Internet Firewall

1. An toàn thông tin trên mng _Error! Bookmark not defined. 1.1 Ti sao cn có Internet Firewall _Error! Bookmark not defined. 1.2 Bn mun bo v cái gì?__Error! Bookmark not defined. 1.2.3 Danh ting ca bn __Error! Bookmark not defined. 1.3 Bn mun bo v chng li cái gì? _ Error! Bookmark not defined. 1.3.1 Các kiu tn công ___Error! Bookmark not defined. 1.3.2 Phân loi k tn công Error! Bookmark not defined. 1.4 Vy Internet Firewall là gì? ___ Error! Bookmark not defined. 1.4.1 nh ngh a__Error! Bookmark not defined. 1.4.2 Ch c n ng ___Error! Bookmark not defined. 1.4.3 Cu trúc___Error! Bookmark not defined. 1.4.4 Các thành phn ca Firewall và c ch hot ng Error! Bookmark not defined. 1.4.5 Nhng hn ch ca firewall _Error! Bookmark not defined. 1.4.6 Các ví d firewall ____Error! Bookmark not defined. 2. Các dch v Internet ____Error! Bookmark not defined. 2.1 World Wide Web - WWW____ Error! Bookmark not defined. 2.2 Electronic Mail (Email hay th in t ). ____ Error! Bookmark not defined. 2.3 Ftp (file transfer protocol hay d ch v chuy n file) ___ Error! Bookmark not defined. 2.4 Telnet và rlogin _ Error! Bookmark not defined. 2.5 Archie__ Error! Bookmark not defined. 2.6 Finger __ Error! Bookmark not defined.

pdf74 trang | Chia sẻ: tlsuongmuoi | Lượt xem: 2162 | Lượt tải: 2download
Bạn đang xem trước 20 trang tài liệu Internet Firewall, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hi, k tn công phi phá v4 c hai tng bo mt  tn công vào mng ni b. 25 The Internet Bªn ngoµi Packet filtering router Bªn trong Information server Bastion host m¸y néi bé Hình 2.4 Screened host firewall (Single- Homed Bastion Host) Trong h th(ng này, bastion host c cu hình  trong mng ni b. Qui lut filtering trên packet-filtering router c  nh ngh a sao cho tt c các h th(ng  bên ngoài ch" có th truy nhp bastion host; Vic truyn thông ti tt c các h th(ng bên trong u b khoá. Bi vì các h th(ng ni b và bastion host  trên cùng mt mng, chính sách bo mt ca mt t ch c s0 quyt  nh xem các h th(ng ni b c phép truy nhp trc tip vào bastion Internet hay là chúng phi s dng d ch v proxy trên bastion host. Vic bt buc nhng user ni b c thc hin b!ng cách &t cu hình b l c ca router sao cho ch" chp nhn nhng truyn thông ni b xut phát t- bastion host. u im: 26 Máy ch cung cp các thông tin công cng qua d ch v Web và FTP có th &t trên packet-filtering router và bastion. Trong trng hp yêu cu  an toàn cao nht, bastion host có th chy các d ch v proxy yêu cu tt c các user c trong và ngoài truy nhp qua bastion host trc khi n(i vi máy ch. Trng hp không yêu cu  an toàn cao thì các máy ni b có th n(i th2ng vi máy ch. Nu cn  bo mt cao hn na thì có th dùng h th(ng firewall dual-home (hai chiu) bastion host (hình 2.5). Mt h th(ng bastion host nh vy có 2 giao din mng (network interface), nhng khi ó kh n ng truyn thông trc tip gia hai giao din ó qua d ch v proxy là b cm. The Internet Bªn ngoµi Packet filtering router Bªn trong Information server Bastion host m¸y néi bé Hình 2.5 Screened host firewall (Dual- Homed Bastion Host) Bi vì bastion host là h th(ng bên trong duy nht có th truy nhp c t- Internet, s tn công c#ng ch" gii hn 27 n bastion host mà thôi. Tuy nhiên, nu nh ngi dùng truy nhp c vào bastion host thì h có th d1 dàng truy nhp toàn b mng ni b. Vì vy cn phi cm không cho ngi dùng truy nhp vào bastion host. 1.4.6.3 Demilitarized Zone (DMZ - khu vc phi quân s) hay Screened-subnet Firewall H th(ng này bao g)m hai packet-filtering router và mt bastion host (hình 2.6). H th(ng firewall này có  an toàn cao nht vì nó cung cp c m c bo mt : network và application trong khi  nh ngh a mt mng “phi quân s”. Mng DMZ óng vai trò nh mt mng nh%, cô lp &t gia Internet và mng ni b. C bn, mt DMZ c cu hình sao cho các h th(ng trên Internet và mng ni b ch" có th truy nhp c mt s( gii hn các h th(ng trên mng DMZ, và s truyn trc tip qua mng DMZ là không th c. Vi nhng thông tin n, router ngoài ch(ng li nhng s tn công chu,n (nh gi mo  a ch" IP), và iu khin truy nhp ti DMZ. Nó cho phép h th(ng bên ngoài truy nhp ch" bastion host, và có th c information server. Router trong cung cp s bo v th hai b!ng cách iu khin DMZ truy nhp mng ni b ch" vi nhng truyn thông bt u t- bastion host. Vi nhng thông tin i, router trong iu khin mng ni b truy nhp ti DMZ. Nó ch" cho phép các h th(ng bên trong truy nhp bastion host và có th c information server. Quy lut filtering trên router ngoài yêu cu s dung dich v proxy b!ng cách ch" cho phép thông tin ra bt ngu)n t- bastion host. 28 u im:  K tn công cn phá v4 ba tng bo v: router ngoài, bastion host và router trong.  Bi vì router ngoài ch" qung cáo DMZ network ti Internet, h th(ng mng ni b là không th nhìn thy (invisible). Ch" có mt s( h th(ng ã c ch n ra trên DMZ là c bit n bi Internet qua routing table và DNS information exchange (Domain Name Server).  