Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 17-11-2009, 10:32 AM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Làm sao để chặn Instant Message trong ISA SERVER 2004?
Làm sao để chặn Instant Message trong ISA SERVER 2004






Tôi đã từng tham khảo một số bài viết trên các Website và các tác giả có chung nhận định rằng: việc sử dụng Instant Message (IM) gây ra sự lãng phí về thời gian, giảm hiệu quả công việc, cũng như giảm tính an toàn của hệ thống trong các công ty, doanh nghiệp, đặc biệt khi sử dụng các IM trong giờ làm việc… Như vậy, “Làm sao để ngăn chặn các Instant Message như Yahoo Messenger, MSN, AOL …?” hoặc tìm hiểu sâu hơn như “Làm thế nào để ngăn chặn các IM trong thời gian cụ thể, từng nhóm người dùng cụ thể ?”…

Việc cấm sử dụng các IM tùy thuộc nhiều vào chính sách của từng công ty. Nếu công ty có chính sách quản lý việc sử dụng các chương trình tại các máy trạm cụ thể, rõ ràng, cũng như ý thức chấp hành tốt các chính sách của các nhân viên thì việc ngăn cấm sử dụng IM là hiệu quả nhất. Việc quản lý tốt về con người, có chính sách quản lý tốt luôn là phương pháp bảo mật hiệu quả nhất, giảm thiểu tối đa nguy cơ, hiểm họa ảnh hưởng đến hệ thống. Những chương trình quản lý hệ thống mạng nói chung, Firewalls nói riêng chỉ là những công cụ để giúp ta thực hiện chính sách đề ra mà thôi.


Trở lại vấn đề chính : “Làm sao để ngăn chặn các Instant Message như Yahoo Messenger, MSN …?” Một số quản trị mạng các công ty đã gặp không ít khó khăn khi giải quyết vấn đề này. Sau một vòng tìm kiếm trên “www.google.com” và ứng dụng thực tế, tôi đã rút ra được mốt số kinh nghiệm như sau:




Tìm hiểu sơ lược về các chương trình IM:
“Biết người biết ta” áp dụng kinh nghiệm ông cha ta, để giải quyết vấn đề. Theo tôi các chương trình IM có những đặc điểm chung sau:
-IM không sử dụng port cố định trên TCP/IP nữa.
-IM có thể sử dụng Web Proxies
-IM sử dụng tất cả các phương thức có thể để kết nối đến server.
Ví dụ: Yahoo Messenger có thể ra kết nối đến server của mình bằng nhiều cách như: No Proxies, Use Proxies, Firewall with no proxies…

-Hiện nay, IM ngoài việc hỗ trợ Chatting, còn có voice, webcam, filesharing …


  • Các cách ngăn chặn IM
Căn cứ trên một số đặt điểm chung, Chúng ta có thể đưa ra một số cách ngăn chặn như sau:
-Chặn những kết nối thông qua proxies đến các website của IM
vd: Yahoo Messenger: *.msg.yahoo.com
-Sử dụng chương trình cài trực tiếp trên máy người dùng để chặn như: IMLock, TerminatorX
-Chặn không cho máy trạm kết nối đến máy IM server bằng Ipaddress
-Chặn Port cụ thể trên Tcp/Udp như: yahoo messenger 5050,5100…( cách xử lý này không hiệu quả, nhưng khi các bạn tìm kiếm trên mạng “cách block IM” thì có nhiều hướng dẫn sử dụng cách này).
Ngoài ra, các bạn có thể tìm nhiều cách khác nữa ….

  • Ngăn Chăn IM bằng ISAServer 2004.

