Hệ thống firewall xây dựng bởi cse

3 Mục lục 1. An toàn thông tin trên mạng 3 1.1 Tại sao cần có Internet Firewall 3 1.2 Bạn muốn bảo vệ cái gì? 5 1.2.1 Dữ liệu của bạn 5 1.2.2 Tài nguyên của bạn 5 1.2.3 Danh tiếng của bạn 6 1.3 Bạn muốn bảo vệ chống lại cái gì? 7 1.3.1 Các kiểu tấn công 7 1.3.2 Phân loại kẻ tấn công 10 1.4 Vậy Internet Firewall là gì? 12 1.4.1 Định nghĩa 12 1.4.2 Chức năng 12 1.4.3 Cấu trúc 13 1.4.4 Các thành phần của Firewall và cơ chế hoạt động 13 1.4.5 Những hạn chế của firewall 20 1.4.6 Các ví dụ firewall 21 2. Các dịch vụ Internet 28 2.1 World Wide Web - WWW 29 2.2 Electronic Mail (Email hay thư điện tử). 30 2.3 Ftp (file transfer protocol hay dịch vụ chuyển file) 31 2.4 Telnet và rlogin 32 2.5 Archie 33 2.6 Finger 34 3. Hệ thống Firewall xây dựng bởi CSE 35 3.1 Tổng quan 36 3.2 Các thành phần của bộ chương trình proxy: 37 3.2.1 Smap: Dịch vụ SMTP 37 3.2.2 Netacl: công cụ điều khiển truy nhập mạng 38 3.2.3 Ftp-Gw: Proxy server cho Ftp 39 3.2.4 Telnet-Gw: Proxy server cho Telnet 40 3.2.5 Rlogin-Gw: Proxy server cho rlogin 41 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net 41 3.2.7 Plug-Gw: TCP Plug-Board Connection server 41 3.3 Cài đặt 43 3.4 Thiết lập cấu hình: 44 3.4.1 Cấu hình mạng ban đầu 44 3.4.2 Cấu hình cho Bastion Host 45 3.4.3 Thiết lập tập hợp quy tắc 47 3.4.4 Xác thực và dịch vụ xác thực 56 3.4.5 Sử dụng màn hình điều khiển CSE Proxy: 62 3.4.6 Các vấn đề cần quan tâm với người sử dụng 66 1. An toàn thông tin trên mạng 1.1 Tại sao cần có Internet Firewall Hiện nay, khái niệm mạng toàn cầu - Internet không còn mới mẻ. Nó đã trở nên phổ biến tới mức không cần phải chú giải gì thêm trong những tạp chí kỹ thuật, còn trên những tạp chí khác thì tràn ngập những bài viết dài, ngắn về Internet. Khi những tạp chí thông thường chú trọng vào Internet thì giờ đây, những tạp chí kỹ thuật lại tập trung vào khía cạnh khác: an toàn thông tin. Đó cùng là một quá trình tiến triển hợp logic: khi những vui thích ban đầu về một siêu xa lộ thông tin, bạn nhất định nhận thấy rằng không chỉ cho phép bạn truy nhập vào nhiều nơi trên thế giới, Internet còn cho phép nhiều người không mời mà tự ý ghé thăm máy tính của bạn. Thực vậy, Internet có những kỹ thuật tuyệt vời cho phép mọi người truy nhập, khai thác, chia sẻ thông tin. Những nó cũng là nguy cơ chính dẫn đến thông tin của bạn bị hư hỏng hoặc phá huỷ hoàn toàn. Theo số liệu của CERT(Computer Emegency Response Team - “Đội cấp cứu máy tính”), số lượng các vụ tấn công trên Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của tất cả các công ty lớn như AT&T, IBM, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, nhà băng . Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa, những con số này chỉ là phần nổi của tảng băng. Một phần rất lớn các vụ tấn công không được thông báo, vì nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biết những cuộc tấn công nhằm vào hệ thống của họ.

doc70 trang | Chia sẻ: lvcdongnoi | Lượt xem: 2577 | Lượt tải: 0download
Bạn đang xem trước 20 trang tài liệu Hệ thống firewall xây dựng bởi cse, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
cuéc tÊn c«ng nµy kh«ng "®i qua" nã. Mét c¸ch cô thÓ, firewall kh«ng thÓ chèng l¹i mét cuéc tÊn c«ng tõ mét ®­êng dial-up, hoÆc sù dß rØ th«ng tin do d÷ liÖu bÞ sao chÐp bÊt hîp ph¸p lªn ®Üa mÒm. Firewall còng kh«ng thÓ chèng l¹i c¸c cuéc tÊn c«ng b»ng d÷ liÖu (data-driven attack). Khi cã mét sè ch­¬ng tr×nh ®­îc chuyÓn theo th­ ®iÖn tö, v­ît qua firewall vµo trong m¹ng ®­îc b¶o vÖ vµ b¾t ®Çu ho¹t ®éng ë ®©y. Mét vÝ dô lµ c¸c virus m¸y tÝnh. Firewall kh«ng thÓ lµm nhiÖm vô rµ quÐt virus trªn c¸c d÷ liÖu ®­îc chuyÓn qua nã, do tèc ®é lµm viÖc, sù xuÊt hiÖn liªn tôc cña c¸c virus míi vµ do cã rÊt nhiÒu c¸ch ®Ó m· hãa d÷ liÖu, tho¸t khái kh¶ n¨ng kiÓm so¸t cña firewall. C¸c vÝ dô firewall Packet-Filtering Router (Bé trung chuyÓn cã läc gãi) HÖ thèng Internet firewall phæ biÕn nhÊt chØ bao gåm mét packet-filtering router ®Æt gi÷a m¹ng néi bé vµ Internet (H×nh 2.3). Mét packet-filtering router cã hai chøc n¨ng: chuyÓn tiÕp truyÒn th«ng gi÷a hai m¹ng vµ sö dông c¸c quy luËt vÒ läc gãi ®Ó cho phÐp hay tõ chèi truyÒn th«ng. C¨n b¶n, c¸c quy luËt läc ®ù¬c ®Þnh nghÜa sao cho c¸c host trªn m¹ng néi bé ®­îc quyÒn truy nhËp trùc tiÕp tíi Internet, trong khi c¸c host trªn Internet chØ cã mét sè giíi h¹n c¸c truy nhËp vµo c¸c m¸y tÝnh trªn m¹ng néi bé. T­ t­ëng cña m« cÊu tróc firewall nµy lµ tÊt c¶ nh÷ng g× kh«ng ®­îc chØ ra râ rµng lµ cho phÐp th× cã nghÜa lµ bÞ tõ chèi. H×nh 2.3 Packet-filtering router ¦u ®iÓm: gi¸ thµnh thÊp (v× cÊu h×nh ®¬n gi¶n) trong suèt ®èi víi ng­êi sö dông H¹n chÕ: Cã tÊt c¶ h¹n chÕ cña mét packet-filtering router, nh­ lµ dÔ bÞ tÊn c«ng vµo c¸c bé läc mµ cÊu h×nh ®­îc ®Æt kh«ng hoµn h¶o, hoÆc lµ bÞ tÊn c«ng ngÇm d­íi nh÷ng dÞch vô ®· ®­îc phÐp. Bëi v× c¸c packet ®­îc trao ®æi trùc tiÕp gi÷a hai m¹ng th«ng qua router , nguy c¬ bÞ tÊn c«ng quyÕt ®Þnh bëi sè l­îng c¸c host vµ dÞch vô ®­îc phÐp. §iÒu ®ã dÉn ®Õn mçi mét host ®­îc phÐp truy nhËp trùc tiÕp vµo Internet cÇn ph¶i ®­îc cung cÊp mét hÖ thèng x¸c thùc phøc t¹p, vµ th­êng xuyªn kiÓm tra bëi ng­êi qu¶n trÞ m¹ng xem cã dÊu hiÖu cña sù tÊn c«ng nµo kh«ng. NÕu mét packet-filtering router do mét sù cè nµo ®ã ngõng ho¹t ®éng, tÊt c¶ hÖ thèng trªn m¹ng néi bé cã thÓ bÞ tÊn c«ng. Screened Host Firewall HÖ thèng nµy bao gåm mét packet-filtering router vµ mét bastion host (h×nh 2.4). HÖ thèng nµy cung cÊp ®é b¶o mËt cao h¬n hÖ thèng trªn, v× nã thùc hiÖn c¶ b¶o mËt ë tÇng network( packet-filtering ) vµ ë tÇng øng dông (application level). §ång thêi, kÎ tÊn c«ng ph¶i ph¸ vì c¶ hai tÇng b¶o mËt ®Ó tÊn c«ng vµo m¹ng néi bé. H×nh 2.4 Screened host firewall (Single- Homed Bastion Host) Trong hÖ thèng nµy, bastion host ®­îc cÊu h×nh ë trong m¹ng néi bé. Qui luËt filtering trªn packet-filtering router ®­îc ®Þnh nghÜa sao cho tÊt c¶ c¸c hÖ thèng ë bªn ngoµi chØ cã thÓ truy nhËp bastion host; ViÖc truyÒn th«ng tíi tÊt c¶ c¸c hÖ thèng bªn trong ®Òu bÞ kho¸. Bëi v× c¸c hÖ thèng néi bé vµ bastion host ë trªn cïng mét m¹ng, chÝnh s¸ch b¶o mËt cña mét tæ chøc sÏ quyÕt ®Þnh xem c¸c hÖ thèng néi bé ®­îc phÐp truy nhËp trùc tiÕp vµo bastion Internet hay lµ chóng ph¶i sö dông dÞch vô proxy trªn bastion host. ViÖc b¾t buéc nh÷ng user néi bé ®­îc thùc hiÖn b»ng c¸ch ®Æt cÊu h×nh bé läc cña router sao cho chØ chÊp nhËn nh÷ng truyÒn th«ng néi bé xuÊt ph¸t tõ bastion host. ¦u ®iÓm: M¸y chñ cung cÊp c¸c th«ng tin c«ng céng qua dÞch vô Web vµ FTP cã thÓ ®Æt trªn packet-filtering router vµ bastion. Trong