Chương I
TỔNG QUAN VỀ ISA SERVER
I. GIỚI THIỆU VỀ ISA SERVER.
1.1. GIỚI THIỆU CHUNG.
- Microsoft Internet Security and Acceleration Server (ISA Server) là
phần mềm chia sẻ Internet của Microsoft. Có thể nói đây là phần mềm chia sẻ
Internet khá hiệu quả, ổn định, dễ cấu hình, thiết lập tường lửa tốt.
- ISA được thiết kế chủ yếu để hoạt động như một tường lửa, nhằm đảm
bảo rằng tất cả những lưu lượng (traffic) không trông đợi từ internet được chặn
lại bên ngoài của tổ chức. Đồng thời ISA có thế cho phép người dùng (user) bên
trong mạng tổ chức truy cập một cách có chọn lọc đến các tà nguyên trên
internet và các user trên internet có thể truy cập vào bên trong mạng tổ chức sao
cho phù hợp với các qui tắc (rule) của ISA server.
- ISA là một công cụ hữu hiệu cho một kế hoạch tổng thể để bảo mật
mạng và tổ chức. Vai trò của của ISA server rất trọng yếu. Bởi vì nó được triển
khai tại điểm kết nối giữa mạng bên trong tổ chức và internet. Hầu hết các tổ
chức cung cấp một vài mức độ truy cập internet cho người dùng của họ. ISA
server có thể áp đặt các chính sách bảo mật (sercurity polices) để phân phát đến
người dùng (user) một số cách thức truy cập internet cho nguời dùng của họ.
Đồng thời nhiều tổ chức cũng cung cấp cho các user ở xa (remote user) một số
cách thức truy cập đến các máy chủ trong mạng tổ chức.
- Ngoài ra, ISA server còn cung cấp các tính năng mở rộng như:
+ Multi-Networking: Kĩ thuật thiết lập các chính sách truy cập dựa trên địa chỉ
mạng, thiết lập firewall để lọc thông tin dựa trên từng địa chỉ mạng con.
+ Unique per-network policies: đặc điểm multi-networking được cung cấp trong
ISA server cho phép bảo vệ hệ thống mạng nội bộ bằng cách giới hạn truy xuất
của các client bên ngoài internet, bằng cách tao ra một vùng ngoại vi perimeter
network (được xem là vùng DMZ, demilitazed zone, hoặc sreened subnet), chỉ
5
cho phép các client bên ngoài truy xuất vào các server trên mạng ngoại vi,
không cho phép các client truy xuất trực tiếp vào mạng nội bộ.
+ Stateful inspection of all trafic: cho phép giám sát tất cả lưu lượng mạng.
+ NAT and route network relationships: cung cấp kỹ thuật NAT và định tuyến dữ
liệu cho mạng con.
+ Network templates: cung cấp các mô hình mẫu (network templates) về một số
kiến trúc mạng kèm theo một số luật cần thiết cho network templates tương ứng.
+ VPN network: truy cập từ xa cho doanh nghiệp giám sát , ghi nhận log , quản
lý session cho từng VPN server, thiết lập access policy cho từng VPN client,
cung cấp tính năng tương thích với VPN trên các hệ thống khác.
+ Security: thiết lập firewall cho hệ thống như Authentication, publish server,
giới hạn một số lưu lượng (traffic).
+ Web cache: để tăng tốc độ truy suất mạng, giảm tải cho đường truyền, web
proxy để chia sẻ truy xuất web.
-Cung cấp một số tinh năng quản lý hiệu quả như: giám sát lưu lượng, reporting
qua web, export và import cấu hình từ XML configuration file, quản lý lỗi hệ
thông thông qua kỹ thuật gửi thông báo qua e-mail….
+ Application layer filtering (ALF): là một trong nhưng điểm mạnh của ISA
server 2004, không giống như packet filtering firewall truyền thống, ISA 2004
có thể thao tác sâu hơn như có thể lọc các thông tin trong tầng ưng dụng. Một số
đặc điểm nổi bật của ALF:
Cho phép thiết lập bộ lọc HTTP inbound và oubound HTTP.
Chặn được các loại tập tin thực thi chạy trên nền windown như: pif, com,
…
Có thế giới hạn HTTP download.
Có thể truy suất web cho tất cả các client dự trên nội dung truy cập.
Có thể điều truy xuất HTTP dựa trên chữ ký (signature).
Điều khiển một số phương thức truy xuất của HTTP.
6
I.2. CÁC CHỨC NĂNG CỦA ISA SERVER.
I.2.1. Chức năng tường lửa.
Tường lửa (firewall) là một thiết bị được đặt giữa một phân đoạn mạng
với một phân đoạn mạng khác trong một mạng. Firewall được cấu hình với
những qui tắc (rule) lọc lưu lượng (traffic), trong đó định nghĩa những loại lưu
lượng mạng (network traffic) sẽ được phép đi qua. Firewall có thể được bố trí và
cấu hình để bảo vệ mạng của tổ chức, hoặc được bố trí bên trong để bảo vệ một
vùng đặc biệt trong mạng. Trong hầu hết trường hợp, firewall được triển khai ở
vành đai mạng. Chức năng chính của firewall trong trường hợp này là đảm bảo
không có lưu lượng nào từ Internet có thể tới được mạng bên trong (internal
network) của tổ chức trừ khi nó được cho phép.
Ví dụ, trong tổ chức bạn có một web bên trong mạng (internal Web
Server) cần cho người dùng internet (internet user) có thể tới được. Firewall có
thể được cấu hình để cho phép các lưu lượng (traffic) từ Internet chỉ được truy
cập đến Web Server đó.Về mặc chức năng ISA Server chính là một firewall. Bởi
mặc định, khi bạn triển khai ISA Server, nó sẽ khóa tất cả ‘traffic’ giữa các
mạng mà nó làm Server, bao gồm ‘internal network’, vùng DMZ (Demilitarized
Zone) và Internet. ISA Server 2004 dùng 3 loại quy tắc lọc (filtering rule) để
ngăn chặn hoặc cho phép các lưu lượng mạng (network traffic), đó là: packet
filtering, stateful filtering và application-layer filtering.
a. Packet Filtering (Lọc gói tin).
Packet filtering làm việc bằng cách kiểm tra thông tin mào đầu (header)
của từng gói tin mạng (network packet) đi tới firewall. Khi gói tin (packet) đi tới
giao tiếp mạng của ISA Server, ISA Server sẽ xem phần mào đầu (header) của
của gói tin (packet) và kiểm tra thông tin (địa chỉ nguồn và đích, và địa chỉ cổng
‘port’ nguồn và đích). ISA Server so sánh thông tin này dựa vào các luật ‘rule’
của firewall, đã định nghĩa gói tin nào ‘packet’ nào được cho phép. Nếu địa chỉ
nguồn và đích được cho phép, và nếu cổng ‘port’ nguồn và đích được cho phép,
gói tin ‘packet’ được đi qua firewall để đến đích. Nếu địa chỉ và cổng ‘port’
7
không chính xác là những gì được cho phép gói tin sẽ bị loại bỏ bà không được
đi qua firewall.
b. Stateful Filtering (Lọc trạng thái).
Stateful filtering dùng một sự kiểm tra thấu đáo hơn đối với gói tin mạng
‘network packet’ để dẫn đến quyết định có cho qua hay là không. Khi ISA Sever
dùng một sự xem xét kỹ trạng thái, nó kiểm tra các mào đầu ‘header’ của
Internet Protocol (IP) và Transmission Control Protocol (TCP) để xác định trạng
thái của một gói tin ‘packet’ bên trong nội dung của những ‘packet’ trước đó đã
đi qua ISA Server, hoặc bên trong nội dung của một phiên (session) TCP.