Bi vì router trong ch" qung cáo DMZ network ti mng ni b, các h th(ng trong mng ni b không th truy nhp trc tip vào Internet. iu nay m bo r!ng nhng user bên trong bt buc phi truy nhp Internet qua d ch v proxy. The Internet Bªn ngoµi Packet filtering router Bªn trong Information server Bastion host Outside router Inside router DMZ 29 Hình 2.6 Screened-Subnet Firewall 30 2. Các d ch v Internet Nh ã trình bày  trên, nhìn chung bn phi xác  nh bn bo v cái gì khi thit lp liên kt ra mng ngoài hay Internet: d liu, tài nguyên, danh ting. Khi xây dng mt Firewall, bn phi quan tâm n nhng vn  c th hn: bn phi bo v nhng d ch v nào bn dùng ho&c cung cp cho mng ngoài (hay Internet). Internet cung cp mt h th(ng các d ch v cho phép ngi dùng n(i vào Internet truy nhp và s dng các thông tin  trên mng Internet. H th(ng các d ch v này ã và ang c b sung theo s phát trin không ng-ng ca Internet. Các d ch v này bao g)m World Wide Web (g i tt là WWW ho&c Web), Email (th in t), Ftp (file transfer protocols - d ch v chuyn file), telnet ( ng dng cho phép truy nhp máy tính  xa), Archie (h th(ng xác  nh thông tin  các file và directory), finger (h th(ng xác  nh các user trên Internet), rlogin(remote login - vào mng t- xa) và mt s( các d ch v khác na. 31 2.1 World Wide Web - WWW WWW là d ch v Internet ra i gn ây nht, nhng phát trin nhanh nht hin nay. Web cung cp mt giao din vô cùng thân thin vi ngi dùng, d1 s dng, vô cùng thun li và n gin  tìm kim thông tin. Web liên kt thông tin da trên công ngh hyper-link (siêu liên kt), cho phép các trang Web liên kt vi nhau trc tip qua các  a ch" ca chúng. Thông qua Web, ngi dùng có th :  Phát hành các tin t c ca mình và  c tin t c t- khp ni trên th gii  Qung cáo v mình, v công ty hay t ch c ca mình c#ng nh xem các loi qung cáo trên th gii, t- kim vic làm, tuyn m nhân viên, công ngh và sn ph,m mi, tìm bn, vân vân.  Trao i thông tin vi bè bn, các t ch c xã hi, các trung tâm nghiên c u, trng h c, vân vân  Thc hin các d ch v chuyn tin hay mua bán hàng hoá  Truy nhp các c s d liu ca các t ch c, công ty (nu nh c phép) Và rt nhiu các hot ng khác na. 32 2.2 Electronic Mail (Email hay th in t ). Email là d ch v Internet c s dng rng rãi nht hin nay. Hâu ht các thông báo  dng text (v n bn) n gin, nhng ngi s dng có th gi kèm theo các file ch a các hình nh nh s ), nh . H th(ng email trên Internet là h th(ng th in t ln nht trên th gii, và thng c s dng cùng vi các h th(ng chuyn th khác. Kh n ng chuyn th in t trên Web có b hn ch hn so vi các h th(ng chuyn th in t trên Internet, bi vì Web là mt phng tin trao i công cng, trong khi th là mt cái gì ó riêng t. Vì vy, không phi tt c các Web brower u cung cp ch c n ng email. (Hai browser ln nht hin nay là Netscape và Internet Explorer u cung cp ch c n ng email). 33 2.3 Ftp (file transfer protocol hay d ch v chuy n file) Ftp là mt d ch v cho phép sao chép file t- mt h th(ng máy tính này n h th(ng máy tính khác ftp bao g)m th tc và chng trình ng dng, và là mt trong nhng d ch v ra i sm nht trên Internet. Fpt có th c dùng  m c h th(ng (gõ lnh vào command-line), trong Web browser hay mt s( tin ích khác. Fpt vô cùng hu ích cho nhng ngi dùng Internet, bi vì khi sc so trên Internet, bn s0 tìm thy vô s( nhng th vin phn mm có ích v rt nhiu l nh vc và bn có th chép chúng v  s dng. 34 2.4 Telnet và rlogin Telnet là mt ng dng cho phép bn truy nhp vào mt máy tính  xa và chy các ng dng  trên máy tính ó. Telnet là rt hu ích khi bn mu(n chy mt ng dng không có ho&c không chy c trên máy tính ca bn, ví d nh bn mu(n chy mt ng dung Unix trong khi máy ca bn là PC. Hay bn máy tính ca bn không  mnh  chy mt ng dng nào ó, ho&c không có các file d liu cn thit. Telnet cho bn kh n ng làm vic trên máy tính  xa bn hàng ngàn cây s( mà bn v$n có cm giác nh ang ng)i trc máy tính ó. Ch c n ng ca rlogin(remote login - vào mng t- xa) c#ng tng t nh Telnet. 35 2.5 Archie Archie là mt loi th vin thng xuyên t ng tìm kim các máy tính trên Internet, to ra mt kho d liu v danh sách các file có th np xu(ng (downloadable) t- Internet. Do ó, d liêu trong các file này luôn luôn là mi nht. Archie do ó rt tin dng cho ngi dùng  tìm kim và download các file. Ngi dùng ch" cn gi tên file, ho&c các t- khoá ti Archie; Archie s0 cho li  a ch" ca các file có tên ó ho&c có ch a nhng t- ó. 36 2.6 Finger Finger là mt chng trình ng dng cho phép tìm  a ch" ca các user khác trên Internet. T(i thiu, finger có th cho bn bit ai ang s dng mt h th(ng máy tính nào ó, tên login ca ngi ó là gì. Finger hay c s dng  tìm  a ch" email ca bè bn trên Internet. Finger còn có th cung cp cho bn nhiu thông tin khác, nh là mt ngi nào ó ã login vào mng bao lâu. Vì th finger có th coi là mt ngi tr giúp c lc nhng c#ng là m(i him ho cho s an toàn ca mng. 3. H thng Firewall xây dng bi CSE B chng trình Firewall 1.0 ca CSE c a ra vào tháng 6/1998. B chng trình này g)m hai thành phn:  B l c gói tin – IP Filtering  B chng trình cng ng dng – proxy servers Hai thành phn này có th hot ng mt cách riêng r0. Chúng c#ng có th kt hp li vi nhau  tr thành mt h th(ng firewall hoàn ch"nh. Trong tp tài liu này, chúng tôi ch"  cp n b chng trình cng ng dng ã c cài &t ti VPCP. 38 3.1 T ng quan B chng trình proxy ca CSE (phiên bn 1.0) c phát trin da trên b công c xây dng Internet Firewall TIS (Trusted Information System) phiên bn 1.3. TIS bao g)m mt b các chng trình và s &t li cu hình h th(ng  nh!m mc ích xây dng mt Firewall. B chng trình c thit k  chy trên h UNIX s dng TCP/IP vi giao din socket Berkeley. Vic cài &t b chng trình proxy òi h%i kinh nghim qun lý h th(ng UNIX, và TCP/IP networking. T(i thiu, ngi qun tr mng firewall phi quen thuc vi:  vic qun tr và duy trì h th(ng UNIX hot ng  vic xây dng các package cho h th(ng S khác nhau khi &t cu hình cho h th(ng quyt  nh m c  an toàn mng khác nhau. Ngi cài &t firewall phi hiu rõ yêu cu v  an toàn ca mng cn bo v, nm chc nhng ri ro nào là chp nhn c và không chp nhn c, thu lm và phân tích chúng t- nhng òi h%i ca ngi dùng. B chng trình proxy c thit k cho mt s( cu hình firewall, trong ó các dng c bn nht là dual-home gateway (hình 2.4), screened host gateway(hình 2.5), và screened subnet gateway(hình 2.6). Nh chúng ta ã bit, trong nhng cu trúc firewall này, yu t( c n bn nht là bastion host, óng vai trò nh mt ngi chuyn tip thông tin (forwarder), ghi nht ký truyn thông, và cung cp các d ch v. Duy trì  an toàn trên bastion host là cc k+ quan tr ng, bi vì ó là ni tp trung hu ht các c( gng cài &t mt h th(ng firewall. 