3
Mục lục
1. An toàn thông tin trên mạng 3
1.1 Tại sao cần có Internet Firewall 3
1.2 Bạn muốn bảo vệ cái gì? 5
1.2.1 Dữ liệu của bạn 5
1.2.2 Tài nguyên của bạn 5
1.2.3 Danh tiếng của bạn 6
1.3 Bạn muốn bảo vệ chống lại cái gì? 7
1.3.1 Các kiểu tấn công 7
1.3.2 Phân loại kẻ tấn công 10
1.4 Vậy Internet Firewall là gì? 12
1.4.1 Định nghĩa 12
1.4.2 Chức năng 12
1.4.3 Cấu trúc 13
1.4.4 Các thành phần của Firewall và cơ chế hoạt động 13
1.4.5 Những hạn chế của firewall 20
1.4.6 Các ví dụ firewall 21
2. Các dịch vụ Internet 28
2.1 World Wide Web - WWW 29
2.2 Electronic Mail (Email hay thư điện tử). 30
2.3 Ftp (file transfer protocol hay dịch vụ chuyển file) 31
2.4 Telnet và rlogin 32
2.5 Archie 33
2.6 Finger 34
3. Hệ thống Firewall xây dựng bởi CSE 35
3.1 Tổng quan 36
3.2 Các thành phần của bộ chương trình proxy: 37
3.2.1 Smap: Dịch vụ SMTP 37
3.2.2 Netacl: công cụ điều khiển truy nhập mạng 38
3.2.3 Ftp-Gw: Proxy server cho Ftp 39
3.2.4 Telnet-Gw: Proxy server cho Telnet 40
3.2.5 Rlogin-Gw: Proxy server cho rlogin 41
3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net 41
3.2.7 Plug-Gw: TCP Plug-Board Connection server 41
3.3 Cài đặt 43
3.4 Thiết lập cấu hình: 44
3.4.1 Cấu hình mạng ban đầu 44
3.4.2 Cấu hình cho Bastion Host 45
3.4.3 Thiết lập tập hợp quy tắc 47
3.4.4 Xác thực và dịch vụ xác thực 56
3.4.5 Sử dụng màn hình điều khiển CSE Proxy: 62
3.4.6 Các vấn đề cần quan tâm với người sử dụng 66
1. An toàn thông tin trên mạng
1.1 Tại sao cần có Internet Firewall
Hiện nay, khái niệm mạng toàn cầu - Internet không còn mới mẻ. Nó đã trở nên phổ biến tới mức không cần phải chú giải gì thêm trong những tạp chí kỹ thuật, còn trên những tạp chí khác thì tràn ngập những bài viết dài, ngắn về Internet. Khi những tạp chí thông thường chú trọng vào Internet thì giờ đây, những tạp chí kỹ thuật lại tập trung vào khía cạnh khác: an toàn thông tin. Đó cùng là một quá trình tiến triển hợp logic: khi những vui thích ban đầu về một siêu xa lộ thông tin, bạn nhất định nhận thấy rằng không chỉ cho phép bạn truy nhập vào nhiều nơi trên thế giới, Internet còn cho phép nhiều người không mời mà tự ý ghé thăm máy tính của bạn.
Thực vậy, Internet có những kỹ thuật tuyệt vời cho phép mọi người truy nhập, khai thác, chia sẻ thông tin. Những nó cũng là nguy cơ chính dẫn đến thông tin của bạn bị hư hỏng hoặc phá huỷ hoàn toàn.
Theo số liệu của CERT(Computer Emegency Response Team - “Đội cấp cứu máy tính”), số lượng các vụ tấn công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của tất cả các công ty lớn như AT&T, IBM, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, nhà băng . Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa, những con số này chỉ là phần nổi của tảng băng. Một phần rất lớn các vụ tấn công không được thông báo, vì nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biết những cuộc tấn công nhằm vào hệ thống của họ.
70 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 2594 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Hệ thống firewall xây dựng bởi cse, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
cuéc tÊn c«ng nµy kh«ng "®i qua" nã. Mét c¸ch cô thÓ, firewall kh«ng thÓ chèng l¹i mét cuéc tÊn c«ng tõ mét ®êng dial-up, hoÆc sù dß rØ th«ng tin do d÷ liÖu bÞ sao chÐp bÊt hîp ph¸p lªn ®Üa mÒm.
Firewall còng kh«ng thÓ chèng l¹i c¸c cuéc tÊn c«ng b»ng d÷ liÖu (data-driven attack). Khi cã mét sè ch¬ng tr×nh ®îc chuyÓn theo th ®iÖn tö, vît qua firewall vµo trong m¹ng ®îc b¶o vÖ vµ b¾t ®Çu ho¹t ®éng ë ®©y.
Mét vÝ dô lµ c¸c virus m¸y tÝnh. Firewall kh«ng thÓ lµm nhiÖm vô rµ quÐt virus trªn c¸c d÷ liÖu ®îc chuyÓn qua nã, do tèc ®é lµm viÖc, sù xuÊt hiÖn liªn tôc cña c¸c virus míi vµ do cã rÊt nhiÒu c¸ch ®Ó m· hãa d÷ liÖu, tho¸t khái kh¶ n¨ng kiÓm so¸t cña firewall.
C¸c vÝ dô firewall
Packet-Filtering Router (Bé trung chuyÓn cã läc gãi)
HÖ thèng Internet firewall phæ biÕn nhÊt chØ bao gåm mét packet-filtering router ®Æt gi÷a m¹ng néi bé vµ Internet (H×nh 2.3). Mét packet-filtering router cã hai chøc n¨ng: chuyÓn tiÕp truyÒn th«ng gi÷a hai m¹ng vµ sö dông c¸c quy luËt vÒ läc gãi ®Ó cho phÐp hay tõ chèi truyÒn th«ng. C¨n b¶n, c¸c quy luËt läc ®ù¬c ®Þnh nghÜa sao cho c¸c host trªn m¹ng néi bé ®îc quyÒn truy nhËp trùc tiÕp tíi Internet, trong khi c¸c host trªn Internet chØ cã mét sè giíi h¹n c¸c truy nhËp vµo c¸c m¸y tÝnh trªn m¹ng néi bé. T tëng cña m« cÊu tróc firewall nµy lµ tÊt c¶ nh÷ng g× kh«ng ®îc chØ ra râ rµng lµ cho phÐp th× cã nghÜa lµ bÞ tõ chèi.
H×nh 2.3 Packet-filtering router
¦u ®iÓm:
gi¸ thµnh thÊp (v× cÊu h×nh ®¬n gi¶n)
trong suèt ®èi víi ngêi sö dông
H¹n chÕ:
Cã tÊt c¶ h¹n chÕ cña mét packet-filtering router, nh lµ dÔ bÞ tÊn c«ng vµo c¸c bé läc mµ cÊu h×nh ®îc ®Æt kh«ng hoµn h¶o, hoÆc lµ bÞ tÊn c«ng ngÇm díi nh÷ng dÞch vô ®· ®îc phÐp.
Bëi v× c¸c packet ®îc trao ®æi trùc tiÕp gi÷a hai m¹ng th«ng qua router , nguy c¬ bÞ tÊn c«ng quyÕt ®Þnh bëi sè lîng c¸c host vµ dÞch vô ®îc phÐp. §iÒu ®ã dÉn ®Õn mçi mét host ®îc phÐp truy nhËp trùc tiÕp vµo Internet cÇn ph¶i ®îc cung cÊp mét hÖ thèng x¸c thùc phøc t¹p, vµ thêng xuyªn kiÓm tra bëi ngêi qu¶n trÞ m¹ng xem cã dÊu hiÖu cña sù tÊn c«ng nµo kh«ng.
NÕu mét packet-filtering router do mét sù cè nµo ®ã ngõng ho¹t ®éng, tÊt c¶ hÖ thèng trªn m¹ng néi bé cã thÓ bÞ tÊn c«ng.
Screened Host Firewall
HÖ thèng nµy bao gåm mét packet-filtering router vµ mét bastion host (h×nh 2.4). HÖ thèng nµy cung cÊp ®é b¶o mËt cao h¬n hÖ thèng trªn, v× nã thùc hiÖn c¶ b¶o mËt ë tÇng network( packet-filtering ) vµ ë tÇng øng dông (application level). §ång thêi, kÎ tÊn c«ng ph¶i ph¸ vì c¶ hai tÇng b¶o mËt ®Ó tÊn c«ng vµo m¹ng néi bé.
H×nh 2.4 Screened host firewall (Single- Homed Bastion Host)
Trong hÖ thèng nµy, bastion host ®îc cÊu h×nh ë trong m¹ng néi bé. Qui luËt filtering trªn packet-filtering router ®îc ®Þnh nghÜa sao cho tÊt c¶ c¸c hÖ thèng ë bªn ngoµi chØ cã thÓ truy nhËp bastion host; ViÖc truyÒn th«ng tíi tÊt c¶ c¸c hÖ thèng bªn trong ®Òu bÞ kho¸. Bëi v× c¸c hÖ thèng néi bé vµ bastion host ë trªn cïng mét m¹ng, chÝnh s¸ch b¶o mËt cña mét tæ chøc sÏ quyÕt ®Þnh xem c¸c hÖ thèng néi bé ®îc phÐp truy nhËp trùc tiÕp vµo bastion Internet hay lµ chóng ph¶i sö dông dÞch vô proxy trªn bastion host. ViÖc b¾t buéc nh÷ng user néi bé ®îc thùc hiÖn b»ng c¸ch ®Æt cÊu h×nh bé läc cña router sao cho chØ chÊp nhËn nh÷ng truyÒn th«ng néi bé xuÊt ph¸t tõ bastion host.
¦u ®iÓm:
M¸y chñ cung cÊp c¸c th«ng tin c«ng céng qua dÞch vô Web vµ FTP cã thÓ ®Æt trªn packet-filtering router vµ bastion. Trong trêng hîp yªu cÇu ®é an toµn cao nhÊt, bastion host cã thÓ ch¹y c¸c dÞch vô proxy yªu cÇu tÊt c¶ c¸c user c¶ trong vµ ngoµi truy nhËp qua bastion host tríc khi nèi víi m¸y chñ. Trêng hîp kh«ng yªu cÇu ®é an toµn cao th× c¸c m¸y néi bé cã thÓ nèi th¼ng víi m¸y chñ.
NÕu cÇn ®é b¶o mËt cao h¬n n÷a th× cã thÓ dïng hÖ thèng firewall dual-home (hai chiÒu) bastion host (h×nh 2.5). Mét hÖ thèng bastion host nh vËy cã 2 giao diÖn m¹ng (network interface), nhng khi ®ã kh¶ n¨ng truyÒn th«ng trùc tiÕp gi÷a hai giao diÖn ®ã qua dÞch vô proxy lµ bÞ cÊm.
