Đồ án Xây dựng hệ thống tường lửa cho doanh nghiệp với Microsoft Isa Server

ed DNS Server 192.168.10.10 Mô Tả FTP Server IP Address 172.16.10.10 Subnet Mask 255.255.255.0 Default Gateway 172.16.10.100 Preferred DNS Server 192.168.10.10 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 26 2. Chi Nhánh – Quận 5 INTERNAL FQDN dc2.phugiasc.vn Mô Tả Additional DC, Secondary DNS, DHCP IP Address 10.0.0.10 Subnet Mask 255.255.255.0 Default Gateway 10.0.0.1 Preferred DNS Server 10.0.0.10 Alternate DNS Server 192.168.10.10 LOCAL HOST FQDN isa3.phugiasc.vn Mô Tả ISA Server Card Mạng External Internal IP Address 192.168.1.30 10.0.0.1 Subnet Mask 255.255.255.0 255.255.255.0 Default Gateway 192.168.1.1 Preferred DNS Server 10.0.0.10 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 27 II- Xây Dựng Hệ Thống Mạng 1. Triển khai Domain Controller Tổng quan: - Domain Controller là một máy chủ điều khiển, xác lập và quản lý tên miền (domain) trong hệ thống Windows, có nhiệm vụ trả lời những yêu cầu về bảo mật, quyền truy cập, quản lý tài khoản, của các máy tính sử dụng các dịch vụ domain. - Domain Controller trong đề tài này được sử dụng như một máy chủ quản lý tên miền, nhóm người dùng, tài nguyên cục bộ cho công ty Phugiasc. Triển Khai: - Để xây dựng Domain Controller, việc đầu tiên ta cần triển khai DNS cho công ty Phugiasc với địa chỉ 192.168.10.10 để các máy client trong công ty phân giải tên máy chủ. - Xây dựng Domain với tên miền: phugiasc.vn và sử dụng dịch vụ Active Directory Users and Computers để lưu trữ và quản lý dữ liệu về các đối tượng trong DC như: Group, OU,User, Policy, TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 28 2. Triển Khai ISA Server . Cài đặt ISA Storage Tổng quan: - ISA Storage là một máy chủ lưu trữ toàn bộ cấu hình của các máy member ISA trong hệ thống. Các máy member ISA sẽ tham gia vào hệ thống lưu trữ này qua Array đã được tạo tại ISA Storage. - Việc triển khai ISA Storage nhằm mục đích xây dựng hệ thống cân bằng tải, giúp chia tải công việc giữa các member ISA, duy trì hoạt động hệ thống liên tục ổn định. Triển Khai: - Giả lập xây dựng ISA Storage trên máy DC. - Triển khai ISA Storage ở chế độ cài đặt: Install Configuration Storage server. - Cài đặt hoàn tất, tiến hành tạo Array trên ISA Storage nhằm mục đích để các máy member ISA tham gia vào hệ thống lưu trữ này. - Khởi động ISA Storage -> Right click vào Arrays chọn New Array với tên: phugiasc TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 29 - Kết quả: - Ủy quyền lưu trữ cho các member ISA bằng thao tác vào thẻ Toolbox/ Network Objects/ Computer Sets chọn Managed ISA Server Computers Propertise. Lần lượt gán địa chỉ cho 2 máy ISA server. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 30 2.2 Cài đặt ISA Array Tổng quan: - ISA Array là một trong các member ISA tham gia vào hệ thống Array để đồng bộ dữ liệu với ISA Storage. Ngoài ra, ISA Array được hiểu như một Firewall Server quản lý truy xuất giữa các lớp mạng trong hệ thống qua cấu hình của người quản trị. Triển khai: - Triển khai ISA Array lần lượt tại tại các member ISA. - Cài đặt ISA Array ở chế độ: Install ISA Server services TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 31 - Tham gia các member ISA này vào Array: phugiasc đã được tạo tại ISA Storage. - Gán lớp mạng Internal để quản trị TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 32 - Tương tự, thực hiện cài đặt ISA Array tại ISA2 và tham gia vào Array: phugiasc. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 33 3. Triển Khai Web Server Giới thiệu: - Web Server là một máy chủ lưu trữ thông tin, truyền tải cơ sở dữ liệu đến người sử dụng thông qua giao thức HTTP bằng các trình duyệt Web. - Trong đề tài, triển khai Web Server để lưu trữ website nội bộ cho Công ty Phugiasc. Triển khai: - Tại máy DC, triển khai DNS cho máy chủ Web với địa chỉ: 172.16.10.10 và tạo Alias (CNAME): www.phugiasc.vn và trỏ về địa chỉ: 172.16.10.10 với mục đích phân giải tên máy chủ Web và truy xuất Website thông qua trình duyệt web. - Xây dựng máy chủ Web với tên truy vấn: www.phugiasc.vn qua port: 80 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 34 4. Triển Khai Mail Server Giới thiệu: - Mail server là máy chủ chuyên dụng để nhận và gửi mail, quản lý tài khoản người sử dụng mail và phân phối mail trong hệ thống. Ngoài ra, máy chủ mail còn cho phép người sử dụng web-mail (dùng mail thông qua trình duyệt web) và các phần mềm ứng dụng để truyền tải nhận mail. - Trong đề tài, triển khai Mail server để trao đổi mail trong hệ thống Công ty Phugiasc Triển khai: - Tại máy DC, triển khai DNS cho máy chủ Mail với địa chỉ: 172.16.10.10 và tạo Alias (CNAME): mail.phugiasc.vn và trỏ về địa chỉ: 172.16.10.10 với mục đích phân giải tên Mail server. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 35 - Xây dựng Mail server với chương trình Mail Daemon với FQDN là: mail.phugiasc.vn và địa chỉ là: 172.16.10.10 TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 36 5. Triển Khai Web-mail Sử Dụng Port 80 Giới thiệu: - World Client và Web Admin là 2 ứng dụng của Mail Daemon duyệt mail thông qua giao thức HTTP. Mặc định truy xuất mail qua trình duyệt web, World Client được sử dụng ở port 3000 và Web Admin được sử dụng ở port 1000. - Mục đích triển khai Web-mail sử dụng port 80 để triển khai Certificate Authority (CA) tự cấp trong cục bộ (triển khai tại phần 6.1). Triển khai: - Tại máy DC, vào dịch vụ DNS lần lượt tạo Host: client trỏ về địa chỉ: 172.16.10.11 và Host: admin trỏ về địa chỉ: 172.16.10.12 - Tạo các Application Pool cho World Client và Web Admin ở chế độ Local System và áp đặt cho các Web-mail. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 37 - Trên Web Server, vào IIS lần lượt tạo Website: World Client với địa chỉ truy xuất: 172.16.10.11 và trỏ về đường dẫn: C:\Mdaemon\WorldClient\HTML\WorldClient.dll và Web Admin với địa chỉ truy xuất qua: 172.16.10.12 và trỏ trỏ về đường dẫn: C:\Mdaemon\WebAdmin\Templates.dll - Định ngh a file: WorldClient.dll và WebAdmin.dll, cho phép các file mở rộng này được sử dụng trong dịch vụ Web bằng thao tác tại mục Web Service Extensions chọn Add a new Web service extension trỏ đường dẫn về: C:\Mdaemon\WorldClient\HTML\WorldClient.dll đối với World Client và C:\Mdaemon\WebAdmin\Templates.dll đối với Web Admin. - Tại Mail Server: gán Security thư mục Mdaemon cho tài khoản IUSR (nhóm tài khoản khách viếng thăm vào website) với quyền Full control. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 38 - Vào dịch vụ Mail Daemon tại thẻ Setup chọn Web & SyncML Services chuyển Web mail: World Client và sử dụng ở chế độ IIS. - Tương tự, Web Admin cấu hình sử dụng trên IIS. - Restart IIS và mail Daemon. Logon vào Client trong vùng Internal kiểm tra Web mail đã được sử dụng port 80 với tên truy xuất: client.phugiasc.vn và admin.phugiasc.vn TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 39 6. Triển Khai Wildcard Certificate Tổng quan Secure Socket Layer (SSL): - Secure Socket Layer (SSL) là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin đi/đến, được sử dụng trong giao dịch điện tử như truyền số liệu thẻ tín dụng, mật khẩu, số bí mật cá nhân (PIN) trên Internet. - SSL là được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt (browser), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia sẻ tạm thời được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua chứng chỉ điện tử (digital certificate) dựa trên mật mã công khai (thí dụ RSA). - Giao thức SSL dựa trên hai nhóm con giao thức là giao thức "bắt tay" (handshake protocol) và giao thức "bản ghi" (record protocol). Giao thức bắt tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó. Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi "lời chào" (hello) dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng. Ngoài ra, các ứng dụng còn trao đổi "số nhận dạng/khoá theo phiên" (session ID, session key) duy nhất cho lần làm việc đó. Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng chỉ điện tử (digital certificate) xác thực của ứng dụng chủ (web server). - Chứng chỉ điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (Thẩm quyền xác nhận CA - Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín. Các tổ chức này cung cấp dịch vụ "xác nhận" số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver. - Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã. Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách. Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: Số nhận dạng theo phiên làm việc ngẫu nhiên; Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL; Độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 40 Triển khai: - Công ty phugiasc đã có website trên web server đặt tại công ty và có nhu cầu publish website này ra Internet có mã hóa trên đường truyền, đồng thời để tăng cường độ tin cậy của khách hàng với doanh nghiệp khi truy cập website của mình, doanh nghiệp phải mua SSL certificate tại các nhà cung cấp chuyên bán certificate như Verisign, Rapidssl, Dynamicssl... - Giả lập đề tài, thay vì mua SSL Certificate ta xây dựng Certificate Server trên máy DC với chế độ Stand-Alone CA cục bộ cấp phát. - Khi triển khai SSL Certificate cho mỗi website ta cần phải đăng ký common name tương ứng với mỗi website. - Trong đề tài, ta đã triển khai các website: www.phugiasc.vn , client.phugiasc.vn , admin.phugiasc.vn . Thay vì triển khai common name tương ứng cho từng website, ta triển khai Wildcard Certificate (*.phugiasc.vn) để định danh chung cho tất cả website cùng domain name. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 41 - Tại máy Web Server, thực hiện yêu cầu chứng thực certificate từ máy DC. - Vào IIS -> Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server Certificate - Chọn Create a new certificate và tiến hành yêu cầu certificate với common name: *.phugiasc.vn TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 42 - Chọn nơi lưu trữ file yêu cầu Certificate - Truy xuất vào trình duyệt web theo địa chỉ: -> nhấn chọn Request a certificate TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 43 - Chọn Advanced certificate request - Chọn Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file - Truy xuất vào file request certificate (đã được ở trên: wirld_card.txt), copy nội dung và dán vào Save request -> nhấn Submit để xin certificate. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 44 - Tại Certificate Server (máy DC), vào Certificate Authority chứng thực certificate đã yêu cầu bằng thao tác: chọn mục Pending Certificate -> Right click vào request certificate đang chờ xử lý chọn All Tasks/ Issue. - Trở lại Web Server, truy xuất vào trình duyệt web theo địa chỉ: để download certificate đã chứng thực. - Chọn View the status of a peding certificate request, download certificate đã chứng thực về. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 45 - Vào IIS -> Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server Certificate -> chọn Process the pending request and install the certificate -> trỏ đường dẫn về file certificate đã download ở trên. - Sử dụng mặc định SSL port 443 và thông tin về certificate được cấp bởi: phugiasc_ca TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 46 - Sau khi hoàn thành quá trình yêu cầu Wildcard Certificate, tiến hành Export Certificate này để Trust cho các máy tính trong công ty. - Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server Certificate -> chọn Export the current certificate to a .pfx file -> chọn nơi lưu trữ và đặt mật khẩu bảo vệ cho Certificate. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 47 - Biểu tượng sau khi Export Certificate: - Sau khi Export thành công Wildcard Certificate, tiến hành gỡ bỏ Wildcard Certificate để triển khai yêu cầu Certificate cho Web Sites: www.phugiasc.vn - Right click vào Web Site: phugiasc chọn Propertise -> chọn thẻ Directory Security -> chọn Server Certificate -> chọn Remove the current certificate. Thông tin Certificate gỡ bỏ: - Tương tự, tiến hành yêu cầu chứng thực Certificate cho Web Sites: www.phugiasc.vn và Web-mail: client.phugiasc.vn , admin.phugiasc.vn nhƣ các bƣớc ở trên nhƣng không Export và gỡ bỏ Certificate. TRƯỜNG CĐ NGHỀ CNTT iSPACE QUẢN TRỊ MẠNG MÁY TÍNH Trang 48 - Các máy Client truy xuất Web Sites và Web-mail của công ty thông qua trình duyệt xuất hiện cảnh báo Web Site không tin cậy. - Tiến hành xin Certificate cho các máy Client bằng thao tác: truy xuất vào trình duyệt web theo địa chỉ: -> chọn Request a certificate -> chọn Web Browser Certificate -> điền thông tin yêu cầu -> chọn Submit. - Tại Certificate Server (máy DC), vào Certificate Authority chứng thực certificate đã yêu cầu bằng thao tác: chọn mục Pending Certificate -> Right click vào reque