39 3.2 Các thành phn ca b chng trình proxy: B chng trình proxy g)m nhng chng trình bc ng dng (application-level programs), ho&c là  thay th ho&c là c cng thêm vào phn mm h th(ng ã có. B chng trình proxy có nhng thành phn chính bao g)m:  Smap: d ch v SMTP(Simple Mail Tranfer Protocol)  Netacl: d ch v Telnet, finger, và danh mc các iêu khin truy nhp mng  Ftp-Gw: Proxy server cho Ftp  Telnet-Gw: Proxy server cho Telnet  Rlogin-Gw: Proxy server cho rlogin  Plug-Gw: TCP Plug-Board Connection server (server kt n(i t c thi dùng th tc TCP) 3.2.1 Smap: D ch v SMTP SMTP c xây dng b!ng cách s dng c&p công c phn mm smap và smapd. Có th nói r!ng SMTP ch(ng li s e do ti h th(ng, bi vì các chng trình mail chy  m c  h th(ng  phân phát mail ti các hp th ca user. Smap và smapd thc hin iu ó b!ng cách cô lp chng trình mail, bt nó chy trên mt th mc dành riêng (restricted directory) qua chroot (thay i th mc g(c), nh mt user không có quyn u tiên. Mc ích ca smap là cô lp chng trình mail v(n ã gây ra rt nhiu l*i trên h th(ng. Phn ln các công vic x lý mail thng c 40 thc hin bi chng trình sendmail. Sendmail không yêu cu mt s thay i hay &t li cu hình gì c. Khi mt h th(ng  xa n(i ti mt cng SMTP, h iu hành khi ng smap. Smap lp t c chroot ti th mc dành riêng và &t user-id  m c bình thng (không có quyn u tiên). Bi vì smap không yêu cu h* tr bi mt file h th(ng nào c, th mc dành riêng ch" ch a các file do smap to ra. Do vy, bn không cn phi lo s là smap s0 thay i file h th(ng khi nó chroot. Mc ích duy nht ca smap là (i thoi SMTP vi các h th(ng khác, thu lm thông báo mail, ghi vào  a, ghi nht ký, và thoát. Smapd có trách nhim thng xuyên quét th mc kho ca smap và a ra các thông báo ã c xp theo th t (queued messages) ti sendmail  cu(i cùng phân phát. Chú ý r!ng nu sendmail c &t cu hình  m c bình thng, và smap chy vi uucp user-id (?), mail có th c phân phát bình thng mà không cn smapd chy vi m c u tiên cao. Khi smapd phân phát mt thông báo, nó xoá file ch a thông báo ó trong kho. Theo ý ngh a này, sendmail b cô lp, và do ó mt user l trên mng không th kt n(i vi sendmail mà không qua smap. Tuy nhiên, smap và smapd không th gii quyt vn  gi mo th ho&c các loi tn công khác qua mail. Smap có kích thc rt nh% so vi sendmail (700 dòng so vi 20,000 dòng) nên vic phân tích file ngu)n  tìm ra l*i n gin hn nhiu. 3.2.2 Netacl: công c iu khi n truy nhp mng Chúng ta ã bit r!ng inetd không cung cp mt s iu khin truy nhp mng nào c: nó cho phép bt k+ mt h 41 th(ng nào trên mng c#ng có th n(i ti các d ch v lit kê trong file inetd.conf. Netacl là mt công c  iu khin truy nhp mng, da trên  a ch" network ca máy client, và d ch v c yêu cu. Vì vy mt client (xác  nh bi  a ch" IP ho&c hostname) có th khi ng telnetd (mt version khác ca telnet) khi nó n(i vi cng d ch v telnet trên firewall. Thng thng trong các cu hình firewall, netacl c s dng  cm tt c các máy tr- mt vài host c quyn login ti firewall qua ho&c là telnet ho&c là rlogin, và  khoá các truy nhp t- nhng k tn công.  an toàn ca netacl da trên  a ch" IP và/ho&c hostname. Vi các h th(ng cn  an toàn cao, nên dng  a ch" IP  tránh s gi mo DNS. Netacl không ch(ng li c s gi  a ch" IP qua chuyn ngu)n (source routing) ho&c nhng phng tin khác. Nu có các loi tn công nh vy, cn phi s dng mt router có kh n ng soi nhng packet ã c chuyn ngu)n (screening source routed packages). Chú ý là netacl không cung cp iu khin truy nhp UDP, bi vì công ngh hin nay không m bo s xác thc ca UDP. An toàn cho các d ch v UDP  ây )ng ngh a vi s không cho phép tt c các d ch v UDP. Netacl ch" bao g)m 240 dòng mã C (c gii thích) cho nên rt d1 dàng kim tra và hiu ch"nh. Tuy nhiên v$n cn phi c,n thn khi cu hình nó. 3.2.3 Ftp-Gw: Proxy server cho Ftp Ftp-Gw là mt proxy server cung cp iu khin truy nhp mng da trên  a ch" IP và/ho&c hostname, và cung cp 42 iu khin truy nhp th cp cho phép tu+ ch n khoá ho&c ghi nht ký bt k+ lnh ftp nào. ích cho d ch v này c#ng có th tu+ ch n c phép hay khoá. Tt c các s kt n(i và byte d liu chuyn qua u b ghi nht kí li. Ftp-Gw t bn thân nó không e do an toàn ca h th(ng firewall, bi vì nó chy chroot ti mt th mc r*ng, không thc hin mt th tc vào ra file nào c ngoài vic  c file cu hình ca nó. Kích thc ca Ftp-gw là khong 1,300 dòng. Ftp gateway ch" cung cp d ch v ftp, mà không quan tâm n ai có quyn hay không có quyn kt xut (export) file. Do vy, vic xác  nh quyn phi c thit lp trên gateway và phi thc hin tr c khi thc hin kt xut (export) hay nhp (import) file. Ftp gateway nên c cài &t da theo chính sách an toàn ca mng. B chng trình ngu)n cho phép ngi qun tr mng cung cp c d ch v ftp và ftp proxy trên cùng mt h th(ng. 3.2.4 Telnet-Gw: Proxy server cho Telnet Telnet-Gw là mt proxy server cung cp iu khin truy nhp mng da trên  a ch" IP và/ho&c hostname, và cung cp s iu khin truy nhp th cp cho phép tu+ ch n khoá bt k+ ích nào. Tt c các s kt n(i và byte d liu chuyn qua u b ghi nht ký li. M*i mt ln user n(i ti telnet-gw, s0 có mt menu n gin ca các ch n la  n(i ti mt host  xa. Telnet-gw không phng hi ti an toàn h th(ng, vì nó chy chroot n môt th mc dành riêng (restricted directory). File ngu)n bao g)m ch" 1,000 dòng lnh. Vic x lý menu là hoàn toàn di1n ra  trong b nh, và không 43 có môt subsell hay chng trình nào tham d. C#ng không có vic vào ra file ngoài vic  c cu hình file. Vì vy, telnet-gw không th cung cp truy nhp ti bn thân h th(ng firewall. 3.2.5 Rlogin-Gw: Proxy server cho rlogin Các terminal truy nhp qua th tc BSD rlogin có th c cung cp qua rlogin proxy. rlogin cho phép kim tra và iêu khin truy nhp mng tng t nh telnet gateway. Rlogin client có th ch" ra mt h th(ng  xa ngay khi bt u n(i vào proxy, cho phép hn ch yêu cu tng tác ca user vi máy (trong trng hp không yêu cu xác thc). 