H×nh 2.5 Screened host firewall (Dual- Homed Bastion Host)
Bëi v× bastion host lµ hÖ thèng bªn trong duy nhÊt cã thÓ truy nhËp ®îc tõ Internet, sù tÊn c«ng còng chØ giíi h¹n ®Õn bastion host mµ th«i. Tuy nhiªn, nÕu nh ngêi dïng truy nhËp ®îc vµo bastion host th× hä cã thÓ dÔ dµng truy nhËp toµn bé m¹ng néi bé. V× vËy cÇn ph¶i cÊm kh«ng cho ngêi dïng truy nhËp vµo bastion host.
Demilitarized Zone (DMZ - khu vùc phi qu©n sù) hay Screened-subnet Firewall
HÖ thèng nµy bao gåm hai packet-filtering router vµ mét bastion host (h×nh 2.6). HÖ thèng firewall nµy cã ®é an toµn cao nhÊt v× nã cung cÊp c¶ møc b¶o mËt : network vµ application trong khi ®Þnh nghÜa mét m¹ng “phi qu©n sù”. M¹ng DMZ ®ãng vai trß nh mét m¹ng nhá, c« lËp ®Æt gi÷a Internet vµ m¹ng néi bé. C¬ b¶n, mét DMZ ®îc cÊu h×nh sao cho c¸c hÖ thèng trªn Internet vµ m¹ng néi bé chØ cã thÓ truy nhËp ®îc mét sè giíi h¹n c¸c hÖ thèng trªn m¹ng DMZ, vµ sù truyÒn trùc tiÕp qua m¹ng DMZ lµ kh«ng thÓ ®îc.
Víi nh÷ng th«ng tin ®Õn, router ngoµi chèng l¹i nh÷ng sù tÊn c«ng chuÈn (nh gi¶ m¹o ®Þa chØ IP), vµ ®iÒu khiÓn truy nhËp tíi DMZ. Nã cho phÐp hÖ thèng bªn ngoµi truy nhËp chØ bastion host, vµ cã thÓ c¶ information server. Router trong cung cÊp sù b¶o vÖ thø hai b»ng c¸ch ®iÒu khiÓn DMZ truy nhËp m¹ng néi bé chØ víi nh÷ng truyÒn th«ng b¾t ®Çu tõ bastion host.
Víi nh÷ng th«ng tin ®i, router trong ®iÒu khiÓn m¹ng néi bé truy nhËp tíi DMZ. Nã chØ cho phÐp c¸c hÖ thèng bªn trong truy nhËp bastion host vµ cã thÓ c¶ information server. Quy luËt filtering trªn router ngoµi yªu cÇu sö dung dich vô proxy b»ng c¸ch chØ cho phÐp th«ng tin ra b¾t nguån tõ bastion host.
¦u ®iÓm:
KÎ tÊn c«ng cÇn ph¸ vì ba tÇng b¶o vÖ: router ngoµi, bastion host vµ router trong.
Bëi v× router ngoµi chØ qu¶ng c¸o DMZ network tíi Internet, hÖ thèng m¹ng néi bé lµ kh«ng thÓ nh×n thÊy (invisible). ChØ cã mét sè hÖ thèng ®· ®îc chän ra trªn DMZ lµ ®îc biÕt ®Õn bëi Internet qua routing table vµ DNS information exchange (Domain Name Server).
Bëi v× router trong chØ qu¶ng c¸o DMZ network tíi m¹ng néi bé, c¸c hÖ thèng trong m¹ng néi bé kh«ng thÓ truy nhËp trùc tiÕp vµo Internet. §iÒu nay ®¶m b¶o r»ng nh÷ng user bªn trong b¾t buéc ph¶i truy nhËp Internet qua dÞch vô proxy.
H×nh 2.6 Screened-Subnet Firewall
C¸c dÞch vô Internet
Nh ®· tr×nh bµy ë trªn, nh×n chung b¹n ph¶i x¸c ®Þnh b¹n b¶o vÖ c¸i g× khi thiÕt lËp liªn kÕt ra m¹ng ngoµi hay Internet: d÷ liÖu, tµi nguyªn, danh tiÕng. Khi x©y dùng mét Firewall, b¹n ph¶i quan t©m ®Õn nh÷ng vÊn ®Ò cô thÓ h¬n: b¹n ph¶i b¶o vÖ nh÷ng dÞch vô nµo b¹n dïng hoÆc cung cÊp cho m¹ng ngoµi (hay Internet).
Internet cung cÊp mét hÖ thèng c¸c dÞch vô cho phÐp ngêi dïng nèi vµo Internet truy nhËp vµ sö dông c¸c th«ng tin ë trªn m¹ng Internet. HÖ thèng c¸c dÞch vô nµy ®· vµ ®ang ®îc bæ sung theo sù ph¸t triÓn kh«ng ngõng cña Internet. C¸c dÞch vô nµy bao gåm World Wide Web (gäi t¾t lµ WWW hoÆc Web), Email (th ®iÖn tö), Ftp (file transfer protocols - dÞch vô chuyÓn file), telnet (øng dông cho phÐp truy nhËp m¸y tÝnh ë xa), Archie (hÖ thèng x¸c ®Þnh th«ng tin ë c¸c file vµ directory), finger (hÖ thèng x¸c ®Þnh c¸c user trªn Internet), rlogin(remote login - vµo m¹ng tõ xa) vµ mét sè c¸c dÞch vô kh¸c n÷a.
World Wide Web - WWW
WWW lµ dÞch vô Internet ra ®êi gÇn ®©y nhÊt, nhng ph¸t triÓn nhanh nhÊt hiÖn nay. Web cung cÊp mét giao diÖn v« cïng th©n thiÖn víi ngêi dïng, dÔ sö dông, v« cïng thuËn lîi vµ ®¬n gi¶n ®Ó t×m kiÕm th«ng tin. Web liªn kÕt th«ng tin dùa trªn c«ng nghÖ hyper-link (siªu liªn kÕt), cho phÐp c¸c trang Web liªn kÕt víi nhau trùc tiÕp qua c¸c ®Þa chØ cña chóng. Th«ng qua Web, ngêi dïng cã thÓ :
Ph¸t hµnh c¸c tin tøc cña m×nh vµ ®äc tin tøc tõ kh¾p n¬i trªn thÕ giíi
Qu¶ng c¸o vÓ m×nh, vÓ c«ng ty hay tæ chøc cña m×nh còng nh xem c¸c lo¹i qu¶ng c¸o trªn thÕ giíi, tõ kiÕm viÖc lµm, tuyÓn mé nh©n viªn, c«ng nghÖ vµ s¶n phÈm míi, t×m b¹n, v©n v©n.
Trao ®æi th«ng tin víi bÌ b¹n, c¸c tæ chøc x· héi, c¸c trung t©m nghiªn cøu, trêng häc, v©n v©n
Thùc hiÖn c¸c dÞch vô chuyÒn tiÒn hay mua b¸n hµng ho¸
Truy nhËp c¸c c¬ së d÷ liÖu cña c¸c tæ chøc, c«ng ty (nÕu nh ®îc phÐp)
Vµ rÊt nhiÒu c¸c ho¹t ®éng kh¸c n÷a.
Electronic Mail (Email hay th ®iÖn tö).
Email lµ dÞch vô Internet ®îc sö dông réng r·i nhÊt hiÖn nay. H©u hÕt c¸c th«ng b¸o ë d¹ng text (v¨n b¶n) ®¬n gi¶n, nhng ngêi sö dông cã thÓ göi kÌm theo c¸c file chøa c¸c h×nh ¶nh nh s¬ ®å, ¶nh . HÖ thèng email trªn Internet lµ hÖ thèng th ®iÖn tö lín nhÊt trªn thÕ giíi, vµ thêng ®îc sö dông cïng víi c¸c hÖ thèng chuyÓn th kh¸c.
Kh¶ n¨ng chuyÓn th ®iÖn tö trªn Web cã bÞ h¹n chÕ h¬n so víi c¸c hÖ thèng chuyÓn th ®iÖn tö trªn Internet, bëi v× Web lµ mét ph¬ng tiÖn trao ®æi c«ng céng, trong khi th lµ mét c¸i g× ®ã riªng t. V× vËy, kh«ng ph¶i tÊt c¶ c¸c Web brower ®Òu cung cÊp chøc n¨ng email. (Hai browser lín nhÊt hiÖn nay lµ Netscape vµ Internet Explorer ®Òu cung cÊp chøc n¨ng email).
Ftp (file transfer protocol hay dÞch vô chuyÓn file)
Ftp lµ mét dÞch vô cho phÐp sao chÐp file tõ mét hÖ thèng m¸y tÝnh nµy ®Õn hÖ thèng m¸y tÝnh kh¸c ftp bao gåm thñ tôc vµ ch¬ng tr×nh øng dông, vµ lµ mét trong nh÷ng dÞch vô ra ®êi sím nhÊt trªn Internet.
Fpt cã thÓ ®îc dïng ë møc hÖ thèng (gâ lÖnh vµo command-line), trong Web browser hay mét sè tiÖn Ých kh¸c. Fpt v« cïng h÷u Ých cho nh÷ng ngêi dïng Internet, bëi v× khi sôc s¹o trªn Internet, b¹n sÏ t×m thÊy v« sè nh÷ng th viÖn phÇn mÒm cã Ých vÒ rÊt nhiÒu lÜnh vùc vµ b¹n cã thÓ chÐp chóng vÒ ®Ó sö dông.
Telnet vµ rlogin
Telnet lµ mét øng dông cho phÐp b¹n truy nhËp vµo mét m¸y tÝnh ë xa vµ ch¹y c¸c øng dông ë trªn m¸y tÝnh ®ã. Telnet lµ rÊt h÷u Ých khi b¹n muèn ch¹y mét øng dông kh«ng cã hoÆc kh«ng ch¹y ®îc trªn m¸y tÝnh cña b¹n, vÝ dô nh b¹n muèn ch¹y mét øng dung Unix trong khi m¸y cña b¹n lµ PC. Hay b¹n m¸y tÝnh cña b¹n kh«ng ®ñ m¹nh ®Ó ch¹y mét øng dông nµo ®ã, hoÆc kh«ng cã c¸c file d÷ liÖu cÇn thiÕt.
Telnet cho b¹n kh¶ n¨ng lµm viÖc trªn m¸y tÝnh ë xa b¹n hµng ngµn c©y sè mµ b¹n vÉn cã c¶m gi¸c nh ®ang ngåi tríc m¸y tÝnh ®ã.
Chøc n¨ng cña rlogin(remote login - vµo m¹ng tõ xa) còng t¬ng tù nh Telnet.
Archie
Archie lµ mét lo¹i th viÖn thêng xuyªn tù ®éng t×m kiÕm c¸c m¸y tÝnh trªn Internet, t¹o ra mét kho d÷ liÖu vÒ danh s¸ch c¸c file cã thÓ n¹p xuèng (downloadable) tõ Internet. Do ®ã, d÷ liªu trong c¸c file nµy lu«n lu«n lµ míi nhÊt.
