Tìm hiểu về tường lửa Firewall

74 trang phuongnguyen 6490

Download

Bạn đang xem 20 trang mẫu của tài liệu "Tìm hiểu về tường lửa Firewall", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

tim_hieu_ve_tuong_lua_firewall.pdf

Nội dung text: Tìm hiểu về tường lửa Firewall

M•c l•c 1. An toàn thông tin trên m ng ___ Error! Bookmark not defined. 1.1 Ti sao c n có Internet Firewall ___ Error! Bookmark not defined. 1.2 Bn mu n b o v cái gì?___ Error! Bookmark not defined. 1.2.1 D li u c a b n ___ Error! Bookmark not defined. 1.2.2 Tài nguyên c a b n ___ Error! Bookmark not defined. 1.2.3 Danh ti ng c a b n ___ Error! Bookmark not defined. 1.3 Bn mu n b o v ch ng l i cái gì? ___ Error! Bookmark not defined. 1.3.1 Các ki u t n công ___ Error! Bookmark not defined. 1.3.2 Phân lo i k t n công ___ Error! Bookmark not defined. 1.4 Vy Internet Firewall là gì? ___ Error! Bookmark not defined. 1.4.1 nh ngh a___ Error! Bookmark not defined. 1.4.2 Ch c n ng ___ Error! Bookmark not defined. 1.4.3 Cu trúc___ Error! Bookmark not defined. 1.4.4 Các thành ph n c a Firewall và c ch ho t ng Error! Bookmark not defined. 1.4.5 Nh ng h n ch c a firewall ___ Error! Bookmark not defined. 1.4.6 Các ví d firewall ___ Error! Bookmark not defined. 2. Các d ch v Internet ___ Error! Bookmark not defined. 2.1 World Wide Web - WWW___ Error! Bookmark not defined. 2.2 Electronic Mail (Email hay th in t ). ___ Error! Bookmark not defined. 2.3 Ftp (file transfer protocol hay d ch v chuy n file) ___ Error! Bookmark not defined. 2.4 Telnet và rlogin ___ Error! Bookmark not defined. 2.5 Archie___ Error! Bookmark not defined. 2.6 Finger ___ Error! Bookmark not defined. 2
3. H th ng Firewall xây d ng b i CSE_Error! Bookmark not defined. 3.1 T ng quan ___ Error! Bookmark not defined. 3.2 Các thành ph n c a b ch ng trình proxy:_ Error! Bookmark not defined. 3.2.1 Smap: D ch v SMTP ___ Error! Bookmark not defined. 3.2.2 Netacl: công c iu khi n truy nh p m ng ___ Error! Bookmark not defined. 3.2.3 Ftp-Gw: Proxy server cho Ftp ___ Error! Bookmark not defined. 3.2.4 Telnet-Gw: Proxy server cho Telnet___ Error! Bookmark not defined. 3.2.5 Rlogin-Gw: Proxy server cho rlogin___ Error! Bookmark not defined. 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net___ Error! Bookmark not defined. 3.2.7 Plug-Gw: TCP Plug-Board Connection server___ Error! Bookmark not defined. 3.3 Cài t ___ Error! Bookmark not defined. 3.4 Thi t l p c u hình: ___ Error! Bookmark not defined. 3.4.1 Cu hình m ng ban u___ Error! Bookmark not defined. 3.4.2 Cu hình cho Bastion Host ___ Error! Bookmark not defined. 3.4.3 Thi t l p t p h p quy t c___ Error! Bookmark not defined. 3.4.4 Xác th c và d ch v xác th c ___ Error! Bookmark not defined. 3.4.5 S d ng màn hình iu khi n CSE Proxy: ___ Error! Bookmark not defined. 3.4.6 Các v n c n quan tâm v i ng i s d ng ___ Error! Bookmark not defined. 3
1. An toàn thông tin trên m ng 1.1 Ti sao c n có Internet Firewall Hi n nay, khái ni m m ng toàn c u - Internet không còn mi m . Nó ã tr nên ph bi n t i m c không c n ph i chú gi i gì thêm trong nh ng t p chí k thu t, còn trên nh ng tp chí khác thì tràn ng p nh ng bài vi t dài, ng n v Internet. Khi nh ng t p chí thông th ng chú tr ng vào Internet thì gi ây, nh ng t p chí k thu t l i t p trung vào khía c nh khác: an toàn thông tin. ó cùng là m t quá trình ti n tri n h p logic: khi nh ng vui thích ban u v m t siêu xa l thông tin, b n nh t nh nh n th y r !ng không ch " cho phép b n truy nh p vào nhi u n i trên th gi i, Internet còn cho phép nhi u ng i không m i mà t ý ghé th m máy tính c a b n. Th c v y, Internet có nh ng k thu t tuy t v i cho phép m i ng i truy nh p, khai thác, chia s thông tin. Nh ng nó c#ng là nguy c chính d $n n thông tin c a b n b h h %ng ho &c phá hu ' hoàn toàn. Theo s ( li u c a CERT(Computer Emegency Response Team - “ i c p c u máy tính”), s ( l ng các v t n công trên Internet c thông báo cho t ch c này là ít h n 200 vào n m 1989, kho ng 400 vào n m 1991, 1400 vào n m 1993, và 2241 vào n m 1994. Nh ng v t n công này nh !m vào t t c các máy tính có m &t trên Internet, các máy tính ca t t c các công ty l n nh AT&T, IBM, các tr ng i h c, các c quan nhà n c, các t ch c quân s , nhà b ng Mt s ( v t n công có quy mô kh ng l ) (có t i 100.000 máy tính b t n công). H n n a, nh ng con s ( này ch " là ph n n i c a t ng b ng. M t ph n r t l n các v t n công 4
không c thông báo, vì nhi u lý do, trong ó có th k n n *i lo b m t uy tín, ho &c n gi n nh ng ng i qu n tr h th (ng không h hay bi t nh ng cu c t n công nh !m vào h th (ng c a h . Không ch " s ( l ng các cu c t n công t ng lên nhanh chóng, mà các ph ng pháp t n công c #ng liên t c c hoàn thi n. iu ó m t ph n do các nhân viên qu n tr h th (ng c k t n (i v i Internet ngày càng cao c nh giác. C #ng theo CERT, nh ng cu c t n công th i k + 1988- 1989 ch y u oán tên ng i s d ng-mt kh ,u (UserID- password) ho &c s d ng m t s ( l *i c a các ch ng trình và h iu hành (security hole) làm vô hi u h th (ng b o v , tuy nhiên các cu c t n công vào th i gian g n ây bao g)m c các thao tác nh gi m o a ch " IP, theo dõi thông tin truy n qua m ng, chi m các phiên làm vi c t - xa (telnet ho &c rlogin). 5
1.2 Bn mu n b o v cái gì? Nhi m v c b n c a Firewall là b o v . N u b n mu (n xây dng firewall, vi c u tiên b n c n xem xét chính là b n cn b o v cái gì. 1.2.1 D li u c a b n Nh ng thông tin l u tr trên h th (ng máy tính c n c bo v do các yêu c u sau: ° Bo m t: Nh ng thông tin có giá tr v kinh t , quân s , chính sách vv c n c gi kín. ° Tính toàn v .n: Thông tin không b m t mát ho &c s a i, ánh tráo. ° Tính k p th i: Yêu c u truy nh p thông tin vào úng th i im c n thi t. Trong các yêu c u này, thông th ng yêu c u v b o m t c coi là yêu c u s ( 1 (i v i thông tin l u tr trên m ng. Tuy nhiên, ngay c khi nh ng thông tin này không c gi bí m t, thì nh ng yêu c u v tính toàn v .n c #ng r t quan tr ng. Không m t cá nhân, m t t ch c nào lãng phí tài nguyên v t ch t và th i gian l u tr nh ng thông tin mà không bi t v tính úng n c a nh ng thông tin ó. 1.2.2 Tài nguyên c a b n Trên th c t , trong các cu c t n công trên Internet, k t n công, sau khi ã làm ch c h th (ng bên trong, có th s dng các máy này ph c v cho m c ích c a mình nh ch y các ch ng trình dò m t kh ,u ng i s d ng, s d ng các liên k t m ng s /n có ti p t c t n công các h th (ng khác vv 6
1.2.3 Danh ti ng c a b n Nh trên ã nêu, m t ph n l n các cu c t n công không c thông báo r ng rãi, và m t trong nh ng nguyên nhân là n *i lo b m t uy tín c a c quan, &c bi t là các công ty ln và các c quan quan tr ng trong b máy nhà n c. Trong tr ng h p ng i qu n tr h th (ng ch " c bi t n sau khi chính h th (ng c a mình c dùng làm bàn p t n công các h th (ng khác, thì t n th t v uy tín là rt l n và có th l i h u qu lâu dài. 7
1.3 Bn mu n b o v ch ng l i cái gì? Còn nh ng gì b n c n ph i lo l ng. B n s 0 ph i ng u vi nh ng ki u t n công nào trên Internet và nh ng k nào s0 th c hi n chúng? 1.3.1 Các ki u t n công Có r t nhi u ki u t n công vào h th (ng, và có nhi u cách phân lo i nh ng ki u t n công này. ây, chúng ta chia thành 3 ki u chính nh sau: 1.3.1.1 Tn công tr c ti p Nh ng cu c t n công tr c ti p thông th ng c s d ng trong giai on u chi m c quy n truy nh p bên trong. M t ph ng pháp t n công c in là dò c &p tên ng i s d ng-mt kh ,u. ây là ph ng pháp n gi n, d 1 th c hi n và không òi h %i m t iu ki n &c bi t nào bt u. K t n công có th s d ng nh ng thông tin nh tên ng i dùng, ngày sinh, a ch ", s ( nhà vv oán m t kh ,u. Trong tr ng h p có c danh sách ng i s d ng và nh ng thông tin v môi tr ng làm vi c, có m t tr ng trình t ng hoá v vi c dò tìm m t kh ,u này. m t tr ng trình có th d 1 dàng l y c t - Internet gi i các m t kh ,u ã mã hoá c a các h th (ng unix có tên là crack , có kh n ng th các t h p các t - trong m t t - in l n, theo nh ng quy t c do ng i dùng t nh ngh a. Trong m t s ( tr ng h p, kh n ng thành công c a ph ng pháp này có th lên t i 30%. Ph ng pháp s d ng các l *i c a ch ng trình ng d ng và bn thân h iu hành ã c s d ng t - nh ng v t n công u tiên và v $n c ti p t c chi m quy n truy 8
nh p. Trong m t s ( tr ng h p ph ng pháp này cho phép k t n công có c quy n c a ng i qu n tr h th (ng (root hay administrator ). Hai ví d th ng xuyên c a ra minh ho cho ph ng pháp này là ví d v i ch ng trình sendmail và ch ng trình rlogin c a h iu hành UNIX. Sendmail là m t ch ng trình ph c t p, v i mã ngu )n bao g)m hàng ngàn dòng l nh c a ngôn ng C. Sendmail c ch y v i quy n u tiên c a ng i qu n tr h th (ng, do ch ng trình ph i có quy n ghi vào h p th c a nh ng ng i s d ng máy. Và Sendmail tr c ti p nh n các yêu cu v th tín trên m ng bên ngoài. ây chính là nh ng yu t ( làm cho sendmail tr thành m t ngu )n cung c p nh ng l * h ng v b o m t truy nh p h th (ng. Rlogin cho phép ng i s d ng t - m t máy trên m ng truy nh p t - xa vào m t máy khác s d ng tài nguyên c a máy này. Trong quá trình nh n tên và m t kh ,u c a ng i s dng, rlogin không ki m tra dài c a dòng nh p, do ó k t n công có th a vào m t xâu ã c tính toán tr c ghi è lên mã ch ng trình c a rlogin, qua ó chi m c quy n truy nh p. 1.3.1.2 Nghe tr m Vi c nghe tr m thông tin trên m ng có th a l i nh ng thông tin có ích nh tên-mt kh ,u c a ng i s d ng, các thông tin m t chuy n qua m ng. Vi c nghe tr m th ng c ti n hành ngay sau khi k t n công ã chi m c quy n truy nh p h th (ng, thông qua các ch ng trình cho phép a v " giao ti p m ng (Network Interface Card-NIC) vào ch nh n toàn b các thông tin l u truy n trên m ng. 9
Nh ng thông tin này c #ng có th d 1 dàng l y c trên Internet. 1.3.1.3 Gi m o a ch Vi c gi m o a ch " IP có th c th c hi n thông qua vi c s d ng kh n ng d $n ng tr c ti p ( source- routing ). V i cách t n công này, k t n công g i các gói tin IP t i m ng bên trong v i m t a ch " IP gi m o (thông th ng là a ch " c a m t m ng ho &c m t máy c coi là an toàn (i v i m ng bên trong), )ng th i ch " rõ ng d$n mà các gói tin IP ph i g i i. 1.3.1.4 Vô hi u hoá các ch c n ng c a h th ng (denial of service) ây là k u t n công nh !m tê li t h th (ng, không cho nó th c hi n ch c n ng mà nó thi t k . Ki u t n công này không th ng n ch &n c, do nh ng ph ng ti n c t ch c t n công c #ng chính là các ph ng ti n làm vi c và truy nh p thông tin trên m ng. Ví d s d ng l nh ping v i t(c cao nh t có th , bu c m t h th (ng tiêu hao toàn b t(c tính toán và kh n ng c a m ng tr l i các l nh này, không còn các tài nguyên th c hi n nh ng công vi c có ích khác. 1.3.1.5 Li c a ng i qu n tr h th ng ây không ph i là m t ki u t n công c a nh ng k t nh p, tuy nhiên l *i c a ng i qu n tr h th (ng th ng t o ra nh ng l * h ng cho phép k t n công s d ng truy nh p vào m ng n i b . 10
1.3.1.6 Tn công vào y u t con ng i K t n công có th liên l c v i m t ng i qu n tr h th (ng, gi làm m t ng i s d ng yêu c u thay i m t kh ,u, thay i quy n truy nh p c a mình (i v i h th (ng, ho &c th m chí thay i m t s ( c u hình c a h th (ng th c hi n các ph ng pháp t n công khác. V i ki u t n công này không m t thi t b nào có th ng n ch &n m t cách h u hi u, và ch " có m t cách giáo d c ng i s d ng m ng n i b v nh ng yêu c u b o m t cao c nh giác v i nh ng hi n tng áng nghi. Nói chung y u t ( con ng i là m t im yu trong b t k + m t h th (ng b o v nào, và ch " có s giáo dc c ng v i tinh th n h p tác t - phía ng i s d ng có th nâng cao c an toàn c a h th (ng b o v . 1.3.2 Phân lo i k t n công Có r t nhi u k t n công trên m ng toàn c u – Internet và chúng ta c #ng không th phân lo i chúng m t cách chính xác, b t c m t b n phân lo i ki u này c #ng ch " nên c xem nh là m t s gi i thi u h n là m t cách nhìn r p khuôn. 1.3.2.1 Ng i qua ng Ng i qua ng là nh ng k bu )n chán v i nh ng công vi c th ng ngày, h mu (n tìm nh ng trò gi i trí m i. H t nh p vào máy tính c a b n vì h ngh b n có th có nh ng d li u hay, ho &c b i vì h c m th y thích thú khi s dng máy tính c a ng i khác, ho &c ch " n gi n là h không tìm c m t vi c gì hay h n làm. H có th là ng i tò mò nh ng không ch nh làm h i b n. Tuy nhiên, h th ng gây h h %ng h th (ng khi t nh p hay khi xoá b% d u v t c a h . 11
1.3.2.2 K phá ho i K phá ho i ch nh phá ho i h th (ng c a b n, h có th không thích b n, h c #ng có th không bi t b n nh ng h tìm th y ni m vui khi i phá ho i. Thông th ng, trên Internet k phá ho i khá hi m. M i ng i không thích h . Nhi u ng i còn thích tìm và ch &n ng nh ng k phá ho i. Tuy ít nh ng k phá ho i th ng gây h %ng tr m tr ng cho h th (ng c a b n nh xoá toàn b d li u, phá h %ng các thi t b trên máy tính c a b n 1.3.2.3 K ghi im Rt nhi u k qua ng b cu (n hút vào vi c t nh p, phá ho i. H mu (n c kh 2ng nh mình thông qua s ( l ng và các ki u h th (ng mà h ã t nh p qua. t nh p c vào nh ng n i n i ti ng, nh ng n i phòng b ch &t ch 0, nh ng n i thi t k tinh x o có giá tr nhi u im (i v i h . Tuy nhiên h c #ng s 0 t n công t t c nh ng n i h có th , vi m c ích s ( l ng c #ng nh m c ích ch t l ng. Nh ng ng i này không quan tâm n nh ng thông tin b n có hay nh ng &c tính khác v tài nguyên c a b n. Tuy nhiên t c m c ích là t nh p, vô tình hay h u ý h s 0 làm h h %ng h th (ng c a b n. 1.3.2.4 Gián ip Hi n nay có r t nhi u thông tin quan tr ng c l u tr trên máy tính nh các thông tin v quân s , kinh t Gián ip máy tính là m t v n ph c t p và khó phát hi n. Th c t , ph n l n các t ch c không th phòng th ki u t n công này mt cách hi u qu và b n có th ch c r !ng ng liên k t 12
vi Internet không ph i là con ng d 1 nh t gián ip thu l m thông tin. 13
1.4 Vy Internet Firewall là gì? 1.4.1 nh ngh a Thu t ng Firewall có ngu )n g (c t - m t k thu t thi t k trong xây d ng ng n ch &n, h n ch ho ho n. Trong công ngh m ng thông tin, Firewall là m t k thu t c tích h p vào h th (ng m ng ch (ng s truy c p trái phép nh !m b o v các ngu )n thông tin n i b c #ng nh h n ch s xâm nh p vào h th (ng c a m t s ( thông tin khác không mong mu (n. C #ng có th hi u r !ng Firewall là m t c ch b o v m ng tin t ng (trusted network) kh %i các m ng không tin t ng (untrusted network). Internet Firewall là m t thi t b (ph n c ng+ph n m m) gi a m ng c a m t t ch c, m t công ty, hay m t qu (c gia (Intranet) và Internet. Nó th c hi n vai trò b o m t các thông tin Intranet t - th gi i Internet bên ngoài. 1.4.2 Ch c n ng Internet Firewall (t - nay v sau g i t t là firewall) là m t thành ph n &t gi a Intranet và Internet ki m soát t t c các vi c l u thông và truy c p gi a chúng v i nhau bao g)m: • Firewall quy t nh nh ng d ch v nào t - bên trong c phép truy c p t - bên ngoài, nh ng ng i nào t - bên ngoài c phép truy c p n các d ch v bên trong, và c nh ng d ch v nào bên ngoài c phép truy c p b i nh ng ng i bên trong. 14
• firewall làm vi c hi u qu , t t c trao i thông tin t- trong ra ngoài và ng c l i u ph i th c hi n thông qua Firewall. • Ch " có nh ng trao i nào c phép b i ch an ninh ca h th (ng m ng n i b mi c quy n l u thông qua Firewall. S ) ch c n ng h th (ng c a firewall c mô t nh trong hình 2.1 Intranet firewall Internet Hình 2.1 S ) ch c n ng h th (ng c a firewall 1.4.3 Cu trúc Firewall bao g )m: • Mt ho &c nhi u h th (ng máy ch k t n (i v i các b nh tuy n (router) ho &c có ch c n ng router. • Các ph n m m qu n lý an ninh ch y trên h th (ng máy ch . Thông th ng là các h qu n tr xác th c (Authentication), c p quy n (Authorization) và k toán (Accounting). Chúng ta s 0 c p k h n các ho t ng c a nh ng h này ph n sau. 15
1.4.4 Các thành ph n c a Firewall và c ch ho t ng Mt Firewall chu ,n bao g )m m t hay nhi u các thành ph n sau ây: • B l c packet ( packet-filtering router ) • Cng ng d ng (application-level gateway hay proxy server ) • Cng m ch (circuite level gateway) 1.4.4.1 B l c gói tin (Packet filtering router) 1.4.4.1.1 Nguyên lý: Khi nói n vi c l u thông d li u gi a các m ng v i nhau thông qua Firewall thì iu ó có ngh a r !ng Firewall ho t ng ch &t ch 0 v i giao th c liên m ng TCP/IP. Vì giao th c này làm vi c theo thu t toán chia nh % các d li u nh n c t- các ng d ng trên m ng, hay nói chính xác h n là các d ch v ch y trên các giao th c (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói d li u (data packets) r )i gán cho các packet này nh ng a ch " có th nh n d ng, tái lp l i ích c n g i n, do ó các lo i Firewall c #ng liên quan r t nhi u n các packet và nh ng con s ( a ch " c a chúng. B l c packet cho phép hay t - ch (i m *i packet mà nó nh n c. Nó ki m tra toàn b on d li u quy t nh xem on d li u ó có tho mãn m t trong s ( các lu t l c a l c packet hay không. Các lu t l l c packet này là d a trên các thông tin u m *i packet (packet header), dùng cho phép truy n các packet ó trên m ng. ó là: • a ch " IP n i xu t phát ( IP Source address) 16
• a ch " IP n i nh n (IP Destination address) • Nh ng th t c truy n tin (TCP, UDP, ICMP, IP tunnel) • Cng TCP/UDP n i xu t phát (TCP/UDP source port) • Cng TCP/UDP n i nh n (TCP/UDP destination port) • Dng thông báo ICMP ( ICMP message type) • giao di n packet n ( incomming interface of packet) • giao di n packet i ( outcomming interface of packet) Nu lu t l l c packet c tho mãn thì packet c chuy n qua firewall. N u không packet s 0 b b % i. Nh v y mà Firewall có th ng n c n c các k t n (i vào các máy ch ho &c m ng nào ó c xác nh, ho &c khoá vi c truy cp vào h th (ng m ng n i b t - nh ng a ch " không cho phép. H n n a, vi c kim soát các c ng làm cho Firewall có kh n ng ch " cho phép m t s ( lo i k t n (i nh t nh vào các lo i máy ch nào ó, ho &c ch " có nh ng d ch v nào ó (Telnet, SMTP, FTP ) c phép m i ch y c trên h th (ng m ng c c b . 1.4.4.1.2 3u im ° a s ( các h th (ng firewall u s d ng b l c packet . Mt trong nh ng u im c a ph ng pháp dùng b l c packet là chi phí th p vì c ch l c packet ã c bao g)m trong m *i ph n m m router. ° Ngoài ra, b l c packet là trong su (t (i v i ng i s dng và các ng d ng, vì v y nó không yêu c u s hu n luy n &c bi t nào c . 1.4.4.1.3 Hn ch : 17
Vi c nh ngh a các ch l c packet là m t vi c khá ph c tp, nó òi h %i ng i qu n tr m ng c n có hi u bi t chi ti t v các d ch v Internet, các d ng packet header , và các giá tr c th mà h có th nh n trên m *i tr ng. Khi òi h %i v s l c càng l n, các lu t l v l c càng tr nên dài và ph c tp, r t khó qu n lý và iu khi n. Do làm vi c d a trên header c a các packet , rõ ràng là b l c packet không ki m soát c n i dung thông tin c a packet . Các packet chuy n qua v $n có th mang theo nh ng hành ng v i ý ) n c p thông tin hay phá ho i c a k xu. 1.4.4.2 Cng ng d ng (application-level gateway) 1.4.4.2.1 Nguyên lý ây là m t lo i Firewall c thi t k t ng c ng ch c n ng ki m soát các lo i d ch v , giao th c c cho phép truy c p vào h th (ng m ng. C ch ho t ng c a nó d a trên cách th c g i là Proxy service (d ch v i di n). Proxy service là các b ch ng trình &c bi t cài &t trên gateway cho t -ng ng d ng. N u ng i qu n tr m ng không cài &t ch ng trình proxy cho m t ng d ng nào ó, d ch v t ng ng s 0 không c cung c p và do ó không th chuy n thông tin qua firewall. Ngoài ra, proxy code có th c nh c u hình h * tr ch " m t s ( &c im trong ng d ng mà ng òi qu n tr m ng cho là ch p nh n c trong khi t - ch (i nh ng &c im khác. Mt c ng ng d ng th ng c coi nh là m t pháo ài (bastion host), b i vì nó c thi t k &t bi t ch (ng l i s t n công t - bên ngoài. Nh ng bi n pháp m b o an ninh ca m t bastion host là: 18
° Bastion host luôn ch y các version an toàn (secure version) c a các ph n m m h th (ng (Operating system). Các version an toàn này c thi t k chuyên cho m c ích ch (ng l i s t n công vào Operating System, c #ng nh là m b o s tích h p firewall. ° Ch " nh ng d ch v mà ng i qu n tr m ng cho là c n thi t m i c cài &t trên bastion host, n gi n ch " vì nu m t d ch v không c cài &t, nó không th b t n công. Thông th ng, ch " m t s ( gi i h n các ng d ng cho các d ch v Telnet, DNS, FTP, SMTP và xác th c user là c cài &t trên bastion host. ° Bastion host có th yêu c u nhi u m c xác th c khác nhau, ví d nh user password hay smart card. ° M*i proxy c &t c u hình cho phép truy nh p ch " mt s ) các máy ch nh t nh. iu này có ngh a r !ng b l nh và &c im thi t l p cho m *i proxy ch " úng vi m t s ( máy ch trên toàn h th (ng. ° M*i proxy duy trì m t quy n nh t ký ghi chép l i toàn b chi ti t c a giao thông qua nó, m *i s k t n (i, kho ng th i gian k t n(i. Nh t ký này r t có ích trong vi c tìm theo d u v t hay ng n ch &n k phá ho i. ° M*i proxy u c l p v i các proxies khác trên bastion host. iu này cho phép d 1 dàng quá trình cài &t m t proxy m i, hay tháo g 4 môt proxy ang có v n . Ví d : Telnet Proxy Ví d m t ng i (g i là outside client) mu (n s d ng d ch v TELNET k t n (i vào h th (ng m ng qua môt bastion host có Telnet proxy. Quá trình x y ra nh sau: 19
1. Outside client telnets n bastion host. Bastion host ki m tra password, n u h p l thì outside client c phép vào giao di n c a Telnet proxy. Telnet proxy cho phép m t t p nh % nh ng l nh c a Telnet, và quy t nh nh ng máy ch n i b nào outside client c phép truy nh p. 2. Outside client ch " ra máy ch ích và Telnet proxy t o mt k t n (i c a riêng nó t i máy ch bên trong, và chuy n các l nh t i máy ch d i s u ' quy n c a outside client. Outside client thì tin r !ng Telnet proxy là máy ch th t bên trong, trong khi máy ch bên trong thì tin r !ng Telnet proxy là client th t. 1.4.4.2.2 3u im: ° Cho phép ng i qu n tr m ng hoàn toàn iu khi n c t -ng d ch v trên m ng, b i vì ng d ng proxy hn ch b l nh và quy t nh nh ng máy ch nào có th truy nh p c b i các d ch v . ° Cho phép ng i qu n tr m ng hoàn toàn iu khi n c nh ng d ch v nào cho phép, b i vì s v ng m &t ca các proxy cho các d ch v t ng ng có ngh a là các d ch v y b khoá. ° Cng ng d ng cho phép ki m tra xác th c r t t (t, và nó có nh t ký ghi chép l i thông tin v truy nh p h th (ng. ° Lu t l filltering (l c) cho c ng ng d ng là d 1 dàng c u hình và ki m tra h n so v i b l c packet. 1.4.4.2.3 Hn ch : 20
Yêu c u các users bi n i (modìy) thao tác, ho &c modìy ph n m m ã cài &t trên máy client cho truy nh p vào các d ch v proxy. Ví d , Telnet truy nh p qua c ng ng d ng òi h %i hai b c ê n (i v i máy ch ch không ph i là m t bc thôi. Tuy nhiên, c #ng ã có m t s ( ph n m m client cho phép ng d ng trên c ng ng d ng là trong su (t, b !ng cách cho phép user ch " ra máy ích ch không ph i c ng ng d ng trên l nh Telnet. 1.4.4.3 Cng vòng (circuit-Level Gateway) Cng vòng là m t ch c n ng &c bi t có th th c hi n c bi m t c ng ng d ng. C ng vòng n gi n ch " chuy n ti p (relay) các k t n (i TCP mà không th c hi n b t k + m t hành ng x lý hay l c packet nào. Hình 2.2 minh ho m t hành ng s d ng n (i telnet qua cng vòng. C ng vòng n gi n chuy n ti p k t n (i telnet qua firewall mà không th c hi n m t s ki m tra, l c hay iu khi n các th t c Telnet nào.C ng vòng làm vi c nh mt s i dây,sao chép các byte gi a k t n (i bên trong (inside connection) và các k t n (i bên ngoài (outside connection). Tuy nhiên, vì s k t n (i này xu t hi n t - h th (ng firewall, nó che d u thông tin v m ng n i b . Cng vòng th ng c s d ng cho nh ng k t n (i ra ngoài, n i mà các qu n tr m ng th t s tin t ng nh ng ng i dùng bên trong. 3u im l n nh t là m t bastion host có th c c u hình nh là m t h *n h p cung c p C ng ng d ng cho nh ng k t n (i n, và c ng vòng cho các k t n(i i. iu này làm cho h th (ng b c t ng l a d 1 dàng s dng cho nh ng ng i trong m ng n i b mu (n tr c ti p truy nh p t i các d ch v Internet, trong khi v $n cung c p 21
ch c n ng b c t ng l a b o v m ng n i b t - nh ng s t n công bên ngoài. out in out in out in outside host Inside host Circuit-level Gateway Hình 2.2 C ng vòng 1.4.5 Nh ng h n ch c a firewall ° Firewall không thông minh nh con ng i có th c hi u t -ng lo i thông tin và phân tích n i dung t (t hay x u c a nó. Firewall ch " có th ng n ch &n s xâm nh p c a nh ng ngu )n thông tin không mong mu (n nh ng ph i xác nh rõ các thông s ( a ch ". ° Firewall không th ng n ch &n m t cu c t n công n u cu c t n công này không "i qua" nó. M t cách c th , firewall không th ch (ng l i m t cu c t n công t - m t ng dial-up, ho &c s dò r " thông tin do d li u b sao chép b t h p pháp lên a m m. ° Firewall c #ng không th ch (ng l i các cu c t n công b !ng d li u (data-driven attack). Khi có m t s ( ch ng trình c chuy n theo th in t , v t qua firewall vào trong m ng c b o v và b t u ho t ng ây. ° Mt ví d là các virus máy tính. Firewall không th làm nhi m v rà quét virus trên các d li u c chuy n qua nó, do t (c làm vi c, s xu t hi n liên t c c a các 22
virus m i và do có r t nhi u cách mã hóa d li u, thoát kh %i kh n ng ki m soát c a firewall. 1.4.6 Các ví d firewall 1.4.6.1 Packet-Filtering Router (B trung chuy n có l c gói) H th (ng Internet firewall ph bi n nh t ch " bao g )m m t packet-filtering router &t gi a m ng n i b và Internet (Hình 2.3). M t packet-filtering router có hai ch c n ng: chuy n ti p truy n thông gi a hai m ng và s d ng các quy lu t v l c gói cho phép hay t - ch (i truy n thông. C n bn, các quy lu t l c c nh ngh a sao cho các host trên mng n i b c quy n truy nh p tr c ti p t i Internet, trong khi các host trên Internet ch " có m t s ( gi i h n các truy nh p vào các máy tính trên m ng n i b . T tng c a mô c u trúc firewall này là t t c nh ng gì không c ch " ra rõ ràng là cho phép thì có ngh a là b t - ch (i. Bªn ngoµi Packet filtering Bªn trong router M¹ng néi bé The Internet Hình 2.3 Packet-filtering router u im: ° giá thành th p (vì c u hình n gi n) 23
° trong su (t (i v i ng i s d ng Hn ch : ° Có t t c h n ch c a m t packet-filtering router, nh là d1 b t n công vào các b l c mà c u hình c &t không hoàn h o, ho &c là b t n công ng m d i nh ng d ch v ã c phép. ° Bi vì các packet c trao i tr c tip gi a hai m ng thông qua router , nguy c b t n công quy t nh b i s ( lng các host và d ch v c phép. iu ó d $n n m*i m t host c phép truy nh p tr c ti p vào Internet cn ph i c cung c p m t h th (ng xác th c ph c t p, và th ng xuyên ki m tra b i ng i qu n tr m ng xem có d u hi u c a s t n công nào không. ° Nu m t packet-filtering router do m t s c ( nào ó ng -ng ho t ng, t t c h th (ng trên m ng n i b có th b t n công. 1.4.6.2 Screened Host Firewall H th (ng này bao g )m m t packet-filtering router và m t bastion host (hình 2.4). H th (ng này cung c p b o m t cao h n h th (ng trên, vì nó th c hi n c b o m t t ng network( packet-filtering ) và t ng ng d ng (application level). )ng th i, k t n công ph i phá v 4 c hai t ng b o mt t n công vào m ng n i b . 24
Bªn trong Bªn ngoµi Packet filtering Bastion host router m¸y néi bé The Internet Information server Hình 2.4 Screened host firewall (Single- Homed Bastion Host) Trong h th(ng này, bastion host c c u hình trong mng n i b . Qui lu t filtering trên packet-filtering router c nh ngh a sao cho t t c các h th (ng bên ngoài ch " có th truy nh p bastion host; Vi c truy n thông t i t t c các h th (ng bên trong u b khoá. B i vì các h th (ng n i b và bastion host trên cùng m t m ng, chính sách b o mt c a m t t ch c s 0 quy t nh xem các h th (ng n i b c phép truy nh p tr c ti p vào bastion Internet hay là chúng ph i s d ng d ch v proxy trên bastion host. Vi c bt bu c nh ng user n i b c th c hi n b !ng cách &t cu hình b l c c a router sao cho ch " ch p nh n nh ng truy n thông n i b xu t phát t - bastion host. u im: 25
Máy ch cung c p các thông tin công c ng qua d ch v Web và FTP có th &t trên packet-filtering router và bastion. Trong tr ng h p yêu c u an toàn cao nh t, bastion host có th ch y các d ch v proxy yêu c u t t c các user c trong và ngoài truy nh p qua bastion host tr c khi n (i v i máy ch . Tr ng h p không yêu c u an toàn cao thì các máy n i b có th n (i th 2ng v i máy ch . Nu c n b o m t cao h n n a thì có th dùng h th (ng firewall dual-home (hai chi u) bastion host (hình 2.5). M t h th (ng bastion host nh v y có 2 giao di n m ng (network interface), nh ng khi ó kh n ng truy n thông tr c ti p gi a hai giao di n ó qua d ch v proxy là b c m. Bªn trong Bªn ngoµi Packet filtering Bastion host router m¸y néi bé The Internet Information server Hình 2.5 Screened host firewall (Dual- Homed Bastion Host) Bi vì bastion host là h th (ng bên trong duy nh t có th truy nh p c t - Internet, s t n công c #ng ch " gi i h n 26
n bastion host mà thôi. Tuy nhiên, n u nh ng i dùng truy nh p c vào bastion host thì h có th d 1 dàng truy nh p toàn b m ng n i b . Vì v y c n ph i c m không cho ng i dùng truy nh p vào bastion host. 1.4.6.3 Demilitarized Zone (DMZ - khu v c phi quân s ) hay Screened-subnet Firewall H th (ng này bao g )m hai packet-filtering router và m t bastion host (hình 2.6). H th (ng firewall này có an toàn cao nh t vì nó cung c p c m c b o m t : network và application trong khi nh ngh a m t m ng “phi quân s ”. Mng DMZ óng vai trò nh m t m ng nh %, cô l p &t gi a Internet và m ng n i b . C b n, m t DMZ c c u hình sao cho các h th (ng trên Internet và m ng n i b ch " có th truy nh p c m t s ( gi i h n các h th (ng trên m ng DMZ, và s truy n tr c ti p qua m ng DMZ là không th c. Vi nh ng thông tin n, router ngoài ch (ng l i nh ng s tn công chu ,n (nh gi m o a ch " IP), và iu khi n truy nh p t i DMZ. Nó cho phép h th (ng bên ngoài truy nh p ch " bastion host, và có th c information server. Router trong cung c p s b o v th hai b !ng cách iu khi n DMZ truy nh p m ng n i b ch " v i nh ng truyn thông b t u t - bastion host. Vi nh ng thông tin i, router trong iu khi n m ng n i b truy nh p t i DMZ. Nó ch " cho phép các h th (ng bên trong truy nh p bastion host và có th c information server. Quy lu t filtering trên router ngoài yêu c u s dung dich v proxy b !ng cách ch " cho phép thông tin ra b t ngu )n t - bastion host. 27
u im: ° K t n công c n phá v 4 ba t ng b o v : router ngoài, bastion host và router trong. ° Bi vì router ngoài ch " qu ng cáo DMZ network t i Internet, h th (ng m ng n i b là không th nhìn th y (invisible). Ch " có m t s ( h th (ng ã c ch n ra trên DMZ là c bi t n b i Internet qua routing table và DNS information exchange (Domain Name Server). ° Bi vì router trong ch " qu ng cáo DMZ network t i mng n i b , các h th (ng trong m ng n i b không th truy nh p tr c ti p vào Internet. iu nay m b o r !ng nh ng user bên trong b t bu c ph i truy nh p Internet qua d ch v proxy. Bªn trong DMZ Bªn ngoµi Packet filtering Bastion host router The Internet Outside router Inside router Information server 28
Hình 2.6 Screened-Subnet Firewall 29
2. Các d ch v Internet Nh ã trình bày trên, nhìn chung b n ph i xác nh b n bo v cái gì khi thi t l p liên k t ra m ng ngoài hay Internet: d li u, tài nguyên, danh ti ng. Khi xây dng m t Firewall, b n ph i quan tâm n nh ng v n c th h n: bn ph i b o v nh ng d ch v nào b n dùng ho &c cung c p cho m ng ngoài (hay Internet). Internet cung c p m t h th (ng các d ch v cho phép ng i dùng n (i vào Internet truy nh p và s d ng các thông tin trên m ng Internet. H th (ng các d ch v này ã và ang c b sung theo s phát tri n không ng -ng c a Internet. Các d ch v này bao g )m World Wide Web (g i t t là WWW ho &c Web), Email (th in t ), Ftp (file transfer protocols - d ch v chuy n file), telnet ( ng d ng cho phép truy nh p máy tính xa), Archie (h th (ng xác nh thông tin các file và directory), finger (h th (ng xác nh các user trên Internet), rlogin(remote login - vào m ng t - xa) và mt s ( các d ch v khác n a. 30
2.1 World Wide Web - WWW WWW là d ch v Internet ra i g n ây nh t, nh ng phát tri n nhanh nh t hi n nay. Web cung c p m t giao di n vô cùng thân thi n v i ng i dùng, d 1 s d ng, vô cùng thu n li và n gi n tìm ki m thông tin. Web liên k t thông tin d a trên công ngh hyper-link (siêu liên k t), cho phép các trang Web liên k t v i nhau tr c ti p qua các a ch " c a chúng. Thông qua Web, ng i dùng có th : ° Phát hành các tin t c c a mình và c tin t c t - kh p ni trên th gi i ° Qu ng cáo v mình, v công ty hay t ch c c a mình c#ng nh xem các lo i qu ng cáo trên th gi i, t - ki m vi c làm, tuy n m nhân viên, công ngh và s n ph ,m mi, tìm b n, vân vân. ° Trao i thông tin v i bè b n, các t ch c xã h i, các trung tâm nghiên c u, tr ng h c, vân vân ° Th c hi n các d ch v chuy n ti n hay mua bán hàng hoá ° Truy nh p các c s d li u c a các t ch c, công ty (n u nh c phép) Và r t nhi u các ho t ng khác n a. 31
2.2 Electronic Mail (Email hay th in t ). Email là d ch v Internet c s d ng r ng rãi nh t hi n nay. Hâu h t các thông báo d ng text (v n b n) n gi n, nh ng ng i s d ng có th g i kèm theo các file ch a các hình nh nh s ), nh . H th (ng email trên Internet là h th (ng th in t l n nh t trên th gi i, và th ng c s dng cùng v i các h th (ng chuy n th khác. Kh n ng chuy n th in t trên Web có b h n ch h n so vi các h th (ng chuy n th in t trên Internet, b i vì Web là m t ph ng ti n trao i công c ng, trong khi th là mt cái gì ó riêng t . Vì v y, không ph i t t c các Web brower u cung c p ch c n ng email. (Hai browser l n nh t hi n nay là Netscape và Internet Explorer u cung c p ch c n ng email). 32
2.3 Ftp (file transfer protocol hay d ch v chuy n file) Ftp là m t d ch v cho phép sao chép file t - m t h th (ng máy tính này n h th (ng máy tính khác ftp bao g )m th tc và ch ng trình ng d ng, và là m t trong nh ng d ch v ra i s m nh t trên Internet. Fpt có th c dùng m c h th (ng (gõ l nh vào command-line ), trong Web browser hay m t s ( ti n ích khác. Fpt vô cùng h u ích cho nh ng ng i dùng Internet, bi vì khi s c s o trên Internet, b n s 0 tìm th y vô s ( nh ng th vi n ph n m m có ích v r t nhi u l nh v c và b n có th chép chúng v s d ng. 33
2.4 Telnet và rlogin Telnet là m t ng d ng cho phép b n truy nh p vào m t máy tính xa và ch y các ng d ng trên máy tính ó. Telnet là r t h u ích khi b n mu (n ch y m t ng d ng không có ho &c không ch y c trên máy tính c a b n, ví d nh b n mu (n ch y m t ng dung Unix trong khi máy ca b n là PC. Hay b n máy tính c a bn không m nh ch y m t ng d ng nào ó, ho &c không có các file d li u cn thi t. Telnet cho b n kh n ng làm vi c trên máy tính xa b n hàng ngàn cây s ( mà b n v $n có c m giác nh ang ng )i tr c máy tính ó. Ch c n ng c a rlogin(remote login - vào m ng t - xa) c #ng tng t nh Telnet. 34
2.5 Archie Archie là m t lo i th vi n th ng xuyên t ng tìm ki m các máy tính trên Internet, t o ra m t kho d li u v danh sách các file có th n p xu (ng (downloadable) t - Internet. Do ó, d liêu trong các file này luôn luôn là m i nh t. Archie do ó r t ti n d ng cho ng i dùng tìm ki m và download các file. Ng i dùng ch " c n g i tên file, ho &c các t- khoá t i Archie; Archie s 0 cho l i a ch " c a các file có tên ó ho &c có ch a nh ng t - ó. 35
2.6 Finger Finger là m t ch ng trình ng d ng cho phép tìm a ch " ca các user khác trên Internet. T (i thi u, finger có th cho bn bi t ai ang s d ng m t h th (ng máy tính nào ó, tên login c a ng i ó là gì. Finger hay c s d ng tìm a ch " email c a bè b n trên Internet. Finger còn có th cung c p cho b n nhi u thông tin khác, nh là m t ng i nào ó ã login vào m ng bao lâu. Vì th finger có th coi là m t ng i tr giúp c lc nh ng c #ng là m (i hi m ho cho s an toàn c a m ng. 36
3. H th ng Firewall xây d ng b i CSE B ch ng trình Firewall 1.0 c a CSE c a ra vào tháng 6/1998. B ch ng trình này g )m hai thành ph n: ° B l c gói tin – IP Filtering ° B ch ng trình c ng ng d ng – proxy servers Hai thành ph n này có th ho t ng m t cách riêng r 0. Chúng c #ng có th k t h p l i v i nhau tr thành m t h th (ng firewall hoàn ch "nh. Trong t p tài li u này, chúng tôi ch " c p n b ch ng trình c ng ng d ng ã c cài &t t i VPCP.
3.1 T ng quan B ch ng trình proxy c a CSE (phiên b n 1.0) c phát tri n d a trên b công c xây d ng Internet Firewall TIS (Trusted Information System) phiên b n 1.3. TIS bao g )m mt b các ch ng trình và s &t l i c u hình h th (ng nh !m m c ích xây d ng m t Firewall. B ch ng trình c thi t k ch y trên h UNIX s d ng TCP/IP v i giao di n socket Berkeley. Vi c cài &t b ch ng trình proxy òi h %i kinh nghi m qu n lý h th (ng UNIX, và TCP/IP networking. T (i thi u, ng i qu n tr m ng firewall ph i quen thu c v i: ° vi c qu n tr và duy trì h th (ng UNIX ho t ng ° vi c xây d ng các package cho h th (ng S khác nhau khi &t c u hình cho h th (ng quy t nh m c an toàn m ng khác nhau. Ng i cài &t firewall ph i hi u rõ yêu c u v an toàn c a m ng c n b o v , n m ch c nh ng r i ro nào là ch p nh n c và không ch p nh n c, thu l m và phân tích chúng t - nh ng òi h %i ca ng i dùng. B ch ng trình proxy c thi t k cho m t s ( c u hình firewall, trong ó các d ng c b n nh t là dual-home gateway (hình 2.4), screened host gateway(hình 2.5), và screened subnet gateway(hình 2.6). Nh chúng ta ã bi t, trong nh ng c u trúc firewall này, y u t ( c n b n nh t là bastion host, óng vai trò nh m t ng i chuy n ti p thông tin (forwarder), ghi nh t ký truy n thông, và cung c p các d ch v . Duy trì an toàn trên bastion host là c c k + quan tr ng, b i vì ó là n i t p trung h u h t các c ( g ng cài &t mt h th (ng firewall. 38
3.2 Các thành ph n c a b ch ng trình proxy: B ch ng trình proxy g )m nh ng ch ng trình b c ng dng (application-level programs), ho &c là thay th ho &c là c c ng thêm vào ph n m m h th (ng ã có. B ch ng trình proxy có nh ng thành ph n chính bao g )m: ° Smap: d ch v SMTP(Simple Mail Tranfer Protocol) ° Netacl: d ch v Telnet, finger, và danh m c các iêu khi n truy nh p m ng ° Ftp-Gw: Proxy server cho Ftp ° Telnet-Gw: Proxy server cho Telnet ° Rlogin-Gw: Proxy server cho rlogin ° Plug-Gw: TCP Plug-Board Connection server (server kt n (i t c th i dùng th t c TCP) 3.2.1 Smap: D ch v SMTP SMTP c xây d ng b !ng cách s d ng c &p công c ph n mm smap và smapd. Có th nói r !ng SMTP ch (ng l i s e do t i h th (ng, b i vì các ch ng trình mail ch y mc h th (ng phân phát mail t i các h p th c a user. Smap và smapd th c hi n iu ó b !ng cách cô l p ch ng trình mail, b t nó ch y trên m t th m c dành riêng (restricted directory) qua chroot (thay i th m c g (c), nh m t user không có quy n u tiên. M c ích c a smap là cô l p ch ng trình mail v (n ã gây ra r t nhi u l *i trên h th (ng. Ph n l n các công vi c x lý mail th ng c 39
th c hi n b i ch ng trình sendmail. Sendmail không yêu cu m t s thay i hay &t l i c u hình gì c . Khi m t h th (ng xa n (i t i m t c ng SMTP, h iu hành kh i ng smap. Smap l p t c chroot t i th m c dành riêng và &t user-id m c bình th ng (không có quy n u tiên). B i vì smap không yêu c u h * tr b i m t file h th (ng nào c , th mc dành riêng ch " ch a các file do smap t o ra. Do v y, bn không c n ph i lo s là smap s 0 thay i file h th (ng khi nó chroot. M c ích duy nh t c a smap là (i tho i SMTP v i các h th (ng khác, thu l m thông báo mail, ghi vào a, ghi nh t ký, và thoát. Smapd có trách nhi m th ng xuyên quét th m c kho c a smap và a ra các thông báo ã c x p theo th t (queued messages) t i sendmail cu (i cùng phân phát. Chú ý r !ng n u sendmail c &t c u hình m c bình th ng, và smap ch y v i uucp user-id (?), mail có th c phân phát bình th ng mà không c n smapd ch y v i m c u tiên cao. Khi smapd phân phát m t thông báo, nó xoá file ch a thông báo ó trong kho. Theo ý ngh a này, sendmail b cô l p, và do ó m t user l trên m ng không th k t n (i v i sendmail mà không qua smap. Tuy nhiên, smap và smapd không th gi i quy t v n gi m o th ho &c các lo i t n công khác qua mail. Smap có kích th c r t nh % so v i sendmail (700 dòng so v i 20,000 dòng) nên vi c phân tích file ngu )n tìm ra l *i n gi n h n nhi u. 3.2.2 Netacl: công c iu khi n truy nh p m ng Chúng ta ã bi t r !ng inetd không cung c p m t s iu khi n truy nh p m ng nào c : nó cho phép b t k + m t h 40
th (ng nào trên m ng c #ng có th n (i t i các d ch v li t kê trong file inetd.conf . Netacl là m t công c iu khi n truy nh p m ng, d a trên a ch" network c a máy client, và d ch v c yêu cu. Vì v y m t client (xác nh b i a ch " IP ho &c hostname) có th kh i ng telnetd (m t version khác c a telnet) khi nó n (i v i c ng d ch v telnet trên firewall. Th ng th ng trong các c u hình firewall, netacl c s dng c m t t c các máy tr - m t vài host c quy n login t i firewall qua ho &c là telnet ho &c là rlogin, và khoá các truy nh p t - nh ng k t n công. an toàn c a netacl d a trên a ch " IP và/ho &c hostname . Vi các h th (ng c n an toàn cao, nên d ng a ch " IP tránh s gi m o DNS. Netacl không ch (ng l i c s gi a ch " IP qua chuy n ngu )n (source routing) ho &c nh ng ph ng ti n khác. N u có các lo i t n công nh v y, c n ph i s d ng m t router có kh n ng soi nh ng packet ã c chuy n ngu )n (screening source routed packages). Chú ý là netacl không cung c p iu khi n truy nh p UDP, bi vì công ngh hi n nay không m b o s xác th c c a UDP. An toàn cho các d ch v UDP ây )ng ngh a v i s không cho phép t t c các d ch v UDP. Netacl ch " bao g )m 240 dòng mã C (c gi i thích) cho nên rt d 1 dàng ki m tra và hi u ch "nh. Tuy nhiên v $n c n ph i c,n th n khi c u hình nó. 3.2.3 Ftp-Gw: Proxy server cho Ftp Ftp-Gw là m t proxy server cung c p iu khi n truy nh p mng d a trên a ch " IP và/ho &c hostname, và cung c p 41
iu khi n truy nh p th c p cho phép tu + ch n khoá ho &c ghi nh t ký b t k + l nh ftp nào. ích cho d ch v này c #ng có th tu + ch n c phép hay khoá. T t c các s k t n (i và byte d li u chuy n qua u b ghi nh t kí l i. Ftp-Gw t b n thân nó không e do an toàn c a h th (ng firewall, b i vì nó ch y chroot t i m t th m c r *ng, không th c hi n m t th t c vào ra file nào c ngoài vi c c file cu hình c a nó. Kích th c c a Ftp-gw là kho ng 1,300 dòng. Ftp gateway ch " cung c p d ch v ftp, mà không quan tâm n ai có quy n hay không có quy n k t xu t (export) file. Do v y, vi c xác nh quy n ph i c thi t lp trên gateway và ph i th c hi n tr c khi th c hi n k t xu t (export) hay nh p (import) file. Ftp gateway nên c cài &t d a theo chính sách an toàn c a m ng. B ch ng trình ngu )n cho phép ng i qu n tr m ng cung c p c d ch v ftp và ftp proxy trên cùng m t h th (ng. 3.2.4 Telnet-Gw: Proxy server cho Telnet Telnet-Gw là m t proxy server cung c p iu khi n truy nh p m ng d a trên a ch " IP và/ho &c hostname, và cung cp s iu khi n truy nh p th c p cho phép tu + ch n khoá bt k + ích nào. T t c các s k t n (i và byte d li u chuy n qua u b ghi nh t ký l i. M *i m t l n user n (i t i telnet-gw, s 0 có m t menu n gi n c a các ch n l a n (i ti m t host xa. Telnet-gw không ph ng h i t i an toàn h th (ng, vì nó ch y chroot n môt th m c dành riêng (restricted directory). File ngu )n bao g )m ch " 1,000 dòng l nh. Vi c x lý menu là hoàn toàn di 1n ra trong b nh , và không 42
có môt subsell hay ch ng trình nào tham d . C #ng không có vi c vào ra file ngoài vi c c c u hình file. Vì v y, telnet-gw không th cung c p truy nh p t i b n thân h th (ng firewall. 3.2.5 Rlogin-Gw: Proxy server cho rlogin Các terminal truy nh p qua th t c BSD rlogin có th c cung c p qua rlogin proxy. rlogin cho phép ki m tra và iêu khi n truy nh p m ng t ng t nh telnet gateway. Rlogin client có th ch " ra m t h th (ng xa ngay khi b t u n (i vào proxy, cho phép h n ch yêu c u t ng tác c a user v i máy (trong tr ng h p không yêu c u xác th c). 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net Thông th ng, vi c khai thác thông tin t - CSDL Oracle c ti n hành thông qua d ch v WWW. Tuy nhiên h * tr ng i s d ng dùng ch ng trình plus33 n (i vào máy ch Oracle, b firewall c a CSE c a kèm vào ch ng trình Sql-net proxy. Vi c ki m soát truy nh p c th c hi u qua tên máy hay a ch " IP c a máy ngu )n và máy ích. 3.2.7 Plug-Gw: TCP Plug-Board Connection server Firewall cung c p các d ch v thông th ng nh Usernet news. Ng i qu n tr m ng có th ch n ho &c là ch y d ch v này trên b n thân firewall, ho &c là cài &t m t proxy server. Do ch y news tr c ti p trên firewall d 1 gây l *i h th (ng trên ph n m m này, cách an toàn h n là s d ng proxy. Plug-gw c thi t k cho Usernet News. 43
Plug-gw có th c &t c u hình cho phép hay t - ch (i mt s k t n (i d a trên a ch " IP ho &c là hostname. T t c s k t n (i và các byte d li u chuy n qua u c ghi nh t ký l i. 44
3.3 Cài t B cài &t g )m 2 a m m 1.44 Mb, R1 và R2. M *i b cài &t u có m t s ( Serial number khác nhau và ch " ho t ng c trên máy có hostname ã xác nh tr c. Vi c cài &t c ti n hành bình th ng b !ng cách dùng l nh custom . Khi cài &t, m t ng i s d ng có tên là proxy c ng ký v i h th (ng th c hi n các ch c n ng qu n lý proxy. Ng i cài &t ph i &t m t kh ,u cho user này. Mt th m c /usr/proxy c t ng thi t l p, trong ó có các th m c con: ° bin ch a các ch ng trình th c hi n ° etc ch a các t p c u hình Firewall và m t s ( ví d các file c u hình c a h th (ng khi ch y v i Firewall nh inetd.conf, services , syslog.conf ° log ch a các t p nh t ký ° report ch a các t p báo cáo sau này. Vi c &t c u hình và qu n tr CSE Firewall u thông qua các ch c n ng trên menu khi login vào máy Firewall b !ng tên ng i s d ng là proxy. Sau khi cài &t nên i tên nh ng t p h th (ng và l u l i tr c khi &t c u hình: ° /etc/inetd.conf ° /etc/services ° /etc/syslog.conf. 45
3.4 Thi t l p c u hình: 3.4.1 Cu hình m ng ban u Vi Firewall host-base Chúng ta có th ch c ch n vào vi c mng c cài &t theo m t chính sách an toàn c l a ch n nh !m ng n c n m i lu )ng thông tin không mong mu (n gi a m ng c b o v và m ng bên ngoài. iu này có th c th c hi n b i screening router hay dual-home gateway. Thông th ng, các thi t b m ng u s d ng c ch an toàn cài &t trên router n i mà m i liên k t u ph i i qua. Mt iu c n quan tâm là trong khi ang cài &t, nh ng máy ch công khai (Firewall bastion host) có th b t n công tr c khi c ch an toàn c a nó c c u hình hoàn ch "nh có th ch y c. Do ó, nên c u hình t p inetd.conf cm t t c các d ch v m ng t - ngoài vào và s d ng thi t b u cu (i cài &t. Ti th i im ó, chúng ta có th quy nh nh ng truy nh p gi a m ng c b o v và m ng bên ngoài nào s 0 b khoá. Tu + theo mc ích, chúng ta có th ng n các truy nh p tu + theo h ng c a chúng. Ch ng trình c #ng c n c th nghi m k càng tr c khi s d ng. N u c n thi t có th dùng ch ng trình /usr/proxy/bin/netscan th k t n (i t i tt c máy tính trong m ng con ki m tra. Nó s 0 c ( g ng th l t qua Firewall theo m i h ng ch c ch n r !ng các truy nh p b t h p pháp là không th x y ra. Ng n c m truy nh p vào ra là cái ch (t trong c ch an toàn c a Firewall không nên s d ng n u nó ch a c cài &t và th nghi m k l 4ng. 46
3.4.2 Cu hình cho Bastion Host Mt nguyên nhân c b n c a vi c xây d ng Firewall là ng n ch &n các d ch v không c n thi t và các d ch v không nm rõ. Ng n ch &n các d ch v không c n thi t òi h %i ng i cài &t ph i có hi u bi t v c u hình h th (ng. Các bc th c hi n nh sau: ° Sa i t p /etc/inetd.conf, /etc/services, /etc/syslog.conf, /etc/sockd.conf . ° Sa i cu hình h di u hành, lo i b % nh ng d ch v có th gây l *i nh NFS, sau ó rebuild kernel. Vi c này c th c hi n cho t i khi h th (ng cung c p d ch v t (i thi u mà ng i qu n tr tin t ng. Vi c c u hình này có th làm )ng th i v i vi c ki m tra d ch v nào ch y chính xác b !ng cách dùng các l nh ps và netstat. Ph n l n các server c c u hình cùng v i m t s ( d ng b o m t khác, các c u hình này s 0 mô t ph n sau. M t công c chung th m dò các d ch v TCP/IP là /usr/proxy/bin/portscan có th dùng xem d ch v nào ang c cung c p. N u không có yêu c u &c bi t có th dùng các file c u hình nói trên ã c t o s /n và &t t i /usr/proxy/etc khi cài &t, ng c l i có th tham kh o s a i theo yêu c u. Toàn b các thành ph n c a b Firewall òi h %i c c u hình chung (m &c nh là / usr/proxy/etc/netperms ). Ph n l n các thành ph n c a b Firewall c g i b i d ch v c a h th (ng là inetd , khai báo trong /etc/inetd.conf t ng t nh sau: 47
ftp stream tcp nowait root /usr/proxy/bin/netacl ftpd ftp-gw stream tcp nowait root /usr/proxy/bin/ftp-gw ftp-gw telnet-a stream tcp nowait root /usr/proxy/bin/netacl telnetd telnet stream tcp nowait root /usr/proxy/bin/tn-gw tn-gw login stream tcp nowait root /usr/proxy/bin/rlogin-gw rlogin-gw finger stream tcp nowait nobody /usr/proxy/bin/netacl fingerd http stream tcp nowait root /usr/proxy/bin/netacl httpd smtp stream tcp nowait root /usr/proxy/bin/smap smap Ch ng trình netacl là m t v % b c TCP (TCP Wrapper) cung c p kh n ng iu khi n truy c p cho nh ng d ch v TCP và c #ng s d ng m t t p c u hình v i Firewall. Bc u tiên c u hình netacl là cho phép m ng n i b truy nh p có gi i h n vào Firewall, n u nh nó c n thi t cho nhu c u qu n tr . Tu + thu c vào TELNET gateway tn-gw có c cài &t hay không, qu n tr có th truy c p vào Firewall qua c ng khác v i c ng chu ,n c a telnet (23). B i vì telnet th ng không cho phép ch ng trình truy c p t i mt c ng không ph i là c ng chu ,n c a nó. D ch v proxy s0 ch y trên c ng 23 và telnet th c s s 0 ch y trên c ng khác ví d d ch v có tên là telnet-a trên (Xem file inetd.conf trên). Có th ki m tra tính úng n c a netacl b!ng cách c u hình cho phép ho &c c m m t s ( host r )i th truy c p các d ch v t - chúng. M*i khi netacl c c u hình, TELNET và FTP gateway cn ph i c c u hình theo. C u hình TELNET gateway ch " n gi n là coi nó nh m t d ch v và trong netacl.conf vi t m t s ( miêu t h th (ng nào có th s d ng nó. Tr giúp có th c cung c p cho ng i s d ng khi c n thi t. Vi c c u hình FTP proxy c #ng nh v y. Tuy nhiên, FTP có 48
th s d ng c ng khác không gi (ng TELNET. R t nhi u các FTP client h * tr cho vi c s d ng c ng không chu ,n. D ch v rlogin là m t tu + ch n có th dùng và ph i c cài &t trên c ng ng d ng c a bastion host (c ng 512) giao th c rlogin òi h %i m t c ng &c bi t, m t quá trình òi h %i s cho phép c a h th (ng UNIX. Ng i qu n tr mu (n s dng c ch an toàn ph i cài &t th m c cho proxy nó gi i h n nó trong th m c ó. Smap và smapd là các ti n trình l c th có th c cài &t s d ng th m c riêng c a proxy x lý ho &c s d ng m t th m c nào ó trong h th (ng. Smap và smapd không thay th sendmail do ó v $n c n c u hình sendmail cho Firewall. Vi c này không mô t trong tài li u này. 3.4.3 Thi t l p t p h p quy t c Khi c u hình cho proxy server và ch ng trình iu khi n truy c p m ng iu c n thi t là thi t l p chính xác t p quy tc th hi n úng v i mô hình an toàn mong mu (n. M t cách t (t b t u c u hình Firewall là m i ng i trong mng s d ng t do các d ch v )ng th i c m t t c m i ng i bên ngoài. Vi c &t c u hình cho firewall không quá rc r (i, vì nó c thi t k h * tr cho m i hoàn c nh. Tp tin /usr/proxy/etc/netperms là CSDL c u hình và quy n truy nh p (configuration/permissions) cho các thành ph n ca Firewall: netacl, smap, smapd, ftp-gw, tn-gw, http-gw, và plug-gw. Khi m t trong các ng d ng này kh i ng, nó c c u hình và quy n truy nh p c a nó t - netperms và l u tr vào m t CSDL trong b nh . File configuration/permissions c thi t l p thành nh ng quy t c, m *i quy t c ch a trên m t dòng. Ph n u tiên c a 49
m*i quy t c là tên c a ng d ng, ti p theo là d u hai ch m (“:”). Nhi u ng d ng có th dùng chung m t quy t c v i tên ng n cách b i d u ph y. Dòng chú thích có th chèn vào file c u hình b !ng cách thêm vào u dòng ký t ‘#’. 3.4.3.1 Thi t l p t p h p các quy t c cho d ch v HTTP, FTP Vi c thi t l p c u hình cho các d ch v HTTP, FTP là t ng t nh nhau. Chúng tôi ch " a ra chi ti t v thi t l p c u hình và quy t c cho d ch v FTP. #Example ftp gateway rules: # ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt ftp—gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt ftp-gw: permit-hosts 10.10.170.* -log {retr stor} ftp-gw: timeout 3600 Trong ví d trên, m ng 10.10.170 c cho phép dùng proxy trong khi m i host khác không có trong danh sách, m i truy c p khác u b c m. N u m t m ng khác mu (n truy c p proxy, nó nh n c m t thông báo t - ch (i trong /usr/proxy/etc/ftp-deny.txt và sau ó liên k t b ng t. N u mng c b o v phát tri n thêm ch " c n thêm vào các dòng cho phép. ftp-gw: permit-hosts 16.67.32.* -log {retr stor} or 50
ftp-gw: permit-hosts 16.67.32.* -log {retr stor} ftp-gw: permit-hosts 10.10.170.* -log {retr stor} M*i b ph n c a Firewall có m t t p các tu + ch n và c c mô t trong manual page riêng c a ph n ó. Trong ví d trên, Tu + ch n -log {retr stor} cho phép FTP proxy ghi li nh t ký v i tu + ch n retr và stor . 3.4.3.2 Anonymous FTP Anonymous FTP server ã c s d ng trong h iu hành UNIX t - lâu. Các l * h ng trong vi c b o m an toàn (Security hole) th ng xuyên sinh ra do các ch c n ng m i c thêm vào, s xu t hi n c a bug và do c u hình sai. Mt cách ti p c n v i vi c m b o an toàn cho anonymous FTP là s d ng netacl ch c ch n FTP server b h n ch trong th m c c a nó tr c khi c g i. V i c u hinh nh vy, khó kh n cho anonymous FTP làm t n h i n h th (ng bên ngoài khu v c c a FTP. Di ây là m t ví d s d ng netacl quy t nh gi i h n hay không gi i h n vùng s d ng c a FTP (i v i m *i liên kt. Gi s là m ng c b o v là 192.5.12 netacl-ftpd: hosts 192.5.12.* -exec /etc/ftpd netacl-ftpd: hosts unknown -exec /bin/cat /usr/proxy/etc/noftp.txt netacl-ftpd: hosts * -chroot /ftpdir -exec /etc/ftpd Trong ví d này, ng i dùng n (i v i d ch v FTP t - m ng c b o v có kh n ng FTP bình th ng. Ng i dùng k t n(i t - h th (ng khác domain nh n c m t thông báo r !ng h không có quy n s d ng FTP. M i h th (ng khác k t n (i vào FTP u s dng v i vùng file FTP. iu này có m t 51
s( thu n l i cho vi c b o m an toàn. Th nh t, khi ki m tra xác th c, ftpd ki m tra m t kh ,u c a ng i s d ng trong vùng FTP, cho phép ng i qu n tr a ra “account” cho FTP. iu này c n thi t cho nh ng ng i không có account trong bastion host cung c p s ki m tra và xác th c nó còn cho phép qu n tr s d ng nh ng im m nh c a ftpd cho dù nó ch a m t s ( l * h ng v an toàn. 3.4.3.3 Telnet và rlogin Nói chung truy c p t i bastion host nên b c m, ch " ng i qu n tr có quy n login. Thông th ng khi ch y proxy, ch ng trình telnet và rlogin không th ch y trên các c ng chu ,n c a chúng. Có 3 cách gi i quy t v n này: ° Ch y telnet và rloggin proxy trên c ng chu,n v i telnet và rlogin trên c ng khác và b o v truy c p t i chúng b!ng netacl ° Cho phép login ch " v i thi t b u cu (i. ° Dùng netacl chuy n i tu + thu c vào im xu t phát ca k t n (i, d a trên proxy th c hi n k t n (i th c s . Cách gi i quy t cu (i cùng r t ti n l i nh ng cho phép m i ng i có quy n dùng proxy login vào bastion host. N u bastion host s d ng xác th c m c cao qu n lý truy c p ca ng i dùng, s r i ro do vi c t n công vào h bastion host s 0 c gi m thi u. c u hình h th (ng tr c h t, t t c các thi t b c n (i vào h th (ng qua netacl và dùng nó g i các ch ng trình server hay proxy server tu + thu c vào ni xu t phát c a k t n (i. Ng i qu n tr mu (n vào bastion host tr c h t ph i k t n (i vào netacl sau ó ra l nh k t n (i vào bastion host. Vi c này 52