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net Thông thng, vic khai thác thông tin t- CSDL Oracle c tin hành thông qua d ch v WWW. Tuy nhiên  h* tr ngi s dng dùng chng trình plus33 n(i vào máy ch Oracle, b firewall ca CSE c a kèm vào chng trình Sql-net proxy. Vic kim soát truy nhp c thc hiu qua tên máy hay  a ch" IP ca máy ngu)n và máy ích. 3.2.7 Plug-Gw: TCP Plug-Board Connection server Firewall cung cp các d ch v thông thng nh Usernet news. Ngi qun tr mng có th ch n ho&c là chy d ch v này trên bn thân firewall, ho&c là cài &t mt proxy server. Do chy news trc tip trên firewall d1 gây l*i h th(ng trên phn mm này, cách an toàn hn là s dng proxy. Plug-gw c thit k cho Usernet News. 44 Plug-gw có th c &t cu hình  cho phép hay t- ch(i mt s kt n(i da trên  a ch" IP ho&c là hostname. Tt c s kt n(i và các byte d liu chuyn qua u c ghi nht ký li. 45 3.3 Cài t B cài &t g)m 2  a mm 1.44 Mb, R1 và R2. M*i b cài &t u có mt s( Serial number khác nhau và ch" hot ng c trên máy có hostname ã xác  nh trc. Vic cài &t c tin hành bình thng b!ng cách dùng lnh custom. Khi cài &t, mt ngi s dng có tên là proxy c  ng ký vi h th(ng  thc hin các ch c n ng qun lý proxy. Ngi cài &t phi &t mt kh,u cho user này. Mt th mc /usr/proxy c t ng thit lp, trong ó có các th mc con:  bin  ch a các chng trình thc hin  etc  ch a các tp cu hình Firewall và mt s( ví d các file cu hình ca h th(ng khi chy vi Firewall nh inetd.conf, services, syslog.conf  log  ch a các tp nht ký  report  ch a các tp báo cáo sau này. Vic &t cu hình và qun tr CSE Firewall u thông qua các ch c n ng trên menu khi login vào máy Firewall b!ng tên ngi s dng là proxy. Sau khi cài &t nên i tên nhng tp h th(ng và lu li trc khi &t cu hình:  /etc/inetd.conf  /etc/services  /etc/syslog.conf. 46 3.4 Thit lp cu hình: 3.4.1 Cu hình mng ban u Vi Firewall host-base Chúng ta có th chc chn vào vic mng c cài &t theo mt chính sách an toàn c la ch n nh!m ng n cn m i lu)ng thông tin không mong mu(n gia mng c bo v và mng bên ngoài. iu này có th c thc hin bi screening router hay dual-home gateway. Thông thng, các thit b mng u s dng c ch an toàn cài &t trên router ni mà m i liên kt u phi i qua. Mt iu cn quan tâm là trong khi ang cài &t, nhng máy ch công khai (Firewall bastion host) có th b tn công trc khi c ch an toàn ca nó c cu hình hoàn ch"nh  có th chy c. Do ó, nên cu hình tp inetd.conf  cm tt c các d ch v mng t- ngoài vào và s dng thit b u cu(i  cài &t. Ti thi im ó, chúng ta có th quy  nh nhng truy nhp gia mng c bo v và mng bên ngoài nào s0 b khoá. Tu+ theo mc ích, chúng ta có th ng n các truy nhp tu+ theo hng ca chúng. Chng trình c#ng cn c th nghim k càng trc khi s dng. Nu cn thit có th dùng chng trình /usr/proxy/bin/netscan  th kt n(i ti tt c máy tính trong mng con  kim tra. Nó s0 c( gng th l t qua Firewall theo m i hng  chc chn r!ng các truy nhp bt hp pháp là không th xy ra. Ng n cm truy nhp vào ra là cái ch(t trong c ch an toàn ca Firewall không nên s dng nu nó cha c cài &t và th nghim k l4ng. 47 3.4.2 Cu hình cho Bastion Host Mt nguyên nhân c bn ca vic xây dng Firewall là  ng n ch&n các d ch v không cn thit và các d ch v không nm rõ. Ng n ch&n các d ch v không cn thit òi h%i ngi cài &t phi có hiu bit v cu hình h th(ng. Các bc thc hin nh sau:  Sa i tp /etc/inetd.conf, /etc/services, /etc/syslog.conf, /etc/sockd.conf.  Sa i cu hình h diu hành, loi b% nhng d ch v có th gây l*i nh NFS, sau ó rebuild kernel. Vic này c thc hin cho ti khi h th(ng cung cp d ch v t(i thiu mà ngi qun tr tin tng. Vic cu hình này có th làm )ng thi vi vic kim tra d ch v nào chy chính xác b!ng cách dùng các lnh ps và netstat. Phn ln các server c cu hình cùng vi mt s( dng bo mt khác, các cu hình này s0 mô t  phn sau. Mt công c chung  th m dò các d ch v TCP/IP là /usr/proxy/bin/portscan có th dùng  xem d ch v nào ang c cung cp. Nu không có yêu cu &c bit có th dùng các file cu hình nói trên ã c to s/n và &t ti /usr/proxy/etc khi cài &t, ngc li có th tham kho  sa i theo yêu cu. Toàn b các thành phn ca b Firewall òi h%i c cu hình chung (m&c  nh là /usr/proxy/etc/netperms). Phn ln các thành phn ca b Firewall c g i bi d ch v ca h th(ng là inetd, khai báo trong /etc/inetd.conf tng t nh sau: 48 ftp stream tcp nowait root /usr/proxy/bin/netacl ftpd ftp-gw stream tcp nowait root /usr/proxy/bin/ftp-gw ftp-gw telnet-a stream tcp nowait root /usr/proxy/bin/netacl telnetd telnet stream tcp nowait root /usr/proxy/bin/tn-gw tn-gw login stream tcp nowait root /usr/proxy/bin/rlogin-gw rlogin-gw finger stream tcp nowait nobody /usr/proxy/bin/netacl fingerd http stream tcp nowait root /usr/proxy/bin/netacl httpd smtp stream tcp nowait root /usr/proxy/bin/smap smap Chng trình netacl là mt v% b c TCP (TCP Wrapper) cung cp kh n ng iu khin truy cp cho nhng d ch v TCP và c#ng s dng mt tp cu hình vi Firewall. Bc u tiên  cu hình netacl là cho phép mng ni b truy nhp có gii hn vào Firewall, nu nh nó cn thit cho nhu cu qun tr . Tu+ thuc vào TELNET gateway tn-gw có c cài &t hay không, qun tr có th truy cp vào Firewall qua cng khác vi cng chu,n ca telnet (23). Bi vì telnet thng không cho phép chng trình truy cp ti mt cng không phi là cng chu,n ca nó. D ch v proxy s0 chy trên cng 23 và telnet thc s s0 chy trên cng khác ví d d ch v có tên là telnet-a  trên (Xem file inetd.conf  trên). Có th kim tra tính úng n ca netacl b!ng cách cu hình cho phép ho&c cm mt s( host r)i th truy cp các d ch v t- chúng. M*i khi netacl c cu hình, TELNET và FTP gateway cn phi c cu hình theo. Cu hình TELNET gateway ch" n gin là coi nó nh mt d ch v và trong netacl.conf