Hướng dẫn làm bài thi an toàn mạng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (894.97 KB, 22 trang )
Hướng dẫn làm bài thi An Toàn Mạng.
Ta có sơ đồ như hình vẽ.
Với x là số báo danh, y là theo router mạng thật bên ngoài, z là ip ta tự đặt.
Với yêu cầu như trên ta cần 4 máy ảo như sau.
-Máy ClientXP-Internal , Ram 140MB, card mạng vmnet2 đặt IP 101.x.0.2, subnet mask 255.255.0.0,
gateway 101.x.0.1, DNS 101.x.0.1
-Máy ClientXP-External, Ram 140MB, card mạng Bridged đặt IP 192.168.y.w(với y theo router mạng thật,
w tùy ý) , subnet mask 255.255.255.0, gateway 192.168.y.z, DNS 192.168.y.z(với z là IP card External của
ISA)
-Máy Web Server, Ram 240MB, card mạng vmnet3 đặt IP 100.x.0.3, subnet mask 255.255.0.0, gateway
100.x.0.1, DNS trống. Đã cài IIS và tạo sẵn web.
-Máy ISA Server, Ram 400MB, có 3 card mạng:
+Card Internal (vmnet2), IP 101.x.0.1 , subnet 255.255.0.0, gateway trống, DNS trống.
+Card Perimeter (vmnet3), IP 100.x.0.1, subnet 255.255.0.0, gateway trống, DNS trống.
+Card External (Bridged), IP 192.168.y.z (với y theo router mạng thật, z tùy ý), subnet 255.255.255.0,
gateway 192.168.y.1, DNS 8.8.8.8
Yêu cầu đã cài sẵn ISA trắng (không add thêm rule gì), và DNS đã phân giải tên miền
(hovaten là tên của mình) chuyển tới máy Web Server 100.x.0.3
-Cấu hình trên dành cho các máy có Ram 2GB, với các bạn máy mạnh(Ram 4GB) thì Ram các máy ảo trên
nên cộng thêm 50-100MB.
Sau khi chuẩn bị xong các máy trên chúng ta đã có 2đ.
Nếu muốn làm câu 3 trước thì ta khởi động 3 máy Client-External, Web Server, ISA Server. Nếu làm câu 2
trước thì ta chỉ cần khởi động trước 2 máy Client-Internal, ISA Server. Còn nếu chạy cả 4 máy thì ta khởi
động lần lượt từng máy theo thứ tự trên.
Sau khi máy ISA khởi động xong, ta mở ISA Server management lên, chọn nhánh Configuration>Network.
Ta chọn thẻTemplate, chọn mô hình 3-Leg Perimeter.
Ta next hai lần tới cửa sổ dưới thì bấm Add range và nhập vào 101.x.0.0 – 101.x.255.255
Ta Ok, và next để qua cửa sổ tiếp theo.
Ok. Next. Tiếp theo ta chọn Allow limited Web access
Next. Finish. Sau đó ta chọn Apply, để áp dụng cài đặt trên.
Lúc này ta vào nhánh Firewall Policy sẽ thấy hai rule mới được tạo.
Giờ ta bắt đầu cấu hình để cho máy Client-External ở mạng ngoài vào được web hovaten.com trên máy
Web Server.
-Ta nhấp đôi vào rule Web Access Only. Thẻ General ta có thể đổi tên tùy ý cho rule (nhưng nên đặt tên
dễ hiểu).
-Thẻ Protocol. Bấm Add, chọn DNS bấm Add để thêm vào
-Thẻ From. Ta Add thêm card External vào.
-Tại thẻ To. Ta Add thêm mục Local Host để các máy có thể truy nhập DNS.
Lúc này Rule Web Access Only của chúng ta sẽ như thế này.
Và bây giờ máy Client-External ở mạng ngoài đã có thể truy cập vào trang web hovaten.com.
Vậy là chúng ta đã hoàn thành câu 3 và có thêm 4đ nữa.
Tiếp theo, ta sẽ cấu hình để cho máy Client-Internal trong mạng Lan có thể truy cập được ra ngoài
Internet. Chặn và chuyển hướng tới một trang web khác. Cấm down load file, và cho phép truy cập
yahoo theo giờ.
