1. An toàn thông tin trên mng _Error! Bookmark not defined.
1.1 Ti sao cn có Internet Firewall _Error! Bookmark not defined.
1.2 Bn mun bo v cái gì?__Error! Bookmark not defined.
1.2.3 Danh ting ca bn __Error! Bookmark not defined.
1.3 Bn mun bo v chng li cái gì? _ Error! Bookmark not defined.
1.3.1 Các kiu tn công ___Error! Bookmark not defined.
1.3.2 Phân loi k tn công Error! Bookmark not defined.
1.4 Vy Internet Firewall là gì? ___ Error! Bookmark not defined.
1.4.1
nh ngha__Error! Bookmark not defined.
1.4.2 Chc n
ng ___Error! Bookmark not defined.
1.4.3 Cu trúc___Error! Bookmark not defined.
1.4.4 Các thành phn ca Firewall và c ch hot ng Error! Bookmark not
defined.
1.4.5 Nhng hn ch ca firewall _Error! Bookmark not defined.
1.4.6 Các ví d firewall ____Error! Bookmark not defined.
2. Các dch v Internet ____Error! Bookmark not defined.
2.1 World Wide Web - WWW____ Error! Bookmark not defined.
2.2 Electronic Mail (Email hay th in t ). ____ Error! Bookmark not defined.
2.3 Ftp (file transfer protocol hay d
ch v chuyn file) ___ Error! Bookmark not
defined.
2.4 Telnet và rlogin _ Error! Bookmark not defined.
2.5 Archie__ Error! Bookmark not defined.
2.6 Finger __ Error! Bookmark not defined.
74 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 2162 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Internet Firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hi, k tn công phi phá v4 c hai tng bo
mt tn công vào mng ni b.
25
The Internet
Bªn ngoµi Packet filtering
router
Bªn trong
Information server
Bastion host
m¸y néi bé
Hình 2.4 Screened host firewall (Single- Homed Bastion Host)
Trong h th(ng này, bastion host c cu hình trong
mng ni b. Qui lut filtering trên packet-filtering router
c
nh ngha sao cho tt c các h th(ng bên ngoài ch"
có th truy nhp bastion host; Vic truyn thông ti tt c
các h th(ng bên trong u b
khoá. Bi vì các h th(ng ni
b và bastion host trên cùng mt mng, chính sách bo
mt ca mt t chc s0 quyt
nh xem các h th(ng ni b
c phép truy nhp trc tip vào bastion Internet hay là
chúng phi s dng d
ch v proxy trên bastion host. Vic
bt buc nhng user ni b c thc hin b!ng cách &t
cu hình b l c ca router sao cho ch" chp nhn nhng
truyn thông ni b xut phát t- bastion host.
u im:
26
Máy ch cung cp các thông tin công cng qua d
ch v
Web và FTP có th &t trên packet-filtering router và
bastion. Trong trng hp yêu cu an toàn cao nht,
bastion host có th chy các d
ch v proxy yêu cu tt c
các user c trong và ngoài truy nhp qua bastion host trc
khi n(i vi máy ch. Trng hp không yêu cu an toàn
cao thì các máy ni b có th n(i th2ng vi máy ch.
Nu cn bo mt cao hn na thì có th dùng h th(ng
firewall dual-home (hai chiu) bastion host (hình 2.5). Mt
h th(ng bastion host nh vy có 2 giao din mng
(network interface), nhng khi ó kh n
ng truyn thông
trc tip gia hai giao din ó qua d
ch v proxy là b
cm.
The Internet
Bªn ngoµi Packet filtering
router
Bªn trong
Information server
Bastion host
m¸y néi bé
Hình 2.5 Screened host firewall (Dual- Homed Bastion Host)
Bi vì bastion host là h th(ng bên trong duy nht có th
truy nhp c t- Internet, s tn công c#ng ch" gii hn
27
n bastion host mà thôi. Tuy nhiên, nu nh ngi dùng
truy nhp c vào bastion host thì h có th d1 dàng truy
nhp toàn b mng ni b. Vì vy cn phi cm không cho
ngi dùng truy nhp vào bastion host.
1.4.6.3 Demilitarized Zone (DMZ - khu vc phi quân s)
hay Screened-subnet Firewall
H th(ng này bao g)m hai packet-filtering router và mt
bastion host (hình 2.6). H th(ng firewall này có an toàn
cao nht vì nó cung cp c mc bo mt : network và
application trong khi
nh ngha mt mng “phi quân s”.
Mng DMZ óng vai trò nh mt mng nh%, cô lp &t gia
Internet và mng ni b. C bn, mt DMZ c cu hình
sao cho các h th(ng trên Internet và mng ni b ch" có th
truy nhp c mt s( gii hn các h th(ng trên mng
DMZ, và s truyn trc tip qua mng DMZ là không th
c.
Vi nhng thông tin n, router ngoài ch(ng li nhng s
tn công chu,n (nh gi mo
a ch" IP), và iu khin truy
nhp ti DMZ. Nó cho phép h th(ng bên ngoài truy nhp
ch" bastion host, và có th c information server. Router
trong cung cp s bo v th hai b!ng cách iu khin
DMZ truy nhp mng ni b ch" vi nhng truyn thông bt
u t- bastion host.
Vi nhng thông tin i, router trong iu khin mng ni b
truy nhp ti DMZ. Nó ch" cho phép các h th(ng bên trong
truy nhp bastion host và có th c information server. Quy
lut filtering trên router ngoài yêu cu s dung dich v
proxy b!ng cách ch" cho phép thông tin ra bt ngu)n t-
bastion host.
28
u im:
K tn công cn phá v4 ba tng bo v: router ngoài,
bastion host và router trong.
Bi vì router ngoài ch" qung cáo DMZ network ti
Internet, h th(ng mng ni b là không th nhìn thy
(invisible). Ch" có mt s( h th(ng ã c ch n ra trên
DMZ là c bit n bi Internet qua routing table và
DNS information exchange (Domain Name Server).
Bi vì router trong ch" qung cáo DMZ network ti
mng ni b, các h th(ng trong mng ni b không th
truy nhp trc tip vào Internet. iu nay m bo r!ng
nhng user bên trong bt buc phi truy nhp Internet
qua d
ch v proxy.
The Internet
Bªn ngoµi Packet filtering
router
Bªn trong
Information server
Bastion host
Outside router Inside router
DMZ
29
Hình 2.6 Screened-Subnet Firewall
30
2. Các d
ch v Internet
Nh ã trình bày trên, nhìn chung bn phi xác
nh bn
bo v cái gì khi thit lp liên kt ra mng ngoài hay
Internet: d liu, tài nguyên, danh ting. Khi xây dng mt
Firewall, bn phi quan tâm n nhng vn c th hn:
bn phi bo v nhng d
ch v nào bn dùng ho&c cung cp
cho mng ngoài (hay Internet).
Internet cung cp mt h th(ng các d
ch v cho phép ngi
dùng n(i vào Internet truy nhp và s dng các thông tin
trên mng Internet. H th(ng các d
ch v này ã và ang
c b sung theo s phát trin không ng-ng ca Internet.
Các d
ch v này bao g)m World Wide Web (g i tt là
WWW ho&c Web), Email (th in t), Ftp (file transfer
protocols - d
ch v chuyn file), telnet (ng dng cho phép
truy nhp máy tính xa), Archie (h th(ng xác
nh thông
tin các file và directory), finger (h th(ng xác
nh các
user trên Internet), rlogin(remote login - vào mng t- xa) và
mt s( các d
ch v khác na.