n gi n vì m t s ( b n telnet và rlogin không làm vi c n u không c k t n (i vào úng c ng. netacl-telnetd: permit-hosts 127.0.0.1 -exec /etc/telnetd netacl-telnetd: permit-hosts myaddress -exec /etc/telnetd netacl-telnetd: permit-hosts * -exec /usr/proxy/bin/tn-gw netacl-rlogin: permit-hosts 127.0.0.1 -exec /etc/rlogin netacl-rlogin: permit-hosts myaddress -exec /etc/rlogin netacl-rlogin: permit-hosts * -exec /usr/proxy/bin/rlogin-gw 3.4.3.4 Sql-net proxy Gi thi t là có hai CSDL STU n !m trên máy 190.2.2.3 và VPCP n !m trên máy 190.2.0.4. c u hình cho sql-net proxy , ph i ti n hành các b c nh sau: 3.4.3.4.1 Cu hình trên firewall ° &t c u hình cho t p netperms nh sau: #Oracle proxy for STU Database ora_stu1: timeout 3600 ora_stu1: port 1521 * -plug-to 190.2.2.3 -port 1521 ora_stu2: timeout 3600 ora_stu2: port 1526 * -plug-to 190.2.2.3 -port 1526 #Oracle proxy for VBPQ Database 53
ora_vpcp1: timeout 3600 ora_vpcp1: port 1421 * -plug-to 190.2.0.4 -port 1521 ora_vpcp2: timeout 3600 ora_vpcp2: port 1426 * -plug-to 190.2.0.4 -port 1526 ° &t l i t p /etc/services nh sau: #Oracle Proxy for STU Database ora_stu1 1521/tcp oracle proxy ora_stu2 1526/tcp oracle proxy #Oracle Proxy for VBPQ Database ora_vpcp1 1421/tcp oracle proxy ora_vpcp2 1426/tcp oracle proxy ° &t l i t p /etc/inetd.conf nh sau: #Oracle Proxy for VBPQ Database ora_stu1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu1 ora_stu2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu2 54
#Oracle Proxy for VBPQ Database ora_vpcp1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp1 ora_vpcp2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp2 ° &t l i t p /etc/syslog.conf nh sau: #Logfile for Sql-gw “sql-gw” /usr/proxy/log/plug-gw 3.4.3.4.2 Cu hình trên máy tr m ° &t l i t p oracle_home\network\admin\tnsnames.ora nh sau: #Logfile for Sql-gw stu.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1521) ) (ADDRESS = (COMMUNITY = tcp.world) 55
(PROTOCOL = TCP) (Host = firewall) (Port = 1526) ) ) (CONNECT_DATA = (SID = STU) ) ) vpcp.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1421) ) (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1426) ) ) (CONNECT_DATA = (SID = ORA1) 56
) ) Bn có th d 1 dàng m r ng cho nhi u CSDL khác n !m trên nhi u máy khác nhau. 3.4.3.5 Các d ch v khác Tng t nh trên là các ví d c u hình cho các d ch v khác khai báo trong file netperms: # finger gateway rules: # netacl-fingerd: permit-hosts 190.2.* ws1 -exec /etc/fingerd netacl-fingerd: deny-hosts * -exec /bin/cat /usr/proxy/etc/finger.txt # http gateway rules: # netacl-httpd: permit-hosts * -exec /usr/proxy/bin/http-gw http-gw: timeout 3600 #http-gw: denial-msg /usr/proxy/etc/http-deny.txt #http-gw: welcome-msg /usr/proxy/etc/http-welcome.txt #http-gw: help-msg /usr/proxy/etc/http-help.txt http-gw: permit-hosts 190.2.* 10.* 192.2.0.* -log { all } http-gw: deny-hosts 220.10.170.32 ws1 http-gw: default-httpd hpnt # # smap (E-mail) rules: 57
# smap, smapd: userid root smap, smapd: directory /usr/spool/mail smapd: executable /usr/proxy/bin/smapd smapd: sendmail /usr/lib/sendmail smap: timeout 3600 # Ngoài ra, trong CSE Firewall còn có d ch v socks ki m soát các ph n m m ng d ng &c bi t nh Lotus Notes. C n ph i thêm vào các file c u hình h th (ng nh sau: File /etc/services: socks 1080/tcp File /etc/inetd.conf: socks stream tcp nowait root /etc/sockd sockd Cu hình và quy t c cho d ch v này n !m file /etc/sockd.conf , ch " có hai t - khoá c n ph i quan tâm là permit và deny cho phép hay không các host i qua, d ch v này không k t h p v i d ch v xác th c. a ch " IP và Netmask &t trong file này gi (ng nh v i l nh d $n ng route c a UNIX. permit 190.2.0.0 255.255.0.0 permit 10.10.170.50 255.255.255.255 permit 10.10.170.40 255.255.255.255 permit 10.10.170.31 255.255.255.255 deny 0.0.0.0 0.0.0.0 : mail -s 'SOCKD: rejected from %u@%A to host %Z (service %S)' root 58
3.4.4 Xác th c và d ch v xác th c B Firewall ch a ch ng trình server xác th c c thi t k h * tr c ch phân quy n. Authsrv ch a m t c s d li u v ng i dùng trong m ng, m *i b n ghi t ng ng v i mt ng i dùng, ch a c ch xác th c cho m *i anh ta, trong ó bao g )m tên nhóm, tên y c a ng i dùng, l n truy cp m i nh t. M t kh ,u không mã hoá (Plain text password) c s d ng cho ng i dùng trong m ng vi c qu n tr c n gi n. M t kh ,u không mã hoá không nên dùng vi nh ng ng òi s d ng t - m ng bên ngoài. Authsrv c ch y trên m t host an toàn thông th ng là bastion host. n gi n cho vi c qu n tr authsrv ng i qu n tr có th s dng m t shell authmsg qu n tr c s d li u có cung cp c ch mã hoá d li u. Ng i dùng trong 1 c s d li u c a authsrv có th c chia thành các nhóm khác nhau c qu n tr b i qu n tr nhóm là ng i có toàn quy n trong nhóm c vi c thêm, b t ng i dùng. iu này thu n l i khi nhi u t ch c cùng dùng chung m t Firewall. c u hình authsrv, u tiên c n xác nh 1 c ng TCP tr(ng và thêm vào m t dòng vào trong inetd.conf g i authsrv m *i khi có yêu c u k t n (i. Authsrv không ph i m t ti n trình deamon ch y liên t c, nó là ch ng trình c g i m*i khi có yêu c u và ch a m t b n sao CSDL tránh r i ro. Thêm authsrv vào inet.conf òi h %i t o thêm im vào trong /etc/services. Vì authsrv không ch p nh n tham s (, mà ph i thêm vào inetd.conf và services các dòng nh sau: Trong /etc/services: 59
authsrv 7777/tcp Trong /etc/inetd.conf: authsrv stream tcp nowait root /usr/proxy/bin/authsrv authsrv Cng d ch v dùng cho authsvr s 0 c dùng &t c u hình cho các ng d ng client có s d ng d ch v xác th c. D ch v xác th c không c n áp d ng cho t t c các d ch v hay t t c các client. #Example ftp gateway rules: ftp-gw: authserver local host 7777 ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt ftp-gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt ftp-gw: permit-host 192.33.112.100 ftp-gw: permit-host 192.33.112.* -log {retr stor} -auth {stor} ftp-gw: permist-host * -authall ftp-gw: timeout 36000 Trong ví d trên, xác th c dùng v i FTP proxy. Dòng u tiên nh ngh a a ch " m ng c ng d ch v c a ch ng trình xác th c. Dòng permist-host cho th y m t trong s ( s m m do c a h th (ng xác th c, m t host c l a ch n không ph i ch u c ch xác th c, ng i dùng t - host này có th truy c p t do t i m i d ch v c a proxy. Permist-host th 2 òi h %i xác th c m i h th (ng trong m ng 192.33.112 mu (n truy n ra ngoài v i -auth {store} nh ng thao tác c a FTP s 0 b khoá t i khi ng i dùng hoàn thành vi c xác th c 60
vi server. Khi ó, l nh c m khoá và ng i dùng có th vào h th (ng. Ví d cu (i nh ngh a m i ng i có th n (i vi server nh ng tr c h t h ph i c xác th c. Authsrv server ph i c c u hình bi t máy nào c cho phép k t n (i. iu này c m t t c nh ng c ( g ng truy nh p b t h p pháp vào server t - nh ng server không ch y nh ng ph n m m xác th c. Trong Firewall authsrv s 0 ch y trên bastion host cùng v i proxy trên ó. N u không có h th (ng nào òi h %i truy c p, m *i client và server coi “local host” nh m t a ch " truy n thông. C u hình authsrv nh ngh a nó s 0 v n hành CSDL và client h * tr . #Example authhsrv rules: authsrv: database /usr/proxy/bin/authsrv.db authsrv: permit-host localhost authsrv: permit-host 192.5.214 32 Trong ví d trên, ng d $n t i CSDL nh ngh a và 2 host c nh n ra. Chú ý CSDL trên trong h th (ng c b o v ho &c c b o v nghiêm ng &t b i c ch truy c p file. Bo v CSDL r t quan tr ng do ó nên CSDL trên bastion host. L (i vào th 2 là m t ví d v client s d ng mã hoá DES trong khi truy n thông v i authsrv. Khoá mã ch a trong t p c u hình òi h %i file c u hình ph i c b o v. Nói chung, vi c mã hoá là không c n thi t. K t qu c a vi c mã hoá là cho phép qu n tr có th qu n lý c s d li u xác th c t - tr m làm vi c. Lu )ng d li u duy nh t c n ph i b o v là khi ng i qu n tr m ng &t l i m t kh ,u qua 61
mng c c b , hay khi qu n lý c s d li u xác th c qua mng di n r ng. Duy trì CSDL xác th c d a vào 2 công c authload và authdump load và dump CSDL xác th c. Ng i qu n tr nên ch y authdump trong crontab t o b n sao d ng ASCII ca CSDL tránh tr ng h p x u khi CSDL b h %ng hay b xoá. Authsrv qu n lý nhóm r t m m d o, qu n tr có th nhóm ng i dùng thành nhóm dùng “group wiz”, ng i có quy n qu n tr nhóm có th xoá, thêm, t o s a b n ghi trong nhóm, cho phép hay c m ng i dùng, thay i password c a m t kh ,u c a user trong nhóm c a mình. Qu n tr nhóm không thay i c ng i dùng c a nhóm khác, t o ra nhóm m i hay thay i quan h gi a các nhóm. Qu n tr nhóm ch " có quy n h n trong nhóm c a mình. Vi c này có ích (i v i t ch c có nhi u nhóm làm vi c cùng s d ng Firewall. To m t ng i s d ng b !ng l nh “adduser” adduser mrj ‘Marcus J. Ranum’ Khi m t user record m i c t o nó ch a c ho t ng và ng i s d ng ch a th login. Tr c khi ng i s d ng login, qu n tr m ng có th thay i m t kh ,u và s ( hiu nhóm c a ng i s d ng ó group users mjr password “whumpus” mjr proto SecurID mjr enable mjr 62
