Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > Software - Hardware - Laptop > Những Vấn Đề Khác
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc


Những Vấn Đề Khác Những vấn đề không thuộc các lĩnh vực trên, các bạn có thể post tại đây.

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Ðề tài đã khoá
 
Ðiều Chỉnh
  #1  
Old 09-04-2007, 09:17
tranducmlpt0012 tranducmlpt0012 vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Jan 2007
Bài gởi: 141
Thanks: 0
Thanked 4 Times in 2 Posts
Bạn đã hiểu về DMZ?

(mình xin share tài liệu này cho các thành viên)

Trước khi hiểu được DMZ, bạn cần nắm được 2 khái niệm: Internal network, External network.

Internal network: mạng bên trong, còn gọi là trusted network
External network: mạng bên ngoài (có thể hiểu là Internet), còn gọi là untrusted network

Như vậy nếu công ty bạn có mạng thì các máy tính bên trong sẽ thuộc Internal network. Theo quy tắc thì Internal được mở kết nối ra External nếu admin thấy an toàn, nhưng External thì không được mở kết nối vào Internal. Do đó cracker hoặc worm không tự tung tự tác xông vào các máy tính trong công ty bạn được.

Tuy nhiên một số công ty cần có các server để mọi người trên Internet có thể lấy thông tin (ví dụ trang web, ftp chia sẻ các phần mềm hay tài liệu) thì cần phải có 1 khu vực để đặt các server này. Đây gọi là DMZ (demilitarized zone)

http://vietcert.net/dataimages/Uploa...Server_DMZ.htm

thay đổi nội dung bởi: tranducmlpt0012, 19-09-2007 lúc 08:08
Đã có 3 người gửi lời cảm ơn tranducmlpt0012 vì bài viết hữu ích này:
  #2  
Old 10-04-2007, 08:46
tuanlv221 tuanlv221 vẫn chưa có mặt trong diễn đàn
Đam Mê
 
Tham gia ngày: Oct 2006
Nơi Cư Ngụ: White House
Tuổi: 38
Bài gởi: 518
Thanks: 0
Thanked 15 Times in 12 Posts
Rùi sao nửa bạn?tiếp đi chứ
  #3  
Old 10-04-2007, 13:02
tuanlv221 tuanlv221 vẫn chưa có mặt trong diễn đàn
Đam Mê
 
Tham gia ngày: Oct 2006
Nơi Cư Ngụ: White House
Tuổi: 38
Bài gởi: 518
Thanks: 0
Thanked 15 Times in 12 Posts
Cách thức hoạt động của DMZ.v.v....Ví dụ 1 gói tin bên ngoài vào thì nó sẽ đi ra sao khi hệ thống có DMZ.DMZ có thật sự an toàn kô khi ta đặt các sever vào trong đó.Và giả sử đã xâm nhập ok vào DMZ thì có thể từ đó tấn công tiếp vào LAN bên trong kô??
  #4  
Old 10-04-2007, 21:02
tiengiang tiengiang vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Sep 2006
Bài gởi: 231
Thanks: 8
Thanked 18 Times in 8 Posts
Trích:
Nguyên văn bởi tranducmlpt0012 View Post
DMZ (vùng phi quân sự) là khu vực bảo mật thực hiện ngăn những lưu lượng Internet cách xa hệ thống mạng cục bộ (ISA hỗ trợ thiết lập)

Thiết lập DMZ, bạn không thể phổ biến (public) server trên hệ thống mạng cục bộ. ISA Server làm công việc phổ biến (public) server trong mạng cục bộ dễ dàng hơn. Nhưng khi phổ biến (public) server, thì các client Internet có thể truy cập được. Họ có thể truy cập dữ liệu trong mạng cục bộ, hệ thống mạng không an toàn.

Để thực hiện mục tiêu trên, bạn có thể tạo lớp mạng bảo mật bên ngòai của mạng cục bộ. Đó chính là DMZ. DMZ là vùng mà cả 2 mạng đều không thể kết nối được nếu không có sự đồng ý của nó.

(Để xâm nhập DMZ thì có thể bạn làm chung với mình hoặc bạn là người rất giỏi!)
Mình sưu tầm ở đây nữa

ISA Server DMZ


ISA Server hỗ trợ thiết lập DMZ - là đơn vị lưu lượng Internet riêng rẽ từ mạng cục bộ. DMZ là khu vực bảo mật thực hiện ngăn những lưu lượng Internet cách xa hệ thống mạng cuc bộ.





