Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 500/555
- “Forward the original host header instead of the actual one (specified above)”: Chỉ định cơ
chế chuyển yêu cầu vào Web Server nội bộ theo dạng host header name, tùy chọn này được sử
dụng trong trường hợp ta muốn publish Web hosting cho một Web Server.
- “Path”: Chỉ định tên tập tin hoặc thư mục ta muốn truy xuất vào Web Server nội bộ.
- “Site”: Chỉ định tên Web Site được publish.

Hình 5.22: Chỉ định Web Site cần Publish.
1. Chỉ định một số thông tin về FQDN hoặc IP addresses được phép truy xuất tới publish Web Site
thông qua Web Publishing Rule (tham khảo hình 5.23). Các tùy chọn cần thiết:
- Accept requests for: Chỉ định tên publish được Web listener chấp nhận.
- Path (optional): Chỉ định đường dẫn Web Site cho phép truy xuất
- Site: Tên Web Site được phép truy xuất Web Site nội bộ.

Hình 5.23: Chỉ định tên domain được truy xuất publish site.
2. Chọn Web Listener cho Web Publishing Rule (là một Network Object được sử dụng cho Web
Publishing Rule để listen các kết nối đi vào interface (incoming connection) theo port được
định nghĩa trước), ở bước này ta có thể lựa chọn Web Listener đã tạo trước đó hoặc ta có thể tạo
mới Web Listener. Sau đây là một số bước tạo mới Web Listener.

- Từ hộp thoại “Seclect Web Listener“ bằng cách nhấp chuột vào nút New…, cung cấp tên Web
Listener trong hộp thoại “Welcome to the New Web Listener Wizard”, chọn Next.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 501/555
- Chọn tên Interface cho phép chấp nhận kết nối Incoming Web, sau đó ta có thể chọn nút
Address để chỉ định địa chỉ IP cụ thể trên interface đã lựa chọn, Chọn nút Add> (tham khảo hình

5.24), cuối cùng ta chọn nút OK để chấp nhận quá trình tạo mới Web Listener, chọn Next để tiếp
tục.

Hình 5.24: Chọn địa chỉ chấp nhận incoming web request.
3. Chỉ định HTTP port và SSL port trong hộp thoại Port Specification cho phép ISA Server sử
dụng để chấp nhận incoming web requests, chọn Next.
4. Chọn Finish để hoàn tất quá trình.
V.5.3 Publish Mail Server.
Các bước tiến hành publish Mail server:
1. Kích hoạt màn hình “Microsoft Internet Security and Acceleration Server 2004 management
console”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab.
2. Trên Tasks tab, chọn liên kết “Publish a Mail Server”, hiển thị hộp thoại “Welcome to the New
Mail Server Publishing Rule Wizard” yêu cầu nhập tên Mail Server Publishing Rule, chọn Next
để tiếp tục.
3. Chọn các tùy chọn về loại truy xuất cho Client trong hộp thoại “Select Client Type” (Tham khảo
hình 5.25).
- Web client access: Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server
ActiveSync: Publish Web Mail Server để cho phép client có thể truy xuất E-Mail qua Web
thông
qua OWA, OMA, ESA,
- Client access: RPC, IMAP, POP3, SMTP: Publish các giao thức IMAP, POP3, SMTP cho Mail
Server.
- Server-to-server communication: SMTP, NNTP: Cho phép Server Mail bên ngoài có thể giao
tiếp với Server Mail nội bộ thông qua giao thức SMTP, NNTP.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 502/555

Hình 5.25: Chọn Client Type.

1. Ví dụ trong bước 3 ta chọn tùy chọn Web Client Access, chọn Next, sau đó xuất hiện hộp thoại
“Select Services” cho phép ta chọn các dịch vụ Exchange Web Services bao gồm: Outlook
Web Access, Outlook Mobile Access, Exchange ActiveAsync (tham khảo hình 5.26), chọn
Next để tiếp tục.

Hình 5.26: Chọn Exchange Web Services.
2. Chỉ định địa chỉ Web Mail Server trong hộp thoại “Specify the Web Mail Server”, chọn Next.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 503/555

Hình 5.27: Chỉ định địa chỉ Web Mail Server.
3. Chỉ định Publish Name được Web Listener chấp nhận trong hộp thoại “Public Name Details”,
chọn Next.