tr­êng hîp yªu cÇu ®é an toµn cao nhÊt, bastion host cã thÓ ch¹y c¸c dÞch vô proxy yªu cÇu tÊt c¶ c¸c user c¶ trong vµ ngoµi truy nhËp qua bastion host tr­íc khi nèi víi m¸y chñ. Tr­êng hîp kh«ng yªu cÇu ®é an toµn cao th× c¸c m¸y néi bé cã thÓ nèi th¼ng víi m¸y chñ. NÕu cÇn ®é b¶o mËt cao h¬n n÷a th× cã thÓ dïng hÖ thèng firewall dual-home (hai chiÒu) bastion host (h×nh 2.5). Mét hÖ thèng bastion host nh­ vËy cã 2 giao diÖn m¹ng (network interface), nh­ng khi ®ã kh¶ n¨ng truyÒn th«ng trùc tiÕp gi÷a hai giao diÖn ®ã qua dÞch vô proxy lµ bÞ cÊm. H×nh 2.5 Screened host firewall (Dual- Homed Bastion Host) Bëi v× bastion host lµ hÖ thèng bªn trong duy nhÊt cã thÓ truy nhËp ®­îc tõ Internet, sù tÊn c«ng còng chØ giíi h¹n ®Õn bastion host mµ th«i. Tuy nhiªn, nÕu nh­ ng­êi dïng truy nhËp ®­îc vµo bastion host th× hä cã thÓ dÔ dµng truy nhËp toµn bé m¹ng néi bé. V× vËy cÇn ph¶i cÊm kh«ng cho ng­êi dïng truy nhËp vµo bastion host. Demilitarized Zone (DMZ - khu vùc phi qu©n sù) hay Screened-subnet Firewall HÖ thèng nµy bao gåm hai packet-filtering router vµ mét bastion host (h×nh 2.6). HÖ thèng firewall nµy cã ®é an toµn cao nhÊt v× nã cung cÊp c¶ møc b¶o mËt : network vµ application trong khi ®Þnh nghÜa mét m¹ng “phi qu©n sù”. M¹ng DMZ ®ãng vai trß nh­ mét m¹ng nhá, c« lËp ®Æt gi÷a Internet vµ m¹ng néi bé. C¬ b¶n, mét DMZ ®­îc cÊu h×nh sao cho c¸c hÖ thèng trªn Internet vµ m¹ng néi bé chØ cã thÓ truy nhËp ®­îc mét sè giíi h¹n c¸c hÖ thèng trªn m¹ng DMZ, vµ sù truyÒn trùc tiÕp qua m¹ng DMZ lµ kh«ng thÓ ®­îc. Víi nh÷ng th«ng tin ®Õn, router ngoµi chèng l¹i nh÷ng sù tÊn c«ng chuÈn (nh­ gi¶ m¹o ®Þa chØ IP), vµ ®iÒu khiÓn truy nhËp tíi DMZ. Nã cho phÐp hÖ thèng bªn ngoµi truy nhËp chØ bastion host, vµ cã thÓ c¶ information server. Router trong cung cÊp sù b¶o vÖ thø hai b»ng c¸ch ®iÒu khiÓn DMZ truy nhËp m¹ng néi bé chØ víi nh÷ng truyÒn th«ng b¾t ®Çu tõ bastion host. Víi nh÷ng th«ng tin ®i, router trong ®iÒu khiÓn m¹ng néi bé truy nhËp tíi DMZ. Nã chØ cho phÐp c¸c hÖ thèng bªn trong truy nhËp bastion host vµ cã thÓ c¶ information server. Quy luËt filtering trªn router ngoµi yªu cÇu sö dung dich vô proxy b»ng c¸ch chØ cho phÐp th«ng tin ra b¾t nguån tõ bastion host. ¦u ®iÓm: KÎ tÊn c«ng cÇn ph¸ vì ba tÇng b¶o vÖ: router ngoµi, bastion host vµ router trong. Bëi v× router ngoµi chØ qu¶ng c¸o DMZ network tíi Internet, hÖ thèng m¹ng néi bé lµ kh«ng thÓ nh×n thÊy (invisible). ChØ cã mét sè hÖ thèng ®· ®­îc chän ra trªn DMZ lµ ®­îc biÕt ®Õn bëi Internet qua routing table vµ DNS information exchange (Domain Name Server). Bëi v× router trong chØ qu¶ng c¸o DMZ network tíi m¹ng néi bé, c¸c hÖ thèng trong m¹ng néi bé kh«ng thÓ truy nhËp trùc tiÕp vµo Internet. §iÒu nay ®¶m b¶o r»ng nh÷ng user bªn trong b¾t buéc ph¶i truy nhËp Internet qua dÞch vô proxy. H×nh 2.6 Screened-Subnet Firewall C¸c dÞch vô Internet Nh­ ®· tr×nh bµy ë trªn, nh×n chung b¹n ph¶i x¸c ®Þnh b¹n b¶o vÖ c¸i g× khi thiÕt lËp liªn kÕt ra m¹ng ngoµi hay Internet: d÷ liÖu, tµi nguyªn, danh tiÕng. Khi x©y dùng mét Firewall, b¹n ph¶i quan t©m ®Õn nh÷ng vÊn ®Ò cô thÓ h¬n: b¹n ph¶i b¶o vÖ nh÷ng dÞch vô nµo b¹n dïng hoÆc cung cÊp cho m¹ng ngoµi (hay Internet). Internet cung cÊp mét hÖ thèng c¸c dÞch vô cho phÐp ng­êi dïng nèi vµo Internet truy nhËp vµ sö dông c¸c th«ng tin ë trªn m¹ng Internet. HÖ thèng c¸c dÞch vô nµy ®· vµ ®ang ®­îc bæ sung theo sù ph¸t triÓn kh«ng ngõng cña Internet. C¸c dÞch vô nµy bao gåm World Wide Web (gäi t¾t lµ WWW hoÆc Web), Email (th­ ®iÖn tö), Ftp (file transfer protocols - dÞch vô chuyÓn file), telnet (øng dông cho phÐp truy nhËp m¸y tÝnh ë xa), Archie (hÖ thèng x¸c ®Þnh th«ng tin ë c¸c file vµ directory), finger (hÖ thèng x¸c ®Þnh c¸c user trªn Internet), rlogin(remote login - vµo m¹ng tõ xa) vµ mét sè c¸c dÞch vô kh¸c n÷a. World Wide Web - WWW WWW lµ dÞch vô Internet ra ®êi gÇn ®©y nhÊt, nh­ng ph¸t triÓn nhanh nhÊt hiÖn nay. Web cung cÊp mét giao diÖn v« cïng th©n thiÖn víi ng­êi dïng, dÔ sö dông, v« cïng thuËn lîi vµ ®¬n gi¶n ®Ó t×m kiÕm th«ng tin. Web liªn kÕt th«ng tin dùa trªn c«ng nghÖ hyper-link (siªu liªn kÕt), cho phÐp c¸c trang Web liªn kÕt víi nhau trùc tiÕp qua c¸c ®Þa chØ cña chóng. Th«ng qua Web, ng­êi dïng cã thÓ : Ph¸t hµnh c¸c tin tøc cña m×nh vµ ®äc tin tøc tõ kh¾p n¬i trªn thÕ giíi Qu¶ng c¸o vÓ m×nh, vÓ c«ng ty hay tæ chøc cña m×nh còng nh­ xem c¸c lo¹i qu¶ng c¸o trªn thÕ giíi, tõ kiÕm viÖc lµm, tuyÓn mé nh©n viªn, c«ng nghÖ vµ s¶n phÈm míi, t×m b¹n, v©n v©n. Trao ®æi th«ng tin víi bÌ b¹n, c¸c tæ chøc x· héi, c¸c trung t©m nghiªn cøu, tr­êng häc, v©n v©n Thùc hiÖn c¸c dÞch vô chuyÒn tiÒn hay mua b¸n hµng ho¸ Truy nhËp c¸c c¬ së d÷ liÖu cña c¸c tæ chøc, c«ng ty (nÕu nh­ ®­îc phÐp) Vµ rÊt nhiÒu c¸c ho¹t ®éng kh¸c n÷a. Electronic Mail (Email hay th­ ®iÖn tö). Email lµ dÞch vô Internet ®­îc sö dông réng r·i nhÊt hiÖn nay. H©u hÕt c¸c th«ng b¸o ë d¹ng text (v¨n b¶n) ®¬n gi¶n, nh­ng ng­êi sö dông cã thÓ göi kÌm theo c¸c file chøa c¸c h×nh ¶nh nh­ s¬ ®å, ¶nh . HÖ thèng email trªn Internet lµ hÖ thèng th­ ®iÖn tö lín nhÊt trªn thÕ giíi, vµ th­êng ®­îc sö dông cïng víi c¸c hÖ thèng chuyÓn th­ kh¸c. Kh¶ n¨ng chuyÓn th­ ®iÖn tö trªn Web cã bÞ h¹n chÕ h¬n so víi c¸c hÖ thèng chuyÓn th­ ®iÖn tö trªn Internet, bëi v× Web lµ mét ph­¬ng tiÖn trao ®æi c«ng céng, trong khi th­ lµ mét c¸i g× ®ã riªng t­. V× vËy, kh«ng ph¶i tÊt c¶ c¸c Web brower ®Òu cung cÊp chøc n¨ng email. (Hai browser lín nhÊt hiÖn nay lµ Netscape vµ Internet Explorer ®Òu cung cÊp chøc n¨ng email). Ftp (file transfer protocol hay dÞch vô chuyÓn file) Ftp lµ mét dÞch vô cho phÐp sao chÐp file tõ mét hÖ thèng m¸y tÝnh nµy ®Õn hÖ thèng m¸y tÝnh kh¸c ftp bao gåm thñ tôc vµ ch­¬ng tr×nh øng dông, vµ lµ mét trong nh÷ng dÞch vô ra ®êi sím nhÊt trªn Internet. Fpt cã thÓ ®­îc dïng ë møc hÖ thèng (gâ lÖnh vµo command-line), trong Web browser hay mét sè tiÖn Ých kh¸c. Fpt v« cïng h÷u Ých cho nh÷ng ng­êi dïng Internet, bëi v× khi sôc s¹o trªn Internet, b¹n sÏ t×m thÊy v« sè nh÷ng th­ viÖn phÇn mÒm cã Ých vÒ rÊt nhiÒu lÜnh vùc vµ b¹n cã thÓ chÐp chóng vÒ ®Ó sö dông. Telnet vµ rlogin Telnet lµ mét øng dông cho phÐp b¹n truy nhËp vµo mét m¸y tÝnh ë xa vµ ch¹y c¸c øng dông ë trªn m¸y tÝnh ®ã. Telnet lµ rÊt h÷u Ých khi b¹n muèn ch¹y mét øng dông kh«ng cã hoÆc kh«ng ch¹y ®­îc trªn m¸y tÝnh cña b¹n, vÝ dô nh­ b¹n muèn ch¹y mét øng dung Unix trong khi m¸y cña b¹n lµ PC. Hay b¹n m¸y tÝnh cña b¹n kh«ng ®ñ m¹nh ®Ó ch¹y mét øng dông nµo ®ã, hoÆc kh«ng cã c¸c file d÷ liÖu cÇn thiÕt. Telnet cho b¹n kh¶ n¨ng lµm viÖc trªn m¸y tÝnh ë xa b¹n hµng ngµn c©y sè mµ b¹n vÉn cã c¶m gi¸c nh­ ®ang ngåi tr­íc m¸y tÝnh ®ã. Chøc n¨ng cña rlogin(remote login - vµo m¹ng tõ xa) còng t­¬ng tù nh­ Telnet. Archie Archie lµ mét lo¹i th­ viÖn th­êng xuyªn tù ®éng t×m kiÕm c¸c m¸y tÝnh trªn Internet, t¹o ra mét kho d÷ liÖu vÒ danh s¸ch c¸c file cã thÓ n¹p xuèng (downloadable) tõ Internet. Do ®ã, d÷ liªu trong c¸c file nµy lu«n lu«n lµ míi nhÊt. Archie do ®ã rÊt tiÖn dông cho ng­êi dïng ®Ó t×m kiÕm vµ download c¸c file. Ng­êi dïng chØ cÇn göi tªn file, hoÆc c¸c tõ kho¸ tíi Archie; Archie sÏ cho l¹i ®Þa chØ cña c¸c file cã tªn ®ã hoÆc cã chøa nh÷ng tõ ®ã. Finger Finger lµ mét ch­¬ng tr×nh øng dông cho phÐp t×m ®Þa chØ cña c¸c user kh¸c trªn Internet. Tèi thiÓu, finger cã thÓ cho b¹n biÕt ai ®ang sö dông mét hÖ thèng m¸y tÝnh nµo ®ã, tªn login cña ng­êi ®ã lµ g×. Finger hay ®­îc sö dông ®Ó t×m ®Þa chØ email cña bÌ b¹n trªn Internet. Finger cßn cã thÓ cung cÊp cho b¹n nhiÒu th«ng tin kh¸c, nh­ lµ mét ng­êi nµo ®ã ®· login vµo m¹ng bao l©u. V× thÕ finger cã thÓ coi lµ mét ng­êi trî gióp ®¾c lùc nh­ng còng lµ mèi hiÓm ho¹ cho sù an toµn cña m¹ng. HÖ thèng Firewall x©y dùng bëi CSE Bé ch­¬ng tr×nh Firewall 1.0 cña CSE ®­îc ®­a ra vµo th¸ng 6/1998. Bé ch­¬ng tr×nh nµy gåm hai thµnh phÇn: Bé läc gãi tin – IP Filtering Bé ch­¬ng tr×nh cæng øng dông – proxy servers Hai thµnh phÇn nµy cã thÓ ho¹t ®éng mét c¸ch riªng rÏ. Chóng còng cã thÓ kÕt hîp l¹i víi nhau ®Ó trë thµnh mét hÖ thèng firewall hoµn chØnh. Trong tËp tµi liÖu nµy, chóng t«i chØ ®Ò cËp ®Õn bé ch­¬ng tr×nh cæng øng dông ®· ®­îc cµi ®Æt t¹i VPCP. Tæng quan Bé ch­¬ng tr×nh proxy cña CSE (phiªn b¶n 1.0) ®­îc ph¸t triÓn dùa trªn bé c«ng cô x©y dùng Internet Firewall TIS (Trusted Information System) phiªn b¶n 1.3. TIS bao gåm mét bé c¸c ch­¬ng tr×nh vµ sù ®Æt l¹i cÊu h×nh hÖ thèng ®Ó nh»m môc ®Ých x©y dùng mét Firewall. Bé ch­¬ng tr×nh ®­îc thiÕt kÕ ®Ó ch¹y trªn hÖ UNIX sö dông TCP/IP víi giao diÖn socket Berkeley. ViÖc cµi ®Æt bé ch­¬ng tr×nh proxy ®ßi hái kinh nghiÖm qu¶n lý hÖ thèng UNIX, vµ TCP/IP networking. Tèi thiÓu, ng­êi qu¶n trÞ m¹ng firewall ph¶i quen thuéc víi: viÖc qu¶n trÞ vµ duy tr× hÖ thèng UNIX ho¹t ®éng viÖc x©y dùng c¸c package cho hÖ thèng Sù kh¸c nhau khi ®Æt cÊu h×nh cho hÖ thèng quyÕt ®Þnh møc ®é an toµn m¹ng kh¸c nhau. Ng­êi cµi ®Æt firewall ph¶i hiÓu râ yªu cÇu vÒ ®é an toµn cña m¹ng cÇn b¶o vÖ, n¾m ch¾c nh÷ng rñi ro nµo lµ chÊp nhËn ®­îc vµ kh«ng chÊp nhËn ®­îc, thu l­îm vµ ph©n tÝch chóng tõ nh÷ng ®ßi hái cña ng­êi dïng. Bé ch­¬ng tr×nh proxy ®­îc thiÕt kÕ cho mét sè cÊu h×nh firewall, trong ®ã c¸c d¹ng c¬ b¶n nhÊt lµ dual-home gateway (h×nh 2.4), screened host gateway(h×nh 2.5), vµ screened subnet gateway(h×nh 2.6). Nh­ chóng ta ®· biÕt, trong nh÷ng cÊu tróc firewall nµy, yÕu tè c¨n b¶n nhÊt lµ bastion host, ®ãng vai trß nh­ mét ng­êi chuyÓn tiÕp th«ng tin (forwarder), ghi nhËt ký truyÒn th«ng, vµ cung cÊp c¸c dÞch vô. Duy tr× ®é an toµn trªn bastion host lµ cùc kú quan träng, bëi v× ®ã lµ n¬i tËp trung hÇu hÕt c¸c cè g¾ng cµi ®Æt mét hÖ thèng firewall. C¸c thµnh phÇn cña bé ch­¬ng tr×nh proxy: Bé ch­¬ng tr×nh proxy gåm nh÷ng ch­¬ng tr×nh bËc øng dông (application-level programs), hoÆc lµ ®Ó thay thÕ hoÆc lµ ®­îc céng thªm vµo phÇn mÒm hÖ thèng ®· cã. Bé ch­¬ng tr×nh proxy cã nh÷ng thµnh phÇn chÝnh bao gåm: Smap: dÞch vô SMTP(Simple Mail Tranfer Protocol) Netacl: dÞch vô Telnet, finger, vµ danh môc c¸c ®iªu khiÓn truy nhËp m¹ng Ftp-Gw: Proxy server cho Ftp Telnet-Gw: Proxy server cho Telnet Rlogin-Gw: Proxy server cho rlogin Plug-Gw: TCP Plug-Board Connection server (server kÕt nèi tøc thêi dïng thñ tôc TCP) Smap: DÞch vô SMTP SMTP ®­îc x©y dùng b»ng c¸ch sö dông cÆp c«ng cô phÇn mÒm smap vµ smapd. Cã thÓ nãi r»ng SMTP chèng l¹i sù ®e do¹ tíi hÖ thèng, bëi v× c¸c ch­¬ng tr×nh mail ch¹y ë møc ®é hÖ thèng ®Ó ph©n ph¸t mail tíi c¸c hép th­ cña user. Smap vµ smapd thùc hiÖn ®iÒu ®ã b»ng c¸ch c« lËp ch­¬ng tr×nh mail, b¾t nã ch¹y trªn mét th­ môc dµnh riªng (restricted directory) qua chroot (thay ®æi th­ môc gèc), nh­ mét user kh«ng cã quyÒn ­u tiªn. Môc ®Ých cña smap lµ c« lËp ch­¬ng tr×nh mail vèn ®· g©y ra rÊt nhiÒu lçi trªn hÖ thèng. PhÇn lín c¸c c«ng viÖc xö lý mail th­êng ®­îc thùc hiÖn bëi ch­¬ng tr×nh sendmail. Sendmail kh«ng yªu cÇu mét sù thay ®æi hay ®Æt l¹i cÊu h×nh g× c¶. Khi mét hÖ thèng ë xa nèi tíi mét cæng SMTP, hÖ ®iÒu hµnh khëi ®éng smap. Smap lËp tøc chroot tíi th­ môc dµnh riªng vµ ®Æt user-id ë møc b×nh th­êng (kh«ng cã quyÒn ­u tiªn). Bëi v× smap kh«ng yªu cÇu hç trî bëi mét file hÖ thèng nµo c¶, th­ môc dµnh riªng chØ chøa c¸c file do smap t¹o ra. Do vËy, b¹n kh«ng cÇn ph¶i lo sî lµ smap sÏ thay ®æi file hÖ thèng khi nã chroot. Môc ®Ých duy nhÊt cña smap lµ ®èi tho¹i SMTP víi c¸c hÖ thèng kh¸c, thu l­îm th«ng b¸o mail, ghi vµo ®Üa, ghi nhËt ký, vµ tho¸t. Smapd cã tr¸ch nhiÖm th­êng xuyªn quÐt th­ môc kho cña smap vµ ®­a ra c¸c th«ng b¸o ®· ®­îc xÕp theo thø tù (queued messages) tíi sendmail ®Ó cuèi cïng ph©n ph¸t. Chó ý r»ng nÕu sendmail ®­îc ®Æt cÊu h×nh ë møc b×nh th­êng, vµ smap ch¹y víi uucp user-id (?), mail cã thÓ ®­îc ph©n ph¸t b×nh th­êng mµ kh«ng cÇn smapd ch¹y víi møc ­u tiªn cao. Khi smapd ph©n ph¸t mét th«ng b¸o, nã xo¸ file chøa th«ng b¸o ®ã trong kho. Theo ý nghÜa nµy, sendmail bÞ c« lËp, vµ do ®ã mét user l¹ trªn m¹ng kh«ng thÓ kÕt nèi víi sendmail mµ kh«ng qua smap. Tuy nhiªn, smap vµ smapd kh«ng thÓ gi¶i quyÕt vÊn ®Ò gi¶ m¹o th­ hoÆc c¸c lo¹i tÊn c«ng kh¸c qua mail. Smap cã kÝch th­íc rÊt nhá so víi sendmail (700 dßng so víi 20,000 dßng) nªn viÖc ph©n tÝch file nguån ®Ó t×m ra lçi ®¬n gi¶n h¬n nhiÒu. Netacl: c«ng cô ®iÒu khiÓn truy nhËp m¹ng Chóng ta ®· biÕt r»ng inetd kh«ng cung cÊp mét sù ®iÒu khiÓn truy nhËp m¹ng nµo c¶: nã cho phÐp bÊt kú mét hÖ thèng nµo trªn m¹ng còng cã thÓ nèi tíi c¸c dÞch vô liÖt kª trong file inetd.conf. Netacl lµ mét c«ng cô ®Ó ®iÒu khiÓn truy nhËp m¹ng, dùa trªn ®Þa chØ network cña m¸y client, vµ dÞch vô ®­îc yªu cÇu. V× vËy mét client (x¸c ®Þnh bëi ®Þa chØ IP hoÆc hostname) cã thÓ khëi ®éng telnetd (mét version kh¸c cña telnet) khi nã nèi víi cæng dÞch vô telnet trªn firewall. Th­êng th­êng trong c¸c cÊu h×nh firewall, netacl ®­îc sö dông ®Ó cÊm tÊt c¶ c¸c m¸y trõ mét vµi host ®­îc quyÒn login tíi firewall qua hoÆc lµ telnet hoÆc lµ rlogin, vµ ®Ó kho¸ c¸c truy nhËp tõ nh÷ng kÎ tÊn c«ng. §é an toµn cña netacl dùa trªn ®Þa chØ IP vµ/hoÆc hostname. Víi c¸c hÖ thèng cÇn ®é an toµn cao, nªn dông ®Þa chØ IP ®Ó tr¸nh sù gi¶ m¹o DNS. Netacl kh«ng chèng l¹i ®­îc sù gi¶ ®Þa chØ IP qua chuyÓn nguån (source routing) hoÆc nh÷ng ph­¬ng tiÖn kh¸c. NÕu cã c¸c lo¹i