vit mt s( miêu t h th(ng nào có th s dng nó. Tr giúp có th c cung cp cho ngi s dng khi cn thit. Vic cu hình FTP proxy c#ng nh vy. Tuy nhiên, FTP có 49 th s dng cng khác không gi(ng TELNET. Rt nhiu các FTP client h* tr cho vic s dng cng không chu,n. D ch v rlogin là mt tu+ ch n có th dùng và phi c cài &t trên cng ng dng ca bastion host (cng 512) giao th c rlogin òi h%i mt cng &c bit, mt quá trình òi h%i s cho phép ca h th(ng UNIX. Ngi qun tr mu(n s dng c ch an toàn phi cài &t th mc cho proxy  nó gii hn nó trong th mc ó. Smap và smapd là các tin trình l c th có th c cài &t s dng th mc riêng ca proxy  x lý ho&c s dng mt th mc nào ó trong h th(ng. Smap và smapd không thay th sendmail do ó v$n cn cu hình sendmail cho Firewall. Vic này không mô t trong tài liu này. 3.4.3 Thit lp tp hp quy tc Khi cu hình cho proxy server và chng trình iu khin truy cp mng iu cn thit là thit lp chính xác tp quy tc  th hin úng vi mô hình an toàn mong mu(n. Mt cách t(t  bt u cu hình Firewall là  m i ngi trong mng s dng t do các d ch v )ng thi cm tt c m i ngi bên ngoài. Vic &t cu hình cho firewall không quá rc r(i, vì nó c thit k  h* tr cho m i hoàn cnh. Tp tin /usr/proxy/etc/netperms là CSDL cu hình và quyn truy nhp (configuration/permissions) cho các thành phn ca Firewall: netacl, smap, smapd, ftp-gw, tn-gw, http-gw, và plug-gw. Khi mt trong các ng dng này khi ng, nó  c cu hình và quyn truy nhp ca nó t- netperms và lu tr vào mt CSDL trong b nh. File configuration/permissions c thit lp thành nhng quy tc, m*i quy tc ch a trên mt dòng. Phn u tiên ca 50 m*i quy tc là tên ca ng dng, tip theo là du hai chm (“:”). Nhiu ng dng có th dùng chung mt quy tc vi tên ng n cách bi du phy. Dòng chú thích có th chèn vào file cu hình b!ng cách thêm vào u dòng ký t ‘#’. 3.4.3.1 Thi t lp tp hp các quy tc cho dch v HTTP, FTP Vic thit lp cu hình cho các d ch v HTTP, FTP là tng t nh nhau. Chúng tôi ch" a ra chi tit v thit lp cu hình và quy tc cho d ch v FTP. #Example ftp gateway rules: #--------------------------------- ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt ftp—gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt ftp-gw: permit-hosts 10.10.170.* -log {retr stor} ftp-gw: timeout 3600 Trong ví d trên, mng 10.10.170 c cho phép dùng proxy trong khi m i host khác không có trong danh sách, m i truy cp khác u b cm. Nu mt mng khác mu(n truy cp proxy, nó nhn c mt thông báo t- ch(i trong /usr/proxy/etc/ftp-deny.txt và sau ó liên kt b ngt. Nu mng c bo v phát trin thêm ch" cn thêm vào các dòng cho phép. ftp-gw: permit-hosts 16.67.32.* -log {retr stor} or 51 ftp-gw: permit-hosts 16.67.32.* -log {retr stor} ftp-gw: permit-hosts 10.10.170.* -log {retr stor} M*i b phn ca Firewall có mt tp các tu+ ch n và c c mô t trong manual page riêng ca phn ó. Trong ví d trên, Tu+ ch n -log {retr stor} cho phép FTP proxy ghi li nht ký vi tu+ ch n retr và stor. 3.4.3.2 Anonymous FTP Anonymous FTP server ã c s dng trong h iu hành UNIX t- lâu. Các l* hng trong vic bo m an toàn (Security hole) thng xuyên sinh ra do các ch c n ng mi c thêm vào, s xut hin ca bug và do cu hình sai. Mt cách tip cn vi vic m bo an toàn cho anonymous FTP là s dng netacl  chc chn FTP server b hn ch trong th mc ca nó trc khi c g i. Vi cu hinh nh vy, khó kh n cho anonymous FTP làm tn hi n h th(ng bên ngoài khu vc ca FTP. Di ây là mt ví d s dng netacl  quyt  nh gii hn hay không gii hn vùng s dng ca FTP (i vi m*i liên kt. Gi s là mng c bo v là 192.5.12 netacl-ftpd: hosts 192.5.12.* -exec /etc/ftpd netacl-ftpd: hosts unknown -exec /bin/cat /usr/proxy/etc/noftp.txt netacl-ftpd: hosts * -chroot /ftpdir -exec /etc/ftpd Trong ví d này, ngi dùng n(i vi d ch v FTP t- mng c bo v có kh n ng FTP bình thng. Ngi dùng kt n(i t- h th(ng khác domain nhn c mt thông báo r!ng h không có quyn s dng FTP. M i h th(ng khác kt n(i vào FTP u s dng vi vùng file FTP. iu này có mt 52 s( thun li cho vic bo m an toàn. Th nht, khi kim tra xác thc, ftpd kim tra mt kh,u ca ngi s dng trong vùng FTP, cho phép ngi qun tr a ra “account” cho FTP. iu này cn thit cho nhng ngi không có account trong bastion host cung cp s kim tra và xác thc nó còn cho phép qun tr s dng nhng im mnh ca ftpd cho dù nó ch a mt s( l* hng v an toàn. 3.4.3.3 Telnet và rlogin Nói chung truy cp ti bastion host nên b cm, ch" ngi qun tr có quyn login. Thông thng  khi chy proxy, chng trình telnet và rlogin không th chy trên các cng chu,n ca chúng. Có 3 cách gii quyt vn  này:  Chy telnet và rloggin proxy trên cng chu,n vi telnet và rlogin trên cng khác và bo v truy cp ti chúng b!ng netacl  Cho phép login ch" vi thit b u cu(i.  Dùng netacl  chuyn i tu+ thuc vào im xut phát ca kt n(i, da trên proxy  thc hin kt n(i thc s. Cách gii quyt cu(i cùng rt tin li nhng cho phép m i ngi có quyn dùng proxy  login vào bastion host. Nu bastion host s dng xác thc m c cao  qun lý truy cp ca ngi dùng, s ri ro do vic tn công vào h bastion host s0 c gim thiu.  cu hình h th(ng trc ht, tt c các thit b c n(i vào h th(ng qua netacl và dùng nó g i các chng trình server hay proxy server tu+ thuc vào ni xut phát ca kt n(i. Ngi qun tr mu(n vào bastion host trc ht phi kt n(i vào netacl sau ó ra lnh kt n(i vào bastion host. Vic này 53 n gin vì mt s( bn telnet và rlogin không làm vic nu không c kt n(i vào úng cng. netacl-telnetd: permit-hosts 127.0.0.1 -exec /etc/telnetd netacl-telnetd: permit-hosts myaddress -exec /etc/telnetd netacl-telnetd: permit-hosts * -exec /usr/proxy/bin/tn-gw netacl-rlogin: permit-hosts 127.0.0.1 -exec /etc/rlogin netacl-rlogin: permit-hosts myaddress -exec /etc/rlogin netacl-rlogin: permit-hosts * -exec /usr/proxy/bin/rlogin-gw 3.4.3.4 Sql-net proxy Gi thit là có hai CSDL STU n!m trên máy 190.2.2.3 và VPCP n!m trên máy 190.2.0.4.  cu hình cho sql-net proxy, phi tin hành các bc nh sau: 3.4.3.4.1 Cu hình trên firewall  &t cu hình cho tp netperms nh sau: #Oracle proxy for STU Database ora_stu1: timeout 3600 ora_stu1: port 1521 * -plug-to 190.2.2.3 -port 1521 ora_stu2: timeout 3600 ora_stu2: port 1526 * -plug-to 190.2.2.3 -port 1526 #Oracle proxy for VBPQ Database 54 ora_vpcp1: timeout 3600 ora_vpcp1: port 1421 * -plug-to 190.2.0.4 -port 1521 ora_vpcp2: timeout 3600 ora_vpcp2: port 1426 * -plug-to 190.2.0.4 -port 1526  &t li tp /etc/services nh sau: #Oracle Proxy for STU Database ora_stu1 1521/tcp oracle proxy ora_stu2 1526/tcp oracle proxy #Oracle Proxy for VBPQ Database ora_vpcp1 1421/tcp oracle proxy ora_vpcp2 1426/tcp oracle proxy  &t li tp /etc/inetd.conf nh sau: #Oracle Proxy for VBPQ Database ora_stu1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu1 ora_stu2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu2 55 #Oracle Proxy for VBPQ Database ora_vpcp1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp1 ora_vpcp2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp2  &t li tp /etc/syslog.conf nh sau: #Logfile for Sql-gw “sql-gw” /usr/proxy/log/plug-gw 3.4.3.4.2 Cu hình trên máy trm  &t li tp oracle_home\network\admin\tnsnames.ora nh sau: #Logfile for Sql-gw stu.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1521) ) (ADDRESS = (COMMUNITY = tcp.world) 56 (PROTOCOL = TCP) (Host = firewall) (Port = 1526) ) ) (CONNECT_DATA = (SID = STU) ) ) vpcp.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1421) ) (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1426) ) ) (CONNECT_DATA = (SID = ORA1) 57 ) ) Bn có th d1 dàng m rng cho nhiu CSDL khác n!m trên nhiu máy khác nhau. 3.4.3.5 Các dch v khác Tng t nh trên là các ví d cu hình cho các d ch v khác khai báo trong file netperms: # finger gateway rules: # --------------------- netacl-fingerd: permit-hosts 190.2.* ws1 -exec /etc/fingerd netacl-fingerd: deny-hosts * -exec /bin/cat /usr/proxy/etc/finger.txt # http gateway rules: # --------------------- netacl-httpd: permit-hosts * -exec /usr/proxy/bin/http-gw http-gw: timeout 3600 #http-gw: denial-msg /usr/proxy/etc/http-deny.txt #http-gw: welcome-msg /usr/proxy/etc/http-welcome.txt #http-gw: help-msg /usr/proxy/etc/http-help.txt http-gw: permit-hosts 190.2.* 10.* 192.2.0.* -log { all } http-gw: deny-hosts 220.10.170.32 ws1 http-gw: default-httpd hpnt # # smap (E-mail) rules: 58 # ---------------------- smap, smapd: userid root smap, smapd: directory /usr/spool/mail smapd: executable /usr/proxy/bin/smapd smapd: sendmail /usr/lib/sendmail smap: timeout 3600 # Ngoài ra, trong CSE Firewall còn có d ch v socks  kim soát các phn mm ng dng &c bit nh Lotus Notes. Cn phi thêm vào các file cu hình h th(ng nh sau: File /etc/services: socks 1080/tcp File /etc/inetd.conf: socks stream tcp nowait root /etc/sockd sockd Cu hình và quy tc cho d ch v này n!m  file /etc/sockd.conf, ch" có hai t- khoá cn phi quan tâm là permit và deny  cho phép hay không các host i qua, d ch v này không kt hp vi d ch v xác thc. a ch" IP và Netmask &t trong file này gi(ng nh vi lnh d$n ng route ca UNIX. permit 190.2.0.0 255.255.0.0 permit 10.10.170.50 255.255.255.255 permit 10.10.170.40 255.255.255.255 permit 10.10.170.31 255.255.255.255 deny 0.0.0.0 0.0.0.0 : mail -s 'SOCKD: rejected -- from %u@%A to host %Z (service %S)' root 59 3.4.4 Xác thc và d ch v xác thc B Firewall ch a chng trình server xác thc c thit k  h* tr c ch phân quyn. Authsrv ch a mt c s d liu v ngi dùng trong mng, m*i bn ghi tng ng vi mt ngi dùng, ch a c ch xác thc cho m*i anh ta, trong ó bao g)m tên nhóm, tên y  ca ngi dùng, ln truy cp mi nht. Mt kh,u không mã hoá (Plain text password) c s dng cho ngi dùng trong mng  vic qun tr c n gin. Mt kh,u không mã hoá không nên dùng vi nhng ngòi s dng t- mng bên ngoài. Authsrv c chy trên mt host an toàn thông thng là bastion host.  n gin cho vic qun tr authsrv ngi qun tr có th s dng mt shell authmsg  qun tr c s d liu có cung cp c ch mã hoá d liu. Ngi dùng trong 1 c s d liu ca authsrv có th c chia thành các nhóm khác nhau c qun tr bi qun tr nhóm là ngi có toàn quyn trong nhóm c vic thêm, bt ngi dùng. iu này thun li khi nhiu t ch c cùng dùng chung mt Firewall.  cu hình authsrv, u tiên cn xác  nh 1 cng TCP tr(ng và thêm vào mt dòng vào trong inetd.conf  g i authsrv m*i khi có yêu cu kt n(i. Authsrv không phi mt tin trình deamon chy liên tc, nó là chng trình c g i m*i khi có yêu cu và ch a mt bn sao CSDL  tránh ri ro. Thêm authsrv vào inet.conf òi h%i to thêm im vào trong /etc/services. Vì authsrv không chp nhn tham s(, mà phi thêm vào inetd.conf và services các dòng nh sau: Trong /etc/services: 60 authsrv 7777/tcp Trong /etc/inetd.conf: authsrv stream tcp nowait root /usr/proxy/bin/authsrv authsrv Cng d ch v dùng cho authsvr s0 c dùng  &t cu hình cho các ng dng client có s dng d ch v xác thc. D ch v xác thc không cn áp dng cho tt c các d ch v hay tt c các client. #Example ftp gateway rules: ftp-gw: authserver local host 7777 ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt ftp-gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt ftp-gw: permit-host 192.33.112.100 ftp-gw: permit-host 192.33.112.