Hình 5.28: Chỉ định Publish Name.
4. Chọn Finish để hoàn tất quá trình.
V.5.4 Tạo luật để publish Server.
Tạo luật để publish một Server thực chất các thao tác cũng tương tự như ta publish một Web hoặc
Mail chỉ có điều ta được phép lựa chọn protocol cần được publish, khi ta publish một Server ta cần
chuẩn bị một số thông số sau:
-
Protocol mà ta cần publish là protocol gì?
- Địa chỉ IP trên ISA firewall chấp nhận incoming connection.
- Địa chỉ IP address của Publish Server nội bộ (Protected Network server).

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 504/555


Hình 5.29: Mô hình tạo luật để publish server.
Các bước tạo một Publish Server:
1. Kích hoạt màn hình “Microsoft Internet Security and Acceleration Server 2004 management
console”, mở rộng mục chọn Server Name, chọn nút Firewall policy, chọn Tasks tab.
2. Trên Tasks tab, chọn liên kết “Create New Server Publishing Rule”, hiển thị hộp thoại
“Welcome to the New Server Publishing Rule Wizard” yêu cầu nhập tên Server Publishing
Rule, chọn Next để tiếp tục.
3. Chỉ định địa chỉ của server nội bộ cần để publish, ch
ọn Next để tiếp tục.

Hình 5.30: Chỉ định địa chỉ của Server để publish.
4. Chọn Protocol cần để Publish, chọn Next.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 505/555

Hình 5.31: Chọn protocol.
5. Chọn tên Interface cho phép chấp nhận kết nối Incoming Web, sau đó ta có thể chọn nút
Address để chỉ định địa chỉ IP cụ thể trên interface đã lựa chọn, Chọn nút Add> (tham khảo hình
5.24), cuối cùng ta chọn nút OK để chấp nhận quá trình tạo mới Web Listener, chọn Next để tiếp
tục.
6. Chọn Finish để hoàn tất quá trình.
V.6. Kiểm tra trạng thái và bộ lọc ứng dụng.
ISA firewall có thể thực thi được hai chức năng quan trọng stateful filtering và stateful application
layer inspection. stateful filtering kiểm tra và thiết lập bộ lọc tại tầng network, transport. Stateful
filtering thường được gọi là bộ kiểm tra trạng thái packet (stateful packet inspection). Trái ngược
với phương thức packet filtering dựa trên hardware firewalls, ISA firewall có thể kiểm tra thông tin
tại tầng ứng dụng (stateful application layer inspection). stateful application layer inspection yêu

cầu Firewall có thể
kiểm tra đầy đủ thông tin trên tất cả các tầng giao tiếp bao gồm hầu hết các tầng
qua trọng và application layer trong mô hình tham chiếu OSI.
V.6.1 Lập bộ lọc ứng dụng.
ISA firewall thiết lập bộ lọc ứng dụng (Application filters) với mục đích bảo vệ các publish server
chống lại một số cơ chế tấn công bất hợp pháp từ bên ngoài mạng, để hiệu chỉnh b
ộ lọc ta chọn mục
Add-ins trong Configuration Panel, sau đó ta nhấp đôi chuột vào tên bộ lọc cần hiệu chỉnh,…Một số
các bộ lọc ứng dụng cần tham khảo như:
- SMTP filter and Message Screener: SMTP filter và Message Screener được sử dụng để bảo vệ
publish SMTP server chống lại cơ chế tấn công làm tràn bộ nhớ (buffer overflow attacks),
SMTP Message Screener bảo vệ mạng nội b
ộ ngăn một số E-mail messages không cần thiết.
- Dùng SMTP filter để ngăn chặn địa chỉ Mail hoặc domain truy xuất Publish STMP Server (tham
khảo hình 5.32)

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 506/555

Hình 5.32: ngăn chặn Users/domain sử dụng SMTP.
- Dùng SMTP filter để ngăn chặn gởi file đính kèm (tham khảo hình 5.33), ta có thể xóa, lưu giữ
message, chuyển message đối với file đính kèm có tên file giống với tên được mô tả trong
Attachment name:, hoặc file đính kèm có phần mở rộng được mô tả trong Textbox Attachment
Extensions, hoặc file đính kèm có kích thước lớn hơn hay bằng kích thước mô tả trong textbox
Attachment size limit (bytes):,

Hình 5.33: ngăn chặn Users/domain sử dụng SMTP.
- DNS filter: Được sử dụng để bảo vệ Publish DNS Server để ngăn, chống lại một số cơ chế tấn
công từ bên ngoài vào dịch vụ DNS.