-Về việc cho phép máy Client-Internal truy cập Internet, thì với cấu hình như trên máy Clien-Internal của
ta đã có thể truy cập Internet. Nhưng để chặn người dùng truy cập tới một trang web cụ thể nào đó thì
ta cần thực hiện các việc sau.
-Tạo danh sách website. Ta chọn Thẻ Toolbox, mục URL Sets, nhấp phải chọn New URL Set...
Tại cửa sổ mới hiện lên, ta nhập vào tên cho danh sách web. Bấm Add và nhập vào danh sách các
website.
Ok, vậy là ta có một danh sách các trang web.
Tiếp theo để chặn được các trang web đó, ta phải tạo một rule mới, cấm truy cập và đồng thời chuyển
hướng tới một trang web khác.
-Ta nhấp phải Firewall Policy > New > Access rule...
-Đặt tên cho rule, chọn Deny next
-Cửa sổ Protocol, ta chọn các giao thức HTTP, HTTPS, DNS.
-Cửa sổ Access Rule Sources ta Add mục Internal.
-Cửa sổ Access Rule Destination, ta Add mục External
-Next, và Finish. Chọn Apply để áp dụng Rule vừa tạo.
-Tiếp theo ta nhấp đôi vào Rule vừa tạo, chọn thẻ Action, đánh dấu vào Redirect HTTP... và gõ tên trang
web mà ta muốn chuyển hướng tới.
Chọn OK, và Apply để thay đổi có hiệu lực.
Lúc này máy Client-Internal vẫn có thể truy cập web, nhưng không thể vào được facebook nữa và sẽ bị
chuyến hướng tới trang web google.com.vn như trên.
-Tiếp theo, chúng ta cấu hình cho phép máy Client-Internal được phép vào yahoo trong khoảng thời gian
nhất định, và đồng thời cấm việc download các file có đuôi .exe
-Ta tạo một Rule mới, và đặt tên VD “cho phep yahoo”. Chọn Allow.
-Cửa sổ Protocol. Ta chọn User-Defined, chọn New Protocol.
-Đặt tên cho Protocol vừa tạo. Cửa sổ Primary Connection Information bấm New, nhấp vào From 5000 và
To 5050. Ok, next Finish.
-Sau đó ta Add Protocol vừa tạo vào.
-Cửa sổ Access Rule Sources, ta Add mục Internal.
-Cửa sổ Access Rule Destinations, ta Add mục External.
Chọn next, Finish và Apply để áp dụng rule vừa tạo.
Tới đây máy Client-Internal đã có thể truy cập vào Yahoo, nhưng để hạn chế thời gian truy cập, ta cần
làm thêm các bước sau.
-Ta chọn thẻ Toolbox, mục Schedules bấm New.
-Nhập tên, Chọn các vùng trong giờ hành chính đặt Inactive (màu trắng). OK và Apply.
-Ta nhấp đôi vào rule Cho phep Yahoo khi nãy. Chọn thẻ Schedule, chọn mục ngoai gio hanh chinh vừa
tạo. OK Apply.
Lúc này máy Client-Internal đã không thể vào được Yahoo từ các khoảng thời gian 8-11h và 13h-17h nữa.
-Cuối cùng để cấm download các file .exe ta làm như sau.
-Trong thẻ Toolbox, chọn mục Content Types, bấm New.
-Đặt tên cho content, chọn application/*, rồi gõ thêm .exe , bấm Add như hình dưới. Ok Apply.
-Ta nhấp đôi vào Rule Web Access Only, chọn thẻ Content Types.
-Chọn vào Selected content types.....
-Đánh dấu vào tất cả các mục trừ mục .exe chúng ta vừa tạo.
Tới đây máy Client-Interal của ta vẫn có thể truy cập web bình thường, nhưng không thể download các
file có đuôi .exe được nữa.
Và bài làm của chúng ta cũng đã hoàn tất. +4đ
Trong quá trình làm bài có nhiều yếu tố khiên bài làm chạy không như mong muốn, vì vậy các bạn chuẩn
bi Source thật tốt cho các máy ảo trên, để thi không gặp sự cố.
Chúc cả lớp thi tốt.