Thiết lập DMZ, bạn không thể phổ biến (public) server trên hệ thống mạng cục bộ. ISA Server làm cộng việc phổ biến (public) server trong mạng cục bộ dễ dàng hơn. Nhưng khi phổ biến (public) server, thì các client Internet có thể truy cập được. Họ có thể truy cập dữ liệu trong mạng cục bộ, hệ thống mạng không an toàn.

Để thực hiện mục tiêu trên, bạn có thể tạo lớp mạng bảo mật bên ngòai của mạng cục bộ. Đó chính là DMZ. DMZ là vùng mà cả 2 mạng đều không thể kết nối được nếu không có sự đồng ý của nó. Nhưng nếu có

To get around this, you can create secure networks outside of the internal network. This is what a DMZ is. The term DMZ or Demilitarized Zone comes from military. The DMZ area is an area that both sides agree there will be no military actions. But if one side does violate the agreement, then both sides can start firing. This is a buffer zone between the two parties and is designed to protect the populace on both sides of the DMZ.


Các bước cấu hình DMZ :
Trihomed DMZ
Địa chỉ Back to Back Private DMZ
Địa chỉ Back to Back Public DMZ
Trihomed DMZ

Trihomed DMZ (three-homed DMZ) được tạo bởi 3 card mạng trên vùng ISA Server:

1 card mạng kết nối thẳng với Internet.
1 card mạng kết nối với hệ thống mạng cục bộ.
1 card kết nối thẳng với DMZ
Cấu hình có dạng như hình sau:



Những cấu hình Trihomed DMZ:

DMZ phải sử dụng địa chỉ IP công cộng (public)
Mạng cục bộ thì nên sử dụng địa chỉ IP riêng (private)
Mạng bên ngòai kết nối thẳng Internet.
Trihomed DMZ phải có địa chỉ IP công cộng (public)

Trên Trihomed DMZ cần phải có địa chỉ public. Vài người khi xây dựng hệ thống này bị lỗi, vì họ sử dụng địa chỉ riêng (private) trên DMZ. Bạn tạo 2 giao diện mạng cục bộ hay giao diện mạng bên ngòai mà không thể truy cập dữ liệu mạng cục bộ hay mạng bên ngòai.

DMZ phải cấu hình là giao diện mạng bên ngòai. Dữ liệu bên ngòai không được ủy thác (trusted) bởi mạng cục bộ. Để cấu hình DMZ là dữ liệu mạng bên ngòai, bạn KHÔNG cần phải thêm địa chỉ IP của DMZ trong LAT. LAT chi chứa địa chỉ mạng cục bộ.

Các gói tin được định tuyến đến DMZ mà không cần thông dịch (Packets are Routed to the DMZ - NOT Translated)

Các gói tin từ Internet đến DMZ thật ra đã được định tuyến đến DMZ. Điều đó trái ngược với cách các gói tin từ Internet đến mạng cục bộ được dịch và không định tuyến đến mạng nội bô.

Để lấy được địa chỉ IP DMZ, bạn cần ngăn chặn địa chỉ Ip, subnet. Một trong những Network ID phải xác nhận giao diện mạng bên ngòai của ISA Server. Bất cứ lời yêu cầu Network IDs nào đều có thể sử dụng DMZ.

Chú ý:

Bạn cần phải hiểu về địa chỉ IP, Variable Length Subnet Masking (VLSM), subnet và công việc supernet nếu bạn muốn có khả năng quản lý ISA Server và hệ thống mạng TCP/IP

Vì những gói tin này đã được định tuyến đến DMZ, nên nó lời đi những qui tắc (bypass the rules). Nếu những qui tắc này được thực hiện để chuyển những gói tin giữa mạng cục bô và mạng bên ngòai. Những qui tắc được thực hiện để những gói tin chuyển giữa DMZ và Internet là các qui tắc packet filter. Packet filter quản lý sự truy cập bên ngòai, bên trong và từ DMZ.

Cấu hình Packet Filter và IP Routing

Bật chức năng Packet Filter và cũng bật chức năng IP Routing.

Click phải IP Packet Filters ở cột bên trái ISA Management và click Properties



Chọn đánh dấu 2 ô Enable packet filtering và Enable IP routing

Tóm tắt về Trihomed DMZ:

Không đặt địa chỉ IP DMZ trong LAT
DMZ sử dụng subnet bị ngăn chặn của địa chỉ public
Bật chức năng packet filtering và IP Routing trên ISA Server
Tạo packet filters cho phép truy cập vào và ra từ DMZ
Back to Back DMZ với địa chỉ riêng (Private) trên DMZ
Back to back DMZ sử dụng địa chỉ riêng (private) là cấu hình bảo mật nhất của DMZ mà ISA thiết lập nên. Cấu hình này sử dụng dãy địa chỉ IP riêng (IP private) trên DMZ. Vì sử dụng địa chỉ riêng (IP privarte) và bao gồm DMZ trên LAT bên ngòai của ISA Server, thì bạn có nhiều hỗ trợ của ISA Server mà Trihomed DMZ không có, như: sử dụng những IP public, không ủy thác (untrusted) trên DMZ.

