Bảo mật FTP bằng Firewall ISA 2006

ISA Firewall không chính thức hỗ trợ giao thức FTPS bởi vì những thỏa thuận giao thức đã được mã hóa và do đó không có bộ lọc ứng dụng nào có thể xử lý những thỏa thuận này.
Nội dung trích xuất từ tài liệu:
Bảo mật FTP bằng Firewall ISA 2006 Bảo mật FTP bằng Firewall ISA 2006 (P.1)Nguồn:quantrimang.comQuản trị mạng - ISA Firewall không chính thức hỗ trợ giao thức FTPS bởi vìnhững thỏa thuận giao thức đã được mã hóa và do đó không có bộ lọcứng dụng nào có thể xử lý những thỏa thuận này.Bài viết này sẽ giới thiệu một phương pháp khắc phục vấn đề này. Tuy nhiên,một nhược điểm của phương pháp này đó là những kết nối không được mã hóasẽ không hoạt động. Một giải pháp khác cần sử dụng đó là tạo một ServerProtocol Definition cho tùy chỉnh cho FTP, sau đó sử dụng công cụ PesachShelnizt để ngăn chặn xung đột có thể xảy ra với FTP Server Protocol Definitionmặc định.Giới thiệuMột trong những tính năng mới rất quan trong được tích hợp trong IIS 7.0 (cũngđược tích hợp trên Windows Server 2008) đó là bảo mật FTP. Bảo mật FTP sửdụng bộ mã hóa TLS để bảo mật dữ liệu trong khi truyền qua các kênh dữ liệucủa FTP. Đây là một cải tiến đáng kể so với những phiên bản trước đó của dịchvụ FTP trong IIS (chỉ hỗ trợ các kết nối không được mã hóa). Giao diện cấu hình dịch vụ bảo mật FTP của IIS 7.0.Tuy nhiên, nếu đã từng sử dụng dịch vụ FTP của IIS 7.0 qua một tường lửa ISA,có thể bạn sẽ nhận thấy rằng mọi thứ không hoạt động theo như ý muốn. Khi kếtnối tới máy chủ từ máy trạm bạn sẽ gặp phải lỗi 550 Access Denied (từ chối truycập). Lỗi xuất hiện trên máy trạm khi cố gắng kết nối tới máy chủ đã áp dụng dịch vụ bảo mật FTPTiếp theo chúng ta sẽ tìm hiểu bản chất của lỗi này và xem xét phương phápkhắc phục. Để làm được điều đó chúng ta cần thực hiện các thao tác sau: Kiểm tra máy trạm FTP • Giám sát hệ thống máy chủ ISA • Kiểm tra máy chủ FTP •Mô hình cài đặt hệ thống máy trạm và máy chủ như sau: FTP client ISA 2006 Win2k8 (IIS7/FTP7)Giả sử địa chỉ IP của máy trạm FTP là 10.10.10.100. Địa chỉ IP trên giao diệnngoài của hệ thống tường lửa ISA là ISA 10.10.10.254 và địa chỉ IP của máy chủlà 10.10.20.200. Mô hình hệ thống FTPBước 1: Kết nối vào máy chủ FTP từ máy trạm FTPKhi kiểm tra thông tin bạn sẽ biết được những gì đang xảy ra trên hệ thống.Trước tiên hãy kiểm tra Trace Packet vì nó cho phép chúng ta theo dõi dòngFTP.Packet View Packet trên máy trạm FTPTheo thông tin trong Packet View, máy trạm FTP hiển thị thông tin kết nối TCPtrong 3 Packet đầu tiên (gồm SYN, SYN ACK và ACK). Sau khi kết nối TCPhoàn thành, giao tiếp FTP sẽ khởi chạy. Lệnh FTP đầu tiên là lệnh máy chủ sửdụng để tự xác định nó như một máy chủ FTP MS.Sau đó máy trạm sẽ phản hồi một thông báo AUTH TLS. Thông thường máytrạm sẽ hiển thị thông báo “hello friendly FTP server, i would like to start anencrypted TLS session”. Máy trạm sẽ phản hồi thông báo này hai lần sau đónhận lại phản hồi Access is Denied từ máy chủ.Khi kiểm tra những Packet của máy chủ FTP, bạn có thể kiểm tra 3 Packet chobiết thông tin kết nối đầu tiên, trong đó có một gói máy chủ tự thực hiện xácnhận, nhưng chúng ta sẽ không thể thấy được Packet lưu trữ thông tin về FTPcủa máy chủ FTP trong phiên AUTH TLS. Packet trên máy chủ FTPCửa sổ hiển thị thông tinNếu nhìn vào cửa sổ hiển thị thông tin TCP, chúng ta có thể dễ dàng thấy rằngmáy trạm đang gửi thông tin AUTH SSL và máy chủ sẽ không bao giờ nhậnđược những thông tin này.Bước 2: Kiểm tra thông báo lỗi Access is DeniedNhững thông tin trên cho thấy một phản hồi 550 Access is Denied đang đượcgửi tới máy trạm FTP. Tuy nhiên, không có thông tin nào khẳng định rằng thôngtin phản hồi được máy chủ gửi đi. Máy chủ FTP có thể chấp nhận yêu cầu đểthực hiện bảo mật kết nối TLS. Như vậy, vấn đề ở đây là gì? Rõ ràng, có mộtthiết bị trung gian đã tạo ra phản hồi này và gửi trở lại máy trạm.Để sử dụng thông tin này, hãy kiểm tra file log của ISA Firewall và kiểm tra xemcó cấp độ từ chối truy cập hay không. Hình minh họa dưới đây hiển thị nhữngmục log liên quan.Khi nhìn thoáng qua, lưu lượng có vẻ rất bình thường. ISA chấp nhận gói tin thứnhất sau đó ngắt kết nối như nó thường làm mỗi khi một phiên kết nối TCP thôngthường kết thúc.Vậy thông báo lỗi Access is Denied được gửi đến từ đâu? Để kiểm tra kĩ hơn,chúng ta cần bổ sung thêm một cột vào cửa sổ file log của ISA có tên ResultCode.Sau khi đã chèn thêm cột này chúng ta sẽ thấy được những gì mà Firewall củaISA đang thực hiện.Lưu ý: Bạn có thể kiểm tra ý nghĩa của các Result Code tại đây.Trong Result Code trên thì 0x80074E24 FWX_E_CONNECTION_KILLED chobiết máy chủ ISA đã ngắt một kết nối.Mặc dù thao tác ngắt kết nối này là không bình thường, nhưng dường như đâylà phương pháp ngắt phiên kết nối của hệ thống tường lửa ISA, như vậy chúngta có thể khẳng định rằng thông báo lỗi Access is Denied được gửi đến máytrạm từ hệ thống tường lửa của ISA.Khi đó chúng ta lại phải kiểm tra thành phần nào tro ...