an toan tren mang

Reviews
Shared by: ba chu nguyen
Categories
Tags
Stats
views:
80
rating:
not rated
reviews:
0
posted:
6/17/2008
language:
Vietnamese
pages:
0
Vietebooks Nguyễn Hoàng Cương Môc lôc 1. ___________________________ An toµn th«ng tin trªn m¹ng 1.1 _____________________ T¹i sao cÇn cã Internet Firewall 1.2 ______________________________ B¹n muèn b¶o vÖ c¸i g×? 1.2.1 ____________________________________ D÷ liÖu cña b¹n 1.2.2 _________________________________ Tµi nguyªn cña b¹n 1.2.3 _________________________________ Danh tiÕng cña b¹n 1.3 ____________________ B¹n muèn b¶o vÖ chèng l¹i c¸i g×? 1.3.1 __________________________________ C¸c kiÓu tÊn c«ng 1.3.2 ______________________________ Ph©n lo¹i kÎ tÊn c«ng 1.4 _________________________ VËy Internet Firewall lµ g×? 1.4.1 _________________________________________ §Þnh nghÜa 1.4.2 __________________________________________ Chøc n¨ng 1.4.3 ___________________________________________ CÊu tróc 1.4.4 ____ C¸c thµnh phÇn cña Firewall vµ c¬ chÕ ho¹t ®éng 1.4.5 _________________________ Nh÷ng h¹n chÕ cña firewall 1.4.6 _________________________________ C¸c vÝ dô firewall 2. __________________________________ C¸c dÞch vô Internet 2.1 _________________________________ World Wide Web - WWW 2.2 _____________ Electronic Mail (Email hay th- ®iÖn tö). 2.3 _ Ftp (file transfer protocol hay dÞch vô chuyÓn file) 2.4 _____________________________________ Telnet vµ rlogin 2.5 _______________________________________________ Archie 2.6 _______________________________________________ Finger 3. ____________________ HÖ thèng Firewall x©y dùng bëi CSE 3.1 ____________________________________________ Tæng quan 3.2 ____________ C¸c thµnh phÇn cña bé ch-¬ng tr×nh proxy: 3.2.1 _________________________________ Smap: DÞch vô SMTP 3.2.2 __________ Netacl: c«ng cô ®iÒu khiÓn truy nhËp m¹ng 3.2.3 _______________________ Ftp-Gw: Proxy server cho Ftp 3.2.4 _________________ Telnet-Gw: Proxy server cho Telnet 3.2.5 _________________ Rlogin-Gw: Proxy server cho rlogin 3.2.6 ___________ Sql-Gw: Proxy Server cho Oracle Sql-net 3.2.7 __________ Plug-Gw: TCP Plug-Board Connection server 3.3 ______________________________________________ Cµi ®Æt 3.4 __________________________________ ThiÕt lËp cÊu h×nh: 3.4.1 ______________________________ CÊu h×nh m¹ng ban ®Çu 3.4.2 __________________________ CÊu h×nh cho Bastion Host 3.4.3 __________________________ ThiÕt lËp tËp hîp quy t¾c 3.4.4 _______________________ X¸c thùc vµ dÞch vô x¸c thùc 3.4.5 _____________ Sö dông mµn h×nh ®iÒu khiÓn CSE Proxy: 3.4.6 __________ C¸c vÊn ®Ò cÇn quan t©m víi ng-êi sö dông 1 2 3 3 3 3 3 3 5 6 6 7 7 8 11 12 16 17 17 17 18 18 18 19 19 19 20 20 21 22 22 22 22 22 23 23 24 26 32 36 39 An toµn th«ng tin trªn m¹ng Trang 1 Vietebooks Nguyễn Hoàng Cương 1.1 T¹i sao cÇn cã Internet Firewall HiÖn nay, kh¸i niÖm m¹ng toµn cÇu - Internet kh«ng cßn míi mÎ. Nã ®· trë nªn phæ biÕn tíi møc kh«ng cÇn ph¶i chó gi¶i g× thªm trong nh÷ng t¹p chÝ kü thuËt, cßn trªn nh÷ng t¹p chÝ kh¸c th× trµn ngËp nh÷ng bµi viÕt dµi, ng¾n vÒ Internet. Khi nh÷ng t¹p chÝ th«ng th-êng chó träng vµo Internet th× giê ®©y, nh÷ng t¹p chÝ kü thuËt l¹i tËp trung vµo khÝa c¹nh kh¸c: an toµn th«ng tin. §ã cïng lµ mét qu¸ tr×nh tiÕn triÓn hîp logic: khi nh÷ng vui thÝch ban ®Çu vÒ mét siªu xa lé th«ng tin, b¹n nhÊt ®Þnh nhËn thÊy r»ng kh«ng chØ cho phÐp b¹n truy nhËp vµo nhiÒu n¬i trªn thÕ giíi, Internet cßn cho phÐp nhiÒu ng-êi kh«ng mêi mµ tù ý ghÐ th¨m m¸y tÝnh cña b¹n. Thùc vËy, Internet cã nh÷ng kü thuËt tuyÖt vêi cho phÐp mäi ng-êi truy nhËp, khai th¸c, chia sÎ th«ng tin. Nh÷ng nã còng lµ nguy c¬ chÝnh dÉn ®Õn th«ng tin cña b¹n bÞ h- háng hoÆc ph¸ huû hoµn toµn. Theo sè liÖu cña CERT(Computer Emegency Response Team ―§éi cÊp cøu m¸y tÝnh‖), sè l­îng c¸c vô tÊn c«ng trªn Internet ®-îc th«ng b¸o cho tæ chøc nµy lµ Ýt h¬n 200 vµo n¨m 1989, kho¶ng 400 vµo n¨m 1991, 1400 vµo n¨m 1993, vµ 2241 vµo n¨m 1994. Nh÷ng vô tÊn c«ng nµy nh»m vµo tÊt c¶ c¸c m¸y tÝnh cã mÆt trªn Internet, c¸c m¸y tÝnh cña tÊt c¶ c¸c c«ng ty lín nhAT&T, IBM, c¸c tr-êng ®¹i häc, c¸c c¬ quan nhµ n-íc, c¸c tæ chøc qu©n sù, nhµ b¨ng... Mét sè vô tÊn c«ng cã quy m« khæng lå (cã tíi 100.000 m¸y tÝnh bÞ tÊn c«ng). H¬n n÷a, nh÷ng con sè nµy chØ lµ phÇn næi cña t¶ng b¨ng. Mét phÇn rÊt lín c¸c vô tÊn c«ng kh«ng ®-îc th«ng b¸o, v× nhiÒu lý do, trong ®ã cã thÓ kÓ ®Õn nçi lo bÞ mÊt uy tÝn, hoÆc ®¬n gi¶n nh÷ng ng-êi qu¶n trÞ hÖ thèng kh«ng hÒ hay biÕt nh÷ng cuéc tÊn c«ng nh»m vµo hÖ thèng cña hä. Kh«ng chØ sè l-îng c¸c cuéc tÊn c«ng t¨ng lªn nhanh chãng, mµ c¸c ph-¬ng ph¸p tÊn c«ng còng liªn tôc ®-îc hoµn thiÖn. §iÒu ®ã mét phÇn do c¸c nh©n viªn qu¶n trÞ hÖ thèng ®-îc kÕt nèi víi Internet ngµy cµng ®Ò cao c¶nh gi¸c. Còng theo CERT, nh÷ng cuéc tÊn c«ng thêi kú 1988-1989 chñ yÕu ®o¸n tªn ng-êi sö dôngmËt khÈu (UserID-password) hoÆc sö dông mét sè lçi cña c¸c ch-¬ng tr×nh vµ hÖ ®iÒu hµnh (security hole) lµm v« hiÖu hÖ thèng b¶o vÖ, tuy nhiªn c¸c cuéc tÊn c«ng vµo thêi gian gÇn ®©y bao gåm c¶ c¸c thao t¸c nh- gi¶ m¹o ®Þa chØ IP, theo dâi th«ng tin truyÒn qua m¹ng, chiÕm c¸c phiªn lµm viÖc tõ xa (telnet hoÆc rlogin). Trang 2 Vietebooks Nguyễn Hoàng Cương 1.2 B¹n muèn b¶o vÖ c¸i g×? NhiÖm vô c¬ b¶n cña Firewall lµ b¶o vÖ. NÕu b¹n muèn x©y dùng firewall, viÖc ®Çu tiªn b¹n cÇn xem xÐt chÝnh lµ b¹n cÇn b¶o vÖ c¸i g×. 