branch Office Connectivity Wizard. Máy này sử dụng Windows Server 2003 và ban đầu là một server độc lập. ISA 2006 sẽ được cài đặt trên máy khi nó là một server độc lập. Sau khi cài đặt xong ISA 2006 Enterprise Edition, chúng ta sẽ chạy Branch Office Connectivity Wizard cũng trên máy này để tạo mạng riêng ảo VPN site-to-site và kết hợp máy vào domain. Wizard cũng sẽ kết nối ISA Firewall branch office vào mảng chi nhánh văn phòng cấu hình trên CSS tại trụ sở chính.
• Branch office Domain Controller: Đây là máy chủ điều khiển miền (Domain Controller - DC) ở chi nhánh văn phòng. Người dùng ở các chi nhánh đó sẽ sử dụng để chứng thực thông tin. Chúng ta sẽ tạo các Access Rule tùy biến cho phép DC liên kết với DC ở trụ sở chính.
Chúng ta cũng sẽ tạo các thay đổi cho cấu hình DNS (Domain Name System - Hệ thống tên miền) của ISA Firewall văn phòng chi nhánh để có thể dùng branch office DC sau khi cấu hình hoàn tất.
Site-to-site Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet.
Site-to-site VPN có thể thuộc một trong hai dạng sau:
- Intranet VPN
Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có một mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất.
- Extranet VPN
Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng LAN và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên.
Các thủ tục bao gồm:
• Cấu hình DNS server trụ sở chính để loại bỏ các bản update động và thêm các điểm vào DNS tĩnh cho tên mảng và ISA Firewall văn phòng chi nhánh.
• Cài đặt CSS trên máy CSS chuyên dụng.
• Cài đặt các dịch vụ Firewall trên ISA Firewall trụ sở chính.
• Cài đặt CSS cục bộ và các Firewall Service trên ISA Firewall nhánh văn phòng.
• Tạo file trả lời tại ISA Firewall main office, sẽ được dùng trong Branch Office Connectivity Wizard.
• Chạy Branch Office Connectivity Wizard trên ISA Firewall branch office.
• Tạo các Access Rule cho phép liên lạc bên trong miền giữa các domain controller ở trụ sở chính và văn phòng chi nhánh.
• Cài đặt DC ở văn phòng chi nhánh.
• Tạo các thay đổi DNS tại văn phòng chi nhánh để ISA Firewall sử dụng DC branch office.
Một số điểm cần chú ý về các VPN Site to Site
Một trong những khu vực nhộn nhịp nhất của website ISA server.org là các mảng về VPN. Trong đó, vấn đề được đề cập đến nhiều nhất là kết nối VPN site to site. Lý do chắc hẳn là vì nhiều người không hiểu cách thức hoạt động của chúng ra sao và không biết một số điều kiện tiên quyết cơ bản khi muốn tạo ra chúng là như thế nào.
VPN Gateway chính là Router cho mạng riêng ảo.
Khi ISA Firewall được cấu hình như một cổng vào (gateway) cho VPN site to site, nó trở thành một router với các ID mạng đặt sau cổng vào VPN từ xa. Ví dụ, giả sử trụ sở chính được đặt ở ID mạng là 10.1.0.0/16 và các địa chỉ IP của văn phòng chi nhánh được đặt trên ID mạng 10.2.0.0/16. Khi một host ở trụ sở chính cần kết nối tới ID mạng từ xa 10.2.0.0/16, nó phải thực hiện qua cổng vào mạng riêng ảo tại trụ sở chính.
Để thực hiện việc này, các máy khách trên mạng ở trụ sở chính phải được cấu hình với một địa chỉ cổng vào biết định hướng tới ID mạng 10.2.0.0/16. ISA Firewall hoàn hoàn có thể thực hiện được chức năng này nên các client được cấu hình sử dụng ISA Firewall như một cổng vào mặc định. Với các hệ thống client không dùng ISA Firewall mặc định, các host phải được cấu hình sử dụng rounter LAN với chức năng định tuyến điểm vào bảng để gửi các kết nối tới ID mạng 10.2.0.0/16 và địa chỉ IP mạng LAN của ISA Firewall.
Tôi thấy có rất nhiều câu hỏi liên quan đến cách làm thế nào “sửa chữa” được vấn đề gặp phải khi lớp cục bộ và lớp từ xa có cùng một ID mạng. Nhiều người thắc mắc liệu có cách nào xử lý được vấn đề này không. Câu trả lời là KHÔNG, dưới góc độ định tuyến. Vì các hệ thống client thực hiện kết nối với ID của mạng cục bộ sẽ không bao giờ gửi kết nối tới địa chỉ cổng vào. Vậy tại sao các client vẫn gửi kết nối tới ID mạng cục bộ và các gateway dù không được yêu cầu và vi phạm tất cả nguyên lý của các quy tắc định tuyến TCP/IP?
Giải pháp tên
Một vấn đề phổ biến khác trong các mạng riêng ảo theo lớp là giải pháp tên. Các client ở văn phòng chi nhánh cần xử lý được các tên máy tính ở trụ sở chính, và thông thường cả ở chi nhánh nữa. Muốn thực hiện được điều đó cần phải có cơ sở hạ tầng server DNS phù hợp, có thể xử lý được tất cả các tên. Ngoài ra bạn cần phải xem xét, liệu người dùng ở văn phòng nhánh có thể xử lý được tên host Internet trực tiếp không, hay phụ thuộc vào ISA Firewall ở trụ sở chính hoặc ngay ở chi nhánh.
Có hai vấn đề chính liên quan đến giải pháp tên ở mức chi nhánh văn phòng: có hoặc không có Domain Controller (DC). Nếu công ty sử dụng DC tại các branch office, các host tại văn phòng nhánh có thể dùng Domain Controller cục bộ để đăng nhập và xử lý tên. Các máy có thể được cấu hình như một Active Directory tích hợp server DNS. Nếu không có DC tại văn phòng nhánh, các client tại văn phòng đó có thể được cấu hình để sử dụng server DNS của trụ sở chính, xử lý tên cho các server ở cả văn phòng chính và văn phòng nhánh.
Xử lý tên host Internet là vấn đề riêng biệt. Một số tổ chức vui vẻ cho phép các máy khách tự xử lý tên host Internet (dành cho các client SecureNET). Trong khi đó một số tổ chức khác muốn có khả năng kiểm soát vấn đề này chỉ cho phép ISA Firewall xử lý tên trên danh nghĩa của các máy khách.
Có nhiều phương thức xử lý tên host Internet và thật khó để nói được phương thức nào là tốt nhất. Cách thức hay được dùng nhất là thực hiện cấu hình ISA Firewall và host trên mạng hợp nhất, sử dụng Active Directory tích hợp với server DNS. Đầu tiên sẽ là xử lý tên máy, sau đó cấu hình Active Directory tích hợp DNS sử dụng bộ gửi do công ty điều khiển.
