HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 - Phần II

HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000 (phần 2)

HIỂU VỀ CÁC DỊCH VỤ VẬN HÀNH TRÊN ISA SERVER

Một trong những phần quan trọng nhất trên hệ thống ISA Server, đó là hiểu chính xác các Services đang vận hành trên ISA server, cách thức những Services này làm việc với nhau, và với các loại ISA Clients như thế nào.

Một sơ đồ đơn giản có thể phác thảo như sau về các Services chính đang chạy trên ISA server.

Cách thức ISA Clients làm việc với ISA server

1. Tất cả các yêu cầu từ ISA Clients đến ISA server được xem xét bởi Packet filters.


2. Các yêu cầu từ SecureNAT Client (chú ý ISA server làm việc trực tiếp với 3 loại ISA Client là SecureNaT Client, Web Proxy Client và ISA Firewall Client, tôi sẽ phân tích các loại ISA client này trong phần tiếp theo), được gửi đến NAT protocol driver và sau đó đến Firewall service là nơi nà các quy tắc (rule) được áp đặt (thông qua Rule Engine)

Lưu ý: SecureNAT clients không gửi các thông tin xác thực mình (authentication information) đến ISA server.


3. Những yêu cầu từ ISA Firewall client được gửi đến Firewall service trên ISA server, nếu đó là một HTTP request (khi ISA Firewall Client truy cập Web), thì thay vì gửi đến Firewall service, HTTP redirector trên ISA server sẽ gửi yêu cầu loại này đến Web proxy service trên ISA server.

4. Tất cả những yêu cầu về HTTP/HTTPS, FTP và Gopher luôn được gửi đến Web proxy service.

Các dịch vụ chính trên ISA server:

- ISA Control Service (MSPADMIN.EXE)

ISA control service điều khiển các chức năng trên ISA Server sau:

1. IP packet filters, khi bạn Enable và ghi Log chức năng này trên ISA server

2. Đưa ra những cảnh báo Alerts và có những hành động cụ thể khi Alerts được kích hoạt (ví dụ khi ISA server nhận thấy có dấu hiệu bị tấn công, chức năng alert sẽ được kích hoạt và hành động kế tiếp là send mail cảnh báo cho Admin, hoặc stop toàn bộ ISA Server Firewall)

3. Tiến hành đồng bộ (Synchronizing) mỗi ISA server với phần còn lại của ISA servers array.

4. Cập nhật các File cấu hình Client (client configuration files), như msplat.txt và mspclnt.ini và delete bất cứ log files nào không sử dụng.

5. Restarting lại các ISA services khác khi có sự thay đổi về cấu hình trên những Service này.

Hình mô tả về stop một service

Admin có thể dùng command line để Stop một Service nào đó:

C:\> Net stop mspadmin

chú thích: mspadmin là tên service cần Stop

Và cũng lưu ý quan trọng rằng nếu stop ISA Server Control Service, thì tất cả các ISA Server services cũng Stop theo.

- Scheduled Cache Content Download Service (W3PREFCH.EXE)

1. Service này cho phép có thể download nội dung liên quan đến Web (HTTP contents) vào bộ lưu trữ trên ISA server (ISA Server Local cache), theo đúng những thời điểm đã được Config trước (Download scheduled).

2. Có thể config những nội dung từ những website nào và ở thời điểm nào sẽ tiến hành download về Cache (pre-cache), điều này rất ích lợi trong trường hợp các Clients muốn tăng tốc truy cập vào nội dung của những website này hay trong trường hợp website ngưng hoạt động, Client vẫn có thể truy cập nội dung thông qua Cache.

Ví dụ: Lập kế hoạch Scheduled Cache Content Download như sau: Tiến hành download nội dung của Website www.nis.com.vn ở mức độ 2 (deep level =2), có nghĩa là: nếu trang chủ của NIS là deep 1, thi các link tiếp theo từ homepage sẽ là deep 2. Thời gian tiến hành download vào lúc 12:00 PM. Sáng hôm sau Clients của các bạn sẽ được phục vụ bởi Pre-cache này mà không cần phải đưa yêu cầu lên Website online.

3. Dùng service này có thể download toàn bộ Website nếu bạn muốn làm điều đó

Chú ý: Websites chứa các pop-up scripts, cookies hay các gói cài đặt phần mềm ngôn ngữ tương thích với Website - language packs installation (ví dụ website tiếng Japan, China, Thailand, etc...), không thể download được.

- HTTP redirector filter

Bộ lọc này cho phép Firewall và SecureNAT clients gặp thuận lợi hơn khi làm việc với các tính năng của ISA caching, khi HTTP redirector được enable (điều này là mặc đinh rên ISA server), service này sẽ chuyển hướng các yêu cầu liên quan đến HTTP (redirect HTTP request) đến trực tiếp Web proxy service thay vì đến các Service khác.

- NAT protocol driver

Lưu ý: Microsoft không khuyến cáo chạy RRAS (Rouring and Remote Access Service), trên ISA server vì có thể gây xung đột với NAT Protocol Driver.

