sonnv
06-04-2007, 09:39 PM
Đôi khi những việc rất đơn giản lại mang đến những kết quả không ngờ, và đôi khi những điều ta bỏ qua tuy rất nhỏ nhưng nó lại có thể ảnh hưởng tới cả hệ thống. Học bảo mật bạn cần phải biết cách quan tâm từ những vấn đề nhỏ nhất, và cần có cái nhìn tổng quan của cả hệ thống
Bài viết này hướng dẫn các bạn khi đã có máy chủ ISA Server 2004 được cài đặt trên nền Windows 2003, và đã cập nhật tất cả các bản và lỗi cho cả ISA Server và Windows 2003, các service pack và các thành phần khác cho ISA Server đã được cập nhật bao gồm Microsoft SQL Server 2000 Desktop Engine và Office Web Components 2002.
1: Get Physical
Khi bạn quan tâm đến bảo mật một vấn đề phải quan tâm và rất quan trọng đầu tiên là tầng vật lý. Khi bất kỳ một máy chủ nào cần được quan tâm đến vấn đề bảo mật nói chung và máy chủ ISA Server 2004 nói riêng đều cần có những chính sách để bảo vệ tầng vật lý của máy chủ như cung cấp các bộ lưu điện UPS các giải pháp chống ẩm, chống cháy. Đặc biệt phải quan tâm đến những thiết bị dễ hỏng như ổ cứng phải có giải pháp chống xảy ra sự cố hỏng hóc như sử dụng RAID và giải pháp backup.
2: Domain vs. Workgroup
Khi bạn cài đặt ISA Server 2004, một vấn đề khác bạn cần phải quan tâm đó là máy chủ sau khi cài đặt sẽ nằm trong Workgroup hay là member của một domain. Theo kinh nghiệm của tôi thì cài đặt ISA Server 2004 vào trong một Workgoup. Tuy nhiên hoàn cảnh có thể buộc ISA Server 2004 là một member của một domain. Ví dụ, nếu bạn thiết lập một chính sách phụ thuộc vào quá trình xác thực trong domain, thì khi đó máy chủ ISA Server sẽ phải là một thành viên trong domain đó. Như một thành viên trong domain bạn sẽ có thể khoá máy chủ đó bằng việc sử dụng Group Policy. Nếu bạn buộc phải cài đặt ISA Server trong một domain thì giải pháp tốt nhất của bạn là nên đặt nó sau một firewall cứng nào đó, như giải pháp sử dụng PIX firewall của Cisco.
Nhưng theo kinh nghiệm của riêng tôi thì bạn vẫn nên cài đặt ISA Server 2004 trong Workgroup, nó hoạt động riêng biết với hệ thống mạng của bạn, nếu bạn cần ISA Server 2004 là một member của domain, hãy quan tâm đến việc cài đặt nó sang một forest khác. Ví dụ bạn chạy máy chủ ISA Server 2004 trong vùng DMZ, bạn tạo ra một forest khác và tạo one-way trust giữa các forest trong cùng hệt hống của bạn, và riêng ISA Server 2004 nằm trong một forest riêng biệt.
3: Adjust Connection Limits
Giới hạn số lượng kết nối tới máy chủ ISA Server 2004 để chống lại các cuộc tấn công phá huỷ các tài nguyên quan trọng trong máy chủ ISA Server. Bằng việc giới hạn các kết nối đến máy chủ, bạn có thể giảm nhẹ các cuộc tấn công từ các máy tính nguy hiểm.
Mặc định, giới hạn kết nối cho các kết nối không phải TCP được thiết lập là 1000 kết nối trên mỗi giây và trên mỗi rule, và cho 160 kết nối cho client cả các kết nối TCP và không phải kết nối TCP, thể hiện ở hình 1 dưới. Microsoft khuyến cáo bạn không nên thay đổi giới hạn mặc định này. Tuy nhiên nếu bạn cảm thấy cần phải điều chỉnh số lượng kết nối thì bạn có thể chỉnh sửa sao cho hợp lý nhất với hệ thống của bạn. Nhưng nếu bạn giới hạn số lượng kết nối ít, một số người trong hệ thống có thể sẽ bị ảnh hưởng quá trình truy cập của họ ra bên ngoài.