Một vấn đề quan trọng trong xử lý tên ở môi trường văn phòng nhánh là các điểm vào WPAD. Như bạn đã biết, cả Web proxy và Firewall client đều dùng điểm vào WPAD để tự động phát hiện địa chỉ cục bộ của ISA Firewall, dùng cho Web proxy và các kết nối client Firewall tới ISA Firewall. Vấn đề này có thể trở nên nan giải khi bạn dùng một cơ sở hạ tầng DNS đơn cho cả văn phòng chi nhánh và trụ sở chính, vì bạn không thể dùng điểm vào WPAD đơn cho tất cả mọi khu vực dù bạn muốn các host kết nối tới ISA Firewall cục bộ. Nhưng nếu muốn kết nối các host vào Internet qua một mảng Firewall ở trụ sở chính, bạn có thể dùng điểm vào WPAD đơn.
Bạn có thể xử lý vấn đề bằng cách tạo đa điểm vào WPAD, một cho trụ sở chính và mỗi cái còn lại cho từng văn phòng nhánh, sử dụng trật tự netmask trên các server DNS. Khi trật tự netmask được phép sử dụng, các DNS server sẽ xử lý truy vấn WPAD để khớp với ID mạng từ nơi yêu cầu được gửi đến. Có nghĩa là, khi một host ở trụ sở chính gửi truy vấn WPAD tới DNS, địa chỉ trả về là địa chỉ nằm gần ID mạng của host tại trụ sở chính nhất. Khi truy vấn WPAD được một host ở văn phòng nhánh nhận, địa chỉ trả về sẽ là địa chỉ gần ID mạng của văn phòng nhánh đó nhất.
Vấn đề cuối cùng liên quan đến DNS bạn cần xem xét là tác động của các đăng ký DDNS cho cổng vào mạng riêng ảo (VPN). Khi DDNS được sử dụng trên DNS server, giao diện RAS của Firewall sẽ tự đăng ký trong DNS và tạo các vấn đề kết nối cho Web proxy và Firewall cleint. Chúng sẽ cố gắng kết nối tới giao diện RAS mà không phải là địa chỉ mạng LAN thực của ISA Firewall. Vì lý do đó, trong các vấn đề thảo luận tới ở loạt bài này, chúng tôi sẽ ngắt chức năng DDNS trên server DNS khi tạo cổng vào VPN. Chúng tôi cũng sẽ kiểm tra xem liệu có thể ngắt phần đăng ký DDNS trong giao diện demail-dial dùng console RRAS hay không.
Các giao thức VPN
ISA Firewall hỗ trợ ba giao thức VPN cho mạng riêng ảo site-to-site: IPSec tunnel mode, L2TP/IPSec và PPTP.
IPSec tunnel mode được giới thiệu cùng ISA 2004. Với giao thức này, ISA Firewall có thể được dùng như một cổng vào VPN site-to-site cùng với các cổng vào VPN thuộc nhóm thứ ba. Điều này chỉ thực hiện được với các IPSec tunnel mode, vì mô hình này vốn bị xem là kém an toàn và khả năng thực thi thấp hơn so với L2TP/IPSec. Ngoài ra, hỗ trợ định tuyến cho mô hình IPSec tunnel mode là rất khó, nặng nề và bị giới hạn.
L2TP/IPSec là giao thức VPN site to site được yêu thích hơn vì cả hai mặt của mạng riêng ảo site-to-site đều dùng ISA Firewall và cổng vào VPN thuộc nhóm thứ ba hỗ trợ L2TP/IPSec. L2TP/IPSec hỗ trợ các khóa pre-shared nên trong môi trường sản xuất an toàn, bạn có thể dùng thông tin thẩm định chứng chỉ cho cả tài khoản máy và tài khoản người dùng để chứng thực “đường hầm” mạng riêng ảo (VPN tunnel). Đây là kiểu cấu hình rất an toàn, nhưng hầu hết các công ty đều thích dùng chế độ thẩm định non-EAP cho tài khoản người dùng giao diện deman-dial và thẩm định chứng chỉ cho tài khoản máy.
PPTP là giao thức hỗ trợ các kết nối VPN site to site dễ dàng nhất. Không cần chứng chỉ, PPTP “chỉ làm việc và làm việc”. Có một điểm hạn chế là PPTP kém an toàn hơn L2TP/IPSec vì hàm băm thông tin thẩm định được gửi qua kênh không được mã hóa. Do đó, mức bảo mật kết nối PPTP cung cấp phụ thuộc lớn vào độ phức tạp của mật khẩu. PPTP không cung cấp các chức năng từ chối và bảo vệ trong quá trình lặp lại như ở L2TP/IPSec.
Sử dụng IPSec tunnel mode để kết nối tới cổng vào mạng riêng ảo của nhóm thứ ba là cách dễ nhất. Việc đầu tiên là bạn nên xem xét thông tin sử dụng ISA Firewall với các cổng vào VPN của nhóm thứ ba tại website của Microsoft.
Nếu phần hướng dẫn này không giải quyết được vấn đề, bạn cần phải xem xét đến IPSec. Hãy đảm bảo chắc chắn rằng các tham số IPSec đã chính xác trên cả hai mặt. Ngay cả khi đã có các tham số chính xác, bạn vẫn có thể gặp phải vấn đề với cổng vào VPN phụ thuộc non-RFC. Ví dụ, tôi đã từng nghe nói đến một số báo cáo về tường lửa Sonicwall không làm việc với cổng vào ISA Firewall VPN. Lý do bởi chúng không phải là bản thể của RFC và không cho phép IKE sử dụng cổng nguồn thay vì UDP 500. Do ISA Firewall là một bản thể của RFC, nó có thể dùng một cổng luân phiên và do đó, không cần kết nối tới thiết bị Sonicwall. Với Sonicwall, bạn có thể dùng bản update phần mềm để biến thiết bị thành kiểu RFC.
Một vấn đề phổ biến khác là các tài khoản người dùng VPN site-to-site không được cấu hình chính xác phù hợp với tên giao diện demand-dial. Khi điều này diễn ra (có một số lần xuất hiện cả lúc mạng riêng ảo đã được kết nối), không có bất kỳ lưu lượng nào đi qua được cổng vào VPN từ mạng này tới mạng khác. Hoặc có thể bạn sẽ thấy dường như các kết nối được phép thực hiện, nhưng không phải từ mạng khác. Lý do là bởi kết nối VPN site-to-site không được thiết lập. Bạn có thể kiểm chứng điều này bằng cách mở console RRAS và kiểm tra nút Remote Access Clients ở khung bên trái. Nếu bạn thấy có một kết nối client truy cập từ xa cho cổng vào VPN từ xa, chứng tỏ kết nối VPN client truy cập từ xa đã được thực hiện chứ không phải là kết nối VPN site to site. Các kết nối client truy cập từ xa sẽ không cho phép định tuyến qua cổng vào VPN.
Vì những lý do đó, tôi luôn khuyến cáo các admin quản trị ISA Firewall nên sử dụng L2TP/IPSec với một máy thẩm định chứng chỉ. Tuy nhiên hầu hết các trường hợp triển khai ban đầu đều cài đặt mạng riêng ảo site-to-site dùng khóa “tiền chia sẻ” nhằm xây dựng khả năng đáng tin cậy vào giải pháp và loại bỏ một số thừa kế phức tạp trong PKI. Sau khi giải pháp VPN site to site hoàn chỉnh thời gian thử nghiệm cuối cùng, bạn nên chuyển khách hàng sang máy có cơ chế thẩm định chứng chỉ và nói lời tạm biệt với các khóa tiền chia sẻ.
