Trang Quản Trị Mạng Của CEH.VN

Certified Ethical Hacking - MCSA - SECURITY

Server Publishing - Configuration


Server Publishing - Configuration

I / Nội Dung
- Ở các bài Lab trước, chúng ta đã tạo ra các Access Rule để hệ thống mạng có thể truy cập được Internet hay nói theo cách khác là chúng ta mới tạo ra các Rule Outbound mà thôi. Trong bài này, chúng ta sẽ tìm hiểu cách mở các Port để External Network có thể truy cập vào mạng của chúng ta hay còn gọi là Server Publishing
- Mô hình tổng quát



- Như vậy, chúng ta thực hiện Server Publishing khi trên hệ thống mạng nội bộ của chúng ta có các Server chức năng : Mail Server , Web Server ,...
- Khi các máy trong Internal Network truy vấn domain Khatech.com thì sẽ truy cập thẳng DNS Server ( PC Chẵn ) có IP là 172.16.1.1 để nhờ DNS Server này phân giải. Và hiển nhiên domain này chỉ có phạm vi trong nội bộ mà thôi.
- Sau một thời gian hoạt động, công ty mở rộng quy mô và tiến hành mua một domain là Khatech.com từ nhà cung cấp dịch vụ Domain, thuê thêm một IP WAN ( IP Publish ) là 152.236.65.90
- Vậy các máy trong mạng Internal Network khi truy vấn các dịch vụ Mail ,Web của domain Khatech.com sẽ nhờ DNS Server của hệ thống phân giải cho ra IP tương ứng.
- Trong khi đó, các máy từ External Network khi truy vấn các dịch vụ Web, Mail của Domain Khatech.com sẽ nhờ DNS Server của nhà cung cấp dịch vụ ISP phân giải và cho ra duy nhất một IP là 152.236.65.90
- Như vậy yêu cầu đặt ra làm sao để các máy từ External Network truy cập vào mạng chúng ta thông qua IP Public sẽ truy cập vào các máy chạy các dịch vụ tương ứng. Để làm được điều này đòi hỏi tại mạng chúng ta phải xây dựng thêm một DNS Server khác có tác dụng giải đáp các yêu cầu từ bên ngoài và dẫn dắt các yêu cầu này vào trong DNS Server nội bộ, máy DNS Server này còn gọi là External DNS Server.
- Để cho đơn giản, mouse mình sẽ gom các dịch vụ này lại với nhau và chúng ta có sơ đồ như sau :


Trong đó : - PC Lẽ vừa là ISA Server vừa là External DNS. Trên thực tế vì lý do bảo mật ta phải tách rời 2 dịch vụ này ra làm 2 máy
- PC Chẵn bao gồm các dịch vụ Exchange Server, DC Server, DNS Server, Web Server, CA Server... với Domain là khatech.com
- Cấu hình IP cho các máy như sau :

- Mạng 192.168.0.0 /24 là mạng giả lập ngoài Internet

- Nội dung bài Lab gồm các bước :

1) Cấu hình cho DNS Server

2) Cấu hình cho máy External DNS Server

3) Tạo Rule để Internal Network có thể truy cập Local Host và ngược lại. Truy cập được External Network

4) Publish External DNS

5) Xin Certificate cho máy Web Server

6) Xin Certificate cho máy ISA Server

7) Publish các dịch vụ HTTP, HTTPS, FTP, SMTP, POP3, OWA...


II / Thực Hiện
1) Cấu hình cho DNS Server
- Trên máy DC ( PC Chẵn ), log on Administrator. Mở DNS lên, tạo các Alias : www, mail. vì máy DNS Server cũng chạy luôn dịch vụ Mail Server nên ta cũng tạo luôn MX Record trên máy này


- Đến đây, ta đã hoàn thành xong việc cấu hình DNS cho hệ thống mạng nội bộ. Như vậy bất kỳ máy nào trong Internal Network truy vấn các dịch vụ (Web, Mail...) của Domain khatech.com sẽ được chính máy DNS này phân giải về các máy chạy các dịch vụ tương ứng trong cùng Internal Network

