|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
17-11-2009, 10:32 AM | #1 |
Guest
Trả Lời: n/a
|
Làm sao để chặn Instant Message trong ISA SERVER 2004?
Làm sao để chặn Instant Message trong ISA SERVER 2004 Tôi đã từng tham khảo một số bài viết trên các Website và các tác giả có chung nhận định rằng: việc sử dụng Instant Message (IM) gây ra sự lãng phí về thời gian, giảm hiệu quả công việc, cũng như giảm tính an toàn của hệ thống trong các công ty, doanh nghiệp, đặc biệt khi sử dụng các IM trong giờ làm việc… Như vậy, “Làm sao để ngăn chặn các Instant Message như Yahoo Messenger, MSN, AOL …?” hoặc tìm hiểu sâu hơn như “Làm thế nào để ngăn chặn các IM trong thời gian cụ thể, từng nhóm người dùng cụ thể ?”… Việc cấm sử dụng các IM tùy thuộc nhiều vào chính sách của từng công ty. Nếu công ty có chính sách quản lý việc sử dụng các chương trình tại các máy trạm cụ thể, rõ ràng, cũng như ý thức chấp hành tốt các chính sách của các nhân viên thì việc ngăn cấm sử dụng IM là hiệu quả nhất. Việc quản lý tốt về con người, có chính sách quản lý tốt luôn là phương pháp bảo mật hiệu quả nhất, giảm thiểu tối đa nguy cơ, hiểm họa ảnh hưởng đến hệ thống. Những chương trình quản lý hệ thống mạng nói chung, Firewalls nói riêng chỉ là những công cụ để giúp ta thực hiện chính sách đề ra mà thôi. Trở lại vấn đề chính : “Làm sao để ngăn chặn các Instant Message như Yahoo Messenger, MSN …?” Một số quản trị mạng các công ty đã gặp không ít khó khăn khi giải quyết vấn đề này. Sau một vòng tìm kiếm trên “www.google.com” và ứng dụng thực tế, tôi đã rút ra được mốt số kinh nghiệm như sau: Tìm hiểu sơ lược về các chương trình IM: “Biết người biết ta” áp dụng kinh nghiệm ông cha ta, để giải quyết vấn đề. Theo tôi các chương trình IM có những đặc điểm chung sau: -IM không sử dụng port cố định trên TCP/IP nữa. -IM có thể sử dụng Web Proxies -IM sử dụng tất cả các phương thức có thể để kết nối đến server. Ví dụ: Yahoo Messenger có thể ra kết nối đến server của mình bằng nhiều cách như: No Proxies, Use Proxies, Firewall with no proxies… -Hiện nay, IM ngoài việc hỗ trợ Chatting, còn có voice, webcam, filesharing …
-Chặn những kết nối thông qua proxies đến các website của IM vd: Yahoo Messenger: *.msg.yahoo.com -Sử dụng chương trình cài trực tiếp trên máy người dùng để chặn như: IMLock, TerminatorX -Chặn không cho máy trạm kết nối đến máy IM server bằng Ipaddress -Chặn Port cụ thể trên Tcp/Udp như: yahoo messenger 5050,5100…( cách xử lý này không hiệu quả, nhưng khi các bạn tìm kiếm trên mạng “cách block IM” thì có nhiều hướng dẫn sử dụng cách này). Ngoài ra, các bạn có thể tìm nhiều cách khác nữa ….
Để giải quyết vấn đề: “Làm sao để chặn Instant Message trong ISASERVER2004”. Tôi xin giới thiệu một số nguyên tắc hoạt động Isa Client: SecureNAT Client : Đây là phương pháp đơn giản nhất, các máy tính chỉ cần cấu hình Default Gateway là địa chỉ card mạng trong của ISA Server là được (ví dụ minh họa 192.168.1.10), hoặc chúng ta có thể cấp phát thông qua DHCP server với option 006 dành cho Router. Điểm thuận lợi của phương pháp này là Client không cần cài đặt gì thêm, và có thể sử dụng các hệ điều hành không thuộc Microsoft như Linux, Unix mà vẫn sử dụng được các giao thức và ứng dụng trên internet thông qua ISA. Tuy nhiên có một bất lợi là các SecureNAT client không gởi được những thông tin chứng thực gồm Username & Password cho Firewall được, vì vậy nếu như các bạn triển khai dịch vụ kiểm sóat truy cập theo domain user đòi hỏi phải có username&password thì các SecureNAT Client không ứng dụng được. Ngòai ra chúng ta không thể ghi nhật ký quá trình truy cập đối với dạng client này. Cấu hình SecureNAT client trên Client1 Firewall Client : Vậy nếu chúng ta muốn có một cơ chế kiểm sóat chặt chẽ hơn, ví dụ User phải log-in domain mới truy cập được Internet thì phải làm như thế nào? Giải pháp đưa ra là chúng ta sẽ cài đặt Firewall Client cho các máy tính này. Thông thường khi cài đặt ISA Server các bạn sẽ cài dịch vụ Firewall Client Installation Share, sau đó trên ISA server mở system policy cho phép truy cập tài nguyên chia sẽ và máy tính Client chỉ cần kết nối đến ISA Server theo địa chỉ IP nội bộ với tài khoản hợp lệ để tiến hành chạy tập tin cài đặt Firewall Client . Nếu không muốn cài đặt Firewall Client Installation Share thì chúng ta có thể chọn cài dịch vụ này trên bất kỳ máy tính nào như file server hoặc domain