Bảo mật FTP bằng Firewall ISA 2006 (P.1)

Quản trị mạng - ISA Firewall không chính thức hỗ trợ giao thức FTPS bởi vì những thỏa thuận giao thức đã được mã hóa và do đó không có bộ lọc ứng dụng nào có thể xử lý những thỏa thuận này. Bài viết này sẽ giới thiệu một phương pháp khắc phục vấn đề này. Tuy nhiên, một nhược điểm của phương pháp này đó là những kết nối không được mã hóa sẽ không hoạt động. Một giải pháp khác cần sử dụng đó là tạo một Server Protocol Definition cho tùy chỉnh cho FTP, sau đó...
Nội dung trích xuất từ tài liệu:
Bảo mật FTP bằng Firewall ISA 2006 (P.1) Bảo mật FTP bằng Firewall ISA 2006 (P.1) Quản trị mạng - ISA Firewall không chính th ức hỗ trợ giao thức FTPS bởi vì những thỏa thuận giao thức đã được mã hóa và do đó không có bộ lọc ứng dụng nào có thể xử lý những thỏa thuận n ày. Bài viết này sẽ giới thiệu một phương pháp khắc phục vấn đề này. Tuy nhiên, một nhược điểm của phương pháp này đó là nh ững kết nối không được mã hóa sẽ không hoạt động. Một giải pháp khác cần sử dụng đó l à tạo một Server Protocol Definition cho tùy chỉnh cho FTP, sau đó sử dụng công cụ Pesach Shelnizt để ngăn chặn xung đột có thể xảy ra với FTP Server Protocol Definition mặc định. Giới thiệu Một trong những tính năng mới rất quan trong đ ược tích hợp trong IIS 7.0 (cũng được tích hợp trên Windows Server 2008) đó là bảo mật FTP. Bả o mật FTP sử dụng bộ mã hóa TLS để bảo mật dữ liệu trong khi truyền qua các kênh dữ liệu của FTP. Đây là một cải tiến đáng kể so với những phiên bản trước đó của dịch vụ FTP trong IIS (chỉ hỗ trợ các kết nối không đ ược mã hóa). Giao diện cấu hình dịch vụ bảo mật FTP của IIS 7.0. Tuy nhiên, nếu đã từng sử dụng dịch vụ FTP của IIS 7.0 qua một t ường lửa ISA, có thể bạn sẽ nhận thấy rằng mọi thứ không hoạt động theo nh ư ý muốn. Khi kết nối tới máy chủ từ máy trạm bạn sẽ gặp phải lỗi 550 Access Denied (từ chối truy cập). Lỗi xuất hiện trên máy trạm khi cố gắng kết nối tới máy chủ đ ã áp dụng dịch vụ bảo mật FTP Tiếp theo chúng ta sẽ tìm hiểu bản chất của lỗi này và xem xét phương pháp khắc phục. Để làm được điều đó chúng ta cần thực hiện các thao tác sau: Kiểm tra máy trạm FTP  Giám sát hệ thống máy chủ ISA  Kiểm tra máy chủ FTP  Mô hình cài đặt hệ thống máy trạm và máy chủ như sau: FTP client ISA 2006 Win2k8 (IIS7/FTP7) Giả sử địa chỉ IP của máy trạm FTP l à 10.10.10.100. Địa chỉ IP trên giao diện ngoài của hệ thống tường lửa ISA là ISA 10.10.10.254 và địa chỉ IP của máy chủ là 10.10.20.200. Mô hình hệ thống FTP Bước 1: Kết nối vào máy chủ FTP từ máy trạm FTP Khi kiểm tra thông tin bạn sẽ biết đ ược những gì đang xảy ra trên hệ thống. Trước tiên hãy kiểm tra Trace Packet vì nó cho phép chúng ta theo dõi dòng FTP. Packet View Packet trên máy trạm FTP Theo thông tin trong Packet View, máy tr ạm FTP hiển thị thông tin kết nối TCP trong 3 Packet đầu tiên (gồm SYN, SYN ACK và ACK). Sau khi kết nối TCP hoàn thành, giao tiếp FTP sẽ khởi chạy. Lệnh FTP đầu tiên là lệnh máy chủ sử dụng để tự xác định nó nh ư một máy chủ FTP MS. Sau đó máy trạm sẽ phản hồi một thông báo AUTH TL S. Thông thường máy trạm sẽ hiển thị thông báo “hello friendly FTP server, i would like to start an encrypted TLS session”. Máy trạm sẽ phản hồi thông báo này hai lần sau đó nhận lại phản hồi Access is Denied từ máy chủ. Khi kiểm tra những Packet của máy chủ FTP, bạn có thể kiểm tra 3 Packet cho biết thông tin kết nối đầu tiên, trong đó có một gói máy chủ tự thực hiện xác nhận, nhưng chúng ta sẽ không thể thấy đ ược Packet lưu trữ thông tin về FTP của máy chủ FTP trong phi ên AUTH TLS. Packet trên máy chủ FTP Cửa sổ hiển thị thông tin Nếu nhìn vào cửa sổ hiển thị thông tin TCP, chúng ta có thể dễ dàng thấy rằng máy trạm đang gửi thông tin AUTH SSL và máy chủ sẽ không bao giờ nhận được những thông tin này. Bước 2: Kiểm tra thông báo lỗi Access is Denied Những thông tin trên cho thấy một phản hồi 550 Access is Denied đang đ ược gửi tới máy trạm FTP. Tuy nhi ên, không có thông tin nào khẳng định rằng thông tin phản hồi được máy chủ gửi đi. Máy chủ FTP có thể chấp nhận yêu cầu để thực hiện bảo mật kết nối TLS. Như vậy, vấn đề ở đây l à gì? Rõ ràng, có một thiết bị trung gian đã tạo ra phản hồi này và gửi trở lại máy trạm. Để sử dụng thông tin này, hãy kiểm tra file log của ISA Firewall và kiểm tra xem có cấp độ từ chối truy cập hay không. Hình minh họa dưới đây hiển thị những mục log liên quan. Khi nhìn thoáng qua, l ưu lượng có vẻ rất bình thường. ISA chấp nhận gói tin thứ nhất sau đó ngắt kết nối nh ư nó thường làm mỗi khi một phiên kết nối TCP thông thường kết thúc. Vậy thông báo lỗi Access is Denied đ ược gửi đến từ đâu? Để kiểm tra kĩ h ơn, chúng ta cần bổ sung thêm một cột vào cửa sổ file log của ISA có tên Result Code. Sau khi đã chèn thêm cột này chúng ta sẽ thấy được những gì mà Firewall c ủa ISA đang thực hiện. Lưu ý: Bạn có thể kiểm tra ý nghĩa của các Result Code tại đây. Trong Result Code trên thì 0x80074E24 FWX_E_CONNECTION_KILLED cho biết máy chủ ISA đã ngắt một kết nối. ...