Tóm tắt
Đây là phần đầu tiên trong loạt bài cấu hình mạng riêng ảo site-to-site (VPN site to site) sử dụng chương trình Branch Office Connectivity Wizard. Với mô hình này, một ISA Firewall sẽ được thiết lập ở văn phòng của trụ sở chính và văn phòng chi nhánh, bên cạnh các Domain Controller. Trong phần sau, chúng ta sẽ xem xét cách sử dụng Branch Office Connectivity Wizard trong ISA 2006 Enterprise Edition để tạo kết nối và sau đó là tùy biến các Access Rule, DNS cùng một số tham số cấu hình khác, hỗ trợ đầy đủ kết nối VPN site to site từ văn phòng chi nhánh.
Tạo VPN Site-to-site trên ISA 2006 (Phần 2)
Các vấn đề về DNS (hệ thống tên miền) đòi hỏi phải có các giải pháp như cài đặt CSS, tạo các mảng ISA Firewall cho văn phòng trụ sở chính và văn phòng chi nhánh.
Trong phần một của loạt bài về cách sử dụng chương trình Branch Office Connectivity Wizard để tạo mạng riêng ảo site to site giữa văn phòng chính và văn phòng chi nhánh, chúng ta đã xem xét với cơ sở hạ tầng mạng ví dụ và thảo luận một số khái niệm then chốt trong việc tạo mạng riêng ảo site to site.
Trong phần hai này chúng ta sẽ cùng khám phá các vấn đề với DNS (Domain Name System), tức hệ thống tên miền, một thành phần rất quan trọng trong việc tạo giải pháp, cài đặt CSS và tạo các mảng ISA Firewall ở văn phòng chính và văn phòng chi nhánh.
Cấu hình DNS Server để loại bỏ các update động và nhập bản ghi Host (A) cho máy tính ISA Firewall và các tên mảng.
Trước khi chúng ta bắt đầu quá trình cài đặt CSS ở văn phòng chính và các mảng ISA Firewall, bước đầu tiên cần phải làm là cấu hình DNS Server trên mạng hợp nhất, để từ chối các update động. Chúng ta cần thực hiện điều này để khi ISA Firewall ở văn phòng nhánh kết nối tới ISA Firewall ở văn phòng chính, địa chỉ IP ảo sẽ không phải đăng ký trong DNS thay cho địa chỉ IP thực. Điều này cũng ngăn ISA Firewall ở trụ sở chính đăng ký địa chỉ IP ảo của mình trong hệ thống tên miền (DNS).
Đây là vấn đề rất phổ biến trong hoạt động kết nối liên quan VPN site to site. Ví dụ, giả sử bạn dùng Web proxy và các client Firewall trên mạng ở trụ sở chính. Các client đó được cấu hình để sử dụng tên ISA Firewall, nhằm kết nối tới các dịch vụ tường lửa và Web proxy của ISA Firewall. Mọi thứ đều hoạt động tốt cho đến khi có các kết nối site-to-site. Sau khi kết nối này được thiết lập, địa chỉ IP ảo của bản thân thông tin đăng ký tại văn phòng chính nằm trong DDNS. Khi Web proxy và Firewall client cố gắng kết nối tới ISA Firewall văn phòng chính là chúng đang cố gắng kết nối với địa chỉ IP ảo của ISA Firewall ở trụ sở chính (địa chỉ giao diện RAS) và các kết nối từ Web proxy, Firewall client hỏng.
Trường hợp khác khiến các vấn đề về địa chỉ IP giao diện (RAS) ảo xuất hiện là khi Firewall ISA văn phòng nhánh cố gắng kết nối tới CSS trụ sở chính. Khi kết nối site to site hoàn tất, ISA Firewall nhánh sẽ đăng ký địa chỉ giao diện (RAS) ảo của nó trong CSS. CSS cố gắng liên lạc với Firewall mảng nhánh, dùng địa chỉ này và kết nối hỏng.
Chúng ta có thể ngăn chặn vấn đề này bằng cách ngắt DDNS trên DNS server. Có thể bạn sẽ đặt ra câu hỏi: “Chúng ta có cần giữ chế độ này lâu dài không, hay có cách khác cấu hình giao diện demand-dial không đăng ký trong DDNS?”. Câu trả lời là: “Có thể”!
Chúng ta cần tạo các bản ghi Host (A) trong Active Directory tích hợp DNS với các tên sau:
·
· isa2006se.msfirewall.org (10.0.0.1)
· isa2006branch.msfirewall.org (10.0.1.1)
· main.msfirewall.org (10.0.0.1)
· branch.msfirewall.org (10.0.1.1)
Chúng ta không cần nhập bản ghi cho CSS hay Domain Controller, vì các máy này đã được cài đặt và đăng ký trong DNS dùng DDNS. Chúng ta cũng không cần lo lắng về chúng, vì thông tin địa chỉ IP sẽ không bị thay đổi theo trạng thái của kết nối VPN site to site.
Trước khi tạo các bản ghi Host (A), bạn cần tạo miền tìm kiếm ngược chiều cho ID mạng nhánh, Trong ví dụ hiện tại của chúng ta, ID mạng nhánh này là 10.0.1.0/24. Thực hiện các bước sau để tạo vùng tìm kiếm ngược chiều:
1.
2. Trên Domain Controller, vào Start > Administrative Tools > DNS.
3. Trong console DNS management, mở rộng tên server và kích vào nút Reverse Lookup Zones.
4. Kích phải chuột lên nút Reverse Lookup Zone, sau đó bấm New Zone.
5. Trên trang Welcome to the New Zone Wizard, bấm Next.
6. Trên trang Zone Type, chọn tuỳ chọn Primary Zone và bấm Next.
Hình 1
·
· Trên trang Active Directory Zone Replication Scope, chọn To all DNS servers in the Active Directory domain msfirewall.org. Sở dĩ chọn tuỳ chọn này vì chúng ta chỉ có một domain đơn trong tổ chức. Nếu bạn có nhiều domain, bạn có thể tạo vùng tra tìm ngược chiều này cho tất cả DNS server trong forest (rừng mạng). Bấm Next.
Hình 2
·
· Trên trang Reverse Lookup Zone Name, chọn Network ID và nhập ID mạng cho văn phòng chi nhánh trong hộp tex box. Ở ví dụ này, ID là 10.0.1.0/24, vì thế chúng ta sẽ nhập 10.0.1 và ấn Next.
Hình 3
·
· Trên trang Dynamic Update, chọn Allow only secure dynamic updates (recommend for Active Directory) (chỉ cho phép sử dụng các bản update động an toàn; nên dành cho Active Directory). Chúng ta không nên dùng tuỳ chọn cho phép sử dụng các bản update động trong miền này, để các server nhánh có thể đăng ký trong DDNS. Chỉ cần tránh đăng ký giao diện demand-dial trong DNS và sau này kiểm tra lại xem chức năng này có hoạt động phù hợp không. Bấm Next.
