PHẦN I/ TỔNG QUAN VỀ FIREWALL:
1/ Cơ bản về Firewall:
a/ Khái niệm:
Firewall là một thiết bị hoặc một loạt các thiết bị (bao gồm phần cứng và phần mềm) hoạt động trong môi trường mạng được thiết kế nhằm kiểm soát (cho phép hoặc ngăn chặn) các truy cập trong mạng dựa trên các quy tắc được tạo ra (rule) và mô hình kết nối.
Công nghệ Firewall xuất hiện vào năm 1988 khi các hệ thống lọc gói tin cơ bản được phát triển.
Hình 1: Mô hình Firewall đơn giản.
b/ Nhiệm vụ và chức năng:
Nhiệm vụ cơ bản của Firewall là kiểm soát các truy cập và lưu thông dữ liệu giữa các vùng mạng khác nhau (internet, intranet, extranet, DMZ).
Mục đích của Firewall là cung cấp các kết nối có kiểm soát dựa trên các thông tin về địa chỉ nguồn, địa chỉ đích, port, protocol, service và loại kết nối.
Các chức năng của Firewall:
· Firewall cho phép hoặc không cho phép những dịch vụ bên trong truy cập ra một tài nguyên nào đó bên ngoài.
· Firewall cho phép hoặc ngăn những dịch vụ truy cập từ bên ngoài vào một vùng mạng hoặc một tài nguyên nào đó bên trong.
· Firewall theo dõi và kiểm soát luồng dữ liệu đi từ hệ thống mạng bên trong ra bên ngoài và ngược lại.
· Firewall theo dõi và kiểm soát địa chỉ truy cập, cấm truy cập hoặc truy cập một số địa chỉ đã được thiết lập.
· Firewall kiểm soát việc truy cập của người dùng và những dữ liệu mà người dùng nhận từ mạng bên ngoài.
· Firewall có thể chống lại những đợt tấn công của hacker.
c/ Các thành phần của Firewall:
Một Firewall chuẩn sẽ gồm các thành phần sau:
_Bộ lọc gói tin (Packet Filter): Dữ liệu truyền trên mạng luôn được chia nhỏ thành các gói có gán địa chỉ và các thông tin khác để có thể nhận và tái lập, bộ lọc packet cho phép nhận hoặc từ chối mỗi packet mà nó nhận được bằng cách kiểm tra các thông tin header trên mỗi packet (IP nguồn, IP đích, port đích. Giao thức, dịch vụ).
_Proxy Server: Là một firewall được thiết kế để kiểm soát các loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng. Nó hoạt động dựa trên cách thức gọi là Proxy Server, là bộ các chương trình cài trên gateway cho từng ứng dụng, việc truy cập từ mạng nội bộ ra bên ngoài và ngược lại đều thông qua Proxy Server này thay cho Server/Client thực sự cần phải giao tiếp. Proxy Server cũng có vai trò như một bộ lọc tin, ngăn chặn các truy cập không móng muốn vào client thực sự. Proxy Sever cũng giúp tăng tốc độ truy cập do có lưu thông tin.
_Circuit-Lever Gateway: Hoạt động ở lớp Session (mô hình OSI) và tầng Transport (lớp TCP, mô hình TCP/IP), CLG giám sát việc bắt tay TCP giữa các gói tin để xác định một phiên truyền dữ liệu là phù hợp, CLG giúp che dấu client, hệ thống mạng mà nó cần bảo vệ. CLG không lọc các gói tin.
2/ Phân loại Firewall:
a/ Phân loại theo phạm vi:
Tường lửa cá nhân (Personal Firewall): Thường là ứng dụng lọc dữ liệu ra vào trong một máy tính đơn.
