I- GIỚI THIỆU:
Forefront Threat Management Gateway (TMG) 2010 là phiên bản firewall tiếp theo của các phiên bản Internet Security and Acceleration (ISA) trước đó của Micrososoft. Trên TMG có bổ sung một số chức năng mới so với ISA, điển hình là chức năng điều khiển việc truy cập Web của người dùng thông qua Web Access Policy.
Trong bài viết này tôi sẽ giới thiệu thao tác cấu hình một số chức năng để hạn chế việc truy cập Web và bảo mật Web cho người dùng thông qua Web Access Policy
II- TRIỂN KHAI CHI TIẾT:
Bài LAB sử dụng 2 server
– DC: Domain Controller (domain mcthub.local) chạy Windows Serrer 2008 R2
– TMGSERVER: Domain Member chạy Windows Server 2008 R2 đã cài đặt TMG 2010 Standard SP1
Thông số TCP/IP đề nghị:
Bài LAB gồm các bước chính sau đây
1- URL Filtering
2- Malware Inspection
3- HTTPS Inspection
4- HTTP Filter
5- Web Caching
Chuẩn bị: trước khi thực hiện, bạn cần tạo các Access Rule cho phép truy cập trong mạng nội bộ, cho phép phân giải bằng DNS và cho phép truy cập Web bằng HTTP và HTTPS như hình bên dưới
1- URL Filtering
URL Filtering là chức năng cho phép hay cấm các trang Web dựa theo chủ đề (category). Trong ví dụ này tôi sẽ cấu hình cấm truy cập các trang Web mua bán (Shopping). Trước khi thực hiện, trên máy DC bạn thử truy cập các trang Web mua bán bao gồm www.ebay.com, www.amazon.com và www.5giay.vn và kiểm tra truy cập bình thường vào các trang Web trên
Bật chức năng URL Filtering: Chọn Web Access Policy, trong Action Pane, chọn Configure URL Filtering
Đánh dấu check Enable URL Filtering – Nhấn OK
Cấu hình Access Rule: Bấm phải chuột vào Access Rule Allow Web – Chọn Properties
Sang Tab To, trong khung Exceptions – Nhấn Add
Chọn Shopping – Nhấn Add – Nhấn Close
Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi
Sang máy DC kiểm tra không truy cập được vào các trang www.ebay.com và www.amazon.com vì các trang Web này thuộc chủ đề Shopping
Tuy nhiên trang www.5giay.vn vẫn có thể truy cập bình thường do TMG không đưa trang này vào chủ đề Shopping (cũng có thể do TMG không biết đến trang Web này)
Do đó nếu muốn cấm trang www.5giay.vn bạn cần bổ sung trang Web này vào chủ đề Shopping bằng cách chọn Web Access Policy – Configure URL Category Overrides
Nhấn Add
Bổ sung URL pattern 5giay.vn/* vào category Shopping – Nhấn OK
Tương tự bạn bổ sung URL pattern www.5giay.vn/* vào chủ đề Shopping. Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi
Sang máy DC kiểm tra không truy cập vào trang www.5giay.vn nữa
2- Malware Inspection
Malware (MaliciousSoftware) là tên gọi chung cho tất cả những phần mềm độc hại đối với máy tính.
Malware bao gồm: Virus, Worm, Trojan, Spyware, Adware .. đều là những phần mềm gây hại cho máy tính theo những cách khác nhau. Do đó việc chống malware là hết sức cần thiết đối với người dùng khi truy cập web. Trước khi cấu hình, bạn cho Download thử các file có chứa Malware bằng cách truy cập Web trang Web eicar.org. Chọn DOWNLOAD ANTI MALWARE TESTFILE
Chọn DOWNLOAD
Chọn File eicar.com trong khung Download area using the standard protocol http
Nhấn Save
Kiểm tra việc download hoàn toàn bình thường
Tiếp theo tôi sẽ cấu hình chức năng Malware Inspection. Triên tiên bạn cần kiểm tra việc cập nhật cho chức năng Malware Inspection bằng cách chọn Update Center, quan sát chức năng Malware đã được cập nhật đầy đủ (trạng thái hiển thị là Up to date)
Nếu chưa cập nhật hoặc do chưa khai báo việc cập nhật trong ở bước cấu hình TMG, bạn có thể cấu hình bằng cách sau (lưu ý nếu TMG đã cập nhật hoàn tất thì bạn có thể bỏ qua bước này). ChọnForefront TMG (Tên Server) – Launch Getting Started Wizrd
Chọn Define deployment options
Chọn Use the Microsoft Update service to check for updates – Nhấn Next
Kiểm tra bảo đảm dấu check Enable Malware Inspection được chọn và nhấn Next
Chấp nhận các thông số mặc định – Nhấn Next
Chọn No, I don’t want to participate – Nhấn Next
Chọn None. No information is send to Microsoft – Nhấn Next
Nhấn Finish
Chọn Update Center – Bấm phải chuột Malware Inspection – Chọn Check for and install New Definitions và chờ đợi quá trình cập nhật, quá trình này có thể mất nhiều thời gian và phụ thuộc vào đường truyền Internet của bạn
Sau khi đã cập nhật hoàn tất, cấu hình Malware Inspection bằng cách chọn Firewall Policy – Bấm phải chuột vào Access Rule Allow Web – Chọn Properties
Sang Tab Malware Inspection – Đánh dấu check Inspect content downloaded from Web servers to clients – Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi
Sang máy DC, kiểm tra bằng cách download lại file eicar.com
Bạn sẽ nhận thông báo lỗi như hình dưới cho biết file này có chứa malware và đã bị chặn
3- HTTPS Inspection
HTTPS Inspection là chức năng tương tự Malware Inspection nhưng cho phép chặn Malware được download bằng giao thức HTTPS. Trước khi cấu hình, sang máy DC cho download file eicar.comtrong khung Download area using the secure, SSL enabled protocol https
Nhấn Save
Kiểm tra việc download hoàn toàn bình thường mặc dù trước đó tôi đã cấu hình chức năng Malware Inspection
Tiếp theo tôi sẽ cấu hình HTTPS Inspection bằng cách chọn Web Access Policy – Configure HTTPS Inspection
Đánh dấu check Enable HTTPS Inspection – Nhấn nút Generate để phát sinh Certificate
Nhấn nút Generate Certificate Now
Bạn sẽ thấy TMG tự động phát sinh một Certificate cho chức năng HTTPS Inspection. Nhấn nút Install Certificate
Nhấn Next
Chấp nhận nơi lưu trữ Certificate mặc định – Nhấn Next
Nhấn Finish
Nhấn OK
Nhấn OK
Nhấn Close
Nhấn HTTPS Inspection Trusted Root CA Certificate Options
Nhấn nút Domain Administrator Credentials
Nhập Username và Password của account domain admin – Nhấn OK
Nhấn OK
Nhấn OK
Nhấn OK
Kiểm tra Certificate bằng cách mở Certificate Console bằng lệnh CERTMGR.MSC
Bung theo hình bên dưới và kiểm tra Certificate mới đã phát sinh
Cập nhật policy bằng lệnh GPUPDATE /FORCE
Sang máy DC kiểm tra bằng cách download lại file eicar.com
Kiểm tra bạn sẽ nhận báo lỗi như hình dưới cho biết đã phát hiện và chặn file có chứa malware
4- HTTP Filter
HTTP filter là chưc năng cho phép lọc và chặn dựa vào nội dung của gói tin HTTP khi truy cập Web. Trên TMG có thể sử dụng chức năng này để cấm download các loại file chỉ định, cấm theo phương thức truy cập web cũng như cấm dựa vào thông số signature của các ứng dụng truy cập Web như ưng dụng Chat hay Game online… Trong ví dụ này tôi sẽ cấu hình cấm download các loại file chỉ định và cấm dựa theo phương thức truy cập Web
a. Cấm Download các loại file chỉ định
Chọn Firewall Policy – Bấm phải chuột lên Access Rule Allow Web – Chọn Configure HTTP
Sang Tab Extensions – Chọn Block specified extensions (allow all others) – Nhấn Add
Nhập loại file mà bạn muốn cấm, ví dụ tôi muốn cấm download các file có phần mở rộng là exe, nhập .exe – Nhấn OK
Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi
Sang máy DC, kiểm tra tìm và download một file có phần mở rộng là EXE, bạn sẽ nhận báo lỗi như hình dưới với thông tin Source là Web filter
b. Cấm dựa vào phương thức (method) truy cập Web
Khi truy cập web, thông thường người dùng sẽ sử dụng một trong các phương thức truy cập phổ biến sau:
– GET: Lấy thông tin từ server, đây là phương thức truy cập phổ biến nhất để đọc nội dung Web
– POST: Gửi thông tin từ client lên Web Server. Đây là phương thức thường dùng của các Web Mail hay diễn đàn
Trong ví dụ này tôi sẽ cấm truy cập bằng phương thức POST. Chọn Firewall Policy. Bấm phải chuột vào Access Rule Allow Web – Chọn Configure HTTP
Sang Tab Methods – Chọn Block specified method (allow all others) – Nhấn Add
Nhập phương thức cần cấm (ví dụ POST) – Nhấn OK
Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi
Chuyển sang máy DC thử đang nhập vào một diễn đàn (forum) nào đó sử dụng phương thức POST. Bạn sẽ nhận báo lỗi như hình dưới
5- Web Caching
Web Caching là chức năng cho phép lưu trữ nội dung các trang Web đã truy cập trên máy TMG nhằm mục đích tăng tốc độ truy cập cho những lần truy cập sau.