Driver này cho phép client trên Mạng nội bộ có thể truy cập tài nguyên trên Internet. Các Clients trong Mạng nội bộ sẽ dùng Private IP Addresses theo quy định của IANA (Internet Assigned Numbers Authority), là thuộc các vùng IP sau:

+ 10.0.0.0 - 10.255.255.255

+ 172.16.0.0 - 172.31.255.255

+ 192.168.0.0 - 192.168.255.255

(Các bạn nên tham khảo RFC 1597 để chi tiết hơn về Private IP Address Ranges)

Khi Clients dùng IP Address trong vùng vừa liệt kê, các yêu cầu ra Internet của Clients sẽ được chuyển đến Driver này, và packet header chứa IP address của Clients sẽ được thay thế bởi IP address của External Interface trên ISA server (vì các IP trong vùng Private IP Address Ranges của Clients không có giá trị communication trực tiếp trên Internet, và tất cả các Computer trên Internet không sử dụng các IP address này), sau khi ISA server lấy được các tài nguyên trên Internet về sẽ phản hồi lại cho Clients trong Mạng nội bộ.

- Firewall Service(FWSRV.EXE)

1. Firewall service là một circuit-level proxy cho các ứng dụng (Winsock applications)

Tôi sẽ có một số định nghĩa để các bạn hiểu thêm như sau:

+ Proxy: Chỉ một hệ thống Computer hoặc một Router tách biệt kết nối giữa người gửi (Sender) và người nhận (Receiver). Nó đóng vai trò là một hệ thống chuyển tiếp (Relay) giữa 2 đối tượng: Client (muốn truy cập tài nguyên) và Server (cung cấp tài nguyên mà Client cần) Nhờ chức năng chuyển tiếp (trung chuyển có kiểm soát) này , các hệ thống Proxy (hay Proxy servers) được sử dụng để giúp ngăn chặn attacker xâm nhập vào Mạng nội bộ Và các proxy cũng là một trong những công cụ được sử dụng để xây dựng Firewall.

Từ proxy còn có nghĩa "hành động nhân danh một người khác" và thực sư Proxy server đã làm điều đó, nó hành động nhân danh cho Client và cả Server . Tất cả các yêu cầu từ Client ra Internet trước hết phải đến Proxy, Proxy kiểm tra xem yêu cầu nếu được cho phép, sẽ chuyển tiếp có kiểm soát yêu cầu ra Internet đến server cung cấp dịch vụ (Internet Hosts). Và cũng tương tự sẽ phản hồi (response) hoặc khởi hoạt các yêu cầu đã được kiểm tra từ Internet và chuyển yêu cầu này đến Client. Cả hai Client và Server nghĩ rằng chúng nói chuyện trực tiếp với nhau nhưng thực sự chỉ "talk" trực tiếp với Proxy.

+ Application Level and Circuit Level Proxy
Các proxy servers sẵn sàng cho các dịch vụ thông thường trên internet, ví dụ như: một HTTP proxy được dùng cho truy cập Web, một FTP proxy được dùng cho truyền File. Những Proxies trên, được gọi là application-level proxies hay "application-level gateways", bởi vì chúng được chỉ định để làm việc với những application và protocol và nhận ra được nội dung các Packet được gửi đến nó. Một hệ thống proxy khác được gọi là circuit-level proxy, hỗ trợ nhiều applications cùng lúc. ví dụ, SOCKS là một IP-based proxy server (circuit-level proxy), hổ trợ hầu hết các applications trên nền TCP và UDP

+ SOCKS hay Sockets

Chính là một circuit-level proxy server cho các IP networks theo định nghĩa từ (IETF (Internet Engineering Task Force)- một cộng đồng các chuyên gia về network designers, operators, vendors, and researchers tham gia vào cuộc xây dựng kiến trúc Internet và ngày càng hoàn thiện Internet hơn.) SOCKS được viết bởi David và Michelle Koblas vào những năm đầu của thập niên 90. SOCKS đã nhanh chóng trở thành một de facto standard (hardware hay software được dùng rộng rãi nhưng không được chứng nhận từ những tổ chức chuyên cung cấp các định chuẩn), ngược lại là de jure standard. Mặc dù SOCKS ra đời sớm và được dùng phổ biến, nhưng SOCKS được IETF thông qua lần đầu tiên là SOCKS5. SOCKS ban đầu là hệ thống Proxy được sủ dụng cho các traffic như FTP, Telnet, v.vv, nhưng không dành cho HTTP. SOCKS4 kiểm soát các TCP connections (là phần lớn các Application trên Internet), SOCKS5 còn hỗ trợ thêm UDP, ICMP, xác thực User (user authentication) và giải quyết hostname (DNS service).
SOCKS bắt buộc Client phải được cấu hình để chuyển trực tiếp các yêu cầu đến SOCKS server, hoặc ngược lại SOCKS driver sẽ ngăn chặn các Clients chuyển các yêu cầu non-SOCKS application. Nhiều Web browsers và các Internet applications khác hiện nay hỗ trợ SOCKS, cho nên khá dễ dàng khi làm việc với các SOCKS server. Vào http://www.socks.permeo.com/TechnicalResources/SOCKSFAQ/SOCKSGeneralFAQ/index.asp (Permeo Technologies' SOCKS Web site ), để tìm hiểu chi tiết về SOCKS và cac Applications tuân theo SOCKS Cũng cần xem thêm mô hình giao tiếp TCP/IP stack.