tÊn c«ng nh­ vËy, cÇn ph¶i sö dông mét router cã kh¶ n¨ng soi nh÷ng packet ®· ®­îc chuyÓn nguån (screening source routed packages). Chó ý lµ netacl kh«ng cung cÊp ®iÒu khiÓn truy nhËp UDP, bëi v× c«ng nghÖ hiÖn nay kh«ng ®¶m b¶o sù x¸c thùc cña UDP. An toµn cho c¸c dÞch vô UDP ë ®©y ®ång nghÜa víi sù kh«ng cho phÐp tÊt c¶ c¸c dÞch vô UDP. Netacl chØ bao gåm 240 dßng m· C (c¶ gi¶i thÝch) cho nªn rÊt dÔ dµng kiÓm tra vµ hiÖu chØnh. Tuy nhiªn vÉn cÇn ph¶i cÈn thËn khi cÊu h×nh nã. Ftp-Gw: Proxy server cho Ftp Ftp-Gw lµ mét proxy server cung cÊp ®iÒu khiÓn truy nhËp m¹ng dùa trªn ®Þa chØ IP vµ/hoÆc hostname, vµ cung cÊp ®iÒu khiÓn truy nhËp thø cÊp cho phÐp tuú chän kho¸ hoÆc ghi nhËt ký bÊt kú lÖnh ftp nµo. §Ých cho dÞch vô nµy còng cã thÓ tuú chän ®­îc phÐp hay kho¸. TÊt c¶ c¸c sù kÕt nèi vµ byte d÷ liÖu chuyÓn qua ®Òu bÞ ghi nhËt kÝ l¹i. Ftp-Gw tù b¶n th©n nã kh«ng ®e do¹ an toµn cña hÖ thèng firewall, bëi v× nã ch¹y chroot tíi mét th­ môc rçng, kh«ng thùc hiÖn mét thñ tôc vµo ra file nµo c¶ ngoµi viÖc ®äc file cÊu h×nh cña nã. KÝch th­íc cña Ftp-gw lµ kho¶ng 1,300 dßng. Ftp gateway chØ cung cÊp dÞch vô ftp, mµ kh«ng quan t©m ®Õn ai cã quyÒn hay kh«ng cã quyÒn kÕt xuÊt (export) file. Do vËy, viÖc x¸c ®Þnh quyÒn ph¶i ®­îc thiÕt lËp trªn gateway vµ ph¶i thùc hiÖn trø¬c khi thùc hiÖn kÕt xuÊt (export) hay nhËp (import) file. Ftp gateway nªn ®­îc cµi ®Æt dùa theo chÝnh s¸ch an toµn cña m¹ng. Bé ch­¬ng tr×nh nguån cho phÐp ng­êi qu¶n trÞ m¹ng cung cÊp c¶ dÞch vô ftp vµ ftp proxy trªn cïng mét hÖ thèng. Telnet-Gw: Proxy server cho Telnet Telnet-Gw lµ mét proxy server cung cÊp ®iÒu khiÓn truy nhËp m¹ng dùa trªn ®Þa chØ IP vµ/hoÆc hostname, vµ cung cÊp sù ®iÒu khiÓn truy nhËp thø cÊp cho phÐp tuú chän kho¸ bÊt kú ®Ých nµo. TÊt c¶ c¸c sù kÕt nèi vµ byte d÷ liÖu chuyÓn qua ®Òu bÞ ghi nhËt ký l¹i. Mçi mét lÇn user nèi tíi telnet-gw, sÏ cã mét menu ®¬n gi¶n cña c¸c chän lùa ®Ó nèi tíi mét host ë xa. Telnet-gw kh«ng ph­¬ng h¹i tíi an toµn hÖ thèng, v× nã ch¹y chroot ®Õn m«t th­ môc dµnh riªng (restricted directory). File nguån bao gåm chØ 1,000 dßng lÖnh. ViÖc xö lý menu lµ hoµn toµn diÔn ra ë trong bé nhí, vµ kh«ng cã m«t subsell hay ch­¬ng tr×nh nµo tham dù. Còng kh«ng cã viÖc vµo ra file ngoµi viÖc ®äc cÊu h×nh file. V× vËy, telnet-gw kh«ng thÓ cung cÊp truy nhËp tíi b¶n th©n hÖ thèng firewall. Rlogin-Gw: Proxy server cho rlogin C¸c terminal truy nhËp qua thñ tôc BSD rlogin cã thÓ ®­îc cung cÊp qua rlogin proxy. rlogin cho phÐp kiÓm tra vµ ®iªu khiÓn truy nhËp m¹ng t­¬ng tù nh­ telnet gateway. Rlogin client cã thÓ chØ ra mét hÖ thèng ë xa ngay khi b¾t ®Çu nèi vµo proxy, cho phÐp h¹n chÕ yªu cÇu t­¬ng t¸c cña user víi m¸y (trong tr­êng hîp kh«ng yªu cÇu x¸c thùc). Sql-Gw: Proxy Server cho Oracle Sql-net Th«ng th­êng, viÖc khai th¸c th«ng tin tõ CSDL Oracle ®­îc tiÕn hµnh th«ng qua dÞch vô WWW. Tuy nhiªn ®Ó hç trî ng­êi sö dông dïng ch­¬ng tr×nh plus33 nèi vµo m¸y chñ Oracle, bé firewall cña CSE ®­îc ®­a kÌm vµo ch­¬ng tr×nh Sql-net proxy. ViÖc kiÓm so¸t truy nhËp ®­îc thùc hiÖu qua tªn m¸y hay ®Þa chØ IP cña m¸y nguån vµ m¸y ®Ých. Plug-Gw: TCP Plug-Board Connection server Firewall cung cÊp c¸c dÞch vô th«ng th­êng nh­ Usernet news. Ng­êi qu¶n trÞ m¹ng cã thÓ chän hoÆc lµ ch¹y dÞch vô nµy trªn b¶n th©n firewall, hoÆc lµ cµi ®Æt mét proxy server. Do ch¹y news trùc tiÕp trªn firewall dÔ g©y lçi hÖ thèng trªn phÇn mÒm nµy, c¸ch an toµn h¬n lµ sö dông proxy. Plug-gw ®­îc thiÕt kÕ cho Usernet News. Plug-gw cã thÓ ®­îc ®Æt cÊu h×nh ®Ó cho phÐp hay tõ chèi mét sù kÕt nèi dùa trªn ®Þa chØ IP hoÆc lµ hostname. TÊt c¶ sù kÕt nèi vµ c¸c byte d÷ liÖu chuyÓn qua ®Òu ®­îc ghi nhËt ký l¹i. Cµi ®Æt Bé cµi ®Æt gåm 2 ®Üa mÒm 1.44 Mb, R1 vµ R2. Mçi bé cµi ®Æt ®Òu cã mét sè Serial number kh¸c nhau vµ chØ ho¹t ®éng ®­îc trªn m¸y cã hostname ®· x¸c ®Þnh tr­íc. ViÖc cµi ®Æt ®­îc tiÕn hµnh b×nh th­êng b»ng c¸ch dïng lÖnh custom. Khi cµi ®Æt, mét ng­êi sö dông cã tªn lµ proxy ®­îc ®¨ng ký víi hÖ thèng ®Ó thùc hiÖn c¸c chøc n¨ng qu¶n lý proxy. Ng­êi cµi ®Æt ph¶i ®Æt mËt khÈu cho user nµy. Mét th­ môc /usr/proxy ®­îc tù ®éng thiÕt lËp, trong ®ã cã c¸c th­ môc con: bin ®Ó chøa c¸c ch­¬ng tr×nh thùc hiÖn etc ®Ó chøa c¸c tÖp cÊu h×nh Firewall vµ mét sè vÝ dô c¸c file cÊu h×nh cña hÖ thèng khi ch¹y víi Firewall nh­ inetd.conf, services, syslog.conf log ®Ó chøa c¸c tÖp nhËt ký report ®Ó chøa c¸c tÖp b¸o c¸o sau nµy. ViÖc ®Æt cÊu h×nh vµ qu¶n trÞ CSE Firewall ®Òu th«ng qua c¸c chøc n¨ng trªn menu khi login vµo m¸y Firewall b»ng tªn ng­êi sö dông lµ proxy. Sau khi cµi ®Æt nªn ®æi tªn nh÷ng tÖp hÖ thèng vµ l­u l¹i tr­íc khi ®Æt cÊu h×nh: /etc/inetd.conf /etc/services /etc/syslog.conf. ThiÕt lËp cÊu h×nh: CÊu h×nh m¹ng ban ®Çu Víi Firewall host-base Chóng ta cã thÓ ch¾c ch¾n vµo viÖc m¹ng ®­îc cµi ®Æt theo mét chÝnh s¸ch an toµn ®­îc lùa chän nh»m ng¨n c¶n mäi luång th«ng tin kh«ng mong muèn gi÷a m¹ng ®­îc b¶o vÖ vµ m¹ng bªn ngoµi. §iÒu nµy cã thÓ ®­îc thùc hiÖn bëi screening router hay dual-home gateway. Th«ng th­êng, c¸c thiÕt bÞ m¹ng ®Òu sö dông c¬ chÕ an toµn cµi ®Æt trªn router n¬i mµ mäi liªn kÕt ®Òu ph¶i ®i qua. Mét ®iÒu cÇn quan t©m lµ trong khi ®ang cµi ®Æt, nh÷ng m¸y chñ c«ng khai (Firewall bastion host) cã thÓ bÞ tÊn c«ng tr­íc khi c¬ chÕ an toµn cña nã ®­îc cÊu h×nh hoµn chØnh ®Ó cã thÓ ch¹y ®­îc. Do ®ã, nªn cÊu h×nh tÖp inetd.conf ®Ó cÊm tÊt c¶ c¸c dÞch vô m¹ng tõ ngoµi vµo vµ sö dông thiÕt bÞ ®Çu cuèi ®Ó cµi ®Æt. T¹i thêi ®iÓm ®ã, chóng ta cã thÓ quy ®Þnh nh÷ng truy nhËp gi÷a m¹ng ®­îc b¶o vÖ vµ m¹ng bªn ngoµi nµo sÏ bÞ kho¸. Tuú theo môc ®Ých, chóng ta cã thÓ ng¨n c¸c truy nhËp tuú theo h­íng cña chóng. Ch­¬ng tr×nh còng cÇn ®­îc thö nghiÖm kü cµng tr­íc khi sö dông. NÕu cÇn thiÕt cã thÓ dïng ch­¬ng tr×nh /usr/proxy/bin/netscan ®Ó thö kÕt nèi tíi tÊt c¶ m¸y tÝnh trong m¹ng con ®Ó kiÓm tra. Nã sÏ cè g¾ng thö lät qua Firewall theo mäi h­íng ®Ó ch¾c ch¾n r»ng c¸c truy nhËp bÊt hîp ph¸p lµ kh«ng thÓ x¶y ra. Ng¨n cÊm truy nhËp vµo ra lµ c¸i chèt trong c¬ chÕ an toµn cña Firewall kh«ng nªn sö dông nÕu nã ch­a ®­îc cµi ®Æt vµ thö nghiÖm kü l­ìng. CÊu h×nh cho Bastion Host Mét nguyªn nh©n c¬ b¶n cña viÖc x©y dùng Firewall lµ ®Ó ng¨n chÆn c¸c dÞch vô kh«ng cÇn thiÕt vµ c¸c dÞch vô kh«ng n¾m râ. Ng¨n chÆn c¸c dÞch vô kh«ng cÇn thiÕt ®ßi hái ng­êi cµi ®Æt ph¶i cã hiÓu biÕt vÒ cÊu h×nh hÖ thèng. C¸c b­íc thùc hiÖn nh­ sau: Söa ®æi tÖp /etc/inetd.conf, /etc/services, /etc/syslog.conf, /etc/sockd.conf. Söa ®æi cÊu h×nh hÖ diÒu hµnh, lo¹i bá nh÷ng dÞch vô cã thÓ g©y lçi nh­ NFS, sau ®ã rebuild kernel. ViÖc nµy ®­îc thùc hiÖn cho tíi khi