1.2.1 D÷ liÖu cña b¹n Nh÷ng th«ng tin l-u tr÷ trªn hÖ thèng m¸y tÝnh cÇn ®-îc b¶o vÖ do c¸c yªu cÇu sau: B¶o mËt: Nh÷ng th«ng tin cã gi¸ trÞ vÒ kinh tÕ, qu©n sù, chÝnh s¸ch vv... cÇn ®-îc gi÷ kÝn. TÝnh toµn vÑn: Th«ng tin kh«ng bÞ mÊt m¸t hoÆc söa ®æi, ®¸nh tr¸o. TÝnh kÞp thêi: Yªu cÇu truy nhËp th«ng tin vµo ®óng thêi ®iÓm cÇn thiÕt. Trong c¸c yªu cÇu nµy, th«ng th-êng yªu cÇu vÒ b¶o mËt ®-îc coi lµ yªu cÇu sè 1 ®èi víi th«ng tin l-u tr÷ trªn m¹ng. Tuy nhiªn, ngay c¶ khi nh÷ng th«ng tin nµy kh«ng ®-îc gi÷ bÝ mËt, th× nh÷ng yªu cÇu vÒ tÝnh toµn vÑn còng rÊt quan träng. Kh«ng mét c¸ nh©n, mét tæ chøc nµo l·ng phÝ tµi nguyªn vËt chÊt vµ thêi gian ®Ó l-u tr÷ nh÷ng th«ng tin mµ kh«ng biÕt vÒ tÝnh ®óng ®¾n cña nh÷ng th«ng tin ®ã. 1.2.2 Tµi nguyªn cña b¹n Trªn thùc tÕ, trong c¸c cuéc tÊn c«ng trªn Internet, kÎ tÊn c«ng, sau khi ®· lµm chñ ®-îc hÖ thèng bªn trong, cã thÓ sö dông c¸c m¸y nµy ®Ó phôc vô cho môc ®Ých cña m×nh nh- ch¹y c¸c ch-¬ng tr×nh dß mËt khÈu ng-êi sö dông, sö dông c¸c liªn kÕt m¹ng s½n cã ®Ó tiÕp tôc tÊn c«ng c¸c hÖ thèng kh¸c vv... 1.2.3 Danh tiÕng cña b¹n Nh- trªn ®· nªu, mét phÇn lín c¸c cuéc tÊn c«ng kh«ng ®-îc th«ng b¸o réng r·i, vµ mét trong nh÷ng nguyªn nh©n lµ nçi lo bÞ mÊt uy tÝn cña c¬ quan, ®Æc biÖt lµ c¸c c«ng ty lín vµ c¸c c¬ quan quan träng trong bé m¸y nhµ n-íc. Trong tr-êng hîp ng-êi qu¶n trÞ hÖ thèng chØ ®-îc biÕt ®Õn sau khi chÝnh hÖ thèng cña m×nh ®-îc dïng lµm bµn ®¹p ®Ó tÊn c«ng c¸c hÖ thèng kh¸c, th× tæn thÊt vÒ uy tÝn lµ rÊt lín vµ cã thÓ ®Ó l¹i hËu qu¶ l©u dµi. 1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×? Cßn nh÷ng g× b¹n cÇn ph¶i lo l¾ng. B¹n sÏ ph¶i ®-¬ng ®Çu víi nh÷ng kiÓu tÊn c«ng nµo trªn Internet vµ nh÷ng kÎ nµo sÏ thùc hiÖn chóng? 1.3.1 C¸c kiÓu tÊn c«ng Cã rÊt nhiÒu kiÓu tÊn c«ng vµo hÖ thèng, vµ cã nhiÒu c¸ch ®Ó ph©n lo¹i nh÷ng kiÓu tÊn c«ng nµy. ë ®©y, chóng ta chia thµnh 3 kiÓu chÝnh nh- sau: Trang 3 Vietebooks Nguyễn Hoàng Cương 1.3.1.1 TÊn c«ng trùc tiÕp Nh÷ng cuéc tÊn c«ng trùc tiÕp th«ng th-êng ®-îc sö dông trong giai ®o¹n ®Çu ®Ó chiÕm ®-îc quyÒn truy nhËp bªn trong. Mét ph-¬ng ph¸p tÊn c«ng cæ ®iÓn lµ dß cÆp tªn ng-êi sö dông-mËt khÈu. §©y lµ ph-¬ng ph¸p ®¬n gi¶n, dÔ thùc hiÖn vµ kh«ng ®ßi hái mét ®iÒu kiÖn ®Æc biÖt nµo ®Ó b¾t ®Çu. KÎ tÊn c«ng cã thÓ sö dông nh÷ng th«ng tin nh- tªn ng-êi dïng, ngµy sinh, ®Þa chØ, sè nhµ vv.. ®Ó ®o¸n mËt khÈu. Trong tr-êng hîp cã ®-îc danh s¸ch ng-êi sö dông vµ nh÷ng th«ng tin vÒ m«i tr-êng lµm viÖc, cã mét tr-¬ng tr×nh tù ®éng ho¸ vÒ viÖc dß t×m mËt khÈu nµy. mét tr-¬ng tr×nh cã thÓ dÔ dµng lÊy ®-îc tõ Internet ®Ó gi¶i c¸c mËt khÈu ®· m· ho¸ cña c¸c hÖ thèng unix cã tªn lµ crack, cã kh¶ n¨ng thö c¸c tæ hîp c¸c tõ trong mét tõ ®iÓn lín, theo nh÷ng quy t¾c do ng-êi dïng tù ®Þnh nghÜa. Trong mét sè tr-êng hîp, kh¶ n¨ng thµnh c«ng cña ph-¬ng ph¸p nµy cã thÓ lªn tíi 30%. Ph-¬ng ph¸p sö dông c¸c lçi cña ch-¬ng tr×nh øng dông vµ b¶n th©n hÖ ®iÒu hµnh ®· ®-îc sö dông tõ nh÷ng vô tÊn c«ng ®Çu tiªn vµ vÉn ®-îc tiÕp tôc ®Ó chiÕm quyÒn truy nhËp. Trong mét sè tr-êng hîp ph-¬ng ph¸p nµy cho phÐp kÎ tÊn c«ng cã ®-îc quyÒn cña ng-êi qu¶n trÞ hÖ thèng (root hay administrator). Hai vÝ dô th-êng xuyªn ®-îc ®-a ra ®Ó minh ho¹ cho ph-¬ng ph¸p nµy lµ vÝ dô víi ch-¬ng tr×nh sendmail vµ ch-¬ng tr×nh rlogin cña hÖ ®iÒu hµnh UNIX. Sendmail lµ mét ch-¬ng tr×nh phøc t¹p, víi m· nguån bao gåm hµng ngµn dßng lÖnh cña ng«n ng÷ C. Sendmail ®-îc ch¹y víi quyÒn -u tiªn cña ng-êi qu¶n trÞ hÖ thèng, do ch-¬ng tr×nh ph¶i cã quyÒn ghi vµo hép th- cña nh÷ng ng-êi sö dông m¸y. Vµ Sendmail trùc tiÕp nhËn c¸c yªu cÇu vÒ th- tÝn trªn m¹ng bªn ngoµi. §©y chÝnh lµ nh÷ng yÕu tè lµm cho sendmail trë thµnh mét nguån cung cÊp nh÷ng lç hæng vÒ b¶o mËt ®Ó truy nhËp hÖ thèng. Rlogin cho phÐp ng-êi sö dông tõ mét m¸y trªn m¹ng truy nhËp tõ xa vµo mét m¸y kh¸c sö dông tµi nguyªn cña m¸y nµy. Trong qu¸ tr×nh nhËn tªn vµ mËt khÈu cña ng-êi sö dông, rlogin kh«ng kiÓm tra ®é dµi cña dßng nhËp, do ®ã kÎ tÊn c«ng cã thÓ ®-a vµo mét x©u ®· ®-îc tÝnh to¸n tr-íc ®Ó ghi ®Ì lªn m· ch-¬ng tr×nh cña rlogin, qua ®ã chiÕm ®-îc quyÒn truy nhËp. 1.3.1.2 Nghe trém ViÖc nghe trém th«ng tin trªn m¹ng cã thÓ ®-a l¹i nh÷ng th«ng tin cã Ých nh- tªn-mËt khÈu cña ng-êi sö dông, c¸c th«ng tin mËt chuyÓn qua m¹ng. ViÖc nghe trém th-êng ®-îc tiÕn hµnh ngay sau khi kÎ tÊn c«ng ®· chiÕm ®-îc quyÒn truy nhËp hÖ thèng, th«ng qua c¸c ch-¬ng tr×nh cho phÐp ®-a vØ giao tiÕp m¹ng (Network Interface Card-NIC) vµo chÕ ®é nhËn toµn bé c¸c th«ng Trang 4 Vietebooks Nguyễn Hoàng Cương tin l-u truyÒn trªn m¹ng. Nh÷ng th«ng tin nµy còng cã thÓ dÔ dµng lÊy ®-îc trªn Internet. 1.3.1.3 Gi¶ m¹o ®Þa chØ ViÖc gi¶ m¹o ®Þa chØ IP cã thÓ ®-îc thùc hiÖn th«ng qua viÖc sö dông kh¶ n¨ng dÉn ®-êng trùc tiÕp (source-routing). Víi c¸ch tÊn c«ng nµy, kÎ tÊn c«ng göi c¸c gãi tin IP tíi m¹ng bªn trong víi mét ®Þa chØ IP gi¶ m¹o (th«ng th-êng lµ ®Þa chØ cña mét m¹ng hoÆc mét m¸y ®-îc coi lµ an toµn ®èi víi m¹ng bªn trong), ®ång thêi chØ râ ®-êng dÉn mµ c¸c gãi tin IP ph¶i göi ®i. 1.3.1.4 V« hiÖu ho¸ c¸c chøc n¨ng cña hÖ thèng (denial of service) §©y lµ kÓu tÊn c«ng nh»m tª liÖt hÖ thèng, kh«ng cho nã thùc hiÖn chøc n¨ng mµ nã thiÕt kÕ. KiÓu tÊn c«ng nµy kh«ng thÓ ng¨n chÆn ®-îc, do nh÷ng ph-¬ng tiÖn ®-îc tæ chøc tÊn c«ng còng chÝnh lµ c¸c ph-¬ng tiÖn ®Ó lµm viÖc vµ truy nhËp th«ng tin trªn m¹ng. VÝ dô sö dông lÖnh ping víi tèc ®é cao nhÊt cã thÓ, buéc mét hÖ thèng tiªu hao toµn bé tèc ®é tÝnh to¸n vµ kh¶ n¨ng cña m¹ng ®Ó tr¶ lêi c¸c lÖnh nµy, kh«ng cßn c¸c tµi nguyªn ®Ó thùc hiÖn nh÷ng c«ng viÖc cã Ých kh¸c. 1.3.1.5 Lçi cña ng-êi qu¶n trÞ hÖ thèng §©y kh«ng ph¶i lµ mét kiÓu tÊn c«ng cña nh÷ng kÎ ®ét nhËp, tuy nhiªn lçi cña ng-êi qu¶n trÞ hÖ thèng th-êng t¹o ra nh÷ng lç hæng cho phÐp kÎ tÊn c«ng sö dông ®Ó truy nhËp vµo m¹ng néi bé. 1.3.1.6 TÊn c«ng vµo yÕu tè con ng-êi KÎ tÊn c«ng cã thÓ liªn l¹c víi mét ng-êi qu¶n trÞ hÖ thèng, gi¶ lµm mét ng-êi sö dông ®Ó yªu cÇu thay ®æi mËt khÈu, thay ®æi quyÒn truy nhËp cña m×nh ®èi víi hÖ thèng, hoÆc thËm chÝ thay ®æi mét sè cÊu h×nh cña hÖ thèng ®Ó thùc hiÖn c¸c ph-¬ng ph¸p tÊn c«ng kh¸c. Víi kiÓu tÊn c«ng nµy kh«ng mét thiÕt bÞ nµo cã thÓ ng¨n chÆn mét c¸ch h÷u hiÖu, vµ chØ cã mét c¸ch gi¸o dôc ng-êi sö dông m¹ng néi bé vÒ nh÷ng yªu cÇu b¶o mËt ®Ó ®Ò cao c¶nh gi¸c víi nh÷ng hiÖn t-îng ®¸ng nghi. Nãi chung yÕu tè con ng-êi lµ mét ®iÓm yÕu trong bÊt kú mét hÖ thèng b¶o vÖ nµo, vµ chØ cã sù gi¸o dôc céng víi tinh thÇn hîp t¸c tõ phÝa ng-êi sö dông cã thÓ n©ng cao ®-îc ®é an toµn cña hÖ thèng b¶o vÖ. 1.3.2 Ph©n lo¹i kÎ tÊn c«ng Cã rÊt nhiÒu kÎ tÊn c«ng trªn m¹ng toµn cÇu – Internet vµ chóng ta còng kh«ng thÓ ph©n lo¹i chóng mét c¸ch chÝnh x¸c, bÊt cø mét b¶n ph©n lo¹i kiÓu nµy còng chØ nªn ®-îc xem nh- lµ mét sù giíi thiÖu h¬n lµ mét c¸ch nh×n rËp khu«n. Trang 5 Vietebooks Nguyễn Hoàng Cương 1.3.2.1 Ng-êi qua ®-êng Ng-êi qua ®-êng lµ nh÷ng kÎ buån ch¸n víi nh÷ng c«ng viÖc th-êng ngµy, hä muèn t×m nh÷ng trß gi¶i trÝ míi. Hä ®ét nhËp vµo m¸y tÝnh cña b¹n v× hä nghÜ b¹n cã thÓ cã nh÷ng d÷ liÖu hay, hoÆc bëi v× hä c¶m thÊy thÝch thó khi