Cài đặt tường lửa ISA trên máy chủ Web để tự bảo vệ

06/05/2013 17:53

Một giải pháp đơn giản để bảo vệ trang web là xây dựng một tường lửa hệ thống, nhưng đặt nó ngay trên chính máy chủ Web bằng phần mềm ISA Server mạnh mẽ.

Nếu bạn đang xây dựng và quản lý một máy chủ Web và đặt nó trong một Trung tâm dữ liệu (Data Center) tại Viettel, FPT hay VDC thì có rất nhiều nguy cơ bị tấn công. Vì thế bạn cần phải tiến hành thực hiện việc xây dựng tường lửa để giúp nó được an toàn trước những cuộc tấn công từ bên ngoài lãn từ bên trong trung tâm dữ liệu. Giải pháp đầu tiên được nghĩ đến là xây dựng thêm một tường lửa, nhưng nó khá tốn kém về mặt chi phí, khó khăn trong bảo trì, mà lại không thật sự thuận tiện khi bạn cần giám sát và điều khiển từ xa. Một giải pháp khác, đơn giản hơn là bạn chỉ cần xây dựng một tường lửa hệ thống, nhưng đặt nó ngay trên chính máy chủ Web bằng phần mềm ISA Server mạnh mẽ. ISA Server 2004 là một trong những phần mềm tường lửa chuyên nghiệp của Mirosoft, nên việc sử dụng khá đơn giản lại vừa dễ dàng tích hợp vào hệ thống Windows.

Để cài được ISA server, thì yêu cầu đầu tiên là trên máy chủ của bạn phải được lắp đặt hai card mạng, một card kết nối với mạng Internet bên ngoài (External), card còn lại kết với mạng LAN bên trong (Internal). Nhưng do trong trường hợp này, chúng ta chỉ sử dụng một máy chủ duy nhất, nên bạn không cần lắp thêm card mạng vật lý, mà chỉ cần tạo thêm một card mạng ảo (Loopback) để giả lập card mạng Internal là được.

Bắt đầu tiến hành, bạn đăng nhập vào hệ thống máy cài đặt ISA, vào menu Start- Control Panel - Add Hardware. Tại màn hình Welcome, bạn chọn mục Nextvà chọn Yes, I have already connected the hardware.Tiếp theo, bạn chọn phần Add a new hardware devicetrong danh sách Installed hardware để tạo thêm một card mạng ảo. Hệ thống sẽ cho bạn hai sự lựa chọn là tự động tìm kiếm thiết bị hoặc là do bạn chỉ định theo ý mình. Bạn sẽ phải chọn mục Install the hardware that I manually select from a list(Advanced) để tự mình xác định loại phần cứng muốn thêm.

Trong danh sách lựa chọn loại thiết bị common hardware types bạn nhấn chuột vào mục chọn card mạng Network Adaptersvà nhấn Next để tiếp tục.

Tiếp đến trong cửa sổ Select Network Adapter, trong danh sách nhà sản xuất phần cứng có sẵn Manufacture bạn chọnMicrosoftvà trong danh sách Network Adapter bạn chọn Microsoft loopback Adapter là loại card mạng ảo do hệ điều hành Windows cung cấp sẵn trong hệ thống.


Kế tiếp, bạn nhấn nút Next hai lần và chọn nút chức năng Finish khi quá trình cài đặt kết thúc. Một việc quan trọng kế tiếp là đặt địa chỉ IP cho card mạng ảo Loopback này. Bạn có thể đặt một địa chỉ IP tùy ý, nhưng không được đặt trùng cùng NetID (cùng subnet) với card mạng bên ngoài. Ví dụ ở đây chúng ta sẽ đặt địa chỉ IP cho card mạng Loopback này là 10.10.10.10, subnet mask255.0.0.0

Như các bạn cũng đã biết trên máy chủ Web sử dụng hệ điều hành Microsoft thường thì sẽ dùng dịch vụ Internet Information Server. Phần cài đặt này ở đây ta không nhắc đến nữa, vì nó phải được thiết lập trong quá trình xây dựng máy chủ Web rồi. Công việc của chúng ta bây giờ là thay đổi cổng truy cập mặc định của máy chủ Web để đánh lạc hướng những kẻ tấn công. Cách làm là ta chuyển hướng cho Website của ta lắng nghe trên card mạng Loopback (card mạng ảo mà ta đã tạo ra ở bước trước với địa chỉ 10.10.10.10). Bạn chọn menu Start- Program- Administive tools- Internet Information Services, nhấp phải chuột vào mục Default Website rồi chọn Properties. Sau đó bạn vào thẻ Web Site, trong dòng IP Address bạn chọn IP 10.10.10.10, trong ô TCP port bạn đổi port 80 thành port2009 (con số cổng 2009 này là tùy ý, nên bạn có thể thay bằng một giá trị cổng khác bất kỳ). Sau khi thay đổi bạn nhấn Apply và chọn OK.

Kê tiếp, bạn nhấn phải chuột vào Default Web Site, chọn Stop và sau đó chọn Start để khởi động lại dịch vụ Web này. Để kiểm tra xem sự thay đổi có được cấu hình đúng hay chưa, bạn có thể mở chương trình Internet Explorer lên và truy cập vào địa chỉ http://10.10.10.10:2009 (hay một con số khác tùy theo bạn chọn ở bước trên). Nếu bạn thấy một trang Web hiển thị bình thường đúng với nội dung ta đã cấu hình cho máy chủ Web trước đó, thì xem như bạn đã hoàn thành chính xác phần này.

