Overview :

These step-by-step guides help IT Professionals learn about and evaluate Windows Server 2008.
These documents are downloadable versions of guides found in the Windows Server 2008 Technical Library. (http://go.microsoft.com/fwlink/?LinkId=86808)

System Requirements:

Supported Operating Systems: Windows Server 2008

Files in This Download :

http://www.microsoft.com/downloads/details.aspx?FamilyID=518d870c-fa3e-4f6a-97f5-acaf31de6dce&displaylang=en

- Creating_and_Deploying_Active_Directory_Rights_Management_Se rvices_Templates_Step-by-Step_Guide.doc
- Deploying Active Directory Rights Management Services in a Multiple Forest Environment Step-by-Step Guide.doc
- Deploying Active Directory Rights Management Services in an Extranet Step-by-Step Guide.doc
- Deploying Active Directory Rights Management Services with Microsoft Office SharePoint Server 2007 Step-By-Step Guide.doc
- Deploying an Active Directory Rights Management Services Licensing-only Cluster Step-by-Step Guide.doc
- Deploying SSTP Remote Access Step by Step Guide.doc
- Removing Active Directory Rights Management Services Step-by-Step Guide.doc
- Server Manager Scenarios Step-by-Step Guide.doc
- Server_Core_Installation_Option_of_Windows_Server_2008_Step-By-Step_Guide.doc
- Step_by_Step_Guide_to_Customizing_TS_Web_Access_by_Using_Win dows_SharePoint_Services.doc
- Step-by-Step Guide for Configuring a Two-Node File Server Failover Cluster in Windows Server 2008.doc
- Step-by-Step Guide for Configuring a Two-Node Print Server Failover Cluster in Windows Server 2008.doc
- Step-by-Step Guide for File Server Resource Manager in Windows Server 2008.doc
- Step-by-Step Guide for Services for NFS in Windows Server 2008.doc
- Step-by-Step Guide for Storage Manager for SANs in Windows Server 2008.doc
- Step-by-Step Guide to Deploying Policies for Windows Firewall with Advanced Security.doc
- Step-by-Step_Guide_for_Configuring_Network_Load_Balancing_with_Termi nal_Services_in_Windows_Server_2008.doc
- Step-by-Step_Guide_for_Windows_Deployment_Services_in_Windows_Server _2008.doc
- TS RemoteApp Step-by-Step Guide.doc
- Using Identity Federation with Active Directory Rights Management Services Step-by-Step Guide.doc
- Windows Server 2008 Active Directory Certificate Services Step-By-Step Guide.doc
- Windows Server 2008 Foundation Network Guide.doc
- Windows Server 2008 Network Policy Server (NPS) Operations Guide.doc
- Windows Server 2008 Step-by-Step Guide for DNS in Small Networks.doc
- Windows Server 2008 TS Gateway Server Step-By-Step Setup Guide.doc
- Windows Server 2008 TS Licensing Step-By-Step Guide.doc
- Windows_ Server_Active_Directory_Rights_Management_Services_Step-by-Step_Guide.doc
- Windows_Server_2008_TS_Session_Broker_Load_Balancing_Step-By-Step_Guide.doc

CÀI ĐẶT VÀ CẤU HÌNH PFSENSE

Mô hình LAB (nhóm 2 máy)

Lưu ý:

-Địa chỉ Router : 192.168.20.Y

-Địa chỉ IP máy 200 : 192.168.P.200

-P là số phòng X,Y : là số máy.

*Chuẩn bị :

Để có 2 line truy cập Internet :

-Cấu hình NAT server cho PFsense có thể truy cập Internet bằng card Cross.

-Kiểm tra đường truyền cho PFSense truy cập Internet bằng card LAN

I. Tạo card mạng Loopback (thực hiện trên máy thật)

Start -> Settings -> Control Panel -> Add Hardware

Welcome Next.

Chọn Yes.I have already… -> Next

Chọn Add a new hardware device -> Next

Install the hardware that …. -> Next

Chọn Network adapters -> Next.

Chọn Microsoft Loopback Adapter -> Next.

Next -> Finish.

II. Cấu hình máy ảo:

Start -> Programs -> Microsoft Virtual PC -> Tạo 1 Máy ảo mới

Lưu tại thư mục gốc ổ đĩa C:

Next.

Chọn lại thêm Ram nếu cần thiết.

Chọn A new virtual hard disk.

Virtual hard disk size 2000MB

Finish.

Màn hình máy ảo chọn Setting -> Networking -> Chọn 3 card mạng

Theo thứ tự -Adapter 1 : Microsoft Loopback

-Adapter 2 : Card Cross

-Adapter 3 : Card Lan

III. Cài đặt PFSense (thực hiện trên máy ảo)

Start máy ảo lên.

Menu CD chọn Capture ISO Image..

Chọn File pfSense-1.2-RC…. -> Open.

Chương trình khởi động để chạy mặc định.

Do you want to setup VLANs now -> gõ n -> Enter.

Cấu hình các Interface -> LAN interface -> gõ de0 -> Enter.

WAN interface -> gõ de1 -> Enter.

Optional 1 -> gõ de2 -> Enter.

Optional 2 -> Enter -> D you want to proceed -> nhập y -> Enter.

Enter an option 2 -> Enter.

Nhập vào địa chỉ IP 192.168.30.1 -> Enter.

Nhập vào 24 -> Enter.

Chọn n -> Enter.

Sau khi hiện lên Enter to continue chọn Enter

IV. Cấu hình PFSense (thực hiện trên máy thật)

Mở IE -> Nhập địa chỉ 192.168.30.1 -> Enter.

Username: admin , Password : pfsense -> Enter.

Menu Interfaces -> Chọn WAN

Type Chọn Static

IP address -> Thông số IP card Cross -> Save Settings.

Menu Interfaces chọn OPT1.

Check vào khung Enable Optional 1 interface.Description sửa lại WAN2.

Phần IP configuration nhập vào thông số card Lan.

Menu Services -> Chọn Load Balancer

Chọn Add Pools.

Name : Can Bang Tai

Type : Gateway

Behaviour : Load Balancing.

Monitor IP Chọn WAN’s Gateway -> Interface Name Chọn WAN -> Add to pool

Monitor IP Chọn WAN2’s Gateway -> Interface Name Chọn WAN2

-> Add to pool -> Save.

Apply changes

Menu Firewall -> Rules

Chọn WAN -> Add a new rule.

Phần Gateway chọn Can bang Tai -> Save.

WAN2 -> Add a new rule

Phần Gateway chọn Can Bang Tai -> Save

LAN chọn Edit.

Phần Gateway chọn Can Bang Tai -> Save.

V. Kiểm tra

Menu Status -> Chọn Load Balancer.

Trạng thái là online trên cả 2 Line.

Truy cập Internet Thành công.

Rút dây card Lan.

Vẫn sử dụng được Internet.

Rút dây card Cross.

Truy cập Internet vẫn bình thường.

1 - Thiết Lập Hệ thống Mạng cho Doanh Nghiệp vừa và nhỏ

I. Mô hình:

II. Giới Thiệu:
- Giải pháp dùng cho Doanh nghiệp nhỏ với các yêu cầu cơ bản như :
+ Chia sẻ dữ liệu, chia sẻ máy in
+ Truy cập Internet với 1 đường truyền ADSL
- Mô hình dùng mạng WorkGroup. Các máy User dùng Windows XP, các máy cung cấp tài nguyên (Files, Printer ) dùng Windows Server 2k3 với các bước thực hiện :
+ Đặt IP cho các máy
+ Cấu hình Router ADSL
+ Cấu hình File server
+ Cấu hình Print server

Xem chi tiết...