Để kiểm tra chức năng Web Caching đối với các trang Web bên trong nội bộ, trên máy DC, bạn cài đặt thêm Role Web server (IIS) bằng cách mở Server Manager. Bấm phải chuột lên Roles – ChọnAdd Roles
Đánh dấu chọn Web Server (IIS) sau đó nhấn Next và chấp nhận tất cả các lựa chọn mặc định khi cài đặt
Mở DNS Console, tạo một HOST (A) tên là www trỏ về IP của máy DC
a. Enable Caching
Mặc định TMG chưa bật chức năng Web Caching. Để sử dụng bạn cần bật tính năng này. Chọn Web Access Policy – Nhấn vào link Disabled của mục Web Caching
Sang tab Cache Drives – Nhấn nút Configure
Chọn ỗ đĩa tùy ý, tôi chọn đĩa C: – Nhập dung lượng tùy ý (tính bằng MB) vào ô Maximum cache size (MB) – Nhấn nút Set
Nhấn OK
Nhấn Apply
Nhấn OK
Nhấn Apply
Chọn Save the changes and restart the services – OK
Nhấn Apply
Nhấn OK
Mở ổ C: bạn sẽ thấy xuất hiện một thư mục mới tên là urlcache, mở thư mục này bạn sẽ thấy 1 file tên tên là Dir1.cdat có dung lượng bằng với dung lượng bạn đã chỉ định ở bước trước. Đây chính là file sẽ chứa nội dung các trang Web mà TMG truy cập
Sang máy DC kiểm tra truy cập một trang Web tùy ý (ví dụ www.yahoo.com) và đợi cho đến khi trang web này hiển thị đầy đủ nội dung và hình ảnh
Đóng Internet Explorer, mở lại Internet Explorer và truy cập lại trang Web trên lần thứ hai, kiểm tra tốc độ lần thứ hai sẽ nhanh hơn nhiều so với khi truy cập lần đầu tiên
Tiếp theo tôi sẽ kiểm tra Web Caching đối với các trang Web trong nội bộ. Trên máy TMG, truy cập trang Web www.mcthub.local để trang Web này được lưu vào Cache
Sang máy DC mở Internet Information Service (IIS) Manager
Chọn trang Web Default Web Site – Trong Action Pane – Chọn Stop
Sang máy TMG đóng Internet Explorer, mở Internet Explorer và truy cập lại và trang www.mcthub.local. Bạn sẽ vẫn truy cập được do đang truy cập nội dung trang web từ Cache.
b. Content Download Job
Content Download Job là chức năng tự động download một trang Web chỉ định vào Cache cho phép trang Web này luôn được truy cập với tốc độ tốt nhất có thể. Chọn Web Access Policy – Nhấn chuột vào link Enabled của mục Web Caching
Sang tab Content Download – Nhấn New
Nhập tên tùy ý – Nhấn Next
Chọn lịch trình Download là Daily (hàng ngày) – Nhấn Next
Trong khung Job start time: chỉ định giờ sau giờ hiện hành khoảng 5 phút – Nhấn Next
Khung Download content from this URL: Nhập URL của trang Web cần download là http://mcthub.com – Nhấn Next
Chấp nhận các thông số mặc định về TTL – Nhấn Next
Nhấn Finish
Nhấn Yes để khởi động dịch vụ
Nhấn Apply
Nhấn OK sau đó nhấn Apply – Apply – OK để lưu sự thay đổi
Mở lại hộp thoại Cache Setting, sang tab Content Download, chọn job vừa tạo và nhấn Start Job
Sang máy DC, chờ đến thời gian mà bạn đã qui định, sau vài phút truy cập trang web http://mcthub.com để kiểm tra tốc độ truy cập