Archie do ®ã rÊt tiÖn dông cho ngêi dïng ®Ó t×m kiÕm vµ download c¸c file. Ngêi dïng chØ cÇn göi tªn file, hoÆc c¸c tõ kho¸ tíi Archie; Archie sÏ cho l¹i ®Þa chØ cña c¸c file cã tªn ®ã hoÆc cã chøa nh÷ng tõ ®ã.
Finger
Finger lµ mét ch¬ng tr×nh øng dông cho phÐp t×m ®Þa chØ cña c¸c user kh¸c trªn Internet. Tèi thiÓu, finger cã thÓ cho b¹n biÕt ai ®ang sö dông mét hÖ thèng m¸y tÝnh nµo ®ã, tªn login cña ngêi ®ã lµ g×.
Finger hay ®îc sö dông ®Ó t×m ®Þa chØ email cña bÌ b¹n trªn Internet. Finger cßn cã thÓ cung cÊp cho b¹n nhiÒu th«ng tin kh¸c, nh lµ mét ngêi nµo ®ã ®· login vµo m¹ng bao l©u. V× thÕ finger cã thÓ coi lµ mét ngêi trî gióp ®¾c lùc nhng còng lµ mèi hiÓm ho¹ cho sù an toµn cña m¹ng.
HÖ thèng Firewall x©y dùng bëi CSE
Bé ch¬ng tr×nh Firewall 1.0 cña CSE ®îc ®a ra vµo th¸ng 6/1998. Bé ch¬ng tr×nh nµy gåm hai thµnh phÇn:
Bé läc gãi tin – IP Filtering
Bé ch¬ng tr×nh cæng øng dông – proxy servers
Hai thµnh phÇn nµy cã thÓ ho¹t ®éng mét c¸ch riªng rÏ. Chóng còng cã thÓ kÕt hîp l¹i víi nhau ®Ó trë thµnh mét hÖ thèng firewall hoµn chØnh.
Trong tËp tµi liÖu nµy, chóng t«i chØ ®Ò cËp ®Õn bé ch¬ng tr×nh cæng øng dông ®· ®îc cµi ®Æt t¹i VPCP.
Tæng quan
Bé ch¬ng tr×nh proxy cña CSE (phiªn b¶n 1.0) ®îc ph¸t triÓn dùa trªn bé c«ng cô x©y dùng Internet Firewall TIS (Trusted Information System) phiªn b¶n 1.3. TIS bao gåm mét bé c¸c ch¬ng tr×nh vµ sù ®Æt l¹i cÊu h×nh hÖ thèng ®Ó nh»m môc ®Ých x©y dùng mét Firewall. Bé ch¬ng tr×nh ®îc thiÕt kÕ ®Ó ch¹y trªn hÖ UNIX sö dông TCP/IP víi giao diÖn socket Berkeley.
ViÖc cµi ®Æt bé ch¬ng tr×nh proxy ®ßi hái kinh nghiÖm qu¶n lý hÖ thèng UNIX, vµ TCP/IP networking. Tèi thiÓu, ngêi qu¶n trÞ m¹ng firewall ph¶i quen thuéc víi:
viÖc qu¶n trÞ vµ duy tr× hÖ thèng UNIX ho¹t ®éng
viÖc x©y dùng c¸c package cho hÖ thèng
Sù kh¸c nhau khi ®Æt cÊu h×nh cho hÖ thèng quyÕt ®Þnh møc ®é an toµn m¹ng kh¸c nhau. Ngêi cµi ®Æt firewall ph¶i hiÓu râ yªu cÇu vÒ ®é an toµn cña m¹ng cÇn b¶o vÖ, n¾m ch¾c nh÷ng rñi ro nµo lµ chÊp nhËn ®îc vµ kh«ng chÊp nhËn ®îc, thu lîm vµ ph©n tÝch chóng tõ nh÷ng ®ßi hái cña ngêi dïng.
Bé ch¬ng tr×nh proxy ®îc thiÕt kÕ cho mét sè cÊu h×nh firewall, trong ®ã c¸c d¹ng c¬ b¶n nhÊt lµ dual-home gateway (h×nh 2.4), screened host gateway(h×nh 2.5), vµ screened subnet gateway(h×nh 2.6). Nh chóng ta ®· biÕt, trong nh÷ng cÊu tróc firewall nµy, yÕu tè c¨n b¶n nhÊt lµ bastion host, ®ãng vai trß nh mét ngêi chuyÓn tiÕp th«ng tin (forwarder), ghi nhËt ký truyÒn th«ng, vµ cung cÊp c¸c dÞch vô. Duy tr× ®é an toµn trªn bastion host lµ cùc kú quan träng, bëi v× ®ã lµ n¬i tËp trung hÇu hÕt c¸c cè g¾ng cµi ®Æt mét hÖ thèng firewall.
C¸c thµnh phÇn cña bé ch¬ng tr×nh proxy:
Bé ch¬ng tr×nh proxy gåm nh÷ng ch¬ng tr×nh bËc øng dông (application-level programs), hoÆc lµ ®Ó thay thÕ hoÆc lµ ®îc céng thªm vµo phÇn mÒm hÖ thèng ®· cã. Bé ch¬ng tr×nh proxy cã nh÷ng thµnh phÇn chÝnh bao gåm:
Smap: dÞch vô SMTP(Simple Mail Tranfer Protocol)
Netacl: dÞch vô Telnet, finger, vµ danh môc c¸c ®iªu khiÓn truy nhËp m¹ng
Ftp-Gw: Proxy server cho Ftp
Telnet-Gw: Proxy server cho Telnet
Rlogin-Gw: Proxy server cho rlogin
Plug-Gw: TCP Plug-Board Connection server (server kÕt nèi tøc thêi dïng thñ tôc TCP)
Smap: DÞch vô SMTP
SMTP ®îc x©y dùng b»ng c¸ch sö dông cÆp c«ng cô phÇn mÒm smap vµ smapd. Cã thÓ nãi r»ng SMTP chèng l¹i sù ®e do¹ tíi hÖ thèng, bëi v× c¸c ch¬ng tr×nh mail ch¹y ë møc ®é hÖ thèng ®Ó ph©n ph¸t mail tíi c¸c hép th cña user.
Smap vµ smapd thùc hiÖn ®iÒu ®ã b»ng c¸ch c« lËp ch¬ng tr×nh mail, b¾t nã ch¹y trªn mét th môc dµnh riªng (restricted directory) qua chroot (thay ®æi th môc gèc), nh mét user kh«ng cã quyÒn u tiªn. Môc ®Ých cña smap lµ c« lËp ch¬ng tr×nh mail vèn ®· g©y ra rÊt nhiÒu lçi trªn hÖ thèng. PhÇn lín c¸c c«ng viÖc xö lý mail thêng ®îc thùc hiÖn bëi ch¬ng tr×nh sendmail. Sendmail kh«ng yªu cÇu mét sù thay ®æi hay ®Æt l¹i cÊu h×nh g× c¶. Khi mét hÖ thèng ë xa nèi tíi mét cæng SMTP, hÖ ®iÒu hµnh khëi ®éng smap. Smap lËp tøc chroot tíi th môc dµnh riªng vµ ®Æt user-id ë møc b×nh thêng (kh«ng cã quyÒn u tiªn). Bëi v× smap kh«ng yªu cÇu hç trî bëi mét file hÖ thèng nµo c¶, th môc dµnh riªng chØ chøa c¸c file do smap t¹o ra. Do vËy, b¹n kh«ng cÇn ph¶i lo sî lµ smap sÏ thay ®æi file hÖ thèng khi nã chroot. Môc ®Ých duy nhÊt cña smap lµ ®èi tho¹i SMTP víi c¸c hÖ thèng kh¸c, thu lîm th«ng b¸o mail, ghi vµo ®Üa, ghi nhËt ký, vµ tho¸t.
Smapd cã tr¸ch nhiÖm thêng xuyªn quÐt th môc kho cña smap vµ ®a ra c¸c th«ng b¸o ®· ®îc xÕp theo thø tù (queued messages) tíi sendmail ®Ó cuèi cïng ph©n ph¸t. Chó ý r»ng nÕu sendmail ®îc ®Æt cÊu h×nh ë møc b×nh thêng, vµ smap ch¹y víi uucp user-id (?), mail cã thÓ ®îc ph©n ph¸t b×nh thêng mµ kh«ng cÇn smapd ch¹y víi møc u tiªn cao. Khi smapd ph©n ph¸t mét th«ng b¸o, nã xo¸ file chøa th«ng b¸o ®ã trong kho.
Theo ý nghÜa nµy, sendmail bÞ c« lËp, vµ do ®ã mét user l¹ trªn m¹ng kh«ng thÓ kÕt nèi víi sendmail mµ kh«ng qua smap. Tuy nhiªn, smap vµ smapd kh«ng thÓ gi¶i quyÕt vÊn ®Ò gi¶ m¹o th hoÆc c¸c lo¹i tÊn c«ng kh¸c qua mail. Smap cã kÝch thíc rÊt nhá so víi sendmail (700 dßng so víi 20,000 dßng) nªn viÖc ph©n tÝch file nguån ®Ó t×m ra lçi ®¬n gi¶n h¬n nhiÒu.
Netacl: c«ng cô ®iÒu khiÓn truy nhËp m¹ng
Chóng ta ®· biÕt r»ng inetd kh«ng cung cÊp mét sù ®iÒu khiÓn truy nhËp m¹ng nµo c¶: nã cho phÐp bÊt kú mét hÖ thèng nµo trªn m¹ng còng cã thÓ nèi tíi c¸c dÞch vô liÖt kª trong file inetd.conf.
Netacl lµ mét c«ng cô ®Ó ®iÒu khiÓn truy nhËp m¹ng, dùa trªn ®Þa chØ network cña m¸y client, vµ dÞch vô ®îc yªu cÇu. V× vËy mét client (x¸c ®Þnh bëi ®Þa chØ IP hoÆc hostname) cã thÓ khëi ®éng telnetd (mét version kh¸c cña telnet) khi nã nèi víi cæng dÞch vô telnet trªn firewall.
Thêng thêng trong c¸c cÊu h×nh firewall, netacl ®îc sö dông ®Ó cÊm tÊt c¶ c¸c m¸y trõ mét vµi host ®îc quyÒn login tíi firewall qua hoÆc lµ telnet hoÆc lµ rlogin, vµ ®Ó kho¸ c¸c truy nhËp tõ nh÷ng kÎ tÊn c«ng.
§é an toµn cña netacl dùa trªn ®Þa chØ IP vµ/hoÆc hostname. Víi c¸c hÖ thèng cÇn ®é an toµn cao, nªn dông ®Þa chØ IP ®Ó tr¸nh sù gi¶ m¹o DNS. Netacl kh«ng chèng l¹i ®îc sù gi¶ ®Þa chØ IP qua chuyÓn nguån (source routing) hoÆc nh÷ng ph¬ng tiÖn kh¸c. NÕu cã c¸c lo¹i tÊn c«ng nh vËy, cÇn ph¶i sö dông mét router cã kh¶ n¨ng soi nh÷ng packet ®· ®îc chuyÓn nguån (screening source routed packages).