sö dông m¸y tÝnh cña ng-êi kh¸c, hoÆc chØ ®¬n gi¶n lµ hä kh«ng t×m ®-îc mét viÖc g× hay h¬n ®Ó lµm. Hä cã thÓ lµ ng-êi tß mß nh-ng kh«ng chñ ®Þnh lµm h¹i b¹n. Tuy nhiªn, hä th-êng g©y h- háng hÖ thèng khi ®ét nhËp hay khi xo¸ bá dÊu vÕt cña hä. 1.3.2.2 KÎ ph¸ ho¹i KÎ ph¸ ho¹i chñ ®Þnh ph¸ ho¹i hÖ thèng cña b¹n, hä cã thÓ kh«ng thÝch b¹n, hä còng cã thÓ kh«ng biÕt b¹n nh-ng hä t×m thÊy niÒm vui khi ®i ph¸ ho¹i. Th«ng th-êng, trªn Internet kÎ ph¸ ho¹i kh¸ hiÕm. Mäi ng-êi kh«ng thÝch hä. NhiÒu ng-êi cßn thÝch t×m vµ chÆn ®øng nh÷ng kÎ ph¸ ho¹i. Tuy Ýt nh-ng kÎ ph¸ ho¹i th-êng g©y háng trÇm träng cho hÖ thèng cña b¹n nh- xo¸ toµn bé d÷ liÖu, ph¸ háng c¸c thiÕt bÞ trªn m¸y tÝnh cña b¹n... 1.3.2.3 KÎ ghi ®iÓm RÊt nhiÒu kÎ qua ®-êng bÞ cuèn hót vµo viÖc ®ét nhËp, ph¸ ho¹i. Hä muèn ®-îc kh¼ng ®Þnh m×nh th«ng qua sè l-îng vµ c¸c kiÓu hÖ thèng mµ hä ®· ®ét nhËp qua. §ét nhËp ®-îc vµo nh÷ng n¬i næi tiÕng, nh÷ng n¬i phßng bÞ chÆt chÏ, nh÷ng n¬i thiÕt kÕ tinh x¶o cã gi¸ trÞ nhiÒu ®iÓm ®èi víi hä. Tuy nhiªn hä còng sÏ tÊn c«ng tÊt c¶ nh÷ng n¬i hä cã thÓ, víi môc ®Ých sè l-îng còng nhmôc ®Ých chÊt l-îng. Nh÷ng ng-êi nµy kh«ng quan t©m ®Õn nh÷ng th«ng tin b¹n cã hay nh÷ng ®Æc tÝnh kh¸c vÒ tµi nguyªn cña b¹n. Tuy nhiªn ®Ó ®¹t ®-îc môc ®Ých lµ ®ét nhËp, v« t×nh hay h÷u ý hä sÏ lµm h- háng hÖ thèng cña b¹n. 1.3.2.4 Gi¸n ®iÖp HiÖn nay cã rÊt nhiÒu th«ng tin quan träng ®-îc l-u tr÷ trªn m¸y tÝnh nh- c¸c th«ng tin vÒ qu©n sù, kinh tÕ... Gi¸n ®iÖp m¸y tÝnh lµ mét vÊn ®Ò phøc t¹p vµ khã ph¸t hiÖn. Thùc tÕ, phÇn lín c¸c tæ chøc kh«ng thÓ phßng thñ kiÓu tÊn c«ng nµy mét c¸ch hiÖu qu¶ vµ b¹n cã thÓ ch¾c r»ng ®-êng liªn kÕt víi Internet kh«ng ph¶i lµ con ®-êng dÔ nhÊt ®Ó gi¸n ®iÖp thu l-îm th«ng tin. 1.4 VËy Internet Firewall lµ g×? 1.4.1 §Þnh nghÜa ThuËt ng÷ Firewall cã nguån gèc tõ mét kü thuËt thiÕt kÕ trong x©y dùng ®Ó ng¨n chÆn, h¹n chÕ ho¶ ho¹n. Trong c«ng nghÖ m¹ng th«ng tin, Firewall lµ mét kü thuËt ®-îc tÝch hîp vµo hÖ thèng m¹ng ®Ó chèng sù truy cËp tr¸i phÐp nh»m b¶o vÖ c¸c nguån th«ng tin néi bé còng nh- h¹n chÕ sù x©m nhËp vµo hÖ thèng cña mét sè th«ng tin kh¸c kh«ng mong muèn. Còng cã thÓ hiÓu r»ng Trang 6 Vietebooks Nguyễn Hoàng Cương Firewall lµ mét c¬ chÕ ®Ó b¶o vÖ m¹ng tin t-ëng (trusted network) khái c¸c m¹ng kh«ng tin t-ëng (untrusted network). Internet Firewall lµ mét thiÕt bÞ (phÇn cøng+phÇn mÒm) gi÷a m¹ng cña mét tæ chøc, mét c«ng ty, hay mét quèc gia (Intranet) vµ Internet. Nã thùc hiÖn vai trß b¶o mËt c¸c th«ng tin Intranet tõ thÕ giíi Internet bªn ngoµi. 1.4.2 Chøc n¨ng Internet Firewall (tõ nay vÒ sau gäi t¾t lµ firewall) lµ mét thµnh phÇn ®Æt gi÷a Intranet vµ Internet ®Ó kiÓm so¸t tÊt c¶ c¸c viÖc l-u th«ng vµ truy cËp gi÷a chóng víi nhau bao gåm: Firewall quyÕt ®Þnh nh÷ng dÞch vô nµo tõ bªn trong ®-îc phÐp truy cËp tõ bªn ngoµi, nh÷ng ng-êi nµo tõ bªn ngoµi ®-îc phÐp truy cËp ®Õn c¸c dÞch vô bªn trong, vµ c¶ nh÷ng dÞch vô nµo bªn ngoµi ®-îc phÐp truy cËp bëi nh÷ng ng-êi bªn trong. §Ó firewall lµm viÖc hiÖu qu¶, tÊt c¶ trao ®æi th«ng tin tõ trong ra ngoµi vµ ng-îc l¹i ®Òu ph¶i thùc hiÖn th«ng qua Firewall. ChØ cã nh÷ng trao ®æi nµo ®-îc phÐp bëi chÕ ®é an ninh cña hÖ thèng m¹ng néi bé míi ®-îc quyÒn l-u th«ng qua Firewall. S¬ ®å chøc n¨ng hÖ thèng cña firewall ®-îc m« t¶ nh- trong h×nh 2.1 Intranet firewall Internet H×nh 2.1 S¬ ®å chøc n¨ng hÖ thèng cña firewall 1.4.3 CÊu tróc Firewall bao gåm: Mét hoÆc nhiÒu hÖ thèng m¸y chñ kÕt nèi víi c¸c bé ®Þnh tuyÕn (router) hoÆc cã chøc n¨ng router. C¸c phÇn mÒm qu¶n lý an ninh ch¹y trªn hÖ thèng m¸y chñ. Th«ng th-êng lµ c¸c hÖ qu¶n trÞ x¸c thùc (Authentication), cÊp quyÒn (Authorization) vµ kÕ to¸n (Accounting). Chóng ta sÏ ®Ò cËp kü h¬n c¸c ho¹t ®éng cña nh÷ng hÖ nµy ë phÇn sau. Trang 7 Vietebooks Nguyễn Hoàng Cương 1.4.4 C¸c thµnh phÇn cña Firewall vµ c¬ chÕ ho¹t ®éng Mét Firewall chuÈn bao gåm mét hay nhiÒu c¸c thµnh phÇn sau ®©y: Bé läc packet ( packet-filtering router ) Cæng øng dông (application-level gateway hay proxy server ) Cæng m¹ch (circuite level gateway) 1.4.4.1 Bé läc gãi tin (Packet filtering router) 1.4.4.1.1 Nguyªn lý: Khi nãi ®Õn viÖc l-u th«ng d÷ liÖu gi÷a c¸c m¹ng víi nhau th«ng qua Firewall th× ®iÒu ®ã cã nghÜa r»ng Firewall ho¹t ®éng chÆt chÏ víi giao thøc liªn m¹ng TCP/IP. V× giao thøc nµy lµm viÖc theo thuËt to¸n chia nhá c¸c d÷ liÖu nhËn ®-îc tõ c¸c øng dông trªn m¹ng, hay nãi chÝnh x¸c h¬n lµ c¸c dÞch vô ch¹y trªn c¸c giao thøc (Telnet, SMTP, DNS, SMNP, NFS...) thµnh c¸c gãi d÷ liÖu (data packets) råi g¸n cho c¸c packet nµy nh÷ng ®Þa chØ ®Ó cã thÓ nhËn d¹ng, t¸i lËp l¹i ë ®Ých cÇn göi ®Õn, do ®ã c¸c lo¹i Firewall còng liªn quan rÊt nhiÒu ®Õn c¸c packet vµ nh÷ng con sè ®Þa chØ cña chóng. Bé läc packet cho phÐp hay tõ chèi mçi packet mµ nã nhËn ®-îc. Nã kiÓm tra toµn bé ®o¹n d÷ liÖu ®Ó quyÕt ®Þnh xem ®o¹n d÷ liÖu ®ã cã tho¶ m·n mét trong sè c¸c luËt lÖ cña läc packet hay kh«ng. C¸c luËt lÖ läc packet nµy lµ dùa trªn c¸c th«ng tin ë ®Çu mçi packet (packet header), dïng ®Ó cho phÐp truyÒn c¸c packet ®ã ë trªn m¹ng. §ã lµ: §Þa chØ IP n¬i xuÊt ph¸t ( IP Source address) §Þa chØ IP n¬i nhËn (IP Destination address) Nh÷ng thñ tôc truyÒn tin (TCP, UDP, ICMP, IP tunnel) Cæng TCP/UDP n¬i xuÊt ph¸t (TCP/UDP source port) Cæng TCP/UDP n¬i nhËn (TCP/UDP destination port) D¹ng th«ng b¸o ICMP ( ICMP message type) giao diÖn packet ®Õn ( incomming interface of packet) giao diÖn packet ®i ( outcomming interface of packet) NÕu luËt lÖ läc packet ®-îc tho¶ m·n th× packet ®-îc chuyÓn qua firewall. NÕu kh«ng packet sÏ bÞ bá ®i. Nhê vËy mµ Firewall cã thÓ ng¨n c¶n ®-îc c¸c kÕt nèi vµo c¸c m¸y chñ hoÆc m¹ng nµo ®ã ®-îc x¸c ®Þnh, hoÆc kho¸ viÖc truy cËp vµo hÖ thèng m¹ng néi bé tõ nh÷ng ®Þa chØ kh«ng cho phÐp. H¬n n÷a, viÖc kiÓm so¸t c¸c cæng lµm cho Firewall cã kh¶ n¨ng chØ cho phÐp mét sè lo¹i kÕt nèi nhÊt ®Þnh vµo c¸c lo¹i m¸y chñ nµo ®ã, hoÆc chØ cã nh÷ng dÞch vô nµo ®ã (Telnet, SMTP, FTP...) ®-îc phÐp míi ch¹y ®-îc trªn hÖ thèng m¹ng côc bé. 1.4.4.1.2 ¦u ®iÓm §a sè c¸c hÖ thèng firewall ®Òu sö dông bé läc packet. Mét trong nh÷ng -u ®iÓm cña ph-¬ng ph¸p dïng bé läc packet lµ chi Trang 8 Vietebooks Nguyễn Hoàng Cương phÝ thÊp v× c¬ chÕ läc packet ®· ®-îc bao gåm trong mçi phÇn mÒm router. Ngoµi ra, bé läc packet lµ trong suèt ®èi víi ng-êi sö dông vµ c¸c øng dông, v× vËy nã kh«ng yªu cÇu sù huÊn luyÖn ®Æc biÖt nµo c¶. 