Tải bản đầy đủ (.docx) (24 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Xây dựng chính sách an toàn cho máy chủ mail

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.29 MB, 24 trang )

Mục lục
LỜI NÓI ĐẦU...........................................................................................................2
I. Cài đặt exchange mail server 2007 trên windows server 2008...........................2
II. Khảo sát hệ thống mạng:.....................................................................................11
III. Phân tích hệ thống:............................................................................................12
III.1. Xác định tài sản trên mạng..........................................................................12
III.2. Xác định rủi ro............................................................................................12
III.3. Xác định yêu cầu.........................................................................................13
IV. Cấu trúc chính sách an toàn cho hệ thống.........................................................13
IV.1. Chính sách là gì?.........................................................................................13
IV.2. Cấu trúc chính sách an toàn.........................................................................13
V. Xây dựng các chính sách an toàn cho máy chủ web...........................................14
V.I. Các chính sách an toàn cho máy chủ web.....................................................14
V.II. Thiết lập các chính sách cho tường lửa:.......................................................17

1


DANH MỤC HÌNH ẢNH
Hình I.1: Cài đặt Active Directory Domain Services................................................5
Hình I.2: Cài đặt Power Shell....................................................................................5
Hình I.3: Cài đặt IIS 7...............................................................................................6
Hình I.4: Cài đặt IIS 7(tiêp).......................................................................................6
Hình I.5: Cài đặt IIS 7(tiêp).......................................................................................7
Hình I.6: Cài đặt IIS 7(tiêp).......................................................................................7
Hình I.7: Cài đặt IIS 7(tiêp).......................................................................................8
Hình I.8: Cài đặt IIS 7(tiêp).......................................................................................8
Hình I.9: Cài đặt IIS 7(tiêp).......................................................................................8
Hình I.10: Cài đặt IIS 7(tiêp).....................................................................................9
Hình I.11:Cài đặt Exchange Server 2007..................................................................9
Hình I.12: Cài đặt Exchange Server 2007(tiếp)......................................................10


Hình I.13: Cài đặt Exchange Server 2007(tiếp)......................................................10
Hình I.14: Cài đặt Exchange Server 2007(tiếp)......................................................11
Hình I.15: Cài đặt Exchange Server 2007(tiếp)......................................................11
Hình I.16: Cài đặt Exchange Server 2007(tiếp)......................................................12
Hình I.17: Cài đặt Exchange Server 2007(tiếp)......................................................12
Hình I.18: Cài đặt Exchange Server 2007(tiếp)......................................................13
Hình II.0.1: Mô hình mạng khảo sát của Học Viện Kĩ Thuật Mật Mã....................14
Hình IV.1: bảng tập luật thực thi trên tường lửa......................................................22

2


LỜI NÓI ĐẦU
Kể từ khi mạng máy tính ra đời nó không ngừng phát triển, các công nghệ luôn đổi
mới phù hợp hơn với nhu cầu sử dụng của người dùng, ứng dụng công nghệ thông tin vào
các hoạt động của cuộc sống ngày càng được nghiên cứu và phát triển mạnh mẽ, cùng với
đó, các ứng dụng hỗ trợ hoạt động của các doanh nghiệp được phát triển mạnh mẽ nhằm
hỗ trợ việc chia sẻ thông tin, dữ liệu phát triển mạnh mẽ, các công nghệ mới gần đây như
điện toán đám mây, họp trực tuyến,…đã đáp ứng được phần nào các nhu cầu đó .
Ngày nay, thư điện tử (email) là 1 công cụ vô cùng hữu ích và thiết thực trong đời
sống hàng ngày cũng như công việc kinh doanh của doanh nghiệp. Đi kèm với đó là việc
phải đảm bảo An toàn thông tin trong hệ thống. Trên cơ sở kiến thức căn bản về Phân tích
thiết kế hệ thông An toàn thông tin, chúng em chọn đề tài: “xây dựng chính sách an
toàn cho máy chủ mail chạy trên Windows Server” của học viện kỹ thuật mật mã. Nội
dung báo cáo bao gồm 5 phần:
Phần 1: Cài đặt exchange mail server 2007 trên windows server 2008
Phần 2: Khảo sát hệ thống mạng, phân tích hệ thống
Phần 3: Cấu trúc chính sách an toàn cho hệ thống
Phần 4: Xây dựng các chính sách an toàn cho máy chủ web và thực thi các chính sách
đó qua việc cấu hình, sử dụng tường lửa.