Chó ý lµ netacl kh«ng cung cÊp ®iÒu khiÓn truy nhËp UDP, bëi v× c«ng nghÖ hiÖn nay kh«ng ®¶m b¶o sù x¸c thùc cña UDP. An toµn cho c¸c dÞch vô UDP ë ®©y ®ång nghÜa víi sù kh«ng cho phÐp tÊt c¶ c¸c dÞch vô UDP.
Netacl chØ bao gåm 240 dßng m· C (c¶ gi¶i thÝch) cho nªn rÊt dÔ dµng kiÓm tra vµ hiÖu chØnh. Tuy nhiªn vÉn cÇn ph¶i cÈn thËn khi cÊu h×nh nã.
Ftp-Gw: Proxy server cho Ftp
Ftp-Gw lµ mét proxy server cung cÊp ®iÒu khiÓn truy nhËp m¹ng dùa trªn ®Þa chØ IP vµ/hoÆc hostname, vµ cung cÊp ®iÒu khiÓn truy nhËp thø cÊp cho phÐp tuú chän kho¸ hoÆc ghi nhËt ký bÊt kú lÖnh ftp nµo. §Ých cho dÞch vô nµy còng cã thÓ tuú chän ®îc phÐp hay kho¸. TÊt c¶ c¸c sù kÕt nèi vµ byte d÷ liÖu chuyÓn qua ®Òu bÞ ghi nhËt kÝ l¹i.
Ftp-Gw tù b¶n th©n nã kh«ng ®e do¹ an toµn cña hÖ thèng firewall, bëi v× nã ch¹y chroot tíi mét th môc rçng, kh«ng thùc hiÖn mét thñ tôc vµo ra file nµo c¶ ngoµi viÖc ®äc file cÊu h×nh cña nã. KÝch thíc cña Ftp-gw lµ kho¶ng 1,300 dßng. Ftp gateway chØ cung cÊp dÞch vô ftp, mµ kh«ng quan t©m ®Õn ai cã quyÒn hay kh«ng cã quyÒn kÕt xuÊt (export) file. Do vËy, viÖc x¸c ®Þnh quyÒn ph¶i ®îc thiÕt lËp trªn gateway vµ ph¶i thùc hiÖn trø¬c khi thùc hiÖn kÕt xuÊt (export) hay nhËp (import) file. Ftp gateway nªn ®îc cµi ®Æt dùa theo chÝnh s¸ch an toµn cña m¹ng. Bé ch¬ng tr×nh nguån cho phÐp ngêi qu¶n trÞ m¹ng cung cÊp c¶ dÞch vô ftp vµ ftp proxy trªn cïng mét hÖ thèng.
Telnet-Gw: Proxy server cho Telnet
Telnet-Gw lµ mét proxy server cung cÊp ®iÒu khiÓn truy nhËp m¹ng dùa trªn ®Þa chØ IP vµ/hoÆc hostname, vµ cung cÊp sù ®iÒu khiÓn truy nhËp thø cÊp cho phÐp tuú chän kho¸ bÊt kú ®Ých nµo. TÊt c¶ c¸c sù kÕt nèi vµ byte d÷ liÖu chuyÓn qua ®Òu bÞ ghi nhËt ký l¹i. Mçi mét lÇn user nèi tíi telnet-gw, sÏ cã mét menu ®¬n gi¶n cña c¸c chän lùa ®Ó nèi tíi mét host ë xa.
Telnet-gw kh«ng ph¬ng h¹i tíi an toµn hÖ thèng, v× nã ch¹y chroot ®Õn m«t th môc dµnh riªng (restricted directory). File nguån bao gåm chØ 1,000 dßng lÖnh. ViÖc xö lý menu lµ hoµn toµn diÔn ra ë trong bé nhí, vµ kh«ng cã m«t subsell hay ch¬ng tr×nh nµo tham dù. Còng kh«ng cã viÖc vµo ra file ngoµi viÖc ®äc cÊu h×nh file. V× vËy, telnet-gw kh«ng thÓ cung cÊp truy nhËp tíi b¶n th©n hÖ thèng firewall.
Rlogin-Gw: Proxy server cho rlogin
C¸c terminal truy nhËp qua thñ tôc BSD rlogin cã thÓ ®îc cung cÊp qua rlogin proxy. rlogin cho phÐp kiÓm tra vµ ®iªu khiÓn truy nhËp m¹ng t¬ng tù nh telnet gateway. Rlogin client cã thÓ chØ ra mét hÖ thèng ë xa ngay khi b¾t ®Çu nèi vµo proxy, cho phÐp h¹n chÕ yªu cÇu t¬ng t¸c cña user víi m¸y (trong trêng hîp kh«ng yªu cÇu x¸c thùc).
Sql-Gw: Proxy Server cho Oracle Sql-net
Th«ng thêng, viÖc khai th¸c th«ng tin tõ CSDL Oracle ®îc tiÕn hµnh th«ng qua dÞch vô WWW. Tuy nhiªn ®Ó hç trî ngêi sö dông dïng ch¬ng tr×nh plus33 nèi vµo m¸y chñ Oracle, bé firewall cña CSE ®îc ®a kÌm vµo ch¬ng tr×nh Sql-net proxy. ViÖc kiÓm so¸t truy nhËp ®îc thùc hiÖu qua tªn m¸y hay ®Þa chØ IP cña m¸y nguån vµ m¸y ®Ých.
Plug-Gw: TCP Plug-Board Connection server
Firewall cung cÊp c¸c dÞch vô th«ng thêng nh Usernet news. Ngêi qu¶n trÞ m¹ng cã thÓ chän hoÆc lµ ch¹y dÞch vô nµy trªn b¶n th©n firewall, hoÆc lµ cµi ®Æt mét proxy server. Do ch¹y news trùc tiÕp trªn firewall dÔ g©y lçi hÖ thèng trªn phÇn mÒm nµy, c¸ch an toµn h¬n lµ sö dông proxy. Plug-gw ®îc thiÕt kÕ cho Usernet News.
Plug-gw cã thÓ ®îc ®Æt cÊu h×nh ®Ó cho phÐp hay tõ chèi mét sù kÕt nèi dùa trªn ®Þa chØ IP hoÆc lµ hostname. TÊt c¶ sù kÕt nèi vµ c¸c byte d÷ liÖu chuyÓn qua ®Òu ®îc ghi nhËt ký l¹i.
Cµi ®Æt
Bé cµi ®Æt gåm 2 ®Üa mÒm 1.44 Mb, R1 vµ R2. Mçi bé cµi ®Æt ®Òu cã mét sè Serial number kh¸c nhau vµ chØ ho¹t ®éng ®îc trªn m¸y cã hostname ®· x¸c ®Þnh tríc. ViÖc cµi ®Æt ®îc tiÕn hµnh b×nh thêng b»ng c¸ch dïng lÖnh custom.
Khi cµi ®Æt, mét ngêi sö dông cã tªn lµ proxy ®îc ®¨ng ký víi hÖ thèng ®Ó thùc hiÖn c¸c chøc n¨ng qu¶n lý proxy. Ngêi cµi ®Æt ph¶i ®Æt mËt khÈu cho user nµy.
Mét th môc /usr/proxy ®îc tù ®éng thiÕt lËp, trong ®ã cã c¸c th môc con:
bin ®Ó chøa c¸c ch¬ng tr×nh thùc hiÖn
etc ®Ó chøa c¸c tÖp cÊu h×nh Firewall vµ mét sè vÝ dô c¸c file cÊu h×nh cña hÖ thèng khi ch¹y víi Firewall nh inetd.conf, services, syslog.conf
log ®Ó chøa c¸c tÖp nhËt ký
report ®Ó chøa c¸c tÖp b¸o c¸o sau nµy.
ViÖc ®Æt cÊu h×nh vµ qu¶n trÞ CSE Firewall ®Òu th«ng qua c¸c chøc n¨ng trªn menu khi login vµo m¸y Firewall b»ng tªn ngêi sö dông lµ proxy. Sau khi cµi ®Æt nªn ®æi tªn nh÷ng tÖp hÖ thèng vµ lu l¹i tríc khi ®Æt cÊu h×nh:
/etc/inetd.conf
/etc/services
/etc/syslog.conf.
ThiÕt lËp cÊu h×nh:
CÊu h×nh m¹ng ban ®Çu
Víi Firewall host-base Chóng ta cã thÓ ch¾c ch¾n vµo viÖc m¹ng ®îc cµi ®Æt theo mét chÝnh s¸ch an toµn ®îc lùa chän nh»m ng¨n c¶n mäi luång th«ng tin kh«ng mong muèn gi÷a m¹ng ®îc b¶o vÖ vµ m¹ng bªn ngoµi. §iÒu nµy cã thÓ ®îc thùc hiÖn bëi screening router hay dual-home gateway. Th«ng thêng, c¸c thiÕt bÞ m¹ng ®Òu sö dông c¬ chÕ an toµn cµi ®Æt trªn router n¬i mµ mäi liªn kÕt ®Òu ph¶i ®i qua.
Mét ®iÒu cÇn quan t©m lµ trong khi ®ang cµi ®Æt, nh÷ng m¸y chñ c«ng khai (Firewall bastion host) cã thÓ bÞ tÊn c«ng tríc khi c¬ chÕ an toµn cña nã ®îc cÊu h×nh hoµn chØnh ®Ó cã thÓ ch¹y ®îc. Do ®ã, nªn cÊu h×nh tÖp inetd.conf ®Ó cÊm tÊt c¶ c¸c dÞch vô m¹ng tõ ngoµi vµo vµ sö dông thiÕt bÞ ®Çu cuèi ®Ó cµi ®Æt.
T¹i thêi ®iÓm ®ã, chóng ta cã thÓ quy ®Þnh nh÷ng truy nhËp gi÷a m¹ng ®îc b¶o vÖ vµ m¹ng bªn ngoµi nµo sÏ bÞ kho¸. Tuú theo môc ®Ých, chóng ta cã thÓ ng¨n c¸c truy nhËp tuú theo híng cña chóng. Ch¬ng tr×nh còng cÇn ®îc thö nghiÖm kü cµng tríc khi sö dông. NÕu cÇn thiÕt cã thÓ dïng ch¬ng tr×nh /usr/proxy/bin/netscan ®Ó thö kÕt nèi tíi tÊt c¶ m¸y tÝnh trong m¹ng con ®Ó kiÓm tra. Nã sÏ cè g¾ng thö lät qua Firewall theo mäi híng ®Ó ch¾c ch¾n r»ng c¸c truy nhËp bÊt hîp ph¸p lµ kh«ng thÓ x¶y ra. Ng¨n cÊm truy nhËp vµo ra lµ c¸i chèt trong c¬ chÕ an toµn cña Firewall kh«ng nªn sö dông nÕu nã cha ®îc cµi ®Æt vµ thö nghiÖm kü lìng.