Hình 4
·
· Bấm Finish trên trang Completing the New Zone Wizard.
· Bạn sẽ thấy miền mới ở khung bên trái console DNS management.
Hình 5
Bây giờ bạn đã tạo các bản ghi Host (A). Sử dụng thủ tục sau để thêm các bản ghi Host (A) vào DNS:
·
· Trên Domain Controller, kích vào Start, trỏ tới Administrative Tools và ấn DNS.
· Trong console DNS management, mở rộng tên server, mở nút Forward Lookup. Kích lên nút Zones msfirewall.org.
· Bấm phải chuột lên nút msfirewall.org và kích vào lệnh New Host (A).
· Trong hộp thoại New Host, nhập tên host name của server trong hộp văn bản Name (uses parent domain name if blank) (dùng tên domain cha nếu trống). Ở ví dụ này chúng ta sẽ nhập tên Firewall ISA văn phòng chi nhánh, là isa2006branch. FQDN sau đó sẽ xuất hiện trong hộp văn bản Fully qualified domain name (FQDN) (tên miền đáp ứng được đầy đủ tiêu chuẩn). Nhập địa chỉ IP nội bộ của ISA Firewall văn phòng nhánh vào ô IP address. Ở ví dụ này, địa chỉ sẽ nhập vào là 10.0.1.1. Kích vào Add Host.
Hình 6
·
· Hộp thoại New Host còn lại mở để cho phép bạn nhập thêm thông tin vào thêm cho Host (A). Nhập tên, thông tin địa chỉ IP cho các điểm vào được chú ý trong danh sách ở trên.
· Sau khi nhập xong cho mọi bản ghi, kích Cancel trong hộp thoại New Host.
· Danh sách của bạn sẽ có dạng như hình minh hoạ dưới.
Hình 7
·
· Bây giờ chúng ta cần đưa một số thông tin vào trong cơ sở dữ liệu DNS. Có thể thực hiện bằng cách khởi động lại DNS server. Trong DNS console, kích phải chuột lên tên server, trỏ tới All Tasks, và bấm Restart.
Hình 8
Để kết thúc cấu hình DNS, chúng ta cần loại bỏ các bản update động (ít nhất là tạm thời). Ở khung bên trái DNS console, bấm lên điểm vào msfirewall.org trong nút Forward Lookup Zones. Kích phải chuột lên nút msfirewall.org và chọn Properties.
Trong hộp thoại Properties, bấm chọn tab General. Trên tab General, chọn tuỳ chọn None từ danh sách Dynamic updates sổ xuống. Ấn OK. Không cần phải khởi động lại dịch vụ DNS. Tối thiểu hoá DNS console.
Cài đặt CSS trên máy tính CSS chuyên dụng
Đây là bước cực kỳ quan trọng trong quá trình hoàn chỉnh cài đặt DNS: cài đặt CSS trên máy CSS chuyên dụng. Bạn có thể cài CSS trên DC (Domain Controller), hay thậm chí là trên bản thân mảng ISA Firewall, nhưng cấu hình tốt nhất và an toàn nhất là đặt CSS trên một thiết bị chuyên dụng, ngăn cản thành viên mảng và thành viên Domain Controller.
Với chương trình cài đặt lý tưởng, CSS được nằm trên phân đoạn bảo mật mạng chuyên dụng. Không có bất kỳ máy nào khác nằm ở đó và không có lưu lượng nào được phép chuyển tới máy CSS xuất phát từ phần đoạn khác. ISA Firewall còn được dùng để bảo vệ CSS trước tất cả các máy khác. Tuy nhiên, để đơn giản và cho dễ hiểu, chúng ta sẽ thiết lập giản ước một số thứ. Bạn có thể dùng các nguyên tắc cơ bản được thảo luận trong nhiều bài báo DMZ trên Website của chính nó, nhất là cách bảo vệ các Server FE Exchange.
Thực hiện các bước sau để cài đặt CSS trên máy tính CSS chuyên dụng:
·
· Đưa địa ISA 2006 CD vào ổ đọc hoặc ổ ghi. Nếu thực đơn chương trình chạy tự động không xuất hiện, kích đúp lên file ISAAutorun.exe.
· Trên menu autorun, kích vào liên kết Install ISA Server 2006.
· Bấm Next trên trang Welcome to the Installation Wizard for Microsoft ISA Server 2006.
· Chọn tuỳ chọn I accept the terms in the license agreement và ấn Next.
· Nhập thông tin tuỳ biến trên trang Customer Information và ấn Next.
· Trên trang Setup Scenarios, chọn tuỳ chọn Install Configuration Storage Server và ấn Next.
Hình 10
·
· Kích Next trên trang Component Selection.
Hình 11
·
· Trên trang Enterprise Installation Options, chọn Create a new ISA Server enterprise. Tuỳ chọn này cho phép bạn tạo doanh nghiệp mới. Ngược lại, tuỳ chọn Create a replica of the enterprise configuration cho phép bạn tạo bản copy một doanh nghiệp ISA Firewall đã tồn tại, có thể được dùng như một bản sao lưu CSS trong trường hợp CSS chính bị hỏng. Ở ví dụ này, chúng ta cần tạo một doanh nghiệp mới, chứa tất cả mảng, Bấm Next.
Hình 12
·
· Trên trang New Enterprise Warning, bạn có thể thấy thông tin về giá trị của việc sử dụng doanh nghiệp đơn để quản lý tất cả mảng. Bấm Next.
·
· Trên trang Create New Enterprise, nhập tên cho doanh nghiệp ISA Firewall mới trong hộp Enterprise name. Ở ví dụ này chúng ta sẽ dùng tên Enterprise . Bạn có thể đưa vào bản mô tả tóm tắt thông tin cho ISA Firewall doanh nghiệp này trong hộp Description. Bấm Next.
Hình 14
·
· Trong hộp thoại Enterprise Deployment Environment, bạn sẽ phải nói cho chương trình cài đặt Wizard Installation biết liệu các ISA Firewall và CSS có cùng domain không, hay liệu chúng có trong một nhóm làm việc không. Các ISA Firewall tốt nhất trong ở lĩnh vực bảo mật và dễ cấu hình thường có cùng domain. Trong thực tiễn bạn thường phải đối mặt với vô số đe doạ từ các hacker chiếm quyền điều khiển an ninh mạng, không cần hiểu ISA Firewall và sẽ ép bạn triển khai cấu hình nhóm làm việc ít linh hoạt hơn, ít an toàn hơn. Trong trường hợp đó bạn thường phải triển khai PKI với chứng chỉ phù hợp cho từng máy.Khi chúng ta triển khai một cấu hình an toàn, các thành viên ISA Firewall và CSS trở thành một phần trên cùng một domain. Chọn tuỳ chọn I am deploying in a single domain or in domains with trust relationships bấm Next.
Hình 15
·
· Trên trang Ready to Install the Program, bấm Next.
·
· Thanh tiến trình sẽ cung cấp cho bạn biết tình hình của quá trình cài đặt và hoạt động nào đang được bộ cài thực hiện tại một thời điểm.