2 - Giải pháp Mail Offline cho doanh nghiệp

I. Mô hình:

II. Giới thiệu:
Với bài Lab-1 , phát triển thêm nhu cầu sử dụng Mail cho toàn Doanh nghiệp, với yêu cầu giảm tôi đa chi phí và công sức quản lý (không co’ IP tĩnh, Mail Server không cần Online 24/7)
=>Giải pháp đề nghị : sử dụng giải pháp Mail Offline kết hợp sử dụng dịch vụ Mail Relay để không bị xếp loại Spam Mail

III. Các bước triển khai:
Phát triển từ mô hình hệ thống Workgroup bài Lab-1 trước, kết hợp sử dụng :
- Máy Windows Server 2003 dùng làm Mail Server với chương trình Mail Daemon
- Kết hợp thêm các bước thực hiện :
+ Mua domain tại website DirectNIC
+ Đăng ký dịch vụ dùng để RELAY MAIL tại DNSexit
+ Cấu hình chức năng POP trên MAILBOX trung gian là YAHOO.COM.VN cho phép MAIL SERVER nội bộ truy cập lên lấy mail về.
+ Cài đặt Mdeamon làm MAILSERVER trong nội bộ
+ Cấu hình Outlook Express để User nội bộ d tài khoản mail nội bộ
+ Kiểm tra gửi mail ra ngoài và từ bên ngoài gửi về

Xem chi tiết...

3 - Giải pháp Free Mail Online cho doanh nghiệp

I. Giới thiệu:
Với yêu cầu tương tự bài Lab-2 nhưng sử dụng giải pháp MailOnline với dịch vụ Mail Hosting miễn phí của hệ thống Google . điểm lợi thế là :
- Không cần máy làm Mail Server
- Không cần Mail Administrator chuyên nghiệp
- Online 24/7
- Không bị xếp loại Spam Mail

II. CÁC BƯỚC TRIỂN KHAI:
- Hướng dẫn cách đăng ký Google Application
- Hướng dẫn cách gán tên miền với các dịch vụ của Google App (Web, Mail, FTP, Calenda …) và tạo các alias name tương ứng..
- Test thử bằng cách gởi mail từ trong ra và từ ngoài vào

Xem chi tiết...

4 - Hệ thống Mạng Domain Network Dùng trong Quản lý Doanh Nghiệp

I. Mô hình:

II. Giới thiệu:

Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy mô hình Lab-4 giói thiệu hệ thống Domain Network với các ưu điểm
- Quản lý tập trung toàn bộ mọi thành phần trong hệ thống
- Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế Single Set of Credential
- Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng
- Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)
- Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chế Replication của AD

Xem chi tiết...

5 - Hệ thống Domain Network nhiều Networks/Subnets

I. Mô hình:

II. Giới thiệu:
Với các hệ thống Mạng lớn nhiều Tài nguyên và có sự phân cấp trong việc truy cập các loại Tài nguyên, việc phân chia hệ thống mạng Vật lý ra các Network_IDs hoăc Subnets khác nhau sẽ đem lại các lợi thế như :
- Tránh hiện tượng nghẽn mạch đường truyền do số Hosts trong Network Logic quá nhiều
- Ngăn chặn các hiện tượng lan truyền toàn mạch (broadcast) do sử dụng hoặc do Virus
- Dễ dàng thiết lập các bộ lọc (Filter) để định tuyến khi truy cập Tài nguyên
III. Các bước triển khai:
Mô hình dưới đây phát triển từ hệ thống Domain của Lab-4 nhưng phân chia các Network_IDs như sau : VIP, USER, SERVER. Sử dụng :
+ 01 máy Windows Server 2003 với 04 NICs dùng làm Router
+ 01 máy Windows Server 2003 dùng làm Domain Controller tại Network = SERVER
+ 01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User VIP
+ 01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User USER
Thiết lập Routing và các bộ lọc (Filter) sao cho
- Tất cà các Networks (VIP, SERVER, USER) đều truy cập Internet được
- Network VIP và USER không truy cập lẫn nhau được
- Network VIP và USER đều truy cập Network SERVER được

Xem chi tiết...

6 - Xây dựng và cấu hình ISA Server 2006

I. Mô hình:

II. Giới thiệu:
Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như :
- Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet
- Ngăn chặn các tấn công, thâm nhập trái phép từ Internet
Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and Acceleration 2006 (ISA-2K6)

III. CÁC BƯỚC TRIỂN KHAI:
Phát triển từ hệ thống Domain của bài Lab-5, bài Lab này sử dụng thêm 1 máy tính độc lập ,dùng Windows Server 2003 để triển khai ISA-2K6
Các bước triển khai bao gồm :
- Cấu hình thông số TCP/IP và cài đặt ISA-2K6
- Cấu hình các ISA-Clients trong mạng nội bộ
- Khai báo trên ISA-2K6 các thành phần trong mạng nội bộ như :VIP, USER, SERVER
- Thiết lập các Access Rules, Application Filer trên ISA-2K6 để kiểm soát các giao dịch
- Cấu hình ISA-2K6 để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet
- Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6

Xem chi tiết...

7 - Server Publishing thông qua ISA Server 2006

I. Mô hình:

II. Giới thiệu:
Mô hình tương tự bài Lab 6, phát sinh thêm yêu cầu sau :
- Công ty cần Publish một Web Server trong mạng nội ra ngoài Internet để các Client dù trong mạng nội bộ hay từ ngoài Internet đuề có thể truy cập cập
- Thiết lập cơ chế điều khiển từ xa với Remote Desktop sao cho Administrator có thể khiển Web Server từ một máy bất kỳ trong mạng nội bộ hoặc từ ngoài Internet

III. CÁC BƯỚC TRIỂN KHAI:
Bài Lab sử dụng các thành phần tương tự Lab-6 với 1 máy trong Network = SERVER dùng Windows Server 2003 để dùng làm Web Server (có thể dùng chung với máy Domain Controller)
Các bước thực hiện gồm :
- Xây dựng Web Server, Website (default) với Internet Information Service (IIS)
- Cấu hình cho phép truy cập Remote Desktop trên máy Web Server
- Cấu hình Access Rule và Publishing Rule trên ISA cho Web Server
- Cấu hình NAT Inbound trên Router ADSL
- Tạo Public Hostname bằng giao diện Domain Control Panel của Yahoo

Xem chi tiết...

8 - Hệ thống mở rộng & Kết nối WAN

I. Mô hình:

M1: DC Sài Gòn (card CROSS)
M2: ISA Sài Gòn (2 card CROSS & LAN)
R1: Router ADSL 1 nối với switch.

AP: Access point nối port WAN với switch
M3: Giả lập laptop của nhân viên / khách hàng (card LAN / wireless card )
R2: Router ADSL 2 nối card LAN của M3 / M4
M4: ISA Hà Nội (2 card CROSS & LAN)
M5: Server Hà Nội (card CROSS)

II. Giới thiệu:
Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh ở Hà Nội. Từ đó, phát sinh một số nhu cầu:
- Nhân viên làm việc ngoài công ty cần kết nối an toàn đến hệ mạng Sài Gòn.
- Trao đổi dữ liệu an toàn giữa 02 hệ mạng Sài Gòn & Hà Nội khi doanh nghiệp không có đường thuê bao riêng.
- Khách hàng đến doanh nghiệp có thể dùng laptop kết nối không dây để truy cập internet.
- Nhân viên có thể dùng laptop kết nối không dây để truy cập internet và truy cập tài nguyên mạng nội bộ.

III- Các bước triển khai:
Bài Lab phát triển từ mô hình của Lab-7 đươc xem như Site Saigon và các máy cho Site Hanoi dùng mô hình mạng Workgroup bao gồm :
- 01 máy Windows Server 2003 dùng làm ISA-2K6 (M4)
- 01 máy Windows Server 2003 dùng làm Server (M5)
Để đáp ứng các yêu cầu nêu trên , các giải pháp đuọc đề nghị bao gồm
- Thiết lập kết nối VPN Client to Gateway qua ISA server.
- Thiết lập kết nối Gateway to Gateway qua ISA server giữa 2 văn phòng Sài Gòn & Hà Nội.
- Thiết lập Wireless Access Point và cấu hình ISA server.