2. The ISA Firewall service cung cấp cho các Winsock client applications khả năng kết nối đến Internet, như thể được kết nối trực tiếp.

3. Nếu HTTP redirector được xác lập Default (đây cũng là cấu hình mặc định), sau đó các yêu cầu HTTP sẽ được gửi đến Web proxy service (như vậy Firewall Service không trực tiếp quản lý những yêu cầu loại nay, và tận dụng ưu điểm của Cache.

4. Firewall service sẽ vận hành như một service đơn độc(stand-alone service) trên Windows 2000 server nếu khi cài đặt ISA server chọn Firewall mode. Lưu ý: Nếu cài ISA ở chế độ Firewall mode, ISA Server không có khả năng tạo vùng lưu giữ Cache (no caching)

5. Firewall service thiết lập cổng kết nối (gateway connections) giữa Winsock applications trên Client và Internet Hosts. mạng nội bộ vẫn đảm bảo an toàn, bởi vì giao tiếp được thông qua ISA.

6. Firewall service có thể được tăng cường chức năng hoạt động thông qua Application filters

7. Firewall client sẽ nhận biết các giao tiếp từ Winsock applications trên Computer của mình và chuyển hướng chúng đến Firewall service, nơi mà giao tiếp thực sự với các Hostbên ngoài sẽ diễn ra.

8. Kênh điều khiển (control channel) sẽ quản lý các Winsock messages từ xa và phân phối bảng IP nội bộ LAT (Local Address Table) đến firewall client. Kênh này cũng thiết lập các TCP connections từ client tới ISA server và nó được dùng đề xây dựng các kết nối ảo (virtual connections) trong khi ISA server đang kết nối thực sư với remote applications trên remote Hosts.

9. Firewall service cũng sử dụng kênh điều khiển để giao tiếp với service management, connection và onauthentication information trên UDP port 1745.

10. Service này cũng dùng LAT để xác định các Clients gửi yêu cầu đến nó, có phải xuất phát từ Mạng nội bộ hay là từ một Mạng nào đó thiếu an toàn..(từ attacker networks v.vv)

- Web Proxy Service (W3PROXY.EXE)

1. Service này cho phép bất kì CERN clients nào (các Web Browser hoặc các application tương thích chuẩn do CERN- (website www.cern.ch), quy định, như Internet Explorer hoặc Netscape là ví dụ), có khả năng truy cập các tài nguyên Internet như HTTP, HTTPS (HTTP secure), Gopher (chương trình tìm kiếm File names và các resource khác trên Internet và sắp xếp dưới dạng các menu cho user chọn, các resourse này thực tế nằm rãi rác khắp hàng ngàn Gopher server trên Internet - hiện có trên 7000 Gopher servers) và FTP protocols.

2. Web Proxy Service là một application level service phục vụ cho các CERN-compliant applications (như đã trình bày ở trên ) và những ứng dụng này đã config để dùng Web proxy service (dùng Internet Explorer co thể xác lập dùng Web proxy service như sau. Chọn Tools, Internet Options, Connections, LAN settings và đưa vào các thông số như trên Hình

sau đó click vào Advanced sẽ thấy

Trên minh họa này Internal Interface của ISA server là 192.168.1.200, và mở port 8080 (port mà Web Proxy Service trên ISA server tiếp nhận các yêu cầu từ các Web Proxy Clients hoặc nói chung là CERN-compliant applications )

Web Proxy Service tiếp nhận các yêu cầu đấn từ CERN-compliant applications , bất kể những Applications này được cài trên Hệ Điều hành nào.

3. Web proxy service vận hành như một quy trình trên Windows 2000 Server ( Win2k process) chính xác là W3proxy.exe).

4. ISA Server sẽ dùng các chức năng Secure Web publishing Reverse hosting (tôi sẽ giải thích ở các phần tiếp theo) để gửi các yêu cầu đấn các Web-publishing servers ( các Web server cho phép các Client ngoài Internet truy cập, vì lý do an toàn nên chúng phải nằm sau ISA server firewall, và phải dùng chức năng Web-publishing trên ISA Server để cung cấp truy, dùng Web-publishing không làm giảm độ an toàn của LAN)

5. Web proxy service hỗ trợ SSL (secure socket layer) và Web (ISAPI) filters.

6. Web proxy service bao gồm luôn tính năng cache trên ISA server.

Phần I: HƯỚNG DẪN CÀI ĐẶT ISA SERVER ENTERPRISE 2000

Hồ Việt Hà – Instructor Team Leader

hvha@newhorizons.com.vn

New Horizons VietNam (Computer Learning Centers in VietNam)

Network Information Security (NIS.COM.VN - My Website come soon )

Thứ Năm, 28/07/2005 11:11
31 👨 1.480
0 Bình luận
Sắp xếp theo