hÖ thèng cung cÊp dÞch vô tèi thiÓu mµ ng­êi qu¶n trÞ tin t­ëng. ViÖc cÊu h×nh nµy cã thÓ lµm ®ång thêi víi viÖc kiÓm tra dÞch vô nµo ch¹y chÝnh x¸c b»ng c¸ch dïng c¸c lÖnh ps vµ netstat. PhÇn lín c¸c server ®­îc cÊu h×nh cïng víi mét sè d¹ng b¶o mËt kh¸c, c¸c cÊu h×nh nµy sÏ m« t¶ ë phÇn sau. Mét c«ng cô chung ®Ó th¨m dß c¸c dÞch vô TCP/IP lµ /usr/proxy/bin/portscan cã thÓ dïng ®Ó xem dÞch vô nµo ®ang ®­îc cung cÊp. NÕu kh«ng cã yªu cÇu ®Æc biÖt cã thÓ dïng c¸c file cÊu h×nh nãi trªn ®· ®­îc t¹o s½n vµ ®Æt t¹i /usr/proxy/etc khi cµi ®Æt, ng­îc l¹i cã thÓ tham kh¶o ®Ó söa ®æi theo yªu cÇu. Toµn bé c¸c thµnh phÇn cña bé Firewall ®ßi hái ®­îc cÊu h×nh chung (mÆc ®Þnh lµ /usr/proxy/etc/netperms). PhÇn lín c¸c thµnh phÇn cña bé Firewall ®­îc gäi bëi dÞch vô cña hÖ thèng lµ inetd, khai b¸o trong /etc/inetd.conf t­¬ng tù nh­ sau: ftp stream tcp nowait root /usr/proxy/bin/netacl ftpd ftp-gw stream tcp nowait root /usr/proxy/bin/ftp-gw ftp-gw telnet-a stream tcp nowait root /usr/proxy/bin/netacl telnetd telnet stream tcp nowait root /usr/proxy/bin/tn-gw tn-gw login stream tcp nowait root /usr/proxy/bin/rlogin-gw rlogin-gw finger stream tcp nowait nobody /usr/proxy/bin/netacl fingerd http stream tcp nowait root /usr/proxy/bin/netacl httpd smtp stream tcp nowait root /usr/proxy/bin/smap smap Ch­¬ng tr×nh netacl lµ mét vá bäc TCP (TCP Wrapper) cung cÊp kh¶ n¨ng ®iÒu khiÓn truy cËp cho nh÷ng dÞch vô TCP vµ còng sö dông mét tÖp cÊu h×nh víi Firewall. B­íc ®Çu tiªn ®Ó cÊu h×nh netacl lµ cho phÐp m¹ng néi bé truy nhËp cã giíi h¹n vµo Firewall, nÕu nh­ nã cÇn thiÕt cho nhu cÇu qu¶n trÞ. Tuú thuéc vµo TELNET gateway tn-gw cã ®­îc cµi ®Æt hay kh«ng, qu¶n trÞ cã thÓ truy cËp vµo Firewall qua cæng kh¸c víi cæng chuÈn cña telnet (23). Bëi v× telnet th­êng kh«ng cho phÐp ch­¬ng tr×nh truy cËp tíi mét cæng kh«ng ph¶i lµ cæng chuÈn cña nã. DÞch vô proxy sÏ ch¹y trªn cæng 23 vµ telnet thùc sù sÏ ch¹y trªn cæng kh¸c vÝ dô dÞch vô cã tªn lµ telnet-a ë trªn (Xem file inetd.conf ë trªn). Cã thÓ kiÓm tra tÝnh ®óng ®¾n cña netacl b»ng c¸ch cÊu h×nh cho phÐp hoÆc cÊm mét sè host råi thö truy cËp c¸c dÞch vô tõ chóng. Mçi khi netacl ®­îc cÊu h×nh, TELNET vµ FTP gateway cÇn ph¶i ®­îc cÊu h×nh theo. CÊu h×nh TELNET gateway chØ ®¬n gi¶n lµ coi nã nh­ mét dÞch vô vµ trong netacl.conf viÕt mét sè miªu t¶ hÖ thèng nµo cã thÓ sö dông nã. Trî gióp cã thÓ ®­îc cung cÊp cho ng­êi sö dông khi cÇn thiÕt. ViÖc cÊu h×nh FTP proxy còng nh­ vËy. Tuy nhiªn, FTP cã thÓ sö dông cæng kh¸c kh«ng gièng TELNET. RÊt nhiÒu c¸c FTP client hç trî cho viÖc sö dông cæng kh«ng chuÈn. DÞch vô rlogin lµ mét tuú chän cã thÓ dïng vµ ph¶i ®­îc cµi ®Æt trªn cæng øng dông cña bastion host (cæng 512) giao thøc rlogin ®ßi hái mét cæng ®Æc biÖt, mét qu¸ tr×nh ®ßi hái sù cho phÐp cña hÖ thèng UNIX. Ng­êi qu¶n trÞ muèn sö dông c¬ chÕ an toµn ph¶i cµi ®Æt th­ môc cho proxy ®Ó nã giíi h¹n nã trong th­ môc ®ã. Smap vµ smapd lµ c¸c tiÕn tr×nh läc th­ cã thÓ ®­îc cµi ®Æt sö dông th­ môc riªng cña proxy ®Ó xö lý hoÆc sö dông mét th­ môc nµo ®ã trong hÖ thèng. Smap vµ smapd kh«ng thay thÕ sendmail do ®ã vÉn cÇn cÊu h×nh sendmail cho Firewall. ViÖc nµy kh«ng m« t¶ trong tµi liÖu nµy. ThiÕt lËp tËp hîp quy t¾c Khi cÊu h×nh cho proxy server vµ ch­¬ng tr×nh ®iÒu khiÓn truy cËp m¹ng ®iÒu cÇn thiÕt lµ thiÕt lËp chÝnh x¸c tËp quy t¾c ®Ó thÓ hiÖn ®óng víi m« h×nh an toµn mong muèn. Mét c¸ch tèt ®Ó b¾t ®Çu cÊu h×nh Firewall lµ ®Ó mäi ng­êi trong m¹ng sö dông tù do c¸c dÞch vô ®ång thêi cÊm tÊt c¶ mäi ng­êi bªn ngoµi. ViÖc ®Æt cÊu h×nh cho firewall kh«ng qu¸ r¾c rèi, v× nã ®­îc thiÕt kÕ ®Ó hç trî cho mäi hoµn c¶nh. TÖp tin /usr/proxy/etc/netperms lµ CSDL cÊu h×nh vµ quyÒn truy nhËp (configuration/permissions) cho c¸c thµnh phÇn cña Firewall: netacl, smap, smapd, ftp-gw, tn-gw, http-gw, vµ plug-gw. Khi mét trong c¸c øng dông nµy khëi ®éng, nã ®äc cÊu h×nh vµ quyÒn truy nhËp cña nã tõ netperms vµ l­u tr÷ vµo mét CSDL trong bé nhí. File configuration/permissions ®­îc thiÕt lËp thµnh nh÷ng quy t¾c, mçi quy t¾c chøa trªn mét dßng. PhÇn ®Çu tiªn cña mçi quy t¾c lµ tªn cña øng dông, tiÕp theo lµ dÊu hai chÊm (“:”). NhiÒu øng dông cã thÓ dïng chung mét quy t¾c víi tªn ng¨n c¸ch bëi dÊu ph¶y. Dßng chó thÝch cã thÓ chÌn vµo file cÊu h×nh b»ng c¸ch thªm vµo ®Çu dßng ký tù ‘#’. ThiÕt lËp tËp hîp c¸c quy t¾c cho dÞch vô HTTP, FTP ViÖc thiÕt lËp cÊu h×nh cho c¸c dÞch vô HTTP, FTP lµ t­¬ng tù nh­ nhau. Chóng t«i chØ ®­a ra chi tiÕt vÒ thiÕt lËp cÊu h×nh vµ quy t¾c cho dÞch vô FTP. #Example ftp gateway rules: #--------------------------------- ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt ftp—gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt ftp-gw: permit-hosts 10.10.170.* -log {retr stor} ftp-gw: timeout 3600 Trong vÝ dô trªn, m¹ng 10.10.170 ®­îc cho phÐp dïng proxy trong khi mäi host kh¸c kh«ng cã trong danh s¸ch, mäi truy cËp kh¸c ®Òu bÞ cÊm. NÕu mét m¹ng kh¸c muèn truy cËp proxy, nã nhËn ®­îc mét th«ng b¸o tõ chèi trong /usr/proxy/etc/ftp-deny.txt vµ sau ®ã liªn kÕt bÞ ng¾t. NÕu m¹ng ®­îc b¶o vÖ ph¸t triÓn thªm chØ cÇn thªm vµo c¸c dßng cho phÐp. ftp-gw: permit-hosts 16.67.32.* -log {retr stor} or ftp-gw: permit-hosts 16.67.32.* -log {retr stor} ftp-gw: permit-hosts 10.10.170.* -log {retr stor} Mçi bé phËn cña Firewall cã mét tËp c¸c tuú chän vµ cê ®­îc m« t¶ trong manual page riªng cña phÇn ®ã. Trong vÝ dô trªn, Tuú chän -log {retr stor} cho phÐp FTP proxy ghi l¹i nhËt ký víi tuú chän retr vµ stor. Anonymous FTP Anonymous FTP server ®· ®­îc sö dông trong hÖ ®iÒu hµnh UNIX tõ l©u. C¸c lç hæng trong viÖc b¶o ®¶m an toµn (Security hole) th­êng xuyªn sinh ra do c¸c chøc n¨ng míi ®­îc thªm vµo, sù xuÊt hiÖn cña bug vµ do cÊu h×nh sai. Mét c¸ch tiÕp cËn víi viÖc ®¶m b¶o an toµn cho anonymous FTP lµ sö dông netacl ®Ó ch¾c ch¾n FTP server bÞ h¹n chÕ trong th­ môc cña nã tr­íc khi ®­îc gäi. Víi cÊu hinh nh­ vËy, khã kh¨n cho anonymous FTP lµm tæn h¹i ®Õn hÖ thèng bªn ngoµi khu vùc cña FTP. D­íi ®©y lµ mét vÝ dô sö dông netacl ®Ó quyÕt ®Þnh giíi h¹n hay kh«ng giíi h¹n vïng sö dông cña FTP ®èi víi mçi liªn kÕt. Gi¶ sö lµ m¹ng ®­îc b¶o vÖ lµ 192.5.12 netacl-ftpd: hosts 192.5.12.