Tiếp theo chúng ta cài đặt chương trình ISA Server lên máy chủ Web. Bạn nhấn phải chuột vào card mạng External chọn Properties, chọn tiếp mục Internet Protocol, rồi tiếp tục nhấn Properties và chọn Advanced. Sau đó bạn vào thẻ WINS, chọn Diasble NetBIOS Over TCP/IP, và chọn OK để thoát ra.

Trong thư mục nguồn ISA Server, bạn tiến hành cho chạy tập tin ISAAutorun.exe, chọn Install ISA Server 2004. Tại màn hình Welcome, bạn chọn Next - I Accept - Custom. Đặc biệt trong cửa sổ khai báo phạm vi địa chỉ IP, đối với những hệ thống bình thường ta sẽ khai báo là hệ thống mạng LAN bên trong qua mục Internal, nhưng trong trường hợp này, cái bạn phải chọn là cardmạng Loopback. Các bước tiếp theobạn chỉ việc nhấn Next liên tục đến khi hệ thống tiến hành cài đặt xong chương trình ISA server vào máy chủ.

Giờ thì quá trình cài đặt chương trình tường lửa ISA Server đã xong, nhưng bạn đừng quên việc phải cài thêm những gói Services Pack để cập nhật đầy đủ phần vá lỗi mới nhất cho cho chương trình tưởng lửa này, cũng giống như hầu hết các chương trình và tiện ích khác của hãng Microsoft. Bạn cũng cần nhớ là phải khởi động lại máy tính khi quá trình cài đặt hoàn tất.

Bây giờ chúng ta sẽ xác định nguyên tắc truy cập cho cho tường lửa ISA Server bằng cách tạo Rule. Bạn mISA Managementlên, nhấn phải chuột vào Firewall Policy chọn NewWeb Server Publishing Rulevà khai báo theo những thông số sau:

Phần Access Rule Name, bạn gõ WebServer, phần Actionbạn chọn Allow, Define Webserver to Publishnhập giá trị 10.10.10.10,Public Name Details bạn chọn Accept requests for : Any domains name.

Đến cửa sổ Web Listener bạn chọn New, đặt tên là Port 80, nhấn Next. Trong cửa sổ IP Address bạn đánh dấu chọn vào External, bấm Next , đảm bảo ô Enable HTTP đã được chọn, HTTP port80, sau đó là chọn Next - Finish. Lúc này trong hộp thoại Web Listener bạn sẽ chọn là Port 80. Các bước còn lại chỉ là chọn NextFinish cho đến lúc hoàn thành quá trình tạo Rule.

Tiếp theo bạn nhấp phải chuột lên mục RuleWebServervừa tạo, rồi chọn Properties. Trong thẻ Bridgingbạn đổi port 80 thành port 2009. Bạn vào tiếp thẻ To, đánh dấu chọn vào mục Forward the original host header instead of the actual onevà chọn mụcRequests appear to come from the original client, chọn OK để thoát ra.

Để tiện lợi cho quá trình theo dõi và quản lý máy chủ Web, bạn phải bậtdịch vụ Remote Desktoplênđể điều khiển từ xa. Và tương tự dịch vụ Web vừa cấu hình xong, dịch vụ Remote Desktop cũng phải được tạo một Rule trên ISA Server. Nhấn phải chuột lên Firewall Policy, bạn chọn New- Server Publishing Rulevới Rule NameRemote Desktop,phần IP address chính là địa chỉ IP của card mạng External, ví dụ như 222.222.222.222 (là địa chỉ mà nhà cung cấp dịch vụ cấp cho bạn), phần giao thức(Protocol) bạn chọn là RDP (Terminal Services) Server,mục Listen for requiestsbạn chọnExternal,rồi cuối cùng chọn Finish.

Và cuối cùng, muốn máy chủ Web có thể kết nối được đến trang nhà Microsoft để cập nhật các bản vá lỗi, thì ta cần tạo thêm một Rule mang tênRa trang Microsoft.com (hay một tên gợi nhớ bất kỳ nào khác tùy bạn chọn). Thực hiện Rule này, tại cửa sổ ISA Server Management bạn bấm chuột vào mục Toolbox, vào Network Objects, nhấn New- URL Set với mục NameTrusted Sites,phía dưới bạn nhấn nút New và khai báo địa chỉ là http://microsoft.com/*. Kế tiếp, bạn nhấn New lần nữa, chọn http://*.microsoft.com/*, chọn OK.

Cuối cùng, bạn nhấn phải chuột lênFirewall Policy, chọn New-Access Rulesvới Rule name Internet,Action chọn Allow,Protocolschọn All outbound traffic,SourcechọnInternalLocalhost.Đến cửa sổ Destinationbạn vào URL Setvà chọn Trusted Sites,User setsAll Users,sau đó nhấn Finish hoàn thành. Để cho ISA Server hoạt động đúng với những nguyên tắc vừa tạo, bạn còn phải sắp xếp ba Rule vừa tạo theo thứ tự từ trên xuống như sau:Webserver, Remote Desktop, Internet.

Để kiểm tra xem phần cấu hình có được thực hiện chính xác hay không, bạn thử đăng nhập vào máy chủ Web, rồi dùng trình duyệt để truy cập vào trang http://microsoft.com, nếu thành công thì nghĩa là bạn đã làm chính xác một phần. Kế tiếp, bạn dùng một máy tính ở bên ngoài Inernet, truy cập vào trang web đang chứa trên máy chủ Web của bạn bằng trình duyệt, ví dụ như địa chỉ http://222.222.222.222, cũng như tiến hành Remote Desktopvào máy chủ Web này. Nếu việc thực hiện thử nghiệm cũng đều thành công, thì có nghĩa là máy chủ Web của bạn đã thật sự an toàn để đi vào hoạt động.

TUYẾT PHONG – THANH DUY

Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang