Bảo mật hệ thống firewall từ xa bằng SSH

Bảo mật hệ thống firewall từ xa bằng SSH.Hầu hết những hệ thống firewall đều tích tích hợp một thành phần nền tảng Web cho phép người dùng cấu hình những hệ thống firewall này.Điều này cũng đúng với nhiều hệ thống firewall tối thiểu (như Linksys, Dlink, …) và cũng đúng với nhiều hệ thống firewall mã nguồn mở như pfSense. Những hệ thống này thường cung cấp nhiều phương án truy cập giao diện web từ xa qua mạng Internet, tuy nhiên việc truy cập từ xa này lại không được đảm bảo bảo mật.Thay vào đó, nếu...
Nội dung trích xuất từ tài liệu:
Bảo mật hệ thống firewall từ xa bằng SSHBảo mật hệ thống firewall từ xa bằng SSHHầu hết những hệ thống firewall đều tích tích hợp một thành phần nềntảng Web cho phép người dùng cấu hình những hệ thống firewall này.Điều này cũng đúng với nhiều hệ thống firewall tối thiểu (như Linksys, D-link, …) và cũng đúng với nhiều hệ thống firewall mã nguồn mở nhưpfSense. Những hệ thống này thường cung cấp nhiều phương án truy cậpgiao diện web từ xa qua mạng Internet, tuy nhiên việc truy cập từ xa này lạikhông được đảm bảo bảo mật .Thay vào đó, nếu có một hệ thống firewall bên trong mạng có thể chuyển tiếpmột cổng cho SSH (Secure Shell - Một giao thức mạng được sử dụng để cungcấp một kênh bảo mật khi hai máy tính kết nối với nhau), khi đó bạn có thểkích hoạt vào SSH và sử dụng TCP Forwarding để tiếp cận firewall thôngqua hệ thống bên trong mạng này. Hệ thống firewall này có lợi thế phânquyền và khả năng mã hóa mạnh. Nếu hệ thống firewall từ xa đang chạySSH, bạn không cần một hệ thống nội bộ khác để chạy SSH, chỉ cần chạySSH trong hệ thống firewall.Ví dụ, sử dụng đoạn mã sau để hiệu chỉnh ~/.ssh/config và bổ sung một mụcnhập trên hệ thống từ xa:Host remotefwHostname remotefw.remote.comUser adminPort 522LocalForward 8888 192.168.10.1:80Đoạn mã này cho phép bạn chạy lệnh ssh remotefw trên giao diện lệnh đểkết nối vào máy chủ remotefw.remote.com với tên người dùng là admintrên cổng 552. Nó cũng sẽ chuyển tiếp kết nối trên cổng 8888 của hệ thốngcục bộ sang cổng 80 của hệ thống từ xa với địa chỉ IP là 192.168.10.1.Sau đó truy cập vào địa chỉ http://127.0.0.1:8888. Bạn sẽ được nhắc nhởquyền truy cập vào tiện ích cấu hình nền tảng web.Sau khi thực hiện xong cấu hình cho firewall, bạn chỉ cần đóng cửa sổ trìnhduyệt và thoát khỏi phiên làm việc SSH.Nếu tiện ích này không hoạt động, thì máy chủ SSH từ xa cũng sẽ hủy bỏTCP Forwarding. Bạn sẽ phải kết nối vào hệ thống từ xa và kích hoạt mậtkhẩu Allow TcpForwarding và khởi động lại sshd.Lợi ích của việc sử dụng TCP Forwarding trên SSH để truy cập vào những hệthống firewall từ xa thay vì kích hoạt và sử dụng quản trị hệ thống firewall từxa là rất rõ ràng. Nếu sử dụng SSH, bạn có thể giới hạn quyền truy cập củangười dùng vào SSH, và với việc sử dụng thẩm định quyền bằng mật khẩu sẽgiúp ngăn chặn mọi nỗ lực đột nhập vào hệ thống. Ngoài ra nó bảo mật hơnlà nhờ có khả năng mã hóa SSH.Nếu sử dụng phương pháp này bạn có thể cấu hình hệ thống firewall pfSensetừ xa cho máy trạm. Tuy nhiên hệ thống firewall chuyển tiếp một cổng choSSH kết nối vào hệ thống mạng từ xa, do đó bạn cần được cấp phép để thựchiện đăng nhập.Ngoài ra SSH cũng hỗ trợ phát hiện lỗi hay tiến hành nâng cấp cho firewall.