* -exec /etc/ftpd netacl-ftpd: hosts unknown -exec /bin/cat /usr/proxy/etc/noftp.txt netacl-ftpd: hosts * -chroot /ftpdir -exec /etc/ftpd Trong vÝ dô nµy, ng­êi dïng nèi víi dÞch vô FTP tõ m¹ng ®­îc b¶o vÖ cã kh¶ n¨ng FTP b×nh th­êng. Ng­êi dïng kÕt nèi tõ hÖ thèng kh¸c domain nhËn ®­îc mét th«ng b¸o r»ng hä kh«ng cã quyÒn sö dông FTP. Mäi hÖ thèng kh¸c kÕt nèi vµo FTP ®Òu sö dông víi vïng file FTP. §iÒu nµy cã mét sè thuËn lîi cho viÖc b¶o ®¶m an toµn. Thø nhÊt, khi kiÓm tra x¸c thùc, ftpd kiÓm tra mËt khÈu cña ng­êi sö dông trong vïng FTP, cho phÐp ng­êi qu¶n trÞ ®­a ra “account” cho FTP. §iÒu nµy cÇn thiÕt cho nh÷ng ng­êi kh«ng cã account trong bastion host cung cÊp sù kiÓm tra vµ x¸c thùc nã cßn cho phÐp qu¶n trÞ sö dông nh÷ng ®iÓm m¹nh cña ftpd cho dï nã chøa mét sè lç hæng vÒ an toµn. Telnet vµ rlogin Nãi chung truy cËp tíi bastion host nªn bÞ cÊm, chØ ng­êi qu¶n trÞ cã quyÒn login. Th«ng th­êng ®Ó khi ch¹y proxy, ch­¬ng tr×nh telnet vµ rlogin kh«ng thÓ ch¹y trªn c¸c cæng chuÈn cña chóng. Cã 3 c¸ch gi¶i quyÕt vÊn ®Ò nµy: Ch¹y telnet vµ rloggin proxy trªn cæng chuÈn víi telnet vµ rlogin trªn cæng kh¸c vµ b¶o vÖ truy cËp tíi chóng b»ng netacl Cho phÐp login chØ víi thiÕt bÞ ®Çu cuèi. Dïng netacl ®Ó chuyÓn ®æi tuú thuéc vµo ®iÓm xuÊt ph¸t cña kÕt nèi, dùa trªn proxy ®Ó thùc hiÖn kÕt nèi thùc sù. C¸ch gi¶i quyÕt cuèi cïng rÊt tiÖn lîi nh­ng cho phÐp mäi ng­êi cã quyÒn dïng proxy ®Ó login vµo bastion host. NÕu bastion host sö dông x¸c thùc møc cao ®Ó qu¶n lý truy cËp cña ng­êi dïng, sù rñi ro do viÖc tÊn c«ng vµo hÖ bastion host sÏ ®­îc gi¶m thiÓu. ®Ó cÊu h×nh hÖ thèng tr­íc hÕt, tÊt c¶ c¸c thiÕt bÞ ®­îc nèi vµo hÖ thèng qua netacl vµ dïng nã gäi c¸c ch­¬ng tr×nh server hay proxy server tuú thuéc vµo n¬i xuÊt ph¸t cña kÕt nèi. Ng­êi qu¶n trÞ muèn vµo bastion host tr­íc hÕt ph¶i kÕt nèi vµo netacl sau ®ã ra lÖnh kÕt nèi vµo bastion host. ViÖc nµy ®¬n gi¶n v× mét sè b¶n telnet vµ rlogin kh«ng lµm viÖc nÕu kh«ng ®­îc kÕt nèi vµo ®óng cæng. netacl-telnetd: permit-hosts 127.0.0.1 -exec /etc/telnetd netacl-telnetd: permit-hosts myaddress -exec /etc/telnetd netacl-telnetd: permit-hosts * -exec /usr/proxy/bin/tn-gw netacl-rlogin: permit-hosts 127.0.0.1 -exec /etc/rlogin netacl-rlogin: permit-hosts myaddress -exec /etc/rlogin netacl-rlogin: permit-hosts * -exec /usr/proxy/bin/rlogin-gw Sql-net proxy Gi¶ thiÕt lµ cã hai CSDL STU n»m trªn m¸y 190.2.2.3 vµ VPCP n»m trªn m¸y 190.2.0.4. §Ó cÊu h×nh cho sql-net proxy, ph¶i tiÕn hµnh c¸c b­íc nh­ sau: CÊu h×nh trªn firewall §Æt cÊu h×nh cho tÖp netperms nh­ sau: #Oracle proxy for STU Database ora_stu1: timeout 3600 ora_stu1: port 1521 * -plug-to 190.2.2.3 -port 1521 ora_stu2: timeout 3600 ora_stu2: port 1526 * -plug-to 190.2.2.3 -port 1526 #Oracle proxy for VBPQ Database ora_vpcp1: timeout 3600 ora_vpcp1: port 1421 * -plug-to 190.2.0.4 -port 1521 ora_vpcp2: timeout 3600 ora_vpcp2: port 1426 * -plug-to 190.2.0.4 -port 1526 §Æt l¹i tÖp /etc/services nh­ sau: #Oracle Proxy for STU Database ora_stu1 1521/tcp oracle proxy ora_stu2 1526/tcp oracle proxy #Oracle Proxy for VBPQ Database ora_vpcp1 1421/tcp oracle proxy ora_vpcp2 1426/tcp oracle proxy §Æt l¹i tÖp /etc/inetd.conf nh­ sau: #Oracle Proxy for VBPQ Database ora_stu1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu1 ora_stu2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu2 #Oracle Proxy for VBPQ Database ora_vpcp1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp1 ora_vpcp2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp2 §Æt l¹i tÖp /etc/syslog.conf nh­ sau: #Logfile for Sql-gw “sql-gw” /usr/proxy/log/plug-gw CÊu h×nh trªn m¸y tr¹m §Æt l¹i tÖp oracle_home\network\admin\tnsnames.ora nh­ sau: #Logfile for Sql-gw stu.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1521) ) (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1526) ) ) (CONNECT_DATA = (SID = STU) ) ) vpcp.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1421) ) (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1426) ) ) (CONNECT_DATA = (SID = ORA1) ) ) B¹n cã thÓ dÔ dµng më réng cho nhiÒu CSDL kh¸c n»m trªn nhiÒu m¸y kh¸c nhau. C¸c dÞch vô kh¸c T­¬ng tù nh­ trªn lµ c¸c vÝ dô cÊu h×nh cho c¸c dÞch vô kh¸c khai b¸o trong file netperms: # finger gateway rules: # --------------------- netacl-fingerd: permit-hosts 190.2.* ws1 -exec /etc/fingerd netacl-fingerd: deny-hosts * -exec /bin/cat /usr/proxy/etc/finger.txt # http gateway rules: # --------------------- netacl-httpd: permit-hosts * -exec /usr/proxy/bin/http-gw http-gw: timeout 3600 #http-gw: denial-msg /usr/proxy/etc/http-deny.txt #http-gw: welcome-msg /usr/proxy/etc/http-welcome.txt #http-gw: help-msg /usr/proxy/etc/http-help.txt http-gw: permit-hosts 190.2.* 10.* 192.2.0.* -log { all } http-gw: deny-hosts 220.10.170.32 ws1 http-gw: default-httpd hpnt # # smap (E-mail) rules: # ---------------------- smap, smapd: userid root smap, smapd: directory /usr/spool/mail smapd: executable /usr/proxy/bin/smapd smapd: sendmail /usr/lib/sendmail smap: timeout 3600 # Ngoµi ra, trong CSE Firewall cßn cã dÞch vô socks ®Ó kiÓm so¸t c¸c phÇn mÒm øng dông ®Æc biÖt nh­ Lotus Notes. CÇn ph¶i thªm vµo c¸c file cÊu h×nh hÖ thèng nh­ sau: File /etc/services: socks 1080/tcp File /etc/inetd.conf: socks stream tcp nowait root /etc/sockd sockd CÊu h×nh vµ quy t¾c cho dÞch vô nµy n»m ë file /etc/sockd.conf, chØ cã hai tõ kho¸ cÇn ph¶i quan t©m lµ permit vµ deny ®Ó cho phÐp hay kh«ng c¸c host ®i qua, dÞch vô nµy kh«ng kÕt hîp víi dÞch vô x¸c thùc. §Þa chØ IP vµ Netmask ®Æt trong file nµy gièng nh­ víi lÖnh dÉn ®­êng route cña UNIX. permit 190.2.0.0 255.255.0.0 permit 10.10.170.50 255.255.255.255 permit 10.10.170.40 255.255.255.255 permit 10.10.170.31 255.255.255.255 deny 0.0.0.0 0.0.0.0 : mail -s 'SOCKD: rejected -- from %u@%A to host %Z (service %S)' root X¸c thùc vµ dÞch vô x¸c thùc Bé Firewall chøa ch­¬ng tr×nh server x¸c thùc ®­îc thiÕt kÕ ®Ó hç trî c¬ chÕ ph©n quyÒn. Authsrv chøa mét c¬ së d÷ liÖu vÒ ng­êi dïng trong m¹ng, mçi b¶n ghi t­¬ng øng víi mét ng­êi dïng, chøa c¬ chÕ x¸c thùc cho mçi anh ta, trong ®ã bao gåm tªn nhãm, tªn ®Çy ®ñ cña ng­êi dïng, lÇn truy cËp míi nhÊt. MËt khÈu kh«ng m· ho¸ (Plain text password) ®­îc sö dông cho ng­êi dïng trong m¹ng ®Ó viÖc qu¶n trÞ ®­îc ®¬n gi¶n. MËt khÈu kh«ng m· ho¸ kh«ng nªn dïng víi nh÷ng ng­ßi sö dông tõ m¹ng bªn ngoµi. Authsrv ®­îc ch¹y trªn mét host an toµn th«ng th­êng lµ bastion host. §Ó ®¬n gi¶n cho viÖc qu¶n trÞ authsrv ng­êi qu¶n trÞ cã thÓ sö dông mét shell authmsg ®Ó qu¶n trÞ c¬ së d÷ liÖu cã cung cÊp c¬ chÕ m· ho¸ d÷ liÖu. Ng­êi dïng trong 1 c¬ së d÷ liÖu cña authsrv cã thÓ ®­îc chia thµnh c¸c nhãm kh¸c nhau ®­îc qu¶n trÞ bëi qu¶n trÞ nhãm lµ ng­êi cã toµn quyÒn trong nhãm c¶ viÖc thªm, bít ng­êi dïng. §iÒu nµy thuËn lîi khi nhiÒu tæ chøc cïng dïng chung mét Firewall. §Ó cÊu h×nh authsrv, ®Çu tiªn cÇn x¸c ®Þnh 1 cæng TCP trèng vµ thªm vµo mét dßng vµo trong inetd.conf ®Ó gäi authsrv mçi khi cã yªu cÇu kÕt nèi. Authsrv kh«ng ph¶i mét tiÕn tr×nh deamon ch¹y liªn tôc, nã lµ ch­¬ng tr×nh ®­îc gäi mçi khi cã yªu cÇu vµ chøa mét b¶n sao CSDL ®Ó tr¸nh rñi ro. Thªm authsrv vµo inet.conf ®ßi hái t¹o thªm ®iÓm vµo trong /etc/services. V× authsrv kh«ng chÊp nhËn tham sè, mµ ph¶i thªm vµo inetd.conf vµ services c¸c dßng nh­ sau: Trong /etc/services: authsrv 7777/tcp Trong /etc/inetd.conf: authsrv stream tcp nowait root /usr/proxy/bin/authsrv authsrv Cæng dÞch vô dïng cho authsvr sÏ ®­îc dïng ®Ó ®Æt cÊu h×nh cho c¸c øng dông client cã sö dông dÞch vô x¸c thùc. DÞch vô x¸c thùc kh«ng cÇn ¸p dông cho tÊt c¶ c¸c dÞch vô hay tÊt c¶ c¸c client. #Example ftp gateway rules: ftp-gw: authserver local host 7777 ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt ftp-gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt ftp-gw: permit-host 192.33.112.100 ftp-gw: permit-host 192.33.112.