Trong quá trình thực hiện đề tài, nhóm chúng em còn nhiều thiếu sót và hạn chế rất
mong ý kiến góp ý của cô giáo và các bạn.
Nhóm sinh viên thực hiện

3


I. Cài đặt exchange mail server 2007 trên windows server 2008
Email Server – hay còn gọi là Máy chủ thư điện tử là máy chủ dùng để gửi và nhận
thư điện tử
 Nhận và gửi mail nội bộ
 Email server sẽ quản lý toàn bộ các tài khoản email trong hệ thống nội bộ
 Nhận mail từ email server của Sender (người gửi) và phân phối mail cho các tài
khoản trong hệ thống.
 Email server cho phép user (người dùng) có thể sử dụng webmail (mail trên
web) để nhận mail hoặc sử dụng Outlook hoặc cả hai, phụ thuộc và việc cài đặt
Email Server.
Microsoft Exchange Server là một trong những phần mềm Mail Server tốt nhất và
được sử dụng rộng rãi trên thế giới
 Thích hợp với các thệ hống có lượng nười dùng lớn nhờ khả năng mở rộng chạy
trên nhiều Server rất dễ dàng
 Phiên bản Exchange2007 là phiên bản đầu tiên chia tách hệ thống Email thành
nhiều công đoạn, chức năng riêng, mỗi chức năng được gọi là một Role - vai
trò. Có 5 role:
- Edge Transport Role : Giao tiếp với bên ngoài, nhằm tăng cường an ninh.
- Hub Transport Role : Trung tâm điều phối, chuyển Mail trong hệ thống, có
thể chuyển mail ra ngoài
- Mail box Server Role : Chứa các Mail box của người sử dụng, giao tiếp với
MAPI Client.
- Client Access Server Role : Phụ trách giao tiếp với các Client sử dụng

POP3, IMAP, HTTP…
- Unified Messaging Server Role : Một chức năng tích hợp thêm. Phụ trách
Voice và Fax.
I.1. Cài đặt các feature
Bước 1: Cài đặt Active Directory Domain Services remote management tools
Vào start > Run> CMD
4


Gõ lệnh: ServerManagerCmd -i RSAT-ADDS

Hình I.1: Cài đặt Active Directory Domain Services
Sau khi cài đặt xong ta cần reset máy.
Bước 2: Cài đặt Power Shell
Vào start > Run> CMD
Gõ lệnh: ServerManagerCmd -i PowerShell

Hình I.2: Cài đặt Power Shell
Bước 3: Cài đặt IIS 7
Vào start > Run> CMD
Gõ lệnh: ServerManagerCmd -i Web-Server
5


Hình I.3: Cài đặt IIS 7
Tiếp theo gõ : ServerManagerCmd -i Web-ISAPI-Ext

Hình I.4: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Metabase


6


Hình I.5: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Lgcy-Mgmt-Console

Hình I.6: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Basic-Auth

7


Hình I.7: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Digest-Auth

Hình I.8: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Windows-Auth

8


Hình I.9: Cài đặt IIS 7(tiêp)
Tiếp theo gõ :ServerManagerCmd -i Web-Dyn-Compression

Hình I.10: Cài đặt IIS 7(tiêp)
I.2. Cài đặt Exchange Server 2007
Tiến hành download file cài đặt từ trang chủ microsoft về máy và giải nén.
Chạy file setup.exe

Hình I.11:Cài đặt Exchange Server 2007


9


Hình I.12: Cài đặt Exchange Server 2007(tiếp)
Chọn “Next”

Hình I.13: Cài đặt Exchange Server 2007(tiếp)
10


Chọn “Next”