Để giải quyết vấn đề: “Làm sao để chặn Instant Message trong ISASERVER2004”. Tôi xin giới thiệu một số nguyên tắc hoạt động Isa Client:



SecureNAT Client :



Đây là phương pháp đơn giản nhất, các máy tính chỉ cần cấu hình Default Gateway là địa chỉ card mạng trong của ISA Server là được (ví dụ minh họa 192.168.1.10), hoặc chúng ta có thể cấp phát thông qua DHCP server với option 006 dành cho Router. Điểm thuận lợi của phương pháp này là Client không cần cài đặt gì thêm, và có thể sử dụng các hệ điều hành không thuộc Microsoft như Linux, Unix mà vẫn sử dụng được các giao thức và ứng dụng trên internet thông qua ISA. Tuy nhiên có một bất lợi là các SecureNAT client không gởi được những thông tin chứng thực gồm Username & Password cho Firewall được, vì vậy nếu như các bạn triển khai dịch vụ kiểm sóat truy cập theo domain user đòi hỏi phải có username&password thì các SecureNAT Client không ứng dụng được. Ngòai ra chúng ta không thể ghi nhật ký quá trình truy cập đối với dạng client này.




Cấu hình SecureNAT client trên Client1


Firewall Client :


Vậy nếu chúng ta muốn có một cơ chế kiểm sóat chặt chẽ hơn, ví dụ User phải log-in domain mới truy cập được Internet thì phải làm như thế nào? Giải pháp đưa ra là chúng ta sẽ cài đặt Firewall Client cho các máy tính này. Thông thường khi cài đặt ISA Server các bạn sẽ cài dịch vụ Firewall Client Installation Share, sau đó trên ISA server mở system policy cho phép truy cập tài nguyên chia sẽ và máy tính Client chỉ cần kết nối đến ISA Server theo địa chỉ IP nội bộ với tài khoản hợp lệ để tiến hành chạy tập tin cài đặt Firewall Client .

Nếu không muốn cài đặt Firewall Client Installation Share thì chúng ta có thể chọn cài dịch vụ này trên bất kỳ máy tính nào như file server hoặc domain controller như sau:
a. Đưa ISA Server 2004 CD-ROM vào domain controller, chọn Install ISA Server 2004.
b. Trên màn hình Welcome to the Installation Wizard for Microsoft ISA Server 2004 nhấn Next.
c. Tiếp theo chọn I accept the terms in the license agreement, nhấn Next.
d. Nhập vào User name, Organization và Product Serial Number trên cữa sổ Customer Information. Chọn Next.
e. Trong Setup Type, xác định tùy chọn Custom và enable This feature, and all subfeatures, will be installed on the local hard drive trong mục Firewall Client Installation Share như hình dưới đây và nhấn Next trong các bước tiếp theo để hòan tất:




Sau đó trên các máy tính client tiến hành cài đặt Firewall Client bằng cách mở Start - > Run và chạy lệnh 192.168.1.10mspclntsetup

Trong trường hợp hệ thống có nhiều máy trạm, việc cài đặt trên từng máy gặp nhiều khó khăn thì giải pháp triển khai chương trình một cách tự động bằng SMS Server 2003 hoặc Assign thông qua Group Policy là hiệu quả nhất Với firewall client các bạn có thể tận dụng được những khả năng mạnh mẽ nhất của ISA Server như: tốc độ truy cập cao, chứng thực người dùng dựa trên Domain User & Group, cho phép ghi nhật ký những lần truy cập..Tuy nhiên điểm bất lợi chính của trường hợp này là các máy tính muốn cài Firewall Client phải sử dụng hệ điều hành của Microsoft .


Web Proxy Client:


Như chúng ta biết ngòai chức năng bảo mật thì ISA Server 2004 Firewall còn có chức năng Cache dùng để lưu trữ các trang Web thường được truy cập trên RAM hoặc trên đĩa cứng nhằm tiết kiệm băng thông. Tuy nhiên, Web Proxy Client chỉ sử dụng được các giao thức HTTP / HTTPs, FTP (upload/download), điều này có nghĩa là User sẽ không lấy mail với Outlook hay sử dụng các ứng dụng khác. Để sử dụng Web Proxy, các máy tính Client phải cấu hình trong trình duyệt Web bằng cách mở Internet Explore chọn Tools - > Internet Options chọn tab Connections - > LAN Settings và nhập vào địa chỉ của Proxy server :