CÊu h×nh cho Bastion Host
Mét nguyªn nh©n c¬ b¶n cña viÖc x©y dùng Firewall lµ ®Ó ng¨n chÆn c¸c dÞch vô kh«ng cÇn thiÕt vµ c¸c dÞch vô kh«ng n¾m râ. Ng¨n chÆn c¸c dÞch vô kh«ng cÇn thiÕt ®ßi hái ngêi cµi ®Æt ph¶i cã hiÓu biÕt vÒ cÊu h×nh hÖ thèng. C¸c bíc thùc hiÖn nh sau:
Söa ®æi tÖp /etc/inetd.conf, /etc/services, /etc/syslog.conf, /etc/sockd.conf.
Söa ®æi cÊu h×nh hÖ diÒu hµnh, lo¹i bá nh÷ng dÞch vô cã thÓ g©y lçi nh NFS, sau ®ã rebuild kernel.
ViÖc nµy ®îc thùc hiÖn cho tíi khi hÖ thèng cung cÊp dÞch vô tèi thiÓu mµ ngêi qu¶n trÞ tin tëng. ViÖc cÊu h×nh nµy cã thÓ lµm ®ång thêi víi viÖc kiÓm tra dÞch vô nµo ch¹y chÝnh x¸c b»ng c¸ch dïng c¸c lÖnh ps vµ netstat. PhÇn lín c¸c server ®îc cÊu h×nh cïng víi mét sè d¹ng b¶o mËt kh¸c, c¸c cÊu h×nh nµy sÏ m« t¶ ë phÇn sau. Mét c«ng cô chung ®Ó th¨m dß c¸c dÞch vô TCP/IP lµ /usr/proxy/bin/portscan cã thÓ dïng ®Ó xem dÞch vô nµo ®ang ®îc cung cÊp. NÕu kh«ng cã yªu cÇu ®Æc biÖt cã thÓ dïng c¸c file cÊu h×nh nãi trªn ®· ®îc t¹o s½n vµ ®Æt t¹i /usr/proxy/etc khi cµi ®Æt, ngîc l¹i cã thÓ tham kh¶o ®Ó söa ®æi theo yªu cÇu.
Toµn bé c¸c thµnh phÇn cña bé Firewall ®ßi hái ®îc cÊu h×nh chung (mÆc ®Þnh lµ /usr/proxy/etc/netperms). PhÇn lín c¸c thµnh phÇn cña bé Firewall ®îc gäi bëi dÞch vô cña hÖ thèng lµ inetd, khai b¸o trong /etc/inetd.conf t¬ng tù nh sau:
ftp
stream
tcp
nowait
root
/usr/proxy/bin/netacl
ftpd
ftp-gw
stream
tcp
nowait
root
/usr/proxy/bin/ftp-gw
ftp-gw
telnet-a
stream
tcp
nowait
root
/usr/proxy/bin/netacl
telnetd
telnet
stream
tcp
nowait
root
/usr/proxy/bin/tn-gw
tn-gw
login
stream
tcp
nowait
root
/usr/proxy/bin/rlogin-gw
rlogin-gw
finger
stream
tcp
nowait
nobody
/usr/proxy/bin/netacl
fingerd
http
stream
tcp
nowait
root
/usr/proxy/bin/netacl
httpd
smtp
stream
tcp
nowait
root
/usr/proxy/bin/smap
smap
Ch¬ng tr×nh netacl lµ mét vá bäc TCP (TCP Wrapper) cung cÊp kh¶ n¨ng ®iÒu khiÓn truy cËp cho nh÷ng dÞch vô TCP vµ còng sö dông mét tÖp cÊu h×nh víi Firewall.
Bíc ®Çu tiªn ®Ó cÊu h×nh netacl lµ cho phÐp m¹ng néi bé truy nhËp cã giíi h¹n vµo Firewall, nÕu nh nã cÇn thiÕt cho nhu cÇu qu¶n trÞ. Tuú thuéc vµo TELNET gateway tn-gw cã ®îc cµi ®Æt hay kh«ng, qu¶n trÞ cã thÓ truy cËp vµo Firewall qua cæng kh¸c víi cæng chuÈn cña telnet (23). Bëi v× telnet thêng kh«ng cho phÐp ch¬ng tr×nh truy cËp tíi mét cæng kh«ng ph¶i lµ cæng chuÈn cña nã. DÞch vô proxy sÏ ch¹y trªn cæng 23 vµ telnet thùc sù sÏ ch¹y trªn cæng kh¸c vÝ dô dÞch vô cã tªn lµ telnet-a ë trªn (Xem file inetd.conf ë trªn). Cã thÓ kiÓm tra tÝnh ®óng ®¾n cña netacl b»ng c¸ch cÊu h×nh cho phÐp hoÆc cÊm mét sè host råi thö truy cËp c¸c dÞch vô tõ chóng.
Mçi khi netacl ®îc cÊu h×nh, TELNET vµ FTP gateway cÇn ph¶i ®îc cÊu h×nh theo. CÊu h×nh TELNET gateway chØ ®¬n gi¶n lµ coi nã nh mét dÞch vô vµ trong netacl.conf viÕt mét sè miªu t¶ hÖ thèng nµo cã thÓ sö dông nã. Trî gióp cã thÓ ®îc cung cÊp cho ngêi sö dông khi cÇn thiÕt. ViÖc cÊu h×nh FTP proxy còng nh vËy. Tuy nhiªn, FTP cã thÓ sö dông cæng kh¸c kh«ng gièng TELNET. RÊt nhiÒu c¸c FTP client hç trî cho viÖc sö dông cæng kh«ng chuÈn.
DÞch vô rlogin lµ mét tuú chän cã thÓ dïng vµ ph¶i ®îc cµi ®Æt trªn cæng øng dông cña bastion host (cæng 512) giao thøc rlogin ®ßi hái mét cæng ®Æc biÖt, mét qu¸ tr×nh ®ßi hái sù cho phÐp cña hÖ thèng UNIX. Ngêi qu¶n trÞ muèn sö dông c¬ chÕ an toµn ph¶i cµi ®Æt th môc cho proxy ®Ó nã giíi h¹n nã trong th môc ®ã.
Smap vµ smapd lµ c¸c tiÕn tr×nh läc th cã thÓ ®îc cµi ®Æt sö dông th môc riªng cña proxy ®Ó xö lý hoÆc sö dông mét th môc nµo ®ã trong hÖ thèng. Smap vµ smapd kh«ng thay thÕ sendmail do ®ã vÉn cÇn cÊu h×nh sendmail cho Firewall. ViÖc nµy kh«ng m« t¶ trong tµi liÖu nµy.
ThiÕt lËp tËp hîp quy t¾c
Khi cÊu h×nh cho proxy server vµ ch¬ng tr×nh ®iÒu khiÓn truy cËp m¹ng ®iÒu cÇn thiÕt lµ thiÕt lËp chÝnh x¸c tËp quy t¾c ®Ó thÓ hiÖn ®óng víi m« h×nh an toµn mong muèn. Mét c¸ch tèt ®Ó b¾t ®Çu cÊu h×nh Firewall lµ ®Ó mäi ngêi trong m¹ng sö dông tù do c¸c dÞch vô ®ång thêi cÊm tÊt c¶ mäi ngêi bªn ngoµi. ViÖc ®Æt cÊu h×nh cho firewall kh«ng qu¸ r¾c rèi, v× nã ®îc thiÕt kÕ ®Ó hç trî cho mäi hoµn c¶nh. TÖp tin /usr/proxy/etc/netperms lµ CSDL cÊu h×nh vµ quyÒn truy nhËp (configuration/permissions) cho c¸c thµnh phÇn cña Firewall: netacl, smap, smapd, ftp-gw, tn-gw, http-gw, vµ plug-gw. Khi mét trong c¸c øng dông nµy khëi ®éng, nã ®äc cÊu h×nh vµ quyÒn truy nhËp cña nã tõ netperms vµ lu tr÷ vµo mét CSDL trong bé nhí.
File configuration/permissions ®îc thiÕt lËp thµnh nh÷ng quy t¾c, mçi quy t¾c chøa trªn mét dßng. PhÇn ®Çu tiªn cña mçi quy t¾c lµ tªn cña øng dông, tiÕp theo lµ dÊu hai chÊm (“:”). NhiÒu øng dông cã thÓ dïng chung mét quy t¾c víi tªn ng¨n c¸ch bëi dÊu ph¶y. Dßng chó thÝch cã thÓ chÌn vµo file cÊu h×nh b»ng c¸ch thªm vµo ®Çu dßng ký tù ‘#’.
ThiÕt lËp tËp hîp c¸c quy t¾c cho dÞch vô HTTP, FTP
ViÖc thiÕt lËp cÊu h×nh cho c¸c dÞch vô HTTP, FTP lµ t¬ng tù nh nhau. Chóng t«i chØ ®a ra chi tiÕt vÒ thiÕt lËp cÊu h×nh vµ quy t¾c cho dÞch vô FTP.
#Example ftp gateway rules:
#---------------------------------
ftp-gw:
denial-msg
/usr/proxy/etc/ftp-deny.txt
ftp—gw:
welcome-msg
/usr/proxy/etc/ftp-welcome.txt
ftp-gw:
help-msg
/usr/proxy/etc/ftp-help.txt
ftp-gw:
permit-hosts 10.10.170.* -log {retr stor}
ftp-gw:
timeout 3600
Trong vÝ dô trªn, m¹ng 10.10.170 ®îc cho phÐp dïng proxy trong khi mäi host kh¸c kh«ng cã trong danh s¸ch, mäi truy cËp kh¸c ®Òu bÞ cÊm. NÕu mét m¹ng kh¸c muèn truy cËp proxy, nã nhËn ®îc mét th«ng b¸o tõ chèi trong /usr/proxy/etc/ftp-deny.txt vµ sau ®ã liªn kÕt bÞ ng¾t. NÕu m¹ng ®îc b¶o vÖ ph¸t triÓn thªm chØ cÇn thªm vµo c¸c dßng cho phÐp.
ftp-gw:
permit-hosts 16.67.32.* -log {retr stor}
or
ftp-gw:
permit-hosts 16.67.32.* -log {retr stor}
ftp-gw:
permit-hosts 10.10.170.* -log {retr stor}
Mçi bé phËn cña Firewall cã mét tËp c¸c tuú chän vµ cê ®îc m« t¶ trong manual page riªng cña phÇn ®ã. Trong vÝ dô trªn, Tuú chän -log {retr stor} cho phÐp FTP proxy ghi l¹i nhËt ký víi tuú chän retr vµ stor.