31
2.1 World Wide Web - WWW
WWW là d
ch v Internet ra i gn ây nht, nhng phát
trin nhanh nht hin nay. Web cung cp mt giao din vô
cùng thân thin vi ngi dùng, d1 s dng, vô cùng thun
li và n gin tìm kim thông tin. Web liên kt thông
tin da trên công ngh hyper-link (siêu liên kt), cho phép
các trang Web liên kt vi nhau trc tip qua các
a ch" ca
chúng. Thông qua Web, ngi dùng có th :
Phát hành các tin tc ca mình và c tin tc t- khp
ni trên th gii
Qung cáo v mình, v công ty hay t chc ca mình
c#ng nh xem các loi qung cáo trên th gii, t- kim
vic làm, tuyn m nhân viên, công ngh và sn ph,m
mi, tìm bn, vân vân.
Trao i thông tin vi bè bn, các t chc xã hi, các
trung tâm nghiên cu, trng h c, vân vân
Thc hin các d
ch v chuyn tin hay mua bán hàng
hoá
Truy nhp các c s d liu ca các t chc, công ty
(nu nh c phép)
Và rt nhiu các hot ng khác na.
32
2.2 Electronic Mail (Email hay th in t ).
Email là d
ch v Internet c s dng rng rãi nht hin
nay. Hâu ht các thông báo dng text (v
n bn) n gin,
nhng ngi s dng có th gi kèm theo các file cha các
hình nh nh s ), nh . H th(ng email trên Internet là h
th(ng th in t ln nht trên th gii, và thng c s
dng cùng vi các h th(ng chuyn th khác.
Kh n
ng chuyn th in t trên Web có b
hn ch hn so
vi các h th(ng chuyn th in t trên Internet, bi vì
Web là mt phng tin trao i công cng, trong khi th là
mt cái gì ó riêng t. Vì vy, không phi tt c các Web
brower u cung cp chc n
ng email. (Hai browser ln
nht hin nay là Netscape và Internet Explorer u cung cp
chc n
ng email).
33
2.3 Ftp (file transfer protocol hay d
ch v chuyn file)
Ftp là mt d
ch v cho phép sao chép file t- mt h th(ng
máy tính này n h th(ng máy tính khác ftp bao g)m th
tc và chng trình ng dng, và là mt trong nhng d
ch
v ra i sm nht trên Internet.
Fpt có th c dùng mc h th(ng (gõ lnh vào
command-line), trong Web browser hay mt s( tin ích
khác. Fpt vô cùng hu ích cho nhng ngi dùng Internet,
bi vì khi sc so trên Internet, bn s0 tìm thy vô s( nhng
th vin phn mm có ích v rt nhiu lnh vc và bn có
th chép chúng v s dng.
34
2.4 Telnet và rlogin
Telnet là mt ng dng cho phép bn truy nhp vào mt
máy tính xa và chy các ng dng trên máy tính ó.
Telnet là rt hu ích khi bn mu(n chy mt ng dng
không có ho&c không chy c trên máy tính ca bn, ví
d nh bn mu(n chy mt ng dung Unix trong khi máy
ca bn là PC. Hay bn máy tính ca bn không mnh
chy mt ng dng nào ó, ho&c không có các file d liu
cn thit.
Telnet cho bn kh n
ng làm vic trên máy tính xa bn
hàng ngàn cây s( mà bn v$n có cm giác nh ang ng)i
trc máy tính ó.
Chc n
ng ca rlogin(remote login - vào mng t- xa) c#ng
tng t nh Telnet.
35
2.5 Archie
Archie là mt loi th vin thng xuyên t ng tìm kim
các máy tính trên Internet, to ra mt kho d liu v danh
sách các file có th np xu(ng (downloadable) t- Internet.
Do ó, d liêu trong các file này luôn luôn là mi nht.
Archie do ó rt tin dng cho ngi dùng tìm kim và
download các file. Ngi dùng ch" cn gi tên file, ho&c các
t- khoá ti Archie; Archie s0 cho li
a ch" ca các file có
tên ó ho&c có cha nhng t- ó.
36
2.6 Finger
Finger là mt chng trình ng dng cho phép tìm
a ch"
ca các user khác trên Internet. T(i thiu, finger có th cho
bn bit ai ang s dng mt h th(ng máy tính nào ó, tên
login ca ngi ó là gì.
Finger hay c s dng tìm
a ch" email ca bè bn
trên Internet. Finger còn có th cung cp cho bn nhiu
thông tin khác, nh là mt ngi nào ó ã login vào mng
bao lâu. Vì th finger có th coi là mt ngi tr giúp c
lc nhng c#ng là m(i him ho cho s an toàn ca mng.
3. H thng Firewall xây dng bi CSE
B chng trình Firewall 1.0 ca CSE c a ra vào
tháng 6/1998. B chng trình này g)m hai thành phn:
B l c gói tin – IP Filtering
B chng trình cng ng dng – proxy servers
Hai thành phn này có th hot ng mt cách riêng r0.
Chúng c#ng có th kt hp li vi nhau tr thành mt h
th(ng firewall hoàn ch"nh.
Trong tp tài liu này, chúng tôi ch" cp n b chng
trình cng ng dng ã c cài &t ti VPCP.
38
3.1 T
ng quan
B chng trình proxy ca CSE (phiên bn 1.0) c phát
trin da trên b công c xây dng Internet Firewall TIS
(Trusted Information System) phiên bn 1.3. TIS bao g)m
mt b các chng trình và s &t li cu hình h th(ng
nh!m mc ích xây dng mt Firewall. B chng trình
c thit k chy trên h UNIX s dng TCP/IP vi
giao din socket Berkeley.
Vic cài &t b chng trình proxy òi h%i kinh nghim
qun lý h th(ng UNIX, và TCP/IP networking. T(i thiu,
ngi qun tr
mng firewall phi quen thuc vi:
vic qun tr
và duy trì h th(ng UNIX hot ng
vic xây dng các package cho h th(ng
S khác nhau khi &t cu hình cho h th(ng quyt
nh mc
an toàn mng khác nhau. Ngi cài &t firewall phi
hiu rõ yêu cu v an toàn ca mng cn bo v, nm
chc nhng ri ro nào là chp nhn c và không chp
nhn c, thu lm và phân tích chúng t- nhng òi h%i
ca ngi dùng.
B chng trình proxy c thit k cho mt s( cu hình
firewall, trong ó các dng c bn nht là dual-home
gateway (hình 2.4), screened host gateway(hình 2.5), và
screened subnet gateway(hình 2.6). Nh chúng ta ã bit,
trong nhng cu trúc firewall này, yu t( c
n bn nht là
bastion host, óng vai trò nh mt ngi chuyn tip thông
tin (forwarder), ghi nht ký truyn thông, và cung cp các
d
ch v. Duy trì an toàn trên bastion host là cc k+ quan
tr ng, bi vì ó là ni tp trung hu ht các c( gng cài &t
mt h th(ng firewall.