4: Configure DNS Properly
Khi bạn cấu hình ISA Server, bạn phải chắc chắn một điều là bạn đã cấu hình DNS một cách chuẩn xác. Bao gồm tất cả các local domain trong hệ thống mạng của bạn. Mặt khác ISA Server có thể gửi một yêu cầu tới các máy chủ DNS ở bên ngoài. Điều đó có thể tạo ra những lỗi tiềm tàng cho hệ thống mạng của bạn, các local domain sẽ có thể bị phát hiện bởi các kẻ tấn công.
Để chống lại việc phân tích DNS được lưu trữ tạm thời trên máy chủ ISA Server, bạn chỉ gán DNS cho máy chủ ISA với một máy chủ DNS ở trong nội bộ của hệ thống. Chắc chắn một điều rằng máy chủ DNS được cấu hình để chống lại quá trình tấn công qua bộ lưu tạm thời.
Chú ý các bước thực hiện trên máy chủ ISA có hai card mạng. Một Public và một Private, và sau đây là các bước cụ thể cấu hình DNS trên máy chủ ISA.
1. Đặt địa chỉ DNS cho card private là địa chỉ của máy chủ DNS bên trong hệ thống. Không đặt gateway và bất kỳ các DNS nào khác.
2. Cấu hình default gateway trên card mạng nối ra internet vào địa chỉ của Router nối với hệ thống mạng của bạn, lưu ý DNS ở card mạng này để chống.
3. Cấu hình máy chủ DNS chuyển các yêu cầu tới địa chỉ máy chủ DNS của nhà cung cấp dịch vụ.
4. Cấu hình một access rule chỉ cho phép máy chủ DNS truy cập vào Internet. Nó sẽ cho phép tất cả các clients trong hệ thống được resolve tên từ máy chủ DNS bên trong hệ thống.
Trong tab General của card mạng public, bạn disable toàn bộ ngoại trừ giao thức TCP/IP, bạn cần phải disable “Client for Microsoft Networking, File and Printer Sharing for Microsoft Network, etc. Thêm vào đó bạn cần phải Disable NetBIOS trên TCP/IP và bỏ dấu trong checkbox LMHOSTS lookuup, hình 2 thể hiện các cấu hình dưới đây. Cần chú ý là bạn không disable NetBIOS trên TCP/IP tại card mạng nối vào private network.
5: Disable Error Reporting
Mặc định, Microsoft cho phép lưu lại các lỗi trong máy chủ Windows Server 2003 và khi cài đặt ISA Server 2004 bạn có thể disable quá trình này trên cả hệ điều hành và trên ISA Server 2004 (trong System Policy). Theo như các nhà bảo mật của Microsoft, quá trình ghi lại các lỗi xảy ra trong hệ thống buộc phải được thực hiện nhưng ngoại trừ máy chủ ISA Server. Phản ánh lại các lỗi giúp Microsoft dựa vào các thông tin bạn phản hồi đó nhà sản xuất sẽ phân tích các lỗi tiềm tàng của hệ thống. Tuy nhiên các thông khi bạn gửi lỗi tới Microsoft thì không được mã hoá. Và một vài người có thể tóm được gói tin của bạn, có thể điều đó làm hạn chế, hay bị thay thế các gói tin được truyền đến Microsoft. Để thực hiện việc Disable error reporting:
1. Bật ISA Server Management Console lựa chọn Firewall Policy.
2. Chuột phải Firewall Policy và chọn Edit System Policy.
1. Trong System Policy Editor, trong cây Configuration Groups, chọn Diagnostic Services.
2. Chọn Microsoft Error Reporting dưới Diagnostic Services.
3. Bên tay phải bạn bỏ dấu Enable box, Được thể hiện dưới hình 3.
6: Reconfigure System Policy Allowed Sites
Mặc định, Allow sites được cấu hình là enabled, cho phép ISA Server truy cập vào các trang web cụ thể và phụ thuộc trong System Policy Allows Sites. Mặc định trong system policy cho phép HTTP và HTTPS từ máy chủ ISA tới trang web Microsoft.com. Để cho việc phản ánh lại các lỗi xảy ra. Bạn có thể chỉ cho phép trang web *.windowsupdate.com còn remove tất cả các trang web còn lại. Đảm bảo không một trang web nào khác không bảo mật hay chứa những đoạn mã nguy hiểm mà máy chủ ISA lại vào.