* -log {retr stor} -auth {stor} ftp-gw: permist-host * -authall ftp-gw: timeout 36000 Trong ví d trên, xác thc dùng vi FTP proxy. Dòng u tiên  nh ngh a  a ch" mng cng d ch v ca chng trình xác thc. Dòng permist-host cho thy mt trong s( s mm do ca h th(ng xác thc, mt host c la ch n  không phi ch u c ch xác thc, ngi dùng t- host này có th truy cp t do ti m i d ch v ca proxy. Permist-host th 2 òi h%i xác thc m i h th(ng trong mng 192.33.112 mu(n truyn ra ngoài vi -auth {store} nhng thao tác ca FTP s0 b khoá ti khi ngi dùng hoàn thành vic xác thc 61 vi server. Khi ó, lnh c m khoá và ngi dùng có th vào h th(ng. Ví d cu(i  nh ngh a m i ngi có th n(i vi server nhng trc ht h phi c xác thc. Authsrv server phi c cu hình  bit máy nào c cho phép kt n(i. iu này cm tt c nhng c( gng truy nhp bt hp pháp vào server t- nhng server không chy nhng phn mm xác thc. Trong Firewall authsrv s0 chy trên bastion host cùng vi proxy trên ó. Nu không có h th(ng nào òi h%i truy cp, m*i client và server coi “local host” nh mt  a ch" truyn thông. Cu hình authsrv  nh ngh a nó s0 vn hành CSDL và client h* tr. #Example authhsrv rules: authsrv: database /usr/proxy/bin/authsrv.db authsrv: permit-host localhost authsrv: permit-host 192.5.214..32 Trong ví d trên, ng d$n ti CSDL  nh ngh a và 2 host c nhn ra. Chú ý CSDL  trên trong h th(ng c bo v ho&c c bo v nghiêm ng&t bi c ch truy cp file. Bo v CSDL rt quan tr ng do ó nên  CSDL trên bastion host. L(i vào th 2 là mt ví d v client s dng mã hoá DES trong khi truyn thông vi authsrv. Khoá mã ch a trong tp cu hình òi h%i file cu hình phi c bo v. Nói chung, vic mã hoá là không cn thit. Kt qu ca vic mã hoá là cho phép qun tr có th qun lý c s d liu xác thc t- trm làm vic. Lu)ng d liu duy nht cn phi bo v là khi ngi qun tr mng &t li mt kh,u qua 62 mng cc b, hay khi qun lý c s d liu xác thc qua mng din rng. Duy trì CSDL xác thc da vào 2 công c authload và authdump  load và dump CSDL xác thc. Ngi qun tr nên chy authdump trong crontab to bn sao dng ASCII ca CSDL  tránh trng hp xu khi CSDL b h%ng hay b xoá. Authsrv qun lý nhóm rt mm do, qun tr có th nhóm ngi dùng thành nhóm dùng “group wiz”, ngi có quyn qun tr nhóm có th xoá, thêm, to sa bn ghi trong nhóm, cho phép hay cm ngi dùng, thay i password ca mt kh,u ca user trong nhóm ca mình. Qun tr nhóm không thay i c ngi dùng ca nhóm khác, to ra nhóm mi hay thay i quan h gia các nhóm. Qun tr nhóm ch" có quyn hn trong nhóm ca mình. Vic này có ích (i vi t ch c có nhiu nhóm làm vic cùng s dng Firewall. To mt ngi s dng b!ng lnh “adduser” adduser mrj ‘Marcus J. Ranum’ Khi mt user record mi c to nó cha c hot ng và ngi s dng cha th login. Trc khi ngi s dng login, qun tr mng có th thay i mt kh,u và s( hiu nhóm ca ngi s dng ó group users mjr password “whumpus” mjr proto SecurID mjr enable mjr 63 Khi mt user record to ra bi ngi qun tr nhóm, nó th-a hng s( hi.u nhóm c#ng nh giao th c xác thc. User record có th xem bi lnh “display” hay “list”. Ví d m t phiên làm vic vi Authmsg: %-> authmgs Connected to server authmgr-> login Username: wizard Challenge “200850” : 182312 Logged in authmgs-> disp wizard Report for user wizard (Auth DBA) Last authenticated: Fri Oct 8 17:11:07 1993 Authentication protocol: Snk Flags: WIZARD authmgr-> list Report for user in database user group longname flags proto last --- ----- -------- ----- ----- --- wizard users Auth DBA y W Snk Fri Oct 8 17:02:56 1993 avolio users Fred Avolio y passwd Fri Sep 24 10:52:14 1993 rnj users Robert N. Jesse y passwd Wed Sep 29 18:35:45 1993 mjr users Marcus J. Ranum y none ri Oct 8 17:02:10 1993 authmgr-> adduser dalva “Dave dalva” ok - user added initially disable 64 authmgr-> enable dalva enabled authmgr-> group dalva users set group authmgr-> proto dalva Skey changed authmgr-> disp dalva Report for user dalva, group users (Dave Dalva) Authentication protocol: Skey Flags: none authmgr-> password dalva Password: ####### Repeat Password: ####### ID dalva s/key is 999 sol32 authmgr-> quit Trong ví d trên qun tr n(i vào authsrv qua mng s dng giao din authmsg sau khi xác thc user record hin th thi gian xác thc. Sau khi login, list CSDL user, to ngi dùng, &t password, enable và a vào nhóm. Khi to CSDL Authsrv: # authsrv -administrator mode- authsrv# list Report for user in database 65 user group longname flags proto last --- ----- -------- ----- ----- --- authsrv# adduser admin ‘Auth DBA’ ok - user added initially disable authsrv# enable admin enabled authsrv# superwiz admin set wizard authsrv# proto admin Snk changed authsrv# pass ‘160 270 203 065 022 034 232 162’ admin Secret key changed authsrv# list Report for user in database user group longname flags roto last --- ----- -------- ----- ---- --- admin Auth DBA y W Snk never authsrv# quit Trong ví d, mt CSDL mi c to cùng vi mt record cho ngi qun tr . Ngi qun tr c gán quyn, gán protocol xác thc. 66 3.4.5 S d ng màn hình iu khi n CSE Proxy: Sau khi cài &t xong, khi login vào user proxy màn hình iu khin s0 hin nên menu các ch c n ng  ngi qun tr có th la ch n. PROXY SERVICE MENU 1 Configuration 2 View TELNET log 3 View FTP log 4 View HTTP log 5 View E-MAIL log 6 View AUTHENTICATE log 7 View FINGER log 8 View RLOGIN log 9 View SOCKD log a Report b Authentication c Change system time d Change password e Shutdown q Exit Select option> _ Con s( hay ch cái u tiên th hin phím bm  thc hin ch c n ng. Sau khi m*i ch c n ng thc hin xong xut hin 67 thông báo Press ENTER to continue r)i ch cho ti khi phím Enter c bm  tr li màn hình iu khin chính. 3.4.5.1 1 Configuration Ch c n ng này cho phép son tho trc tip ti file cu hình ca proxy. Trong file này ch a các quy tc ca các d ch v nh netacl, ftp-gw, tn-gw... Cú pháp ca các quy tc này ã c mô t  phn trên. Sau khi s i các quy tc ch n ch c n ng Save thì các quy tc mi s0 lp t c c áp dng. Chú ý: B son tho v n bn  son tho file cu hình có các phím ch c n ng tng t nh ch c n ng son tho ca Turbo Pascal 3.0. (Các ch c n ng cn thit u có th thy trên Status Bar  dòng cu(i cùng ca màn hình). (i vi mt s( trng hp b son tho này không hot ng thì chng trình son tho vi ca UNIX s0 c dùng  thay th. 3.4.5.2 2 View TELNET log Ch c n ng xem ni dung nht ký ca tn-gw. Nht ký ghi li toàn b các truy nhp qua proxy (i vi d ch v tn-gw. (i vi các d ch v khác nh ftp-gw, http-gw u dc ghi li nht ký và có th theo dõi bi các ch c n ng tng t (Xem các mc di ây). 