Anonymous FTP
Anonymous FTP server ®· ®îc sö dông trong hÖ ®iÒu hµnh UNIX tõ l©u. C¸c lç hæng trong viÖc b¶o ®¶m an toµn (Security hole) thêng xuyªn sinh ra do c¸c chøc n¨ng míi ®îc thªm vµo, sù xuÊt hiÖn cña bug vµ do cÊu h×nh sai. Mét c¸ch tiÕp cËn víi viÖc ®¶m b¶o an toµn cho anonymous FTP lµ sö dông netacl ®Ó ch¾c ch¾n FTP server bÞ h¹n chÕ trong th môc cña nã tríc khi ®îc gäi. Víi cÊu hinh nh vËy, khã kh¨n cho anonymous FTP lµm tæn h¹i ®Õn hÖ thèng bªn ngoµi khu vùc cña FTP.
Díi ®©y lµ mét vÝ dô sö dông netacl ®Ó quyÕt ®Þnh giíi h¹n hay kh«ng giíi h¹n vïng sö dông cña FTP ®èi víi mçi liªn kÕt. Gi¶ sö lµ m¹ng ®îc b¶o vÖ lµ 192.5.12
netacl-ftpd:
hosts 192.5.12.*
-exec /etc/ftpd
netacl-ftpd:
hosts unknown
-exec /bin/cat /usr/proxy/etc/noftp.txt
netacl-ftpd:
hosts *
-chroot /ftpdir -exec /etc/ftpd
Trong vÝ dô nµy, ngêi dïng nèi víi dÞch vô FTP tõ m¹ng ®îc b¶o vÖ cã kh¶ n¨ng FTP b×nh thêng. Ngêi dïng kÕt nèi tõ hÖ thèng kh¸c domain nhËn ®îc mét th«ng b¸o r»ng hä kh«ng cã quyÒn sö dông FTP. Mäi hÖ thèng kh¸c kÕt nèi vµo FTP ®Òu sö dông víi vïng file FTP. §iÒu nµy cã mét sè thuËn lîi cho viÖc b¶o ®¶m an toµn. Thø nhÊt, khi kiÓm tra x¸c thùc, ftpd kiÓm tra mËt khÈu cña ngêi sö dông trong vïng FTP, cho phÐp ngêi qu¶n trÞ ®a ra “account” cho FTP. §iÒu nµy cÇn thiÕt cho nh÷ng ngêi kh«ng cã account trong bastion host cung cÊp sù kiÓm tra vµ x¸c thùc nã cßn cho phÐp qu¶n trÞ sö dông nh÷ng ®iÓm m¹nh cña ftpd cho dï nã chøa mét sè lç hæng vÒ an toµn.
Telnet vµ rlogin
Nãi chung truy cËp tíi bastion host nªn bÞ cÊm, chØ ngêi qu¶n trÞ cã quyÒn login. Th«ng thêng ®Ó khi ch¹y proxy, ch¬ng tr×nh telnet vµ rlogin kh«ng thÓ ch¹y trªn c¸c cæng chuÈn cña chóng. Cã 3 c¸ch gi¶i quyÕt vÊn ®Ò nµy:
Ch¹y telnet vµ rloggin proxy trªn cæng chuÈn víi telnet vµ rlogin trªn cæng kh¸c vµ b¶o vÖ truy cËp tíi chóng b»ng netacl
Cho phÐp login chØ víi thiÕt bÞ ®Çu cuèi.
Dïng netacl ®Ó chuyÓn ®æi tuú thuéc vµo ®iÓm xuÊt ph¸t cña kÕt nèi, dùa trªn proxy ®Ó thùc hiÖn kÕt nèi thùc sù.
C¸ch gi¶i quyÕt cuèi cïng rÊt tiÖn lîi nhng cho phÐp mäi ngêi cã quyÒn dïng proxy ®Ó login vµo bastion host. NÕu bastion host sö dông x¸c thùc møc cao ®Ó qu¶n lý truy cËp cña ngêi dïng, sù rñi ro do viÖc tÊn c«ng vµo hÖ bastion host sÏ ®îc gi¶m thiÓu. ®Ó cÊu h×nh hÖ thèng tríc hÕt, tÊt c¶ c¸c thiÕt bÞ ®îc nèi vµo hÖ thèng qua netacl vµ dïng nã gäi c¸c ch¬ng tr×nh server hay proxy server tuú thuéc vµo n¬i xuÊt ph¸t cña kÕt nèi.
Ngêi qu¶n trÞ muèn vµo bastion host tríc hÕt ph¶i kÕt nèi vµo netacl sau ®ã ra lÖnh kÕt nèi vµo bastion host. ViÖc nµy ®¬n gi¶n v× mét sè b¶n telnet vµ rlogin kh«ng lµm viÖc nÕu kh«ng ®îc kÕt nèi vµo ®óng cæng.
netacl-telnetd:
permit-hosts
127.0.0.1
-exec /etc/telnetd
netacl-telnetd:
permit-hosts
myaddress
-exec /etc/telnetd
netacl-telnetd:
permit-hosts
*
-exec /usr/proxy/bin/tn-gw
netacl-rlogin:
permit-hosts
127.0.0.1
-exec /etc/rlogin
netacl-rlogin:
permit-hosts
myaddress
-exec /etc/rlogin
netacl-rlogin:
permit-hosts
*
-exec /usr/proxy/bin/rlogin-gw
Sql-net proxy
Gi¶ thiÕt lµ cã hai CSDL STU n»m trªn m¸y 190.2.2.3 vµ VPCP n»m trªn m¸y 190.2.0.4.
§Ó cÊu h×nh cho sql-net proxy, ph¶i tiÕn hµnh c¸c bíc nh sau:
CÊu h×nh trªn firewall
§Æt cÊu h×nh cho tÖp netperms nh sau:
#Oracle proxy for STU Database
ora_stu1: timeout 3600
ora_stu1: port 1521 * -plug-to 190.2.2.3 -port 1521
ora_stu2: timeout 3600
ora_stu2: port 1526 * -plug-to 190.2.2.3 -port 1526
#Oracle proxy for VBPQ Database
ora_vpcp1: timeout 3600
ora_vpcp1: port 1421 * -plug-to 190.2.0.4 -port 1521
ora_vpcp2: timeout 3600
ora_vpcp2: port 1426 * -plug-to 190.2.0.4 -port 1526
§Æt l¹i tÖp /etc/services nh sau:
#Oracle Proxy for STU Database
ora_stu1 1521/tcp oracle proxy
ora_stu2 1526/tcp oracle proxy
#Oracle Proxy for VBPQ Database
ora_vpcp1 1421/tcp oracle proxy
ora_vpcp2 1426/tcp oracle proxy
§Æt l¹i tÖp /etc/inetd.conf nh sau:
#Oracle Proxy for VBPQ Database
ora_stu1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu1
ora_stu2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu2
#Oracle Proxy for VBPQ Database
ora_vpcp1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp1
ora_vpcp2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp2
§Æt l¹i tÖp /etc/syslog.conf nh sau:
#Logfile for Sql-gw
“sql-gw” /usr/proxy/log/plug-gw
CÊu h×nh trªn m¸y tr¹m
§Æt l¹i tÖp oracle_home\network\admin\tnsnames.ora nh sau:
#Logfile for Sql-gw
stu.world =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1521)
)
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1526)
)
)
(CONNECT_DATA = (SID = STU)
)
)
vpcp.world =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1421)
)
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1426)
)
)
(CONNECT_DATA = (SID = ORA1)
)
)
B¹n cã thÓ dÔ dµng më réng cho nhiÒu CSDL kh¸c n»m trªn nhiÒu m¸y kh¸c nhau.
C¸c dÞch vô kh¸c
T¬ng tù nh trªn lµ c¸c vÝ dô cÊu h×nh cho c¸c dÞch vô kh¸c khai b¸o trong file netperms:
# finger gateway rules:
# ---------------------
netacl-fingerd: permit-hosts 190.2.* ws1 -exec /etc/fingerd
netacl-fingerd: deny-hosts * -exec /bin/cat /usr/proxy/etc/finger.txt
# http gateway rules:
# ---------------------
netacl-httpd: permit-hosts * -exec /usr/proxy/bin/http-gw
http-gw: timeout 3600
#http-gw: denial-msg /usr/proxy/etc/http-deny.txt
#http-gw: welcome-msg /usr/proxy/etc/http-welcome.txt
#http-gw: help-msg /usr/proxy/etc/http-help.txt
http-gw: permit-hosts 190.2.* 10.* 192.2.0.* -log { all }
http-gw: deny-hosts 220.10.170.32 ws1
http-gw: default-httpd hpnt
#
# smap (E-mail) rules:
# ----------------------
smap, smapd: userid root
smap, smapd: directory /usr/spool/mail
smapd: executable /usr/proxy/bin/smapd
smapd: sendmail /usr/lib/sendmail
smap: timeout 3600
#
Ngoµi ra, trong CSE Firewall cßn cã dÞch vô socks ®Ó kiÓm so¸t c¸c phÇn mÒm øng dông ®Æc biÖt nh Lotus Notes. CÇn ph¶i thªm vµo c¸c file cÊu h×nh hÖ thèng nh sau:
File /etc/services:
socks 1080/tcp
File /etc/inetd.conf:
socks
stream
tcp
nowait
root
/etc/sockd
sockd
CÊu h×nh vµ quy t¾c cho dÞch vô nµy n»m ë file /etc/sockd.conf, chØ cã hai tõ kho¸ cÇn ph¶i quan t©m lµ permit vµ deny ®Ó cho phÐp hay kh«ng c¸c host ®i qua, dÞch vô nµy kh«ng kÕt hîp víi dÞch vô x¸c thùc. §Þa chØ IP vµ Netmask ®Æt trong file nµy gièng nh víi lÖnh dÉn ®êng route cña UNIX.
permit 190.2.0.0 255.255.0.0
permit 10.10.170.50 255.255.255.255
permit 10.10.170.40 255.255.255.255
permit 10.10.170.31 255.255.255.255
deny 0.0.0.0 0.0.0.0 : mail -s 'SOCKD: rejected -- from %u@%A to host %Z (service %S)' root
X¸c thùc vµ dÞch vô x¸c thùc
Bé Firewall chøa ch¬ng tr×nh server x¸c thùc ®îc thiÕt kÕ ®Ó hç trî c¬ chÕ ph©n quyÒn. Authsrv chøa mét c¬ së d÷ liÖu vÒ ngêi dïng trong m¹ng, mçi b¶n ghi t¬ng øng víi mét ngêi dïng, chøa c¬ chÕ x¸c thùc cho mçi anh ta, trong ®ã bao gåm tªn nhãm, tªn ®Çy ®ñ cña ngêi dïng, lÇn truy cËp míi nhÊt. MËt khÈu kh«ng m· ho¸ (Plain text password) ®îc sö dông cho ngêi dïng trong m¹ng ®Ó viÖc qu¶n trÞ ®îc ®¬n gi¶n. MËt khÈu kh«ng m· ho¸ kh«ng nªn dïng víi nh÷ng ngßi sö dông tõ m¹ng bªn ngoµi. Authsrv ®îc ch¹y trªn mét host an toµn th«ng thêng lµ bastion host. §Ó ®¬n gi¶n cho viÖc qu¶n trÞ authsrv ngêi qu¶n trÞ cã thÓ sö dông mét shell authmsg ®Ó qu¶n trÞ c¬ së d÷ liÖu cã cung cÊp c¬ chÕ m· ho¸ d÷ liÖu.