* -log {retr stor} -auth {stor} ftp-gw: permist-host * -authall ftp-gw: timeout 36000 Trong vÝ dô trªn, x¸c thùc dïng víi FTP proxy. Dßng ®Çu tiªn ®Þnh nghÜa ®Þa chØ m¹ng cæng dÞch vô cña ch­¬ng tr×nh x¸c thùc. Dßng permist-host cho thÊy mét trong sè sù mÒm dÎo cña hÖ thèng x¸c thùc, mét host ®­îc lùa chän ®Ó kh«ng ph¶i chÞu c¬ chÕ x¸c thùc, ng­êi dïng tõ host nµy cã thÓ truy cËp tù do tíi mäi dÞch vô cña proxy. Permist-host thø 2 ®ßi hái x¸c thùc mäi hÖ thèng trong m¹ng 192.33.112 muèn truyÒn ra ngoµi víi -auth {store} nh÷ng thao t¸c cña FTP sÏ bÞ kho¸ tíi khi ng­êi dïng hoµn thµnh viÖc x¸c thùc víi server. Khi ®ã, lÖnh ®­îc më kho¸ vµ ng­êi dïng cã thÓ vµo hÖ thèng. VÝ dô cuèi ®Þnh nghÜa mäi ng­êi cã thÓ nèi víi server nh­ng tr­íc hÕt hä ph¶i ®­îc x¸c thùc. Authsrv server ph¶i ®­îc cÊu h×nh ®Ó biÕt m¸y nµo ®­îc cho phÐp kÕt nèi. §iÒu nµy cÊm tÊt c¶ nh÷ng cè g¾ng truy nhËp bÊt hîp ph¸p vµo server tõ nh÷ng server kh«ng ch¹y nh÷ng phÇn mÒm x¸c thùc. Trong Firewall authsrv sÏ ch¹y trªn bastion host cïng víi proxy trªn ®ã. NÕu kh«ng cã hÖ thèng nµo ®ßi hái truy cËp, mçi client vµ server coi “local host” nh­ mét ®Þa chØ truyÒn th«ng. CÊu h×nh authsrv ®Þnh nghÜa nã sÏ vËn hµnh CSDL vµ client hç trî. #Example authhsrv rules: authsrv: database /usr/proxy/bin/authsrv.db authsrv: permit-host localhost authsrv: permit-host 192.5.214..32 Trong vÝ dô trªn, ®­êng dÉn tíi CSDL ®Þnh nghÜa vµ 2 host ®­îc nhËn ra. Chó ý CSDL ë trªn trong hÖ thèng ®­îc b¶o vÖ hoÆc ®­îc b¶o vÖ nghiªm ngÆt bëi c¬ chÕ truy cËp file. B¶o vÖ CSDL rÊt quan träng do ®ã nªn ®Ó CSDL trªn bastion host. Lèi vµo thø 2 lµ mét vÝ dô vÒ client sö dông m· ho¸ DES trong khi truyÒn th«ng víi authsrv. Kho¸ m· chøa trong tÖp cÊu h×nh ®ßi hái file cÊu h×nh ph¶i ®­îc b¶o vÖ. Nãi chung, viÖc m· ho¸ lµ kh«ng cÇn thiÕt. KÕt qu¶ cña viÖc m· ho¸ lµ cho phÐp qu¶n trÞ cã thÓ qu¶n lý c¬ së d÷ liÖu x¸c thùc tõ tr¹m lµm viÖc. Luång d÷ liÖu duy nhÊt cÇn ph¶i b¶o vÖ lµ khi ng­êi qu¶n trÞ m¹ng ®Æt l¹i mËt khÈu qua m¹ng côc bé, hay khi qu¶n lý c¬ së d÷ liÖu x¸c thùc qua m¹ng diÖn réng. Duy tr× CSDL x¸c thùc dùa vµo 2 c«ng cô authload vµ authdump ®Ó load vµ dump CSDL x¸c thùc. Ng­êi qu¶n trÞ nªn ch¹y authdump trong crontab t¹o b¶n sao d¹ng ASCII cña CSDL ®Ó tr¸nh tr­êng hîp xÊu khi CSDL bÞ háng hay bÞ xo¸. Authsrv qu¶n lý nhãm rÊt mÒm dÎo, qu¶n trÞ cã thÓ nhãm ng­êi dïng thµnh nhãm dïng “group wiz”, ng­êi cã quyÒn qu¶n trÞ nhãm cã thÓ xo¸, thªm, t¹o söa b¶n ghi trong nhãm, cho phÐp hay cÊm ng­êi dïng, thay ®æi password cña mËt khÈu cña user trong nhãm cña m×nh. Qu¶n trÞ nhãm kh«ng thay ®æi ®­îc ng­êi dïng cña nhãm kh¸c, t¹o ra nhãm míi hay thay ®æi quan hÖ gi÷a c¸c nhãm. Qu¶n trÞ nhãm chØ cã quyÒn h¹n trong nhãm cña m×nh. ViÖc nµy cã Ých ®èi víi tæ chøc cã nhiÒu nhãm lµm viÖc cïng sö dông Firewall. T¹o mét ng­êi sö dông b»ng lÖnh “adduser” adduser mrj ‘Marcus J. Ranum’ Khi mét user record míi ®­îc t¹o nã ch­a ®­îc ho¹t ®éng vµ ng­êi sö dông ch­a thÓ login. Tr­íc khi ng­êi sö dông login, qu¶n trÞ m¹ng cã thÓ thay ®æi mËt khÈu vµ sè hiÖu nhãm cña ng­êi sö dông ®ã group users mjr password “whumpus” mjr proto SecurID mjr enable mjr Khi mét user record t¹o ra bëi ng­êi qu¶n trÞ nhãm, nã thõa h­ëng sè hiÑu nhãm còng nh­ giao thøc x¸c thùc. User record cã thÓ xem bëi lÖnh “display” hay “list”. VÝ dô mét phiªn lµm viÖc víi Authmsg: %-> authmgs Connected to server authmgr-> login Username: wizard Challenge “200850” : 182312 Logged in authmgs-> disp wizard Report for user wizard (Auth DBA) Last authenticated: Fri Oct 8 17:11:07 1993 Authentication protocol: Snk Flags: WIZARD authmgr-> list Report for user in database user group longname flags proto last --- ----- -------- ----- ----- --- wizard users Auth DBA y W Snk Fri Oct 8 17:02:56 1993 avolio users Fred Avolio y passwd Fri Sep 24 10:52:14 1993 rnj users Robert N. Jesse y passwd Wed Sep 29 18:35:45 1993 mjr users Marcus J. Ranum y none ri Oct 8 17:02:10 1993 authmgr-> adduser dalva “Dave dalva” ok - user added initially disable authmgr-> enable dalva enabled authmgr-> group dalva users set group authmgr-> proto dalva Skey changed authmgr-> disp dalva Report for user dalva, group users (Dave Dalva) Authentication protocol: Skey Flags: none authmgr-> password dalva Password: ####### Repeat Password: ####### ID dalva s/key is 999 sol32 authmgr-> quit Trong vÝ dô trªn qu¶n trÞ nèi vµo authsrv qua m¹ng sö dông giao diÖn authmsg sau khi x¸c thùc user record hiÓn thÞ thêi gian x¸c thùc. Sau khi login, list CSDL user, t¹o ng­êi dïng, ®Æt password, enable vµ ®­a vµo nhãm. Khëi t¹o CSDL Authsrv: # authsrv -administrator mode- authsrv# list Report for user in database user group longname flags proto last --- ----- -------- ----- ----- --- authsrv# adduser admin ‘Auth DBA’ ok - user added initially disable authsrv# enable admin enabled authsrv# superwiz admin set wizard authsrv# proto admin Snk changed authsrv# pass ‘160 270 203 065 022 034 232 162’ admin Secret key changed authsrv# list Report for user in database user group longname flags roto last --- ----- -------- ----- ---- --- admin Auth DBA y W Snk never authsrv# quit Trong vÝ dô, mét CSDL míi ®­îc t¹o cïng víi mét record cho ng­êi qu¶n trÞ. Ng­êi qu¶n trÞ ®­îc g¸n quyÒn, g¸n protocol x¸c thùc. Sö dông mµn h×nh ®iÒu khiÓn CSE Proxy: Sau khi cµi ®Æt xong, khi login vµo user proxy mµn h×nh ®iÒu khiÓn sÏ hiÖn nªn menu c¸c chøc n¨ng ®Ó ng­êi qu¶n trÞ cã thÓ lùa chän. PROXY SERVICE MENU 1 Configuration 2 View TELNET log 3 View FTP log 4 View HTTP log 5 View E-MAIL log 6 View AUTHENTICATE log 7 View FINGER log 8 View RLOGIN log 9 View SOCKD log a Report b Authentication c Change system time d Change password e Shutdown q Exit Select option> _ Con sè hay ch÷ c¸i ®Çu tiªn thÓ hiÖn phÝm bÊm ®Ó thùc hiÖn chøc n¨ng. Sau khi mçi chøc n¨ng thùc hiÖn xong xuÊt hiÖn th«ng b¸o Press ENTER to continue råi chê cho tíi khi phÝm Enter ®­îc bÊm ®Ó trë l¹i mµn h×nh ®iÒu khiÓn chÝnh. 