Như vậy cách nhanh chóng nhất cho phép các máy tính trong tổ chức có thể truy cập Internet qua ISA Server là cấu hình SecureNAT client dựa trên hệ thống cấp phát địa chỉ IP động hoặc cấu hình IP tĩnh và trỏ default gateway là địa chỉ mạng nội bộ của ISA Server. Ngòai ra để quá trình phân giải địa chỉ IP diễn ra suôn sẽ thì các client cần cấu hình địa chỉ DNS server nội bộ và cả ISP DNS Server như 210.245.31.10 hay 203.162.4.191




Bây giờ chúng ta phải hoạch định là user trong hệ thống sử dụng dạng client nào? Và chính sách sử dụng IM ra sao?
Mình xin giới thiệu một số trường hợp cụ thể như sau:
  • User sử dụng Web Proxy Client:
-Thông thường các IM muốn sử dụng phải khai báo ở chế độ Use Proxies



Khai báo trong yahoo messenger


-Khai báo trong URL list một new URL sets. Sau đó định nghĩa các trang website chứng thực, kết nối đến các IM ví dụ: *.msg.yahoo.com….Với cách này, chúng ta có thể đặt policy cho phép thời gian được truy cập.





-


Sử dụng chức năng HTTP filter sử dụng khả năng lọc dựa trên các signatures trên các Request header, các bạn có thể thaop khảo tại đây http://www.isaserver.org/tutorials/I...ome-Users.html
.Tuy nhiên cách này khó có thể khống chế về thời gian truy cập.





  • User sử dụng SecureNat Client:
-nếu trong hệ thống, chúng ta không tích hợp ISASEVER2004 domain. Khi đó các user truy cập đến ISA không bị cơ chế xác thực Username & Password, Như vậy các user kết nối đến dưới dạng SecureNat không bị kiểm tra, hơn nữa các kết nối dạng SecureNat sẽ không bị ảnh hưởng bởi policy Access Rules về lọc trang web như Web Proxy Client nếu các ứng dụng đó không truy xuất bằng web applications(port 80). Ví dụ:
Bạn đã đặt policy deny việc truy xuất đến các trang web kết nối đến server IM như trường hợp Web Proxies Client. Tuy nhiên các SecureNat client vẫn vào được IM nếu đặt chế độ kết nối là No Proxies, khi vào chế độ Command Line: gõ netstat –n. Kết quả là IM kết nối đến server IM thông qua port 21, 5050 chẳng hạn






-

để ngăn chặn IM sử dụng SecureNat client, có 03 cách
C1: yêu cầu xác thực Username & Password
C2: không cho phép sử dụng Protocol TCP/UDP tại các port 5050, 5100 …
C3: tạo computer sets như “Yahoo server” chẳng hạn, trong đó định nghĩa danh sách yahoo server mà Yahoo Messenger kết nối đến như:
216.155.139.0 ->216.155.136.255 chẳng hạn… sau đó tạo Access Rule cấm truy cập đến trong thời gian nào đó. Cách này giúp ta có thể chặn trực tiếp đến server IM nhưng cũng bất lợi do chúng ta phải cập nhật địa chỉ server IM liên tục, có thể các IM server còn có chức năng khác như: Webserver, DNS, FTP …






  • User sử dụng Firewall Client:
-là client có mạnh nhất trong ISASERVER. Firewall client vừa có thể là Web Proxies client, SecureNat Client nếu cần thiết, tốc độ truy xuất cao nhất trong các loại ISA Clients
-nếu user sử dụng Firewall client thì việc ngăn các IM là rất khó. Ví dụ: đầu tiên IM client trên Firewall Client sẽ kết nối đến server bằng port 5050 protocol tcp, nếu không thành công tự động chuyển qua port 80, 443, 21… nói cung tất cả port nếu có thể( IM Client đặt ở chế độ No Proxies)
-Theo tôi có 02 cách sau:
C1: chặn ứng dụng IM trong Firewall Client.

C2: như cách 02, 03 của SecureNat


theo NIS.com.vn


  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 06:00 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.