Ví dụ, một người dùng ‘user’ trong ‘internal network’ có thể gửi một yêu
cầu ‘request’ đến một Web Server ngoài Internet. Web Server đáp lại yêu cầu
‘request’ đó. Khi gói tin ‘packet’ trả về đi tới firewall, firewall kiểm duyệt thông
tin phiên của TCP ‘TCP session’ (là một phần của ‘packet). Firewall sẽ xác định
rằng ‘packet’ thuộc về một phiên ‘session’ đang hoạt động mà đã được khởi tạo
bởi một ‘user’ trong ‘internal network’, vì thế gói tin ‘packet’ được chuyển đến
máy tính của ‘user’ đó. Nếu một ‘user’ bên ngoài mạng cố gắng kết nói đến một
máy tính bên trong mạng tổ chức, mà firewall xác định rằng ‘packet’ đó không
thuộc về một ‘session’ hiện hành đang hoạt động thì gói tin đó sẽ bị loại bỏ.
c. Application-Layer Filtering (Lọc lớp ứng dụng).
ISA Server cũng dùng bộ lọc ‘application-layer’ để ra quyết định một
‘packet’ có được cho phép hay là không. ‘Application-layer filtering’ kiểm tra
nội dung thực tế của ‘packet’ để quyết định liêu ‘packet’ có thể được đi qua
firewall hay không. ‘Application filter’ sẽ mở toàn bộ ‘packet’ và kiểm tra dữ
liệu thực sự bên trong nó trước khi đưa ra quyết định cho qua.Ví dụ, một ‘user’
trên Internet có thể yêu cầu một trang từ ‘internal Web Server’ bằng cách dùng
lệnh “GET” trong giao thức HTTP (Hypertext Transfer Protocol). Khi ‘packet’
đi tới firewall, ‘application filter’ xem xét kỹ ‘packet’ và phát hiện lệnh “GET”.
‘Application filter’ kiểm tra chính sách của nó để quyết định. Nếu một ‘user’ gửi
một ‘packet’ tương tự đến Web Server, nhưng dùng lệnh “POST” để ghi thông
tin lên Web Server, ISA Server một lần nữa kiểm tra ‘packet’. ISA Server nhận
8
thấy lệnh “POST”, dựa vào chính sách của mình, ISA Server quyết định rằng
lệnh này không được phép và ‘packet’ bị đánh rớt.‘HTTP application filter’
được cung cấp cùng với ISA Server 2004 có thể kiểm tra bất kỳ thông tin nào
trong dữ liệu, bao gồm: ‘virus signature’, chiều dài của ‘Uniform Resource
Location’ (URL), nội dung ‘page header’ và phần mở rộng của ‘file’. Ngoài
‘HTTP filter’, ISA Server còn có những ‘application filter’ khác dành cho việc
bảo mật những giao thức và ứng dụng khác.
I.2.2. chức năng bảo mật truy cập internet.
Hầu hết các tổ chức đều phải cho nhân viên của mình truy cập internet và
sử dụng World Wide Web như một nguồn tài nguyên và một công cụ giao tiếp.
Điều đó có nghĩa là không tổ chức nào tránh được việc truy cập internet, và việc
bảo mật kết nối internet trở nên thiết yếu. ISA Server có thể được dùng để bảo
mật các kết nối của máy trạm đến nguồn tài nguyên trên internet. Để làm được
điều đó, cần phải cấu hình tất cả máy trạm đều phải thông qua ISA Server để kết
nối internet. Khi đó ISA Server sẽ hoạt động như một ‘proxy server’ giữa máy
trạm trong mạng tổ chức và nguồn tài nguyên trên internet. Điều này có nghĩa là
khi một máy trạm gởi yêu cầu đến Web Server trên internet, thì sẽ không có kết
nối trực tiếp giữa máy trạm đó và Web Server.