Xem chi tiết...

9 - Chia Site logic cho Domain Network

I. Mô hình:

II. Giới thiệu:
Trong bài Lab 8, chi nhánh Hà Nội sử dụng mô hình Workgroup, nhưng do số lượng nhân viên tại site Hà Nội tăng lên , nên phát sinh nhu cầu
- Tại site Hanoi sử dụng cùng Domain Network với Site Saigon để quản lý tập trung
- Xây dựng thêm Domain Controller tại site Saigon để duy trì quá trình đăng nhập khi Domain Controller hiện tại có sự cố
- Mỗi site duy trì quá trình đăng nhập độc lập khi kết nối VPN bị lỗi

III. Các bước triển khai:
Để đáp ứng các yêu cầu nêu trên , các bước thực hiện bao gồm:
- Xây dựng thêm máy Additional Domain Controller (DC2) tại site Saigon
- Xây dựng thêm máy Additional Domain Controller (DC3) tại site Hanoi
- Cấu hình chia site logic cho Domain Network

Xem chi tiết...

10 - Xây dựng Child Domain

I. Mô hình: (như bài lab 9)

II. Giới thiệu:
Do sự phát triển, mở rộng tại Site Saigon và từ đó phát sinh nhu cầu phân cấp trong quản lý, Doanh nghiệp có yêu cầu tạo nên hệ thống Chi Nhánh (Child Domain) trong Site Saigon với mục đích:
- Có thể xây dựng hệ thống Account Policy dộc lập cho Chi Nhánh
- Cô lập quyền của Administrator chịu trách nhiệm quản lý Chi Nhánh
- Tối ưu hóa quy trình đồng bộ (Replication) giữa các Domain Controller trong toàn Domain

III. Các bước thực hiện:
Xây dựng từ bài Lab-9 với Domain = Nhatnghe.Local, xây dựng thêm hệ thống Chi Nhánh (Child Domain) = SG.Nhatnghe.Local
Các máy cần dùng cho Child Domain gồm : 01 máy Windows Server 2003 dùng làm Domain Controller cho Child Domain SG.Nhatnghe.Local
Các bước tiến hành bao gồm :
- Tại Site Saigon, tạo Forward Lookup Zone: sg.nhatnghe.local
- Tại Site Saigon, nâng cấp Primary DC cho Domain sg.nhatnghe.local
- Cấu hình Global Catalog Server và Secondary DNS Server trên Domain Controller của domain sg.nhatnghe.local
- Cấu hình Account Policy cho Domain sg.nhatnghe.local
- Tạo User trên domain con, kiểm tra Password Policy
- Kiểm tra quyền Domain Admins của Domain sg.nhatnghe.local

Xem chi tiết...

Để triển khai hệ thống e-mail với tên miền riêng, chúng ta có các giải phải như: Mail Online, Mail Offline, hoặc giải pháp có chi phí “mềm” hơn như Google Application.

Và để phục vụ cho nhu cầu Instant Messaging, chúng ta thường sử dụng Yahoo Messenger, Hotmail, Live Messenger… Nhưng nếu hệ thống chúng ta có nhu cầu sử dụng Instant Messaging với tên miền riêng thì thông thường chúng ta phải triển khai Micosoft Office Communication 2007…

Mục đích của bài viết này là chúng tôi sẽ trình bài cách triển khai hệ thống Mail và Instant Messaging bằng dịch vụ Windows Live Custom Domains với tên miền riêng và có chi phí không đáng kể

Bài lab bao gồm các bước:

1. Đăng ký Windows Live Custom Domain

2. Cấu hình DNS Record trên Internet Domain

3. Tạo E-mail Account

4. Kiểm tra gởi và nhận E-mail

5. Instant Messaging với Windows Live Messenger

6. Đưa giao diện Account Sign-Up lên Web Site

NỘI DUNG BÀI LAB

Để một WebServer an toàn trước những tấn công từ bên ngoài thì ta cần có một tường lửa (ISA Server). Theo những gì ta đã biết thì ta cần phải có 2 máy (1 máy làm WebServer, 1 máy làm Firewall), tuy nhiên với mô hình doanh nghiệp vừa và nhỏ ta chỉ có được một Server đặt trên các ISP (FPT, VDC …). Vì vậy trong bài lab này sẽ trình bày cách cài đặt dịch vụ Web Services và ISA trên cùng một Server vật lý.

Bài lab bao gồm các bước:
Phần 1 : Cài đặt và cấu hình ISA Server

1. Cài đặt card loopback, cấu hình WebServer lắng nghe trên card loopback
2. Cài đặt ISA Server
3. Tạo Rules và Public các dịch vụ

Phần 2 : Bảo mật WebServer

1. Bảo mật AdminCP với tools IIS Password
2. Bảo mật Webserver với tools ServerMask
3. Hiệu chỉnh Local Security Policy

Nội dung bài lab

Truớc khi bạn lấy được bằng lái xe, bạn phải qua được một bài thi viết về luật giao thông. Tương tự như vậy, trước khi bạn vào “siêu xa lộ thông tin”, bạn phải hiểu về các protocol điều khiển luồng thông tin. Bài này giới thiệu với bạn các luật như thế, được gọi là Transmission Control Protocol/Internet Protocol (TCP/IP). Bạn sẽ học những luật này và xem chúng ảnh hưởng trên đường truyền giao tiếp như thế nào, nhằm mục đích giúp bạn có thể tự phòng thủ một cách tốt nhất trước các tấn công của hacker.

Bất kỳ lúc nào bạn kết nối vào Internet bằng đường điện thoại hoặc bằng một đường truyền băng thông rộng là máy tính của bạn đã trở thành một phần của World Wide Web. Nếu bạn có thể yêu cầu truy cập vào máy tính giữ địa chỉ của www.microsoft.com thì mọi nhân vật ở microsoft.com cũng có thể kết nối vào máy tính của bạn. Các lý giải tương tự tiếp theo đây sẽ minh họa cho liên kết vừa nói, bằng cách so sánh giữa cơ sở hạ tầng của Internet và các con đường nối liền các ngôi nhà lại với nhau.

Máy tính cũng giống như một ngôi nhà

Một ngôi nhà và tương quan của nó với đường vào nhà, với các con đường xung quanh cũng tương tự như một máy tính và tương quan của nó với Internet . Hãy tưởng tượng ra một căn nhà nằm tách biệt giữa rừng. Nó sẽ là mục tiêu khó gặm đối với một tên trộm. Dĩ nhiên là tên trộm vẫn có thể lội bộ xuyên qua khu rừng và lấy đi một số món đồ nhỏ nào đấy, nhưng nếu để lấy nhiều đồ, hắn sẽ phải vác chúng một quãng đường dài để ra khỏi khu vực hoang sơ đó.

Một ngôi nhà biệt lập cũng giống như một máy tính không kết nối vào Internet. Mặc dù một hacker có thể tiếp cận nơi ở của nạn nhân, đột nhập hẳn hòi vào nhà và lấy trộm thông tin trong máy tính của cô ta, nhưng làm như vậy sẽ phải tốn nhiều công sức mà lại quá mạo hiểm. Vấn đề ngược lại sẽ xảy ra cho những kết nối Internet “lúc nào cũng online” như kết nối bằng modem DSL hay modem cáp. Vì những kết nối như vậy luôn tạo sẵn con đường từ Internet vào máy tính của bạn, cho nên một hacker luôn có thể dễ dàng sờ mó đến các tài sản của bạn.

Các port trên máy tính của bạn chính là các cửa sổ và cửa đi

Các port chính là các “cổng” ảo mà qua đó thông tin đi vào và đi ra khỏi máy tính của bạn. Khi bạn kết nối vào Internet, có tới 65.534 port có thể dùng được. Điều này không có nghĩa là tất cả các port này đều mở hoặc đều được sử dụng; đơn giản chúng chỉ dành sẵn cho các chương trình trên máy của bạn khi cần đến.