1.4.4.1.3 H¹n chÕ: ViÖc ®Þnh nghÜa c¸c chÕ ®é läc packet lµ mét viÖc kh¸ phøc t¹p, nã ®ßi hái ng-êi qu¶n trÞ m¹ng cÇn cã hiÓu biÕt chi tiÕt vÓ c¸c dÞch vô Internet, c¸c d¹ng packet header, vµ c¸c gi¸ trÞ cô thÓ mµ hä cã thÓ nhËn trªn mçi tr-êng. Khi ®ßi hái vÓ sù läc cµng lín, c¸c luËt lÖ vÓ läc cµng trë nªn dµi vµ phøc t¹p, rÊt khã ®Ó qu¶n lý vµ ®iÒu khiÓn. Do lµm viÖc dùa trªn header cña c¸c packet, râ rµng lµ bé läc packet kh«ng kiÓm so¸t ®-îc néi dung th«ng tin cña packet. C¸c packet chuyÓn qua vÉn cã thÓ mang theo nh÷ng hµnh ®éng víi ý ®å ¨n c¾p th«ng tin hay ph¸ ho¹i cña kÎ xÊu. 1.4.4.2 Cæng øng dông (application-level gateway) 1.4.4.2.1 Nguyªn lý §©y lµ mét lo¹i Firewall ®-îc thiÕt kÕ ®Ó t¨ng c-êng chøc n¨ng kiÓm so¸t c¸c lo¹i dÞch vô, giao thøc ®-îc cho phÐp truy cËp vµo hÖ thèng m¹ng. C¬ chÕ ho¹t ®éng cña nã dùa trªn c¸ch thøc gäi lµ Proxy service (dÞch vô ®¹i diÖn). Proxy service lµ c¸c bé ch-¬ng tr×nh ®Æc biÖt cµi ®Æt trªn gateway cho tõng øng dông. NÕu ng-êi qu¶n trÞ m¹ng kh«ng cµi ®Æt ch-¬ng tr×nh proxy cho mét øng dông nµo ®ã, dÞch vô t-¬ng øng sÏ kh«ng ®-îc cung cÊp vµ do ®ã kh«ng thÓ chuyÓn th«ng tin qua firewall. Ngoµi ra, proxy code cã thÓ ®-îc ®Þnh cÊu h×nh ®Ó hç trî chØ mét sè ®Æc ®iÓm trong øng dông mµ ng-ßi qu¶n trÞ m¹ng cho lµ chÊp nhËn ®-îc trong khi tõ chèi nh÷ng ®Æc ®iÓm kh¸c. Mét cæng øng dông th-êng ®-îc coi nh- lµ mét ph¸o ®µi (bastion host), bëi v× nã ®-îc thiÕt kÕ ®Æt biÖt ®Ó chèng l¹i sù tÊn c«ng tõ bªn ngoµi. Nh÷ng biÖn ph¸p ®¶m b¶o an ninh cña mét bastion host lµ: Bastion host lu«n ch¹y c¸c version an toµn (secure version) cña c¸c phÇn mÒm hÖ thèng (Operating system). C¸c version an toµn nµy ®-îc thiÕt kÕ chuyªn cho môc ®Ých chèng l¹i sù tÊn c«ng vµo Operating System, còng nh- lµ ®¶m b¶o sù tÝch hîp firewall. ChØ nh÷ng dÞch vô mµ ng-êi qu¶n trÞ m¹ng cho lµ cÇn thiÕt míi ®-îc cµi ®Æt trªn bastion host, ®¬n gi¶n chØ v× nÕu mét dÞch vô kh«ng ®-îc cµi ®Æt, nã kh«ng thÓ bÞ tÊn c«ng. Th«ng th-êng, chØ mét sè giíi h¹n c¸c øng dông cho c¸c dÞch vô Telnet, DNS, FTP, SMTP vµ x¸c thùc user lµ ®-îc cµi ®Æt trªn bastion host. Bastion host cã thÓ yªu cÇu nhiÒu møc ®é x¸c thùc kh¸c nhau, vÝ dô nh- user password hay smart card. Trang 9 Vietebooks Nguyễn Hoàng Cương Mçi proxy ®-îc ®Æt cÊu h×nh ®Ó cho phÐp truy nhËp chØ mét så c¸c m¸y chñ nhÊt ®Þnh. §iÒu nµy cã nghÜa r»ng bé lÖnh vµ ®Æc ®iÓm thiÕt lËp cho mçi proxy chØ ®óng víi mét sè m¸y chñ trªn toµn hÖ thèng. Mçi proxy duy tr× mét quyÓn nhËt ký ghi chÐp l¹i toµn bé chi tiÕt cña giao th«ng qua nã, mçi sù kÕt nèi, kho¶ng thêi gian kÕt nèi. NhËt ký nµy rÊt cã Ých trong viÖc t×m theo dÊu vÕt hay ng¨n chÆn kÎ ph¸ ho¹i. Mçi proxy ®Òu ®éc lËp víi c¸c proxies kh¸c trªn bastion host. §iÒu nµy cho phÐp dÔ dµng qu¸ tr×nh cµi ®Æt mét proxy míi, hay th¸o gì m«t proxy ®ang cã vÊn ®Ó. VÝ dô: Telnet Proxy VÝ dô mét ng-êi (gäi lµ outside client) muèn sö dông dÞch vô TELNET ®Ó kÕt nèi vµo hÖ thèng m¹ng qua m«t bastion host cã Telnet proxy. Qu¸ tr×nh x¶y ra nh- sau: Outside client telnets ®Õn bastion host. Bastion host kiÓm tra password, nÕu hîp lÖ th× outside client ®-îc phÐp vµo giao diÖn cña Telnet proxy. Telnet proxy cho phÐp mét tËp nhá nh÷ng lÖnh cña Telnet, vµ quyÕt ®Þnh nh÷ng m¸y chñ néi bé nµo outside client ®-îc phÐp truy nhËp. Outside client chØ ra m¸y chñ ®Ých vµ Telnet proxy t¹o mét kÕt nèi cña riªng nã tíi m¸y chñ bªn trong, vµ chuyÓn c¸c lÖnh tíi m¸y chñ d-íi sù uû quyÒn cña outside client. Outside client th× tin r»ng Telnet proxy lµ m¸y chñ thËt ë bªn trong, trong khi m¸y chñ ë bªn trong th× tin r»ng Telnet proxy lµ client thËt. 1.4.4.2.2 ¦u ®iÓm: Cho phÐp ng-êi qu¶n trÞ m¹ng hoµn toµn ®iÒu khiÓn ®-îc tõng dÞch vô trªn m¹ng, bëi v× øng dông proxy h¹n chÕ bé lÖnh vµ quyÕt ®Þnh nh÷ng m¸y chñ nµo cã thÓ truy nhËp ®-îc bëi c¸c dÞch vô. Cho phÐp ng-êi qu¶n trÞ m¹ng hoµn toµn ®iÒu khiÓn ®-îc nh÷ng dÞch vô nµo cho phÐp, bëi v× sù v¾ng mÆt cña c¸c proxy cho c¸c dÞch vô t-¬ng øng cã nghÜa lµ c¸c dÞch vô Êy bÞ kho¸. Cæng øng dông cho phÐp kiÓm tra ®é x¸c thùc rÊt tèt, vµ nã cã nhËt ký ghi chÐp l¹i th«ng tin vÒ truy nhËp hÖ thèng. LuËt lÖ filltering (läc) cho cæng øng dông lµ dÔ dµng cÊu h×nh vµ kiÓm tra h¬n so víi bé läc packet. 1.4.4.2.3 H¹n chÕ: Yªu cÇu c¸c users biÕn ®æi (mod×y) thao t¸c, hoÆc mod×y phÇn mÒm ®· cµi ®Æt trªn m¸y client cho truy nhËp vµo c¸c dÞch vô proxy. VÝ dô, Telnet truy nhËp qua cæng øng dông ®ßi hái hai b-íc ®ª nèi víi m¸y chñ chø kh«ng ph¶i lµ mét b-íc th«i. Tuy nhiªn, còng ®· cã mét sè phÇn mÒm client cho phÐp øng dông trªn Trang 10 Vietebooks Nguyễn Hoàng Cương cæng øng dông lµ trong suèt, b»ng c¸ch cho phÐp user chØ ra m¸y ®Ých chø kh«ng ph¶i cæng øng dông trªn lÖnh Telnet. 1.4.4.3 Cæng vßng (circuit-Level Gateway) Cæng vßng lµ mét chøc n¨ng ®Æc biÖt cã thÓ thùc hiÖn ®-¬c bëi mét cæng øng dông. Cæng vßng ®¬n gi¶n chØ chuyÓn tiÕp (relay) c¸c kÕt nèi TCP mµ kh«ng thùc hiÖn bÊt kú mét hµnh ®éng xö lý hay läc packet nµo. H×nh 2.2 minh ho¹ mét hµnh ®éng sö dông nèi telnet qua cæng vßng. Cæng vßng ®¬n gi¶n chuyÓn tiÕp kÕt nèi telnet qua firewall mµ kh«ng thùc hiÖn mét sù kiÓm tra, läc hay ®iÒu khiÓn c¸c thñ tôc Telnet nµo.Cæng vßng lµm viÖc nh- mét sîi d©y,sao chÐp c¸c byte gi÷a kÕt nèi bªn trong (inside connection) vµ c¸c kÕt nèi bªn ngoµi (outside connection). Tuy nhiªn, v× sù kÕt nèi nµy xuÊt hiÖn tõ hÖ thèng firewall, nã che dÊu th«ng tin vÒ m¹ng néi bé. Cæng vßng th-êng ®-îc sö dông cho nh÷ng kÕt nèi ra ngoµi, n¬i mµ c¸c qu¶n trÞ m¹ng thËt sù tin t-ëng nh÷ng ng-êi dïng bªn trong. ¦u ®iÓm lín nhÊt lµ mét bastion host cã thÓ ®-îc cÊu h×nh nh- lµ mét hçn hîp cung cÊp Cæng øng dông cho nh÷ng kÕt nèi ®Õn, vµ cæng vßng cho c¸c kÕt nèi ®i. §iÒu nµy lµm cho hÖ thèng bøc t-êng löa dÔ dµng sö dông cho nh÷ng ng-êi trong m¹ng néi bé muèn trùc tiÕp truy nhËp tíi c¸c dÞch vô Internet, trong khi vÉn cung cÊp chøc n¨ng bøc t-êng löa ®Ó b¶o vÖ m¹ng néi bé tõ nh÷ng sù tÊn c«ng bªn ngoµi. out out out outside host Circuit-level Gateway in in in Inside host H×nh 2.2 Cæng vßng 1.4.5 Nh÷ng h¹n chÕ cña firewall Firewall kh«ng ®ñ th«ng minh nh- con