Thành phần ‘proxy server’ trên ISA Server sẽ làm việc trực tiếp với Web
Server (thay máy trạm gởi yêu cầu đến Web Server, cũng như thay Web Server
hồi đáp lại cho máy trạm trong mạng nội bộ). Nhờ đó mà thông tin mạng của
máy trạm sẽ không bị phơi bài ra mạng bên ngoài.Và việc máy trạm dùng ứng
dụng gì để truy cập internet hoặc truy cập đến tài nguyên gì trên internet cũng
được ISA Server kiểm soát. ISA Server cũng hoạt động như một‘cachingserver’.
I.2.3. Cho phép truy cập nguồn tài nguyên nội bộ một cách bảo mật.
Một số tổ chức muốn người dùng trên internet có thể truy cập đến nguồn
tài nguyên đặc trong mạng nội bộ của tổ chức. Tối thiểu, hầu hết tổ chức đều
muốn cung cấp khả năng truy cập tới Website của tổ chức, nhất là đối với các
doanh nghiệp mà hoạt động kinh doanh của họ chủ yếu dựa trên nền Web.
9
Nhiều tổ chức cũng cần cung cấp khả năng truy cập đến những nguồn tài
nguyên không dựa trên nền Web như DNS Server, hoặc Database Server.
Cho phép tài nguyên trong mạng nội bộ có thể được truy cập thông qua internet
sẽ làm tăng các nguy cơ về bảo mật cho một tổ chức. Để giảm thiểu các nguy cơ
đó, ‘firewall’ đặc ở vành đai mạng phải có khả năng chặn tất cả lưu lượng
‘traffic’ có hại đi vào mạng của tổ chức, và đảm bảo rằng người dùng trên
internet chỉ có thể truy cập đến những máy chủ cho phép.
Để cấu hình việc ‘publish’ trong ISA Server, chúng ta cấu hình một
‘publishing rule’ để chỉ định cách thức mà ISA Server đáp lại những yêu cầu từ
internet. ISA Server cung cấp 3 loại ‘publishing rule’ khác nhau: Web
publishing rule, secure Web publishing rule, và Server publishing rule.
I.2.4. chức năng VPN.
Ngoài việc cho phép người dùng trên internet được phép truy cập đến các
máy chủ đặc biệt trong mạng nội bộ, nhiều tổ chức còn có nhu cầu cung cấp cho
người dùng ở xa khả năng truy cập đến các tài nguyên đặc trên các máy chủ nội
bộ. Hoặc một tổ chức có văn phòng đặc ở nhiều nơi, nhân viên từ một văn
phòng có nhu cầu truy cập đến tài nguyên mạng ở một nơi khác. Để cho phép
mức độ truy cập như vậy, nhiều tổ chức đã triển khai VPN (Virtual Private
Network – Mạng riêng ảo).
Một VPN là một kết nối mạng bảo mật được tạo thông qua một mạng
dùng chung như internet. VPN được bảo mật bằng cách sử dụng chứng thực và
mã hóa, vì thế, thậm chí nếu ‘network packet’ bị bắt lấy trên mạng dùng chung
(internet) thì ‘packet’ đó cũng không thể mở ra hoặc đọc được. VPN có thể được
tạo ra giữa một người dùng với mạng nội bộ (Client-to-Site) hoặc giữa hai văn
phòng của công ty với nhau (Site-to-Site).
Một người dùng có thể kết nối đến internet từ bất kỳ đâu và sau đó kết nối
đến ‘gateway’ của VPN. Tất cả ‘packet’ gửi qua internet dùng VPN được bảo
mật.ISA Server cung cấp một giải pháp truy cập VPN từ xa được tích hợp trong
firewall. Khi những máy trạm ở xa kết nối đến ISA Server bằng VPN, thì các
máy trạm đó được đưa vào mạng ‘VPN Clients network’. Mạng này được xem
10
như bất kỳ một mạng nào khác trên ISA Server, nghĩa là bạn có thể cấu hình
‘firewall rule’ để lộc tất cả ‘traffic’ từ các máy trạm VPN. ISA Server còn cung
cấp chức năng giám sát cách ly VPN (VPN quarantine control). ‘VPN
quarantine control’ hoãn lại sự truy cập từ xa đến một mạng riêng cho đến khi
cấu hình của máy trạm truy cập từ xa được kiểm định và công nhận bởi một
‘client-side-script’. Nếu bạn bậc ‘VPN quarantine control’, tất cả các máy trạm
VPN được cho là ‘Quarantined VPN Clients network’ cho đến khi họ vượt qua
những sự kiểm tra bảo mật đặc biệt. Bạn có thể cấu hình ‘firewall rule’ để lộc tất
cả các ‘traffic’ từ các máy trạm trong ‘Quarantine VPN Clients network’ đến bất
kỳ mạng nào khác.