Hình I.14: Cài đặt Exchange Server 2007(tiếp)
Chọn “Next”

Hình I.15: Cài đặt Exchange Server 2007(tiếp)
11


Chọn “Typical Exchange Serer Installation” sau đó chọn “Next”

Hình I.16: Cài đặt Exchange Server 2007(tiếp)
Trong bước này nếu hệ thống sử dụng Outlook 2003 để gửi và nhận mail thì
chọn “Yes”. Trong trường hợp này hệ thống của chúng em không sử dụng
Outlook 2003 nên chọn “No”

12



Hình I.17: Cài đặt Exchange Server 2007(tiếp)

Phần mềm sẽ tự động kiểm tra các feature cần thiết đã được cài đặt hay chưa.
Nếu đã được cài đặt thì sẽ hiển thị như trên hình. Tiếp theo chọn “Install”

Hình I.18: Cài đặt Exchange Server 2007(tiếp)
Hệ thống sẽ tự động cài đặt. Sau khi cài đặt thành công, nhấn “Finish” để kết
thúc.
II. Khảo sát hệ thống mạng:
II.1. Khảo sát hệ thống:
Mô hình gồm có:
 Khu vực mạng LAN có địa chỉ : 192.168.2.0/24
 Khu vực mạng DMZ có địa chỉ; 192.168.1.0/24 bao gồm mail
server(192.168.1.3) và domain controller(192.168.1.2)
 Một firewall có 2 card mạng:
- card mạng có địa chỉ 192.168.1.1 kết nối tới vùng DMZ;
- card mạng có địa chỉ 192.168.2.1 kết nối tới mạng LAN;
13


Hình II.0.19: Mô hình mạng khảo sát của Học Viện Kĩ Thuật Mật Mã
II.2. Phân tích hệ thống:
1. Xác định tài sản trên mạng

 Các hệ thống máy chủ, máy trạm, thiết bị phần cứng
 Các máy chủ
 Các phần mềm, tập tin, dữ liệu sinh viên, giảng viên trong học viện.
2. Xác định rủi ro

 Tấn công vào vùng DMZ nơi đặt các máy chủ như Web, Mail, DNS

 tấn công tới người dùng (Social engineering) trong mạng, tấn công Spam
Mail
 Mạng chưa có hệ thống dự phòng do vậy tính sẵn sàng của hệ thống còn
nhiều điểm hạn chế.
 Tấn công vào từ chối dịch vụ vào máy chủ mail
 Xâm nhập vật lý tới các thiết bị cụ thể của hệ thống,
 Thiên tai, lũ lụt vv…
14


3. Xác định yêu cầu

 Cung cấp các dịch vụ gửi và nhận mail cho giảng viên, nhân viên của học
viện liên tục.
 Tiến hành phân loại, gán nhãn và sử dụng các thuật toán mã hóa để bảo mật
các file, mail được trao đổi trong và ngoài hệ thống
 Sử dụng firewall để thực thi các chính sách đảm bảo an toàn chung cho hệ
thống cũng như mail server
 Ban hành các chính sách truy cập, chính sách quy định trách nhiệm, tới các
nhân viên, sinh viên, quản trị trong hệ thống học viện.
 Xây dựng các chính sách đảm bảo an toàn cho máy chủ mail
 Đưa ra một số nguyên tắc nhằm chống lại các tấn công Spam Mail
III. Cấu trúc chính sách an toàn cho hệ thống
III.1. Chính sách là gì?
Chính sách an toàn trong môi trường thực là tập hợp các luật, quy định và thực
tiễn điều chỉnh việc tổ chức quản lý, bảo vệ và phân phối tài nguyên ra sao để đạt
được những mục tiêu an toàn của mình.
III.2. Cấu trúc chính sách an toàn
1. Mục đích:
Đưa ra các quy định phù hợp với thực tiễn của hệ thống giúp ích cho việc tổ chức,

quản lý nhân sự hay tài nguyên trong hệ thống, giúp cho hệ thống được an toàn
2. Phạm vi:
Chính sách an toàn có thể áp dụng cho từng đối tượng hay cho tất cả cán bộ công
nhân viên trong học viện KTMM, hoặc những người:
 Chịu trách nhiệm send dữ liệu nhạy cảm hay cá nhân ra môi trường ngoài.
 Nhận dữ liệu nhạy cảm hay cá nhân từ môi trường bên ngoài vào trong hệ
thống.
3. Nội dung chính sách:
Chính sách an toàn trên có nội dung là gì? Trong nội dung của chính sách chỉ rõ
những gì cần làm, không cần làm để đảm bảo an toàn cho hệ thống máy chủ mail.
15