Khi m t user record t o ra b i ng i qu n tr nhóm, nó th -a h ng s ( hi .u nhóm c #ng nh giao th c xác th c. User record có th xem b i l nh “display” hay “list”. Ví d m t phiên làm vi c v i Authmsg: %-> authmgs Connected to server authmgr-> login Username: wizard Challenge “200850” : 182312 Logged in authmgs-> disp wizard Report for user wizard (Auth DBA) Last authenticated: Fri Oct 8 17:11:07 1993 Authentication protocol: Snk Flags: WIZARD authmgr-> list Report for user in database user group longname flags proto last wizard users Auth DBA y W Snk Fri Oct 8 17:02:56 1993 avolio users Fred Avolio y passwd Fri Sep 24 10:52:14 1993 rnj users Robert N. Jesse y passwd Wed Sep 29 18:35:45 1993 mjr users Marcus J. Ranum y none ri Oct 8 17:02:10 1993 authmgr-> adduser dalva “Dave dalva” ok - user added initially disable 63
authmgr-> enable dalva enabled authmgr-> group dalva users set group authmgr-> proto dalva Skey changed authmgr-> disp dalva Report for user dalva, group users (Dave Dalva) Authentication protocol: Skey Flags: none authmgr-> password dalva Password: ####### Repeat Password: ####### ID dalva s/key is 999 sol32 authmgr-> quit Trong ví d trên qu n tr n (i vào authsrv qua m ng s d ng giao di n authmsg sau khi xác th c user record hi n th th i gian xác th c. Sau khi login, list CSDL user, t o ng i dùng, &t password, enable và a vào nhóm. Kh i t o CSDL Authsrv: # authsrv -administrator mode- authsrv# list Report for user in database 64
user group longname flags proto last authsrv# adduser admin ‘Auth DBA’ ok - user added initially disable authsrv# enable admin enabled authsrv# superwiz admin set wizard authsrv# proto admin Snk changed authsrv# pass ‘160 270 203 065 022 034 232 162’ admin Secret key changed authsrv# list Report for user in database user group longname flags roto last admin Auth DBA y W Snk never authsrv# quit Trong ví d , m t CSDL m i c t o cùng v i m t record cho ng i qu n tr . Ng i qu n tr c gán quy n, gán protocol xác th c. 65
3.4.5 S d ng màn hình iu khi n CSE Proxy: Sau khi cài &t xong, khi login vào user proxy màn hình iu khi n s 0 hi n nên menu các ch c n ng ng i qu n tr có th l a ch n. PROXY SERVICE MENU 1 Configuration 2 View TELNET log 3 View FTP log 4 View HTTP log 5 View E-MAIL log 6 View AUTHENTICATE log 7 View FINGER log 8 View RLOGIN log 9 View SOCKD log a Report b Authentication c Change system time d Change password e Shutdown q Exit Select option> _ Con s ( hay ch cái u tiên th hi n phím b m th c hi n ch c n ng. Sau khi m *i ch c n ng th c hi n xong xu t hi n 66
thông báo Press ENTER to continue r)i ch cho t i khi phím Enter c b m tr l i màn hình iu khi n chính. 3.4.5.1 1 Configuration Ch c n ng này cho phép so n th o tr c ti p t i file c u hình ca proxy. Trong file này ch a các quy t c c a các d ch v nh netacl, ftp-gw, tn-gw Cú pháp c a các quy t c này ã c mô t ph n trên. Sau khi s i các quy t c ch n ch c n ng Save thì các quy t c m i s 0 l p t c c áp dng. Chú ý: B so n th o v n b n so n th o file c u hình có các phím ch c n ng t ng t nh ch c n ng so n th o c a Turbo Pascal 3.0. (Các ch c n ng c n thi t u có th th y trên Status Bar dòng cu (i cùng c a màn hình). (i v i mt s ( tr ng h p b so n th o này không ho t ng thì ch ng trình so n th o vi ca UNIX s 0 c dùng thay th . 3.4.5.2 2 View TELNET log Ch c n ng xem n i dung nh t ký c a tn-gw. Nh t ký ghi l i toàn b các truy nh p qua proxy (i v i d ch v tn-gw. (i vi các d ch v khác nh ftp-gw, http-gw u d c ghi l i nh t ký và có th theo dõi b i các ch c n ng t ng t (Xem các m c d i ây). 3.4.5.3 3 View FTP log Ch c n ng xem n i dung nh t ký c a ftp-gw. 3.4.5.4 4 View HTTP log Ch c n ng xem n i dung nh t ký c a http-gw. 67
3.4.5.5 5 View E-MAIL log Ch c n ng xem n i dung nh t ký c a d ch v email. 3.4.5.6 6 View AUTHENTICATE log Ch c n ng xem n i dung nh t ký c a d ch v xác th c. 3.4.5.7 7 View FINGER log Ch c n ng xem n i dung nh t ký c a finger. 3.4.5.8 8 View RLOGIN log Ch c n ng xem n i dung nh t ký c a rlogin-gw. 3.4.5.9 9 View SOCKD log Ch c n ng xem n i dung nh t ký c a sockd. 3.4.5.10 a Report Ch c n ng làm báo cáo th (ng kê (i v i t t c các d ch v trong m t kho ng th i gian nh t nh. u tiên màn hình s 0 hi n lên m t l ch ch n kho ng th i gian mu (n làm báo cáo. Sau khi tính toán xong báo cáo. Ng i s d ng s 0 ph i ch n m t trong các u ra c a báo cáo g )m : xem ( a ra màn hình), save (ra a m m) hay print (in ra máy in g n tr c ti p v i máy server). N u mu (n in t - các máy in khác ta có th a ra a m m r )i in các t p ó t - các tr m làm vi c. Fri May 8 10:39:13 1998 Apr May Jun S M Tu W Th F S S M Tu W Th F S S M Tu W Th F S 1 2 3 4 1 2 1 2 3 4 5 6 68
5 6 7 8 9 10 11 3 4 5 6 7 8 9 7 8 9 10 11 12 13 12 13 14 15 16 17 18 10 11 12 13 14 15 16 14 15 16 17 18 19 20 19 20 21 22 23 24 25 17 18 19 20 21 22 23 21 22 23 24 25 26 27 26 27 28 29 30 24 25 26 27 28 29 30 28 29 30 31 From date (dd/mm[/yy]) (08/05/98): 01/05/98 To date (dd/mm[/yy]): (08/05/98): 05/05/09 Calculating View, save to MS-DOS floppy disk or print report (v/s/p/q)? v 3.4.5.11 b Authentication Ch c n ng này g i authsrv qu n tr ng i s d ng và ch c n ng xác th c cho ng i ó. authrv ã c mô t khá rõ ràng trên. authsrv# list Report for users in database user group longname status proto last dalva cse n passw never ruth cse y passw never authsrv# 69
3.4.5.12 c Change system time Ch c n ng i th i gian h th (ng. Ch c n ng này có tác dng iu ch"nh chính xác gi c a h th (ng. B i vì gi h th (ng có nh h ng quan tr ng t i chính xác c a nh t ký. Giúp cho ng i qu n tr có th theo dõi úng các truy nh p t i proxy. Dòng nh p th i gian s 0 nh d i ây. Ngày tháng n m có th không càn nh p nh ng c n chú ý t i d ng c a s ( a vào. D i ây là ví d i gi thành 11 gi 28. Current System Time is Fri May 08 10:32:00 HN 1998 Enter new time ([yymmdd]hhmm): 1128 3.4.5.13 d Change password Ch c n ng i m t kh ,u c a user proxy. 3.4.5.14 e Shutdown Ch c n ng shut down toàn b h th (ng. Ch c n ng này c dùng t t máy m t cách an toàn (i v i ng i s dng. 3.4.5.15 q Exit Ch c n ng này logout kh %i màn hình iu khi n proxy . 3.4.6 Các v n c n quan tâm v i ng i s d ng Vi ng i s d ng, khi dùng CSE Proxy c n ph i quan tâm n các v n sau: 70
3.4.6.1 Vi các Web Browser Cn ph i &t ch proxy chúng có th truy nh p n các trang Web thông qua proxy. Trong Microsoft Internet Explore (version 4.0) ta ph i ch n View -> Internet option -> Connection -> Proxy Server và &t ch Access the Internet using a proxy, &t a ch " IP và port c a proxy vào. Trong Netscape Nevigator (version 4.0) ta ph i ch n Edit - >Preferences -> Advanced -> Proxies và &t a ch " proxy và c ng d ch v (port) (80) qua ph n Manual proxy configuration. 3.4.6.2 V i ng i s d ng telnet, Nu không c &t ch c n ng xác th c thì quá trình nh sau: $ telnet vectra Trying 192.1.1.155 connect hostname [serv/ port] connect to vectra. Escape character is’^]’. Vectra.sce.gov.vn telnet proxy (version V1.0) ready: tn-gw -> help Valid commands are: (unique abbreviations may be used) connect hostname [serv/ port] telnet hostname [serv/ port] x-gw [hostname/ display] 71
help/ ? quit/ exit password tn-gw -> c 192.1.1.1 Trying 192.1.1.1 port 23 SCO Openserver TM Release 5 (sco5.cse.gov.vn) (ttysO) Login: ngoc password: ####### $ Nu có dùng ch c n ng xác th c, thì sau khi máy proxy tr li: Vectra.sce.gov.vn telnet proxy (version V1.0) ready: Nh c ta ph i a vào tên và m t kh ,u th c hi n xác th c: Username: ngoc password: ####### Login accepted tn-gw -> 3.4.6.3 i v i ng i dùng d ch v FTP Nu có dùng ch c n ng xác th c thì quy trình nh sau: $ftp vectra 72
Connected to vectra. 220 -Proxy first requres authentication 220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready: Name (vectra: root): ngoc 331 Enter authentication password for ngoc Password: ####### 230 User authenticated to proxy ftp>user ngoc@192.1.1.1 331 -( GATEWAY CONNECTED TO 192.1.1.1 ) 331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.) 331 Password required for ngoc. Password: 230 User ngoc logged in. ftp> ftp>bye 221 Goodbye. $ Còn n u không s d ng ch c n ng xác th c thì n gi n hn: $ftp vectra Connected to vectra. 220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready: Name (vectra: root): ngoc@192.1.1.1 331 -( GATEWAY CONNECTED TO 192.1.1.1 ) 331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.) 73
331 Password required for ngoc. Password: 230 User ngoc logged in. ftp> ftp>bye 221 Goodbye $ Nu s d ng ch ng trình WS_FTP trên Window c a Ipswitch, Inc thì c n ph i &t ch Use Firewall trong ph n Advanced khi ta c u hình m t phiên n (i k t. Trong ph n Firewall Informatic ta s 0 a a ch " IP c a proxy vào ph n Hostname, tên ng i dùng và m t kh ,u (UserID và Password) cho ph n xác th c trên proxy và c ng d ch v (21). )ng th i ph i ch n ki u USER after logon ph n Firewall type. 74