Ngêi dïng trong 1 c¬ së d÷ liÖu cña authsrv cã thÓ ®îc chia thµnh c¸c nhãm kh¸c nhau ®îc qu¶n trÞ bëi qu¶n trÞ nhãm lµ ngêi cã toµn quyÒn trong nhãm c¶ viÖc thªm, bít ngêi dïng. §iÒu nµy thuËn lîi khi nhiÒu tæ chøc cïng dïng chung mét Firewall.
§Ó cÊu h×nh authsrv, ®Çu tiªn cÇn x¸c ®Þnh 1 cæng TCP trèng vµ thªm vµo mét dßng vµo trong inetd.conf ®Ó gäi authsrv mçi khi cã yªu cÇu kÕt nèi. Authsrv kh«ng ph¶i mét tiÕn tr×nh deamon ch¹y liªn tôc, nã lµ ch¬ng tr×nh ®îc gäi mçi khi cã yªu cÇu vµ chøa mét b¶n sao CSDL ®Ó tr¸nh rñi ro. Thªm authsrv vµo inet.conf ®ßi hái t¹o thªm ®iÓm vµo trong /etc/services. V× authsrv kh«ng chÊp nhËn tham sè, mµ ph¶i thªm vµo inetd.conf vµ services c¸c dßng nh sau:
Trong /etc/services:
authsrv 7777/tcp
Trong /etc/inetd.conf:
authsrv stream tcp nowait root /usr/proxy/bin/authsrv authsrv
Cæng dÞch vô dïng cho authsvr sÏ ®îc dïng ®Ó ®Æt cÊu h×nh cho c¸c øng dông client cã sö dông dÞch vô x¸c thùc. DÞch vô x¸c thùc kh«ng cÇn ¸p dông cho tÊt c¶ c¸c dÞch vô hay tÊt c¶ c¸c client.
#Example ftp gateway rules:
ftp-gw:
authserver
local host 7777
ftp-gw:
denial-msg
/usr/proxy/etc/ftp-deny.txt
ftp-gw:
welcome-msg
/usr/proxy/etc/ftp-welcome.txt
ftp-gw:
help-msg
/usr/proxy/etc/ftp-help.txt
ftp-gw:
permit-host
192.33.112.100
ftp-gw:
permit-host
192.33.112.* -log {retr stor} -auth {stor}
ftp-gw:
permist-host
* -authall
ftp-gw:
timeout
36000
Trong vÝ dô trªn, x¸c thùc dïng víi FTP proxy. Dßng ®Çu tiªn ®Þnh nghÜa ®Þa chØ m¹ng cæng dÞch vô cña ch¬ng tr×nh x¸c thùc. Dßng permist-host cho thÊy mét trong sè sù mÒm dÎo cña hÖ thèng x¸c thùc, mét host ®îc lùa chän ®Ó kh«ng ph¶i chÞu c¬ chÕ x¸c thùc, ngêi dïng tõ host nµy cã thÓ truy cËp tù do tíi mäi dÞch vô cña proxy. Permist-host thø 2 ®ßi hái x¸c thùc mäi hÖ thèng trong m¹ng 192.33.112 muèn truyÒn ra ngoµi víi -auth {store} nh÷ng thao t¸c cña FTP sÏ bÞ kho¸ tíi khi ngêi dïng hoµn thµnh viÖc x¸c thùc víi server. Khi ®ã, lÖnh ®îc më kho¸ vµ ngêi dïng cã thÓ vµo hÖ thèng. VÝ dô cuèi ®Þnh nghÜa mäi ngêi cã thÓ nèi víi server nhng tríc hÕt hä ph¶i ®îc x¸c thùc.
Authsrv server ph¶i ®îc cÊu h×nh ®Ó biÕt m¸y nµo ®îc cho phÐp kÕt nèi. §iÒu nµy cÊm tÊt c¶ nh÷ng cè g¾ng truy nhËp bÊt hîp ph¸p vµo server tõ nh÷ng server kh«ng ch¹y nh÷ng phÇn mÒm x¸c thùc. Trong Firewall authsrv sÏ ch¹y trªn bastion host cïng víi proxy trªn ®ã. NÕu kh«ng cã hÖ thèng nµo ®ßi hái truy cËp, mçi client vµ server coi “local host” nh mét ®Þa chØ truyÒn th«ng. CÊu h×nh authsrv ®Þnh nghÜa nã sÏ vËn hµnh CSDL vµ client hç trî.
#Example authhsrv rules:
authsrv:
database
/usr/proxy/bin/authsrv.db
authsrv:
permit-host
localhost
authsrv:
permit-host
192.5.214..32
Trong vÝ dô trªn, ®êng dÉn tíi CSDL ®Þnh nghÜa vµ 2 host ®îc nhËn ra. Chó ý CSDL ë trªn trong hÖ thèng ®îc b¶o vÖ hoÆc ®îc b¶o vÖ nghiªm ngÆt bëi c¬ chÕ truy cËp file. B¶o vÖ CSDL rÊt quan träng do ®ã nªn ®Ó CSDL trªn bastion host. Lèi vµo thø 2 lµ mét vÝ dô vÒ client sö dông m· ho¸ DES trong khi truyÒn th«ng víi authsrv. Kho¸ m· chøa trong tÖp cÊu h×nh ®ßi hái file cÊu h×nh ph¶i ®îc b¶o vÖ. Nãi chung, viÖc m· ho¸ lµ kh«ng cÇn thiÕt. KÕt qu¶ cña viÖc m· ho¸ lµ cho phÐp qu¶n trÞ cã thÓ qu¶n lý c¬ së d÷ liÖu x¸c thùc tõ tr¹m lµm viÖc. Luång d÷ liÖu duy nhÊt cÇn ph¶i b¶o vÖ lµ khi ngêi qu¶n trÞ m¹ng ®Æt l¹i mËt khÈu qua m¹ng côc bé, hay khi qu¶n lý c¬ së d÷ liÖu x¸c thùc qua m¹ng diÖn réng.
Duy tr× CSDL x¸c thùc dùa vµo 2 c«ng cô authload vµ authdump ®Ó load vµ dump CSDL x¸c thùc. Ngêi qu¶n trÞ nªn ch¹y authdump trong crontab t¹o b¶n sao d¹ng ASCII cña CSDL ®Ó tr¸nh trêng hîp xÊu khi CSDL bÞ háng hay bÞ xo¸.
Authsrv qu¶n lý nhãm rÊt mÒm dÎo, qu¶n trÞ cã thÓ nhãm ngêi dïng thµnh nhãm dïng “group wiz”, ngêi cã quyÒn qu¶n trÞ nhãm cã thÓ xo¸, thªm, t¹o söa b¶n ghi trong nhãm, cho phÐp hay cÊm ngêi dïng, thay ®æi password cña mËt khÈu cña user trong nhãm cña m×nh. Qu¶n trÞ nhãm kh«ng thay ®æi ®îc ngêi dïng cña nhãm kh¸c, t¹o ra nhãm míi hay thay ®æi quan hÖ gi÷a c¸c nhãm. Qu¶n trÞ nhãm chØ cã quyÒn h¹n trong nhãm cña m×nh. ViÖc nµy cã Ých ®èi víi tæ chøc cã nhiÒu nhãm lµm viÖc cïng sö dông Firewall.
T¹o mét ngêi sö dông b»ng lÖnh “adduser”
adduser mrj ‘Marcus J. Ranum’
Khi mét user record míi ®îc t¹o nã cha ®îc ho¹t ®éng vµ ngêi sö dông cha thÓ login. Tríc khi ngêi sö dông login, qu¶n trÞ m¹ng cã thÓ thay ®æi mËt khÈu vµ sè hiÖu nhãm cña ngêi sö dông ®ã
group users mjr
password “whumpus” mjr
proto SecurID mjr
enable mjr
Khi mét user record t¹o ra bëi ngêi qu¶n trÞ nhãm, nã thõa hëng sè hiÑu nhãm còng nh giao thøc x¸c thùc. User record cã thÓ xem bëi lÖnh “display” hay “list”.
VÝ dô mét phiªn lµm viÖc víi Authmsg:
%-> authmgs
Connected to server
authmgr-> login
Username: wizard
Challenge “200850” : 182312
Logged in
authmgs-> disp wizard
Report for user wizard (Auth DBA)
Last authenticated: Fri Oct 8 17:11:07 1993
Authentication protocol: Snk
Flags: WIZARD
authmgr-> list
Report for user in database
user group longname flags proto last
--- ----- -------- ----- ----- ---
wizard users Auth DBA y W Snk Fri Oct 8 17:02:56 1993
avolio users Fred Avolio y passwd Fri Sep 24 10:52:14 1993
rnj users Robert N. Jesse y passwd Wed Sep 29 18:35:45 1993
mjr users Marcus J. Ranum y none ri Oct 8 17:02:10 1993
authmgr-> adduser dalva “Dave dalva”
ok - user added initially disable
authmgr-> enable dalva
enabled
authmgr-> group dalva users
set group
authmgr-> proto dalva Skey
changed
authmgr-> disp dalva
Report for user dalva, group users (Dave Dalva)
Authentication protocol: Skey
Flags: none
authmgr-> password dalva
Password: #######
Repeat Password: #######
ID dalva s/key is 999 sol32
authmgr-> quit
Trong vÝ dô trªn qu¶n trÞ nèi vµo authsrv qua m¹ng sö dông giao diÖn authmsg sau khi x¸c thùc user record hiÓn thÞ thêi gian x¸c thùc. Sau khi login, list CSDL user, t¹o ngêi dïng, ®Æt password, enable vµ ®a vµo nhãm.
Khëi t¹o CSDL Authsrv:
# authsrv
-administrator mode-
authsrv# list
Report for user in database
user group longname flags proto last
--- ----- -------- ----- ----- ---
authsrv# adduser admin ‘Auth DBA’
ok - user added initially disable
authsrv# enable admin
enabled
authsrv# superwiz admin
set wizard
authsrv# proto admin Snk
changed
authsrv# pass ‘160 270 203 065 022 034 232 162’ admin
Secret key changed
authsrv# list
Report for user in database
user group longname flags roto last
--- ----- -------- ----- ---- ---
admin Auth DBA y W Snk never
authsrv# quit
Trong vÝ dô, mét CSDL míi ®îc t¹o cïng víi mét record cho ngêi qu¶n trÞ. Ngêi qu¶n trÞ ®îc g¸n quyÒn, g¸n protocol x¸c thùc.