39
3.2 Các thành phn ca b chng trình proxy:
B chng trình proxy g)m nhng chng trình bc ng
dng (application-level programs), ho&c là thay th ho&c
là c cng thêm vào phn mm h th(ng ã có. B
chng trình proxy có nhng thành phn chính bao g)m:
Smap: d
ch v SMTP(Simple Mail Tranfer Protocol)
Netacl: d
ch v Telnet, finger, và danh mc các iêu
khin truy nhp mng
Ftp-Gw: Proxy server cho Ftp
Telnet-Gw: Proxy server cho Telnet
Rlogin-Gw: Proxy server cho rlogin
Plug-Gw: TCP Plug-Board Connection server (server
kt n(i tc thi dùng th tc TCP)
3.2.1 Smap: D
ch v SMTP
SMTP c xây dng b!ng cách s dng c&p công c phn
mm smap và smapd. Có th nói r!ng SMTP ch(ng li s
e do ti h th(ng, bi vì các chng trình mail chy
mc h th(ng phân phát mail ti các hp th ca user.
Smap và smapd thc hin iu ó b!ng cách cô lp chng
trình mail, bt nó chy trên mt th mc dành riêng
(restricted directory) qua chroot (thay i th mc g(c),
nh mt user không có quyn u tiên. Mc ích ca smap
là cô lp chng trình mail v(n ã gây ra rt nhiu l*i trên
h th(ng. Phn ln các công vic x lý mail thng c
40
thc hin bi chng trình sendmail. Sendmail không yêu
cu mt s thay i hay &t li cu hình gì c. Khi mt h
th(ng xa n(i ti mt cng SMTP, h iu hành khi ng
smap. Smap lp tc chroot ti th mc dành riêng và &t
user-id mc bình thng (không có quyn u tiên). Bi vì
smap không yêu cu h* tr bi mt file h th(ng nào c, th
mc dành riêng ch" cha các file do smap to ra. Do vy,
bn không cn phi lo s là smap s0 thay i file h th(ng
khi nó chroot. Mc ích duy nht ca smap là (i thoi
SMTP vi các h th(ng khác, thu lm thông báo mail, ghi
vào a, ghi nht ký, và thoát.
Smapd có trách nhim thng xuyên quét th mc kho ca
smap và a ra các thông báo ã c xp theo th t
(queued messages) ti sendmail cu(i cùng phân phát.
Chú ý r!ng nu sendmail c &t cu hình mc bình
thng, và smap chy vi uucp user-id (?), mail có th c
phân phát bình thng mà không cn smapd chy vi mc
u tiên cao. Khi smapd phân phát mt thông báo, nó xoá
file cha thông báo ó trong kho.
Theo ý ngha này, sendmail b
cô lp, và do ó mt user l
trên mng không th kt n(i vi sendmail mà không qua
smap. Tuy nhiên, smap và smapd không th gii quyt vn
gi mo th ho&c các loi tn công khác qua mail. Smap
có kích thc rt nh% so vi sendmail (700 dòng so vi
20,000 dòng) nên vic phân tích file ngu)n tìm ra l*i n
gin hn nhiu.
3.2.2 Netacl: công c iu khin truy nhp mng
Chúng ta ã bit r!ng inetd không cung cp mt s iu
khin truy nhp mng nào c: nó cho phép bt k+ mt h
41
th(ng nào trên mng c#ng có th n(i ti các d
ch v lit kê
trong file inetd.conf.
Netacl là mt công c iu khin truy nhp mng, da
trên
a ch" network ca máy client, và d
ch v c yêu
cu. Vì vy mt client (xác
nh bi
a ch" IP ho&c
hostname) có th khi ng telnetd (mt version khác ca
telnet) khi nó n(i vi cng d
ch v telnet trên firewall.
Thng thng trong các cu hình firewall, netacl c s
dng cm tt c các máy tr- mt vài host c quyn
login ti firewall qua ho&c là telnet ho&c là rlogin, và
khoá các truy nhp t- nhng k tn công.
an toàn ca netacl da trên
a ch" IP và/ho&c hostname.
Vi các h th(ng cn an toàn cao, nên dng
a ch" IP
tránh s gi mo DNS. Netacl không ch(ng li c s gi
a ch" IP qua chuyn ngu)n (source routing) ho&c nhng
phng tin khác. Nu có các loi tn công nh vy, cn
phi s dng mt router có kh n
ng soi nhng packet ã
c chuyn ngu)n (screening source routed packages).
Chú ý là netacl không cung cp iu khin truy nhp UDP,
bi vì công ngh hin nay không m bo s xác thc ca
UDP. An toàn cho các d
ch v UDP ây )ng ngha vi
s không cho phép tt c các d
ch v UDP.
Netacl ch" bao g)m 240 dòng mã C (c gii thích) cho nên
rt d1 dàng kim tra và hiu ch"nh. Tuy nhiên v$n cn phi
c,n thn khi cu hình nó.
3.2.3 Ftp-Gw: Proxy server cho Ftp
Ftp-Gw là mt proxy server cung cp iu khin truy nhp
mng da trên
a ch" IP và/ho&c hostname, và cung cp
42
iu khin truy nhp th cp cho phép tu+ ch n khoá ho&c
ghi nht ký bt k+ lnh ftp nào. ích cho d
ch v này c#ng
có th tu+ ch n c phép hay khoá. Tt c các s kt n(i
và byte d liu chuyn qua u b
ghi nht kí li.
Ftp-Gw t bn thân nó không e do an toàn ca h th(ng
firewall, bi vì nó chy chroot ti mt th mc r*ng, không
thc hin mt th tc vào ra file nào c ngoài vic c file
cu hình ca nó. Kích thc ca Ftp-gw là khong 1,300
dòng. Ftp gateway ch" cung cp d
ch v ftp, mà không
quan tâm n ai có quyn hay không có quyn kt xut
(export) file. Do vy, vic xác
nh quyn phi c thit
lp trên gateway và phi thc hin trc khi thc hin kt
xut (export) hay nhp (import) file. Ftp gateway nên c
cài &t da theo chính sách an toàn ca mng. B chng
trình ngu)n cho phép ngi qun tr
mng cung cp c d
ch
v ftp và ftp proxy trên cùng mt h th(ng.
3.2.4 Telnet-Gw: Proxy server cho Telnet
Telnet-Gw là mt proxy server cung cp iu khin truy
nhp mng da trên
a ch" IP và/ho&c hostname, và cung
cp s iu khin truy nhp th cp cho phép tu+ ch n khoá
bt k+ ích nào. Tt c các s kt n(i và byte d liu
chuyn qua u b
ghi nht ký li. M*i mt ln user n(i ti
telnet-gw, s0 có mt menu n gin ca các ch n la n(i
ti mt host xa.
Telnet-gw không phng hi ti an toàn h th(ng, vì nó
chy chroot n môt th mc dành riêng (restricted
directory). File ngu)n bao g)m ch" 1,000 dòng lnh. Vic
x lý menu là hoàn toàn di1n ra trong b nh, và không
43
có môt subsell hay chng trình nào tham d. C#ng không
có vic vào ra file ngoài vic c cu hình file. Vì vy,
telnet-gw không th cung cp truy nhp ti bn thân h
th(ng firewall.
3.2.5 Rlogin-Gw: Proxy server cho rlogin
Các terminal truy nhp qua th tc BSD rlogin có th c
cung cp qua rlogin proxy. rlogin cho phép kim tra và iêu
khin truy nhp mng tng t nh telnet gateway. Rlogin
client có th ch" ra mt h th(ng xa ngay khi bt u n(i
vào proxy, cho phép hn ch yêu cu tng tác ca user vi
máy (trong trng hp không yêu cu xác thc).