controller như sau: a. Đưa ISA Server 2004 CD-ROM vào domain controller, chọn Install ISA Server 2004. b. Trên màn hình Welcome to the Installation Wizard for Microsoft ISA Server 2004 nhấn Next. c. Tiếp theo chọn I accept the terms in the license agreement, nhấn Next. d. Nhập vào User name, Organization và Product Serial Number trên cữa sổ Customer Information. Chọn Next. e. Trong Setup Type, xác định tùy chọn Custom và enable This feature, and all subfeatures, will be installed on the local hard drive trong mục Firewall Client Installation Share như hình dưới đây và nhấn Next trong các bước tiếp theo để hòan tất: Sau đó trên các máy tính client tiến hành cài đặt Firewall Client bằng cách mở Start - > Run và chạy lệnh 192.168.1.10mspclntsetup Trong trường hợp hệ thống có nhiều máy trạm, việc cài đặt trên từng máy gặp nhiều khó khăn thì giải pháp triển khai chương trình một cách tự động bằng SMS Server 2003 hoặc Assign thông qua Group Policy là hiệu quả nhất Với firewall client các bạn có thể tận dụng được những khả năng mạnh mẽ nhất của ISA Server như: tốc độ truy cập cao, chứng thực người dùng dựa trên Domain User & Group, cho phép ghi nhật ký những lần truy cập..Tuy nhiên điểm bất lợi chính của trường hợp này là các máy tính muốn cài Firewall Client phải sử dụng hệ điều hành của Microsoft . Web Proxy Client: Như chúng ta biết ngòai chức năng bảo mật thì ISA Server 2004 Firewall còn có chức năng Cache dùng để lưu trữ các trang Web thường được truy cập trên RAM hoặc trên đĩa cứng nhằm tiết kiệm băng thông. Tuy nhiên, Web Proxy Client chỉ sử dụng được các giao thức HTTP / HTTPs, FTP (upload/download), điều này có nghĩa là User sẽ không lấy mail với Outlook hay sử dụng các ứng dụng khác. Để sử dụng Web Proxy, các máy tính Client phải cấu hình trong trình duyệt Web bằng cách mở Internet Explore chọn Tools - > Internet Options chọn tab Connections - > LAN Settings và nhập vào địa chỉ của Proxy server : Như vậy cách nhanh chóng nhất cho phép các máy tính trong tổ chức có thể truy cập Internet qua ISA Server là cấu hình SecureNAT client dựa trên hệ thống cấp phát địa chỉ IP động hoặc cấu hình IP tĩnh và trỏ default gateway là địa chỉ mạng nội bộ của ISA Server. Ngòai ra để quá trình phân giải địa chỉ IP diễn ra suôn sẽ thì các client cần cấu hình địa chỉ DNS server nội bộ và cả ISP DNS Server như 210.245.31.10 hay 203.162.4.191 Bây giờ chúng ta phải hoạch định là user trong hệ thống sử dụng dạng client nào? Và chính sách sử dụng IM ra sao? Mình xin giới thiệu một số trường hợp cụ thể như sau:
Khai báo trong yahoo messenger -Khai báo trong URL list một new URL sets. Sau đó định nghĩa các trang website chứng thực, kết nối đến các IM ví dụ: *.msg.yahoo.com….Với cách này, chúng ta có thể đặt policy cho phép thời gian được truy cập. - Sử dụng chức năng HTTP filter sử dụng khả năng lọc dựa trên các signatures trên các Request header, các bạn có thể thaop khảo tại đây http://www.isaserver.org/tutorials/I...ome-Users.html .Tuy nhiên cách này khó có thể khống chế về thời gian truy cập.
Bạn đã đặt policy deny việc truy xuất đến các trang web kết nối đến server IM như trường hợp Web Proxies Client. Tuy nhiên các SecureNat client vẫn vào được IM nếu đặt chế độ kết nối là No Proxies, khi vào chế độ Command Line: gõ netstat –n. Kết quả là IM kết nối đến server IM thông qua port 21, 5050 chẳng hạn - để ngăn chặn IM sử dụng SecureNat client, có 03 cách C1: yêu cầu xác thực Username & Password C2: không cho phép sử dụng Protocol TCP/UDP tại các port 5050, 5100 … C3: tạo computer sets như “Yahoo server” chẳng hạn, trong đó định nghĩa danh sách yahoo server mà Yahoo Messenger kết nối đến như: 216.155.139.0 ->216.155.136.255 chẳng hạn… sau đó tạo Access Rule cấm truy cập đến trong thời gian nào đó. Cách này giúp ta có thể chặn trực tiếp đến server IM nhưng cũng bất lợi do chúng ta phải cập nhật địa chỉ server IM liên tục, có thể các IM server còn có chức năng khác như: Webserver, DNS, FTP …
-nếu user sử dụng Firewall client thì việc ngăn các IM là rất khó. Ví dụ: đầu tiên IM client trên Firewall Client sẽ kết nối đến server bằng port 5050 protocol tcp, nếu không thành công tự động chuyển qua port 80, 443, 21… nói cung tất cả port nếu có thể( IM Client đặt ở chế độ No Proxies) -Theo tôi có 02 cách sau: C1: chặn ứng dụng IM trong Firewall Client. C2: như cách 02, 03 của SecureNat theo NIS.com.vn |
|
|