·
· Trên trang Installation Wizard Completed, đặt dấu kiểm trong hộp Invoke ISA Server Management when the wizard closes. Bấm Finish.
Tạo các mảng và cấu hình Enterprise Management Station Bây giờ chúng ta đã tạo được các mảng cho văn phòng chính và văn phòng chi nhánh. Mảng là một tập hợp các ISA Firewall hoạt động như một tường lửa cục bộ đơn với cùng chính sách và cấu hình như nhau. Một mảng ISA Firewall có thể có từ 1 đến 32 server. Ít nhất một giao diện ở từng thành viên mảng ISA Firewall phải nằm trên cùng ID mạng, khi tất cả thành viên mảng ISA Firewall khác nằm trong cùng mảng ISA Firewall và giao diện này được dùng cho các liên lạc nội bộ mảng. Có nghĩa là bạn không thể mở rộng các mạng này ra liên kết WAN hoặc VPN site to site, vì tất cả giao diện trong văn phòng từ xa sẽ nằm trên ID mạng khác so với trụ sở chính.
Trong ví dụ sử dụng ở loạt bài này, chúng ta có hai mảng: một cho trụ sở chính với tên Main và một cho chi nhánh với tên Branch. Chúng ta có thể tạo đa mảng văn phòng chính và đa mảng chi nhánh, mỗi mảng có thể gồm 32 thành viên. Thực tế, các mảng văn phòng chi nhánh chủ yếu bao gồm thành viên mảng đơn, còn trụ sở chính và chi nhánh lớn sẽ có các thành viên mảng từ 2 đến 32 server.
Một trong những cải tiến nâng cao tuyệt vời nhất khi dùng thành viên đa mảng là các cơ chế tải cân bằng CARP và NLB. Chúng cho phép bạn tăng cường hiệu quả thông lượng với tổng số thành viên trên từng mảng theo thời gian tốc độ liên kết.
Ví dụ, trong chương trình kiểm tra gói tình trạng, một ISA Firewall cấu hình tiêu chuẩn có thể có lưu lượng điển hình ở mức xấp xỉ 1.5Gbps. Nếu mảng ở trụ sở chính có 5 thành viên, thông lượng tác động qua mảng là 7.5Gbps. Bạn thử kiểm tra giá cả tường lửa “phần cứng” có thông lượng 7.5Gbps và so sánh nó với chi phí bỏ ra cho mảng 5 thành viên trên kho lưu trữ ổ cứng máy tính xem sao.
Phần chênh lệch giá tiết kiệm được sẽ khiến cho bạn ấn tượng, cùng với khả năng có các bộ phận, các bộ phận thay thế chỉ ở mức giá hàng hoá khuyến mại.
Quay trở lại console ISA Firewall, sau khi kích vào nút Finish trên trang cuối của chương trình cài đặt, ISA Firewall console cũng sẽ mở, cùng với Web page security. Thực hiện các bước sau để thêm CSS vào trạm Enterprise Remote Management:
·
· Đọc trang Web Protect the ISA Server Computer và đóng lại sau khi đọc xong.
· Trong console ISA Firewall, mở rộng nút Enterprise , sau đó mở rộng nút Enterprise Policies. Bấm lên Default Policy.
Hình 19
·
· Kích vào tab Toolbox trongTask Pane. Bấm lên tiêu đề Network Objects. Bấm chọn thư mục Computer Sets và kích đúp lên điểm vào Enterprise Remote Management.
Hình 20
·
· Trong hộp thoại Enterprise Remote Management Computers Properties, kích vào nút Add và bấm lên điểm vào Computer.
Hình 21
·
· Trong hộp thoại New Computer Rule Element, nhập tên cho máy CSS, cũng hoạt động như một trạm quản lý doanh nghiệp từ xa. Chúng ta sẽ đặt tên cho máy tính này là CSS và nhập tên trong ô Name. Trong hộp Computer IP Address, nhập địa chỉ IP cho máy CSS. Ở ví dụ của chúng ta, địa chỉ này là 10.0.0.3. Ghi thông tin mô tả tóm tắt ở ô Description (optional), nhưng không bắt buộc. Ấn OK trong hộp thoại New Computer Rule Element.
Hình 22
·
· Ấn OK trong hộp thoại Enterprise Remote Management Computers Properties tiếp.
· Kích Apply để ghi lại các thay đổi và update firewall policy. Bấm OK trong hộp thoại Apply New Configuration.
Bây giờ chúng ta cần tạo các mảng. Có hai kiểu mảng: một cho văn phòng chính và một cho chi nhánh văn phòng. Cả hai mảng đều được quản lý trong cùng ISA Firewall enterprise và có thể quản lý bằng các chính sách doanh nghiệp trung tâm hoá. Thực hiện các bước sau để tạo mảng Main:
·
· Ở khung bên trái console ISA Firewall, kích phải chuột lên nút Arrays. Kích vào lệnh New Array.
Hình 23
·
· Trong hộp thoại Welcome to the New Array Wizard, nhập tên cho mảng ở ô Array name. Với ví dụ của chúng ta, tên mảng là Main . Bấm Next.
Hình 24
·
· Trong ô Array DNS Name, nhập FQDN để nhận dạng tên mảng. Điều này sẽ rất hữu ích cho bạn khi dùng NLB hoặc CARP client site để cân bằng tải. Trong ví dụ này, chúng ta sẽ cùng tên main.msfirewall.org để xử lý địa chỉ IP cho giao diện nội bộ của ISA Firewall ở trụ sở chính. Nếu sử dụng NLB, tên này sẽ xử lý một VIP nội bộ. Với CARP client side, chúng ta sẽ có nhiều bản ghi đa Host (A) và dùng DNS Round Robin để phân phối cho các kết nối ban đầu nhận được thông tin bảng mảng. Kích vào Next để tiếp tục.
Hình 25
·
· Trên trang Assign Enterprise Policy, chọn tuỳ chọn mặc định Default Policy. Sau đó chúng ta sẽ kiểm tra xem liệu các chính sách doanh nghiệp (enterprise policy) có được áp dụng cho toàn bộ mảng quản lý bởi cùng một ISA Firewall enterprise không. Kích Next.
Hình 26
·
· Trên trang the Array Policy Rule Types, bạn có thể sử dụng một số điều khiển tập trung hoá qua các kiểu nguyên tắc do người quản trị cấu hình. “Bật” các thiết lập mặc định “Deny” Access Rules, “Allow” Access Rules và Publishing rules (Deny and Allow). Bấm Next.
Hình 27
·
· Kích vào nút Finish trên trang Completing the New Array Wizard.
Hình 28
·
· Thanh tiến trình Creating a new array xuất hiện khi mảng được tạo.
Hình 29
·
· Kích vào OK sau khi The new array was successfully created xuất hiện.
Hình 30
·
· Kích vào Apply để ghi lại các thay đổi và update chính sách tường lửa. Bấm OK trong hộp thoại Apply New Configuration.
Bây giờ là tạo mảng văn phòng chi nhánh:
·
· Kích phải chuột lên nút Arrays và chọn New Array.
Hình 31
·
· Nhập Branch trong ô Array name. Ấn Next.