3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net
Thông thng, vic khai thác thông tin t- CSDL Oracle
c tin hành thông qua d
ch v WWW. Tuy nhiên h*
tr ngi s dng dùng chng trình plus33 n(i vào máy
ch Oracle, b firewall ca CSE c a kèm vào chng
trình Sql-net proxy. Vic kim soát truy nhp c thc
hiu qua tên máy hay
a ch" IP ca máy ngu)n và máy
ích.
3.2.7 Plug-Gw: TCP Plug-Board Connection server
Firewall cung cp các d
ch v thông thng nh Usernet
news. Ngi qun tr
mng có th ch n ho&c là chy d
ch
v này trên bn thân firewall, ho&c là cài &t mt proxy
server. Do chy news trc tip trên firewall d1 gây l*i h
th(ng trên phn mm này, cách an toàn hn là s dng
proxy. Plug-gw c thit k cho Usernet News.
44
Plug-gw có th c &t cu hình cho phép hay t- ch(i
mt s kt n(i da trên
a ch" IP ho&c là hostname. Tt c
s kt n(i và các byte d liu chuyn qua u c ghi nht
ký li.
45
3.3 Cài t
B cài &t g)m 2 a mm 1.44 Mb, R1 và R2. M*i b cài
&t u có mt s( Serial number khác nhau và ch" hot
ng c trên máy có hostname ã xác
nh trc. Vic
cài &t c tin hành bình thng b!ng cách dùng lnh
custom.
Khi cài &t, mt ngi s dng có tên là proxy c
ng
ký vi h th(ng thc hin các chc n
ng qun lý proxy.
Ngi cài &t phi &t mt kh,u cho user này.
Mt th mc /usr/proxy c t ng thit lp, trong ó có
các th mc con:
bin cha các chng trình thc hin
etc cha các tp cu hình Firewall và mt s( ví d
các file cu hình ca h th(ng khi chy vi Firewall nh
inetd.conf, services, syslog.conf
log cha các tp nht ký
report cha các tp báo cáo sau này.
Vic &t cu hình và qun tr
CSE Firewall u thông qua
các chc n
ng trên menu khi login vào máy Firewall b!ng
tên ngi s dng là proxy. Sau khi cài &t nên i tên
nhng tp h th(ng và lu li trc khi &t cu hình:
/etc/inetd.conf
/etc/services
/etc/syslog.conf.
46
3.4 Thit lp cu hình:
3.4.1 Cu hình mng ban u
Vi Firewall host-base Chúng ta có th chc chn vào vic
mng c cài &t theo mt chính sách an toàn c la
ch n nh!m ng
n cn m i lu)ng thông tin không mong mu(n
gia mng c bo v và mng bên ngoài. iu này có th
c thc hin bi screening router hay dual-home
gateway. Thông thng, các thit b
mng u s dng c
ch an toàn cài &t trên router ni mà m i liên kt u phi
i qua.
Mt iu cn quan tâm là trong khi ang cài &t, nhng máy
ch công khai (Firewall bastion host) có th b
tn công
trc khi c ch an toàn ca nó c cu hình hoàn ch"nh
có th chy c. Do ó, nên cu hình tp inetd.conf
cm tt c các d
ch v mng t- ngoài vào và s dng thit
b
u cu(i cài &t.
Ti thi im ó, chúng ta có th quy
nh nhng truy nhp
gia mng c bo v và mng bên ngoài nào s0 b
khoá.
Tu+ theo mc ích, chúng ta có th ng
n các truy nhp tu+
theo hng ca chúng. Chng trình c#ng cn c th
nghim k càng trc khi s dng. Nu cn thit có th
dùng chng trình /usr/proxy/bin/netscan th kt n(i ti
tt c máy tính trong mng con kim tra. Nó s0 c( gng
th l t qua Firewall theo m i hng chc chn r!ng các
truy nhp bt hp pháp là không th xy ra. Ng
n cm truy
nhp vào ra là cái ch(t trong c ch an toàn ca Firewall
không nên s dng nu nó cha c cài &t và th nghim
k l4ng.
47
3.4.2 Cu hình cho Bastion Host
Mt nguyên nhân c bn ca vic xây dng Firewall là
ng
n ch&n các d
ch v không cn thit và các d
ch v không
nm rõ. Ng
n ch&n các d
ch v không cn thit òi h%i
ngi cài &t phi có hiu bit v cu hình h th(ng. Các
bc thc hin nh sau:
Sa i tp /etc/inetd.conf, /etc/services,
/etc/syslog.conf, /etc/sockd.conf.
Sa i cu hình h diu hành, loi b% nhng d
ch v có
th gây l*i nh NFS, sau ó rebuild kernel.
Vic này c thc hin cho ti khi h th(ng cung cp d
ch
v t(i thiu mà ngi qun tr
tin tng. Vic cu hình này
có th làm )ng thi vi vic kim tra d
ch v nào chy
chính xác b!ng cách dùng các lnh ps và netstat. Phn ln
các server c cu hình cùng vi mt s( dng bo mt
khác, các cu hình này s0 mô t phn sau. Mt công c
chung th
m dò các d
ch v TCP/IP là
/usr/proxy/bin/portscan có th dùng xem d
ch v nào
ang c cung cp. Nu không có yêu cu &c bit có th
dùng các file cu hình nói trên ã c to s/n và &t ti
/usr/proxy/etc khi cài &t, ngc li có th tham kho sa
i theo yêu cu.
Toàn b các thành phn ca b Firewall òi h%i c cu
hình chung (m&c
nh là /usr/proxy/etc/netperms). Phn ln
các thành phn ca b Firewall c g i bi d
ch v ca h
th(ng là inetd, khai báo trong /etc/inetd.conf tng t nh
sau:
48
ftp stream tcp nowait root /usr/proxy/bin/netacl ftpd
ftp-gw stream tcp nowait root /usr/proxy/bin/ftp-gw ftp-gw
telnet-a stream tcp nowait root /usr/proxy/bin/netacl telnetd
telnet stream tcp nowait root /usr/proxy/bin/tn-gw tn-gw
login stream tcp nowait root /usr/proxy/bin/rlogin-gw rlogin-gw
finger stream tcp nowait nobody /usr/proxy/bin/netacl fingerd
http stream tcp nowait root /usr/proxy/bin/netacl httpd
smtp stream tcp nowait root /usr/proxy/bin/smap smap
Chng trình netacl là mt v% b c TCP (TCP Wrapper)
cung cp kh n
ng iu khin truy cp cho nhng d
ch v
TCP và c#ng s dng mt tp cu hình vi Firewall.
Bc u tiên cu hình netacl là cho phép mng ni b
truy nhp có gii hn vào Firewall, nu nh nó cn thit cho
nhu cu qun tr
. Tu+ thuc vào TELNET gateway tn-gw có
c cài &t hay không, qun tr
có th truy cp vào
Firewall qua cng khác vi cng chu,n ca telnet (23). Bi
vì telnet thng không cho phép chng trình truy cp ti
mt cng không phi là cng chu,n ca nó. D
ch v proxy
s0 chy trên cng 23 và telnet thc s s0 chy trên cng
khác ví d d
ch v có tên là telnet-a trên (Xem file
inetd.conf trên). Có th kim tra tính úng n ca netacl
b!ng cách cu hình cho phép ho&c cm mt s( host r)i th
truy cp các d
ch v t- chúng.
M*i khi netacl c cu hình, TELNET và FTP gateway
cn phi c cu hình theo. Cu hình TELNET gateway
ch" n gin là coi nó nh mt d
ch v và trong netacl.conf
vit mt s( miêu t h th(ng nào có th s dng nó. Tr
giúp có th c cung cp cho ngi s dng khi cn thit.
Vic cu hình FTP proxy c#ng nh vy. Tuy nhiên, FTP có
49
th s dng cng khác không gi(ng TELNET. Rt nhiu
các FTP client h* tr cho vic s dng cng không chu,n.
D
ch v rlogin là mt tu+ ch n có th dùng và phi c cài
&t trên cng ng dng ca bastion host (cng 512) giao
thc rlogin òi h%i mt cng &c bit, mt quá trình òi h%i
s cho phép ca h th(ng UNIX. Ngi qun tr
mu(n s
dng c ch an toàn phi cài &t th mc cho proxy nó
gii hn nó trong th mc ó.
Smap và smapd là các tin trình l c th có th c cài &t
s dng th mc riêng ca proxy x lý ho&c s dng mt
th mc nào ó trong h th(ng. Smap và smapd không thay
th sendmail do ó v$n cn cu hình sendmail cho Firewall.
Vic này không mô t trong tài liu này.
3.4.3 Thit lp tp hp quy tc
Khi cu hình cho proxy server và chng trình iu khin
truy cp mng iu cn thit là thit lp chính xác tp quy
tc th hin úng vi mô hình an toàn mong mu(n. Mt
cách t(t bt u cu hình Firewall là m i ngi trong
mng s dng t do các d
ch v )ng thi cm tt c m i
ngi bên ngoài. Vic &t cu hình cho firewall không quá
rc r(i, vì nó c thit k h* tr cho m i hoàn cnh.
Tp tin /usr/proxy/etc/netperms là CSDL cu hình và quyn
truy nhp (configuration/permissions) cho các thành phn
ca Firewall: netacl, smap, smapd, ftp-gw, tn-gw, http-gw,
và plug-gw. Khi mt trong các ng dng này khi ng, nó
c cu hình và quyn truy nhp ca nó t- netperms và lu
tr vào mt CSDL trong b nh.
File configuration/permissions c thit lp thành nhng
quy tc, m*i quy tc cha trên mt dòng. Phn u tiên ca
50
m*i quy tc là tên ca ng dng, tip theo là du hai chm
(“:”). Nhiu ng dng có th dùng chung mt quy tc vi
tên ng
n cách bi du phy. Dòng chú thích có th chèn vào
file cu hình b!ng cách thêm vào u dòng ký t ‘#’.
3.4.3.1 Thi t lp tp hp các quy tc cho dch v HTTP,
FTP
Vic thit lp cu hình cho các d
ch v HTTP, FTP là tng
t nh nhau. Chúng tôi ch" a ra chi tit v thit lp cu
hình và quy tc cho d
ch v FTP.
#Example ftp gateway rules:
#---------------------------------
ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt
ftp—gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt
ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt
ftp-gw: permit-hosts 10.10.170.* -log {retr stor}
ftp-gw: timeout 3600
Trong ví d trên, mng 10.10.170 c cho phép dùng
proxy trong khi m i host khác không có trong danh sách,
m i truy cp khác u b
cm. Nu mt mng khác mu(n
truy cp proxy, nó nhn c mt thông báo t- ch(i trong
/usr/proxy/etc/ftp-deny.txt và sau ó liên kt b
ngt. Nu
mng c bo v phát trin thêm ch" cn thêm vào các
dòng cho phép.
ftp-gw: permit-hosts 16.67.32.* -log {retr stor}
or
51
ftp-gw: permit-hosts 16.67.32.* -log {retr stor}
ftp-gw: permit-hosts 10.10.170.* -log {retr stor}
M*i b phn ca Firewall có mt tp các tu+ ch n và c
c mô t trong manual page riêng ca phn ó. Trong ví
d trên, Tu+ ch n -log {retr stor} cho phép FTP proxy ghi
li nht ký vi tu+ ch n retr và stor.
3.4.3.2 Anonymous FTP
Anonymous FTP server ã c s dng trong h iu
hành UNIX t- lâu. Các l* hng trong vic bo m an toàn
(Security hole) thng xuyên sinh ra do các chc n
ng mi
c thêm vào, s xut hin ca bug và do cu hình sai.
Mt cách tip cn vi vic m bo an toàn cho anonymous
FTP là s dng netacl chc chn FTP server b
hn ch
trong th mc ca nó trc khi c g i. Vi cu hinh nh
vy, khó kh
n cho anonymous FTP làm tn hi n h
th(ng bên ngoài khu vc ca FTP.
Di ây là mt ví d s dng netacl quyt
nh gii hn
hay không gii hn vùng s dng ca FTP (i vi m*i liên
kt. Gi s là mng c bo v là 192.5.12
netacl-ftpd: hosts 192.5.12.* -exec /etc/ftpd
netacl-ftpd: hosts unknown -exec /bin/cat /usr/proxy/etc/noftp.txt
netacl-ftpd: hosts * -chroot /ftpdir -exec /etc/ftpd
Trong ví d này, ngi dùng n(i vi d
ch v FTP t- mng
c bo v có kh n
ng FTP bình thng. Ngi dùng kt
n(i t- h th(ng khác domain nhn c mt thông báo r!ng
h không có quyn s dng FTP. M i h th(ng khác kt n(i
vào FTP u s dng vi vùng file FTP. iu này có mt
52
s( thun li cho vic bo m an toàn. Th nht, khi kim
tra xác thc, ftpd kim tra mt kh,u ca ngi s dng
trong vùng FTP, cho phép ngi qun tr
a ra “account”
cho FTP. iu này cn thit cho nhng ngi không có
account trong bastion host cung cp s kim tra và xác thc
nó còn cho phép qun tr
s dng nhng im mnh ca
ftpd cho dù nó cha mt s( l* hng v an toàn.
3.4.3.3 Telnet và rlogin
Nói chung truy cp ti bastion host nên b
cm, ch" ngi
qun tr
có quyn login. Thông thng khi chy proxy,
chng trình telnet và rlogin không th chy trên các cng
chu,n ca chúng. Có 3 cách gii quyt vn này:
Chy telnet và rloggin proxy trên cng chu,n vi telnet
và rlogin trên cng khác và bo v truy cp ti chúng
b!ng netacl
Cho phép login ch" vi thit b
u cu(i.
Dùng netacl chuyn i tu+ thuc vào im xut phát
ca kt n(i, da trên proxy thc hin kt n(i thc s.
Cách gii quyt cu(i cùng rt tin li nhng cho phép m i
ngi có quyn dùng proxy login vào bastion host. Nu
bastion host s dng xác thc mc cao qun lý truy cp
ca ngi dùng, s ri ro do vic tn công vào h bastion
host s0 c gim thiu. cu hình h th(ng trc ht, tt
c các thit b
c n(i vào h th(ng qua netacl và dùng nó
g i các chng trình server hay proxy server tu+ thuc vào
ni xut phát ca kt n(i.