Tường lửa mạng (Network Firewall): Chạy trên các thiết bị mạng hoặc máy tính chuyên dụng đặt tại vùng biên giữa các khu vực mạng.
b/ Phân loại theo tầng giao thức:
Tường lửa tầng mạng, còn được gọi là Packet Filter Firewall
Tưởng lửa tầng ứng dụng, được gọi là Application/Proxy Gateway Firewall
c/ Phân loại theo khả năng theo dõi:
Tường lửa có trạng thái (Stateful FirewalL): Là tường lửa theo dõi trạng thái của các kết nối mạng (giao thức TCP/UDP) đi qua nó, bao gồm IP nguồn, IP đích, port TCP/UDP nguồn, port TCP/UDP đích, data, protocol) tường lửa này được lập trình để biết được gói tin hợp lệ được phép đi qua hoặc sẽ bị hủy bỏ nếu nó là gói tin không hợp lệ.
Tưởng lưa phi trạng thái (Stateless Firewall): Là tường lửa không theo dõi trạng thái của các kết nối mà chỉ dựa vào địa chỉ nguồn, địa chỉ đích, một số thông tin trên header để quyết định cho phép hay không cho phép gói tin đi qua.
3/ Một số Firewall phổ biến:
a/ Simple Packet Filtering Firewall:
Đây có thể coi là loại tường lửa căn bản nhất, nó kiểm tra từng gói tin ra vào hệ thống mạng, so sách các thông tin thu được (của gói tin đó) với các quy định (rule) đã được thiết lập sẵn, sau đó quyết định xem gói tin là hợp lệ hay không hợp lệ. Các thông tin được kiểm tra bao gồm:
· Địa chỉ nguồn của gói tin, cũng có thể là địa chi của hệ thống mà gói tin xuất phát từ đó.
· Địa chỉ đích, nơi mà gói tin được gởi đến, hoặc cũng có thể là địa chỉ đích của hệ thống nơi mà gói tin được gởi đến.
· Giao thức nào sẽ được dùng để giao tiếp giữa nơi gởi và nơi nhận. Loại tường lửa này hoạt đông ở tầng 2 và 3 trong mô hình OSI.
b/ Stateful Packet Filtering Firewall:
Tường lửa này cũng có các tính năng và cách hoạt động giống với Simple Packet Filtering Firewall như là lọc gói tin dựa trên các rule đã được thiết lập, và nó còn giữ lại tất cả trạng thái của các kết nối đã được chấp nhận (Accepted Connection) trong bộ nhớ. Khi một gói tin đến, firewall có thể xác định được gói tin đó là của kết nối mới hoặc là của kết nối đã được thiết lập.
Các trạng thái của các kết nối gồm LISTEN, SYN-SENT, SYN-RECEIVED, ESTABLISHED, FIN-WAIT-1, FIN-WAIT-2, CLOSE-WAIT, CLOSING, LAST-ACK, TIME-WAIT, CLOSED.
Khi một phiên kết nối bị ngắt hoặc do hết thời gian dành cho kết nối thì thông tin về kết nối đó sẽ được xóa khỏi bộ nhớ của firewall. Tường lửa này hoạt động ở Layer 2, 3 và 4 trong mô hình OSI.
c/ Application Lever Firewall:
Đây là một loại tường lửa phức tạp (còn được gọi là Application - Proxy Gateway), vì nó thực hiện nhiều sự kiểm tra các gói dữ liệu từ tầng 2 đến tầng 7 (trong mô hình OSI). Application Lever Firewall kiểm soát và dẫn đường các gói tin giữa các vùng mạng (tin cậy và không tin cậy) theo các cơ chế đã được cấu hình trên nó, kiểm soát các ứng dụng hoặc dịch vụ nào đang gởi hoặc nhận dữ liệu. Tường lửa này cũng có chưc năng như là một Applicaton Proxy.
Application Lever Firewall có thể thực hiện kiểm tra kĩ lưỡng một gói tin để đưa ra các quyết định chính xác về việc cho phép hoặc hủy bỏ một gói tin/kết nối.
Application Lever Firewall có thể yêu cầu chứng thực giữa mỗi người dùng hoặc ứng dụng đang muốn truyền dữ liệu đi qua nó.
