ISA Server DMZ

ISA Server hỗ trợ thiết lập DMZ - là đơn vị lưu lượng Internet riêng rẽ từ mạng cục bộ. DMZ là khu vực bảo mật thực hiện ngăn những lưu lượng Internet cách xa hệ thống mạng cuc bộ.

Thiết lập DMZ, bạn không thể phổ biến (public) server trên hệ thống mạng cục bộ. ISA Server làm cộng việc phổ biến (public) server trong mạng cục bộ dễ dàng hơn. Nhưng khi phổ biến (public) server, thì các client Internet có thể truy cập được. Họ có thể truy cập dữ liệu trong mạng cục bộ, hệ thống mạng không an toàn.

Để thực hiện mục tiêu trên, bạn có thể tạo lớp mạng bảo mật bên ngòai của mạng cục bộ. Đó chính là DMZ. DMZ là vùng mà cả 2 mạng đều không thể kết nối được nếu không có sự đồng ý của nó. Nhưng nếu có

To get around this, you can create secure networks outside of the internal network. This is what a DMZ is. The term DMZ or /Demilitarized Zone/ comes from military. The DMZ area is an area that both sides agree there will be no military actions. But if one side does violate the agreement, then both sides can start firing. This is a /buffer zone/ between the two parties and is designed to protect the populace on both sides of the DMZ.

*Các bước cấu hình DMZ :*

* Trihomed DMZ * Địa chỉ Back to Back Private DMZ * Địa chỉ Back to Back Public DMZ

*Trihomed DMZ*

Trihomed DMZ (three-homed DMZ) được tạo bởi 3 card mạng trên vùng ISA Server:

* 1 card mạng kết nối thẳng với Internet. * 1 card mạng kết nối với hệ thống mạng cục bộ. * 1 card kết nối thẳng với DMZ

Cấu hình có dạng như hình sau:

Những cấu hình Trihomed DMZ:

* DMZ phải sử dụng địa chỉ IP công cộng (public) * Mạng cục bộ thì nên sử dụng địa chỉ IP riêng (private) * Mạng bên ngòai kết nối thẳng Internet.

*Trihomed DMZ phải có địa chỉ IP công cộng (public)*

Trên Trihomed DMZ cần phải có địa chỉ public. Vài người khi xây dựng hệ thống này bị lỗi, vì họ sử dụng địa chỉ riêng (private) trên DMZ. Bạn tạo 2 giao diện mạng cục bộ hay giao diện mạng bên ngòai mà không thể truy cập dữ liệu mạng cục bộ hay mạng bên ngòai.

DMZ phải cấu hình là giao diện mạng bên ngòai. Dữ liệu bên ngòai không được ủy thác (trusted) bởi mạng cục bộ. Để cấu hình DMZ là dữ liệu mạng bên ngòai, bạn KHÔNG cần phải thêm địa chỉ IP của DMZ trong LAT. LAT chi chứa địa chỉ mạng cục bộ.

*Các gói tin được định tuyến đến DMZ mà không cần thông dịch (Packets are Routed to the DMZ - NOT Translated)*

Các gói tin từ Internet đến DMZ thật ra đã được định tuyến đến DMZ. Điều đó trái ngược với cách các gói tin từ Internet đến mạng cục bộ được dịch và không định tuyến đến mạng nội bô.

Để lấy được địa chỉ IP DMZ, bạn cần ngăn chặn địa chỉ Ip, subnet. Một trong những Network ID phải xác nhận giao diện mạng bên ngòai của ISA Server. Bất cứ lời yêu cầu Network IDs nào đều có thể sử dụng DMZ.

*Chú ý:*

Bạn cần phải hiểu về địa chỉ IP, Variable Length Subnet Masking (VLSM), subnet và công việc supernet nếu bạn muốn có khả năng quản lý ISA Server và hệ thống mạng TCP/IP

Vì những gói tin này đã được định tuyến đến DMZ, nên nó lời đi những qui tắc (bypass the rules). Nếu những qui tắc này được thực hiện để chuyển những gói tin giữa mạng cục bô và mạng bên ngòai. Những qui tắc được thực hiện để những gói tin chuyển giữa DMZ và Internet là các qui tắc packet filter. Packet filter quản lý sự truy cập bên ngòai, bên trong và từ DMZ.

*Cấu hình Packet Filter và IP Routing*

Bật chức năng Packet Filter và cũng bật chức năng IP Routing.

