Bảo mật FTP bằng Firewall ISA 2006 (P.2)

Quản trị mạng - Trong phần trước chúng ta đã tìm hiểu vấn đề phát sinh với máy chủ FTP sử dụng hệ thống tường lửa ISA 2006. Khi sử dụng bộ kết nối mạng, chúng ta có thể khẳng định rằng TLS (Transport Layer Security) từ máy trạm bị hệ thống tường lửa ISA từ chối. Hệ thống tường lửa ISA có một bộ lọc lớp ứng dụng hộ trợ cho các kết nối FTP, tuy nhiên bộ lọc này không thể cấu hình (không giống như bộ lọc SMTP). Do bộ lọc lớp ứng dụng FTP tích hợp...
Nội dung trích xuất từ tài liệu:
Bảo mật FTP bằng Firewall ISA 2006 (P.2) Bảo mật FTP bằng Firewall ISA 2006 (P.2)Quản trị mạng - Trong phần trước chúng ta đã tìm hiểu vấn đề phát sinh vớimáy chủ FTP sử dụng hệ thống t ường lửa ISA 2006. Khi sử dụng bộ kết nốimạng, chúng ta có thể khẳng định rằng TLS (Transport Layer Security) từ máytrạm bị hệ thống t ường lửa ISA từ chối.Hệ thống tường lửa ISA có một bộ lọc lớp ứng dụng hộ trợ cho các kết nốiFTP, tuy nhiên bộ lọc này không thể cấu hình (không giống như bộ lọcSMTP). Do bộ lọc lớp ứng dụng FTP tích hợp trên hệ thống tường lửa ISAkhông hỗ trợ TLS do đó người dùng cần phải tắt bỏ bộ lọc này cho tất cả cácRule hoặc một số Rule nhất định. Tốt nhất nên tắt bỏ trên một số Rule nhấtđịnh để các máy trạm SecureNAT có thể sử dụng giao thức FTP cho quá tr ìnhtruy cập ngoài. Sau khi tắt bỏ bộ lọc ứng dụng FTP, kết nối FTP trên máy chủFTP đã được hệ thống t ường lửa ISA bảo mật . Tuy nhiên, người dùng cầnphải thực hiện thêm một thao tác khi đã bảo mật kết nối FTP đó là bảo mậttruyền dữ liệu qua kênh FTP. Phần này sẽ đi sâu vào phương pháp truyền dữliệu qua liên kết FTP bảo mật.Sau khi xác thực máy chủ FTP, chúng ta cần phải liệt kê những thư mục và filetruyền. Thao tác này được thực hiện qua kệnh dữ liệu thứ cấp.Như bạn thấy ở trên, quá trình xác thực vẫn được tiến hành nhưng hệ thốngvẫn treo lệnh 150 kết nối dữ liệu chế độ Opening Binary, v à nếu tiếp tục chờđợi chúng ta sẽ nhận được một thông báo Time out.Như đã nói trong phần trước, chúng ta có thể kiểm tra TCP trong 3 packet chứathông tin kết nối, sau đó quá trình thẩm định quyền FTP sẽ khởi chạy, v à ởphía cuối cửa sổ theo dõi bạn sẽ thấy một số packet l ưu trữ thông tin kết nốiqua kênh dữ liệu.Kênh dữ liệu FTP là kênh kết nối mở TCP thứ hai. Trong quá trình thẩm địnhquyền, máy chủ FTP gửi tới máy trạm FTP thông tin về cổng kết nối động thứcấp cần mở. Sau đó, máy trạm này mở một cổng trên cổng thứ cấp này và thiếtlập kết nối dữ liệu. Cần nhớ rằng cổng thứ cấp này là một cổng cao động ngẫunhiên. Trước khi Windows Vista được tung ra, những cổng cao có thể đ ược lựachọn trong phạm vi 1024 đến 5000. Nh ưng khi Windows Vista được ra mắt thìMicrosoft đã thay đổi lựa chọn cổng ngẫu nhiên, đó là lí do tại sao bạn thấycổng ngẫu nhiên ở đây được đặt là 49198 TCP. Windows Vista và WindowsServer 2008 sử dụng loạt cổng động từ 49152 tới 65535.Mặc định, bộ lọc lớp ứng dụng của hệ thống t ường lửa ISA sẽ giám sát cổngngẫu nhiên này (được sử dụng cho kết nối thứ cấp bởi những cổng mở, độngkhi máy trạm kết nối tới máy chủ FTP). Tuy nhiên, do chúng ta cần tắt bỏ bộlọc ứng dụng này để thực hiện lệnh Auth TLS, do đó chúng ta sẽ thay thế bộlọc ứng dụng FTP trên hệ thống tường lửa ISA bằng một bộ lọc khác. B ước 1Trước tiên bạn cần phải áp dụng ph ương pháp máy chủ FTP chỉ định các cổngngẫu nhiên để có thể gỡ bỏ những cổng không cần thiết và kiểm soát nhữngcổng đang được sử dụng. Sau đó, bạn cũng cần phải thông báo cho máy chủFTP địa chỉ IP công cộng n ào thuộc về hệ thống tường lửa ISA.Bạn hãy thực hiện thao tác này trong cửa sổ cấu hình IIS. Để cài đặt cho nhữngcổng tĩnh bạn phải thực hiện trên máy chủ (không phải trên cấp độ website).Trong cửa sổ này, click đúp vào bi ểu tượng FTP Firewall Support.Trong cửa sổ FTP Firewall Support, bạn có thể nhập bất kì vùng cổng nào. Vídụ nhập vào vùng 5000-5003 rồi nhấn nút Apply.Bước 2Sau đó chúng ta phải cài đặt địa chỉ IP trên cấp độ website. Mở rộng mục Sitesrồi click vào Default Web Site. Ti ếp theo click vào biểu tượng FTP FirewallSupport.Nhập tên địa chỉ IP công cộng vừa sử dụng trong FTP Server Publishing Rulecủa hệ thống tường lửa ISA, rồi nhấn Apply.Lưu ý: Khi nhấn nút Apply mà những cài đặt vừa thực hiện không đ ược ápdụng bạn hãy khởi chạy lại dịch vụ Microsoft FTP Service từ ServiceManagement Console.Bước 3Thao tác cuối cùng cần thực hiện là cấu hình cho FTP Server Publishing Ruletrên hệ thống tường lửa ISA. Tại đây chúng ta sẽ bổ sung thêm vùng cổng cóchức năng như những cổng kết nối chính. Khi hiệu chỉnh FTP ServerPublishing Rule, bạn sẽ không thể hiệu chỉnh Parameters. Đó là do định nghĩagiao thức mặc định và Microsoft không cho phép người dùng thay đổi nhữngđịnh nghĩa này.Để giải quyết vấn đề này, chúng ta sẽ tạo Protocol Definition riêng cho máychủ FTPS. Bạn hãy chọn tab Traffic rồi click New.Nhập tên cho Protocol Definition trên trang Welcome to the New ProtocolDefinition Wizard. Giả sử nhập tên là FTPS (bạn có thể nhập tên tùy thích).Rồi nhấn nút Next.Tiếp theo click nút New trên trang Primary Connection Information.Trong hộp thoại New/Edit Protocol Connection, lựa chọn TCP cho loại giaothức Protocol. Lựa chọn giá trị cho Direction l à Inbound, và cài đặt vùng PortRange với giá trị From là 21 và To là 21. Thực hiện xong nhấn OK.Click lại nút New trên trang Primary Connection Information. Đặt loạiProtocol là TCP. L ựa chọn Inbound cho Di ...