4/ Xây dựng Firewall Rule:
Rule của tường lửa là các quy tắc xử lý các gói tin, các kết nối khi nó đi qua tường lửa. Thông thường thì gói tin hoặc kết nói sẽ được xử lý như sau:
· Accept: Tường lửa chấp nhận cho gói tin/kết nối đi qua và đến nơi cần đến.
· Deny: Tường lửa bỏ qua gói tin/kết nối, sau đó một thông báo lỗi sẽ được gởi đến nơi xuất phát của gói tin.
· Discard: Tường lửa bỏ qua gói tin và không thông báo gì cho nơi gửi.
Các thông tin trong packet sẽ được tường lửa kiểm tra và so sánh với các rule đã có để quyết định cho phép hay hủy bỏ một gói tin. Chúng ta có thể tạo rule dựa trên các thông tin này. Chúng bao gồm: địa chỉ nguồn, địa chỉ đích, giao thức, port nguồn, port đích, dịch vụ, giá trị TTL, dải IP nguồn, dãi IP đích, Domain nguồn, Domain đích, ứng dụng nguồn, ứng dụng đích, thông tin chứng thực.
5/ Các mô hình Firewall thường dùng:
Firewall có thể được cấu hình thành nhiều các topology phù hợp với hệ thống mạng mà nó cần bảo vệ. Có ba topology phổ biến thường được sử dụng trong các hệ thống mạng hiện đại, đó là:
a/ Perimeter Firewall Topology:
Đây là mô hình Firewall phổ biến nhất, mô hình sẽ gồm một Firewall đặt nằm giữa các vùng mạng hoặc giữa các hệ thống tin cậy và không tin cậy:
Hình 2: Mô hình Perimeter Firewall.
Mô hình này thường được sử dụng khi chúng ta muốn công khai các nguồn tài nguyên ra các hệ thống mạng bên ngoài, khu vực mạng chứa các tài nguyên này được gọi là DMZ. Cũng giống như mô hình Perimeter Firewall, mô hình này sử dụng một tường lửa nhưng có thêm một card mạng khác để kết nối với DMZ. Tường lửa sẽ được cấu hình cho phép bên ngoài chỉ có thể truy cập đến những tài nguyên được chỉ định.
Hình 3: Mô hình 3 Legged (DMZ).
Mô hình này sử dụng 2 tường lửa để tạo DMZ nằm ở giữa hệ thống mạng nội bộ và bên ngoài. Việc cấu hình cho 2 firewall này tương đối phức tạp, nhưng nếu cấu hình đúng thì mô hình tường lửa này mang lại hiệu quả bảo mật rát cao. Mô hình này thường được áp dụng khi mạng nội bộ và bên ngoài muốn truy cập vào DMZ, sẽ có các rule ở mỗi tường lửa cho từng truy cập từ bên trong và bên ngoài.
Hình 4: Mô hình Chained (DMZ).
PHẦN II/ IPTABLES:
1/ Khái niệm:
IPTABLE là một loại tường lửa được phát triển bởi Netfilter Organiztion để tăng tính bảo mật trong các hệ điều hành Linux, nó là một Packet-Filtering Firewall. IPTABLE kiểm tra các packet vào và ra khỏi một Interface thông qua các rule được thiết lập sẵn. Thông qua IPTables, chúng ta có thể dễ dàng hiểu được cơ chế hoạt động của một hệ thống Firewall nói chung
2/ Chức năng:
· IPTABLE dùng để tăng tính bảo mật trên hệ thống của Linux.
· Tích hợp tốt với kernel của Linux.
· Có khả năng phân tích package hiệu quả.
· Lọc package dựa vào MAC và một số cờ hiệu trong TCP Header.
· Cung cấp chi tiết các tùy chọn để ghi nhận sự kiện hệ thống.
· Cung cấp kỹ thuật NAT.
· Có khả năng ngăn chặn một số cơ chế tấn công theo kiểu DoS.
3/ Cài đặt IPTables:
IPTABLE được cài đặt mặc định trong hệ thống của Linux. Package của IPTABLE là Iptable-1.2.9-1.0.i386.rpm.