Ngoài ra, nội dung của chính sách còn là tổng quan về quy định, điều luật phải
thực hiện trong hệ thống.
Các chính sách an toàn có thể là:
- Chính sách truy cập.
- Chính sách quy định trách nhiệm
- Chính sách xác thực, bảo mật,.....
4. Trách nhiệm của đối tượng
Những đối tượng được áp dụng vào chính sách thì phải có trách nhiệm tuân thủ,
thực hiện những quy định, điều luật trong chính sách, không vi phạm những gì mà
chính sách đề ra.
IV. Xây dựng các chính sách an toàn cho máy chủ web
IV.I. Các chính sách an toàn cho máy chủ web
Từ các rủi ro và yêu cầu của hệ thống mạng học viện, đưa ra chính sách an toàn cho
máy chủ mail của Học viện KTMM như sau:
1. Chính sách bảo vệ vật lý
 Mục đích:
- Bảo vệ hệ thống khỏi những hiểm họa vật lý.

- Bảo vệ dữ liệu của bạn khỏi những kẻ xâm nhập
- Đảm bảo môi trường vận hành an toàn cho các thiết bị phần cứng
 Phạm vi: Áp dụng cho toàn hệ thống
 Nội dung:
 Chính sách sử dụng văn phòng nơi đặt máy chủ cùng các thiết bị:
- Văn phòng có hệ thống báo động.
- Sử dụng khóa cửa kết hợp kiểm tra đa nhân tố.
- Văn phòng có hệ thống chống cháy,hút ẩm, thông gió,đường mạng chạy
ngầm dưới nền nhà, hệ thống cảnh báo cháy nổ.
 Chính sách quy định những nơi trong văn phòng chỉ dành cho những người
16


có thẩm quyền ra vào.
 Bản kiểm kê tài sản, bao gồm số seri sản phẩm và các mô tả vật lý.
 Phương án tiêu hủy giấy loại chứa thông tin nhạy cảm.
 Các phương án khẩn cấp :
- Người trực tiếp quản lý hệ thống phải được thông báo khi phát hiện hệ
thống bị rò rỉ tin nhạy cảm hoặc ở không đúng chỗ.
- Cần liên hệ người quản lý trong trường hợp có cháy, ngập lụt hoặc các
tai họa thiên nhiên khác xảy ra
- Cách thức sửa chữa khẩn cấp một loại khóa
- Cách thức để có thể liên lạc với các công ty, tổ chức cung cấp dịch vụ
như điện, nước và Internet
 Cách khôi phục thông tin từ hệ thống lưu trữ ngoại tuyến.
2. Chính sách giới hạn địa chỉ
 Mục đích: quyết định máy tính có địa chỉ IP đó có được phép sử dụng dịch vụ
hay không.
 Phạm vi:Cho tất cả tài khoản trên hệ thống
 Nội dung:Thực hiện trên firewall

Tường lửa ISA có khả năng xác định được địa chỉ IP của máy trạm có yêu cầu
sử dụng dịch vụ mail, sau dựa trên việc thiết lập allow/deny trên tường lửa để
qyết định máy tính có đực sử dụng từng lửa
Giả sử host-or-network có thể là:
- Tên host hoặc tên domain:
- Một địa chỉ IP có vấn đề: 192.168.2.2
- Một địa chỉ mạng hoặc subnet: 192.168.0.0/255.255.0.0
3. Chính sách xác thực
17