Ngi qun tr
mu(n vào bastion host trc ht phi kt n(i
vào netacl sau ó ra lnh kt n(i vào bastion host. Vic này
53
n gin vì mt s( bn telnet và rlogin không làm vic nu
không c kt n(i vào úng cng.
netacl-telnetd: permit-hosts 127.0.0.1 -exec /etc/telnetd
netacl-telnetd: permit-hosts myaddress -exec /etc/telnetd
netacl-telnetd: permit-hosts * -exec /usr/proxy/bin/tn-gw
netacl-rlogin: permit-hosts 127.0.0.1 -exec /etc/rlogin
netacl-rlogin: permit-hosts myaddress -exec /etc/rlogin
netacl-rlogin: permit-hosts * -exec /usr/proxy/bin/rlogin-gw
3.4.3.4 Sql-net proxy
Gi thit là có hai CSDL STU n!m trên máy 190.2.2.3 và
VPCP n!m trên máy 190.2.0.4.
cu hình cho sql-net proxy, phi tin hành các bc nh
sau:
3.4.3.4.1 Cu hình trên firewall
&t cu hình cho tp netperms nh sau:
#Oracle proxy for STU Database
ora_stu1: timeout 3600
ora_stu1: port 1521 * -plug-to 190.2.2.3 -port 1521
ora_stu2: timeout 3600
ora_stu2: port 1526 * -plug-to 190.2.2.3 -port 1526
#Oracle proxy for VBPQ Database
54
ora_vpcp1: timeout 3600
ora_vpcp1: port 1421 * -plug-to 190.2.0.4 -port 1521
ora_vpcp2: timeout 3600
ora_vpcp2: port 1426 * -plug-to 190.2.0.4 -port 1526
&t li tp /etc/services nh sau:
#Oracle Proxy for STU Database
ora_stu1 1521/tcp oracle proxy
ora_stu2 1526/tcp oracle proxy
#Oracle Proxy for VBPQ Database
ora_vpcp1 1421/tcp oracle proxy
ora_vpcp2 1426/tcp oracle proxy
&t li tp /etc/inetd.conf nh sau:
#Oracle Proxy for VBPQ Database
ora_stu1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu1
ora_stu2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu2
55
#Oracle Proxy for VBPQ Database
ora_vpcp1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp1
ora_vpcp2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp2
&t li tp /etc/syslog.conf nh sau:
#Logfile for Sql-gw
“sql-gw” /usr/proxy/log/plug-gw
3.4.3.4.2 Cu hình trên máy trm
&t li tp oracle_home\network\admin\tnsnames.ora
nh sau:
#Logfile for Sql-gw
stu.world =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1521)
)
(ADDRESS =
(COMMUNITY = tcp.world)
56
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1526)
)
)
(CONNECT_DATA = (SID = STU)
)
)
vpcp.world =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1421)
)
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1426)
)
)
(CONNECT_DATA = (SID = ORA1)
57
)
)
Bn có th d1 dàng m rng cho nhiu CSDL khác n!m trên
nhiu máy khác nhau.
3.4.3.5 Các dch v khác
Tng t nh trên là các ví d cu hình cho các d
ch v
khác khai báo trong file netperms:
# finger gateway rules:
# ---------------------
netacl-fingerd: permit-hosts 190.2.* ws1 -exec /etc/fingerd
netacl-fingerd: deny-hosts * -exec /bin/cat /usr/proxy/etc/finger.txt
# http gateway rules:
# ---------------------
netacl-httpd: permit-hosts * -exec /usr/proxy/bin/http-gw
http-gw: timeout 3600
#http-gw: denial-msg /usr/proxy/etc/http-deny.txt
#http-gw: welcome-msg /usr/proxy/etc/http-welcome.txt
#http-gw: help-msg /usr/proxy/etc/http-help.txt
http-gw: permit-hosts 190.2.* 10.* 192.2.0.* -log { all }
http-gw: deny-hosts 220.10.170.32 ws1
http-gw: default-httpd hpnt
#
# smap (E-mail) rules:
58
# ----------------------
smap, smapd: userid root
smap, smapd: directory /usr/spool/mail
smapd: executable /usr/proxy/bin/smapd
smapd: sendmail /usr/lib/sendmail
smap: timeout 3600
#
Ngoài ra, trong CSE Firewall còn có d
ch v socks kim
soát các phn mm ng dng &c bit nh Lotus Notes. Cn
phi thêm vào các file cu hình h th(ng nh sau:
File /etc/services:
socks 1080/tcp
File /etc/inetd.conf:
socks stream tcp nowait root /etc/sockd sockd
Cu hình và quy tc cho d
ch v này n!m file
/etc/sockd.conf, ch" có hai t- khoá cn phi quan tâm là
permit và deny cho phép hay không các host i qua, d
ch
v này không kt hp vi d
ch v xác thc.
a ch" IP và
Netmask &t trong file này gi(ng nh vi lnh d$n ng
route ca UNIX.
permit 190.2.0.0 255.255.0.0
permit 10.10.170.50 255.255.255.255
permit 10.10.170.40 255.255.255.255
permit 10.10.170.31 255.255.255.255
deny 0.0.0.0 0.0.0.0 : mail -s 'SOCKD: rejected -- from %u@%A to host %Z
(service %S)' root
59
3.4.4 Xác thc và d
ch v xác thc
B Firewall cha chng trình server xác thc c thit k
h* tr c ch phân quyn. Authsrv cha mt c s d
liu v ngi dùng trong mng, m*i bn ghi tng ng vi
mt ngi dùng, cha c ch xác thc cho m*i anh ta, trong
ó bao g)m tên nhóm, tên y ca ngi dùng, ln truy
cp mi nht. Mt kh,u không mã hoá (Plain text password)
c s dng cho ngi dùng trong mng vic qun tr
c n gin. Mt kh,u không mã hoá không nên dùng
vi nhng ngòi s dng t- mng bên ngoài. Authsrv c
chy trên mt host an toàn thông thng là bastion host.
n gin cho vic qun tr
authsrv ngi qun tr
có th s
dng mt shell authmsg qun tr
c s d liu có cung
cp c ch mã hoá d liu.
Ngi dùng trong 1 c s d liu ca authsrv có th c
chia thành các nhóm khác nhau c qun tr
bi qun tr
nhóm là ngi có toàn quyn trong nhóm c vic thêm, bt
ngi dùng. iu này thun li khi nhiu t chc cùng
dùng chung mt Firewall.
cu hình authsrv, u tiên cn xác
nh 1 cng TCP
tr(ng và thêm vào mt dòng vào trong inetd.conf g i
authsrv m*i khi có yêu cu kt n(i. Authsrv không phi mt
tin trình deamon chy liên tc, nó là chng trình c g i
m*i khi có yêu cu và cha mt bn sao CSDL tránh ri
ro. Thêm authsrv vào inet.conf òi h%i to thêm im vào
trong /etc/services. Vì authsrv không chp nhn tham s(, mà
phi thêm vào inetd.conf và services các dòng nh sau:
Trong /etc/services:
60
authsrv 7777/tcp
Trong /etc/inetd.conf:
authsrv stream tcp nowait root /usr/proxy/bin/authsrv authsrv
Cng d
ch v dùng cho authsvr s0 c dùng &t cu
hình cho các ng dng client có s dng d
ch v xác thc.
D
ch v xác thc không cn áp dng cho tt c các d
ch v
hay tt c các client.
#Example ftp gateway rules:
ftp-gw: authserver local host 7777
ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt
ftp-gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt
ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt
ftp-gw: permit-host 192.33.112.100
ftp-gw: permit-host 192.33.112.* -log {retr stor} -auth {stor}
ftp-gw: permist-host * -authall
ftp-gw: timeout 36000
Trong ví d trên, xác thc dùng vi FTP proxy. Dòng u
tiên
nh ngha
a ch" mng cng d
ch v ca chng trình
xác thc. Dòng permist-host cho thy mt trong s( s mm
do ca h th(ng xác thc, mt host c la ch n
không phi ch
u c ch xác thc, ngi dùng t- host này có
th truy cp t do ti m i d
ch v ca proxy. Permist-host
th 2 òi h%i xác thc m i h th(ng trong mng 192.33.112
mu(n truyn ra ngoài vi -auth {store} nhng thao tác ca
FTP s0 b
khoá ti khi ngi dùng hoàn thành vic xác thc
61
vi server. Khi ó, lnh c m khoá và ngi dùng có th
vào h th(ng. Ví d cu(i
nh ngha m i ngi có th n(i
vi server nhng trc ht h phi c xác thc.