Khởi động IPTABLE:
#service iptable start
#service iptable stop
#service iptable restart
IPTables gồm có 3 bảng: FILTER, MANGLE, NAT và các CHAIN trong mỗi bảng, người quản trị sử dụng chúng để tạo ra các rule cho IPTable để kiểm soát các gói tin ra vào hệ thống, chức năng của chúng như sau:
MANGLE: Dùng chỉnh sửa QoS bit trong phần TCP Header của gói tin.
FILTER: Dùng để lọc các gói tin, gồm có các chain được xây dựng sẵn. gồm:
_Forward Chain: Lọc những gói tin đi qua hệ thống này và chuyển qua môt hệ thống khác:
_Input Chain: Lọc những gói tin đi vào hệ thống:
_Output Chain: Lọc những gói tin đi ra khỏi hệ thống:
NAT: Sửa địa chỉ gói tin gồm các chain được thiết lập sẵn, bao gồm:
_Pre-Routing: Sửa địa chỉ đích của gói tin trước khi nó được routing bởi bảng routing của hệ thống (destination NAT hay DNAT).
_Post-Routing: Ngược lại với Pre-routing, nó sửa địa chỉ nguồn của gói tin sau khi gói tin đã được routing bởi hệ thống (SNAT).
5/ Targets và Jumps:
IPTables Rule kiểm tra những gói IP và xác định nó sẽ được xử lý theo kiểu nào (target). Sau đây là một số build-in targets thường được sử dụng:
ACCEPT: IPTables chấp nhận gói tin, đưa nó qua hệ thống mà không tiếp tục kiểm tra nó nữa.
DROP: IPTables loại bỏ gói tin, không tiếp tục xử lý nó nữa.
LOG: Thông tin của gói tin sẽ được ghi lại bởi syslog hệ thống, IPTables tiếp tục xử lý gói tin bằng những rules tiếp theo.
REJECT: Chức năng của nó cũng giống như DROP tuy nhiên nó sẽ gửi một error message tới host đã gửi gói tin.
DNAT: Dùng để sửa lại địa chỉ đích của gói tin.
SNAT: Dùng để sửa lại địa chỉ nguồn của gói tin
MASQUERADE: Cũng là một kiểu dùng để sửa địa chỉ nguồn của gói tin
Để xây dựng các rules còn phải sử dụng các tuỳ chọn để tạo điều kiện so sánh, sau đây là một số tuỳ chọn thường dùng:
-t: Chỉ ra tên của bảng mà rule của bạn sẽ được ghi vào (mặc định là FILTER).
-j: Nhảy đến một kiểu xử lý (target) tương ứng như đã định nghĩa ở trên nếu điều kiện so sánh thoả mãn.
-a: Ghi nối tiếp rule vào đuôi một chain.
-p: So sánh protocol gói tin.
-s: So sánh địa chỉ nguồn của gói tin.
-d: So sánh địa chỉ đích của gói tin.
-i: So sánh tên card mạng mà gói tin đi vào hệ thống qua đó.
-o: So sánh tên card mạng mà gói tin từ hệ thống đi ra qua đó.
-p tcp --sport: Xác định port nguồn của gói tin TCP.
-p tcp --dport: Xác định port đích của gói tin TCP.
-p udp --sport: Xác định port nguồn của gói tin UDP.
-p udp --dport: Xác định port đích của gói tin UDP.
--syn: Xác định gói tin có phải là một yêu cầu tạo một kết nối TCP mới hay không.
--icmp-type: Xác định loại gói ICMP (echo-reply hay echo-request).
-m multiport --sport < port, port >: Xác định một loạt các giá trị port nguồn.
-m multiport --dport < port, port >: Xác định một loạt các giá trị port đích.
-m multiport --port < port, port >: Xác định một loạt các giá trị port (không phân biệt nguồn hay đích).
-m --state < state >: Xác định trạng thái kết nối mà gói tin thể hiện
ESTABLISHED: Gói tin thuộc một kết nối đã được thiết lập.
NEW: Gói tin thể hiện một yêu cầu kết nối.
