Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng (http://quantrinet.com/forum/index.php)
-   5. Publish Server (Web, Mail...) (http://quantrinet.com/forum/forumdisplay.php?f=358)
-   -   Publish server on isa 2004 dmz (http://quantrinet.com/forum/showthread.php?t=3310)

hoctinhoc 14-08-2009 09:06 PM
Publish server on isa 2004 dmz
 
PUBLISH SERVER ON ISA 2004 DMZ

DẪN NHẬP

DMZ (De-Militarized Zone): Khu vực phi quân sự hóa, đôi khi được gọi tắt là khu phi quân sự. Khi các bên tham chiến bất phân thắng bại, người ta thường hoà đàm để quy định một khu vực mà không bên nào được phép triển khai lực lượng quân sự (quân sự hoá). Tuy nhiên, vì không ai được quyền quản lý thực sự (cho dù trong hoà ước đã giao quyền cho một bên thứ ba – Liên Hiệp Quốc chẳng hạn) có nhiều DMZ lại trở thành mục tiêu bắn phá tự do mà chẳng ai có thể kiện tụng gì cả!!! Vì thế, trong một ngữ cảnh nào đó, có thể hiểu rằng DMZ là “khu vực oanh kích tự do”.

Nhằm mục đích ngăn chặn các tác động bất lợi hoặc ác ý từ internet đến hệ mạng nội bộ, người ta xây dựng firewall.

Sự tồn tại của các máy chủ có nhiệm vụ đáp ứng truy cập từ internet, ví dụ web server, FTP server, mail gateway (Fore-front của Exchange 2003 hoặc Edge transport của Exchange 2007…) lại trở thành một nguy cơ hiển hiện đối với sự an toàn của hệ mạng.

Người ta cô lập khu vực nguy cơ này trên một phân đoạn mạng (network segment) riêng biệt nối trực tiếp với firewall gọi là DMZ hoặc perimeter (khu ngoại vi). Khái niệm DMZ dùng trong ngữ cảnh này có hàm ý đây là khu vực có nguy cơ hứng chịu các cuộc tấn công từ nhiều nguồn khác nhau. Nhiệm vụ của firewall là chặn lọc để hạn chế tối đa nguy cơ và chỉ cho phép các thông tin hợp lệ từ internet đi vào DMZ mà thôi.

http://hien.nhatnghe.vn/hinh/image002.jpg

Thông thường, khi xây dựng DMZ người ta thường mua và gán các public IP cho các máy chủ trên DMZ. Để có thể định tuyến (routing) luồng thông tin, các public IP này đương nhiên phải thuộc cùng 1 subnet. Thông tin từ internet hoặc từ mạng nội bộ hướng đến DMZ sẽ có thể được định tuyến mà không phải trải qua bất cứ khâu xử lý biên dịch địa chỉ (NAT) nào. Công suất của firewall được phân phối hợp lý hơn cho quá trình chặn lọc và qua đó làm tăng tốc đáp ứng của các máy chủ trên DMZ.

Điều khó xử là không phải doanh nghiệp nào cũng có khả năng tài chính để đăng ký sở hữu cả một subnet. Hơn nữa theo nguyên lý định tuyến, có thể chỉ cần mua một số IP cùng subnet và yêu cầu nhà cung cấp thiết lập định tuyến đến từng IP (route to host). Thế nhưng trong thực tế, không dể tìm nhà cung cấp có thể đáp ứng một cách nghiêm túc yêu cầu này. Vì thế, bài viết này chọn giải pháp mô phỏng mô hình DMZ trên cơ sở 1 subnet public IP tĩnh.

TÌNH HUỐNG

- Hệ thống domain nội bộ: NhatNghe.local (internal domain name)
- Có public domain name: NhatNghe.com
- Nhu cầu:
1. Đáp ứng truy vấn và quản lý thông tin của public DNS domain NhatNghe.com
2. Cung cấp cho mọi đối tác khả năng truy cập đến trang web www.NhatNghe.com
3. Ngăn chặn mọi thông tin phát sinh từ internet hướng vào mạng nội bộ để tăng cường bảo mật.