Authsrv server phi c cu hình bit máy nào c
cho phép kt n(i. iu này cm tt c nhng c( gng truy
nhp bt hp pháp vào server t- nhng server không chy
nhng phn mm xác thc. Trong Firewall authsrv s0 chy
trên bastion host cùng vi proxy trên ó. Nu không có h
th(ng nào òi h%i truy cp, m*i client và server coi “local
host” nh mt
a ch" truyn thông. Cu hình authsrv
nh
ngha nó s0 vn hành CSDL và client h* tr.
#Example authhsrv rules:
authsrv: database /usr/proxy/bin/authsrv.db
authsrv: permit-host localhost
authsrv: permit-host 192.5.214..32
Trong ví d trên, ng d$n ti CSDL
nh ngha và 2 host
c nhn ra. Chú ý CSDL trên trong h th(ng c bo
v ho&c c bo v nghiêm ng&t bi c ch truy cp file.
Bo v CSDL rt quan tr ng do ó nên CSDL trên
bastion host. L(i vào th 2 là mt ví d v client s dng
mã hoá DES trong khi truyn thông vi authsrv. Khoá mã
cha trong tp cu hình òi h%i file cu hình phi c bo
v. Nói chung, vic mã hoá là không cn thit. Kt qu ca
vic mã hoá là cho phép qun tr
có th qun lý c s d
liu xác thc t- trm làm vic. Lu)ng d liu duy nht cn
phi bo v là khi ngi qun tr
mng &t li mt kh,u qua
62
mng cc b, hay khi qun lý c s d liu xác thc qua
mng din rng.
Duy trì CSDL xác thc da vào 2 công c authload và
authdump load và dump CSDL xác thc. Ngi qun tr
nên chy authdump trong crontab to bn sao dng ASCII
ca CSDL tránh trng hp xu khi CSDL b
h%ng hay
b
xoá.
Authsrv qun lý nhóm rt mm do, qun tr
có th nhóm
ngi dùng thành nhóm dùng “group wiz”, ngi có quyn
qun tr
nhóm có th xoá, thêm, to sa bn ghi trong nhóm,
cho phép hay cm ngi dùng, thay i password ca mt
kh,u ca user trong nhóm ca mình. Qun tr
nhóm không
thay i c ngi dùng ca nhóm khác, to ra nhóm mi
hay thay i quan h gia các nhóm. Qun tr
nhóm ch" có
quyn hn trong nhóm ca mình. Vic này có ích (i vi t
chc có nhiu nhóm làm vic cùng s dng Firewall.
To mt ngi s dng b!ng lnh “adduser”
adduser mrj ‘Marcus J. Ranum’
Khi mt user record mi c to nó cha c hot ng
và ngi s dng cha th login. Trc khi ngi s dng
login, qun tr
mng có th thay i mt kh,u và s( hiu
nhóm ca ngi s dng ó
group users mjr
password “whumpus” mjr
proto SecurID mjr
enable mjr
63
Khi mt user record to ra bi ngi qun tr
nhóm, nó
th-a hng s( hi.u nhóm c#ng nh giao thc xác thc.
User record có th xem bi lnh “display” hay “list”.
Ví d m
t phiên làm vic vi Authmsg:
%-> authmgs
Connected to server
authmgr-> login
Username: wizard
Challenge “200850” : 182312
Logged in
authmgs-> disp wizard
Report for user wizard (Auth DBA)
Last authenticated: Fri Oct 8 17:11:07 1993
Authentication protocol: Snk
Flags: WIZARD
authmgr-> list
Report for user in database
user group longname flags proto last
--- ----- -------- ----- ----- ---
wizard users Auth DBA y W Snk Fri Oct 8 17:02:56 1993
avolio users Fred Avolio y passwd Fri Sep 24 10:52:14 1993
rnj users Robert N. Jesse y passwd Wed Sep 29 18:35:45 1993
mjr users Marcus J. Ranum y none ri Oct 8 17:02:10 1993
authmgr-> adduser dalva “Dave dalva”
ok - user added initially disable
64
authmgr-> enable dalva
enabled
authmgr-> group dalva users
set group
authmgr-> proto dalva Skey
changed
authmgr-> disp dalva
Report for user dalva, group users (Dave Dalva)
Authentication protocol: Skey
Flags: none
authmgr-> password dalva
Password: #######
Repeat Password: #######
ID dalva s/key is 999 sol32
authmgr-> quit
Trong ví d trên qun tr
n(i vào authsrv qua mng s dng
giao din authmsg sau khi xác thc user record hin th
thi
gian xác thc. Sau khi login, list CSDL user, to ngi
dùng, &t password, enable và a vào nhóm.
Khi to CSDL Authsrv:
# authsrv
-administrator mode-
authsrv# list
Report for user in database
65
user group longname flags proto last
--- ----- -------- ----- ----- ---
authsrv# adduser admin ‘Auth DBA’
ok - user added initially disable
authsrv# enable admin
enabled
authsrv# superwiz admin
set wizard
authsrv# proto admin Snk
changed
authsrv# pass ‘160 270 203 065 022 034 232 162’ admin
Secret key changed
authsrv# list
Report for user in database
user group longname flags roto last
--- ----- -------- ----- ---- ---
admin Auth DBA y W Snk never
authsrv# quit
Trong ví d, mt CSDL mi c to cùng vi mt record
cho ngi qun tr
. Ngi qun tr
c gán quyn, gán
protocol xác thc.
66
3.4.5 S dng màn hình iu khin CSE Proxy:
Sau khi cài &t xong, khi login vào user proxy màn hình
iu khin s0 hin nên menu các chc n
ng ngi qun
tr
có th la ch n.
PROXY SERVICE MENU
1 Configuration
2 View TELNET log
3 View FTP log
4 View HTTP log
5 View E-MAIL log
6 View AUTHENTICATE log
7 View FINGER log
8 View RLOGIN log
9 View SOCKD log
a Report
b Authentication
c Change system time
d Change password
e Shutdown
q Exit
Select option> _
Con s( hay ch cái u tiên th hin phím bm thc hin
chc n
ng. Sau khi m*i chc n
ng thc hin xong xut hin
67
thông báo Press ENTER to continue r)i ch cho ti khi
phím Enter c bm tr li màn hình iu khin chính.
3.4.5.1 1 Configuration
Chc n
ng này cho phép son tho trc tip ti file cu hình
ca proxy. Trong file này cha các quy tc ca các d
ch v
nh netacl, ftp-gw, tn-gw... Cú pháp ca các quy tc này ã
c mô t phn trên. Sau khi s i các quy tc ch n
chc n
ng Save thì các quy tc mi s0 lp tc c áp
dng.
Chú ý: B son tho v
n bn son tho file cu hình có
các phím chc n
ng tng t nh chc n
ng son tho ca
Turbo Pascal 3.0. (Các chc n
ng cn thit u có th thy
trên Status Bar dòng cu(i cùng ca màn hình). (i vi
mt s( trng hp b son tho này không hot ng thì
chng trình son tho vi ca UNIX s0 c dùng thay
th.