RELATED: Gói tin thể hiện một yêu cầu kết nối thứ hai (có liên quan đến kết nối thứ nhất, thường xuất hiện ở những giao thức FPT hay ICMP).
INVALID: Thể hiện một gói tin không hợp lệ.
6/ Một số ví dụ minh họa:
Chấp nhận những gói tin từ mọi địa chỉ ip (-s 0/0) đi vào từ eth0, gửi đến hệ thống có địa chỉ 192.168.1.1:
iptables -A INPUT -s 0/0 -i eth0 -d 192.168.1.1 -p TCP -j ACCEPT
Cho phép những gói tin từ mọi địa chỉ ip đi vào từ eth0 đi ra eth1 để đến hệ thống có địa chỉ 192.168.1.58, giá trị port nguồn của các gói tin trong phạm vi 1024 đến 65535 và giá trị port đích là 80.
iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP \--sport 1024:65535 --dport 80 -j ACCEPT
Hệ thống được phép thực hiện lệnh ping ra ngoài:
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
Mở dịch vụ web trên hệ thống 192.168.1.58. chỉ cho phép những gói tin có giá trị port nguồn trong phạm vi 1024:65535, giá trị port đích 80, 443 (http, https) từ mọi địa chỉ IP đi vào card mạng eth0 đi ra card mạng eth1 đến hệ thống 192.168.1.58. Cho phép hệ thống có địa chỉ 192.168.1.58 gửi (gửi trả lời) những gói tin TCP qua card mạng eth1 đi ra card mạng eth0:
iptables -A FORWARD -s 0/0 -i eth0 -d 192.168.1.58 -o eth1 -p TCP \
--sport 1024:65535 -m multiport --dports 80,443 -j ACCEPT
iptables -A FORWARD -d 0/0 -o eth0 -s 192.168.1.58 -i eth1 -p TCP \
-m state --state ESTABLISHED -j ACCEPT
ISA là một sản phẩm tường lửa (firewall) của Microsoft được người sử dụng hiện nay rất ưa chuộng nhờ khả năng bảo vệ hệ thống mạnh mẽ cùng cơ chế quản lý linh hoạt
ISA có 2 phiên bản chính là Standard và Enterprise:
Standard:
· Dành cho các doanh nghiệp có qui mô vừa và nhỏ.
· Xây dựng để kiểm soát các luồng dữ liệu vào ra của hệ thống mạng nội bộ.
· Triển khai các hệ thống VPN site to site, Remote Access để hỗ trợ truy cập từ xa,trao đổi dữ liệu giữa các văn phòng chi nhánh.
· Xây dựng các dùng DMZ riêng biệt cho các máy server của công ty (Web, Mail…).
· Ngoài ra còn có hệ thống đệm (caching) giúp kết nối web nhanh hơn
Enterprise:
· Đây là phiên bản dành cho các doanh nghiệp có qui mô lớn.
· Có đầy đủ các tính năng của phiên bản Standard bên cạnh đó còn cho phép thiết lập mảng các ISA server cung cấp khả năng Load Balancing.
| Nhập dải địa chỉ mạng sử dung |
Sau khi quá trình cài đặt hoàn tất, ISA sẽ tạo ra rule deny tất cả các client không được sử dụng internet.
Bước 1: vào ISA management à Firewall policy à New Rule:
Bước 2: Gõ “DNS Query” vào Access name à next:
Bước 3: Action chọn Allow ànext:
Bước 4: Trong This Rule apply to:chọn ”Select Protocols” à Add à Comand protocol là DNS à Ok à next:
Bước 5: Trong Access Rule Source chọn Add Network là Internal à Add à close à next:
Bước 6: Trong Access Rule Destination chọn Add Network là External à Add à close à next:
Bước 7: Trong User sets chọn giá trị mặc định là All user à next à finish (chọn nút apply phía trước có dấu chấm than):
Bước 8: Dùng lệnh Nslookup để phân giải một tên miền bất kỳ:
b/ Cho phép User sử dụng Email:
Tạo Access Rule theo các thông số sau:
Rule Name: Allow Mail (SMTP + POP3)
Action: Allow
Protocols: POP3 + SMTP
Source: Internal
Destination: External
User: All User
Các thao tác thực hiện như phần trên.
c/ Cấm truy cập Website được chỉ định:
Định nghĩa các trang web muốn cấm
Bước 1: ISA management à firewall policy à toolbox à Network Object à New à URL set.