ng-êi ®Ó cã thÓ ®äc hiÓu tõng lo¹i th«ng tin vµ ph©n tÝch néi dung tèt hay xÊu cña nã. Firewall chØ cã thÓ ng¨n chÆn sù x©m nhËp cña nh÷ng nguån th«ng tin kh«ng mong muèn nh-ng ph¶i x¸c ®Þnh râ c¸c th«ng sè ®Þa chØ. Firewall kh«ng thÓ ng¨n chÆn mét cuéc tÊn c«ng nÕu cuéc tÊn c«ng nµy kh«ng "®i qua" nã. Mét c¸ch cô thÓ, firewall kh«ng thÓ chèng l¹i mét cuéc tÊn c«ng tõ mét ®-êng dial-up, hoÆc sù dß rØ th«ng tin do d÷ liÖu bÞ sao chÐp bÊt hîp ph¸p lªn ®Üa mÒm. Firewall còng kh«ng thÓ chèng l¹i c¸c cuéc tÊn c«ng b»ng d÷ liÖu (data-driven attack). Khi cã mét sè ch-¬ng tr×nh Trang 11 Vietebooks Nguyễn Hoàng Cương ®-îc chuyÓn theo th- ®iÖn tö, v-ît qua firewall vµo trong m¹ng ®-îc b¶o vÖ vµ b¾t ®Çu ho¹t ®éng ë ®©y. Mét vÝ dô lµ c¸c virus m¸y tÝnh. Firewall kh«ng thÓ lµm nhiÖm vô rµ quÐt virus trªn c¸c d÷ liÖu ®-îc chuyÓn qua nã, do tèc ®é lµm viÖc, sù xuÊt hiÖn liªn tôc cña c¸c virus míi vµ do cã rÊt nhiÒu c¸ch ®Ó m· hãa d÷ liÖu, tho¸t khái kh¶ n¨ng kiÓm so¸t cña firewall. 1.4.6 C¸c vÝ dô firewall 1.4.6.1 Packet-Filtering Router (Bé trung chuyÓn cã läc gãi) HÖ thèng Internet firewall phæ biÕn nhÊt chØ bao gåm mét packet-filtering router ®Æt gi÷a m¹ng néi bé vµ Internet (H×nh 2.3). Mét packet-filtering router cã hai chøc n¨ng: chuyÓn tiÕp truyÒn th«ng gi÷a hai m¹ng vµ sö dông c¸c quy luËt vÒ läc gãi ®Ó cho phÐp hay tõ chèi truyÒn th«ng. C¨n b¶n, c¸c quy luËt läc ®ù¬c ®Þnh nghÜa sao cho c¸c host trªn m¹ng néi bé ®-îc quyÒn truy nhËp trùc tiÕp tíi Internet, trong khi c¸c host trªn Internet chØ cã mét sè giíi h¹n c¸c truy nhËp vµo c¸c m¸y tÝnh trªn m¹ng néi bé. T- t-ëng cña m« cÊu tróc firewall nµy lµ tÊt c¶ nh÷ng g× kh«ng ®-îc chØ ra râ rµng lµ cho phÐp th× cã nghÜa lµ bÞ tõ chèi. Bªn ngoµi Packet filtering router Bªn trong M¹ ng néi bé The Internet H×nh 2.3 Packet-filtering router ¦u ®iÓm: gi¸ thµnh thÊp (v× cÊu h×nh ®¬n gi¶n) trong suèt ®èi víi ng-êi sö dông H¹n chÕ: Cã tÊt c¶ h¹n chÕ cña mét packet-filtering router, nh- lµ dÔ bÞ tÊn c«ng vµo c¸c bé läc mµ cÊu h×nh ®-îc ®Æt kh«ng hoµn h¶o, hoÆc lµ bÞ tÊn c«ng ngÇm d-íi nh÷ng dÞch vô ®· ®-îc phÐp. Bëi v× c¸c packet ®-îc trao ®æi trùc tiÕp gi÷a hai m¹ng th«ng qua router , nguy c¬ bÞ tÊn c«ng quyÕt ®Þnh bëi sè l-îng c¸c host vµ dÞch vô ®-îc phÐp. §iÒu ®ã dÉn ®Õn mçi mét host ®-îc phÐp truy nhËp trùc tiÕp vµo Internet cÇn ph¶i ®-îc cung Trang 12 Vietebooks Nguyễn Hoàng Cương cÊp mét hÖ thèng x¸c thùc phøc t¹p, vµ th-êng xuyªn kiÓm tra bëi ng-êi qu¶n trÞ m¹ng xem cã dÊu hiÖu cña sù tÊn c«ng nµo kh«ng. NÕu mét packet-filtering router do mét sù cè nµo ®ã ngõng ho¹t ®éng, tÊt c¶ hÖ thèng trªn m¹ng néi bé cã thÓ bÞ tÊn c«ng. 1.4.6.2 Screened Host Firewall HÖ thèng nµy bao gåm mét packet-filtering router vµ mét bastion host (h×nh 2.4). HÖ thèng nµy cung cÊp ®é b¶o mËt cao h¬n hÖ thèng trªn, v× nã thùc hiÖn c¶ b¶o mËt ë tÇng network( packet-filtering ) vµ ë tÇng øng dông (application level). §ång thêi, kÎ tÊn c«ng ph¶i ph¸ vì c¶ hai tÇng b¶o mËt ®Ó tÊn c«ng vµo m¹ng néi bé. Bªn trong Bªn ngoµi Packet filtering router Bastion host m¸ y néi bé The Internet Information server H×nh 2.4 Host) Screened host firewall (Single- Homed Bastion Trong hÖ thèng nµy, bastion host ®-îc cÊu h×nh ë trong m¹ng néi bé. Qui luËt filtering trªn packet-filtering router ®-îc ®Þnh nghÜa sao cho tÊt c¶ c¸c hÖ thèng ë bªn ngoµi chØ cã thÓ truy nhËp bastion host; ViÖc truyÒn th«ng tíi tÊt c¶ c¸c hÖ thèng bªn trong ®Òu bÞ kho¸. Bëi v× c¸c hÖ thèng néi bé vµ bastion host ë trªn cïng mét m¹ng, chÝnh s¸ch b¶o mËt cña mét tæ chøc sÏ quyÕt ®Þnh xem c¸c hÖ thèng néi bé ®-îc phÐp truy nhËp trùc tiÕp vµo bastion Internet hay lµ chóng ph¶i sö dông dÞch vô proxy trªn bastion host. ViÖc b¾t buéc nh÷ng user néi bé ®-îc thùc hiÖn b»ng c¸ch ®Æt cÊu h×nh bé läc cña router sao cho chØ chÊp nhËn nh÷ng truyÒn th«ng néi bé xuÊt ph¸t tõ bastion host. ¦u ®iÓm: M¸y chñ cung cÊp c¸c th«ng tin c«ng céng qua dÞch vô Web vµ FTP cã thÓ ®Æt trªn packet-filtering router vµ bastion. Trong Trang 13 Vietebooks Nguyễn Hoàng Cương tr-êng hîp yªu cÇu ®é an toµn cao nhÊt, bastion host cã thÓ ch¹y c¸c dÞch vô proxy yªu cÇu tÊt c¶ c¸c user c¶ trong vµ ngoµi truy nhËp qua bastion host tr-íc khi nèi víi m¸y chñ. Tr-êng hîp kh«ng yªu cÇu ®é an toµn cao th× c¸c m¸y néi bé cã thÓ nèi th¼ng víi m¸y chñ. NÕu cÇn ®é b¶o mËt cao h¬n n÷a th× cã thÓ dïng hÖ thèng firewall dual-home (hai chiÒu) bastion host (h×nh 2.5). Mét hÖ thèng bastion host nh- vËy cã 2 giao diÖn m¹ng (network interface), nh-ng khi ®ã kh¶ n¨ng truyÒn th«ng trùc tiÕp gi÷a hai giao diÖn ®ã qua dÞch vô proxy lµ bÞ cÊm. Bªn trong Bªn ngoµi Packet filtering router Bastion host m¸ y néi bé The Internet Information server H×nh 2.5 Screened host firewall (Dual- Homed Bastion Host) Bëi v× bastion host lµ hÖ thèng bªn trong duy nhÊt cã thÓ truy nhËp ®-îc tõ Internet, sù tÊn c«ng còng chØ giíi h¹n ®Õn bastion host mµ th«i. Tuy nhiªn, nÕu nh- ng-êi dïng truy nhËp ®-îc vµo bastion host th× hä cã thÓ dÔ dµng truy nhËp toµn bé m¹ng néi bé. V× vËy cÇn ph¶i cÊm kh«ng cho ng-êi dïng truy nhËp vµo bastion host. 1.4.6.3 Demilitarized Zone (DMZ - khu vùc phi qu©n sù) hay Screened-subnet Firewall HÖ thèng nµy bao gåm hai packet-filtering router vµ mét bastion host (h×nh 2.6). HÖ thèng firewall nµy cã ®é an toµn cao nhÊt v× nã cung cÊp c¶ møc b¶o mËt : network vµ application trong khi ®Þnh nghÜa mét m¹ng ―phi qu©n sù‖. M¹ng DMZ ®ãng vai trß nh- mét m¹ng nhá, c« lËp ®Æt gi÷a Internet vµ m¹ng néi bé. C¬ b¶n, mét DMZ ®-îc cÊu h×nh sao cho c¸c hÖ thèng trªn Internet vµ m¹ng néi bé chØ cã thÓ truy nhËp ®-îc mét sè giíi h¹n c¸c hÖ Trang 14 Vietebooks Nguyễn Hoàng Cương thèng trªn m¹ng DMZ, vµ sù truyÒn trùc tiÕp qua m¹ng DMZ lµ kh«ng thÓ ®-îc. Víi nh÷ng th«ng tin ®Õn, router ngoµi chèng l¹i nh÷ng sù tÊn c«ng chuÈn (nh- gi¶ m¹o ®Þa chØ IP), vµ ®iÒu khiÓn truy nhËp tíi DMZ. Nã cho phÐp hÖ thèng bªn ngoµi truy nhËp chØ bastion host, vµ cã thÓ c¶ information server. Router trong cung cÊp sù b¶o vÖ thø hai b»ng c¸ch ®iÒu khiÓn DMZ truy nhËp m¹ng néi bé chØ víi nh÷ng truyÒn th«ng b¾t ®Çu tõ bastion host. Víi nh÷ng th«ng tin ®i, router trong ®iÒu khiÓn m¹ng néi bé truy nhËp tíi DMZ. Nã chØ cho phÐp c¸c hÖ thèng bªn trong truy nhËp bastion