2) Cấu hình cho máy External DNS Server
- Vì trong bài Lab này, ISA Server cũng chính là máy External DNS nên tại máy ISA Server chúng ta cũng cài dịch vụ DNS vào. Như vậy, trên hệ thống mạng của chúng ta sẽ có hai máy cài dịch vụ DNS :
* DNS Server được cài lên máy PC Chẵn ( DC ) thuộc Internal Network
* DNS Server được cài lên máy PC Lẽ thuộc Local Host và được gọi là External DNS
- Tiến hành cài đặt DNS Services trên máy ISA Server. Mở DNS lên, right click Forward Lookup Zones chọn New Zones



- Hộp Thoại Zone Type chọn Primary Zone



- Hộp thoại Zone Name nhập Khatech.com ( Đây là domain chúng ta đã mua từ nhà cung cấp dịch vụ )



- Chọn Do not allow dynamic update



- Trên Forward Lookup Zones chọn khatech.com sẽ thấy xuất hiện 2 Host ( A ) 192.168.0.10 ( chính là IP Publish mà chúng ta đã mua từ trước ) và IP của máy ISA Server . Ta tiên hành xóa Host ( A ) 172.16.1.10 này đi vì :
* Trong thực tế máy cài External DNS sẽ hoàn toàn đôc lập với máy chạy ISA Server nên trên máy này chỉ tồn tại duy nhất một Card Lan mà thôi như vậy khi tạo Zone sẽ chỉ xuất hiện mỗi Host (A) 192.168.0.10. Nhưng vì do trong bài Lab chúng ta gom chung 2 máy ISA Server và External DNS là một nên tại máy này phải tồn tại 2 Card Lan nên khi tạo Zone sẽ xuất hiện cả 2 Host (A) của 2 Card này.
* Ta phải xóa Host (A) 172.16.1.10 đi vì tại máy External DNS đóng vai trò là IP mặt ngoài (IP Public) của mạng chúng ta và nó chỉ tiếp nhận các yêu cầu từ ngoài gửi vào mà thôi. Hay nói cách khác nó mang trên mình một IP thuộc External Network chứ không thuộc Internal Netwok.


- Tạo Reserve Lookup Zones192.168.0.x Subnet ( thực tế Subnet này là : 152.236.65.x )


- Tạo Host www cho khatech.com


- Nhập IP Publish


- Chọn Create associated pointer (PRT) record để tạo Host
- Tương tự tạo Host mail cho khatech.com


- Màn hình khatech.com sau khi hoàn tất


- Màn hình 192.168.0.x Subnet


- Do trong bài Lab chúng ta gom chung ISA Server External DNS trên cùng một máy nên ta phải chỉ định cho External DNS biết sẽ phải dẫn dắt các yêu cầu từ nên ngoài vào trong thông qua mạng nào (trong thực tế ta không phải làm bước này)
- Right click ISA chọn Propetives


- Tab Interfaces chọn Only the following IP addresses trong mục Linten onRemove IP 192.168.0.10 vì : Khi các máy từ bên ngoài truy cập vào mạng chúng ta chúng chỉ thấy duy nhất mỗi IP 192.168.0.10 (trong thực tế IP này chính là 152.236.65.90) mà thôi, khi đó External DNS sẽ dẫn dắt các yêu cầu này thông qua IP 172.16.1.10 để vào bên trong


- Màn hình sau khi hoàn tất

 
3) Tạo Rule để Internal Network - Local Host có thể truy cập lẫn nhau ,truy cập được External Network
- Trên máy ISA Server tạo Rule với các thông số sau
Name: Internal VS Local Host
Action: Allow
Protocols: All Outbound Traffic
Access Rule Sources: Internal & Local Host
Access Rule Destinations: External & Internal & Local Host
User Sets: All User

4) Publish External DNS
- Trên máy ISA Server right click Firewall Policy chọn New - Non-Web Server Protocol Publishing Rule...


- Đặt tên Rule là Publish DNS


- Nhập IP của máy External DNS ( chính là IP Card Cross của máy ISA Server )


- Hộp thoại Select Protocol chọn DNS Server


- Hộp thoại Network Listener IP Address chọn External


* Máy Client

- Tại máy Client - chỉnh Preferred DNS về IP Publish của mạng 192.168.0.10 ( thực tế là 152.236.65.90 )


- Start - Run - nhập NSLookup đê phân giải DNS Name xem sao

 
Share on Google Plus

About TayNinhCity

    Blogger Comment
    Facebook Comment

0 nhận xét:

Đăng nhận xét