Bước 2: Dòng name đặt tên là vnexpress àNew, khai 2 dòng http://vnexpress.net và http://vnexpress.net/* à ok
Tạo Rule:
Rule Name: Web bi cam
Action: Deny
Protocols: All Outbound Traffic
Source: Internal
Destination: URL Set “vnexpress”
User: All Users
Các thao tác làm tương tự như phần đầu
Sau khi tạo rule, click nút phải chuột, chọn “Move Up” cho đến khi giá trị order bằng 1
Kiểm tra: Thử logon vô một User nào đó rồi vào trang vnexpress.
4/ Cấu hình các mô hình Firewall trong ISA 2006:
a/ Tổng quan:
ISA Server Firewall là một tính năng chính của ISA, tinh năng này sẽ được cấu hình thông qua các Network Temlates, với các Template này chúng ta có thể nhanh chóng triển khai các mô hình ISA Firewall cho hệ thống mạng.
Các loại Network Template của ISA 2006 bao gồm: Edge Firewall, 3-Leg Perimeter và Front/Back Firewall.
b/ Cấu hình Edge Firewall:
Trong ISA, chọn Configuration>Network, ở ô cửa sổ bên phải chọn tab Templates, tiếp theo chọn template Edge Firewall:
Tại màn hình Welcome, nhấn Next:
Nếu ISA đã được cấu hình trước đó muốn lưu lại thì ấn Export chọn ổ đĩa và file cần lưu.Nếu không lưu thì ấn Next:
Nhập vào dải IP của mạng Internal, click Next:
Chọn các Firewall Policy phù hợp, click Next:
Tiếp theo chúng ta cấu hình lại các Rule cho phù hợp với yêu cầu của hệ thống mạng.
5/ Cấu hình Intrusion Detection:
Một tính năng rất quan trọng của ISA 2006 là Intrusion Detection (phát hiện xâm nhập), tính năng này dung để phát hiện các xâm nhập trái phép từ bên ngoài vào hệ thống mạng.
Cấu hình Intrusion Detection:
Trong ISA, chọn Configuration>General, bật chức năng Instruction Detection and DNS Attack Detection:
Mặc định ISA Server đã Enable một số tính năng trong Intrusion Detection nhưng không Enable tính năng Port scan, Trong Tab Common Attacks chọn Port Scan, sau đó click OK để bật tính năng quét port.
Tại màn hình ISA Server bật Monitoring lên chọn tiếp Tab Logging và chọn Start Query để theo dõi giám sát toàn bộ hoạt động của hệ thống mạng:
Trong này ISA sẽ ghi nhận lại toàn bộ các truy cập ra vào hệ thống mạng một cách chi tiết:
Tiếp theo chúng ta chọn Chọn Tab Alerts chọn tiếp link Configure Alert Definitions để có thể cấu hình hiển thị các cảnh báo:
Trong cửa sổ Alert Properties chọn tiếp Intrusion Detected và click Edit:
Tại đây chúng ta sẽ thêm cac thông tin như là email của quản trị mạng để ISA gửi cảnh báo, hoặc có thể chạy một chương trình khác để chống xâm nhập.
6/ Cấu hình Application Filter:
a/ Cấu hình HTTP Filter:
Để cấu hình bộ lọc HTTP, click phải vào một rule có liên quan đến giao thức HTTP, sau đó chọn Configure HTTP từ Contex Menu.
Tại vùng Request Header:
Maximum Headers length (bytes): là số byte lớn nhất cho một yêu cầu HTTP trong URL và HTTP Header.
Tại vùng Request Payload:
Maximum payload length (bytes): giới hạn số byte lớn nhất cho người dùng khi gửi các yêu cầu như HTTP POST trong môi trường Web Server.