host vµ cã thÓ c¶ information server. Quy luËt filtering trªn router ngoµi yªu cÇu sö dung dich vô proxy b»ng c¸ch chØ cho phÐp th«ng tin ra b¾t nguån tõ bastion host. ¦u ®iÓm: KÎ tÊn c«ng cÇn ph¸ vì ba tÇng b¶o vÖ: router ngoµi, bastion host vµ router trong. Bëi v× router ngoµi chØ qu¶ng c¸o DMZ network tíi Internet, hÖ thèng m¹ng néi bé lµ kh«ng thÓ nh×n thÊy (invisible). ChØ cã mét sè hÖ thèng ®· ®-îc chän ra trªn DMZ lµ ®-îc biÕt ®Õn bëi Internet qua routing table vµ DNS information exchange (Domain Name Server). Bëi v× router trong chØ qu¶ng c¸o DMZ network tíi m¹ng néi bé, c¸c hÖ thèng trong m¹ng néi bé kh«ng thÓ truy nhËp trùc tiÕp vµo Internet. §iÒu nay ®¶m b¶o r»ng nh÷ng user bªn trong b¾t buéc ph¶i truy nhËp Internet qua dÞch vô proxy. Trang 15 Vietebooks Nguyễn Hoàng Cương Bªn trong DMZ Bªn ngoµi Packet filtering router Bastion host The Internet Outside router Inside router Information server H×nh 2.6 Screened-Subnet Firewall 2. C¸c dÞch vô Internet Nh- ®· tr×nh bµy ë trªn, nh×n chung b¹n ph¶i x¸c ®Þnh b¹n b¶o vÖ c¸i g× khi thiÕt lËp liªn kÕt ra m¹ng ngoµi hay Internet: d÷ liÖu, tµi nguyªn, danh tiÕng. Khi x©y dùng mét Firewall, b¹n ph¶i quan t©m ®Õn nh÷ng vÊn ®Ò cô thÓ h¬n: b¹n ph¶i b¶o vÖ nh÷ng dÞch vô nµo b¹n dïng hoÆc cung cÊp cho m¹ng ngoµi (hay Internet). Internet cung cÊp mét hÖ thèng c¸c dÞch vô cho phÐp ng-êi dïng nèi vµo Internet truy nhËp vµ sö dông c¸c th«ng tin ë trªn m¹ng Internet. HÖ thèng c¸c dÞch vô nµy ®· vµ ®ang ®-îc bæ sung Trang 16 Vietebooks Nguyễn Hoàng Cương theo sù ph¸t triÓn kh«ng ngõng cña Internet. C¸c dÞch vô nµy bao gåm World Wide Web (gäi t¾t lµ WWW hoÆc Web), Email (th- ®iÖn tö), Ftp (file transfer protocols - dÞch vô chuyÓn file), telnet (øng dông cho phÐp truy nhËp m¸y tÝnh ë xa), Archie (hÖ thèng x¸c ®Þnh th«ng tin ë c¸c file vµ directory), finger (hÖ thèng x¸c ®Þnh c¸c user trªn Internet), rlogin(remote login - vµo m¹ng tõ xa) vµ mét sè c¸c dÞch vô kh¸c n÷a. 2.1 World Wide Web - WWW WWW lµ dÞch vô Internet ra ®êi gÇn ®©y nhÊt, nh-ng ph¸t triÓn nhanh nhÊt hiÖn nay. Web cung cÊp mét giao diÖn v« cïng th©n thiÖn víi ng-êi dïng, dÔ sö dông, v« cïng thuËn lîi vµ ®¬n gi¶n ®Ó t×m kiÕm th«ng tin. Web liªn kÕt th«ng tin dùa trªn c«ng nghÖ hyper-link (siªu liªn kÕt), cho phÐp c¸c trang Web liªn kÕt víi nhau trùc tiÕp qua c¸c ®Þa chØ cña chóng. Th«ng qua Web, ng-êi dïng cã thÓ : Ph¸t hµnh c¸c tin tøc cña m×nh vµ ®äc tin tøc tõ kh¾p n¬i trªn thÕ giíi Qu¶ng c¸o vÓ m×nh, vÓ c«ng ty hay tæ chøc cña m×nh còng nhxem c¸c lo¹i qu¶ng c¸o trªn thÕ giíi, tõ kiÕm viÖc lµm, tuyÓn mé nh©n viªn, c«ng nghÖ vµ s¶n phÈm míi, t×m b¹n, v©n v©n. Trao ®æi th«ng tin víi bÌ b¹n, c¸c tæ chøc x· héi, c¸c trung t©m nghiªn cøu, tr-êng häc, v©n v©n Thùc hiÖn c¸c dÞch vô chuyÒn tiÒn hay mua b¸n hµng ho¸ Truy nhËp c¸c c¬ së d÷ liÖu cña c¸c tæ chøc, c«ng ty (nÕu nh- ®-îc phÐp) Vµ rÊt nhiÒu c¸c ho¹t ®éng kh¸c n÷a. 2.2 Electronic Mail (Email hay th- ®iÖn tö). Email lµ dÞch vô Internet ®-îc sö dông réng r·i nhÊt hiÖn nay. H©u hÕt c¸c th«ng b¸o ë d¹ng text (v¨n b¶n) ®¬n gi¶n, nh-ng ng-êi sö dông cã thÓ göi kÌm theo c¸c file chøa c¸c h×nh ¶nh nhs¬ ®å, ¶nh . HÖ thèng email trªn Internet lµ hÖ thèng th- ®iÖn tö lín nhÊt trªn thÕ giíi, vµ th-êng ®-îc sö dông cïng víi c¸c hÖ thèng chuyÓn th- kh¸c. Kh¶ n¨ng chuyÓn th- ®iÖn tö trªn Web cã bÞ h¹n chÕ h¬n so víi c¸c hÖ thèng chuyÓn th- ®iÖn tö trªn Internet, bëi v× Web lµ mét ph-¬ng tiÖn trao ®æi c«ng céng, trong khi th- lµ mét c¸i g× ®ã riªng t-. V× vËy, kh«ng ph¶i tÊt c¶ c¸c Web brower ®Òu cung cÊp chøc n¨ng email. (Hai browser lín nhÊt hiÖn nay lµ Netscape vµ Internet Explorer ®Òu cung cÊp chøc n¨ng email). 2.3 Ftp (file transfer protocol hay dÞch vô chuyÓn file) Ftp lµ mét dÞch vô cho phÐp sao chÐp file tõ mét hÖ thèng m¸y tÝnh nµy ®Õn hÖ thèng m¸y tÝnh kh¸c ftp bao gåm thñ tôc vµ Trang 17 Vietebooks Nguyễn Hoàng Cương ch-¬ng tr×nh øng dông, vµ lµ mét trong nh÷ng dÞch vô ra ®êi sím nhÊt trªn Internet. Fpt cã thÓ ®-îc dïng ë møc hÖ thèng (gâ lÖnh vµo commandline), trong Web browser hay mét sè tiÖn Ých kh¸c. Fpt v« cïng h÷u Ých cho nh÷ng ng-êi dïng Internet, bëi v× khi sôc s¹o trªn Internet, b¹n sÏ t×m thÊy v« sè nh÷ng th- viÖn phÇn mÒm cã Ých vÒ rÊt nhiÒu lÜnh vùc vµ b¹n cã thÓ chÐp chóng vÒ ®Ó sö dông. 2.4 Telnet vµ rlogin Telnet lµ mét øng dông cho phÐp b¹n truy nhËp vµo mét m¸y tÝnh ë xa vµ ch¹y c¸c øng dông ë trªn m¸y tÝnh ®ã. Telnet lµ rÊt h÷u Ých khi b¹n muèn ch¹y mét øng dông kh«ng cã hoÆc kh«ng ch¹y ®-îc trªn m¸y tÝnh cña b¹n, vÝ dô nh- b¹n muèn ch¹y mét øng dung Unix trong khi m¸y cña b¹n lµ PC. Hay b¹n m¸y tÝnh cña b¹n kh«ng ®ñ m¹nh ®Ó ch¹y mét øng dông nµo ®ã, hoÆc kh«ng cã c¸c file d÷ liÖu cÇn thiÕt. Telnet cho b¹n kh¶ n¨ng lµm viÖc trªn m¸y tÝnh ë xa b¹n hµng ngµn c©y sè mµ b¹n vÉn cã c¶m gi¸c nh- ®ang ngåi tr-íc m¸y tÝnh ®ã. Chøc n¨ng cña rlogin(remote login - vµo m¹ng tõ xa) còng t-¬ng tù nh- Telnet. 2.5 Archie Archie lµ mét lo¹i th- viÖn th-êng xuyªn tù ®éng t×m kiÕm c¸c m¸y tÝnh trªn Internet, t¹o ra mét kho d÷ liÖu vÒ danh s¸ch c¸c file cã thÓ n¹p xuèng (downloadable) tõ Internet. Do ®ã, d÷ liªu trong c¸c file nµy lu«n lu«n lµ míi nhÊt. Archie do ®ã rÊt tiÖn dông cho ng-êi dïng ®Ó t×m kiÕm vµ download c¸c file. Ng-êi dïng chØ cÇn göi tªn file, hoÆc c¸c tõ kho¸ tíi Archie; Archie sÏ cho l¹i ®Þa chØ cña c¸c file cã tªn ®ã hoÆc cã chøa nh÷ng tõ ®ã. 2.6 Finger Finger lµ mét ch-¬ng tr×nh øng dông cho phÐp t×m ®Þa chØ cña c¸c user kh¸c trªn Internet. Tèi thiÓu, finger cã thÓ cho b¹n biÕt ai ®ang sö dông mét hÖ thèng m¸y tÝnh nµo ®ã, tªn login cña ng-êi ®ã lµ g×. Finger hay ®-îc sö dông ®Ó t×m ®Þa chØ email cña bÌ b¹n trªn Internet. Finger cßn cã thÓ cung cÊp cho b¹n nhiÒu th«ng tin kh¸c, nh- lµ mét ng-êi nµo ®ã ®· login vµo m¹ng bao l©u. V× thÕ finger cã thÓ coi lµ mét ng-êi trî gióp ®¾c lùc nh-ng còng lµ mèi hiÓm ho¹ cho sù an toµn cña m¹ng. Trang 18 3. HÖ thèng Firewall x©y dùng bëi CSE Bé ch-¬ng tr×nh Firewall 1.0 cña CSE ®-îc ®-a ra vµo th¸ng 6/1998. Bé ch-¬ng tr×nh nµy gåm hai thµnh phÇn: Bé läc gãi tin – IP Filtering Bé ch-¬ng tr×nh cæng øng dông – proxy servers Hai thµnh phÇn nµy cã thÓ ho¹t ®éng mét c¸ch riªng rÏ. Chóng còng cã thÓ kÕt hîp l¹i víi nhau ®Ó trë thµnh mét