 Mục đích: Xác thực người dùng khi truy cập hệ thống, đảm bảo an toàn cho hệ
thống không bị xâm nhập bất hợp pháp
 Phạm vi: trên toàn hê thống
 Nội dung: Người dùng chỉ được phép đăng nhập vào hệ thống khi user và
password được xác thực thành công.
4. Chính sách bảo mật
 Mục đích:bảo vệ hệ thống khỏi những hiểm họa bên ngoài
 Phạm vi:trên toàn hệ thống
 Nội dung: thực hiện trên firewall, chặn các truy cập trái phép, các khả năng có
thể tấn công vào hệ thống.
Bên cạnh việc thiết lập các chính sách an toàn cho hệ thống, chúng ta còn có
thể sử dụng các chương trình diệt virus trên server như: ClamAV và Amavisdnew
5. Chính sách phân quyền
 Mục đích: Account cho một User sẽ xác định những hành động mà User đó có
thể thực hiện.
Việc phân loại account sẽ chỉ ra những cấp độ bảo vệ thích hợp khác nhau.
 Phạm vi: Cho tất cả các tài khoản trong hệ thống.
 Nội dung:Thực hiện trên máy chủ DomainController
Phân quyền truy cập, thực hiện thao tác cho các user, cho nhóm user…

Đối với nhân viên quản lý hệ thống:
+Người quản lý cao nhất sẽ nhận tất cả quyền đối với hệ thống.
+Nhân viên quản lý khác:sẽ nhận được tất cả quyền permissions
+ Đối với các nhân viên khác, học viên sẽ chỉ được cấp quyền truy cập, read,
(có thể có write)
18


6. Chính sách kiểm tra định kỳ
 Mục đích: Kịp thờ phát hiện các xâm nhập trái phép, lỗi hệ thống, các rủi ro
không đáng có, bảo đảm hệ thống vận hành ổn định.
 Phạm vi: các thiết bị phần cứng, phần mềm của hệ thống
 Nội dung:
- Thường xuyên kiểm tra các hoạt động trên web server một cách định kỳ
theo từng tháng
- Các file dữ liêụ được kiểm tra theo tuần.
- Máy chủ phải được đăng ký trong hệ thống quản lý của trường, các
thông tin cần thiết:
- Địa chỉ server, vị trí, thông tin backup
- Thông tin phần cứng, hệ điều hành
- Các chức năng chính, các ứng dụng được áp dụng
- Thông tin trong hệ thống phải được cập nhật thường xuyên
- Thay đổi cấu hình phải tuân theo những yêu cầu hợp lý
7. Chính sách về Dịch vụ an toàn
 Mục đích: Đảm bảo mail gửi và nhận trong hệ thống không chứa mã độc hoặc
spam
 Phạm vi: Cấu hình các dịch vụ an toàn, cài đặt các ứng dụng lọc các mail, spam
mail, thư rác,...
 Nội dung: Cấu hình các dịch vụ an toàn để không nhận email từ các email công
cộng, email rác hoặc email có đính kèm mã độc hại

8. Chính sách quy định trách nhiệm
19


 Mục đích: Xác định rõ trách nhiệm của cá nhân khi vi phạm chính sách hệ
thống
 Phạm vi: Tất cả các tài khoản trong hệ thống
 Nội dung: Các tài khoản spam hệ thống sẽ bị khóa tài khoản vĩnh viễn. Cá nhân
nào cố ý muốn xâm nhập, hủy hoại, đánh cắp thông tin nhạy cảm hệ thống sẽ bị
truy tố pháp luật.
9. Chính sách backup-dự phòng
 Mục đích: Đảm bảo hệ thống hoạt động thông suốt, không bị gián đoạn. Đề
phòng sự cố xảy ra
 Phạm vi: cho các thiết bị phần cứng, phần mềm cho toàn hệ thống.
 Nội dung: Hệ thống dự phòng để chia sẻ tài nguyên thông tin với các hệ thống
chính, chia sẻ tải và thay thế hệ thống chính khi cần thiết. Các file dữ liệu phải
được mã hóa, back up.
10. Chính sách sử dụng mật khẩu mạnh
Mục đích: Những kẽ hở từ Account có thể tạo cơ hội cho attacker:
 Password quá yếu (độ dài password quá ngắn, các kí tự đơn giản, lấy ngày
tháng năm sinh, tên những bộ phim, địa danh, nhân vật nổi tiếng , đặt cho
password).
 Dùng cùng password cho nhiều account. Password được dán bừa bãi lên
Monitor/Keyboard, hoặc lưu password vào một text file không bảo vệ.
 Chia sẽ password hệ thống của mình cho bạn đồng nghiệp…
Phạm vi: Tài khoản của học viên, nhân viên trong học viện.
Nội dung: Thực hiện trên máy chủ mail.
Chính sách tạo password sao cho an toàn thực sư là một trong những yếu tố
chính để bảo vệ tài khoản. Chính sách này bao gồm các yếu tố chính như sau:
 Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng

tối đa của password trước khi user phải thay đổi password. Thay đổi
password theo định kì sẽ giúp tăng cường an toàn cho tài khoản
 Thời gian tối thiểu password phải được sử dụng trước khi có thể thay đổi
20











(minimum password age). Admin có thể thiết lập thờigian này khoảng vài
ngày, trước khi cho phép user thay đổi password của họ.
Thực thi password history: Số lần các password khác biệt nhau phải sử dụng
qua, trước khi quay lại dùng password cũ. Số Password history càng cao thì
độ an toàn càng lớn.
Chiều dài password tối thiểu (minimum password length) cần phải đặt.
Càng dài càng an toàn
Password phải đạt yêu cầu phức hợp: không chỉ về độ dài mà còn về độ
phức hợp của các kí tự đặt password (ví dụ bạn có thể thấy sự khác biệt giữa
password và P@ssW0rd)
Khi dùng password phức hợp cần quan tâm:
- Không sử dụng họ và tên
- Chứa ít nhất 6 kí tự
- Có thể đan xen chữ hoa,(A..Z) thường (a..z), và các kí tự đặc biệt như: !
@#$%^&*()

Account lockout: Sẽ bị khóa tài khoản 600s nếu như sau 5 lần log-on không
thành công vào hệ thống. Mục đích của chính sách này nhằm ngăn chặn các
cuộc tấn công dạng brute force vào account để dò password

IV.II. Thực thi một số chính sách qua tường lửa:
1. Xây dựng các luật thực thi một số chính sách đảm bảo an toàn cho hệ thống thông
qua tường lưa

21


STT

Name
Rule

1

Stealth
rule

Any

Any

192.168.2.0/24

Any

Deny


2

Block
email
from
address

192.168.2.2

Any

172.16.1.1

110

Deny

3

Email in

Any

Any

172.16.1.1

110


Allow

Source Add

Source
Port

4

Email
out

4

block
DMZ

Any

5

Allow
internet

192.168.2.0/24 Any

6

Clearup
Rule


192.168.1.4

Any

25

Any

Any

Destination add

Any

Destination
add

Any

Action

Allow

192.168.1.0/24

Any

Deny


Any

Any

Allow

Any

Any

22

Deny

Decription
Cấm tất cả
các truy cập
trái phép tới
tường lửa
Chặn không
nhận email
từ một địa
chỉ nhất định
Cho
phép
email
tới
mail server

Cho phép

gửi mail ra
ngoài
Internet
Cấp truy cập
tới
vùng
DMZ
Cho
phép
người dùng
trong
Lan
truy
cập
Internet

Cấm tất cả
các truy cập
trái
phép
khác


2. Các luật sau khi đã thiết lâp trên tường lửa

Hình IV.20: bảng tập luật thực thi trên tường lửa

23



TÀI LIỆU THAM KHẢO


Sách, giáo trình, đồ án

[1] Phân tích thiết kế hệ thống an toàn thông tin – học viện kỹ thuật mật mã
[2] Báo Cáo Triển Khai Và Cài Đặt Exchange Server 2007 - Nguyễn Tiến Thắng


Internet
[1] />
24



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×