Click phải *IP Packet Filters *ở cột bên trái *ISA Management *và click *Properties*

Chọn đánh dấu 2 ô *Enable packet filtering* và *Enable IP routing*

Tóm tắt về Trihomed DMZ:

1. Không đặt địa chỉ IP DMZ trong LAT 2. DMZ sử dụng subnet bị ngăn chặn của địa chỉ public 3. Bật chức năng packet filtering và IP Routing trên ISA Server 4. Tạo packet filters cho phép truy cập vào và ra từ DMZ

Back to Back DMZ với địa chỉ riêng (Private) trên DMZ

Back to back DMZ sử dụng địa chỉ riêng (private) là cấu hình bảo mật nhất của DMZ mà ISA thiết lập nên. Cấu hình này sử dụng dãy địa chỉ IP riêng (IP private) trên DMZ. Vì sử dụng địa chỉ riêng (IP privarte) và bao gồm DMZ trên LAT bên ngòai của ISA Server, thì bạn có nhiều hỗ trợ của ISA Server mà Trihomed DMZ không có, như: sử dụng những IP public, không ủy thác (untrusted) trên DMZ.

Địa chỉ riêng (private) back to back DMZ có những đặc điểm sau :

* Gồm 2 ISA Server: ISA Server bên trong (internal) và bên ngòai (external) * ISA Server bên ngòai gồm có 2 card: 1 dùng kết nối với Internet và trên DMZ * ISA Server bên trong có 2 card mạng: 1 card kết nối với DMZ và còn lại kết nối với hệ thống mạng cục bộ. * DMZ sử dụng địa chỉ IP riêng (private IP) * Mạng DMZ trong LAT của ISA Server bên ngòai. * Mạng DMZ không nằm trong bảng LAT của ISA Server bên trong. * Bạn có thể sử dụng qui tắc (rule) phổ biến (public) Web và Server để quản lý truy cập đến DMZ.

Back to back địa chỉ riêng (private) DMZ.

*Cấu hình ISA Server bên ngòai (External)*

ISA Server bên ngòai có giao diện kết nối thẳng với Internet và 1 giao diện kết nối với DMZ. Địa chỉ IP của DMZ nên thuộc bảng địa chỉ cục bộ (LAT) của ISA Server bên ngòai, bạn có thể quản lý truy cập bằng qui tắc (rule) *Web and Server publishing*.

Chú ý, kể cả khi chúng ta đặt DMZ trong LAT của ISA Server bên ngòai thì lưu lượng Internet cũng không thể kết nối/truy cập với mạng cục bộ. Tổng quát, những yêu cầu (request) Internet và trả lời là của mạng cục bộ. Điều này giúp bảo vệ lưu lượng Internet tương tự mô hình Trihomed DMZ và thực hiện tốt hơn

Không cần tạo và sử dụng packet filter, mô hình /back to back địa chỉ IP riêng (private) DMZ /sử dụng qui tắc (rule) Web and Server publishing. Nếu bạn có Web Server trên DMZ, bạn có thể sử dụng qui tắc Web Publishing, được tạo ra trên ISA Server bên ngòai. Nếu bạn có server khác, ví dụ như SMTP mail server, bạn cũng có thể sử dụng qui tắc (rule) Server Publishing trên ISA Server bên ngòai.

*Cấu hình ISA Server bên trong (Internal)*

ISA Server bên trong (internal) cấu hình LAT là dãy địa chỉ mạng cục bộ. Nếu địa chỉ IP của DMZ là địa chỉ riêng (private IP) thì nó cũng không được kết nố/truy cập mạng cục bộ, vì vậy bạn không nên để địa chỉ IP trong LAT. Gỡ bỏ địa chỉ DMZ trong LAT của ISA Server bên trong thì bạn có thể tách DMZ với mạng cục bộ.

*Chú ý:*

LAT của ISA Server bên trong chỉ là dãy địa chỉ IP của mạng cục bộ. Bởi vì DMZ gồm địa chỉ IP trong cấu hình back to back địa chỉ riêng DMZ (back to back private address DMZ ).

*Cho phép DMZ truy cập mạng cục bộ *

Bạn có thể cấu hình qui tắc publishing cho phép chỉ có Server trên DMZ có thể kết nối với server mạng cục bộ. Trong trường hợp, bạn có WebServer trên DMZ, cần truy cập với SQL Server mạng cục bộ. Bạn nên tạo Client Address Set gồm những địa chỉ IP của Web Server và chỉ cho những địa chỉ client được thiết lập truy cập.

*Cho phép đi ra/đi vào Internet.*

Bạn có thể cấu hình qui tắc giao thức (protocol rule) trên ISA Server, cho phép lưu lượng tương tự như ISA Server bên trong. Nhưng thực hiện như vậy thì không an tòan bảo mật (non-secure).