3.4.5.2 2 View TELNET log
Chc n
ng xem ni dung nht ký ca tn-gw. Nht ký ghi li
toàn b các truy nhp qua proxy (i vi d
ch v tn-gw. (i
vi các d
ch v khác nh ftp-gw, http-gw u dc ghi li
nht ký và có th theo dõi bi các chc n
ng tng t (Xem
các mc di ây).
3.4.5.3 3 View FTP log
Chc n
ng xem ni dung nht ký ca ftp-gw.
3.4.5.4 4 View HTTP log
Chc n
ng xem ni dung nht ký ca http-gw.
68
3.4.5.5 5 View E-MAIL log
Chc n
ng xem ni dung nht ký ca d
ch v email.
3.4.5.6 6 View AUTHENTICATE log
Chc n
ng xem ni dung nht ký ca d
ch v xác thc.
3.4.5.7 7 View FINGER log
Chc n
ng xem ni dung nht ký ca finger.
3.4.5.8 8 View RLOGIN log
Chc n
ng xem ni dung nht ký ca rlogin-gw.
3.4.5.9 9 View SOCKD log
Chc n
ng xem ni dung nht ký ca sockd.
3.4.5.10 a Report
Chc n
ng làm báo cáo th(ng kê (i vi tt c các d
ch v
trong mt khong thi gian nht
nh.
u tiên màn hình s0 hin lên mt l
ch ch n khong thi
gian mu(n làm báo cáo. Sau khi tính toán xong báo cáo.
Ngi s dng s0 phi ch n mt trong các u ra ca báo
cáo g)m : xem (a ra màn hình), save (ra a mm) hay
print (in ra máy in gn trc tip vi máy server). Nu mu(n
in t- các máy in khác ta có th a ra a mm r)i in các tp
ó t- các trm làm vic.
Fri May 8 10:39:13 1998
Apr May Jun
S M Tu W Th F S S M Tu W Th F S S M Tu W Th F S
1 2 3 4 1 2 1 2 3 4 5 6
69
5 6 7 8 9 10 11 3 4 5 6 7 8 9 7 8 9 10 11 12 13
12 13 14 15 16 17 18 10 11 12 13 14 15 16 14 15 16 17 18 19 20
19 20 21 22 23 24 25 17 18 19 20 21 22 23 21 22 23 24 25 26 27
26 27 28 29 30 24 25 26 27 28 29 30 28 29 30
31
From date (dd/mm[/yy]) (08/05/98):01/05/98
To date (dd/mm[/yy]): (08/05/98):05/05/09
Calculating...
View, save to MS-DOS floppy disk or print report (v/s/p/q)? v
3.4.5.11 b Authentication
Chc n
ng này g i authsrv qun tr
ngi s dng và
chc n
ng xác thc cho ngi ó. authrv ã c mô t khá
rõ ràng trên.
authsrv# list
Report for users in database
user group longname status proto last
---- ----- -------- ------ ----- ----
dalva cse n passw never
ruth cse y passw never
authsrv#
70
3.4.5.12 c Change system time
Chc n
ng i thi gian h th(ng. Chc n
ng này có tác
dng iu ch"nh chính xác gi ca h th(ng. Bi vì gi h
th(ng có nh hng quan tr ng ti chính xác ca nht
ký. Giúp cho ngi qun tr
có th theo dõi úng các truy
nhp ti proxy.
Dòng nhp thi gian s0 nh di ây. Ngày tháng n
m có
th không càn nhp nhng cn chú ý ti dng ca s( a
vào. Di ây là ví d i gi thành 11 gi 28.
Current System Time is Fri May 08 10:32:00 HN 1998
Enter new time ([yymmdd]hhmm): 1128
3.4.5.13 d Change password
Chc n
ng i mt kh,u ca user proxy.
3.4.5.14 e Shutdown
Chc n
ng shut down toàn b h th(ng. Chc n
ng này
c dùng tt máy mt cách an toàn (i vi ngi s
dng.
3.4.5.15 q Exit
Chc n
ng này logout kh%i màn hình iu khin proxy.
3.4.6 Các vn cn quan tâm vi ng i s dng
Vi ngi s dng, khi dùng CSE Proxy cn phi
quan tâm n các vn sau:
71
3.4.6.1 Vi các Web Browser
Cn phi &t ch proxy chúng có th truy nhp n
các trang Web thông qua proxy.
Trong Microsoft Internet Explore (version 4.0) ta phi
ch n View -> Internet option -> Connection -> Proxy
Server và &t ch Access the Internet using a proxy, &t
a ch" IP và port ca proxy vào.
Trong Netscape Nevigator (version 4.0) ta phi ch n Edit -
>Preferences -> Advanced -> Proxies và &t
a ch" proxy
và cng d
ch v (port) (80) qua phn Manual proxy
configuration.
3.4.6.2 Vi ngi s dng telnet,
Nu không c &t chc n
ng xác thc thì quá trình nh
sau:
$ telnet vectra
Trying 192.1.1.155...
connect hostname [serv/ port]
connect to vectra.
Escape character is’^]’.
Vectra.sce.gov.vn telnet proxy (version V1.0) ready:
tn-gw -> help
Valid commands are: (unique abbreviations may be used)
connect hostname [serv/ port]
telnet hostname [serv/ port]
x-gw [hostname/ display]
72
help/ ?
quit/ exit
password
tn-gw -> c 192.1.1.1
Trying 192.1.1.1 port 23...
SCO Openserver TM Release 5 (sco5.cse.gov.vn) (ttysO)
Login: ngoc
password: #######
...
$
Nu có dùng chc n
ng xác thc, thì sau khi máy proxy tr
li:
Vectra.sce.gov.vn telnet proxy (version V1.0) ready:
Nhc ta phi a vào tên và mt kh,u thc hin xác thc:
Username: ngoc
password: #######
Login accepted
tn-gw ->
3.4.6.3 i vi ngi dùng dch v FTP
Nu có dùng chc n
ng xác thc thì quy trình nh sau:
$ftp vectra
73
Connected to vectra.
220 -Proxy first requres authentication
220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready:
Name (vectra: root): ngoc
331 Enter authentication password for ngoc
Password: #######
230 User authenticated to proxy
ftp>user ngoc@192.1.1.1
331 -(----GATEWAY CONNECTED TO 192.1.1.1----)
331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.)
331 Password required for ngoc.
Password:
230 User ngoc logged in.
ftp>
...
ftp>bye
221 Goodbye.
$
Còn nu không s dng chc n
ng xác thc thì n gin
hn:
$ftp vectra
Connected to vectra.
220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready:
Name (vectra: root): ngoc@192.1.1.1
331 -(----GATEWAY CONNECTED TO 192.1.1.1----)
331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.)
74
331 Password required for ngoc.
Password:
230 User ngoc logged in.
ftp>
...
ftp>bye
221 Goodbye
$
Nu s dng chng trình WS_FTP trên Window ca
Ipswitch, Inc thì cn phi &t ch Use Firewall trong
phn Advanced khi ta cu hình mt phiên n(i kt. Trong
phn Firewall Informatic ta s0 a
a ch" IP ca proxy vào
phn Hostname, tên ngi dùng và mt kh,u (UserID và
Password) cho phn xác thc trên proxy và cng d
ch v
(21). )ng thi phi ch n kiu USER after logon phn
Firewall type.
Các file đính kèm theo tài liệu này:
- Internet Firewall.pdf