7: Delegate Administration
Trong một môi trường làm việc lớn, nơi c nhiều người cùng quản trị các máy chủ ISA Server, điều quan tâm đầu tiên là phải thiết lập trong ISA Server Administration Delegation Wizard. Bạn có thể khởi động wizard bằng cách vào ISA Server Management Console chuột phải vào máy chủ ISA Server. Trong thiết lập này cho phép bạn gán những users và group khác nhau có thể quản trị những vấn đề khác nhau. Trong ISA server có các role sau.
· ISA Server Array Administrator
· ISA Server Array Auditor
· ISA Server Array Monitoring Auditor
Bạn có thể tìm được các thông tin này qua help của ISA server. Những thông tin rất chi tiết
8: Disallow Older Firewall Clients
Firewall client của máy chủ ISA Server sử dụng một giao thức được mã hoá dữ liệu khi truyền giữa các Firewall client và ISA Server. Không cho phép sử dụng các phiên bản Firewall client cũ vì nó không thể mã hoá dữ liệu trong quá trình truyền. Chắc chắn rằng box “allow non-encrypted Firewall client connections” không được lựa chọn, được thể hiện với hình 4 dưới đây.
9: Don't Enable Guest Account
Một điều không may là Guest Account còn có cho đến tận phiên bản Windows Server 2003, cho phép Guest account có thể ảnh hwongr tới cả hệ thống là một lỗi tiềm tàng cho phép bất kỳ người nào cũng có thể sử dụng user này để đăng nhập vào hệ thống, nhưng việc cho phép Guest account còn đặc biệt nguy hiểm với máy chủ ISA Server, bạn phải chắc chắn rằng nó đã bị cấm. ISA Server sẽ thừa nhận guest account như một user đã được xác thực trong nhóm All Authenticated Users.
10: Avoid Running Browsers on ISA Server
Không chạy một web brower cho quá trình truy cập Internet trên ISA Server. Bằng việc truy cập vào Internet đồng nghĩa với việc sẽ tiềm ẩn rất nhiều nguy cơ như các phần mềm gián điệm, các keylogger, và các đoạn mã nguyên hiểm có thể vào máy bạn bất kỳ lúc nào. Nếu bạn có những trang web tin tưởng bạn có thể dùng các trình duyệt như IE 7 hay Firefox 2.0. Tuy nhiên tốt nhất bạn vẫn không sử dụng truy cập web từ máy chủ ISA mà bạn chỉ cho phép truy cập đến trang web để cập nhật các bản update.
Thêm vào đó bạn có thể thực hiện các bước sau để bảo mật máy chủ ISA Server
Nếu máy chủ ISA Server đã bị virus hay các spyware thì tốt nhất bạn nên cài đặt lại, nhiều người cố gắng diệt virus nhưng không biết rằng sau khi virus vào hệ thống đã làm một số thiết lập trên máy tính của bạn bị thay đổi và giải pháp tốt nhất với máy chủ ISA Server 2004 là cài lại hệ thống.
Nếu trong hệ thống của bạn có hiều máy chủ ISA Server 2004 việc cần thiết của bạn là tạo ra một thiết lập chuẩn sau đó lưu lại và khi cần thiết sẽ áp dụng cho toàn bộ các máy chủ ISA Server trong hệ thống của bạn.
Khi bạn cấu hình firewall, cần sử dụng IP Security (IPSec) để bảo mật các quá trình truyền gói tin giữa máy chủ ISA và các máy khác trong hệ thống
Cần phải disable các dịch vụ không cần thiết cho máy chủ ISA Server để hạn chế các tấn công dựa trên các dịch vụ này.
Khi bạn tạo backup, phải chắc chắn một điều bản backup của bạn phải được mã hoá và bảo vệ bằng mật khẩu khó.
Thêm vào đó còn rất nhiều thiết lập bạn có thể bảo mật máy chủ ISA Server 2004 bạn có thể tìm hiểu trong trang web này:
http://www.microsoft.com/technet/isa/2004/plan/securityhardeningguide.mspx (http://www.microsoft.com/technet/isa/2004/plan/securityhardeningguide.mspx)
Ngoài ra bạn cần biết rằng ISA Server 2004 chạy trên nền hệ điều hành Windows Server 2003 thì việc bảo mật hệ điều hành là vô cùng cần thiết.