Khi máy tính của bạn kết nối vào Internet, một số port sẽ được mở mặc định (default port). Tuy nhiên, nhiều chương trình (ví dụ như một Web server hay một ftp server) sẽ mở thêm một số port nữa (extra port). Đa số trong các chương trình này luôn chạy ở những port mặc định và cố định (fixed port). Như thế, nếu một hacker tiếp cận và truy vấn về tất cả các port đang mở trên máy tính của bạn, anh ta có thể nói được dễ dàng danh mục các chương trình có liên quan đến Internet mà bạn đang chạy. Ví dụ, nếu bạn có một ftp server đang chạy thì port 21 sẽ mở.

Có thể dễ dàng so sánh các port với các cửa đi và cửa sổ của một ngôi nhà. Mỗi ngôi nhà đều có sẵn một bộ gồm các cửa đi và cửa sổ. Có cửa sau, cửa trước, cửa nhà xe, và thường có cả cửa hông nữa. Việc đầu tiên mà các tên trộm thường tìm kiếm là một lối đột nhập dễ dàng. Không cần phải phá lỗ trên tường, khi mà một cửa đi hoặc một cửa sổ là đủ để vào. Đấy là những gì mà một hacker sẽ làm khi anh ta rà quét (scan) để tìm những port đang mở trên máy tính của bạn. Hacker tìm kiếm các port đang mở và có thể truy cập được.

Tuy nhiên, với một port đang mở thì chưa chắc một hacker có thể chui vào được. Để có thể “hack” được, port này phải có cho phép truy cập. Ví dụ, mỗi lúc bạn kết nối với microsoft.com, máy tính của bạn thực ra đã kết nối với port 80 trên máy server của Microsoft. Dù sao đi nữa, bạn cũng không thể làm gì được ngoài chuyện đọc các trang Web thông qua port này. Điều đó bảo vệ các thông tin của Web server khỏi bị các hacker quậy phá. Nếu microsoft.com cho phép những người lướt Web (surfer) xóa hoặc thay đổi nội dung trang Web, chắc microsoft.com không giữ được trang Web của mình lâu như vậy. Nếu chương trình Web server bị cấu hình sai (misconfigure), hoặc nếu có một lỗi về lập trình trong phần mềm Web server, các hacker có thể chiếm quyền truy cập trái phép.

Phần mềm bị cấu hình sai có thể so sánh với một cửa đi hoặc một cửa sổ quên khóa. Ăn trộm không phải bao giờ cũng “khoét vách” để vào nhà. Thay vào đó, đầu tiên họ sẽ tìm cửa sổ hoặc cửa đi không khóa để vào cho dễ. Phần mềm bị cấu hình sai thường luôn là mục tiêu tấn công của các hacker Internet.

Đường và xa lộ Internet

Du hành trên Internet có thể là chuyện nhỏ mà cũng có thể là chuyện lớn. Một máy tính của người dùng có thể lang thang đến cách nó vài dặm, hoặc cũng có thể đi tuốt đến bên kia trái đất. Nó có thể cũng đơn giản giống như lái xe đến nhà một người bạn ở cách năm dặm, hay là gửi một thông tin kỹ thuật số ở khoảng cách gần. Khi khoảng cách tăng lên, việc kết nối bắt đầu phức tạp lên theo.

Ví dụ, để đi mua sắm ở một khu thương xá, bạn có thể chỉ cần ra khỏi nhà, ra đường nhánh, quẹo lên đường chính để lên xa lộ, chạy đến lối rẽ vào khu thương xá, qua cổng, đậu xe vào bãi. Quá trình cũng diễn ra tương tự khi máy tính gửi thông tin đi trên Internet.

Khi bạn yêu cầu một trang Web, sự việc xảy ra giống như bạn gửi đi nhiều toa xe nhỏ chứa thông tin. Những gói tin này đi dọc theo line điện thoại hoặc đường cáp đến nhà cung cấp dịch vụ Internet (ISP), và sau đó sẽ được gửi tiếp ra một trong những đường cáp quang truyền tốc độ cao xuyên lục địa. Khi tín hiệu đến gần đích, nó nhảy khỏi đường cáp quang và đi đến ISP đang nắm giữ địa chỉ của trang Web; sau đó kết nối với máy Web server ta cần. Trong trường hợp này, lời yêu cầu một trang Web sẽ chỉ giống như vài chiếc xe hơi (gói tin nhỏ) đi đến địa chỉ mong muốn, trong khi dữ liệu trả về từ trang Web sẽ gồm rất nhiều toa xe.

(còn tiếp)

---------------------------------

Tài liệu tham khảo : Windows Internet Security - Protecting Your Critical Data (Seth Forgie & Dr. Cyrus Peikari)

Giao thức Secure Socket Layer (SSL) được phát triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL) đã được sử dụng rộng rãi trên hệ thống mạng nhằm mục đích xác thực và mã hoá thông tin giữa client và server. Cụ thể SSL được sử dụng để mã hóa cho tất cà các protocol hoạt động tại lớp Application như: HTTP, FTP, SMTP, POP, IMAP…

Bài lab bao gồm các bước:

1. Tạo file Request Certificate

2. Xin SSL Certificate từ VeriSign.com

3. Cấu hình Trusted Root Certification Authority

4. Import SSL Certificate cho Web Server

5. Kiểm tra kết quả

Nội dung bài lab

Trong bài viết “Tổng quan SharePoint Services 3.0 và Micrsoft Office SharePoint 2007 ” đã giới thiệu với các bạn các tính năng của SharePoint Services 3.0 và Micrsoft Office SharePoint 2007 hỗ trợ cho các nhu cầu trong một hệ thống mạng doanh nghiệp.

Nhằm mục đích thấy rõ các tính năng của SharePoint Services 3.0, trong bài viết này sẽ giới thiệu cách cài đặt và cấu hình SharePoint Services 3.0 trên Windows Server 2008

Phần I bao gồm các bước:

1.      Cài đặt Web Server(IIS)

2.      Cài đặt Microsoft .Net Framework và Windows Internal Database

3.      Cài SharePoint Sevice 3.0 SP1

4.      Tạo Group và phân quyền

Nội dung bài LAB

Windows SharePoint Services 3.0 (Version 3) xây dựng trên các dịch vụ hệ điều hành và cơ sở dữ liệu để hỗ trợ những điều kiện cần thiết cho từ 1 trang làm việc nhóm đến 1 portal của doanh nghiệp với hơn 100.000 nhân viên (như Office SharePoint Portal Server 2007), hoặc một portal cộng tác trên Internet với cả triệu người dùng.
Dịch vụ nền tảng Windows SharePoint Services cung cấp những cải tiến bảo mật, các tính năng tin cậy, có thể co giãn và hiệu năng cao như sau:

1. Storage - Lưu trữ

2. Management - Quản lý

3. Deployment - Triển khai

4. Site Model - Mô hình Site

5. Extensibility - Khả năng mở rộng

Nội dung chi tiết

Sau định dạng .SWF (Shockwave Flash) là định dạng .FLV (Flash Video) ngày càng trở nên phổ biến. Tuy nhiên với một Server Windows sử dụng IIS thì mặc định chỉ hiểu và hiển thị .SWF chứ không hiểu .FLV, muốn trang web xuất được định dạng này bạn cần phải khai báo MIME (Multipurpose Internet Mail Extensions) trong IIS.

- Chọn site cần cấu hình, R.Click chọn "Properties"

- Bên dưới tab HTTP Headers, chọn "File Types"

- Trong File Types chọn "New Type" và khai báo :

+ Associated extension : .flv

+ Content type (MINE) : video/x-flv

- Restart lại IIS.