Tại vùng URL-Protection:
Maximum URL Length (Bytes): độ dài lớn nhất của một URL được phép.
Maximum Query length (Bytes): độ dài lớn nhất của một URL trong yêu cầu HTTP.
Verify normalization:
Check tại tùy chọn này để đặc tả các yêu cầu đường dẫn URL chứa ký tự viết hoa sau ký tự thường và sẽ được thay thế bằng chữ thường.
Block High bit character:
Check tại tùy chọn này để các đường dẫn URL có chứa Ký tự byte kép (DBCS) hay kiểu
Latin1sẽ được loại bỏ. Một thiết lập kích hoạt thông thường sẽ loại bỏ các ngôn ngữ đòi hỏi hơn 8 bit trong hiển thị ký tự.
Executable:
Loại bỏ các đáp ứng chứa nội dung thực thi Windows. Tùy chọn này loại bỏ việc download và thực hiện các nội dung thực thi như file EXE.
Tiếp theo chúng ta sẽ cấu hình các phương thức HTTP được phép hoặc loại bỏ, ví dụ loại bỏ HTTP POST để User không thể gửi nội dung ra bên ngoài.
Hoặc loại bỏ việc thực thi một số định dạng file:
ISA có thể loại bỏ một số HTTP Header nào đó theo yêu cầu của quản trị. Lưu ý là việc loại bỏ một số HTTP Header có thể gây lỗi khi truy cập.
b/ SMTP Filter:
Một tính năng quan trọng dành cho Email trong ISA 2006 là SMTP Message Screener. SMTP Message Screener có thể kiểm tra các SMTP messages tại lớp ứng dụng (Application Layer) để sau đó tiến hành chuyển tiếp (Relay) hay loại bỏ (Reject Messages) dựa trên các thông số đã được cấu hình.
Để tiến hành thực Hiện SMTP Filter thì ISA phải được cài đặt SMTP Message Screener.
Cấu hình:
Trong ISA 2006, chọn Firewall Policy->New->Mail Server Publishing Rule.
Chú ý, rule này sẽ dùng Interface trên ISA Server 2006 để chấp nhận chuyển tiếp các email gửi vào (Incoming Mail), sau đó click Next.
Trên Select Server page, điền vào của Internal interface trên ISA Server 2006 cần muốn publish. Sau đó điền Primary IP Address trên Internal Interface của ISA Server 2006 firewall, click Next.
Trên Select Protocol Page, chọn SMTP Server Protocol từ danh sách Selected Protocol. Click Next.
Trên IP Addresses Page, đánh dấu check vào External và click Address.
Trong hộp thoại External Network Listener IP Selectio, chọn Specified IP addresses on the ISA Server computer in the selected network. Click IP address của External Interface mà bạn muốn sử dụng trong rule. Trong ví dụ này, IP address sẽ là 192.168.1.70, click Add, IP address giờ đã xuất hiện trong danh sách Selected IP Addresses, click OK.
Click Next trên IP Addresses page.
Click Finish trên Completing the New Server Publishing Rule Wizard page.
Bước kế tiếp tạo Server Publishing Rule chấp nhận chuyển tiếp mail từ trong ra ngoài (Outbound Relay), từ Internal network Exchange Server:
Chọn Firewall Policy > New > Mail Server Publishing Rule:
Cấu hình Outbound SMTP Relay Server Publishing Rule, Right click Outbound SMTP Relay Rule, chọn Configure SMTP:
Click trên General tab trong Configure SMTP Protocol Policy. Đánh dấu check vào Enable support for Message Screener.
Click trên Keywords tab. Đánh dấu check vào Enable this rule, click Add. Trong Mail Keyword Rule, điền vào Resume trong Keyword. Chọn Message header or body, tiếp theo chọn Hold message option từ danh sách Action cuối cùng click OK.
Click Apply rồi OK trong Configure SMTP Protocol Policy.
Cấu hình Inbound SMTP Relay Server Publishing Rule
Right click Inbound SMTP Relay rule và click Configure SMTP.