3.4.5.3 3 View FTP log Ch c n ng xem ni dung nht ký ca ftp-gw. 3.4.5.4 4 View HTTP log Ch c n ng xem ni dung nht ký ca http-gw. 68 3.4.5.5 5 View E-MAIL log Ch c n ng xem ni dung nht ký ca d ch v email. 3.4.5.6 6 View AUTHENTICATE log Ch c n ng xem ni dung nht ký ca d ch v xác thc. 3.4.5.7 7 View FINGER log Ch c n ng xem ni dung nht ký ca finger. 3.4.5.8 8 View RLOGIN log Ch c n ng xem ni dung nht ký ca rlogin-gw. 3.4.5.9 9 View SOCKD log Ch c n ng xem ni dung nht ký ca sockd. 3.4.5.10 a Report Ch c n ng làm báo cáo th(ng kê (i vi tt c các d ch v trong mt khong thi gian nht  nh. u tiên màn hình s0 hin lên mt l ch  ch n khong thi gian mu(n làm báo cáo. Sau khi tính toán xong báo cáo. Ngi s dng s0 phi ch n mt trong các u ra ca báo cáo g)m : xem (a ra màn hình), save (ra  a mm) hay print (in ra máy in gn trc tip vi máy server). Nu mu(n in t- các máy in khác ta có th a ra  a mm r)i in các tp ó t- các trm làm vic. Fri May 8 10:39:13 1998 Apr May Jun S M Tu W Th F S S M Tu W Th F S S M Tu W Th F S 1 2 3 4 1 2 1 2 3 4 5 6 69 5 6 7 8 9 10 11 3 4 5 6 7 8 9 7 8 9 10 11 12 13 12 13 14 15 16 17 18 10 11 12 13 14 15 16 14 15 16 17 18 19 20 19 20 21 22 23 24 25 17 18 19 20 21 22 23 21 22 23 24 25 26 27 26 27 28 29 30 24 25 26 27 28 29 30 28 29 30 31 From date (dd/mm[/yy]) (08/05/98):01/05/98 To date (dd/mm[/yy]): (08/05/98):05/05/09 Calculating... View, save to MS-DOS floppy disk or print report (v/s/p/q)? v 3.4.5.11 b Authentication Ch c n ng này g i authsrv  qun tr ngi s dng và ch c n ng xác thc cho ngi ó. authrv ã c mô t khá rõ ràng  trên. authsrv# list Report for users in database user group longname status proto last ---- ----- -------- ------ ----- ---- dalva cse n passw never ruth cse y passw never authsrv# 70 3.4.5.12 c Change system time Ch c n ng i thi gian h th(ng. Ch c n ng này có tác dng iu ch"nh chính xác gi ca h th(ng. Bi vì gi h th(ng có nh hng quan tr ng ti  chính xác ca nht ký. Giúp cho ngi qun tr có th theo dõi úng các truy nhp ti proxy. Dòng nhp thi gian s0 nh di ây. Ngày tháng n m có th không càn nhp nhng cn chú ý ti dng ca s( a vào. Di ây là ví d i gi thành 11 gi 28. Current System Time is Fri May 08 10:32:00 HN 1998 Enter new time ([yymmdd]hhmm): 1128 3.4.5.13 d Change password Ch c n ng i mt kh,u ca user proxy. 3.4.5.14 e Shutdown Ch c n ng shut down toàn b h th(ng. Ch c n ng này c dùng  tt máy mt cách an toàn (i vi ngi s dng. 3.4.5.15 q Exit Ch c n ng này logout kh%i màn hình iu khin proxy. 3.4.6 Các vn  cn quan tâm vi ng i s d ng Vi ngi s dng, khi dùng CSE Proxy cn phi quan tâm n các vn  sau: 71 3.4.6.1 Vi các Web Browser Cn phi &t ch  proxy  chúng có th truy nhp n các trang Web thông qua proxy. Trong Microsoft Internet Explore (version 4.0) ta phi ch n View -> Internet option -> Connection -> Proxy Server và &t ch  Access the Internet using a proxy, &t  a ch" IP và port ca proxy vào. Trong Netscape Nevigator (version 4.0) ta phi ch n Edit - >Preferences -> Advanced -> Proxies và &t  a ch" proxy và cng d ch v (port) (80) qua phn Manual proxy configuration. 3.4.6.2 Vi ngi s dng telnet, Nu không c &t ch c n ng xác thc thì quá trình nh sau: $ telnet vectra Trying 192.1.1.155... connect hostname [serv/ port] connect to vectra. Escape character is’^]’. Vectra.sce.gov.vn telnet proxy (version V1.0) ready: tn-gw -> help Valid commands are: (unique abbreviations may be used) connect hostname [serv/ port] telnet hostname [serv/ port] x-gw [hostname/ display] 72 help/ ? quit/ exit password tn-gw -> c 192.1.1.1 Trying 192.1.1.1 port 23... SCO Openserver TM Release 5 (sco5.cse.gov.vn) (ttysO) Login: ngoc password: ####### ... $ Nu có dùng ch c n ng xác thc, thì sau khi máy proxy tr li: Vectra.sce.gov.vn telnet proxy (version V1.0) ready: Nhc ta phi a vào tên và mt kh,u  thc hin xác thc: Username: ngoc password: ####### Login accepted tn-gw -> 3.4.6.3 i vi ngi dùng dch v FTP Nu có dùng ch c n ng xác thc thì quy trình nh sau: $ftp vectra 73 Connected to vectra. 220 -Proxy first requres authentication 220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready: Name (vectra: root): ngoc 331 Enter authentication password for ngoc Password: ####### 230 User authenticated to proxy ftp>user ngoc@192.1.1.1 331 -(----GATEWAY CONNECTED TO 192.1.1.1----) 331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.) 331 Password required for ngoc. Password: 230 User ngoc logged in. ftp> ... ftp>bye 221 Goodbye. $ Còn nu không s dng ch c n ng xác thc thì n gin hn: $ftp vectra Connected to vectra. 220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready: Name (vectra: root): ngoc@192.1.1.1 331 -(----GATEWAY CONNECTED TO 192.1.1.1----) 331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.) 74 331 Password required for ngoc. Password: 230 User ngoc logged in. ftp> ... ftp>bye 221 Goodbye $ Nu s dng chng trình WS_FTP trên Window ca Ipswitch, Inc thì cn phi &t ch  Use Firewall  trong phn Advanced khi ta cu hình mt phiên n(i kt. Trong phn Firewall Informatic ta s0 a  a ch" IP ca proxy vào phn Hostname, tên ngi dùng và mt kh,u (UserID và Password) cho phn xác thc trên proxy và cng d ch v (21). )ng thi phi ch n kiu USER after logon  phn Firewall type.

Các file đính kèm theo tài liệu này:

  • pdfInternet Firewall.pdf
Tài liệu liên quan