Để giải quyết trường hợp trên, cấu hình ISA Server bên trong sử dụng ISA Server bên ngòai trong dãy srever. Bạn có thể cấu hình 2 dịch vụ: Firewall và Web Proxy trong ISA Server bên ngòai. (không cần cấu hình lại qui tắc giao thức - protocol rule.)

*Tóm tắt cấu hình Back to Back Private Address DMZ *

1. Gồm 2 ISA Server - ISa Server bên trong và bên ngoài. 2. ISA Server bên ngòai chứa địa chỉ DMZ trong LAT 3. ISA Server bên ngòai sử dụng địa chỉ dành riêng (private IP) cho DMZ 4. Quản lý truy cập đến Server trên DMZ bằng cách sử dụng qui tắc publishing trên ISA Server bên ngòai. Không sử dụng packet filter quản lý sự truy cập đến DMZ. 5. ISA Server bên trong khai báo địa chỉ IP mạng cục bộ trong LAT. Không đặt địa chỉ DMZ trong LAT của ISA Server bên trong. 6. Bạn có thể sử dụng qui tắc publishing nếu bạn có yêu cầu server trên DMZ truy cập vào server của mạng cuc bộ. 7. Bạn nên bật chức năng packet filter trên cả 2 ISA Server bên torng và bên ngòai để tối ưu bảo mật. 8. Cấu hình Web và Firewall trên ISA Server bên trong.

Back to Back DMZ với địa chỉ công cộng (public IP) trên DMZ

Vài người muốn cấu hình back to back ISA Server và sử dụng địa chỉ public trên DMZ. Phải có máy DMZ và những máy có sẵn mã hóa địa chỉ IP trong DNS public. Không cần thay đổi địa chỉ IP trong giao diện bên ngòai của ISA Server.

Bạn có thể thực hiện cấu hình back to back ISA Server sử dụng địa chỉ IP public trên DMZ. Tuy nhiên bạn cần chú ý vài trường hợp đặc biệt :

* Bạn sử dụng packet filter để quản lý quyền đi ra / vào của DMZ. * Bạn cần cài card giả và chỉ định IP giả. * ISA Server bên ngòai có 3 card mạng bên ngòai, DMZ và card giả * Bạn cần subnet bị chặn và chỉ định địa chỉ cho DMZ * DMZ không có trong LAT của ISA bên ngòai

*Tạo card mạng bogus (Create a Bogus NIC)*

Thủ thuật tạo cấu hình back to back địa chỉ IP public DMZ là cấu hình ISA Server bên ngòai là Trihomed ISA Server. Sự khác nhau giữa Trihomed ISA Server và card bogus . Card giả có thể là Microsoft Loopback.

Nguyên nhân cần cài card bogus là bạn cần có 1 card mạng trong hệ thống mạng riêng biệt (private network). ISA Server không cho cài 2 card mạng với giao diện bên ngòai. Nếu bạn không có địa chỉ nào trong LAT thì cần khai báo, ngược lại thì ISA Server không họat động.

Vì vậy, bạn cần cài card bogus và chỉ định nó là địa chỉ riêng biệt (private IP) và địa chỉ này có trong LAT.

*Tương tự như cấu hình Trihomed ISA Server*

Tương tự như Trihomed DMZ, bạn cần tạo packet filter cho phép truy cập từ ngòai vào hay từ trong đi ra của DMZ. Bạn cũng có thể tạo packet filter lưu lượng đi ra bên ngòai của mạng cục bộ vì lưu lượng này không phải của mạng cuc bộ; hơn nữa phải đi qua DMZ đến ISA Server bên ngòai.

Back to back địa chỉ IP public ISA Server có thể tắt hay mở tùy theo yêu cầu packet filter. Tuy nhiên, nếu bạn có thói quen thiết lập firewall, thì tiến hành cấu hình packet filter router như firewall với mức thấp

Tóm tắt back to back public IP address DMZ:

1. Cần tạo Trihomed DMZ trên ISA Server bên ngòai 2. Card thứ 3 là card giả (bogus card) với địa chỉ IP riêng biệt giả (private Ip) 3. Cần cấu hình packet filter cho phép truy cập vào bên trong từ DMZ 4. Cần cấu hình packet filters cho tất cả truy cập vào và ra từ mạng cục bộ thông qua DMZ và ra Internet. 5. Bạn không cần sử dụng qui tắc Web and Server publishing trên ISA Server bên ngòai

*Tóm tắt*

Tùy tình huống khác nhau để sử dụng 3 trường hợp ISA Server DMZ. Tìm hiểu những ưu điểm và khuyết điểm của Trihomed DMZ, back to back private IP address DMZ và back to back public IP address.