Hình 32
·
· Nhập branch.msfirewall.org trong ô Array’s DNS name. Tuỳ chọn này sẽ xử lý địa chỉ IP nội bộ trên ISA Firewall chi nhánh. Kích Next.
Hình 33
·
· Đồng ý điểm vào Default Policy trên trang Assign Enterprise Policy và kích Next.
Hình 34
·
· Chấp nhận thiết lập mặc định trên trang Array Policy Rule Types và kích Next.
Hình 35
·
· Bấm chọn Finish trên trang Completing the New Array Wizard.
Hình 36
·
· Thanh trạng thái hiển thị quá trình tạo mảng mới.
Hình 37
·
· Bấm OK khi thấy dòng chữ The new array was successfully created.
Hình 38
·
· Kích vào Apply để ghi lại các thay đổi và update chính sách tường lửa (firewall policy). Bấm OK trong hộp thoại Apply New Configuration.
Còn một điều cuối cùng cần làm trước khi kết thúc.Kích vào liên kết nằm ở khung giữa trên đầu, liên quan đến chương trình nâng cao kinh nghiệm người dùng. Liên kết này sẽ mở ra Customer Feedback (phản hồi của khách hàng). Các bạn nên tham gia và chương trình này, vì nó sẽ giúp nhóm sản xuất ISA Firewall hiểu cách bạn sử dụng ISA Firewall và cách trả lời nhanh hơn trước các vấn đề bạn gặp phải khi dùng ISA Firewall. Bạn không gặp phải vấn đề nguy hiểm gì về bảo mật khi gửi cho Microsoft thông tin liên quan đến sử dụng ISA Firewall. Sản phẩm sẽ trở nên an toàn và linh hoạt hơn với sự đóng góp ý kiến của người dùng.
Hình 39
Kết luận
Trong bài về cách tạo VPN site to site sử dụng Branch Office Connectivity Wizard này, chúng ta đã cấu hình máy chủ quản lý hệ thống tên miền DNS server với các bản ghi Host (A) hỗ trợ. Sau đó, chúng ta tiếp tục cài đặt CSS trên một máy chuyên dụng và cấu hình các mảng cho trụ sở chính và chi nhánh trên CSS. Trong bài tới chúng ta sẽ tiếp tục sử dụng Branch Office Connectivity Wizard để tạo file trả lời, sau đó sử dụng file trả lời này để tạo kết nối VPN site to site và liên kết ISA Firewall ở chi nhánh với miền và CSS ở trụ sở chính
http://www.hocquantrimang.net/forum/showthread.php?t=404
Tài Liệu Tessking Toàn Tập 2008_vietchuyen.org
Đây là bộ Tessking toàn tập 2008, là hành trang để các bạn luyện thi lấy chứng chỉ Quốc Tế of Microsoft. Các bạn muốn đọc được file *.vce, thì phải setup chương trình VisualExamCollection. Các bạn chỉ cần download chương trình về setup là sử dụng thiên thu, vì đã có Crack Key luôn rồi. Nếu các bạn không đọc được File *.vce thì PM cho mình : lanh_tran0205@yahoo.com . Chúc các bạn thành công.
Môn 70 - 270: Hệ điều hành máy trạm (WinXP)
http://www.mediafire.com/?dzxpxtdbirx
Môn 70 - 290: Mạng Domain
http://www.mediafire.com/?bnxsxuymd4b
Môn 70 - 291: Quản trị dịch vụ hạ tầng của máy trạm
http://www.mediafire.com/?njrj2xbdwze
Môn 70 - 350: ISA Server 2006 (FireWall)
http://www.mediafire.com/?jzjjaw1zztg
Môn 70 - 299: Bảo mật an toàn dữ liệu
http://www.mediafire.com/?3xytxnyt0sy
Môn 70 - 284: Mail Exchange 2007
http://www.mediafire.com/?ytwpkjnmq9r
Môn 70 - 293: Triển khai dịch vụ hạ tầng cho hệ thống lớn
http://www.mediafire.com/?2m1yxxmcvob
Môn 70 - 294: Active Drectory (AD)
http://www.mediafire.com/?xt59gigurz3
Môn 70 - 297: Triền khai và quản trị dịch vụ đầu não cho hệ thống lớn
http://www.mediafire.com/?5h0bidlmtkd
Đây là File VisualExamCollection. Chỉ cần download về setup là sử dụng OK
http://www.mediafire.com/?bxme4xtgxcf
CHÚC CÁC BẠN THÀNH CÔNG
Muốn chuyển tập tin *.vce sang pdf hay Word để in ra thì bạn dùng chương trình Visual Cert Exam Design manager mở tập tin VCE lên sau đó chọn Menu File->Export -> nhập tên tập tin (tập tin xuất ra có kiểu là RTF).
Sau đó bạn có thể dùng Word mở tập tin này ra để in, nếu máy của bạn có cài đặt Arobat profesional thì trong Word cũng có chức năng save file thành PDF bạn chỉ việc click nút Save là xong
Bạn dùng file nay cũng in ra dc mà. Nhưng mình khuyên bạn học trên máy hay hơn.
Phan mem nay cho phep minh chon cau hoi de hoc ( tu 1 - 20, 20-40 ..........). Hoc nhu dzay de nho hon. Còn ban muon in ra thi ban dung chuong trinh nay ( Visual CertExam Designer ) de mo, chu ko dung chuong trinh ( Visual CertExam manager ) de mo. 2 chuong trình nay khi setup ( VisualExamcollection ) da co san. Chuc ban thanh cong.
http://www.hocquantrimang.net/forum/showthread.php?t=896
Môn 70 - 270: Hệ điều hành máy trạm (WinXP)
http://www.mediafire.com/?dzxpxtdbirx
Môn 70 - 290: Mạng Domain
http://www.mediafire.com/?bnxsxuymd4b
Môn 70 - 291: Quản trị dịch vụ hạ tầng của máy trạm
http://www.mediafire.com/?njrj2xbdwze
Môn 70 - 350: ISA Server 2006 (FireWall)
http://www.mediafire.com/?jzjjaw1zztg
Môn 70 - 299: Bảo mật an toàn dữ liệu
http://www.mediafire.com/?3xytxnyt0sy
Môn 70 - 284: Mail Exchange 2007
http://www.mediafire.com/?ytwpkjnmq9r
Môn 70 - 293: Triển khai dịch vụ hạ tầng cho hệ thống lớn
http://www.mediafire.com/?2m1yxxmcvob
Môn 70 - 294: Active Drectory (AD)
http://www.mediafire.com/?xt59gigurz3
Môn 70 - 297: Triền khai và quản trị dịch vụ đầu não cho hệ thống lớn
http://www.mediafire.com/?5h0bidlmtkd
Đây là File VisualExamCollection. Chỉ cần download về setup là sử dụng OK
http://www.mediafire.com/?bxme4xtgxcf
CHÚC CÁC BẠN THÀNH CÔNG
Muốn chuyển tập tin *.vce sang pdf hay Word để in ra thì bạn dùng chương trình Visual Cert Exam Design manager mở tập tin VCE lên sau đó chọn Menu File->Export -> nhập tên tập tin (tập tin xuất ra có kiểu là RTF).