Bạn có thể khai báo các loại MINE khác, tham khảo tại đây

I- GIỚI THIỆU CHUNG

Hệ thống địa chỉ IPv4 hiện nay không có sự thay đổi về cơ bản kể từ RFC 791 phát hành 1981. Qua thời gian sử dụng cho đến nay đã phát sinh các yếu tố như :

- Sự phát triển mạnh mẽ của hệ thống Internet dẫn đến sự cạn kiệt về địa chỉ Ipv4

- Nhu cầu về phương thức cấu hình một cách đơn giản

- Nhu cầu về Security ở IP-Level

- Nhu cầu hỗ trợ về thông tin vận chuyển dữ liệu thơi gian thực (Real time Delivery of Data) còn gọi là Quality of Service (QoS)

- …

Dựa trên các nhược điểm bộc lộ kể trên, hệ thống IPv6 hay còn gọi là IPng (Next Generation : thế hệ kế tiếp) được xây dựng với các điểm chính như sau :

1- Đinh dạng phần Header của các gói tin theo dạng mới

Các gói tin sử dụng Ipv6 (Ipv6 Packet) có cấu trúc phần Header thay đổi nhằm tăng cương tính hiệu quả sử dụng thông qua việc dời các vùng (field) thông tin không cần thiết (non-essensial) và tùy chọn (Optional) vào vùng mở rộng (Extension Header Field)

2- Cung cấp không gian địa chỉ rộng lớn hơn

3- Cung cấp giải pháp định tuyến (Routing) và định vị địa chỉ (Addressing) hiệu quả hơn

-Phương thức cấu hình Host đơn giản và tự động ngay cả khi có hoặc không có DHCP Server

(stateful / stateless Host Configuration)

4- Cung cấp sẵn thành phần Security (Built-in Security)

5- Hỗ trợ giải pháp Chuyển giao Ưu tiên (Prioritized Delivery) trong Routing

6- Cung cấp Protocol mới trong việc tương tác giữa các Điểm kết nối (Nodes )

7- Có khả năng mở rộng dễ dàng thông qua việc cho phép tạo thêm Header ngay sau Ipv6 Packet Header

II- ĐỊA CHỈ IPv6

1- Không gian địa chỉ IPv6

Địa chỉ IPv6 (IPv6 Adddress) với 128 bits địa chỉ cung cấp khối lượng tương đương số thập phân là

2¹²⁸ hoặc 340,282,366,920,938,463,463,374,607,431,768,211,456 địa chỉ

so với IPv4 với 32 bits địa chỉ cugn cấp khối lượng tương đương số thập phân là

2³² hoặc 4,294,967,296 địa chỉ

2-Hình thức trình bày

IPv6 Address gồm 8 nhóm, mỗi nhóm 16 bits được biểu diển dạng số Thập lục phân (Hexa-Decimal)

Vd-1 : 2001:0DB8:0000:2F3B:02AA:00FF:FE28:9C5A

(1) (2) (3) (4) (5) (6) (7) (8)

Co thể đơn giản hóa với quy tắc sau :

- Cho phép bỏ các số không (0) nằm phía trước trong mỗi nhóm

- Thay bằng 1 số 0 cho nhóm có giá trị bằng không

- Thay bằng :: cho các nhóm liên tiếp có giá trị bằng không

Như vậy địa chỉ ở Vd-1 có thể viết lại như sau :

Vd-2 : 2001:DB8:0:2F3B:2AA:FF:FE28:9C5A

Vd-3 : địa chỉ = FE80:0:0:0:2AA:FF:FE9A:4CA2

Có thể viết lại = FE80::2AA:FF:FE9A:4CA2

(*) Lưu ý : phần Giá trị đầu (Prefix) được xác định bởi Subnet Mask IPv6 tương tự IPv4

Vd-4 : 21DA:D3::/48 có Prefix = 21DA:D3:0 (48 bits)

hoặc 21DA:D3:0:2F3B::/64 có Prefix = 21DA:D3:0:2F3B ( 64 bits)

3-Các loại IPv6 Address

a- Unicast

Unicast Address dùng để định vị một Interface trong phạm vi các Unicast Address. Gói tin (Packet) có đích đến là Unicast Address sẽ thông qua Routing để chuyển đến 1 Interface duy nhất

b- Multicast

Multicast Address dùng để định vị nhiều Interfaces. Packet có đích đến là Multicast Address sẽ thông qua Routing để chuyển đến tất cả các Interfaces có cùng Multicast Address

c-Anycast

Anycast Address dùng để định vị nhiều Interfaces. Tuy vậy, Packet có đích đến là Anycast Address sẽ thông qua Routing để chuyển đến một Interfaces trong số các Interface có cùng Anycast Address, thông thường là Interface gần nhất (khái niệm Gần ở đây được tính theo khoảng cách Routing)

Trong các trường hợp nêu trên, IPv6 Address được cấp cho Interface chứ không phải Node, một Node có thể được định vị bởi một trong số các Interface Address

IPv6 không có dạng Broadcast, các dạng Broadcast trong IPv4 được xem như tương đương Multicast trong Ipv6

4-Các loại IPv6 - Unicast Address

IPv6 Unicast Address gồm các loại :

· Global unicast addresses

· Link-local addresses

· Site-local addresses

· Unique local IPv6 unicast addresses

· Special addresses

a-Global unicast addresses (GUA)

GUA là địa chỉ IPv6 Internet (tương tự Public IPv4 Address). Phạm vi định vị của GUA là tòan bộ hệ thống IPv6 Internet (RFC 3587)

001 : 3 bits đầu luôn có giá trị = 001 nhị phân (Binary – bin) (Prefix = 001 /3)

Global Routing Prefix : gồm 45 bits. Là địa chỉ được cấp cho một tổ chức, Công ty / Cơ quan ..(Organization) khi đăng ký IPv6 Internet Address (Public IP)

Subnet ID : gồm 16 bits. Là địa chỉ tự cấp trong tổ chức để tạo các Subnets

Interface ID : gồm 64 bits. Là địa chỉ của Interface trong Subnet

Có thể đơn giản hóa thành dạng như sau (Global Routing Prefix = 48 bits)

b-Link-local addresses (LLA)

LLA là địa chỉ IPv6 dùng cho các Nodes trong cùng Link liên lạc với nhau (tương tự các địa chỉ IPv4 = 169.254.X.X). Phạm vi sử dụng của LLA là trong cùng Link (do vậy có thể bị trùng lặp trong các Link)

Khi dùng HĐH Windows, LLA được cấp tự động với cấu trúc như sau :

64 bits đầu = FE80 là giá trị cố định (Prefix = FE80 :: / 64)

Interface ID = gồm 64 bits . Kết hợp với Physical Address của Netwoprk Adapter (nói ở phần sau)

c-Site-local addresses (SLA)

SLA tương tự các địa chỉ Private IPv4 (10.X.X.X, 172.16.X.X, 192.168.X.X) được sử dụng trong hệ thống nội bộ (Intranet). Phạm vi sử dụng SLA là trong cùng Site.

(*) Site : là khái niệm để chỉ một phần của hệ thống mạng tại các tọa độ địa lý khác nhau

1111 1110 11 = 10 bits đầu là giá trị cố định (Prefix = FEC0 /10)

Subnet ID : gồm 54 bits dùng để xác địng các Subnets trong cùng Site

Interface ID : gồm 64 bits. Là địa chỉ của Interfaces trong Subnet

Đối với các Organization có nhiều Sites, Prefix của SLA có thể bị trùng lặp. Có thể thay thể SLA bằng ULA (RFC 4193), ULA là địa chỉ duy nhất của một Host trong hệ thống có nhiều Sites với cấu trúc:

111 110 : 7 bits đầu là giá trị cố định FC00/7. L=0 : Local à Prefix =FC00 /8

Glocal ID : địa chỉ Site (Site ID). Có thể gán tùy ý

Subnet ID : địa chỉ Subnet trong Site

Với cấu trúc này, ULA sẽ tương tự GUA và khác nhau ở phần Prefix như sau :

e- Các địa chỉ đặc biệt (Special addresses)

Các địa chỉ đặc biệt trong IPv6 gồm :

0:0:0:0:0:0:0:0 : địa chỉ không xác định (Unspecified address)