hÖ thèng firewall hoµn chØnh. Trong tËp tµi liÖu nµy, chóng t«i chØ ®Ò cËp ®Õn bé ch-¬ng tr×nh cæng øng dông ®· ®-îc cµi ®Æt t¹i VPCP. 3.1 Tæng quan Bé ch-¬ng tr×nh proxy cña CSE (phiªn b¶n 1.0) ®-îc ph¸t triÓn dùa trªn bé c«ng cô x©y dùng Internet Firewall TIS (Trusted Information System) phiªn b¶n 1.3. TIS bao gåm mét bé c¸c ch-¬ng tr×nh vµ sù ®Æt l¹i cÊu h×nh hÖ thèng ®Ó nh»m môc ®Ých x©y dùng mét Firewall. Bé ch-¬ng tr×nh ®-îc thiÕt kÕ ®Ó ch¹y trªn hÖ UNIX sö dông TCP/IP víi giao diÖn socket Berkeley. ViÖc cµi ®Æt bé ch-¬ng tr×nh proxy ®ßi hái kinh nghiÖm qu¶n lý hÖ thèng UNIX, vµ TCP/IP networking. Tèi thiÓu, ng-êi qu¶n trÞ m¹ng firewall ph¶i quen thuéc víi: viÖc qu¶n trÞ vµ duy tr× hÖ thèng UNIX ho¹t ®éng viÖc x©y dùng c¸c package cho hÖ thèng Sù kh¸c nhau khi ®Æt cÊu h×nh cho hÖ thèng quyÕt ®Þnh møc ®é an toµn m¹ng kh¸c nhau. Ng-êi cµi ®Æt firewall ph¶i hiÓu râ yªu cÇu vÒ ®é an toµn cña m¹ng cÇn b¶o vÖ, n¾m ch¾c nh÷ng rñi ro nµo lµ chÊp nhËn ®-îc vµ kh«ng chÊp nhËn ®-îc, thu l-îm vµ ph©n tÝch chóng tõ nh÷ng ®ßi hái cña ng-êi dïng. Bé ch-¬ng tr×nh proxy ®-îc thiÕt kÕ cho mét sè cÊu h×nh firewall, trong ®ã c¸c d¹ng c¬ b¶n nhÊt lµ dual-home gateway (h×nh 2.4), screened host gateway(h×nh 2.5), vµ screened subnet gateway(h×nh 2.6). Nh- chóng ta ®· biÕt, trong nh÷ng cÊu tróc firewall nµy, yÕu tè c¨n b¶n nhÊt lµ bastion host, ®ãng vai trß nh- mét ng-êi chuyÓn tiÕp th«ng tin (forwarder), ghi nhËt ký truyÒn th«ng, vµ cung cÊp c¸c dÞch vô. Duy tr× ®é an toµn trªn bastion host lµ cùc kú quan träng, bëi v× ®ã lµ n¬i tËp trung hÇu hÕt c¸c cè g¾ng cµi ®Æt mét hÖ thèng firewall. 3.2 C¸c thµnh phÇn cña bé ch-¬ng tr×nh proxy: Bé ch-¬ng tr×nh proxy gåm nh÷ng ch-¬ng tr×nh bËc øng dông (application-level programs), hoÆc lµ ®Ó thay thÕ hoÆc lµ ®-îc céng thªm vµo phÇn mÒm hÖ thèng ®· cã. Bé ch-¬ng tr×nh proxy cã nh÷ng thµnh phÇn chÝnh bao gåm: Smap: dÞch vô SMTP(Simple Mail Tranfer Protocol) Vietebooks Nguyễn Hoàng Cương Netacl: dÞch vô Telnet, finger, vµ danh môc c¸c ®iªu khiÓn truy nhËp m¹ng Ftp-Gw: Proxy server cho Ftp Telnet-Gw: Proxy server cho Telnet Rlogin-Gw: Proxy server cho rlogin Plug-Gw: TCP Plug-Board Connection server (server kÕt nèi tøc thêi dïng thñ tôc TCP) 3.2.1 Smap: DÞch vô SMTP SMTP ®-îc x©y dùng b»ng c¸ch sö dông cÆp c«ng cô phÇn mÒm smap vµ smapd. Cã thÓ nãi r»ng SMTP chèng l¹i sù ®e do¹ tíi hÖ thèng, bëi v× c¸c ch-¬ng tr×nh mail ch¹y ë møc ®é hÖ thèng ®Ó ph©n ph¸t mail tíi c¸c hép th- cña user. Smap vµ smapd thùc hiÖn ®iÒu ®ã b»ng c¸ch c« lËp ch-¬ng tr×nh mail, b¾t nã ch¹y trªn mét th- môc dµnh riªng (restricted directory) qua chroot (thay ®æi th- môc gèc), nh- mét user kh«ng cã quyÒn -u tiªn. Môc ®Ých cña smap lµ c« lËp ch-¬ng tr×nh mail vèn ®· g©y ra rÊt nhiÒu lçi trªn hÖ thèng. PhÇn lín c¸c c«ng viÖc xö lý mail th-êng ®-îc thùc hiÖn bëi ch-¬ng tr×nh sendmail. Sendmail kh«ng yªu cÇu mét sù thay ®æi hay ®Æt l¹i cÊu h×nh g× c¶. Khi mét hÖ thèng ë xa nèi tíi mét cæng SMTP, hÖ ®iÒu hµnh khëi ®éng smap. Smap lËp tøc chroot tíi th- môc dµnh riªng vµ ®Æt user-id ë møc b×nh th-êng (kh«ng cã quyÒn -u tiªn). Bëi v× smap kh«ng yªu cÇu hç trî bëi mét file hÖ thèng nµo c¶, thmôc dµnh riªng chØ chøa c¸c file do smap t¹o ra. Do vËy, b¹n kh«ng cÇn ph¶i lo sî lµ smap sÏ thay ®æi file hÖ thèng khi nã chroot. Môc ®Ých duy nhÊt cña smap lµ ®èi tho¹i SMTP víi c¸c hÖ thèng kh¸c, thu l-îm th«ng b¸o mail, ghi vµo ®Üa, ghi nhËt ký, vµ tho¸t. Smapd cã tr¸ch nhiÖm th-êng xuyªn quÐt th- môc kho cña smap vµ ®-a ra c¸c th«ng b¸o ®· ®-îc xÕp theo thø tù (queued messages) tíi sendmail ®Ó cuèi cïng ph©n ph¸t. Chó ý r»ng nÕu sendmail ®-îc ®Æt cÊu h×nh ë møc b×nh th-êng, vµ smap ch¹y víi uucp user-id (?), mail cã thÓ ®-îc ph©n ph¸t b×nh th-êng mµ kh«ng cÇn smapd ch¹y víi møc -u tiªn cao. Khi smapd ph©n ph¸t mét th«ng b¸o, nã xo¸ file chøa th«ng b¸o ®ã trong kho. Theo ý nghÜa nµy, sendmail bÞ c« lËp, vµ do ®ã mét user l¹ trªn m¹ng kh«ng thÓ kÕt nèi víi sendmail mµ kh«ng qua smap. Tuy nhiªn, smap vµ smapd kh«ng thÓ gi¶i quyÕt vÊn ®Ò gi¶ m¹o thhoÆc c¸c lo¹i tÊn c«ng kh¸c qua mail. Smap cã kÝch th-íc rÊt nhá so víi sendmail (700 dßng so víi 20,000 dßng) nªn viÖc ph©n tÝch file nguån ®Ó t×m ra lçi ®¬n gi¶n h¬n nhiÒu. 3.2.2 Netacl: c«ng cô ®iÒu khiÓn truy nhËp m¹ng Chóng ta ®· biÕt r»ng inetd kh«ng cung cÊp mét sù ®iÒu khiÓn truy nhËp m¹ng nµo c¶: nã cho phÐp bÊt kú mét hÖ thèng nµo Trang 20 Vietebooks Nguyễn Hoàng Cương trªn m¹ng còng cã thÓ nèi tíi c¸c dÞch vô liÖt kª trong file inetd.conf. Netacl lµ mét c«ng cô ®Ó ®iÒu khiÓn truy nhËp m¹ng, dùa trªn ®Þa chØ network cña m¸y client, vµ dÞch vô ®-îc yªu cÇu. V× vËy mét client (x¸c ®Þnh bëi ®Þa chØ IP hoÆc hostname) cã thÓ khëi ®éng telnetd (mét version kh¸c cña telnet) khi nã nèi víi cæng dÞch vô telnet trªn firewall. Th-êng th-êng trong c¸c cÊu h×nh firewall, netacl ®-îc sö dông ®Ó cÊm tÊt c¶ c¸c m¸y trõ mét vµi host ®-îc quyÒn login tíi firewall qua hoÆc lµ telnet hoÆc lµ rlogin, vµ ®Ó kho¸ c¸c truy nhËp tõ nh÷ng kÎ tÊn c«ng. §é an toµn cña netacl dùa trªn ®Þa chØ IP vµ/hoÆc hostname. Víi c¸c hÖ thèng cÇn ®é an toµn cao, nªn dông ®Þa chØ IP ®Ó tr¸nh sù gi¶ m¹o DNS. Netacl kh«ng chèng l¹i ®-îc sù gi¶ ®Þa chØ IP qua chuyÓn nguån (source routing) hoÆc nh÷ng ph-¬ng tiÖn kh¸c. NÕu cã c¸c lo¹i tÊn c«ng nh- vËy, cÇn ph¶i sö dông mét router cã kh¶ n¨ng soi nh÷ng packet ®· ®-îc chuyÓn nguån (screening source routed packages). Chó ý lµ netacl kh«ng cung cÊp ®iÒu khiÓn truy nhËp UDP, bëi v× c«ng nghÖ hiÖn nay kh«ng ®¶m b¶o sù x¸c thùc cña UDP. An toµn cho c¸c dÞch vô UDP ë ®©y ®ång nghÜa víi sù kh«ng cho phÐp tÊt c¶ c¸c dÞch vô UDP. Netacl chØ bao gåm 240 dßng m· C (c¶ gi¶i thÝch) cho nªn rÊt dÔ dµng kiÓm tra vµ hiÖu chØnh. Tuy nhiªn vÉn cÇn ph¶i cÈn thËn khi cÊu h×nh nã. 3.2.3 Ftp-Gw: Proxy server cho Ftp Ftp-Gw lµ mét proxy server cung cÊp ®iÒu khiÓn truy nhËp m¹ng dùa trªn ®Þa chØ IP vµ/hoÆc hostname, vµ cung cÊp ®iÒu khiÓn truy nhËp thø cÊp cho phÐp tuú chän kho¸ hoÆc ghi nhËt ký bÊt kú lÖnh ftp nµo. §Ých cho dÞch vô nµy còng cã thÓ tuú chän ®-îc phÐp hay kho¸. TÊt c¶ c¸c sù kÕt nèi vµ byte d÷ liÖu chuyÓn qua ®Òu bÞ ghi nhËt kÝ l¹i. Ftp-Gw tù b¶n th©n nã kh«ng ®e do¹ an toµn cña hÖ thèng firewall, bëi v× nã ch¹y chroot