1 Configuration Chøc n¨ng nµy cho phÐp so¹n th¶o trùc tiÕp tíi file cÊu h×nh cña proxy. Trong file nµy chøa c¸c quy t¾c cña c¸c dÞch vô nh­ netacl, ftp-gw, tn-gw... Có ph¸p cña c¸c quy t¾c nµy ®· ®­îc m« t¶ ë phÇn trªn. Sau khi sö ®æi c¸c quy t¾c chän chøc n¨ng Save th× c¸c quy t¾c míi sÏ lËp tøc ®­îc ¸p dông. Chó ý: Bé so¹n th¶o v¨n b¶n ®Ó so¹n th¶o file cÇu h×nh cã c¸c phÝm chøc n¨ng t­¬ng tù nh­ chøc n¨ng so¹n th¶o cña Turbo Pascal 3.0. (C¸c chøc n¨ng cÇn thiÕt ®Òu cã thÓ thÊy trªn Status Bar ë dßng cuèi cïng cña mµn h×nh). §èi víi mét sè tr­êng hîp bé so¹n th¶o nµy kh«ng ho¹t ®éng th× ch­¬ng tr×nh so¹n th¶o vi cña UNIX sÏ ®­îc dïng ®Ó thay thÕ. 2 View TELNET log Chøc n¨ng xem néi dung nhËt ký cña tn-gw. NhËt ký ghi l¹i toµn bé c¸c truy nhËp qua proxy ®èi víi dÞch vô tn-gw. §èi víi c¸c dÞch vô kh¸c nh­ ftp-gw, http-gw ®Òu d­îc ghi l¹i nhËt ký vµ cã thÓ theo dâi bëi c¸c chøc n¨ng t­¬ng tù (Xem c¸c môc d­íi ®©y). 3 View FTP log Chøc n¨ng xem néi dung nhËt ký cña ftp-gw. 4 View HTTP log Chøc n¨ng xem néi dung nhËt ký cña http-gw. 5 View E-MAIL log Chøc n¨ng xem néi dung nhËt ký cña dÞch vô email. 6 View AUTHENTICATE log Chøc n¨ng xem néi dung nhËt ký cña dÞch vô x¸c thùc. 7 View FINGER log Chøc n¨ng xem néi dung nhËt ký cña finger. 8 View RLOGIN log Chøc n¨ng xem néi dung nhËt ký cña rlogin-gw. 9 View SOCKD log Chøc n¨ng xem néi dung nhËt ký cña sockd. a Report Chøc n¨ng lµm b¸o c¸o thèng kª ®èi víi tÊt c¶ c¸c dÞch vô trong mét kho¶ng thêi gian nhÊt ®Þnh. §Çu tiªn mµn h×nh sÏ hiÖn lªn mét lÞch ®Ó chän kho¶ng thêi gian muèn lµm b¸o c¸o. Sau khi tÝnh to¸n xong b¸o c¸o. Ng­êi sö dông sÏ ph¶i chän mét trong c¸c ®Çu ra cña b¸o c¸o gåm : xem (®­a ra mµn h×nh), save (ra ®Üa mÒm) hay print (in ra m¸y in g¾n trùc tiÕp víi m¸y server). NÕu muèn in tõ c¸c m¸y in kh¸c ta cã thÓ ®­a ra ®Üa mÒm råi in c¸c tÖp ®ã tõ c¸c tr¹m lµm viÖc. Fri May 8 10:39:13 1998 Apr May Jun S M Tu W Th F S S M Tu W Th F S S M Tu W Th F S 1 2 3 4 1 2 1 2 3 4 5 6 5 6 7 8 9 10 11 3 4 5 6 7 8 9 7 8 9 10 11 12 13 12 13 14 15 16 17 18 10 11 12 13 14 15 16 14 15 16 17 18 19 20 19 20 21 22 23 24 25 17 18 19 20 21 22 23 21 22 23 24 25 26 27 26 27 28 29 30 24 25 26 27 28 29 30 28 29 30 31 From date (dd/mm[/yy]) (08/05/98):01/05/98 To date (dd/mm[/yy]): (08/05/98):05/05/09 Calculating... View, save to MS-DOS floppy disk or print report (v/s/p/q)? v b Authentication Chøc n¨ng nµy gäi authsrv ®Ó qu¶n trÞ ng­êi sö dông vµ chøc n¨ng x¸c thùc cho ng­êi ®ã. authrv ®· ®­îc m« t¶ kh¸ râ rµng ë trªn. authsrv# list Report for users in database user group longname status proto last ---- ----- -------- ------ ----- ---- dalva cse n passw never ruth cse y passw never authsrv# c Change system time Chøc n¨ng ®æi thêi gian hÖ thèng. Chøc n¨ng nµy cã t¸c dông ®iÒu chØnh chÝnh x¸c giê cña hÖ thèng. Bëi v× giê hÖ thèng cã ¶nh h­ëng quan träng tíi ®é chÝnh x¸c cña nhËt ký. Gióp cho ng­êi qu¶n trÞ cã thÓ theo dâi ®óng c¸c truy nhËp tíi proxy. Dßng nhËp thêi gian sÏ nh­ d­íi ®©y. Ngµy th¸ng n¨m cã thÓ kh«ng cµn nhËp nh­ng cÇn chó ý tíi d¹ng cña sè ®­a vµo. D­íi ®©y lµ vÝ dô ®æi giê thµnh 11 giê 28. Current System Time is Fri May 08 10:32:00 HN 1998 Enter new time ([yymmdd]hhmm): 1128 d Change password Chøc n¨ng ®æi mËt khÈu cña user proxy. e Shutdown Chøc n¨ng shut down toµn bé hÖ thèng. Chøc n¨ng nµy ®­îc dïng ®Ó t¾t m¸y mét c¸ch an toµn ®èi víi ng­êi sö dông. q Exit Chøc n¨ng nµy logout khái mµn h×nh ®iÒu khiÓn proxy. C¸c vÊn ®Ò cÇn quan t©m víi ng­êi sö dông Víi ng­êi sö dông, khi dïng CSE Proxy cÇn ph¶i quan t©m ®Õn c¸c vÊn ®Ò sau: Víi c¸c Web Browser CÇn ph¶i ®Æt chÕ ®é proxy ®Ó chóng cã thÓ truy nhËp ®Õn c¸c trang Web th«ng qua proxy. Trong Microsoft Internet Explore (version 4.0) ta ph¶i chän View -> Internet option -> Connection -> Proxy Server vµ ®Æt chÕ ®é Access the Internet using a proxy, ®Æt ®Þa chØ IP vµ port cña proxy vµo. Trong Netscape Nevigator (version 4.0) ta ph¶i chän Edit ->Preferences -> Advanced -> Proxies vµ ®Æt ®Þa chØ proxy vµ cæng dÞch vô (port) (80) qua phÇn Manual proxy configuration. Víi ng­êi sö dông telnet, NÕu kh«ng ®­îc ®Æt chøc n¨ng x¸c thùc th× qu¸ tr×nh nh­ sau: $ telnet vectra Trying 192.1.1.155... connect hostname [serv/ port] connect to vectra. Escape character is’^]’. Vectra.sce.gov.vn telnet proxy (version V1.0) ready: tn-gw -> help Valid commands are: (unique abbreviations may be used) connect hostname [serv/ port] telnet hostname [serv/ port] x-gw [hostname/ display] help/ ? quit/ exit password tn-gw -> c 192.1.1.1 Trying 192.1.1.1 port 23... SCO Openserver TM Release 5 (sco5.cse.gov.vn) (ttysO) Login: ngoc password: ####### ... $ NÕu cã dïng chøc n¨ng x¸c thùc, th× sau khi m¸y proxy tr¶ lêi: Vectra.sce.gov.vn telnet proxy (version V1.0) ready: Nh¾c ta ph¶i ®­a vµo tªn vµ mËt khÈu ®Ó thùc hiÖn x¸c thùc: Username: ngoc password: ####### Login accepted tn-gw -> §èi víi ng­êi dïng dÞch vô FTP NÕu cã dïng chøc n¨ng x¸c thùc th× quy tr×nh nh­ sau: $ftp vectra Connected to vectra. 220 -Proxy first requres authentication 220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready: Name (vectra: root): ngoc 331 Enter authentication password for ngoc Password: ####### 230 User authenticated to proxy ftp>user ngoc@192.1.1.1 331 -(----GATEWAY CONNECTED TO 192.1.1.1----) 331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.) 331 Password required for ngoc. Password: 230 User ngoc logged in. ftp> ... ftp>bye 221 Goodbye. $ Cßn nÕu kh«ng sö dông chøc n¨ng x¸c thùc th× ®¬n gi¶n h¬n: $ftp vectra Connected to vectra. 220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready: Name (vectra: root): ngoc@192.1.1.1 331 -(----GATEWAY CONNECTED TO 192.1.1.1----) 331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.) 331 Password required for ngoc. Password: 230 User ngoc logged in. ftp> ... ftp>bye 221 Goodbye $ NÕu sö dông ch­¬ng tr×nh WS_FTP trªn Window cña Ipswitch, Inc th× cÇn ph¶i ®Æt chÕ ®é Use Firewall ë trong phÇn Advanced khi ta cÊu h×nh mét phiªn nèi kÕt. Trong phÇn Firewall Informatic ta sÏ ®­a ®Þa chØ IP cña proxy vµo phÇn Hostname, tªn ng­êi dïng vµ mËt khÈu (UserID vµ Password) cho phÇn x¸c thùc trªn proxy vµ cæng dÞch vô (21). §ång thêi ph¶i chän kiÓu USER after logon ë phÇn Firewall type.

Các file đính kèm theo tài liệu này:

  • docHệ thống Firewall xây dựng bởi CSE.doc