ISA Server cũng cho phép VPN site-to-site. Trong kịch bản này, bạn cấu hình
một ISA Server trong mỗi chi nhánh hoặc văn phòng ở xa nhau. Khi ISA Server
ở một nơi nhận ‘network traffic’ từ một nơi khác, ISA Server sẽ khởi tạo một
kết nối VPN Site-to-Site và định tuyến ‘traffic’ thông qua nó đến các nơi khác.
Để cấu hình những kết nối VPN Site-to-Site, bạn tạo một ‘remote-site network’
trên ISA Server, và sau đó định nghĩa các ‘access rule’ để giám sát những loại
‘traffic’ được phép trao đổi giữa các mạng.
I.3. CÁC ỨNG DỤNG CỦA ISA SERVER.
Chúng có thể dùng ISA Server 2004 để cung cấp tính bảo mật cho sự truy
cập đến Internet và đến ‘internal network’ từ Internet. Cấu hình chính xác của
ISA Server sẽ tùy thuộc vào những đòi hỏi về truy cập và bảo mật của từng tổ
chức. Phần này sẽ thảo luận đến hầu hết các tình huống thông thường nhất, bao
gồm: làm sao để ISA Server được dùng như một vành đai bảo mật chính yếu
hoặc một firewall thứ hai trong một cấu hình nhiều firewall; và làm thế nào ISA
Server có thể được sử dụng cho cả những tổ chức lớn có văn phòng ở nhiều nơi
và tổ chức nhỏ chỉ cần duy nhất một máy ISA Server.
I.3.1. ISA Server hoạt động như một Internet-edge firewall
Một trong các tình huống triển khai chính của ISA Server 2004 là nó hoạt
động như một Internet-edge firewall. Một Internet-edge firewall được triển khai
tại điểm kết nối giữa Internet và internal network. Trong tình huống này, ISA
11
Server cung cấp các cổng bảo vệ (secure gateway) cho user bên trong mạng ra
internet và một firewall ngăn chặn truy cập trái phép và độc hại vào bên trong
mạng.
Hình 1
ISA Server sẽ được triển khai với một giao tiếp mạng (network interface
card – NIC) kết nối đến internet và một NIC thứ hai kết nối đến internal
network. Trong một vài trường hợp, ISA Server có thể có một NIC thứ ba kết
nối đến perimeter network (DMZ). Trong trường hợp này, xãy ra như sau:
- ISA Server khóa tất cả lưu lượng (traffic) từ internet vào bên trong mạng
tổ chức trừ khi có sự cho phép. Tất cả các thành phần firewall của ISA Server
đều được triển khai, bao gồm lọc lưu lượng đa tầng (multilayered traffic
filtering), lọc ứng dụng (application filtering) và phát hiện xâm nhập. Thêm vào
đó, hệ điều hành trên máy ISA Server phải được bảo vệ chắc chắn để tránh
những sự tấn công nhấm vào hệ điều hành.
- ISA Server được dùng để tạo điều kiện cho một số máy chủ hoặc dịch
vụ trong internal network có khả năng truy cập từ internet. Những sự truy cập
này được cấu hình bằng cách phổ biến (publishing) máy chủ hoặc cấu hình các
luật truy cập (access rule). ISA Server lọc tất cả yêu cầu vào bên trong và chỉ
cho phép những traffic được xác định bởi access rule.