- POP Intrusion Detection filter: Được sử dụng để bảo vệ Publish POP Server để ngăn, chống lại
một số cơ chế tấn công từ bên ngoài vào dịch vụ
POP.
- SOCKS V4 filter: được sử dụng để chấp nhận yêu cầu kết nối SOCKS version 4. SOCKS v4
filter mặc định không được kích hoạt. Thông thường hệ thống Windows không cần sử dụng
SOCKS filter vì ta có thể cài đặt Firewall client trên các máy mà ta muốn chứng thực trong suốt
(transparently authenticate) với ISA firewall. Ta có thể enable SOCK v4 fileter để cung cấp
dịch vụ SOCK cho các host không thể cài đặt Firewall clients như Linux và Mac hosts. Để

enbale SOCK services ta nhấp đôi chuột vào mục SOCK V4 Filter, sau đó chọn tùy chọn Enable
this filter, chọn Networks Tab để chọn interface trên ISA Firewall cho phép listen tại port 1080.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 507/555

Hình 5.32: Kích hoạt SOCK Service.
V.6.2 Thiết lập bộ lọc Web.
ISA firewall Web filters được sử dụng để ISA firewall lọc các kết nối thông qua giao thức HTTP,
HTTPS, and FTP tunneled (Web proxied).
HTTP Security filter: Là một trong những kỹ thuật chính yếu để thiết lập bộ lọc ứng dụng, HTTP
Security filter cho phép ISA firewall thực hiện một số cơ chế kiểm tra thông tin ứng dụng
(application layer inspection) dựa trên t
ất cả các HTTP traffic qua ISA firewall và chặn các kết nối
không phù hợp với yêu cầu được mô tả trong HTTP security, để thay đổi HTTP Security Filter ta
nhấp đôi chuột vào Web Publishing Rule | Traffic Tab | Filtering | Configure HTTP.
- General Tab: Quy định chiều dài tối đa của HTTP Request Header, URL Length, giới hạn thông
tin trả về có chứa các code thực thi,
- Methods Tab: Điều khiển các HTTP method như: GET, PUT, POST, HEAD, SEARCH,
CHECKOUT,…

- Extensions Tab: Giới hạn file extensions trong các thông tin request của user, như ta có thể
block các user truy xuất file có phần mở rộng là .exe, .com, .zip.
- Headers Tab: Giới hạn HTTP header trong các thông tin yêu cầu cũng như thông tin trả lời từ
Web client.
- Signatures Tab: Cho phép điều khiển truy xuất dựa vào HTTP signature. Thông tin chữ ký
(signatures) dựa vào chuỗi ký tự có trong HTTP communication.

Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 508/555

Hình 5.32: Cấu hình HTTP policy.
ISA Server Link Translator: Link Translator là một trong những kỹ thuật được xây dựng sẵn trong
ISA firewall Web filter để thực hiện biến đổi địa chỉ URL cho các kết nối của user bên ngoài truy xuất
vào Web publishing nội bộ, Link Translation dictionary được tạo khi ta kích hoạt (enable) link
translation cho Web Publishing Rule. Một số Link Translator dictionary mặc định:
- Bất kỳ sự kiện nào xảy ra trên Web Site
được chỉ định trong Tab To của Web Publishing Rule
được thay thế bằng một tên Web Site (hoặc địa chỉ IP). Ví dụ, nếu ta đặt một luật cho Web
Publishing là chuyển tất cả các incoming request theo địa chỉ của
Client truy xuất vào ISA Server thì sẽ chuyển tới Web Server nội bộ có tên là SERVER1 (có địa
chỉ192.168.1.1), khi đó ISA Server sẽ thay thế tất cả các response của http://SERVER1 thành địa
chỉ
gởi trả lại cho Client bên ngoài.
- Nếu không chỉ định port mặc định trên Web listener, thì port đó sẽ được gởi trả lại cho Client. Ví
dụ, nếu có chỉ định port mặc định trên Web listener thì thông số port sẽ được loại bỏ khi thay thế
địa chỉ URL trong trang trả về (response page). Nếu Web listener lắng nghe (listening) trên port
88 của giao thức TCP thì thông tin trả v
ề cho Web Client có chứa giá trị port 88 của giao thức
TCP.