Sau đó bạn có thể dùng Word mở tập tin này ra để in, nếu máy của bạn có cài đặt Arobat profesional thì trong Word cũng có chức năng save file thành PDF bạn chỉ việc click nút Save là xong
Bạn dùng file nay cũng in ra dc mà. Nhưng mình khuyên bạn học trên máy hay hơn.
Phan mem nay cho phep minh chon cau hoi de hoc ( tu 1 - 20, 20-40 ..........). Hoc nhu dzay de nho hon. Còn ban muon in ra thi ban dung chuong trinh nay ( Visual CertExam Designer ) de mo, chu ko dung chuong trinh ( Visual CertExam manager ) de mo. 2 chuong trình nay khi setup ( VisualExamcollection ) da co san. Chuc ban thanh cong.
http://www.hocquantrimang.net/forum/showthread.php?t=896
10 thg 5, 2008
Top 10 công cụ giải quyết sự cố cho TCP/IP
Có rất nhiều công cụ phân tích mạng phức tạp và chuyên dụng nhưng thực ra chỉ có 10 công cụ chủ yếu để có thể giải quyết mọi sự cố trên mạng TCP/IP. Đó là những công cụ không phải là mạnh nhất nhưng lại được sử dụng thường xuyên nhất.
1. Ping.
Ping là một ứng dụng kiểm tra kết nối giữa hai điểm trong mạng để xem chúng có thông suốt và hoạt động tốt ko, việc này được thực hiện bằng cách gửi và nhận một chuỗi các gói tin theo giao thức ICMP. Một trong những bước đầu tiên trong quy trình troubleshooting chính là một thao tác tưởng chừng đơn giản: ping địa chỉ loopback 127.0.0.1 để kiểm tra hoạt động của TCP/IP trong chính các local host.
2. Traceroute.
Traceroute được xây dựng trên nền tảng ứng dụng ping tuy nhiên nó không chỉ kiểm tra hoạt động của các tuyến đường mà còn xác định các chặng cần đi qua trên đường truyền và tính toán được thời gian gói tin được vận chuyển trên từng chặng. Ví dụ khi ta ping một thiết bị đầu xa và nhận thấy độ trễ của gói tin trả lời là rất lớn, muốn biết được gói tin bị trễ ở đâu, cần thực hiện lệnh traceroute.
3. Protocol analyzer/network analyzer.
Một bộ công cụ phân tích các giao thức (đôi khi còn gọi là các network analyzer) là một công cụ thiết yếu để admin theo dõi được hoạt động của mạng. Các công cụ này thực hiện công việc bắt các gói tin trên đường truyền (mặc định thường là bắt tất cả các gói, có thể cấu hình các bộ lọc để chỉ bắt một số gói nhất định).
Các gói tin này sẽ được lưu trong bộ đệm bắt gói, sau đó sẽ được phân tích các thông số trong gói và giải mã thông tin để hiển thị trên màn hình. Một số công cụ như Network Associates' Sniffer Pro còn có khả năng phát hiện ra tiến trình truyền nhận thông tin để phát hiện các động thái tấn công và xâm nhập để báo động với admin.
Một số các công cụ khác cũng khá phổ biến là: AG Group's EtherPeek, công cụ Network Monitor của WindowsNT.
4. Port scanner.
Công cụ quét cổng có thể phát hiện ra các dịch vụ nào đang hoạt động trên thiết bị đầu xa. Tuy nhiên quét cổng thường được xếp vào loại các hành động tấn công hoặc hành động xâm nhập và thường bị các mạng đầu xa chặn.
5. Nslookup/DIG.
Tiện ích nslookup cơ bản gửi các bản tin querry đến DNS server. Bản tin này sẽ nhờ server thực hiện một thao tác phân giải từ tên miền hoặc tên host sang địa chỉ IP tương ứng với nó. Domain Internet Grouper (DIG) là một công cụ tương tự như nslookup nhưng cung cấp nhiều thông tin về DNS hơn.
Ví dụ: một thao tác nslookup đơn giản cho www.vietnamnet.com.vn sẽ trả về những thông tin sau:
Name: vietnamnet.com.vn
Address: 203.162.168.130
Trong khi đó với cùng thao tác trên DIG trả về các thông tin trên cộng với phần sau:
Name servers: ns1.lunarpage.com
IP address: 69.25.27.170
ns1.lunarpage.com
IP address: 66.150.161.141
6. ARP.
Công cụ này cho phép theo dõi các địa chỉ IP trên mạng và các địa chỉ vật lý tương ứng với nó. Bằng công cụ này, admin có thể hiển thị ra bảng ARP để biết được địa chỉ vật lý của thiết bị thực hiện việc gửi nhận thông tin qua mạng. Việc này đóng vai trò khá quan trọng vì chỉ bằng cách xem địa chỉ vật lý (là địa chỉ duy nhất định danh cho thiết bị mạng) admin mới phát hiện được chính xác một host vì địa chỉ IP chỉ là địa chỉ logic, nó hoàn toàn có thể bị thay đổi.
7. Route.
Là công cụ cho phép hiển thị và thao tác với bảng định tuyến trong thiết bị.
8. Các công cụ SNMP.
Các công cụ quản trị trên nền SNMP cho phép thu thập thông tin trong các bản tin Management Information Base (MIB) được phát đi bởi những thiết bị hỗ trợ SNMP. Có thể theo dõi các thiết bị SNMP bằng một hệ thống thông báo/báo động có khả năng báo cáo cho SNMP ngay lập tức về các action vượt qua giới hạn đã được cấu hình trước trên các thiết bị. Tuy nhiên một trở ngại đối với SNMP là hiện có rất ít các sản phẩm có khả năng chạy trên nhiều nền tảng thiết bị của các hãng khác nhau.
9. Bộ test Cable.
Đây là một công cụ không thể thiếu để kiểm tra sự chính xác trong hoạt động của hệ thống dây dẫn. Công cụ phổ biến là Microtest's OmniScanner được trang bị các chức năng test độ toàn vẹn và độ nhiễu của dây dẫn. Bộ kiểm tra cáp có khả năng làm những việc sau: báo cáo về tổng chiều dài dây dẫn, kết quả kiểm tra các thông số, độ nhiễu xuyên âm, độ suy hao đường truyền, trở kháng và nhiều thông số khác nữa.
Một số công cụ kiểm tra cáp còn cung cấp khả năng theo dõi traffic trên mạng.
10. Các công cụ tổ hợp.
Ngòai các công cụ trên còn một số công cụ giải quyết sự cố khác bao gồm NetScanTools Pro 2000 và AG Group’s NetTools. Các công cụ này thuận tiện ở chố nó là những phần mềm tổ hợp của các tiện ích port scan, ping, traceroute và thực hiện được cả thao tác nslookup, tiết kiệm đáng kể cho admin thời gian troubleshoot cho một mạng. Trong hai công cụ tổng hợp trên NetTools có giá thành rẻ hơn tuy nhiên các tiện ích của nó chỉ là một phần nhỏ so với NetScanTools Pro 2000.