0:0:0:0:0:0:0:1 : địa chỉ Loopback (tương đương IPv4 127.0.0.1)

IPv4-Cpompatible Address (IPv4CA) :

Format : 0:0:0:0:0:0:w.x.y.z Trong đó w,x,y,z là các IPv4 Address

Vd : 0:0:0:0:0:0:0:192.168.1.2

IPv4CA là địa chỉ tương thích của một IPv4/IPv6 Node. Khi sử dụng IPv4CA như một IPv6 Destination, gói tin sẽ được đóng gói (Packet) với IPv4 Header để truyền trong môi trường IPv4

IPv4-mapped address (IPv4MA)

Format : 0:0:0:0:0:FFFF:w.x.y.z (::FFFF:w.x.y.z) Trong đó w,x,y,z là các IPv4 Address

Vd : 0:0:0:0:0:FFFF:192.168.1.2

IPv4MA là địa chỉ của một IPv4 Only Node đối với một IPv6 Node, IPv4MA chỉ có tác dụng thông báo và không được dùng như Resource hoặc Destination Address

6to4 Address

Là địa chỉ sử dụng trong liên lạc giữa các IPv4/IPv6 nodes trong hệ thống hạ tầng IPv4 (IPv4 Routing Infrastructure). 6to4 được tạo bởi Prefix gồm 64 bits như sau :

Prefix = 2002/16 + 32 bits IPv4 Address =64 bits

6to4 Address là địa chỉ của Tunnel (Tulneling Address) định nghĩa bởi RFC 3056

5-Các loại IPv6 - Multicast Address

Multicast Address của IPv6 Node có họat động tương tự Maulticast trong IPv4. Một IPv6 Node có thể tiếp nhận tín hiệu của nhiều Multicast Address cùng lúc. IPv6 Node có thể tham gia hoặc rời khỏi một IPv6 Multicast Address bất kỳ lúc nào

Ví dụ về một số IPv65 Multicast Address được sử dụng :

FF01::1 (interface-local scope all-nodes multicast address)

FF02::1 (link-local scope all-nodes multicast address)

FF01::2 (interface-local scope all-routers multicast address)

FF02::2 (link-local scope all-routers multicast address)

FF05::2 (site-local scope all-routers multicast address)

Solicited-Node Address (SNA)

Là địa chỉ sủ dụng trong quy trình phân giải để cấp địa chỉ LLA (Link-Local Address) tự động cho các Node (tương tự quy trình tự cấp địa chỉ 169.254.X.X trong IPv4)

SNA có dạng : FF02:0:0:0:0:1:FF / 104 + 24 bits địa chỉ MAC

6-Các loại IPv6 - Anycast Address

Anycast Address có thể gán cho nhiều Interfaces, gói tin chuyển đến Anycast Address sẻ được vận chuyển bởi hệ thống Routing đến Interface gần nhất. Hiện nay, Anycast Address chỉ được dùng như Destination Address và gán cho các Router

IPv6 - Interface ID

Trong tất cả các loại địa chỉ nói trên đều có giá trị Interface ID dùng để xác định Interface. Giá trị Interface ID được xem xét và tạo nên theo các yếu tố sau :

- Xác định bởi Extended Unique Identifier (EUI)-64 Address (*) . EUI-64 Address có thể do gán hoặc kết hợp với MAC (physical) Address của Network Adapter (Window XP / Windows 2k3)

- Được gán tạm thời với giá trị ngẫu nhiên (**) (RFC 3041)

- Được tạo thành bởi Link-layer address hoặc Serial Number khi cấu hình Point-to-Point Protocol (PPP)

- Tự cấp (manual address configuration)

- Là một giá trị phát sinh ngẫu nhiên và gán thường trực cho Interface (Windows Vista / LogHorn)

Extended Unique Identifier (EUI)-64 Address (*)

EUI-64 Address xác định phưong thức tạo 64 bits Interface ID bằng cách kết hợp Mac Address của Network Adapter (48 bits) theo quy tắc như sau :

Mac Address = 6 nhóm 8 bits = 48 bits. Trong đó 24 bits là mã nhà sản xuất, 24 bits là mã số Adapter

Bước 1 : Tách đôi MAC Address làm 2 nhóm (mổi nhóm 24 bits), chèn vào giữa 16 bits giá trị FFFE

Bước 2 : Đảo ngược giá trị bit thứ 7 của nhóm đầu

Ví dụ : Network Adapter có MAC address = 00-AA-00-3F-2A-1C

Bước 1 à 00-AA-00-FF:FE-3F-2A-1C

Bước 2 à 02-AA-00-FF-FE-3F-2A-1C à Interface ID = 02AA:00FF:FE3F:2A1C (64 bits)

1. SSL là gì ?

Client vào trang web của www.amazon.com để mua sách và trả tiền bằng thẻ tín dụng. với protocol HTTP chạy ở port 80, mọi thông tin gửi và nhận trên đường truyền đều ở dạng clear text. Nhưng trên Internet có vô số kẻ xấu, luôn rình rập đẻ sniff các thông tin (capture hòng lấy được user name, password, số credit card…). Vì vậy, trong các giao dịch trên internet, cụng là web nhưng phải mã hóa dữ liệu. lúc đó sẽ sử dụng HTTPS chạy ở port 443, và phải có key để mã hóa.

Có ba cơ chế phát sinh key đã biết :

- Preshared key : không dùng được trong trường hợp này, vì client và Amazon là 2 người xa lạ.

- Kerberos : càng không được vì client và Amazon không ở cùng một domain.

- Certificate Authority (CA) : dường như là tốt, nhưng thật ra là dư. Dư vì nếu dùng certificate, hai bên có thể verify lẫn nhau. ở đây đang chỉ có nhu cầu verify một chiều – tức chỉ có client đang cần verify Web-server xem có đúng là Amazon không, trước khi dùng key nào đó mã hóa các thông tin nhạy cảm để gởi đi.

Công ty Netspace đã cung cấp một tiêu chuẩn mã hóa dữ liệu dùng trong trường hợp này. Đó là SSL (Secure Socket Layer). Trong SSL, giả định rằng chỉ cần server có certificate là đủ, client không cần.

Nhưng nếu client không có certificate, làm sao hai bên trao đổi key được ? Quá trình trao đổi key diễn ra trong 6 bước :

B1. Client chủ động phát sinh một “Key”.

B2. Client yêu cầu Webserver gửi certificate của Webserver.

B3. Nhận được certificate của Webserver, client kiểm tra tính toàn vẹn của public key “p_a”.

B4. Nếu “p_a” còn tốt, client đem “Key” mã với “p_a”, ra được “Cipher”.

B5. Client gửi “Ciper” cho Webserver.

B6. Webserver dùng private key “q_a” của mình để giải mã “Cipher” ra lại “Key”.

Nói cách khác, SSL (Secure Socket Layer) là loại CA đặc biệt, verify một chiều. Sáu bước vừa trình chỉ để hiểu bản chất vấn đề. Trong thực tế, để chạy được SSL, Web-server chủ cần đi xin sẵn một certificate là đủ. Còn đối với client, gần như là trong suốt, cứ việc gõ https thay vì http hoặc người Administrator có thể cấu hình redirect sẵn trên webserver, client chỉ việc gõ http là vào https .

2. Bài LAB

- Cài đặt IIS (Internet Information Services) và tạo trang web defauft, truy cập bằng http://localhost/ bình thường. Nhưng truy cập theo https://localhost/ sẽ không được.

- Đi xin certificate cho Webserver : chạy IIS Manager, vào Web Sites, chọn Default Web Site Properties – tab Directory Security – mục Secure Commnunications – Nút Server Certificate và làm theo wizzard.

- Sau khi xin certificate thì xem lại bằng nút View Certificate.

- Client truy cập lại trang web default bằng https://localhost/ sẽ có thông báo về security nhưng không quan trọng, chọn nút Yes sẽ truy cập tốt.