SUY LUẬN VÀ HƯỚNG GIẢI QUYẾT

Nhu cầu 1: --> Publish DNS server
Nhu cầu 2: --> Publish Web server
Nhu cầu 3: --> Dựng member server ISA 2004
Nếu dựng published server trên mạng nội bộ thì sẽ không thể thoả nhu cầu 3: --> ISA server có 3 card mạng & đặt các published server trên network DMZ của ISA.
Cần 03 public IP cho 2 server trên DMZ và card DMZ của ISA --> phải mua network có 6 host ID (net mask 255.255.255.248)
Để route từ internet vào DMZ và dự trữ IP cho nhu cầu phá triển, card external của ISA nên có IP thuộc supernet của DMZ --> mua network có 14 host ID (net mask 255.255.255.240)
Giả định mua public network: 210.245.1.16 / 28 (14 host ID từ 1.17 đến 1.30)
- Dùng IP 210.245.1.17 / 28 đặt cho card external của ISA
- Dùng subnet 210.245.1.24 / 29 (6 host ID từ 1.25 đến 1.30) cho DMZ.

MÔ HÌNH THỰC TẾ

http://hien.nhatnghe.vn/hinh/image004.jpg

MÔ HÌNH LAB

http://hien.nhatnghe.vn/hinh/image006.jpg



TRIỂN KHAI LAB

Cấu hình IP:

DC:

- IP address: 192.168.1.1
- Subnet mask: 255.255.255.0
- Default gateway: 192.168.1.254
- Preferred DNS server: 192.168.1.1

http://hien.nhatnghe.vn/hinh/image008.jpg

ISA:

1. Card Internal:
- IP address: 192.168.1.254
- Subnet mask: 255.255.255.0
- Default gateway: trống
- Preferred DNS server: 192.168.1.1

2. Card External:
- IP address: 210.245.1.17
- Subnet mask: 255.255.255.240 (/28)
- Default gateway: 210.245.0.1
- Preferred DNS server: trống

Chú ý: Khi chỉnh IP card external sẽ gặp cảnh báo > chọn Yes

http://hien.nhatnghe.vn/hinh/image010.jpg

3. Card DMZ:
- IP address: 210.245.1.25
- Subnet mask: 255.255.255.248 (/29)
- Default gateway: trống
- Preferred DNS server: trống

http://hien.nhatnghe.vn/hinh/image012.jpg

External DNS server:

- IP address: 210.245.1.26
- Subnet mask: 255.255.255.248 (/29)
- Default gateway: 210.245.1.25
- Preferred DNS server: 210.245.1.26

http://hien.nhatnghe.vn/hinh/image014.jpg

Web server:

- IP address: 210.245.1.27
- Subnet mask: 255.255.255.248 (/29)
- Default gateway: 210.245.1.25
- Preferred DNS server: trống

http://hien.nhatnghe.vn/hinh/image016.jpg

ISP rourter & DNS server:

1. NIC01 (nối với ISA)
- IP address: 210.245.0.1
- Subnet mask: 255.255.0.0
- Default gateway: trống
- Preferred DNS server: 210.245.0.1

2. NIC02 (nối với Client)
- IP address: 203.162.1.1
- Subnet mask: 255.255.255.0
- Default gateway: trống
- Preferred DNS server: trống

http://hien.nhatnghe.vn/hinh/image018.jpg

Client:

- IP address: 203.162.1.2
- Subnet mask: 255.255.255.0
- Default gateway: 203.162.1.1
- Preferred DNS server: 203.162.1.1

http://hien.nhatnghe.vn/hinh/image020.jpg


Cấu hình các server:

1. ISP:

b1. Cấu hình DNS server delegate về ExtDNS.NhatNghe.com – 210.245.1.26

http://hien.nhatnghe.vn/hinh/image022.jpg

http://hien.nhatnghe.vn/hinh/image024.jpg

b2. Cấu hình routing:

- Kiểm tra routing table

http://hien.nhatnghe.vn/hinh/image026.jpg

- Tạo static route đến subnet 210.245.1.16 / 28

http://hien.nhatnghe.vn/hinh/image028.jpg

http://hien.nhatnghe.vn/hinh/image030.jpg

2. External DNS server:

b1. Dựng DNS server:

- Computername: ExtDNS; Primary DNS suffix: NhatNghe.com
- Cài DNS service
- Tạo primary FLZ. Chú ý: zone name: NhatNghe.com; “Do not allow dynamic update”

http://hien.nhatnghe.vn/hinh/image031.gif

http://hien.nhatnghe.vn/hinh/image032.gif

http://hien.nhatnghe.vn/hinh/image033.gif

- Tạo primary RLZ. Chú ý: net ID: 210.245.1; “Do not allow dynamic update”

http://hien.nhatnghe.vn/hinh/image034.gif

http://hien.nhatnghe.vn/hinh/image035.gif

- Tạo pointer ứng với host của SOA

http://hien.nhatnghe.vn/hinh/image036.gif

- Tạo host & pointer www.NhatNghe.com – 210.245.1.27

http://hien.nhatnghe.vn/hinh/image038.jpg

http://hien.nhatnghe.vn/hinh/image039.gif

- Kết quả

http://hien.nhatnghe.vn/hinh/image041.jpg

http://hien.nhatnghe.vn/hinh/image043.jpg

3. Web server:

- Cài Internet information Services
- Tạo trang chủ cho default web site, nội dung: “TEST WEB SITE FOR PUBLISHING SERVER ON DMZ”

4. ISA server:

b1. Tạo net work DMZ

http://hien.nhatnghe.vn/hinh/image045.jpg

http://hien.nhatnghe.vn/hinh/image047.jpg

http://hien.nhatnghe.vn/hinh/image049.jpg

http://hien.nhatnghe.vn/hinh/image051.jpg

http://hien.nhatnghe.vn/hinh/image053.jpg

http://hien.nhatnghe.vn/hinh/image055.jpg

http://hien.nhatnghe.vn/hinh/image057.jpg

b2. Tạo network rule:

http://hien.nhatnghe.vn/hinh/image059.jpg

http://hien.nhatnghe.vn/hinh/image061.jpg

http://hien.nhatnghe.vn/hinh/image063.jpg

http://hien.nhatnghe.vn/hinh/image065.jpg

http://hien.nhatnghe.vn/hinh/image067.jpg

http://hien.nhatnghe.vn/hinh/image069.jpg

http://hien.nhatnghe.vn/hinh/image071.jpg

b3. Tạo address range External DNS

http://hien.nhatnghe.vn/hinh/image073.jpg

http://hien.nhatnghe.vn/hinh/image075.jpg

b5. Tương tự b4, tạo address range Web server

http://hien.nhatnghe.vn/hinh/image077.jpg

http://hien.nhatnghe.vn/hinh/image079.jpg

b6. Tạo access rule cho phép truy vấn external DNS.
Chú ý:
- Selected Protocol: DNS
- Rule Destination: External DNS (address range)

http://hien.nhatnghe.vn/hinh/image081.jpg

http://hien.nhatnghe.vn/hinh/image083.jpg

http://hien.nhatnghe.vn/hinh/image085.jpg

http://hien.nhatnghe.vn/hinh/image087.jpg

http://hien.nhatnghe.vn/hinh/image089.jpg

http://hien.nhatnghe.vn/hinh/image091.jpg

http://hien.nhatnghe.vn/hinh/image093.jpg

http://hien.nhatnghe.vn/hinh/image095.jpg

http://hien.nhatnghe.vn/hinh/image097.jpg

b7. Tương tự, tạo access rule cho phép truy cập web
Chú ý:
- Selected Protocol: HTTP & HTTPS
- Rule Destination: Web Server (address range)

http://hien.nhatnghe.vn/hinh/image099.jpg

http://hien.nhatnghe.vn/hinh/image101.jpg

http://hien.nhatnghe.vn/hinh/image103.jpg

http://hien.nhatnghe.vn/hinh/image105.jpg

Client test

- Ping: ISA chặn

http://hien.nhatnghe.vn/hinh/image107.jpg

- Phân giải:

http://hien.nhatnghe.vn/hinh/image109.jpg

- Truy cập web

http://hien.nhatnghe.vn/hinh/image111.jpg





Theo: LÊ NGỌC HIẾN (Nhất Nghệ)

:battay:


Bây giờ là 07:20 PM. Giờ GMT +7

Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.