Admin cũng có thể sử dụng các tiện ích cung cấp thông tin và cấu hình cơ bản được tích hợp sẵn trong Windows như WINIPCFG, IPCONFIG và netstat. Một phần mềm tính toán địa chỉ IP đôi khi cũng trở thành một công cụ thuận lợi để tiết kiệm thời gian, có rất nhiều phần mềm loại này,các admin có thể download miễn phí trên mạng.
Việc lựa chọn các công cụ thích hợp sẽ giúp giảm nhẹ và đơn giản hóa công việc giải quyết sự cố cho các mạng TCP/IP.
http://ictvietnam.net/forum/showthread.php?t=4647
1. Ping.
Ping là một ứng dụng kiểm tra kết nối giữa hai điểm trong mạng để xem chúng có thông suốt và hoạt động tốt ko, việc này được thực hiện bằng cách gửi và nhận một chuỗi các gói tin theo giao thức ICMP. Một trong những bước đầu tiên trong quy trình troubleshooting chính là một thao tác tưởng chừng đơn giản: ping địa chỉ loopback 127.0.0.1 để kiểm tra hoạt động của TCP/IP trong chính các local host.
2. Traceroute.
Traceroute được xây dựng trên nền tảng ứng dụng ping tuy nhiên nó không chỉ kiểm tra hoạt động của các tuyến đường mà còn xác định các chặng cần đi qua trên đường truyền và tính toán được thời gian gói tin được vận chuyển trên từng chặng. Ví dụ khi ta ping một thiết bị đầu xa và nhận thấy độ trễ của gói tin trả lời là rất lớn, muốn biết được gói tin bị trễ ở đâu, cần thực hiện lệnh traceroute.
3. Protocol analyzer/network analyzer.
Một bộ công cụ phân tích các giao thức (đôi khi còn gọi là các network analyzer) là một công cụ thiết yếu để admin theo dõi được hoạt động của mạng. Các công cụ này thực hiện công việc bắt các gói tin trên đường truyền (mặc định thường là bắt tất cả các gói, có thể cấu hình các bộ lọc để chỉ bắt một số gói nhất định).
Các gói tin này sẽ được lưu trong bộ đệm bắt gói, sau đó sẽ được phân tích các thông số trong gói và giải mã thông tin để hiển thị trên màn hình. Một số công cụ như Network Associates' Sniffer Pro còn có khả năng phát hiện ra tiến trình truyền nhận thông tin để phát hiện các động thái tấn công và xâm nhập để báo động với admin.
Một số các công cụ khác cũng khá phổ biến là: AG Group's EtherPeek, công cụ Network Monitor của WindowsNT.
4. Port scanner.
Công cụ quét cổng có thể phát hiện ra các dịch vụ nào đang hoạt động trên thiết bị đầu xa. Tuy nhiên quét cổng thường được xếp vào loại các hành động tấn công hoặc hành động xâm nhập và thường bị các mạng đầu xa chặn.
5. Nslookup/DIG.
Tiện ích nslookup cơ bản gửi các bản tin querry đến DNS server. Bản tin này sẽ nhờ server thực hiện một thao tác phân giải từ tên miền hoặc tên host sang địa chỉ IP tương ứng với nó. Domain Internet Grouper (DIG) là một công cụ tương tự như nslookup nhưng cung cấp nhiều thông tin về DNS hơn.
Ví dụ: một thao tác nslookup đơn giản cho www.vietnamnet.com.vn sẽ trả về những thông tin sau:
Name: vietnamnet.com.vn
Address: 203.162.168.130
Trong khi đó với cùng thao tác trên DIG trả về các thông tin trên cộng với phần sau:
Name servers: ns1.lunarpage.com
IP address: 69.25.27.170
ns1.lunarpage.com
IP address: 66.150.161.141
6. ARP.
Công cụ này cho phép theo dõi các địa chỉ IP trên mạng và các địa chỉ vật lý tương ứng với nó. Bằng công cụ này, admin có thể hiển thị ra bảng ARP để biết được địa chỉ vật lý của thiết bị thực hiện việc gửi nhận thông tin qua mạng. Việc này đóng vai trò khá quan trọng vì chỉ bằng cách xem địa chỉ vật lý (là địa chỉ duy nhất định danh cho thiết bị mạng) admin mới phát hiện được chính xác một host vì địa chỉ IP chỉ là địa chỉ logic, nó hoàn toàn có thể bị thay đổi.
7. Route.
Là công cụ cho phép hiển thị và thao tác với bảng định tuyến trong thiết bị.
8. Các công cụ SNMP.
Các công cụ quản trị trên nền SNMP cho phép thu thập thông tin trong các bản tin Management Information Base (MIB) được phát đi bởi những thiết bị hỗ trợ SNMP. Có thể theo dõi các thiết bị SNMP bằng một hệ thống thông báo/báo động có khả năng báo cáo cho SNMP ngay lập tức về các action vượt qua giới hạn đã được cấu hình trước trên các thiết bị. Tuy nhiên một trở ngại đối với SNMP là hiện có rất ít các sản phẩm có khả năng chạy trên nhiều nền tảng thiết bị của các hãng khác nhau.
9. Bộ test Cable.
Đây là một công cụ không thể thiếu để kiểm tra sự chính xác trong hoạt động của hệ thống dây dẫn. Công cụ phổ biến là Microtest's OmniScanner được trang bị các chức năng test độ toàn vẹn và độ nhiễu của dây dẫn. Bộ kiểm tra cáp có khả năng làm những việc sau: báo cáo về tổng chiều dài dây dẫn, kết quả kiểm tra các thông số, độ nhiễu xuyên âm, độ suy hao đường truyền, trở kháng và nhiều thông số khác nữa.
Một số công cụ kiểm tra cáp còn cung cấp khả năng theo dõi traffic trên mạng.
10. Các công cụ tổ hợp.
Ngòai các công cụ trên còn một số công cụ giải quyết sự cố khác bao gồm NetScanTools Pro 2000 và AG Group’s NetTools. Các công cụ này thuận tiện ở chố nó là những phần mềm tổ hợp của các tiện ích port scan, ping, traceroute và thực hiện được cả thao tác nslookup, tiết kiệm đáng kể cho admin thời gian troubleshoot cho một mạng. Trong hai công cụ tổng hợp trên NetTools có giá thành rẻ hơn tuy nhiên các tiện ích của nó chỉ là một phần nhỏ so với NetScanTools Pro 2000.
Admin cũng có thể sử dụng các tiện ích cung cấp thông tin và cấu hình cơ bản được tích hợp sẵn trong Windows như WINIPCFG, IPCONFIG và netstat. Một phần mềm tính toán địa chỉ IP đôi khi cũng trở thành một công cụ thuận lợi để tiết kiệm thời gian, có rất nhiều phần mềm loại này,các admin có thể download miễn phí trên mạng.
Việc lựa chọn các công cụ thích hợp sẽ giúp giảm nhẹ và đơn giản hóa công việc giải quyết sự cố cho các mạng TCP/IP.
http://ictvietnam.net/forum/showthread.php?t=4647
Đăng ký:
Bài đăng (Atom)