Sö dông mµn h×nh ®iÒu khiÓn CSE Proxy:
Sau khi cµi ®Æt xong, khi login vµo user proxy mµn h×nh ®iÒu khiÓn sÏ hiÖn nªn menu c¸c chøc n¨ng ®Ó ngêi qu¶n trÞ cã thÓ lùa chän.
PROXY SERVICE MENU
1 Configuration
2 View TELNET log
3 View FTP log
4 View HTTP log
5 View E-MAIL log
6 View AUTHENTICATE log
7 View FINGER log
8 View RLOGIN log
9 View SOCKD log
a Report
b Authentication
c Change system time
d Change password
e Shutdown
q Exit
Select option> _
Con sè hay ch÷ c¸i ®Çu tiªn thÓ hiÖn phÝm bÊm ®Ó thùc hiÖn chøc n¨ng. Sau khi mçi chøc n¨ng thùc hiÖn xong xuÊt hiÖn th«ng b¸o Press ENTER to continue råi chê cho tíi khi phÝm Enter ®îc bÊm ®Ó trë l¹i mµn h×nh ®iÒu khiÓn chÝnh.
1 Configuration
Chøc n¨ng nµy cho phÐp so¹n th¶o trùc tiÕp tíi file cÊu h×nh cña proxy. Trong file nµy chøa c¸c quy t¾c cña c¸c dÞch vô nh netacl, ftp-gw, tn-gw... Có ph¸p cña c¸c quy t¾c nµy ®· ®îc m« t¶ ë phÇn trªn. Sau khi sö ®æi c¸c quy t¾c chän chøc n¨ng Save th× c¸c quy t¾c míi sÏ lËp tøc ®îc ¸p dông.
Chó ý: Bé so¹n th¶o v¨n b¶n ®Ó so¹n th¶o file cÇu h×nh cã c¸c phÝm chøc n¨ng t¬ng tù nh chøc n¨ng so¹n th¶o cña Turbo Pascal 3.0. (C¸c chøc n¨ng cÇn thiÕt ®Òu cã thÓ thÊy trªn Status Bar ë dßng cuèi cïng cña mµn h×nh). §èi víi mét sè trêng hîp bé so¹n th¶o nµy kh«ng ho¹t ®éng th× ch¬ng tr×nh so¹n th¶o vi cña UNIX sÏ ®îc dïng ®Ó thay thÕ.
2 View TELNET log
Chøc n¨ng xem néi dung nhËt ký cña tn-gw. NhËt ký ghi l¹i toµn bé c¸c truy nhËp qua proxy ®èi víi dÞch vô tn-gw. §èi víi c¸c dÞch vô kh¸c nh ftp-gw, http-gw ®Òu dîc ghi l¹i nhËt ký vµ cã thÓ theo dâi bëi c¸c chøc n¨ng t¬ng tù (Xem c¸c môc díi ®©y).
3 View FTP log
Chøc n¨ng xem néi dung nhËt ký cña ftp-gw.
4 View HTTP log
Chøc n¨ng xem néi dung nhËt ký cña http-gw.
5 View E-MAIL log
Chøc n¨ng xem néi dung nhËt ký cña dÞch vô email.
6 View AUTHENTICATE log
Chøc n¨ng xem néi dung nhËt ký cña dÞch vô x¸c thùc.
7 View FINGER log
Chøc n¨ng xem néi dung nhËt ký cña finger.
8 View RLOGIN log
Chøc n¨ng xem néi dung nhËt ký cña rlogin-gw.
9 View SOCKD log
Chøc n¨ng xem néi dung nhËt ký cña sockd.
a Report
Chøc n¨ng lµm b¸o c¸o thèng kª ®èi víi tÊt c¶ c¸c dÞch vô trong mét kho¶ng thêi gian nhÊt ®Þnh.
§Çu tiªn mµn h×nh sÏ hiÖn lªn mét lÞch ®Ó chän kho¶ng thêi gian muèn lµm b¸o c¸o. Sau khi tÝnh to¸n xong b¸o c¸o. Ngêi sö dông sÏ ph¶i chän mét trong c¸c ®Çu ra cña b¸o c¸o gåm : xem (®a ra mµn h×nh), save (ra ®Üa mÒm) hay print (in ra m¸y in g¾n trùc tiÕp víi m¸y server). NÕu muèn in tõ c¸c m¸y in kh¸c ta cã thÓ ®a ra ®Üa mÒm råi in c¸c tÖp ®ã tõ c¸c tr¹m lµm viÖc.
Fri May 8 10:39:13 1998
Apr May Jun
S M Tu W Th F S S M Tu W Th F S S M Tu W Th F S
1 2 3 4 1 2 1 2 3 4 5 6
5 6 7 8 9 10 11 3 4 5 6 7 8 9 7 8 9 10 11 12 13
12 13 14 15 16 17 18 10 11 12 13 14 15 16 14 15 16 17 18 19 20
19 20 21 22 23 24 25 17 18 19 20 21 22 23 21 22 23 24 25 26 27
26 27 28 29 30 24 25 26 27 28 29 30 28 29 30
31
From date (dd/mm[/yy]) (08/05/98):01/05/98
To date (dd/mm[/yy]): (08/05/98):05/05/09
Calculating...
View, save to MS-DOS floppy disk or print report (v/s/p/q)? v
b Authentication
Chøc n¨ng nµy gäi authsrv ®Ó qu¶n trÞ ngêi sö dông vµ chøc n¨ng x¸c thùc cho ngêi ®ã. authrv ®· ®îc m« t¶ kh¸ râ rµng ë trªn.
authsrv# list
Report for users in database
user group longname status proto last
---- ----- -------- ------ ----- ----
dalva cse n passw never
ruth cse y passw never
authsrv#
c Change system time
Chøc n¨ng ®æi thêi gian hÖ thèng. Chøc n¨ng nµy cã t¸c dông ®iÒu chØnh chÝnh x¸c giê cña hÖ thèng. Bëi v× giê hÖ thèng cã ¶nh hëng quan träng tíi ®é chÝnh x¸c cña nhËt ký. Gióp cho ngêi qu¶n trÞ cã thÓ theo dâi ®óng c¸c truy nhËp tíi proxy.
Dßng nhËp thêi gian sÏ nh díi ®©y. Ngµy th¸ng n¨m cã thÓ kh«ng cµn nhËp nhng cÇn chó ý tíi d¹ng cña sè ®a vµo. Díi ®©y lµ vÝ dô ®æi giê thµnh 11 giê 28.
Current System Time is Fri May 08 10:32:00 HN 1998
Enter new time ([yymmdd]hhmm): 1128
d Change password
Chøc n¨ng ®æi mËt khÈu cña user proxy.
e Shutdown
Chøc n¨ng shut down toµn bé hÖ thèng. Chøc n¨ng nµy ®îc dïng ®Ó t¾t m¸y mét c¸ch an toµn ®èi víi ngêi sö dông.
q Exit
Chøc n¨ng nµy logout khái mµn h×nh ®iÒu khiÓn proxy.
C¸c vÊn ®Ò cÇn quan t©m víi ngêi sö dông
Víi ngêi sö dông, khi dïng CSE Proxy cÇn ph¶i quan t©m ®Õn c¸c vÊn ®Ò sau:
Víi c¸c Web Browser
CÇn ph¶i ®Æt chÕ ®é proxy ®Ó chóng cã thÓ truy nhËp ®Õn c¸c trang Web th«ng qua proxy.
Trong Microsoft Internet Explore (version 4.0) ta ph¶i chän View -> Internet option -> Connection -> Proxy Server vµ ®Æt chÕ ®é Access the Internet using a proxy, ®Æt ®Þa chØ IP vµ port cña proxy vµo.
Trong Netscape Nevigator (version 4.0) ta ph¶i chän Edit ->Preferences -> Advanced -> Proxies vµ ®Æt ®Þa chØ proxy vµ cæng dÞch vô (port) (80) qua phÇn Manual proxy configuration.
Víi ngêi sö dông telnet,
NÕu kh«ng ®îc ®Æt chøc n¨ng x¸c thùc th× qu¸ tr×nh nh sau:
$ telnet vectra
Trying 192.1.1.155...
connect hostname [serv/ port]
connect to vectra.
Escape character is’^]’.
Vectra.sce.gov.vn telnet proxy (version V1.0) ready:
tn-gw -> help
Valid commands are: (unique abbreviations may be used)
connect hostname [serv/ port]
telnet hostname [serv/ port]
x-gw [hostname/ display]
help/ ?
quit/ exit
password
tn-gw -> c 192.1.1.1
Trying 192.1.1.1 port 23...
SCO Openserver TM Release 5 (sco5.cse.gov.vn) (ttysO)
Login: ngoc
password: #######
...
$
NÕu cã dïng chøc n¨ng x¸c thùc, th× sau khi m¸y proxy tr¶ lêi:
Vectra.sce.gov.vn telnet proxy (version V1.0) ready:
Nh¾c ta ph¶i ®a vµo tªn vµ mËt khÈu ®Ó thùc hiÖn x¸c thùc:
Username: ngoc
password: #######
Login accepted
tn-gw ->
§èi víi ngêi dïng dÞch vô FTP
NÕu cã dïng chøc n¨ng x¸c thùc th× quy tr×nh nh sau:
$ftp vectra
Connected to vectra.
220 -Proxy first requres authentication
220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready:
Name (vectra: root): ngoc
331 Enter authentication password for ngoc
Password: #######
230 User authenticated to proxy
ftp>user ngoc@192.1.1.1
331 -(----GATEWAY CONNECTED TO 192.1.1.1----)
331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.)
331 Password required for ngoc.
Password:
230 User ngoc logged in.
ftp>
...
ftp>bye
221 Goodbye.
$
Cßn nÕu kh«ng sö dông chøc n¨ng x¸c thùc th× ®¬n gi¶n h¬n:
$ftp vectra
Connected to vectra.
220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready:
Name (vectra: root): ngoc@192.1.1.1
331 -(----GATEWAY CONNECTED TO 192.1.1.1----)
331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.)
331 Password required for ngoc.
Password:
230 User ngoc logged in.
ftp>
...
ftp>bye
221 Goodbye
$
NÕu sö dông ch¬ng tr×nh WS_FTP trªn Window cña Ipswitch, Inc th× cÇn ph¶i ®Æt chÕ ®é Use Firewall ë trong phÇn Advanced khi ta cÊu h×nh mét phiªn nèi kÕt. Trong phÇn Firewall Informatic ta sÏ ®a ®Þa chØ IP cña proxy vµo phÇn Hostname, tªn ngêi dïng vµ mËt khÈu (UserID vµ Password) cho phÇn x¸c thùc trªn proxy vµ cæng dÞch vô (21). §ång thêi ph¶i chän kiÓu USER after logon ë phÇn Firewall type.
Các file đính kèm theo tài liệu này:
- Hệ thống Firewall xây dựng bởi CSE.doc