- ISA Server cũng có thể là một điểm truy cập VPN đến internal network.
Trong trường hợp này, tất cả các kết nối VPN từ internet được định tuyến thông
12
qua ISA Server. Tất cả luật truy cập (access rule) và những yêu cầu cách ly dành
cho VPN client được áp đặt bởi ISA Server.
- Tất cả yêu cầu của client đến tài nguyên trên internet đều thông qua ISA
Server. ISA Server áp đặt một chính sách của tổ chức định nghĩa những người
dùng (user) nào được phép truy cập internet, ứng dụng và giao thức nào có thể
dùng để làm điều đó, và những website nào
I.3.2 ISA Server hoạt động như một Back-End Firewall.
Trong một số trường hợp, một tổ chức có thể chọn triển khai ISA Server
như một firewall thứ hai trong một cấu hình đa firewall. Tình huống này cho
phép nhiều tổ chức tiếp tục dùng firewall đã có, đồng thời cho phép sử dụng ISA
Server như một firewall nâng cao với khả năng lọc ứng dụng.được cho phép.
Hình 2
Nhiều tổ chức triển khai một cấu hình back-to-back firewall. Trong mô
hình này, một network adapter trên front-end firewall được kết nối internet trong
khi network adapter thứ hai trên firewall kết nối tới perimeter network. Back-
end firewall có một network adapter kết nối đến perimeter network và network
adapter thứ hai kết nối với internal network. Tất cả network traffic qua lại giữa
internet và internal network phải đi qua cả hai firewall và perimeter network.
13
Đối với những tổ chức có một firewall trên nền tảng phần cứng
(hardware-based) đã được triển khai như Internet-edge firewall, ISA Server có
thể cung cấp chức năng bổ sung đáng giá như một back-end firewall. Riêng
trong trường hợp này, chức năng lọc ứng dụng nâng cao của ISA Server có thể
đảm bảo các ứng dụng xác định được phổ biến (publish) một cách an toàn.
Trong tình huống này, ISA Server làm như sau:
- ISA Server có thể được dùng để cung cấp truy cập an toàn đến những
máy Exchange Server của tổ chức. Bởi vì những máy tính đang chạy Exchange
Server phải là những thành viên của Active Directory domain, có vài tổ chức
không thích đặt những máy Exchange Server bên trong perimeter network. ISA
Server cho phép truy cập đến những máy Exchange Server trong internal
network thông qua: sercure OWA publishing, secure SMTP server publishing,
và secure Exchange RPC publishing dành cho các Outlook client.
- ISA Server cũng có thể được dùng để publish các secure Website hoặc
secure Web application. Nếu các Web server được đặt trong internal network,
ISA Server có thể được cấu hình để publish Web server ra internet. Trong
trường hợp này, những bộ lọc ứng dụng nâng cao của ISA Server có thể được
dùng để xem xét tất cả các network traffic được chuyển tiếp đến Web server.
- ISA Server cũng có thể được dùng như một Web proxy và caching
server trong tình huống này. Nếu thế, tất cả client yêu cầu truy cập tài nguyên
trên internet hoặc bên trong perimeter network phải thông qua ISA Server. ISA
Server sẽ có thể áp đặt các chính sách của tổ chức cho việc bảo mật truy cập
internet.
I.3.3. ISA Server hoạt động như một Branch Office Firewall.
Tình huống triển khai thứ ba dành cho một ISA Server là nó đóng vai trò
Branch office firewall. Trong tình huống này, ISA Server có thể được sử dụng
để bảo mật mạng của văn phòng chi nhánh khỏi các sự đe dọa từ bên ngoài cũng
như là kết nối từ mạng của văn phòng chi nhánh đến trụ sở chính dùng các kết
nối VPN site-to-site.
14
Không có nhận xét nào:
Đăng nhận xét