Click trên General tab trong Configure SMTP Protocol Policy. Đánh dấu check vào Enable support for Message Screener.
Click vào Keywords tab, click Add. Trong Mail Keyword Rule dialog box, điền vào mail enhancement trong Keyword. Chọn Message header or body option. Chọn Hold message option từ danh sách Action, click OK.
Click Apply và sau đó click OK trong Configure SMTP Protocol Policy.
Click Apply để lưu những thay đổi và cập nhật cho Firewall Policy.
Click OK trong Apply New Configuration.
TÀI LIỆU THAM KHẢO:
1. Microsoft 2003, MCSA Documentation 70-350, Module 10: Monitoring ISA Server 2006, ed. Microsoft Corporation.
2. Microsoft 2003, MCSA Documentation 70-291, Module 8: Security Network traffic by using IP Security and Certificates, ed. Microsoft Corporation.
3. CSP Program 2008, Tactical Perimeter Defense. Security Certified Program, LLC, Geneva, USA.
4. Tô Nguyễn Nhật Quang 2010, Bài giảng môn An toàn mạng máy tính, ed. TN Nhật Quang, Đại học Công nghệ thông tin, HCM.
HỎI ĐÁP THẢO LUẬN:
1/ Chức năng của Proxy Server?
Proxy trong Firewall làm nhiệm vụ kiểm soát và chuyển tiếp thông tin, tạo sự an toàn cho việc truy cập ra các mạng bên ngoài của Client. Những yêu cầu truy cập của Client với các hệ thống bên ngoài sẽ thông qua Proxy, điều này sẽ giúp che đấu các client thực sự bên trong, dấu định danh thực sự của các Client trong mạng nội bộ, rất khó để thâm nhập mạng nội bộ từ bên ngoài. Proxy còn giúp cải thiện tốc độ truy cập do có cơ chế cache. Thông qua Proxy, quản trị mạng có thể cấu hình các chính sách truy cập cho từng Client.
Firewall Proxy giúp ngăn chặn hiệu quả các xâm nhập từ bên ngoài vào client
2/ Tường lửa lớp 3 có kiểm soát port hay không?
Đây là sự nhầm lẫn trong Slide trình bày của nhóm, Firewall ở lớp 3 (Network) không kiểm soát port, chỉ có ở Application Firewall.
3/ So sánh sự khác nhau IPTables và Access List?
| Phương diện so sánh | Linux IPTables | Cisco Access List |
| Làm việc trên Layer 7 | Có | Cần có CBAC |
| Trace Router | Có | Không |
| Lọc gói yêu cầu chứng thực người dung | Có | Có (Dynamic ACL) |
| Lọc gói theo thời gian | Cần có tool của một bên thứ 3 | Có |
| Tarpit | Có | Không |
| Tích hợp Proxy | Có | Không |
4/ Firewall nào hỗ trợ phân quyền sử dụng băng thông cho từng user?
Hiện chưa có Firewall hỗ trợ tính năng này.
5/ Thế nào là theo dõi trạng thái của gói tin trong Firewall?
Theo dõi trạng thái gói tin là kiểm tra các trạng thái kết nối của gói tin đó như là: LISTEN, SYN-SENT, SYN-RECEIVED, ESTABLISHED, FIN-WAIT-1, FIN-WAIT-2, CLOSE-WAIT, CLOSING, LAST-ACK, TIME-WAIT, CLOSED.
Khi một gói tin mới đến, Firewall có thể xác định được nó là gói tin của kết nối mới hay là của một kết nối đang có.
6/ Giải pháp hạn chế tấn công SYN Flood?
Set Rule trong một khoảng thời gian nào đó thì chỉ nhận một số gói tin. Tương tự với các gói SYN, chỉ chấp nhận một số lượng các gói SYN trong một khoảng thời gian.
7/ Chức năng của DNAT, SNAT trong IPTable?
DNAT: dùng để sửa lại địa chỉ đích của gói tin.
SNAT: dùng để sửa lại địa chỉ nguồn của gói tin
Không có nhận xét nào:
Đăng nhận xét