Bài viết này hướng dẫn các bạn khi đã có máy chủ ISA Server 2004 được cài đặt trên nền Windows 2003, và đã cập nhật tất cả các bản và lỗi cho cả ISA Server và Windows 2003, các service pack và các thành phần khác cho ISA Server đã được cập nhật bao gồm Microsoft SQL Server 2000 Desktop Engine và Office Web Components 2002.
1: Get Physical
Khi bạn quan tâm đến bảo mật một vấn đề phải quan tâm và rất quan trọng đầu tiên là tầng vật lý. Khi bất kỳ một máy chủ nào cần được quan tâm đến vấn đề bảo mật nói chung và máy chủ ISA Server 2004 nói riêng đều cần có những chính sách để bảo vệ tầng vật lý của máy chủ như cung cấp các bộ lưu điện UPS các giải pháp chống ẩm, chống cháy. Đặc biệt phải quan tâm đến những thiết bị dễ hỏng như ổ cứng phải có giải pháp chống xảy ra sự cố hỏng hóc như sử dụng RAID và giải pháp backup.
2: Domain vs. Workgroup
Khi bạn cài đặt ISA Server 2004, một vấn đề khác bạn cần phải quan tâm đó là máy chủ sau khi cài đặt sẽ nằm trong Workgroup hay là member của một domain. Theo kinh nghiệm của tôi thì cài đặt ISA Server 2004 vào trong một Workgoup. Tuy nhiên hoàn cảnh có thể buộc ISA Server 2004 là một member của một domain. Ví dụ, nếu bạn thiết lập một chính sách phụ thuộc vào quá trình xác thực trong domain, thì khi đó máy chủ ISA Server sẽ phải là một thành viên trong domain đó. Như một thành viên trong domain bạn sẽ có thể khoá máy chủ đó bằng việc sử dụng Group Policy. Nếu bạn buộc phải cài đặt ISA Server trong một domain thì giải pháp tốt nhất của bạn là nên đặt nó sau một firewall cứng nào đó, như giải pháp sử dụng PIX firewall của Cisco.
Nhưng theo kinh nghiệm của riêng tôi thì bạn vẫn nên cài đặt ISA Server 2004 trong Workgroup, nó hoạt động riêng biết với hệ thống mạng của bạn, nếu bạn cần ISA Server 2004 là một member của domain, hãy quan tâm đến việc cài đặt nó sang một forest khác. Ví dụ bạn chạy máy chủ ISA Server 2004 trong vùng DMZ, bạn tạo ra một forest khác và tạo one-way trust giữa các forest trong cùng hệt hống của bạn, và riêng ISA Server 2004 nằm trong một forest riêng biệt.
3: Adjust Connection Limits
Giới hạn số lượng kết nối tới máy chủ ISA Server 2004 để chống lại các cuộc tấn công phá huỷ các tài nguyên quan trọng trong máy chủ ISA Server. Bằng việc giới hạn các kết nối đến máy chủ, bạn có thể giảm nhẹ các cuộc tấn công từ các máy tính nguy hiểm.
Mặc định, giới hạn kết nối cho các kết nối không phải TCP được thiết lập là 1000 kết nối trên mỗi giây và trên mỗi rule, và cho 160 kết nối cho client cả các kết nối TCP và không phải kết nối TCP, thể hiện ở hình 1 dưới. Microsoft khuyến cáo bạn không nên thay đổi giới hạn mặc định này. Tuy nhiên nếu bạn cảm thấy cần phải điều chỉnh số lượng kết nối thì bạn có thể chỉnh sửa sao cho hợp lý nhất với hệ thống của bạn. Nhưng nếu bạn giới hạn số lượng kết nối ít, một số người trong hệ thống có thể sẽ bị ảnh hưởng quá trình truy cập của họ ra bên ngoài.