Địa chỉ riêng (private) back to back DMZ có những đặc điểm sau :

Gồm 2 ISA Server: ISA Server bên trong (internal) và bên ngòai (external)
ISA Server bên ngòai gồm có 2 card: 1 dùng kết nối với Internet và trên DMZ
ISA Server bên trong có 2 card mạng: 1 card kết nối với DMZ và còn lại kết nối với hệ thống mạng cục bộ.
DMZ sử dụng địa chỉ IP riêng (private IP)
Mạng DMZ trong LAT của ISA Server bên ngòai.
Mạng DMZ không nằm trong bảng LAT của ISA Server bên trong.
Bạn có thể sử dụng qui tắc (rule) phổ biến (public) Web và Server để quản lý truy cập đến DMZ.
Back to back địa chỉ riêng (private) DMZ.





Cấu hình ISA Server bên ngòai (External)

ISA Server bên ngòai có giao diện kết nối thẳng với Internet và 1 giao diện kết nối với DMZ. Địa chỉ IP của DMZ nên thuộc bảng địa chỉ cục bộ (LAT) của ISA Server bên ngòai, bạn có thể quản lý truy cập bằng qui tắc (rule) Web and Server publishing.

Chú ý, kể cả khi chúng ta đặt DMZ trong LAT của ISA Server bên ngòai thì lưu lượng Internet cũng không thể kết nối/truy cập với mạng cục bộ. Tổng quát, những yêu cầu (request) Internet và trả lời là của mạng cục bộ. Điều này giúp bảo vệ lưu lượng Internet tương tự mô hình Trihomed DMZ và thực hiện tốt hơn

Không cần tạo và sử dụng packet filter, mô hình back to back địa chỉ IP riêng (private) DMZ sử dụng qui tắc (rule) Web and Server publishing. Nếu bạn có Web Server trên DMZ, bạn có thể sử dụng qui tắc Web Publishing, được tạo ra trên ISA Server bên ngòai. Nếu bạn có server khác, ví dụ như SMTP mail server, bạn cũng có thể sử dụng qui tắc (rule) Server Publishing trên ISA Server bên ngòai.

Cấu hình ISA Server bên trong (Internal)

ISA Server bên trong (internal) cấu hình LAT là dãy địa chỉ mạng cục bộ. Nếu địa chỉ IP của DMZ là địa chỉ riêng (private IP) thì nó cũng không được kết nố/truy cập mạng cục bộ, vì vậy bạn không nên để địa chỉ IP trong LAT. Gỡ bỏ địa chỉ DMZ trong LAT của ISA Server bên trong thì bạn có thể tách DMZ với mạng cục bộ.

Chú ý:

LAT của ISA Server bên trong chỉ là dãy địa chỉ IP của mạng cục bộ. Bởi vì DMZ gồm địa chỉ IP trong cấu hình back to back địa chỉ riêng DMZ (back to back private address DMZ ).

Cho phép DMZ truy cập mạng cục bộ

Bạn có thể cấu hình qui tắc publishing cho phép chỉ có Server trên DMZ có thể kết nối với server mạng cục bộ. Trong trường hợp, bạn có WebServer trên DMZ, cần truy cập với SQL Server mạng cục bộ. Bạn nên tạo Client Address Set gồm những địa chỉ IP của Web Server và chỉ cho những địa chỉ client được thiết lập truy cập.

Cho phép đi ra/đi vào Internet.

Bạn có thể cấu hình qui tắc giao thức (protocol rule) trên ISA Server, cho phép lưu lượng tương tự như ISA Server bên trong. Nhưng thực hiện như vậy thì không an tòan bảo mật (non-secure).

Để giải quyết trường hợp trên, cấu hình ISA Server bên trong sử dụng ISA Server bên ngòai trong dãy srever. Bạn có thể cấu hình 2 dịch vụ: Firewall và Web Proxy trong ISA Server bên ngòai. (không cần cấu hình lại qui tắc giao thức - protocol rule.)