Trong thực tế, client có thể chọn nút View Certificate để xem certificate của Web-server, nhất là xem Root CA. Nếu Root CA của Web-server chưa nằm trong trusted list, client phải add certificate của Root Ca vào trusted list bằng tay. Lúc đó, nếu đúng là Web-server tin tưởng được thì chọn nút Yes để tiếp tục trao đổi thông tin.

Phần 1: Triển khai nhiều server chạy song song trên Windows Server 2003 AD

Nội dung của phim lab là hướng dẫn triển khai cài đặt vả cấu hình hệ thống AD có nhiều Domain Controller, Global Catalog Server và DNS Server chạy song song.

Phim lab gồm các bước :

1. Nâng cấp Primary Domain Controller
2. Join Domain
3. Nâng cấp Additional Domain Controller
4. Cấu hình Global Catalog
5. Cài đặt và cấu hình Secondary DNS Server

Tiếp theo phần 1, sau khi các bạn đã cài đặt thành công ISA Server 2006, các bạn cần phải tạo ra các Access Rule để quản lý mọi gói tin ra vào hệ thống. Trong phần 2 sẽ hướng dẫn cách tạo các Access Rule phù hợp với nhu cầu của các doanh nghiệp hiện nay.

Bài lab bao gồm các bước:

1. Kiểm tra Default Rule

2. Tạo rule truy vấn DNS để phân giải tên miền

3. Tạo rule cho phép các user thuộc nhóm Manager truy cập Internet không hạn chế

4. Tạo rule cho phép các user thuộc nhóm Staff chỉ được phép truy cập 1 số trang web trong giờ hành chánh

5. Tạo rule cho phép các user thuộc nhóm Staff được truy cập web trong giờ giải lao, ngoại trừ trang ngoisao.net

6. Tạo rule cho phép user có thể kết nối mail yahoo bằng Outlook Express

7. Không cho nghe nhạc trực tuyến, cấm chat Yahoo Messenger, cấm download file có đuôi .exe

8. Cấm truy cập một số trang web, nếu truy cập sẽ tự động chuyển đến trang web cảnh báo của công ty

Nội dung bài LAB

ISA Server 2006 là phiên bản mới nhất của sản phẩm Microsoft  ISA Server. Về giao diện thì ISA 2006 giống ISA 2004 đến 90%. Tuy nhiên, nó có những tính năng mới nổi trội hơn mà ISA 2004 vẫn còn hạn chế, chẳng hạn như:

+ Phát triển hỗ trợ OWA, OMA , ActiveSync và RPC/HTTP pubishing

+ Hổ trợ SharePoint Portal Server

+ Hổ trợ cho việc kết nối nhiều certificates tới 1 Web listener

+ Hỗ trợ việc chứng thực LDAP cho Web Publishing Rules

+…

Ở phần 1 này, các bạn sẽ bắt đầu làm quen với ISA Firewall thông qua việc cài đặt ISA Server 2006 

Bài lab bao gồm các bước:

      1. Cài đặt ISA Server 2006

      2. Cài đặt và cấu hình Firewall Client

      3. Cấu hình Auto Discovery

      4. Tạo Access Rule để kiểm tra kết nối Internet

Nội dung bài LAB

Cốc cốc cốc
Ai gọi đó
Tôi là thỏ
Nếu là thỏ
Cho xem tai
Cốc cốc cốc
Ai gọi đó
Tôi là nai
Nếu là nai
Cho xem gạc
Cốc cốc cốc
Ai gọi đó
Tôi là gió
Nếu là gió
Xin mời vào

Bạn có đang nhớ về tuổi thơ của mình như tôi? Ừh, nhớ thật đó. Nhưng mà tôi vô cái blog này không phải để đọc đồng dao, đây là blog bảo mật thông tin kia mà? Ấy bạn đừng nóng, nào hãy cùng ngồi xuống với tôi, uống một ngụm trà (và vài con nghêu hấp xã chẹp chẹp) rồi ta cùng đi vào chủ đề chính nào.

Bạn thấy tiêu đề của bài viết này không? Authentication, tạm dịch là xác thực. Authentication là chữ A đầu tiên trong bộ tứ Authentication, Authorization, Availability và Authenticity như bốn trụ chống trời nâng đỡ thế giới bảo mật. Hôm nay chúng ta sẽ bàn về chữ A đầu tiên, nghĩa là đi tìm câu trả lời (hay tìm cách hỏi) cho câu hỏi: bạn có phải là người mà bạn tự nhận không?

Bạn và tôi mỗi ngày đều xác thực ít nhất vài lần, có khi là chúng ta xác thực người khác, có khi người khác xác thực chúng ta. Ví dụ như khi bạn đi gửi xe chẳng hạn, người ta sẽ cho bạn một mẩu giấy, mà thuật ngữ gọi là token, trên đó thường có ghi thông tin về chiếc xe của bạn (biển số chẳng hạn). Mẫu giấy này chính là một thứ gì đó mà bạn sở hữu (something you have) giúp bạn chứng minh với người giữ xe rằng: bạn chính là người chủ của chiếc xe. Chỉ có những người có mẩu giấy đó mới được phép lấy chiếc xe của bạn ra ngoài. Nhiệm vụ của bạn là phải giữ nó an toàn, mất là rất phiền toái đấy nhé.
Một ví dụ khác chính là bài đồng dao ở trên. Nếu bạn là thỏ ư, chắc hẳn tai bạn phải dài lắm, cho tôi xem đi nào rồi tôi mới tin. Ở đây, tôi xác thực bằng một đặc điểm trên cơ thể của bạn (something you are). Dấu vân tay, võng mạc hay giọng nói là những đặc điểm thường được sử dụng. Còn có một cách xác thực khác khá phổ biến, đó là dựa trên những điều mà bạn biết (something you know). Bạn đang chat trên Yahoo! Messenger? Thế làm sao bạn đăng nhập vào đó được? Bạn phải biết mật khẩu, chính mật khẩu là thông tin giúp Yahoo! xác thực bạn là chủ nhân của tài khoản đang đăng nhập. Tất cả những ai biết mật khẩu đều có thể đăng nhập vào tài khoản của bạn.

Ngoài ra còn một cách xác thực nữa là dựa vào sự tin tưởng (something you trust). Cách xác thực này thường được áp dụng trong các trường hợp những cá nhân đơn lẻ có nhu cầu xác thực danh tính lẫn nhau. Khi đó họ sẽ dựa vào một bên thứ ba mà cả hai cùng tin tưởng để làm trung gian. Ví dụ như người ta tin tưởng vào thông tin trong chứng minh thư của bạn không phải vì họ tin tưởng bạn mà vì họ tin tưởng vào tổ chức cấp chứng minh thư đó cho bạn, ở đây là cơ quan công an. Cũng có trường hợp họ áp dụng tính bắt cầu trong niềm tin để xác thực. Ví dụ như anh A tin chị B, chị B tin anh C, nên anh A sẽ tin anh C (vì anh A tin rằng chị B đã xác thực danh tính anh C trước đó rồi).

Cách xác thực bằng mật khẩu là cách thông dụng nhất vì tính đơn giản và dễ triển khai của nó. Tuy nhiên, qua thời gian cách này bộc lộ nhiều điểm yếu mà dễ thấy nhất là: mật khẩu rất dễ bị đánh cắp. Sự thực là bất kì thứ gì lưu trữ trên máy tính đều rất dễ bị đánh cắp. Nhưng tôi đâu có lưu mật khẩu trên máy tính đâu? Tôi nhớ chúng trong não và chỉ khi nào cần thiết tôi mới gõ chúng ra kia mà? Bạn có lưu đấy. Có thể bạn không lưu xuống ổ cứng nhưng khi bạn gõ ra nghĩa là bạn đang lưu mật khẩu của mình vào RAM. Và chỉ trong tích tắc, mật khẩu "tối mật" của bạn sẽ được chuyển đến tay một kẻ khác! Nhưng bạn an tâm, đã có rất nhiều giải pháp cho vấn đề này, trọn vẹn hay không trọn vẹn.