- Nếu Client sử dụng HTTPS gởi yêu cầu đến ISA firewall thì firewall sẽ thay thế HTTP thành
HTTPS gởi trả về Client.
- Ví dụ: Giả sử ISA firewall publish một site trên máy có tên là SERVER1. ISA firewall publish
site sử dụng tên chính (public name) là www.msfirewall.org/docs. External Web client gởi một
request với thông tin “GET /docs HTTP/1.1Host: www.msfirewall.org” Khi Internet Information
Services (IIS) Server nhận request thì nó sẽ tự
động trả về mã số 302 response với header
được mô tả là http://SERVER1/docs/, đây là tên nội bộ (Internal Name) Web server. Link
Translator của ISA firewall sẽ thay đổi (translates) header trả lời (response header) với giá trị
là Trong ví dụ trên thì một số thông tin (entries) sẽ tự động thêm
vào Link Translation dictionary:
http://SERVER1
>
http://SERVER1:80
>
https://SERVER1 >

https://SERVER1:443 >


Tài liệu hướng dẫn giảng dạy

Học phần 3 - Quản trị mạng Microsoft Windows Trang 509/555
- Nếu ISA firewall publish một site sử dụng Web listener không phải trên port mặc định
(nondefault ports) ( ví dụ: 85 cho HTTP và 885 cho SSL),thì địa chỉ URL sẽ được thay đổi như
sau theo các mục ánh xạ địa chỉ URL như sau:
http://SERVER1 > :85
http://SERVER1:80 > :85
https://SERVER1 > :885
https://SERVER1:443 > :885

V.6.3 Phát Hiện Và Ngăn Ngừa Tấn Công.
- Một số phương thức tấn công thông dụng:
Denial-of-Service Attacks: Là kiểu tấn công rất lợi hại, vớ
i kiểu tấn công này ,bạn chỉ cần 1 máy tính
kết nối đến internet là đã có thể thực hiện việc tấn công đối phương. thực chất của DoS là attacker sẽ
chiếm dụng 1 lượng lớn tài nguyên trên Server làm cho Server không thể nào đáp ứng yêu cầu của
người dùng khác và Server có thể nhanh chóng bị ngừng hoạt động hay bị treo. Attacker làm tràn
ngập hệ thống có thể là bằng tin nh
ắn, tiến trình, hay gửi những yêu cầu đến hệ thống mạng từ đó
buộc hệ thống mạng sẽ sử dụng tất cả thời gian để khứ hồi tin nhắn và yêu cầu. nhiều lúc dẫn đến việc
bị tràn bộ nhớ. Khi sự làm tràn ngập dữ liệu là cách đơn giản và thông thường nhất để phủ nhận dịch
vụ thì 1 attacker không ngoan hơn sẽ có th
ể tắt dịch vụ, định hướng lại và thay thế theo chiều hướng
có lợi cho attacker.
SYN Attack/LAND Attack: bằng cách lợi dụng cơ chế bắt tay đối với một số dịch vụ dựa trên chuẩn
giao thức TCP, Client tấn công theo kiểu SYN attack bằng cách gởi một loạt SYN packets mà có địa
chỉ nguồn giả, điều này Client có thể làm tràn ngập (flooded) hàng
đợi ACK của gói SYN/ACK gởi
cho Client từ Server, đến một lúc nào đó Server sẽ bị quá tải.
Ngoài ra còn có một số phương thức tấn công khác như: Ping of Death, Teardrop, Ping Flood
(ICMP Flood), SMURF Attack, UDP Bomb, UDP Snork Attack, WinNuke (Windows Out-of-Band
Attack), Mail Bomb Attack, Scanning and Spoofing, Port Scan.
Để cho phép ISA Firewall có thể dectect và ngăn một số phương thức tấn công trên ta truy xuất vào
hộp thoại
Intrusion Detection bằng cách mở giao diện “Microsoft Internet Security and
Acceleration Server 2004 management console”, chọn nút Configuration. Chọn nút General, sau
đó ta nhấp chuột vào liên kết “Enable Intrusion Detection and DNS Attack Detection” (tham khảo
hình 5.33)

Tài liệu hướng dẫn giảng dạy


Học phần 3 - Quản trị mạng Microsoft Windows Trang 510/555

Hình 5.33: Phát hiện một số cơ chế tấn công.
Chọn DNS Attacks Tab để hiệu chỉnh một số phương thức ngăn, ngừa tấn công theo dịch vụ DNS
(tham khảo hình 5.34 ).

Hình 5.34: Phát hiện và ngăn tấn công DNS.
- IP option filtering.
Ta có thể thiết lập một số bộ lọc cho giao thức IP để chống lại một số cơ chế tấn công dựa vào một số
tùy chọn của giao thức này. Để cấu hình ta chọn liên kết Define IP preferences trong nút
Configuration (tham khảo hình 5.35).