Tóm tắt cấu hình Back to Back Private Address DMZ

Gồm 2 ISA Server - ISa Server bên trong và bên ngoài.
ISA Server bên ngòai chứa địa chỉ DMZ trong LAT
ISA Server bên ngòai sử dụng địa chỉ dành riêng (private IP) cho DMZ
Quản lý truy cập đến Server trên DMZ bằng cách sử dụng qui tắc publishing trên ISA Server bên ngòai. Không sử dụng packet filter quản lý sự truy cập đến DMZ.
ISA Server bên trong khai báo địa chỉ IP mạng cục bộ trong LAT. Không đặt địa chỉ DMZ trong LAT của ISA Server bên trong.
Bạn có thể sử dụng qui tắc publishing nếu bạn có yêu cầu server trên DMZ truy cập vào server của mạng cuc bộ.
Bạn nên bật chức năng packet filter trên cả 2 ISA Server bên torng và bên ngòai để tối ưu bảo mật.
Cấu hình Web và Firewall trên ISA Server bên trong.
Back to Back DMZ với địa chỉ công cộng (public IP) trên DMZ
Vài người muốn cấu hình back to back ISA Server và sử dụng địa chỉ public trên DMZ. Phải có máy DMZ và những máy có sẵn mã hóa địa chỉ IP trong DNS public. Không cần thay đổi địa chỉ IP trong giao diện bên ngòai của ISA Server.

Bạn có thể thực hiện cấu hình back to back ISA Server sử dụng địa chỉ IP public trên DMZ. Tuy nhiên bạn cần chú ý vài trường hợp đặc biệt :

Bạn sử dụng packet filter để quản lý quyền đi ra / vào của DMZ.
Bạn cần cài card giả và chỉ định IP giả.
ISA Server bên ngòai có 3 card mạng bên ngòai, DMZ và card giả
Bạn cần subnet bị chặn và chỉ định địa chỉ cho DMZ
DMZ không có trong LAT của ISA bên ngòai


Tạo card mạng bogus (Create a Bogus NIC)

Thủ thuật tạo cấu hình back to back địa chỉ IP public DMZ là cấu hình ISA Server bên ngòai là Trihomed ISA Server. Sự khác nhau giữa Trihomed ISA Server và card bogus . Card giả có thể là Microsoft Loopback.

Nguyên nhân cần cài card bogus là bạn cần có 1 card mạng trong hệ thống mạng riêng biệt (private network). ISA Server không cho cài 2 card mạng với giao diện bên ngòai. Nếu bạn không có địa chỉ nào trong LAT thì cần khai báo, ngược lại thì ISA Server không họat động.

Vì vậy, bạn cần cài card bogus và chỉ định nó là địa chỉ riêng biệt (private IP) và địa chỉ này có trong LAT.

Tương tự như cấu hình Trihomed ISA Server

Tương tự như Trihomed DMZ, bạn cần tạo packet filter cho phép truy cập từ ngòai vào hay từ trong đi ra của DMZ. Bạn cũng có thể tạo packet filter lưu lượng đi ra bên ngòai của mạng cục bộ vì lưu lượng này không phải của mạng cuc bộ; hơn nữa phải đi qua DMZ đến ISA Server bên ngòai.

Back to back địa chỉ IP public ISA Server có thể tắt hay mở tùy theo yêu cầu packet filter. Tuy nhiên, nếu bạn có thói quen thiết lập firewall, thì tiến hành cấu hình packet filter router như firewall với mức thấp

Tóm tắt back to back public IP address DMZ:

Cần tạo Trihomed DMZ trên ISA Server bên ngòai
Card thứ 3 là card giả (bogus card) với địa chỉ IP riêng biệt giả (private Ip)
Cần cấu hình packet filter cho phép truy cập vào bên trong từ DMZ
Cần cấu hình packet filters cho tất cả truy cập vào và ra từ mạng cục bộ thông qua DMZ và ra Internet.
Bạn không cần sử dụng qui tắc Web and Server publishing trên ISA Server bên ngòai
Tóm tắt

Tùy tình huống khác nhau để sử dụng 3 trường hợp ISA Server DMZ. Tìm hiểu những ưu điểm và khuyết điểm của Trihomed DMZ, back to back private IP address DMZ và back to back public IP address
  #5  
Old 15-09-2007, 21:59
coolzerovn coolzerovn vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Aug 2007
Bài gởi: 42
Thanks: 0
Thanked 0 Times in 0 Posts
Như vậy ISA chỉ có thể Public web trong LAN thật sự dễ dàng hơn ra Internet
Như vậy những máy chủ email, FPT, Webserver nên đặt vào DMZ
Vậy cho mình hỏi
Máy ISA có 3 card NIC, 1 vào LAN, 1 ra Internet, 1 để lấy IP cho DMZ. trên IP cho DMZ làm mail server, web server ... DNS Local chi địa chỉ email về IP của DMZ,
NAT trên Router ADSL về DMZ, vậy có được không?? Hay nhất thiết phải có một máy làm DMZ
  #6  
Old 23-01-2008, 12:59
mrbom mrbom vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Aug 2007
Bài gởi: 65
Thanks: 2
Thanked 2 Times in 2 Posts
Thanks so murch. Hồi đó đi học mà vẫn chưa nắm rõ dc vấn đề, giờ thi thông nòng rồi .
  #7  
Old 25-01-2008, 09:02
tinhtoitrangtay tinhtoitrangtay vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Dec 2007
Bài gởi: 5
Thanks: 0
Thanked 0 Times in 0 Posts
ac. toàn lấy từ Eng và Trans (EVTRAN) qua chán chết đi được.
  #8  
Old 15-04-2008, 09:48
letin_it letin_it vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Apr 2008
Bài gởi: 7
Thanks: 0
Thanked 0 Times in 0 Posts
Khó khăn khi làm DMZ

Các anh IT ơi ! cho mình hỏi về DMZ tí nhé ! Mình đang tìm hiểu để làm nhưng chưa được mong các bạn chỉ giúp !
Trường hợp của cty mình như sau :

- Công ty mình trước đây sử dụng ADSL thường không có IP tĩnh , nhưng bây giờ mình mới xin sếp lắp 1 đường ADSL cáp quang có 8 IP tĩnh , internet chạy rất tốt mình muốn dững mail server online (Exchange sever 2003).Vì vậy mình muốn xây dựng vùng DMZ cho bảo mật .
- Mô hình hiện tại công ty mình như sau mình nói luôn cho các bạn rõ :

+ 1 ISA Server 2004
+ 1 DC
+ 1 File server (FTP,...)
+ Bây giờ mình xin sếp mua thêm 1 server mail nữa .

Mô hình hiện tại:

INTERNET--->ISA SERVER ---> MẠNG LAN

Nhưng trước khi xin sếp duyệt mình đang test mô hình như sau :

ISA server có 3 card mạng :
-1 card nối vào modem ADSL quang internet . IP: 210.245.39.1( ip tĩnh mình đặt trực vào modem là 210.245.39.2)
-1 card nối vào hệ thống LAN : 172.22.0.1
-1 card vùng DMZ (các IP tĩnh còn lại mình làm các server)

Nhưng bậy giờ mình làm có vấn đề như sau :
Trên ISA có 3 card mạng mình đạt IP như sau :
+card 1 : 210.245.39.1 : nối modem
+card 2 : 210.245.39.3 : vùng DMZ
+card 3 : 172.22.0.1 : vùng mạng LAN

Không hiều sao mình NAT, Routing , các Access Rule rồi nhưng mà các máy DMZ không thấy máy ISA , các LAN không thấy vùng DMZ .
Không biết mình sai chỗ nữa mong các anh chỉ dùm nhé !!

Thanks
Lê Tin
  #9  
Old 16-04-2008, 11:11
tranducmlpt0012 tranducmlpt0012 vẫn chưa có mặt trong diễn đàn
Khám Phá
 
Tham gia ngày: Jan 2007
Bài gởi: 141
Thanks: 0
Thanked 4 Times in 2 Posts
Bạn kiểm tra lại các vấn đề sau:
1. Network Relation: Internal <---> DMZ: Route
2. Trong Firewall Policy tạo Rule như sau:
Source: Terminal Server
Dest: DC
Protocols:
DNS
Kerberos-Adm (TCP)
Kerberos-Adm (UDP)
Kerberos-IV
Kerberos-Sec (TCP)
Kerberos-Sec (UDP)
LDAP
LDAP (UDP)
LDAP GC (Global Catalog)
NetBios Name Service
NetBios Session
NTP (UDP)
RPC (All Interfaces)
Ping
MS CIFS

Đây là link hướng dẫn
http://www.isaserver.org/articles/2004dmzfebe.html
  #10  
Old 16-04-2008, 14:10
letin_it letin_it vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Apr 2008
Bài gởi: 7
Thanks: 0
Thanked 0 Times in 0 Posts
Rất cám ơn bạn , mình sẽ thử xem sao , nếu có gì mình hỏi bạn tiếp nhé !
Mình muốn hỏi bạn tí nữa .
3 card mạng trên ISA , có 2 card cùng Net có sao không ? Không biết có thể yêu cầu ISP cấp cho mình 8 IP tĩnh mà khác Net được ko ?

Rất cám ơn bạn
Ðề tài đã khoá

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến



Múi giờ GMT +7. Hiện tại là 01:38
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Ad Management by RedTyger