Tôi có mở tài khoản ở một ngân hàng, chủ yếu để nhận tiền lương từ công ty mà tôi làm chuyển vào. Tôi thường rút tiền thông qua máy ATM. Làm thế nào tôi chứng minh cho ngân hàng biết tôi là chủ tài khoản? Tôi phải trình ra được thẻ ATM của mình (something you have) và nhập vào đúng số PIN gắn với thẻ ATM đó (something you know). Rõ ràng cách làm này an toàn hơn việc chỉ sử dụng mật khẩu. Muốn đánh cắp tiền của tôi, kẻ trộm phải vừa chôm được thẻ ATM, vừa biết được mã PIN của tôi. Nói cách khác hắn phải chôm được hai yếu tố mới xác thực được.

Đây chính là ý tưởng chủ đạo của việc nâng câo tính an toàn khi xác thực: kết hợp nhiều yếu tố khác nhau (multi-factor authentication), mà thông dụng nhất là xác thực hai yếu tố (two-factor authentication) và xác thực ba yếu tố (three-factor authentication). Người ta sẽ gộp 4 yếu tố ở trên (thông thường là 3 yếu tố đầu), để tạo ra các tổ hợp yếu tố dùng để xác thực. Thông dụng nhất là sự kết hợp giữa something you know và something you have như cách làm của thẻ ATM. Dĩ nhiên bạn hoàn toàn có thể làm n-factor authentication với n > 3 nhưng lúc đó hệ thống của bạn sẽ chẳng có người nào sử dụng cả bởi vì nó quá bất tiện. Bảo mật bao giờ cũng phải là sự cân bằng giữa an toàn và tiện dụng. Vả lại, không có gì là an toàn tuyệt đối. Two-factor hay n-factor đi chăng nữa cũng chỉ giúp bạn giảm xác suất bị tấn công xuống một mức nào đó, nhưng không bao giờ là zero.
-mrro

TIN BUỒN

Gia đình vô cùng thương tiếc báo tin
Bé Iu-xơ Cu Tèo
Con bà Ắc-ti Đai-réc-tri
Cháu ông Đồ-men Cồng-tron-lơ
01 giờ 12 phút tuổi

Đã bị Bác sĩ sát thủ Đồ-men Át-min "lỡ tay" sát hại cách đây hai ngày khi đem Bé Cu Tèo ra làm vật thí nghiệm, hiện chưa tìm được xác, mặc dù Bác sĩ Đồ-men Át-min đã cố gắng tìm mọi thuốc men để cứu chữa cho cả gia đình (?).

Mặc dù tang gia vô cùng bối rối, nhưng vẫn tranh thủ "tám" với các nhân chứng và đã thu thập được các sự kiện sau :
- Tiếng hét thứ nhất : "Tui chưa chết mà sao Bác sĩ đòi hồi sinh, hồi sức cho tui ?"
- Lời đồn thứ nhất : "Bên Tàu có bán thuốc DSRM, uống chung với thuốc RMP sẽ chữa được bá bệnn, làm người chết tự động sống dậy".
- Tiếng hét thứ hai : "Bác sĩ ơi, con em bị liệt rồi !"
- Lời đồn thứ hai : "Uống thuốc DSRM thì hồn lìa khỏi xác, lúc đó muốn làm gì xác thì làm".

Sự thật về vụ án Cu Tèo và các tiếng hét cũng như các lời đồn đãi như thế nào, xin quí vị xem tiếp sẽ rõ

SỰ THẬT VỀ VỤ ÁN VÀ CÁC SỰ KIỆN

Tiếng hét thứ nhất : "Tui chưa chết mà sao Bác sĩ đòi hồi sinh, hồi sức cho tui ?"

Tiếng thét hãi hùng này là của bà Ắc-ti Đai-réc-tri lúc bà đang còn khỏe mạnh, chạy nhảy đùng đùng, không hề bị tê liệt, nhưng Bác Sĩ Đồ-men Át-min lại định đè ra làm vật lý trị liệu nhằm phục hồi chức năng vận động.
Khi bà này phản ứng thì Bác sĩ Đồ-men Át-min lại nghe được lời đồn về thuốc DSRM ở bên Tàu rất hiệu nghiệm.

Bạn đã backup System State cho máy Domain Controller (trong đó có các thông tin về Active Directory). Active Directory ở máy Domain Controller vẫn đang hoạt động, như vậy bạn không thể Restore trực tiếp System State được.

Hệ thống còn gợi ý cho bạn phải boot lại và chọn Directory Services Restore Mode mới có thể phục hồi được.

Tiếng hét thứ hai : "Bác sĩ ơi, con em bị liệt rồi !"

Lần này thì ông Đồ-men Cồng-tron-lơ hét đấy, sau khi ông uống lộn xộn hai ba thứ thuốc thì hình như bà Ắc-ti Đai-réc-tri liệt thật. Bà này liệt thật thì mới có hy vọng cứu sống Cu Tèo (?), nhưng Bác sĩ Đồ-men Át-min cho bệnh nhân uống thuốc mà lại không "Đọc kỹ hướng dẫn sử dụng trước khi dùng", thấy bà này liệt và được chương trình quảng cáo trên ti vi nhắc tuồng, chỉ lo làm cho bà này phục hồi chức năng vận động mà lại không lo cứu Cu Tèo, cứ tưởng thuốc Tàu tự cứu thằng bé rồi.

Lúc Domain Controller hoạt động, bạn muốn restore System State thì đương nhiên là không được, bây giờ đã vào DSRM, Windows chạy Safe Mode, không cho Active Directory hoạt động để bạn tiến hành các hoạt động restore đấy.

Lúc này, nếu bạn chạy chương trình Active Directory Users and Computers thì sẽ thấy thông báo như hình trên, cho thấy lúc này máy của bạn vừa giống như máy Workstation Local, vừa giống Domain Controller. Nếu lúc này bạn nóng lòng có Active Directory, restart lại Domain Controller và logon như Domain Admin bình thường thì coi như công cốc, file SAM trong Domain Controler vẫn sẽ như cũ, và user CuTeo vẫn không restore được (Vì có ai chạy chương trình Backup (BK) để restore đâu).

Lời đồn thứ hai : "Uống thuốc DSRM thì hồn lìa khỏi xác, lúc đó muốn làm gì xác thì làm".

Lời đồn này quá chính xác, nhưng Bác sĩ Đồ-men Át-min dù đã được xem phim về hai tiếng thét hãi hùng trước rồi, vẫn không chịu để ý. Đúng ra khi thấy bà Ắc-ti Đai-réc-tri liệt rồi, ông Đồ-men Cồng-tron-lơ mặt mày thấy ghê thì Bác sĩ phải cho ông này uống tiếp liều thuốc giải BK. Uống thuốc giải BK đúng cách thì Cu Tèo chắc chắn được cứu sống, không qua đời thảm thương như vậy.

Lúc đang trong DSRM-Safe Mode, bạn vẫn chạy được Backup (BK) như bình thường. Vì lúc này Active Directory không hoạt động, máy Domain Controller của bạn đang như một máy Workstation Local bình thường, cho nên bạn hoàn toàn có thể cho restore System State đã backup trước đó.

Nhớ chỉnh option restore cho đúng. Xong chầu restore, boot lại máy thì Domain Controller lại hoạt động bình thường và user CuTeo sẽ có lại như xưa.

Qua bài viết này bạn rút ra được gì ? Cái cần thiết của một Domains Administrator là phải luôn luôn chạy backup System State, đến khi Active Directory có sự cố thì cứ lôi file backup ra và sẽ có cách cứu mạng

*********
Bé Iu-xơ Cu Tèo : user CuTeo
Ắc-ti Đai-réc-tri : Active Direcroty
Đồ-men Cồng-tron-lơ : Domain Controller
Đồ-men Át-min : Domains Administrator