Đề tài Xây dựng, bảo mật và an ninh mạng

pdf 101 trang yendo 5561
Bạn đang xem 20 trang mẫu của tài liệu "Đề tài Xây dựng, bảo mật và an ninh mạng", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfde_tai_xay_dung_bao_mat_va_an_ninh_mang.pdf

Nội dung text: Đề tài Xây dựng, bảo mật và an ninh mạng

  1. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 1 : MỞ ĐẦU Điều tuyệt vời nhất của Internet là kết nối mọi người lại với nhau và điều khủng khiếp nhất của Internet cũng là kết nối mọi người lại với nhau. Cùng với việc ứng dụng công nghệ thông tin, Internet ngày càng nhiều thì số vụ xâm phạm bảo mật an ninh mạng đã và đang tăng theo cấp hàm số mũ. Mặc dù hiện trạng bảo mật an ninh mạng ở Việt Nam đang ở tình trạng “báo động đỏ”, nhưng phần lớn người dùng chưa được trang bị đầy đủ những kiến thức cần thiết để đảm bảo an ninh mạng. Hơn nữa, hệ thống an ninh mạng của phần lớn các doanh nghiệp vẫn tồn tại rất nhiều lỗ hổng, thậm chí nhiều doanh nghiệp còn không có một thiết bị hỗ trợ an ninh – bảo mật mạng nào. Vì vậy chúng em đã nghiên cứu và xây dựng đề tài Xây Dựng, Bảo Mật và An Ninh Mạng. Đề tài chúng em nhằm đưa ra một số những giải pháp về bảo mật an ninh mạng cho doanh nghiệp, nhằm đáp ứng cho các doanh nghiệp về các vấn đề bảo mật an ninh hệ thống mạng của mình trước những nguy cơ hiểm họa như hiện nay. Nội dung yêu cầu đề tài: Giải pháp để xây dựng, bảo mật và an ninh mang. - Căn cứ vào kiến thức đã học. Khảo sát, phân tích, thiết kế hệ thống mạng. - Nắm vững hạ tầng mạng, kiến trúc mạng, triển khai các dịch vụ và ứng dụng trên mạng. - Sử dụng các công cụ hiện có để thực hiện bảo mật và an ninh mạng. Yêu cầu : - Củng cố lại các kiến thức đã học về mạng máy tính. Biết cách tổ chức, lắp đặt, cài đặt một hệ thống mạng, bảo mật, an ninh cho hệ thống mạng doanh nghiệp. - Đề ra giải pháp nhưng phải đảm bảo tính hợp lý về yếu tố kỹ thuật và thẩm mỹ. GVHD : Nguyễn Kim Quốc Trang 1 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  2. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 2 : KHẢO SÁT, PHÂN TÍCH THIẾT KẾ HỆ THỐNG 1. Khảo sát : 1.1. Giới thiệu về công ty: Sự ra đời của Doanh Nghiệp Tư Nhân Hoàng Sơn là một sự cần thiết. Dựa trên sự thay đổi của thị trường cùng với sự ủng hộ của một số nhà đầu tư trong và ngoài nước. Nhầm phục vụ lợi ích cho cộng đồng và toàn thể nhân viên trong công ty. • Doanh nghiệp tư nhân Hoàng Sơn Quận Gò Vấp là một tòa nhà có 5 tầng với: • Tầng trệt: là phòng kinh doanh và phòng bán hàng. • Tầng 1: là phòng kế toán và phòng nhân sự. • Tầng 2: là phòng quỹ tín dụng và phòng marketing • Tầng 3: là phòng giám đốc, phòng phó giám đốc. • Tầng 4: là phòng họp và phòng kĩ thuật • Tên đầy đủ của công ty là: CÔNG TY TNHH – TM DỊCH VỤ HOÀNG SƠN. • Trụ sở chính tại: TP HỒ CHÍ MINH. • Công ty có khoảng 200 nhân viên làm việc tại các phòng ban, các trưởng phòng, 1 phó giám đốc và một giám đốc. Giờ làm việc: Do là một công ty tư nhân nên các nhân viên làm việc theo giờ hành chính. 1.2. Đặc tả các yêu cầu phòng ban: - Ban giám đốc: Quản lý công ty tiếp nhận các yêu cầu từ các trưởng phòng ban đề ra các yêu cầu phát triển công ty chính và các chi nhánh khác. - Phòng kinh doanh: Quản lý các công việc kinh doanh của công ty thông qua các nhân viên kinh doanh. - Phòng kỹ thuật: Triển khai hệ thống mạng trong công ty, nối kết thông tin với các chi nhánh. Quản trị các vấn đề về mạng của doanh nghiệp. - Phòng kế toán: Thống kê doanh thu theo từng thời điểm báo cáo chính xác tình hình tài chính của công ty theo yêu cầu của ban giám đốc. - Phòng nhân sự: Quản lý tình hình nhân sự của công ty. GVHD : Nguyễn Kim Quốc Trang 2 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  3. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG - Phòng Marketing: Tiếp thị thông tin mặc hàng công ty theo dõi thị trường quản bá thương hiệu sản phẩm. - Phòng quỹ tín dụng: Thiết lập các hoá đơn, quản lý các cước phí trao đổi mua bán. 1.3. Yêu cầu của toàn công ty Đối với hê thống mạng bên trong : - Các nhân viên làm việc chung trong các phòng ban do người trưởng phòng quản lý, đòi hỏi mỗi nhân viên phải có 1 tài khoản riêng trên từng máy làm việc. Các phòng ban phải dùng chung được cơ sở dữ liệu trên toàn hệ thống mạng của công ty. - Mỗi phòng ban sử dụng các phần mềm chuyên dụng của phòng ban đó (Phần mềm Kế Tóan, Quản lý nhân sự, ). - Có Web server, Mail Server ra Internet, có File server chia sẽ dữ liệu. - Cài đặt hệ thống máy tính từ xa (RIS). - Cho Server ghi nhận giám sát các họat động của nhân viên trên máy tính. Tạo điều kiện thuận lợi cho nhân viên có thể làm việc mà không cần trực tiếp vào công ty. Đối với hê thống mạng bên ngoài : - Giám sát người ngoài Internet đăng nhập trái phép, nếu có sẽ xuất hiện thông báo ở server. - Cho user trong công ty sử dụng chức năng remote access khi ở ngoài công ty đăng nhập thuận tiện cho công việc khi ở xa thông qua mạng Internet. - Bảo mật và An ninh hệ thống mạng 2. Phân tích - Xây dựng 1 hệ thống mạng theo mô hình domain để quản lý tập trung tạo điều kiện thuận lợi cho việc quản trị hệ thống mạng. - Cài đặt các dịch vụ Mail Server, Web Server, DNS Server, DHCP Server, FTP, VPN, NAT, RIS, VNC. - Bảo mật hệ thống mạng bằng các dịch vụ CA, IPSEC, Group Policy, - Dùng dịch vụ ISA 2004 để an ninh cho hệ thống mạng. GVHD : Nguyễn Kim Quốc Trang 3 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  4. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG 3. Thiết kế 3.1. Sơ đồ tổng quát GVHD : Nguyễn Kim Quốc Trang 4 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  5. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG 3.2. Sơ đồ tầng trệt 3.3 Sơ đồ tầng 1 GVHD : Nguyễn Kim Quốc Trang 5 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  6. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG 3.4 Sơ đồ tầng 2 3.5 Sơ đồ tầng 3 GVHD : Nguyễn Kim Quốc Trang 6 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  7. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG 3.6. Sơ đồ tầng 4 Sơ đồ phân bố địa chỉ IP của các máy Domain Setting Server Server Phòng ISA 2004 Controler IP 172.16.0.1 172.16.0.2 172.16.0.3 10.0.0.2 Address 192.168.3.1 172.16.0.4 Default 172.16.0.4 172.16.0.4 172.16.0.4 10.0.0.1 Gateway DNS 172.16.0.1 172.16.0.1 172.16.0.1 172.16.0.1 Window Window Window Window OS Server 2003 Server 2003 Server 2003 Server 2003 DC WEB DHCP ISA 2004 DNS MAIL NAT IPSEC FTP APPLICAT Services VPN ION RIS GVHD : Nguyễn Kim Quốc Trang 7 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  8. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 3 : CÀI ĐẶT WINDOW SERVER 2003 1. – Giới thiệu : 1.1. Các dịch vụ : Window server 2003 được phát triển từ Window server 2000 nên ngòai các chức năng đã thấy trong Window server 2000, phiên bản này còn cung cấp thêm nhiều chức năng mo81i cao cấp hơn, nhờ nó mà công tác quản trị hệ thống của Administrator trờ nên dễ dàng và hiệu quả hơn, đặc biệt là chức năng bảo mật hệ thống - Bộ sản phẩm Window server 2003 co 4 phiên bản chính : + Window server 2003 Standard + Window server 2003 Enterprise + Window server 2003 Data Center + Window server 2003 Web Một số tính năng mới của Window server 2003 : Ngoài các tính năng ở trên Window server 2003 còn cung cấp sự hổ trợ các tính năng mới sau đây : Active Directoty : Cho phép Cross_Trust, domain_renaming và có khả năng khử các thuộc tính và các lớp trong Schema có thể thay đổi định nghĩa của những Schema này. Resultant set of Policy (RsoP) : là một công cụ để lập kế họach, giám sát và khắc phực sự cố trên các Group Policy. Volume shadow Copy Festore : Tính năng này được mở rộng để phục hồi mà tổ chức lưu giữ thích hợp Internet Information Sevives (IIS) 6.0 : IIS 6.0 có thể tổ chức các ứng ụng web riêng lẽ vào một tiến trình và trực tiếp giao tiếp với nhân của hệ điều hành. Chức năng này ngăn cản việc các ứng dụng Web bị xung đột với các ứng dụng đã xuất bản trên server. Đồng thời, IIS 6.0 cón có khả năng phát hiện, phục hồi và ngăn cản sự cố (failures) các ứng dụng web. + Integaled net Framework với chứng năng này những nhà phát triển ứng dụng có thể sử dụng những thư viện nên đã được tích hợp để giảm sự phức của mã nguồn và tăng tính chặt chẻ của các module ứng dụng. + Command – Line Managerment : Window server 2003 cung cấp một tập lệnh nâng cao nhằm cho chúng ta thực hiện hầu hết các nhiệm vụ quản trị mà không cần sử dụng đến giao diện đồ họa. GVHD : Nguyễn Kim Quốc Trang 8 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  9. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG + Clusteling : Hổ trợ 8 server Secure Wireles Local Area Network X : Cung cấp những cải tiến về sự an tòan và khả năng thực thi đối với mạng Lan không dây (Wireles Local Area Network). Emergenci Mangerman Services : cho phép người quản trị có thể cài đặt và quản lý một máy tính mà không cần màn hình, card màn hình hoặc thiết bị đầu vào. Những dịch vụ này cho phép người quản trị thực hiệncác nhiệm vụ phục hồi hệ thống và quản lý từ xa khi server không có khả năng thông mạng hoặc không có những công cụ quản trị từ xa. Client Window server 2003 : Nhưng hệ điều hành cho máy trạm có thể tham gia vào hệ thống mạng Window server 2003 bao gồm : Window Professional ; Window 2000 Professional ; Window NT 4 ; Window 98, Window 95 ; Window For Workgroup ; DOS 1.2. Điều kiện : Để cài đặt Window server 2003 trên một môi trường đa boot, ta phải cài đặt nó trênhệ thống file FAT. Tuy nhiên nếu sử dụng Window server 2003 không đò hỏi chức trên thì tốt nhất nên cài đặt nó trên Partition NTFS để tạo sức mạnh đầy đủ cho sứ an tòan được cung cấp bởi hệ thống file này. Cấu hình đa boot trên server thông thường không được đề nghị. Chương trình Setup Window server 2003 tự động định dạng các không gian đĩa lơn 2 GB theo hệ thống file FAT 32 ngay cả khi hệ thống FAT 16 đã đưộc chọn. Hệ thống FAT không hổ trợp cấp độ an tòan trên tòan file. Trong quá trình qua 1trình cài dặt Window sẽ khảo sát đĩa cứng, Hiển thị cấu hình hiện tại và cung cấp các tùy chọn để chúng ta lựa chọn cách tạo ra Patition , để sau đó cài đặt Window server 2003 lên máy tính. Các lựa chọn khác bao gồm : - Cài đặt trên Patition đang tồn tại - Tạo Patition trên đĩa cứng đã phân vùng. - Tạo Patition trên đĩa cứng chưa được phân vùng. - Xóa Patition đang tồn tại để tạo không gian trống trên đĩa, sau đó tạo Patition mới để cài đặt. 2. – Cài đặt cấu hình : 2.1. Server : GVHD : Nguyễn Kim Quốc Trang 9 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  10. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG 2.1.1. Cài đặt Windows Server 2003 Bước 1 : Đưa đĩa CD cài đặt vào CD-ROM, khởi động lại Computer. Cho phép boot từ đĩa CD Bước 2 : Chương trình Windows setup bằt đầu load những Files phục vụ cho việc cài đặt. Nhấn Enter khi mà hình Welcome to Setup xuất hiện Bước 3 : Đọc những điều khoản về License trên Windows Licensing Agreement , sau đó nhấn F8 để đồng ý với các điều khoản quy định của MS. Bước 4 : Trên Windows Server 2003, xuất hiện màn hình tạo các phân vùng Partition trên đĩa cứng, trước hết tạo Partition dùng cho việc cài đặt Hệ Điều hành. Nhấn ENTER. Bước 5 : Trên Windows Server 2003, chọn Format the partition using the NTFS file system. Nhấn ENTER. Bước 6 : Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ít phút cho tiến trình này hoàn tất. Bước 7 : Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn tất. Bước 8 : Computer sẽ restart lại và boot giao diện đồ họa. Click Next trên trang Regional and Language Options. Bước 9 : Trên trang Personalize Your Software, điền Tên và Tổ chức của Bạn Ví dụ : Name: SVRDC1 Organization: Le Vu Bước 10 : Trên trang Product Key điền vào 25 chữ số của Product Key mà bạn có và click Next. Bước 11 : Trên trang Licensing Modes chọn đúng option được áp dụng cho version Windows Server 2003 mà bạn cài đặt. Nếu cài đặt Licence ở chế độ per server licensing, hãy đưa vào số connections mà bạn đã có License. Click Next. Bước 12 : Trên trang Computer Name và Administrator Password điền tên của Computer ví dụ Server2003, tên này được điền vào Computer Name text box. Điền tiếp vào mục Administrator password và xác nhận lại password tại mục Confirm password (ghi nhớ lại password GVHD : Nguyễn Kim Quốc Trang 10 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  11. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG administrator cẩn thận, nếu không thì bạn cũng không thể log-on vào Server cho các hoạt động tiếp theo). Click Next. Bước 13 : Trên trang Date and Time Settings xác lập chính xác Ngày, giờ và múi giờ Việt Nam (nếu các bạn ở Việt Nam), lưu ý time zone là GMT + 7. Click Next. Bước 14 : Trên trang Networking Settings, chọn Custom settings option. Bước 15 : Trên trang Network Components, chọn Internet Protocol (TCP/IP) entry trong Components và click Properties. Bước 16 : Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập các thông số sau: IP address: 172.16.0.1. Subnet mask: 255.255.255.0. Default gateway: 172.16.0.4 (chú ý Default Gateway 172.16.0.4 này cũng là IP address của Card Ethernet của Router ADSL). Preferred DNS server: 172.16.0.1 và Additional DNS server la địa chỉ mà ISP đã cung cấp cho ADSL Router, ví dụ : 203.162.4.1 Bước 17 : Click OK trong Advanced TCP/IP Settings dialog box. Bước 18 : Click OK trong Internet Protocol (TCP/IP) Properties dialog box. Bước 19 : Click Next trên trang Networking Components. Bước 20 : Chấp nhận lựa chọn mặc định môi trường Network là Workgroup (chúng ta sẽ tạo môi trường Domain sau, thăng cấp (promote) máy này trở thành một Domain controller và cũng là thành viên của Domain. Click Next. Bước 21 : Tiến trình cài đặt được tiếp tục và khi Finish, Computer sẽ tự khởi động lại. Bước 22 : Log-on lần đầu tiên vào Windows Server 2003 dùng password mà chúng ta đã tạo cho tài khoản Administrator trong quá trình Setup. Bước 23 : Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên check vào "Don’t display this page at logon checkbox" và đóng cửa sổ Window lại. Vậy đã hoàn tất xong quá trình cài đặt Window server 2003. GVHD : Nguyễn Kim Quốc Trang 11 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  12. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 4 : DOMAIN NAME SYSTEM ( DNS ) 1. Giới thiệu DNS (Domain Name System/ Hệ thống dịch vụ tên miền). DNS có chức năng phân giải địa chỉ IP thành "tên" (domain) và ngược lại. 2. Cài đặt cấu hình : 2.1. Server : 2.1.1. Cài đặt DNS Server Bước 1 : Click Start, Control Panel. Click Add or Remove Programs. Bước 2 : Trong Add or Remove Programs, click Add/Remove Windows Components Bước 3 : Trong Windows Components, xem qua danh sách Components và click Networking Services entry. Click Details. Bước 4 : Check vào Domain Name System (DNS) checkbox và click OK. Bước 5 : Click Next trong Windows Components. Quá trình cài đặt sẽ đòi bỏ đĩa Window Server 2003 vào, cứ làm theo hướng dẫn. Bước 6 : Click Finish trên Completing the Windows Components Wizard. Bước 7 : Đóng Add or Remove Programs DNS server đã được cài đặt, Admin cần đưa vào DNS Server các thông số cụ thể phục vụ cho hoạt động truy vấn tên, cụ thể là sẽ tạo ra hai vùng Forward và Reverse lookup zones. 2.1.2. Cấu hình DNS Server Bước 1 : Click Start và sau đó click Administrative Tools. Click DNS. Bước 2 : Trong bảng làm việc của DNS (DNS console), mở rộng server name (Server2003 ), sau đó click trên Reverse Lookup Zones. Right click trên Reverse Lookup Zones và click New Zone. GVHD : Nguyễn Kim Quốc Trang 12 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  13. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 7 : Cấu hình DNS Server Bước 3 : Click Next trên Welcome to the New Zone Wizard. Bước 4 : Trên Zone Type , chọn Primary zone option và click Next. Hình 8 : Cấu hình DNS Server Bước 5 : Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter 192.168.1 vào text box. Click Next. GVHD : Nguyễn Kim Quốc Trang 13 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  14. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 9 : Cấu hình DNS Server Bước 6 : Chấp nhận chọn lựa mặc định trên Zone File page, và click Next. Bước 7 : Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates option. Click Next. Hình 10 : Cấu hình DNS Server Bước 8 : Click Finish trên Completing the New Zone Wizard page. - Kế tiếp chúng ta tạo Forward lookup zone cho Domain mà Computer này sẽ là Domain Controller. Tiến hành các bước sau: Bước 1 : Right click Forward Lookup Zone và click New Zone. GVHD : Nguyễn Kim Quốc Trang 14 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  15. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 1 : Cấu hình DNS Server Bước 2 : Click Next trên Welcome to the New Zone Wizard page. Bước 3 : Trên Zone Type page, chọn Primary zone option và click Next. Hình 2 : Cấu hình DNS Server Bước 4 : Trên Zone Name page, điền tên của forward lookup zone trong Zone name text box. Trong ví dụ này tên của zone là totnghiep.net, trùng với tên của Domain sẽ tạo sau này. Đưa totnghiep.net vào text box. Click Next. GVHD : Nguyễn Kim Quốc Trang 15 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  16. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 3 : Cấu hình DNS Server Bước 5 : Chấp nhận các xác lập mặc định trên Zone File page và click Next. Bước 6 : Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates. Click Next. Hình 4 : Cấu hình DNS Server Bước 7 : Click Finish trên Completing the New Zone Wizard page. Bước 8 : Mở rộng Forward Lookup Zones và click vào MSFirewall.org zone. Right click trên totnghiep.net và Click New Host (A). Bước 9 : Trong New Host dialog box, điền vào chính xác svrdc1 trong Name (uses parent domain name if blank) text box. Trong IP address text box, điền vào 192.168.1.2. Check vào "Create associated pointer (PTR) record checkbox". Click Add Host. Click OK trong DNS dialog box GVHD : Nguyễn Kim Quốc Trang 16 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  17. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG thông báo rằng (A) Record đã được tạo xong. Click Done trong New Host text box. Hình 5 : Cấu hình DNS Server Bước 10 : Right click trên totnghiep.net forward lookup zone và click Properties. Click Name Servers tab. Click svrdc1be entry và click Edit. Bước 11 : Trong Server fully qualified domain name (FQDN) text box, điền vào tên đầy đủ của Domain controller computer là svrdc1.totnghiep.net. Click Resolve. Sẽ nhận thấy, IP address của Server xuất hiện trong IP address list. Click OK. Bước 13 : Click Apply và sau đó click OK trên totnghiep.net Properties dialog box. Bước 14 : Right click trên DNS server name svrdc1, chọn All Tasks. Click Restart. Bước 15 : Close DNS console. 3. – Kiểm tra : 3.1. Server : Để kiểm tra vào Start \ Run gõ cmd Trong bảng cmd gõ nslookup để xem DNS đã phân giải tên miền được chưa. Kết quả là được. GVHD : Nguyễn Kim Quốc Trang 17 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  18. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 5 : DOMAIN CONTROLLER VÀ ACTIVE DIRECTORY 1. – Giới thiệu : 1.1. Các dịch vụ : Domain Controler : Được hiểu là một máy chủ quản lý domain. Domain ở đây có thể là một tên miền (vd: yahoo.com), một cơ sở dữ liệu, một nhóm các máy tính hoạt động dưới sự quản lý của một máy chủ. Active Directory : Là một dịch vụ quản lý thư mục mang tính thứ bậc được giới thiệu bởi Microsoft cùng với Windows 2003. Active Directory sử dụng LDAP (Lightweight Directory Access Protocol) và được xây dựng trên cơ sở Hệ thống xác định domain theo tên (DNS). Một trong những điểm ưu việt của Active Directory là nó quản lý hệ thống mạng bằng cách tạo ra tên domain cho workgroup, trên cơ sở đó cho phép các hệ thống mạng khác (Unix, Mac) truy cập vào. 2. – Cài đặt cấu hình : 2.1. Server : 2.1.1. Cài đặt Domian Controller Tiến hành các bước sau để tạo Domain và nâng server này thành Domain Controller của Domain : Bước 1 : Click Start và click Run . Bước 2 : Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK. Hinh 1 : Cài đặt Domain Controller Bước 3 : Click Next trên Welcome to the Active Directory Installation Wizard page. Bước 4 : Click Next trên Operating System Compatibility page. Bước 5 : Trên Domain Controller Type page, chọn Domain controller for a new domain option và click Next. GVHD : Nguyễn Kim Quốc Trang 18 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  19. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Bước 6 : Trên Create New Domain page, chọn Domain in a new forest option và click Next. Hinh 2 : Cài đặt Domain Controller Bước 7 : Trên New Domain Name page, điền tên đầy đủ của Domain (Full DNS name) totnghiep.net text box và click Next. Hinh 3 : Cài đặt Domain Controller GVHD : Nguyễn Kim Quốc Trang 19 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  20. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Bước 8 : Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support cho các Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định Trong ví dụ này là totnghiep. Click Next. Bước 9 : Chấp nhận các xác lập mặc định trên Database and Log Folders page và click Next. Bước 10 : Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click Next. Bước 11 : Trên DNS Registration Diagnostics page, chọn I will correct the problem later by configuring DNS manually (Advanced). Click Next. Hinh 4 : Cài đặt Domain Controller Bước 12 : Trên Permissions page, chọn Permissions compatible only `with Windows 2000 or Windows Server 2003 operating system option. Click Next. Hinh 5 : Cài đặt Domain Controller Bước 13 : Trên Directory Services Restore Mode Administrator Password page (chế độ phục hồi cho Domain Controller khi DC này gặp GVHD : Nguyễn Kim Quốc Trang 20 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  21. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG phải sự cố, Khi DC offline, vào chế độ troubleshoot này bằng cách Restart Computer, chọn F8), điền vào Restore Mode Password và sau đó Confirm password. (Các Admin không nên nhầm lẫn Password ở chế độ này với Domain Administrator Password, điều khiển hoạt động của DCs hoặc Domain). Click Next. Hinh 6 : Cài đặt Domain Controller Bước 14 : Trên Summary page, click Next. Hinh 7 : Cài đặt Domain Controller Bước 15 : Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active Bước 16 : Click Finish trên Completing the Active Directory Installation Wizard page, hoàn thành việc cài đặt. GVHD : Nguyễn Kim Quốc Trang 21 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  22. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hinh 8 : Cài đặt Domain Controller Bước 17 : Click Restart Now trên Active Directory Installation Wizard page. Hinh 9 : Cài đặt Domain Controller Bước 18 : Log-on vào Domain Controller dùng tài khoản Administrator. Hinh 10 : Cài đặt Domain Controller 2.1.2. Active Directory : GVHD : Nguyễn Kim Quốc Trang 22 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  23. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Active Directory (AD) là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối tượng) cũng như các thông tin liên quan đến các đối tượng đó. Chức năng : - Lưu giữ một danh sách tập trung tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. - Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). - Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể do rà nhanh một tài nguyên nào đó trên các máy tính khác trong vùng. - Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như : toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa - Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ. Cấu hình AD : - Log on vào máy chủ Domain Controller bằng user Administrator - Vào Start à All Programs à Administrative tools à Active Directory Users and Computers. - Chuột phải vào Active Directory domain vnexperts.net chọn New à Organizational Unit (OU) với tên PHONG KE TOAN - Vào trong OU PHONG KE TOAN kick chuột phải chọn New User Account - để tạo một tài khoản User mới. - Ở đây tôi tạo User tên PKT001, logon name là pkt001 GVHD : Nguyễn Kim Quốc Trang 23 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  24. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 11 : Cấu hình AD - Nhấn Next hệ thống yêu cầu gõ Password của user mới tạo ra là gì tôi chọn Password là: 123 - Chú ý sau khi cài đặt Active Directory sẽ có một Default Domain Security Policy yêu cầu bất kỳ một user mới tạo ra đều phải có password nhỏ nhất là 7 ký tự và phải phức tạp. Nếu bạn muốn chỉnh lại để tạo ra User một cách đơn giản hơn phải chỉnh lại Default Domain Security Policy này và Local Policy của Máy chủ Domain Controllers. - Cách chỉnh Default Domain Security Policy: Vào Startà All Programs à Administrative tools à Domain Security Policy. Trong Cửa sổ chỉnh Policy bạn chọn chọn Account Policies à Password Policies. Tiếp đến bạn phải chỉnh hai thong số là Minimum Password Lengh, và Password must meet complexity Requirements (độ dài tối thiểu và phải phức tạp) nhấp đúp chuột trái sẽ xuất hiện như hình dưới đây bạn bỏ dấu Check Box – Define this policy setting – thực hiện với cả hai thiết lập. - Vào Run gõ Gpupdate /force để apply sự thay đổi policy trong domain sau đó bạn phải chỉnh cả trong Local Policy của máy chủ Domain Controller nữa thì mới tạo được User ở dạng Password là chống (blank). GVHD : Nguyễn Kim Quốc Trang 24 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  25. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG - Vào Run gõ gpedit.msc để chỉnh Local Policy cho máy chủ Domain Controllers. Tương tự chỉnh các thông số trong Password Policy. Lưu ý một điều nếu bạn chưa bỏ dấu check box trong Domain Policy thì vào Local Policy sẽ không chỉnh được các thông số này. - Chỉnh Minimum Password Lengh về 0, và Disable Password must meet complexity requirements - Vào Run gõ Gpupdate /force là OK giờ bạn có thể tạo user với password trắng. Máy client join domain Bước 1: right click “my computer” chọn properties Hinh 1 : join domain Bước 2: trong cửa sổ system properties chọn tab computer name chọn “ change” GVHD : Nguyễn Kim Quốc Trang 25 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  26. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hinh 2 : join domain Bước 3: trong cửa sổ computer name change check vào “domain” sau đó gõ tên domain là “totnghiep.net” bấm “OK” Hinh 3 : join domain Bước 4: trong cửa sổ computer name change ta gõ user name và password của domain rồi bấm OK GVHD : Nguyễn Kim Quốc Trang 26 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  27. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hinh 4 : join domain Bước 5: cửa sổ computer name change thông báo đã join domain thành công, bấm OK để restar lại máy. Hinh 5 : join domain Bước 6: sau khi restar mày màn hình sẽ hiện cửa sổ cho log on vô domain. Hinh 6 : join domain GVHD : Nguyễn Kim Quốc Trang 27 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  28. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 6 : DYNAMIC HOST CONFIGURATION PROTOCOL (DHCP) 1. – Giới thiệu : 1.1. Các dịch vụ : Theo định nghĩa của Microsoft thì "Dynamic Host Configuration Protocol (DHCP) là một chuẩn IP được thiết kế để giảm tính phức tạp cho các cấu hình địa chỉ IP quản trị". Một server DHCP có thể được cài đặt với các thông số thiết lập phù hợp theo mạng cung cấp. Các thông số thiết lập đó là một tập hợp các tham số như gateway, DNS, subnet mask và một loạt địa chỉ IP. Khi đã dùng DHCP trên mạng, quản trị viên không cần phải cấu hình các thiết lập riêng biệt cho từng client. DHCP sẽ tự động phân phối chúng. DHCP server gán cho mỗi client một địa chỉ IP lấy từ phạm vi giới hạn định nghĩa sẵn theo tổng lượng thời gian. Nếu địa chỉ IP được đòi hỏi lớn hơn "thuê bao" đã thiết lập, client sẽ phải yêu cầu gia tăng thêm thời gian mở rộng cho thuê bao trước khi hết hạn. Nếu không địa chỉ IP được coi như tự đo và có thể gán cho client khác. Người dùng muốn thay đổi địa chỉ IP có thể thực hiện bằng cách gõ lệnh "ipconfig /release", sau đó là "ipconfig /renew" trong màn hình lệnh. Lệnh này sẽ gỡ bỏ địa chỉ IP hiện thời và yêu cầu một IP mới. 1.2. Yêu cầu : 1.2.1. Server : Bản thân DHCP Server chứa cơ sở dữ liệu địa chỉ IP (IP Address Database) nắm giữ tất cả địa chỉ có thể phân phối được. + Có DHCP service . + Một static(tĩnh) IP, subnet mask và defaut gateway. + Một range (dãy) các địa chỉ IP hợp lệ để cho client thuê (lease). 1.2.2. Client : Nếu một client (thành viên của mạng, sử dụng hệ điều hành Windowns 2000 Professional, Windowns 2003 Professional hay Windowns XP chẳng hạn) được phép dùng "địa chỉ IP tự động" trong các thiết lập TCP/IP, nó có thể nhận địa chỉ IP từ server DHCP. 2. Cài đặt cấu hình : 2.1. Server : GVHD : Nguyễn Kim Quốc Trang 28 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  29. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG 2.1.1. Cài đặt DHCP - Start \ Setting \ Control Panel \ Add/Remove Programs \ Add/Remove Windows Components \ Networking Services \ Chọn Details Chọn Dynamic Host Configuration Protocol (DHCP) Bấm OK -> Next (quá trình cài đặt sẽ yêu cầu bỏ đĩa Win 2003 vào CDRom). Nhấn Finish đã hoàn tất quá trính cài DHCP. 2.1.2. Cấu hình DHCP Tiến hành cài đặt DHCP xong ta vào Start/Administrator Tools/DHCP Chuột phải trên tên DHCP server/Chọn Authorize.Chú ý máy DC phải đang hoạt động và DHCP server phải Join domain rồi thì việc Authorize mới có thể thực hiện.Authorize là để đảm bảo các máy tính ko được DC chứng thực thì ko có quyền cấp IP động. Hinh 1: cấu hình DHCP Sau khi thực hiện xong thì mũi tên màu đỏ bên cạnh tên DHCP server sẽ biến thành màu xanh.Ta nhấn New Scope để định nghĩa dải IP mà DHCP server sẽ dùng để cấp phát GVHD : Nguyễn Kim Quốc Trang 29 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  30. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hinh 2: cấu hình DHCP Bảng Welcome to the New Scope Wizard hiện ra, bấm Next. Điền tên Scope tùy ý, điền tên Scope totnghiep. Hinh 3: cấu hình DHCP Định nghĩa dải IP sẽ dùng để cấp phát: GVHD : Nguyễn Kim Quốc Trang 30 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  31. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hinh 4: cấu hình DHCP Định nghĩa dải IP sẽ được đặt riêng để giành cho các server.Các IP này sẽ ko được cấp phát cho các máy trạm. Nhấn Add \ Next. Hinh 5: cấu hình DHCP Định nghĩa thời gian mà 1 máy trạm phải xin duy trì IP động hiện tại,nếu ko IP này sẽ bị DHCP server thu hồi.Ta để mặc định GVHD : Nguyễn Kim Quốc Trang 31 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  32. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hinh 6: cấu hình DHCP Chọn Yes,I want to configure these options now Hinh 7: cấu hình DHCP Default Gateway ta điền địa chỉ IP của modem, bấm Add, nhấn Next. GVHD : Nguyễn Kim Quốc Trang 32 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  33. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hinh 9: cấu hình DHCP Domain name ta điền IP của DC. Nhấn Next. Hinh 10: cấu hình DHCP WINS server ta điền Domain vào svrdc1.totnghiep.net. Nhấn Next GVHD : Nguyễn Kim Quốc Trang 33 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  34. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hinh 11: cấu hình DHCP Chọn Yes,I want to Activate this scope now. Nhấn Next. Hinh 12: cấu hình DHCP Nhấn Finish để đóng của sổ completing the new scope wizard Right Click mục Server Option chọn configure option Cấu hình như hình dưới GVHD : Nguyễn Kim Quốc Trang 34 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  35. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hinh 13: cấu hình DHCP 2.2. Client : Quá trình nhận IP tự động của DHCP Cấu hình cho IP của máy Client tự động nhận IP. Bước 1 : Properties My Network Places. Hình 1: cấu hình để cấp IP động Bước 2 : Properties Local Area Connection. Trong bảng Local Area Connection Properties chọn Internet Protocal (TCP/IP), Bấm nút Properties Hình 2: cấu hình để cấp IP động Bước 3: Trong bảng Internet Protocal (TCP/IP) Properties GVHD : Nguyễn Kim Quốc Trang 35 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  36. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Chọn vào mục Obtain DNS server address automaticaly và Obtain an IP address automaticaly. Hình 3: cấu hình để cấp IP động Bước 4: start à run à cmd à ok Hình 4: cấu hình để cấp IP động Bước 5: trong cửa sổ cmd ta gõ lệnh ipconfig /release để xóa địa chỉ ip cũ. Sau đó ta gõ lệnh ipconfig /renew để xin địa chỉ ip mới Hình 5: cấu hình để cấp IP động GVHD : Nguyễn Kim Quốc Trang 36 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  37. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 7 : CÀI ĐẶT VÀ CẤU HÌNH MDAEMON 1. – Giới thiệu : 1.1. Các dịch vụ : Mdaemon là một hệ thống họat động dựa trên mạng nội bộ đã được thiết lâp trước. trong hệ thống mạng này chúng ta cần phải có một máy chủ chuyên dụng với cấu hình cao. Thay vào đó phải chỉ cần chỉ định một máy tính có cấu hình tương đối để làm mail server và dung lượng của đĩa cứng trên server này phải đủ để lưu trữ thư điện tử, Mdaemon là một phần mềm để xây dựng mail server theo chuẩn SMTP/POP/IMAP, cung cấp đầy đủ các tinh năng mà một mail server cần có. Sản phẩm được tạo ra nhằm quản lý một số lượng không giới hạn người dùng, vời một tâp các công cụ tích hơp phục vụ cho công tác quản lý account mail và định dạng các thông điệp trao đổi. Bên cạnh tính năng tương thích với các giao thức SMTP, POP3, IMAP4, phần mềm này hỗ trợ khả năng xác thực người dùng trên LDAP, tích hợp trình duyệt mail, khả năng lọc nội dung mail, chống spam, những tính năng bảo mật 1.2. Điều kiện: Trước khi thực hiện cài đặt mail server cần đảm bảo rằng hệ thống mạng nội bộ đã họat động ổn định. Đồng thời chúng ta cần xây dựng một DNS server nhằm cung cấp tên miền cho hệ thống thư điện tử nội bộ. Nếu tên miền cua chúng ta đã được đăng ký, chúng ta có thế biên hế thống thư điện tử nội bộ của mình thành một mail server có thể trao đổi với hệ thống mail server trên internet. 2. – Cài đặt cấu hình : 2.1. Server : 2.1.1. Cài đặt mdaemon Cài đặt hệ thống thư điện tử nội bộ (mail offline)trên máy mail (192.168.1.2) với phần mềm mdaemon và tên miền totnghiep.net Các bước thực hiện như sau: Bước 1: Từ nguồn cài đặt mdaemon trên đĩa CD-rom, ổ cứng hay server trên mạng, chạy file setup.exe để bắt đầu tiến hành cài đặt mdaemon GVHD : Nguyễn Kim Quốc Trang 37 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  38. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Bước 2: Màn hình welcome to mdaemon xuất hiện, nhấn “next” Bước 3: hộp thoại License agreement hiện ra bấm I agree Bước 4: thay đổi thư mục gốc dùng để cài đặt mdaemòn bằng cách nhấn browse trên hộp thoại select destination directory. Nhấn nút next Bước 5: trong hộp thoại registration information, nhập thông tin đăng kí bản quyền, nhấn next. Bước 6: trong hộp thoại ready to install, nhấn next, đề đồng ý với nhữn thiết lập và bắt đầu cài đặt mdaemon vào hệ thống. Bước 7: hộp thoại what is your domain name xuất hiện, nhập tên miền của mạng nội bộ vào domain name, nhấn next. Bước 8: trong hộp thoại please setup your first account nhập thông tin để tạo account đầu tiên trên mdaemon gồm có: fullname, mailbox, password Check vào mục this account is an administrator – full configuraton access is granted để chỉ định rằng account này có quyền quản trị mdaemon. Nhấn next hình 1: cài đặt MDaemon Bước 9: trong hộp thoại please setup your DNS, kích chọn mục use windows DNS setting và nhập địa chỉ IP của DNS server chính và DNS server dự phòng, nhấn next. GVHD : Nguyễn Kim Quốc Trang 38 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  39. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG hình 2: cài đặt MDaemon Bước 10: trong hộp thoại please setup your operating mode, chúng ta chọn một trong hai chế độ họat động của mdaemon: Run mdaemon in easy mode: chế độ này hiển thị những thành phần cần thiết cho mail server Run mdaemon in advanced mode: chế độ này hiển thị tất cả các chức năng của mail server và cung cấp khả năng tùy biến cao nhất với administrator Bước 11: nhân next Bước 12: trong hộp thoại please setup your service setting, đánh dấu chọn mục setup mdaemon as a system service để mdaemòn tự động khởi chạy mỗi khi windows khởi động, nhấn next Bước 13: nhấn finish để hoàn tất quá trình cài đặt 2.1.2: Tạo account mới: Bước 1: Trên menu account của cửa sổ quản trị mdaemon, chọn account manager Bước 2: Trong account manager, nhấn new để tạo account mới Bước 3: Trong hộp thoại account editor, nhập đầy đủ thông tin vào các mục fullname, mailbox, password GVHD : Nguyễn Kim Quốc Trang 39 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  40. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG hình 1: tạo account mới Bước 4: Nhấn nút OK trên hộp thoại account editor để hoàn tất việc tạo một account mới trên mdaemon Bước 5: Nhấn nút OK để đóng hộp thoại account manager 2.1.3 Cấu hình Microsoft Outlook gửi nhận thư Bước 1: Trên máy client 1 chọn MS outlook 2003 Bước 2: Hộp thoại outlook 2003 starup xuất hiện, nhấn next Bước 3: Trong hộp thoại email account, chọn yes để đồng ý cấu hình outlook kết nối tới mailserver Bước 4: Trong hộp thoại server type, chúng ta chọn giao thức POP3 để kết nối tới mail server và tải email về máy trạm Bước 5: Trong hộp thoại internet email settting ( POP3) nhập những thông tin liên quan tới account user và mail server Bước 6: Nhấn nút test account setting để kiểm tra những thiết lập Bước 7: Nhấn nút close để đóng hộp thoại test account settíng Bước 8: Nhấn nút next trên hộp thoại internet email setting (POP3) Bước 9: trong hộp thoại congratulations, nhấn nút finish để hoàn tất việc cấu hình một account user gửi nhận mail trong Ms outlook 2003 Bước 10: sau một vài giây cửa sổ microsoft outlook xuất hiện Bước 11: để soạn và gửi mail, trong Ms outlook, từ menu File chọn new/mail message GVHD : Nguyễn Kim Quốc Trang 40 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  41. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 2: soạn mail trong oulook 203 Bước 12: gõ địa chỉ mail muốn gửi và gõ nội dung ở cửa sổ bên dưới và nhấn nút send Hình 3: soạn mail trong oulook 203 Sử dụng webmail gửi và nhận thư điện tử Bước 1: vô trình duyệt web internet explorer gõ địa chỉ http:// :3000, trong trường hợp này là Nhập user name và password GVHD : Nguyễn Kim Quốc Trang 41 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  42. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 4: Sử dụng webmail gửi và nhận thư điện tử Bước 2: soạn nội dung và gửi mail tới địa chỉ cần gửi Hình 5: Sử dụng webmail gửi và nhận thư điện tử Bước 3: vô mail đã nhận để kiểm tra lại GVHD : Nguyễn Kim Quốc Trang 42 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  43. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 6: Sử dụng webmail gửi và nhận thư điện tử GVHD : Nguyễn Kim Quốc Trang 43 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  44. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 8 : CÀI ĐẶT VÀ CẤU HÌNH WEB SERVER BẰNG DỊCH VỤ IIS 1. Giới thiệu dịch vụ IIS - IIS ( internet information service) là chương trình webserver có sẳn trong windows 2000 server, nó có đầy đủ các tính năng mà một webserver . - Giao diện theo dạng Console rất thân thiện trong việc sử dụng, cấu hình và dể sửa chữa. - IIS quản lý các giao thức: Web HTTP service, FTP(file transfer Protocol) service, messaging service NNTP ( network new transfer protocol) SMTP (simple mail transfer protocol) - Với phương thức bảo mật SSL (secure sockets layer) kết hợp với CA service (Certificated Authority) sữ dụng giao thức HTTPs. 2. Cài đặt và cấu hình IIS 2.1. Cài đặt : Bước 1 : Click Start, Control Panel. Click Add or Remove Programs. Bước 2 : Trong Add or Remove Programs, click Add/Remove Windows Components Bước 3 : Trong Windows Components, xem qua danh sách Components và click Apllication Server. Click Details. Bước 4 : Check vào Internet Information Service (IIS) checkbox. Click OK. Bước 5 : Click Next trong Windows Components. Bước 6 : Click Finish trên Completing the Windows Components Wizard. 2.2. Cấu hình : Vào Start \ Program \ Internet Information Service(IIS). Vào tên Server \ Web Site \ Default Web Site tạo mới 1 trang web co tên Default.htm với nội dung giới thiệu về trang web của công ty GVHD : Nguyễn Kim Quốc Trang 44 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  45. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 1 : Cấu hình IIS Sau đó chọn Properties Default Web Site chọn Tab Home Directory để chỉnh các thông số cho trang web của Server. Hình 2: Cấu hình IIS Ngòai ra trên DNS Server phải tạo 1 Alias với tên www.cntt.edu.vn và chỉ đường dẫn tới Server làm Web Server. Để khi truy nhập vào địa chỉ www.cntt.edu.vn sẽ vào trang web của Web Server. GVHD : Nguyễn Kim Quốc Trang 45 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  46. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 3: Cấu hình IIS GVHD : Nguyễn Kim Quốc Trang 46 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  47. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 9 : DỊCH VỤ FTP 1. Giới thiệu : FTP (File Transfer Protocol, "Giao thức truyền chia sẽ tập tin") thường được dùng để trao đổi tập tin qua mạng lưới truyền thông dùng giao thức TCP/IP. 2. Cài đặt và cấu hình FTP. 2.1. Cài đặt : Bước 1 : Click Start, Setting, Control Panel, Add or Remove Programs. Bước 2 : Click Add/Remove Windows Components. Bước 3 : Trong Components list, click Application Server, click Internet Information Services (IIS), click Details. Bước 4 : Click File Transfer Protocol (FTP) Service, Internet Information Services Manager. Bước 5 : Click OK, Next, Finish 2.2. Cấu hình : Vào Start \ Program \ Administrator Tools \ Internet Information Service(IIS) Manager. Vào FTP Sites, Properties Default FTP Site. Qua Tab Security Accouts, đánh dấu chọn vào mục Allow anonymous connections và Allow only anonymous connections. Hình 1: Cấu hình FTP Tiếp tục qua Tab Home Directory, bấm vào Browse chọn đường dẫn tới thư mục chứa trang web FTP. Đánh dấu chọn vào 2 mục Read và Log visits. GVHD : Nguyễn Kim Quốc Trang 47 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  48. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 2 Cấu hình FTP Tại máy DNS Server tạo 1 New Alias (CNAME) tên ftp.cntt.edu.vn, truy nhập vào địa chỉ ftp.cntt.edu.vn. Hình 3: Cấu hình FTP GVHD : Nguyễn Kim Quốc Trang 48 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  49. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 10 : DỊCH VỤ NAT 1. Giới thiệu : Network Address Translation (NAT) để chia sẽ kết nối Internet với nhiều máy bên trong Lan với một địa chỉ IP của Wan, hoặc để kết nối 2 card mạng với nhau. Nó cũng có thể giúp dấu tất cả IP bên trong Lan với thế giới bên ngoài, tránh sự dòm ngó của hackers. 2. Cài đặt và cấu hình NAT 2.1. Cài đặt Nat: Vào Start \ Programs \ Administrator Tools \ Routing and Remote Access. Mặc định lúc đầu Nat chưa được Enable. Right Click (RC) vào tên Server chọn Configure and Enable Routing and Remote Access. Hình 1 : Cài đặt NAT Chọn vào NAT and basic Firewall và LAN routing. Nhấn OK. Hình 2 : Cài đặt NAT Nhấn Finish để hoàn tất cài đặt Nat. GVHD : Nguyễn Kim Quốc Trang 49 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  50. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 3 : Cài đặt NAT 2.2. Cấu hình Nat : Vào IP Routing \ RC NAT\Basic Firewall chọn New interface để cấu hình NAT Hình 4 : Cấu hình NAT Chọn card mạng Cross kết nối với Internet. Hình 5 : Cấu hình NAT Để mặc định chọn OK GVHD : Nguyễn Kim Quốc Trang 50 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  51. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 6 : Cấu hình NAT Sau đó tiếp tục chọn card mạng Lan nối vào các máy trong nội bộ. Nhấn OK. Hình 7 : Cấu hình NAT Check vào mục Puplic interface to the Internet rồi check Enable NAT on this interface. Hình 8 : Cấu hình NAT GVHD : Nguyễn Kim Quốc Trang 51 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  52. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Sau khi cấu hình xong Nat ta được như sau : Hình 9 : Cấu hình NAT Sau khi cấu hình xong ta có thể từ máy con kết nối vào được Internet GVHD : Nguyễn Kim Quốc Trang 52 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  53. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 11 : DỊCH VỤ VPN 1. Giới thiệu : Virtual Private Network – VPN là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẽ thông tin, truy cập từ xa và tiết kiệm chi phí. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia se như như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo dữ liệu. 2. Cài đặt và cấu hình VPN 2.1. Cài đặt : Trước tiên tạo 1 User cho máy tính của mạng ở chi nhánh khác truy cập vào. Các bước cài đặt như Nat. Bước này ta chọn VPN access, Demand-dial connection và LAN routing. Hình 1 : Cài đặt VPN RC network Interface chọn New Command-dial Interface Trong trang Interface Name đánh tên của chi nhánh muốn truy cập vào mạng của mình (vd : hanoi). Nhấn Next. 2.2. Cấu hình : GVHD : Nguyễn Kim Quốc Trang 53 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  54. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 2 : Cấu hình VPN Hình 3 : Cấu hình VPN Đánh địa chỉ IP mạng ở chi nhánh hanoi vào, nhấn Next. Nhấn Add để add địa chỉ của mạng của mình vào. Hình 4 : Cấu hình VPN Hình 5 : Cấu hình VPN Trong bảng Dial Out Credentials đánh tên User và Password mới tạo cho mạng ở hanoi truy nhập vào mạng của mình vào. Bấm Next. Demand-dial của chi nhánh hanoi đã nằm trong danh sách. Hình 6 : Cấu hình VPN Hình 7 : Cấu hình VPN GVHD : Nguyễn Kim Quốc Trang 54 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  55. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Đề cấp địa chỉ IP cho mạng ở chi nhánh hanoi có thể truy nhập vào mạng ở chi nhánh tphcm. Ta RC tên server chọn Properties. Qua tab IP nhấn Add và đánh dãy số địa chỉ IP cấp cho chi nhánh ha nôi khi truy nhập vào mạng ở tphcm. Hình 8 : Cấu hình VPN Hình 9 : Cấu hình VPN Ở máy server của chi nhánh hanoi cũng làm như các thao tác trên để máy có thể truy nhập được vào máy ở chi nhánh hanoi. Bây giờ các mạng ở các chi nhánh có thể truy nhập vào được với nhau. GVHD : Nguyễn Kim Quốc Trang 55 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  56. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 12 : DỊCH VỤ RIS 1. Giới thiệu : RIS là từ viết tắt của Remote Installation Serice. Dùng công cụ Riprep nằm trong bộ tools đi kèm của Windows Server 2003. Công cụ này dùng để phối hợp với RIS server trong việc tạo ra bản Image của hệ điều hành nhằm triển khai trên hàng loạt máy trạm từ xa. Thay vì việc phải đi cài Window cho từng máy trạm, bây giờ ta chỉ việc khởi động máy trạm từ card mạng và bộ cài có sẵn trên server sé tự động được cài vào từng máy trạm. - Máy trạm chỉ cần có card mạng hỗ trợ PXE, không cần ổ CDROM - Người quản trị không phải mất công đi cài đặt trên từng máy - Bộ cài được tạo ra trên server không kèm driver nên có thể triển khai trên máy trạm với mọi cấu hình,miễn đủ dung lượng ổ cứng - Có thể tích hợp sẵn các phần mềm vào bộ cài, đỡ mất công cài phần mềm trên từng máy -Máy trạm sau khi cài đặt xong tự động join vào domain, không cần sự thực hiện trực tiếp của người quản trị. 2. Cài đặt và cấu hình RIS 2.1. Cài đặt : Vào Start \ Control Panel \ Add or Remove Programs \ Add Remove Windows Components. Click Remote Installation Service. Tiến hành cài đặt, sau khi xong khởi động lại máy. 2.2. Cấu hình : Bước 1 : Start\Administrative Tools\Remote Installation Service Setup. Nhấn Next. Bước 2 : Chọn nơi để lưu các file cài đặt cho client (phải là phân vùng NTFS). Click Next. Bước 3 : Check vào mục Respond to client computer resquesting service. Click Next Bước 4 : Chỉ đến nơi chứa source cài đặt HĐH(chỉ đến thư mục I386 trên CD-Rom chứa HĐH muốn cài ), click Next GVHD : Nguyễn Kim Quốc Trang 56 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  57. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 1 : Cấu hình RIS Hình 2 : Cấu hình RIS Bước 5 : Đặt tên và chú thích cho Image. Click Next để tiếp tục. Hình 3 : Cấu hình RIS Hình 4 : Cấu hình RIS Click Next ->Next Bước 6 : Quá trình copy files cần thiết từ CD cài đặt XP & tạo các file cấu hình. Hình 5 : Cấu hình RIS Hình 6 : Cấu hình RIS Chỉnh sửa file trả lời tự động trên RIS server Để quá trình cài đặt có thể diễn ra hoàn toàn tự động,ta cần chỉnh lại 1 số thông tin trong file trả lời tự động trên RIS server: GVHD : Nguyễn Kim Quốc Trang 57 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  58. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Ta vào đường dẫn D:\RemoteInstall\Setup\English\Images\RiprepImage\ i386\Templates, mở file riprep.sif bằng notepad: Điền Product Key của hệ điều hành. Mục Reparttion và UseWholeDisk sửa thành No.Điều này để đảm bảo máy trạm vẫn giữ được cấu trúc phân vùng khi cài đặt từ xa. Hình 7 : Cấu hình RIS Tiến hành cài đặt tự động trên mỗi máy trạm Khởi động máy trạm từ card mạng. Lúc này cả 2 máy DC và RIS server đều phải bật. Ta nhận thấy máy trạm sẽ tự động được cấp 1 địa chỉ IP. Sau đó máy trạm tìm kiếm máy Ris server. Khi tim thấy RIS server nó sẽ đòi nhập User name và Password bằng quyền Administrator. Sau đó máy tính sẽ tự động cài đặt. Sau khi máy tự cài xong sẽ tự động vào mạng. GVHD : Nguyễn Kim Quốc Trang 58 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  59. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 13 : DỊCH VỤ VNC 1. Giới thiệu : Virtual Network Computing (VNC) là một phần mềm remote control , cho phép bạn xem và tương tác các ứng dụng trên giao diện của một máy tính từ xa khi bạn ngồi ở bất kì một máy tính nào trên internet. Đơn giản và tiện lợi,đó là đặc tính nỗi trội nhất của nó. Hai máy tính không cần phải giống nhau về thuộc tính của nó, ví dụ ban có thể xem một linux office khi bạn sử dụng Hệ Điều Hành Windows. VNC sử dụng rộng rãi và được dùng tùy theo mục đích riêng như cho các học viện, những nhóm cần thảo luận một vấn đề nào đó hoặc dành cho những công việc riêng tư. 2. Cài đặt cấu hình : Tại máy Server: Là máy cho phép chúng ta dùng VNC client để connect vào đó. Click vào phần mềm cài đặt VNC, nhấn Next. Trong bảng Select Component chọn VNC Server. Sau đó cứ nhấn Next cho tới khi cài xong dịch vụ VNC. Hình 1 : Cấu hình VNC Chạy chương trình VNC server và điền các thông số vào. GVHD : Nguyễn Kim Quốc Trang 59 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  60. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 2 : Cấu hình VNC Hình 3 : Cấu hình VNC Tại máy Client là máy dùng để truy nhập vào máy server, cũng cài chương trình VNC như trên nhưng tới bảng Select Component chọn VNC Viewer. Sau đó cứ nhấn Next cho tới khi cài xong dịch vụ VNC. Hình 4 : Cấu hình VNC Hình 5 : Cấu hình VNC Sau khi cài xong cho máy Client chạy chương trình VNC và gõ địa chỉ IP mà máy mà mình muốn truy nhập vào. GVHD : Nguyễn Kim Quốc Trang 60 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  61. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 14 : DỊCH VỤ CA 1. Giới thiệu : Chứng chỉ số là một tệp tin điện tử được sử dụng để nhận diện một cá nhân, một máy chủ, một công ty, hoặc một vài đối tượng khác và gắn chỉ danh của đối tượng đó với một khoá công khai (public key) 2. Cài đặt và cấu hình CA : 2.1. Cài đặt CA : Cài ASP.NET Bước 1. Click Start, Control Panel. Click Add or Remove Programs. Bước 2. Trong Add or Remove Programs, click Add/Remove Windows Components Bước 3. Trong Windows Components, xem qua danh sách Components và click Application Servers. Click Details. Bước 4. Check vào ASP.NET checkbox và click OK. Bước 5. Click Next trong Windows Components. Bước 6. Click Finish trên Completing the Windows Components Wizard. Cài Enterprise Root CA : Click Start, Control Panel. Click Add or Remove Programs. Trong Add or Remove Programs, click Add/Remove Windows Components. Chọn Enterprise Root CA và Enable Active Server Page. Nhấn Next 2.2. Cấu hình CA : Sau khi nhấn Next. Trong bảng CA Type chọn phiên bản Enterpise CA. Hình 1 : Cấu hình CA Hình 2 : Cấu hình CA GVHD : Nguyễn Kim Quốc Trang 61 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  62. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Nhấn Next -> Next. Trong bảng Microsoft Certicate Services bấm OK. Nhấn Next để kết thúc quá trình cài CA. Hình 3 : Cấu hình CA Hình 4 : Cấu hình CA Để chứng thực cho các User để có thể gửi mail. Vào IE đánh vào ô Address Chọn Request a certificate Hình 5 : Cấu hình CA GVHD : Nguyễn Kim Quốc Trang 62 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  63. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Tiếp tục chọn User Certificate. Hình 6 : Cấu hình CA Bấm Submit Hình 7 : Cấu hình CA Chọn Install this certificate Hình 8 : Cấu hình CA Để chứng thực cho các User vào Run gõ mmc để mở Console1 Hình 9 : Cấu hình CA Hình 10 : Cấu hình CA GVHD : Nguyễn Kim Quốc Trang 63 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  64. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Trong cửa sổ console1 vào File \ Add/Remove Snap-in. Chọn Certificate – Current user trong bảng Add/Remove Snap-in. Bấm OK. Hình 11 : Cấu hình CA Bây giờ trong danh sách đã có u1 đã được chứng thực đưa vào danh sách. Chọn File \ Save As để lưu u1 lại. Hình 12 : Cấu hình CA 3. Những User đã được chứng thực thì độ an tòan bảo mật của mail, những thông tin sẽ được bảo vệ và họat đông tốt. GVHD : Nguyễn Kim Quốc Trang 64 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  65. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 15 : DỊCH VỤ IPSEC 1. Giới thiệu : IPsec (IP security) bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói IP (IP packet) trong quá trình truyền thông tin. IPsec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực. Dịch vụ IPSec có sẵn trong Window Server 2003. 2. Cấu hình IPSec: Cấm một máy tính không cho truy cập web. - Mở cửa sổ MMC : Start > Run > MMC - Thêm vào IP Security and Policy Management Snap-In như hình bên dưới Hình 1 : Cấu hình IPSec Hình 2 : Cấu hình IPSec Ở mục chọn Computer, chọn local computer. Hình 3 : Cấu hình IPSec Hình 4 : Cấu hình IPSec GVHD : Nguyễn Kim Quốc Trang 65 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  66. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Click phải vào MMC console bên trái, chọn Manage IP Filter Lists and Filter Actions Ở cửa sổ Manage IP Filter Lists and Filter Actions, chọn Add Hình 5 : Cấu hình IPSec Hình 6 : Cấu hình IPSec Cửa sổ IP Filter List, điền tên Policy và chọn Add. Cửa sổ Welcome, chọn Next Ở phần mô tả Policy, ta có thể điền vào hoặc không. Cửa sổ IP Traffic Source, chọn My IP Address và chọn Next Cửa sổ IP Traffic Destination, chọn Any IP Address và chọn Next Hình 7 : Cấu hình IPSec Hình 8 : Cấu hình IPSec GVHD : Nguyễn Kim Quốc Trang 66 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  67. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Ở cửa sổ IP Protocol Type, chọn TCP Cửa sổ IP Protocol Port, chọn Port 80 (port HTTP). Hình 9 : Cấu hình IPSec Hình 10 : Cấu hình IPSec Cửa sổ IP Filter List sẽ hiển thị phần IP Filter ta vừa Add. Tại đây, ta có thể lập lại bước trên với HTTPS port 443 (Any IP to Any IP, Protocol TCP, Destination Port 443) Hình 11 : Cấu hình IPSec Hình 12 : Cấu hình IPSec Khi đã setup cả 2 port HTTP và HTTPS (port 80 và port 443), Click OK. GVHD : Nguyễn Kim Quốc Trang 67 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  68. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Tại cửa sổ Manage IP Filter Lists and Filter Actions, chọn Manage Filter Actions. Bây giờ, chúng ta sẽ block các traffic như chúng ta muốn. Chọn Add. Cửa sổ Filter Action Name, gõ Block và click Next Hình 13 : Cấu hình IPSec Hình 14 : Cấu hình IPSec Ở cửa sổ Filter Action General Options, chọn Block và click Next Hình 15 : Cấu hình IPSec Hình 16 : Cấu hình IPSec - Quay về cửa sổ Manage IP Filter Lists and Filter Actions, ta có thể Add thêm các Filter khác GVHD : Nguyễn Kim Quốc Trang 68 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  69. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Thiết lập IPSec Policy và áp dụng Ở cửa sổ IPSEC MMC, chọn IP Security Policies on Local Computer và chọn Create IP Security Policy. Ở cửa sổ IP Security Policy Name, điền một cái mô tả nào đó cho dễ nhớ như "Block tất cả Web" Chọn Next Hình 17 : Cấu hình IPSec Hình 18 : Cấu hình IPSec Xuất hiện màn hình Welcome chọn Next Ở cửa sổ Request for Secure Communication, click bỏ chọn Active the Default Response Rule và chọn Next. Cửa sổ Completing IP Security Policy Wizard, chọn Finish. Hình 19 : Cấu hình IPSec Hình 20 : Cấu hình IPSec GVHD : Nguyễn Kim Quốc Trang 69 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  70. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Chúng ta cần Add các IP Filters and Filter Actions ở Policy "Block tất cả Web" vừa tạo. Ở cửa sổ IPSec Policy, chọn Add. Ở cửa sổ Tunnel Endpoint, chọn "The rule does not specify a tunnel", chọn Next Hình 21 : Cấu hình IPSec Hình 22 : Cấu hình IPSec - Ở cửa sổ Network Type, chọn All Network Connections và chọn Next. - Tại cửa sổ IP Filter List, chọn phần IP Filters đã tạo ở bước trước . Nếu chưa thiết lập IP Filter, ta có thể Add lại. Sau đó chọn Next Hình 23 : Cấu hình IPSec Hình 24 : Cấu hình IPSec - Ở cửa sổ Filter Action, chọn Filter Actions "Block" đã tạo. Nếu chưa tạo thì cứ Add lại Chọn Next. - Kiểm tra chắc chắn IP Filter đã được chọn. Chọn OK GVHD : Nguyễn Kim Quốc Trang 70 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  71. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 25 : Cấu hình IPSec Hình 26 : Cấu hình IPSec - Đến phần áp dụng. Ở IPSEC MMC, click phải IPSEC Policies vừa tạo, chọn Assign. Hình 27 : Cấu hình IPSec - Ngòai ra dùng IPSe để Cấm truy cập Internet, nhưng cho phép truy cập mạng nội bộ. - Sau khi đã test thành công trên một PC, ta có thể export Policies vừa rồi và import vào PC khác, hay áp Policy từ GPO. - Tại IP Security and Policy Management Snap-In (IPSEC MMC), chọn All Task, chọn Export Policies. Tương tự là Import Policies. GVHD : Nguyễn Kim Quốc Trang 71 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  72. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 16 : GROUP POLICY OBJECT 1. Giới thiệu : Group Policy Object (GPO) là chính sách nhóm là một kỹ thuật cho phép người quản trị mạng quản lý một cách tập trung toàn mạng trên Window Server 2003 bằng cách áp đặt các thiết lập chính sách cho các máy tính. Nhờ có GPO trong Active Directory, người quản trị hệ thống có thể áp đặt các mức độ bảo mật cần thiết để bảo vệ hệ thốngtheo những yêu cầu được đặt ra của công ty. 2. Cấu hình GPO 2.1. Thiết lập Auditing : Auditing là tiến trình theo dõi các họat động của User và các hệ điều hành của WS2003 trên một máy tính. Thiết lập Audit policy cho Domain Controller: Bước 1 : Mở cửa sổ Active Directory Users and Computers Bước 2 : Nhấn chuột phải vào Domain Controller, chọn Properties. Cửa sổ Domain Controller Properties hiện ra, chọn tab Group Policy. Bước 3 : Trong khung này chọn policy mà chúng ta muốn thiết lập, nhấn Edit. Bước 4 : Trong Group Policy Object Editor, nhấn đôi chuột vào Computer Configuration, nhấn đôi chuột vào Window Settings, nhấn đôi chuột vào Security Settings, nhấn đôi chuột vào Audit Policy Hình 1 : Cấu hình Group Policy Object Trong panel bên phải chọn vào sự kiện muốn thiết lập nhấn đôi chuột vào sự kiện muốn thay đổi. GVHD : Nguyễn Kim Quốc Trang 72 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  73. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Success : Ghi lại những lần thực hiện thành công của lọai sự kiện này. Failure : Ghi lại những lần thực hiện thất bại của lọai sự kiện này Hình 2 : Cấu hình Group Policy Object Nhấn OK. Để thay đổi có hiệu lực ta làm như sau : - Từ cửa sổ dòng lệnh, gõ secedit/refreshpolicy machine_policy, nhấn Enter. - Restart lại máy tính. - Chính sách sẽ được cấu hình thay đổi thành công mặc định là 8h Thiết lập Audit policy trên một máy tính không phải là thành viên của Domain Controller : Bước 1 : Vào Start \ programs \Administrative Tools \ Local Security Policy. Bước 2 : Trong cửa sổ Local Security Settings \ Local Policies \ Audit Policy. Hình 3 : Cấu hình Group Policy Object Trong panel bên phải chọn vào sự kiện muốn thiết lập nhấn đôi chuột vào sự kiện muốn thay đổi. Ta chọn Audit accout logon event là Failure để theo dõi quá trình đăng nhập vào Domain Controller thất bại. Sau đó ta vào Vào Start \ Programs \Administrative Tools \Event Viewer GVHD : Nguyễn Kim Quốc Trang 73 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  74. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 4 : Cấu hình Group Policy Object Ta RC các cửa sổ Application, Security, Systems, chọn Clear all Event. Và chọn No. Hình 5 : Cấu hình Group Policy Object Ta dùng thử 1 user không phải của DC Logon vào DC thất bại. Sau đó vào lại DC kiểm tra ta sẽ thấy kết quả Logon thất bại sẽ được ghi nhận lại. Hình 6 : Cấu hình Group Policy Object GVHD : Nguyễn Kim Quốc Trang 74 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  75. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG GVHD : Nguyễn Kim Quốc Trang 75 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  76. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 17 : CÀI ĐẶT VÀ CẤU HÌNH ISA SERVER 2004 1. – Giới thiệu : ISA Server 2004 là phần mềm bảo mật máy chủ, cung cấp cho người dùng những tính năng nâng cấp của phần mềm tường lửa (firewall) dành cho tầng ứng dụng, mạng riêng riêng ảo (VPN) và mở rộng khả năng Web- caching. ISA Server 2004 còn có khả năng bảo vệ cao, truy cập với độ tin cậy an toàn và tốc độ truy cập nhanh thích hợp với tất cả các loại mạng. 2. – Cài đặt cấu hình : 2.1. Cài đặt ISA Server 2004 trên Windows 2003 Server và Client 2.1.1. Cài đặt ISA Server 2004 trên Windows 2003 Server: Tiến hành các bước sau để cài đặt ISA Server 2004 software trên Windows Server 2003 Computer: Bước 1: Bỏ đĩa software ISA Server 2004 vào ổ CD. Autorun menu sẽ xuất hiện. Bước 2. Trên trang Microsoft Internet Security and Acceleration Server 2004, nhấn chuột trái vào Install ISA Server 2004. Hình 1: cài dặt ISA 2004 Bước 3. Nhấn Next trên hộp thoại Welcome to the Installation Wizard for Microsoft ISA Server 2004 . Bước 4. Chọn I accept the terms in the license agreement trên hộp thoại License Agreement. Nhấn Next. GVHD : Nguyễn Kim Quốc Trang 76 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  77. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Bước 5. Trên hộp thoại Customer Information, điền Tên và Tên Tổ chức của bạn trong mục User Name và Organization. Điền tiếp Product Serial Number (số serial của sản phẩm). Nhấn Next. Hình 2: cài dặt ISA 2004 Bước 6. Trên hộp thoại Setup Type, chọn mục Custom. Nếu bạn không muốn cài đặt ISA Server 2004 software trên ổ đĩa C , nhấn Change để thay đổi vị trí cài đặt chương trình trên đĩa cứng. Nhấn Next. Chúng ta có thể chọn 3 chế độ sau: Typical: ở chế độ này chỉ cài đặt một số dịch vụ tối thiểu, không có dịch vụ cache. Complete: tất cả các dịch vụ sẽ được cài đặt. Custom: cho phép chọn những thành phần cài đặt của ISA Server 2004. Hình 3: cài dặt ISA 2004 Bước 7. Trên hộp thoại Custom Setup, bạn có thể lựa chọn những thành phần cài đặt. Mặc định thì, Firewall Services và ISA Server Management sẽ được cài đặt. Còn Message Screener, được sử dụng giúp ngăn chặn thư rác và các file đính kèm khi chúng được đưa vào Network hoặc từ bên trong phân phối ra ngoài, thành phần này theo mặc định không được cài đặt. Thành phần tiếp theo cũng không được cài đặt GVHD : Nguyễn Kim Quốc Trang 77 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  78. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG là Firewall Client Installation Share. Dùng xác lập mặc định để tiếp tục và nhấn Next. Bước 8. Trên hộp thoại Internal Network, nhấn Add. Khi cài đặt ISA Server 2004, thì Internal Network sẽ chứa các Network services được tin cậy và ISA Server 2004 Firewall phải giao tiếp được với những Services này. Bước 9. Trong hộp thoại Internal Network setup, nhấn Select Network Adapter. Hình 4: cài dặt ISA 2004 Bước 10. Trong hộp thoại Select Network Adapter dialog box, bỏ dấu check tại Add the following private ranges checkbox. Check vào Add address ranges based on the Windows Routing Table checkbox. Check tiếp vào Network Card trực tiếp kết nối vào LAN tại Select the address ranges Internal Network adapter . Nhấn OK. Hình 5: cài dặt ISA 2004 GVHD : Nguyễn Kim Quốc Trang 78 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  79. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Bước 11. Nhấn OK trong Setup Message dialog box xác nhận rằng Internal Network đã được định nghĩa hoạt động dựa trên Windows routing table. Bước 12. Nhấn OK trên Internal Network address ranges dialog box. Bước 13. Nhấn Next trên hộp thoại Internal Network. Hình 6: cài dặt ISA 2004 Bước 14. Trên hộp thoại Firewall Client Connection Settings, check vào Allow Firewall clients running earlier versions of the Firewall client software. Nhấn Next. Xác lập này sẽ cho phép chúng ta kết nối đến ISA Server 2004 Firewall khi đang sử dụng những hệ điều hành đời cũ, hoặc ngay cả khi dùng Windows 2000/Windows XP/Windows Server 2003 nhưng đang chạy Firewall Clients là ISA Server 2000 Firewall client. Bước 15. Trên hộp thoại Services, nhấn Next. Bước 16. Nhấn Install trên hộp thoại Ready to Install the Program. Bước 17. Trên hộp thoại Installation Wizard Completed, nhấn Finish. GVHD : Nguyễn Kim Quốc Trang 79 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  80. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 7: cài dặt ISA 2004 Bước 18. Nhấn Yes trong Microsoft ISA Server dialog box xác nhận rằng Computer phải restarted. Hình 8: cài dặt ISA 2004 Bước 19. Log-on lại vào Computer bằng tài khỏan Administrator 2.1.2. Cài đặt ISA Server 2004 trên Client : Firewall client software có thể được setup từ ISA Server 2004 hoặc bất kì máy nào có chứa phầm mềm này trên mạng, rất đơn giản. Tuy nhiên, nếu bạn muốn cài đặt Firewall client software từ ISA Server 2004 firewall computer, trước hết hãy bật System Policy Rule nhằm cho phép truy cập đến share có chứa source này. Sau này bạn nên chuyển Source này đến một File server trên mạng để việc truy cập được an toàn hơn, hiện giờ nó đang được đặt trên ISA. Theo các bước sau để cài Firewall client trên 2 computer: domain controller và Windows 2000 client computer. Các bước cài đặt tương tự như cài ISA Server : Bước 1. Bỏ đĩa ISA Server 2004 vào CD-ROM trên máy domain controller. Trên menu, nhấn Install ISA Server 2004 . GVHD : Nguyễn Kim Quốc Trang 80 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  81. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Bước 2. Trên hộp thoại Welcome to the Installation Wizard for Microsoft ISA Server 2004, nhấn Next. Bước 3. Trên hộp thoại License Agreement, chọn I accept the terms in the license agreement, nhấn Next. Bước 4. Trên hộp thoại Customer Information, điền User name, Organization và Product Serial Number của bạn. Nhấn Next. Bước 5. Trên hộp thoại Setup Type, chọn Custom. Bước 6. Trên hộp thoại Custom Setup, nhấn vào Firewall Services và chọn mục This feature will not be available. Nhấn ISA Server Management và chọn mục This feature will not be available. Nhấn Firewall Client Installation Share và chọn mục This feature, and all subfeatures, will be installed on the local hard drive. Nhấn Next. Hình 9: cài dặt ISA 2004 trên client Bước 7. Nhấn Install trên hộp thoại Ready to Install the Program. Bước 8. Nhấn Finish trên hộp thoại Installation Wizard Completed. Bước 9. Sau đó trên các máy tính client tiến hành cài đặt Firewall Client bằng cách mở Start à Run và gõ lệnh ”\\ địa chỉ IP của máy ISA server \mspclnt\setup”. (vd:\\192.168.1.3\mscplnt\setup) 2.2. Cấu hình ISA Server 2004 trên Windows Server 2003: ISA Server 2004 Firewall có 3 dạng chính sách bảo mật: system policy, access rule và publishing rule. GVHD : Nguyễn Kim Quốc Trang 81 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  82. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG - System policy: thường ẩn và được dùng cho việc tương tác giữa firewall và các dịch vụ mạng khác như ICMP, RDP System policy được xử lý trước khi access rule được áp dụng. Sau khi cài đặt các system policy mặc định cho phép ISA Server sử dụng các dịch vụ về hệ thống như DHCP, RDP, Ping - Access Rule: là tập hợp các quy tắc truy cập Internet hay Email. Cần đặc biệt lưu ý đến thứ tự các access rule vì luồng xử lý của firewall sẽ chấm dứt khi nó gặp firewall policy chặn lại. - Publishing Rule: dùng để cung cấp các dịch vụ như Web Server, Mail Server trên lớp mạng Internal hay DMZ, cho phép người dùng Internet truy cập. 2.2.1. Cấu hình cho các máy Client vào Internet: Bước 1. Vào Start à Programs à Microsoft ISA Server 2004 chạy ISA Server 2004 Management. Nhấn phải chuột vào Firewall Policy chọn New à Access Rule hoặc chọn từ Task Pane (khung tác vụ) của màn hình quản lý. Hình 10: cài dặt ISA 2004 trên client Bước 2. Trên trang New Access Rule Wizard nhập vào tên Access Rule và chọn Next. GVHD : Nguyễn Kim Quốc Trang 82 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  83. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 11: cài dặt ISA 2004 trên client Bước 3. Trong khung Rule Action. Chọn Allow và nhấn Next. Allow là cho phép sử dụng giao thức. Deny là không cho phép sử dụng giao thức. Bước 4. Chọn Selected protocols trong hộp thoại This rule applies to và nhấn Add. Bạn có thể chọn các mục tùy theo mục đích sử dụng: - Selected protocols : để chọn các giao thức cần sử dụng. - All Outbound traffic : để cho tất cả các giao thức kết nối ra ngoài. - All Outbound traffic except selected : để cho tất cả các giao thức được kết nối ra ngoài ngoại trừ giao thức được chọn. Hình 12: cài dặt ISA 2004 trên client Bước 5. Trên trang Add Protocols chọn HTTP, DNS, FTP nhấn Add rồi nhấn Close. GVHD : Nguyễn Kim Quốc Trang 83 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  84. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 13: cài dặt ISA 2004 trên client Giao thức HTTP, HTTPS dùng để truy cập duyệt Web, FTP dùng để tải tập tin về máy từ FTP Server, DNS dùng để truy vấn tên miền. Ở đây các bạn có thể không sử dụng protocol FTP nếu không cần tải file bằng FTP. Nhưng phải dùng DNS thì máy Client mới vào Internet được. Bước 6. Trên hộp thoại New Access Rule Wizard chọn Next. Bước 7. Trên hộp thoại Acces Rule Sources ta chọn Add. Bước 8. Trên hộp thoại Add Network Entities chọn Internal trong mục Networks nhấn Add rồi Close. Internal Network là chỉ lớp mạng Lan ở phía trong của ISA Server. External Network là chỉ lớp mạng ở bên ngoài của ISA Server, hướng ra ngoài Internet. Local host là mạng máy tính cục bộ Bạn cũng có thể Add thêm Local Host nếu muốn máy ISA Server truy cập Internet như Client. Hình 14: cài dặt ISA 2004 trên client Bước 9. Nhấn Next để tiếp tục. Bước 10. Trên trang Access Rule Destinations chọn Add rồi chọn External trong mục Networks tương tự như trên, nhấn Add rồi Close. Nhấn Next. GVHD : Nguyễn Kim Quốc Trang 84 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  85. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 15: cài dặt ISA 2004 trên client Bước 11. Trên trang User Sets nhấn Next để tiếp tục. Ở đây ta có thể nhấn Add để chọn những Groups hay Users khác để cho phép truy cập ra ngoài Internet thay vì cho tất cả AllUsers truy cập ra ngoài. Hạn chế được User truy cập theo ý muốn của Administrator. Hình 16: cài dặt ISA 2004 trên client Bước 12. Nhấn Finish để hoàn tất cấu hình. Hình 17: cài dặt ISA 2004 trên client GVHD : Nguyễn Kim Quốc Trang 85 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  86. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Bước 13. Nhấn Apply để lưu cấu hình ISA. Hình 18: cài dặt ISA 2004 trên client Bước 14. Nhấn OK khi cấu hình đã lưu hoàn tất. Hình 19: cài dặt ISA 2004 trên client 2.2.2. Public Web server ra Internet. Chọn vào Tasks chọn mục Publish a Web Server để đưa trang Web ra Internet. Đánh tên vào bảng Welcome to the New Web Pulishing Rule Wizard. GVHD : Nguyễn Kim Quốc Trang 86 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  87. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Chọn Allow để đồng ý đưa trang Web ra Internet. Nhấn Next Chọn đường dẫn dẫn vào trang Web. Nhấn Next. Trong bảng Select Web Listener chọn Web. Nhấn Next , Next. GVHD : Nguyễn Kim Quốc Trang 87 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  88. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Nhấn Finish để hòan tất Publish Web Server. 2.2.3. Cấu hình cho Client vào Internet nhưng không cho phép tải về những files có khả năng thực thi : Tạo Access Rule mới tên là Permit HTTP Deny executables cho phép người dùng trên lớp mạng Internal sử dụng HTTP protocol. Nhấn chuột phải vào Permit HTTP deny executables và chọn Configure HTTP. Đánh dấu chọn vào ô Block responses containing Windows executables content ( ngăn chặn yêu cầu tải về những file GVHD : Nguyễn Kim Quốc Trang 88 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  89. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG windows có khả năng thực thi) ở phần dưới cùng trong thẻ General. Nhấn OK. Hình 20: cầu hình ISA 2004 2.2.4. Cấu hình ISA Client dùng SecureNAT, Web Proxy Client: - SecureNAT Client: Đây là phương pháp đơn giản nhất, các máy tính chỉ cần cấu hình Default Gateway của TCP/IP máy Client là địa chỉ IP card mạng Internal của ISA Server là được, hoặc cấp thông qua DHCP Server với option 006 dành cho Router. Hình 21: cầu hình ISA 2004 - Web Proxy Client: GVHD : Nguyễn Kim Quốc Trang 89 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  90. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Web Proxy Client chỉ sử dụng được các giao thức HTTP, HTTPS, FTP, điều này có nghĩa là người dùng sẽ không thể truy cập email với Outlook hay các chương trình khác. Để sử dụng Web Proxy, các máy Client cấu hình trong trình duyệt Web bằng cách mở Internet Explore, chọn Tools à Internet Options, chọn thẻ Connections à Lan Settings và nhập vào địa chỉ của Proxy Server và port 8080. Hình 22: cầu hình ISA 2004 2.2.5. Cache trong ISA Server 2004 : Web caching đối với http và ftp là một đặc tính rất hữu ích của ISA Server tuy nhiên mặc định bị cấm. ISA có hai cơ chế caching: Forward caching: với cơ chế này nội dung các trang web thường xuyên được truy cập sẽ được tải về trước và lưu trữ trong phần cache của ISA Server. Vì vậy khi người dùng mở lại những trang web này sẽ được trả nội dung trên cache thay vì phải kết nối trực tiếp với web server trên Internet. Reverse caching: ngược lại với Forward caching, khi doanh nghiệp hay tổ chức có những web server cho phép người dùng bên ngoài truy cập, reverse caching tiết kiệm băng thông bằng cách lưu trữ nội dung trang web trên các proxy server để đáp ứng giảm tải cho web server. Reverse caching còn được gọi là gateway cache. - Cấu hình Web Caching: Bước 1. Nhấn phải chuột vào Cache trong mục Configuration chọn Define Cache Drive GVHD : Nguyễn Kim Quốc Trang 90 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  91. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 23: cầu hình ISA 2004 Bước 2. Trong trang Define Cache Drives chọn ổ đĩa (phải định dạng NTFS) dùng làm nơi chứa cache. Gõ dung lượng tối đa dùng để cache rồi nhấn Set. Nhấn Apply. Nhấn OK. Hình 24: cầu hình ISA 2004 Bước 3. Trên hộp thoại ISA Server Warning chọn Save the changes and restart the services. Nhấn OK. GVHD : Nguyễn Kim Quốc Trang 91 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  92. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 25: cầu hình ISA 2004 Bước 4. Nhấn phải chuột vào Cache chọn Properties. Hình 26: cầu hình ISA 2004 Bước 5. Chọn thẻ Active Caching chọn vào ô Enable active caching. Nhấn OK. Update active object in cache: cập nhật đối tượng trong cache Frequently: một cách thường xuyên Normally: một cách bình thường Less frequently: một cách không thường xuyên. Hình 27: cầu hình ISA 2004 - Cấu hình Cache Content Download Jobs: Giả sử người dùng trên hệ thống thường truy cập vào trang web www.vietnamnet.vn để xem các thông tin mới hằng ngày. Do đó ta cấu hình ISA Server tự động tải về trang web này vào ngày, giờ nào đó trong tuần để nâng cao hiệu quả hoạt động. Các bước thực hiện: GVHD : Nguyễn Kim Quốc Trang 92 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  93. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Bước 1. Nhấn chuột phải vào Cache chọn New chọn Content Download Job Hình 28: cầu hình ISA 2004 Bước 2. Trên trang Enable Schedule Content Download Jobs chọn Yes. Bước 3. Trên trang New Content Download Jobs Wizard gõ tên của nội dung cần download trong hộp thoại Content Download Job name rồi nhấn Next. Hình 29: cầu hình ISA 2004 Bước 4. Trên trang Download Frequency để mặc định. Nhấn Next. GVHD : Nguyễn Kim Quốc Trang 93 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  94. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG One time only, on completion of this wizard : Chỉ down một lần đầu khi hoàn thành mục này. One time only, scheduled : Chỉ down một lần theo lịch được lập sẵn. Daily : Down mỗi ngày. Weekly : Down mỗi tuần. Hình 30: cầu hình ISA 2004 Bước 5. Nhập địa chỉ trang Web cần download vào hộp thoại Download content from this URL. Nhấn Next. Job limits: giới hạn công việc. Do not follow link outside the specified URL domain name: Không theo đường dẫn link khác ngoài tên URL domain được nêu. Maximum depth of link per page: Giới hạn tối đa chiều sâu của đường link trên mỗi trang web. Hình 31: cầu hình ISA 2004 Bước 6. Trên trang Content Caching để mặc định, nhấn Next. Nhấn Finish để hoàn tất. Hình 32: cầu hình ISA 2004 GVHD : Nguyễn Kim Quốc Trang 94 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  95. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG - Tạo Cache rule không lưu giữ nội dung những trang web: Bước 1. Chọn mục Cache trong Configuration Bước 2. Trên khung Task Pane chọn Creat a Cache Rule. Hoặc nhấn chuột phải trên Cache chọn New Cache Rule. Hình 33: cầu hình ISA 2004 Bước 3. Đặt tên là No Web Cache trong khung New Cache Rule Wizard. Nhấn Next. Bước 4. Trong Cache Rule Destination, chúng ta cần xác định trang web không cần lưu trữ bằng cách chọn Add, trên menu hiển thị Network Entities nhấn New và chọn URL Set, nhập tên trang Web không cần cache (ví dụ: LiveScore), chọn New và đưa vào địa chỉ trang web Hình 34: cầu hình ISA 2004 GVHD : Nguyễn Kim Quốc Trang 95 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  96. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 35: cầu hình ISA 2004 Bước 5. Nhấn OK để quay trở lại cửa sổ Add New Network Entities, mở mục URL Sets và chọn LiveScore. Bước 6. Nhấn Next để tiếp tục, trên màn hình tiếp theo hãy chấp nhận mặc định nhấn Next và chọn Nerver, no content will ever be cached. Nhấn Next. Hình 36: cầu hình ISA 2004 Bước 7. Cuối cùng nhấn Finish để kết thúc.Trên giao diện quản lý nhấn Apply để cập nhật. 2.2.6. Cấu hình không cho phép sử dụng Yahoo Messenger: Nếu ta cấu hình ISA Server với Access Rule cho Internal Network vào Internet với Protocol là HTTP, HTTPS thì Yahoo Messenger trên Client sẽ không vào chat được. Nhưng nếu một số người biết địa chỉ IP card mạng Internal của máy chủ ISA Server thì có thể cấu hình Proxy trong Yahoo Messenger vẫn vào Internet chat được bình thường. GVHD : Nguyễn Kim Quốc Trang 96 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  97. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Chặn Yahoo Messenger bằng Web Proxy trong ISA Server: Bước 1. Mở Yahoo Messenger vô phần Connection References – Chọn Uses Proxies – Check Enable HTTP Proxies Server Name điền IP card mạng Internal của ISA Server (192.168.25.200) và Port 8080 thì Yahoo vô mạng chat bình thường. Hình 37: cầu hình ISA 2004 Bước 2. Vào máy ISA Server chọn Configuration – Network nhấn chuột phải vào Internal Network (200.200.200.0 -> 200.200.200.255) chọn Properties, chọn thẻ WebProxy bỏ chọn Enable WebProxy Client. Nhấn OK. Hình 38: cầu hình ISA 2004 Bước 3. Bây giờ máy Client không dùng Proxy vào Yahoo Messenger được. Nhưng khi gặp cao thủ, không dùng Proxy. Vào Yahoo – Connection chọn Firewall with noproxies. GVHD : Nguyễn Kim Quốc Trang 97 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  98. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 39 cầu hình ISA 2004 Chặn Yahoo Messenger bằng Signatures trong ISA Server: Bước 1. Chọn Firewall Policy rồi chọn Access Rule cấu hình Lan Internal ra Internet (HTTP,HTTPS) nhấn chuột phải chọn Configure HTTP. Chọn Signatures chọn Add. Trên mục Signature nhập các thông số như hình. Name: Yahoo Messenger Description: Deny Yahoo Messenger Search in: chọn Request headers HTTP header: host: Signatures: msg.yahoo.com Hình 40: cầu hình ISA 2004 Bước 2. Nhấn OK. Nhấn Apply Bước 3. Bây giờ máy Client không sử dụng Yahoo Messenger để chat được nữa. 3. Backup and Restore cấu hình ISA Server 2004: GVHD : Nguyễn Kim Quốc Trang 98 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  99. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Đối với các hệ thống lớn với nhiều phòng ban và nhân viên, trong mỗi bộ phận lại yêu cầu những chính sách truy cập riêng làm cho số lượng policy rất nhiều và khó quản lý. Vậy để đảm bảo hệ thống luôn hoạt động ổn định chúng ta cần phải tiến hành sao lưu (backup) các policy một cách đầy đủ để có thể phục hồi (restore) khi có sự cố xảy ra. Chúng ta có thể sao lưu tòan bộ ISA hay chỉ một số các firewall policy nào đó cần thiết. Thực hiện các thao tác dưới đây để sao lưu và phục hồi: Bước 1. Nhấn chuột phải vào tên ISA Server chọn Backup. Hình 41: Backup and Restore cấu hình ISA Server 2004 Bước 2. Gõ tên của cấu hình cần lưu rồi nhấn Backup. Hình 42: Backup and Restore cấu hình ISA Server 2004 Bước 3. Nhập password và confirm password rồi nhấn OK. Chú ý mật mã này khác mật mã của Administrator dùng để bảo vệ cấu hình đã lưu. Nhấn OK để hoàn tất lưu cấu hình. GVHD : Nguyễn Kim Quốc Trang 99 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  100. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG Hình 43: Backup and Restore cấu hình ISA Server 2004 Bước 4. Khi bạn cần khôi phục cấu hình đã được backup từ trước. Nhấn chuột phải vào tên Isa Server chọn Restore để khôi phục cấu hình đã được lưu. Hình 44: Backup and Restore cấu hình ISA Server 2004 Bước 5. Chọn file đã lưu rồi nhấn Restore. Nhập password của file đã lưu từ trước để tiếp tục khôi phục cấu hình. Hình 45: Backup and Restore cấu hình ISA Server 2004 Bước 6.Quá trình Backup và Restore đã hoàn thành. GVHD : Nguyễn Kim Quốc Trang 100 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com
  101. XÂY DỰNG, BẢO MẬT VÀ AN NINH MẠNG CHƯƠNG 18 : TỔNG KẾT 1. Đánh giá kết quả. 1.1. Kết quả đạt được. Xây dựng hệ thống mạng, bảo mật và an ninh hệ thống mạng cho doanh nghiệp Trong quá trình làm đề tài chúng em đã vận dụng được những kiến thức đã học vào đề tài. Chúng em đã xây dựng được hệ thống mạng có thể đáp ứng được những yêu cầu như: - Xây dựng được hệ thống mạng cho doanh nghiệp. - Xây dựng được hệ thống mail, đáp ứng nhu cầu gửi mail cho công ty. - Xây dựng hệ thống bảo mật cho công ty. - Cho phép quản lý thông tin, dữ liệu nhân viên của tòan công ty. - Xây dựng hệ thống Firewall dùng ISA Server 2004 để an ninh cho công ty. 1.2. Việc chưa làm được. Mặc dù chúng em đã rất cố gắng hết sức, nhưng do kiến thức hạn hẹp chưa nhiều nên khóa luận không tránh khỏi nhiều thiếu sót và hạn chế như: - Xây dựng hệ thống mạng còn nhiều thiếu sót. - Ứng dụng bảo mật chưa được nhiều. - Chúng em đã xây dựng hệ thống an ninh mạng nhưng chưa đưa ra được nhiều chính sách, luật để an ninh cho hệ thống mạng. 1.3. Hướng phát triển. Trong thời gian sắp tới, chúng em sẽ cố gắng khắc phục những hạn chế trên để xây dựng được một hệ thống mạng hoàn chỉnh, hệ thống và an tòan nhất: - Xây dựng hệ thống mạng một cách hòan chỉnh hơn. - Bảo mật cho doanh nghiệp một cách an toàn hơn, đưa vào nhiều chính sách bảo mật tốt hơn. - Xây dựng hệ thống Firewall hòan chỉnh hơn, xây dựng hệ thống luật một cách an ninh nhất. GVHD : Nguyễn Kim Quốc Trang 101 SVTH : Lê Quang Vũ MSSV : 22070173 Lê Quốc Tuấn MSSV : 22070167 PDF created with pdfFactory trial version www.pdffactory.com