4: Configure DNS Properly
Khi bạn cấu hình ISA Server, bạn phải chắc chắn một điều là bạn đã cấu hình DNS một cách chuẩn xác. Bao gồm tất cả các local domain trong hệ thống mạng của bạn. Mặt khác ISA Server có thể gửi một yêu cầu tới các máy chủ DNS ở bên ngoài. Điều đó có thể tạo ra những lỗi tiềm tàng cho hệ thống mạng của bạn, các local domain sẽ có thể bị phát hiện bởi các kẻ tấn công.
Để chống lại việc phân tích DNS được lưu trữ tạm thời trên máy chủ ISA Server, bạn chỉ gán DNS cho máy chủ ISA với một máy chủ DNS ở trong nội bộ của hệ thống. Chắc chắn một điều rằng máy chủ DNS được cấu hình để chống lại quá trình tấn công qua bộ lưu tạm thời.
Chú ý các bước thực hiện trên máy chủ ISA có hai card mạng. Một Public và một Private, và sau đây là các bước cụ thể cấu hình DNS trên máy chủ ISA.
1. Đặt địa chỉ DNS cho card private là địa chỉ của máy chủ DNS bên trong hệ thống. Không đặt gateway và bất kỳ các DNS nào khác.
2. Cấu hình default gateway trên card mạng nối ra internet vào địa chỉ của Router nối với hệ thống mạng của bạn, lưu ý DNS ở card mạng này để chống.
3. Cấu hình máy chủ DNS chuyển các yêu cầu tới địa chỉ máy chủ DNS của nhà cung cấp dịch vụ.
4. Cấu hình một access rule chỉ cho phép máy chủ DNS truy cập vào Internet. Nó sẽ cho phép tất cả các clients trong hệ thống được resolve tên từ máy chủ DNS bên trong hệ thống.
Trong tab General của card mạng public, bạn disable toàn bộ ngoại trừ giao thức TCP/IP, bạn cần phải disable “Client for Microsoft Networking, File and Printer Sharing for Microsoft Network, etc. Thêm vào đó bạn cần phải Disable NetBIOS trên TCP/IP và bỏ dấu trong checkbox LMHOSTS lookuup, hình 2 thể hiện các cấu hình dưới đây. Cần chú ý là bạn không disable NetBIOS trên TCP/IP tại card mạng nối vào private network.
5: Disable Error Reporting
Mặc định, Microsoft cho phép lưu lại các lỗi trong máy chủ Windows Server 2003 và khi cài đặt ISA Server 2004 bạn có thể disable quá trình này trên cả hệ điều hành và trên ISA Server 2004 (trong System Policy). Theo như các nhà bảo mật của Microsoft, quá trình ghi lại các lỗi xảy ra trong hệ thống buộc phải được thực hiện nhưng ngoại trừ máy chủ ISA Server. Phản ánh lại các lỗi giúp Microsoft dựa vào các thông tin bạn phản hồi đó nhà sản xuất sẽ phân tích các lỗi tiềm tàng của hệ thống. Tuy nhiên các thông khi bạn gửi lỗi tới Microsoft thì không được mã hoá. Và một vài người có thể tóm được gói tin của bạn, có thể điều đó làm hạn chế, hay bị thay thế các gói tin được truyền đến Microsoft. Để thực hiện việc Disable error reporting:
1. Bật ISA Server Management Console lựa chọn Firewall Policy.
2. Chuột phải Firewall Policy và chọn Edit System Policy.
1. Trong System Policy Editor, trong cây Configuration Groups, chọn Diagnostic Services.
2. Chọn Microsoft Error Reporting dưới Diagnostic Services.
3. Bên tay phải bạn bỏ dấu Enable box, Được thể hiện dưới hình 3.
6: Reconfigure System Policy Allowed Sites
Mặc định, Allow sites được cấu hình là enabled, cho phép ISA Server truy cập vào các trang web cụ thể và phụ thuộc trong System Policy Allows Sites. Mặc định trong system policy cho phép HTTP và HTTPS từ máy chủ ISA tới trang web Microsoft.com. Để cho việc phản ánh lại các lỗi xảy ra. Bạn có thể chỉ cho phép trang web *.windowsupdate.com còn remove tất cả các trang web còn lại. Đảm bảo không một trang web nào khác không bảo mật hay chứa những đoạn mã nguy hiểm mà máy chủ ISA lại vào.
7: Delegate Administration
Trong một môi trường làm việc lớn, nơi c nhiều người cùng quản trị các máy chủ ISA Server, điều quan tâm đầu tiên là phải thiết lập trong ISA Server Administration Delegation Wizard. Bạn có thể khởi động wizard bằng cách vào ISA Server Management Console chuột phải vào máy chủ ISA Server. Trong thiết lập này cho phép bạn gán những users và group khác nhau có thể quản trị những vấn đề khác nhau. Trong ISA server có các role sau.
· ISA Server Array Administrator
· ISA Server Array Auditor
· ISA Server Array Monitoring Auditor
Bạn có thể tìm được các thông tin này qua help của ISA server. Những thông tin rất chi tiết
8: Disallow Older Firewall Clients
Firewall client của máy chủ ISA Server sử dụng một giao thức được mã hoá dữ liệu khi truyền giữa các Firewall client và ISA Server. Không cho phép sử dụng các phiên bản Firewall client cũ vì nó không thể mã hoá dữ liệu trong quá trình truyền. Chắc chắn rằng box “allow non-encrypted Firewall client connections” không được lựa chọn, được thể hiện với hình 4 dưới đây.
9: Don't Enable Guest Account
Một điều không may là Guest Account còn có cho đến tận phiên bản Windows Server 2003, cho phép Guest account có thể ảnh hwongr tới cả hệ thống là một lỗi tiềm tàng cho phép bất kỳ người nào cũng có thể sử dụng user này để đăng nhập vào hệ thống, nhưng việc cho phép Guest account còn đặc biệt nguy hiểm với máy chủ ISA Server, bạn phải chắc chắn rằng nó đã bị cấm. ISA Server sẽ thừa nhận guest account như một user đã được xác thực trong nhóm All Authenticated Users.
10: Avoid Running Browsers on ISA Server
Không chạy một web brower cho quá trình truy cập Internet trên ISA Server. Bằng việc truy cập vào Internet đồng nghĩa với việc sẽ tiềm ẩn rất nhiều nguy cơ như các phần mềm gián điệm, các keylogger, và các đoạn mã nguyên hiểm có thể vào máy bạn bất kỳ lúc nào. Nếu bạn có những trang web tin tưởng bạn có thể dùng các trình duyệt như IE 7 hay Firefox 2.0. Tuy nhiên tốt nhất bạn vẫn không sử dụng truy cập web từ máy chủ ISA mà bạn chỉ cho phép truy cập đến trang web để cập nhật các bản update.
Thêm vào đó bạn có thể thực hiện các bước sau để bảo mật máy chủ ISA Server
Nếu máy chủ ISA Server đã bị virus hay các spyware thì tốt nhất bạn nên cài đặt lại, nhiều người cố gắng diệt virus nhưng không biết rằng sau khi virus vào hệ thống đã làm một số thiết lập trên máy tính của bạn bị thay đổi và giải pháp tốt nhất với máy chủ ISA Server 2004 là cài lại hệ thống.
Nếu trong hệ thống của bạn có hiều máy chủ ISA Server 2004 việc cần thiết của bạn là tạo ra một thiết lập chuẩn sau đó lưu lại và khi cần thiết sẽ áp dụng cho toàn bộ các máy chủ ISA Server trong hệ thống của bạn.
Khi bạn cấu hình firewall, cần sử dụng IP Security (IPSec) để bảo mật các quá trình truyền gói tin giữa máy chủ ISA và các máy khác trong hệ thống
Cần phải disable các dịch vụ không cần thiết cho máy chủ ISA Server để hạn chế các tấn công dựa trên các dịch vụ này.
Khi bạn tạo backup, phải chắc chắn một điều bản backup của bạn phải được mã hoá và bảo vệ bằng mật khẩu khó.
Thêm vào đó còn rất nhiều thiết lập bạn có thể bảo mật máy chủ ISA Server 2004 bạn có thể tìm hiểu trong trang web này:
http://www.microsoft.com/technet/isa/2004/plan/securityhardeningguide.mspx (http://www.microsoft.com/technet/isa/2004/plan/securityhardeningguide.mspx)
Ngoài ra bạn cần biết rằng ISA Server 2004 chạy trên nền hệ điều hành Windows Server 2003 thì việc bảo mật hệ điều hành là vô cùng cần thiết.