tíi mét th- môc rçng, kh«ng thùc hiÖn mét thñ tôc vµo ra file nµo c¶ ngoµi viÖc ®äc file cÊu h×nh cña nã. KÝch th-íc cña Ftp-gw lµ kho¶ng 1,300 dßng. Ftp gateway chØ cung cÊp dÞch vô ftp, mµ kh«ng quan t©m ®Õn ai cã quyÒn hay kh«ng cã quyÒn kÕt xuÊt (export) file. Do vËy, viÖc x¸c ®Þnh quyÒn ph¶i ®-îc thiÕt lËp trªn gateway vµ ph¶i thùc hiÖn trø¬c khi thùc hiÖn kÕt xuÊt (export) hay nhËp (import) file. Ftp gateway nªn ®-îc cµi ®Æt dùa theo chÝnh s¸ch an toµn cña m¹ng. Bé ch-¬ng tr×nh nguån cho phÐp ng-êi qu¶n trÞ m¹ng cung cÊp c¶ dÞch vô ftp vµ ftp proxy trªn cïng mét hÖ thèng. Trang 21 Vietebooks Nguyễn Hoàng Cương 3.2.4 Telnet-Gw: Proxy server cho Telnet Telnet-Gw lµ mét proxy server cung cÊp ®iÒu khiÓn truy nhËp m¹ng dùa trªn ®Þa chØ IP vµ/hoÆc hostname, vµ cung cÊp sù ®iÒu khiÓn truy nhËp thø cÊp cho phÐp tuú chän kho¸ bÊt kú ®Ých nµo. TÊt c¶ c¸c sù kÕt nèi vµ byte d÷ liÖu chuyÓn qua ®Òu bÞ ghi nhËt ký l¹i. Mçi mét lÇn user nèi tíi telnet-gw, sÏ cã mét menu ®¬n gi¶n cña c¸c chän lùa ®Ó nèi tíi mét host ë xa. Telnet-gw kh«ng ph-¬ng h¹i tíi an toµn hÖ thèng, v× nã ch¹y chroot ®Õn m«t th- môc dµnh riªng (restricted directory). File nguån bao gåm chØ 1,000 dßng lÖnh. ViÖc xö lý menu lµ hoµn toµn diÔn ra ë trong bé nhí, vµ kh«ng cã m«t subsell hay ch-¬ng tr×nh nµo tham dù. Còng kh«ng cã viÖc vµo ra file ngoµi viÖc ®äc cÊu h×nh file. V× vËy, telnet-gw kh«ng thÓ cung cÊp truy nhËp tíi b¶n th©n hÖ thèng firewall. 3.2.5 Rlogin-Gw: Proxy server cho rlogin C¸c terminal truy nhËp qua thñ tôc BSD rlogin cã thÓ ®-îc cung cÊp qua rlogin proxy. rlogin cho phÐp kiÓm tra vµ ®iªu khiÓn truy nhËp m¹ng t-¬ng tù nh- telnet gateway. Rlogin client cã thÓ chØ ra mét hÖ thèng ë xa ngay khi b¾t ®Çu nèi vµo proxy, cho phÐp h¹n chÕ yªu cÇu t-¬ng t¸c cña user víi m¸y (trong tr-êng hîp kh«ng yªu cÇu x¸c thùc). 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net Th«ng th-êng, viÖc khai th¸c th«ng tin tõ CSDL Oracle ®-îc tiÕn hµnh th«ng qua dÞch vô WWW. Tuy nhiªn ®Ó hç trî ng-êi sö dông dïng ch-¬ng tr×nh plus33 nèi vµo m¸y chñ Oracle, bé firewall cña CSE ®-îc ®-a kÌm vµo ch-¬ng tr×nh Sql-net proxy. ViÖc kiÓm so¸t truy nhËp ®-îc thùc hiÖu qua tªn m¸y hay ®Þa chØ IP cña m¸y nguån vµ m¸y ®Ých. 3.2.7 Plug-Gw: TCP Plug-Board Connection server Firewall cung cÊp c¸c dÞch vô th«ng th-êng nh- Usernet news. Ng-êi qu¶n trÞ m¹ng cã thÓ chän hoÆc lµ ch¹y dÞch vô nµy trªn b¶n th©n firewall, hoÆc lµ cµi ®Æt mét proxy server. Do ch¹y news trùc tiÕp trªn firewall dÔ g©y lçi hÖ thèng trªn phÇn mÒm nµy, c¸ch an toµn h¬n lµ sö dông proxy. Plug-gw ®-îc thiÕt kÕ cho Usernet News. Plug-gw cã thÓ ®-îc ®Æt cÊu h×nh ®Ó cho phÐp hay tõ chèi mét sù kÕt nèi dùa trªn ®Þa chØ IP hoÆc lµ hostname. TÊt c¶ sù kÕt nèi vµ c¸c byte d÷ liÖu chuyÓn qua ®Òu ®-îc ghi nhËt ký l¹i. 3.3 Cµi ®Æt Bé cµi ®Æt gåm 2 ®Üa mÒm 1.44 Mb, R1 vµ R2. Mçi bé cµi ®Æt ®Òu cã mét sè Serial number kh¸c nhau vµ chØ ho¹t ®éng ®-îc trªn m¸y cã hostname ®· x¸c ®Þnh tr-íc. ViÖc cµi ®Æt ®-îc tiÕn hµnh b×nh th-êng b»ng c¸ch dïng lÖnh custom. Trang 22 Vietebooks Nguyễn Hoàng Cương Khi cµi ®Æt, mét ng-êi sö dông cã tªn lµ proxy ®-îc ®¨ng ký víi hÖ thèng ®Ó thùc hiÖn c¸c chøc n¨ng qu¶n lý proxy. Ng-êi cµi ®Æt ph¶i ®Æt mËt khÈu cho user nµy. Mét th- môc /usr/proxy ®-îc tù ®éng thiÕt lËp, trong ®ã cã c¸c th- môc con: bin ®Ó chøa c¸c ch-¬ng tr×nh thùc hiÖn etc ®Ó chøa c¸c tÖp cÊu h×nh Firewall vµ mét sè vÝ dô c¸c file cÊu h×nh cña hÖ thèng khi ch¹y víi Firewall nh- inetd.conf, services, syslog.conf log ®Ó chøa c¸c tÖp nhËt ký report ®Ó chøa c¸c tÖp b¸o c¸o sau nµy. ViÖc ®Æt cÊu h×nh vµ qu¶n trÞ CSE Firewall ®Òu th«ng qua c¸c chøc n¨ng trªn menu khi login vµo m¸y Firewall b»ng tªn ng-êi sö dông lµ proxy. Sau khi cµi ®Æt nªn ®æi tªn nh÷ng tÖp hÖ thèng vµ l-u l¹i tr-íc khi ®Æt cÊu h×nh: /etc/inetd.conf /etc/services /etc/syslog.conf. 3.4 ThiÕt lËp cÊu h×nh: 3.4.1 CÊu h×nh m¹ng ban ®Çu Víi Firewall host-base Chóng ta cã thÓ ch¾c ch¾n vµo viÖc m¹ng ®-îc cµi ®Æt theo mét chÝnh s¸ch an toµn ®-îc lùa chän nh»m ng¨n c¶n mäi luång th«ng tin kh«ng mong muèn gi÷a m¹ng ®-îc b¶o vÖ vµ m¹ng bªn ngoµi. §iÒu nµy cã thÓ ®-îc thùc hiÖn bëi screening router hay dual-home gateway. Th«ng th-êng, c¸c thiÕt bÞ m¹ng ®Òu sö dông c¬ chÕ an toµn cµi ®Æt trªn router n¬i mµ mäi liªn kÕt ®Òu ph¶i ®i qua. Mét ®iÒu cÇn quan t©m lµ trong khi ®ang cµi ®Æt, nh÷ng m¸y chñ c«ng khai (Firewall bastion host) cã thÓ bÞ tÊn c«ng tr-íc khi c¬ chÕ an toµn cña nã ®-îc cÊu h×nh hoµn chØnh ®Ó cã thÓ ch¹y ®-îc. Do ®ã, nªn cÊu h×nh tÖp inetd.conf ®Ó cÊm tÊt c¶ c¸c dÞch vô m¹ng tõ ngoµi vµo vµ sö dông thiÕt bÞ ®Çu cuèi ®Ó cµi ®Æt. T¹i thêi ®iÓm ®ã, chóng ta cã thÓ quy ®Þnh nh÷ng truy nhËp gi÷a m¹ng ®-îc b¶o vÖ vµ m¹ng bªn ngoµi nµo sÏ bÞ kho¸. Tuú theo môc ®Ých, chóng ta cã thÓ ng¨n c¸c truy nhËp tuú theo h-íng cña chóng. Ch-¬ng tr×nh còng cÇn ®-îc thö nghiÖm kü cµng tr-íc khi sö dông. NÕu cÇn thiÕt cã thÓ dïng ch-¬ng tr×nh /usr/proxy/bin/netscan ®Ó thö kÕt nèi tíi tÊt c¶ m¸y tÝnh trong m¹ng con ®Ó kiÓm tra. Nã sÏ cè g¾ng thö lät qua Firewall theo mäi h-íng ®Ó ch¾c ch¾n r»ng c¸c truy nhËp bÊt hîp ph¸p lµ kh«ng thÓ x¶y ra. Ng¨n cÊm truy nhËp vµo ra lµ c¸i chèt trong c¬ chÕ Trang 23 Vietebooks Nguyễn Hoàng Cương an toµn cña Firewall kh«ng nªn sö dông nÕu nã ch-a ®-îc cµi ®Æt vµ thö nghiÖm kü l-ìng. 3.4.2 CÊu h×nh cho Bastion Host Mét nguyªn nh©n c¬ b¶n cña viÖc x©y dùng Firewall lµ ®Ó ng¨n chÆn c¸c dÞch vô kh«ng cÇn thiÕt vµ c¸c dÞch vô kh«ng n¾m râ. Ng¨n chÆn c¸c dÞch vô kh«ng cÇn thiÕt ®ßi hái ng-êi cµi ®Æt ph¶i cã hiÓu biÕt vÒ cÊu h×nh hÖ thèng. C¸c b-íc thùc hiÖn nhsau: Söa ®æi tÖp /etc/inetd.conf, /etc/services, /etc/syslog.conf, /etc/sockd.conf. Söa ®æi cÊu h×nh hÖ diÒu hµnh, lo¹i bá nh÷ng dÞch vô cã thÓ g©y lçi nh- NFS, sau ®ã rebuild kernel. ViÖc nµy ®-îc thùc hiÖn cho tíi khi hÖ thèng cung cÊp dÞch vô tèi thiÓu mµ ng-êi qu¶n trÞ tin t-ëng. ViÖc cÊu h×nh nµy cã thÓ lµm ®ång thêi víi viÖc kiÓm tra dÞch vô nµo ch¹y chÝnh x¸c b»ng c¸ch dïng c¸c lÖnh ps vµ netstat. PhÇn lín c¸c server ®-îc cÊu h×nh cïng víi mét sè d¹ng b¶o mËt kh¸c, c¸c cÊu h×nh nµy sÏ m« t¶ ë phÇn sau. Mét c«ng cô chung ®Ó th¨m dß c¸c dÞch vô TCP/IP lµ /usr/proxy/bin/portscan cã thÓ dïng ®Ó xem dÞch vô nµo ®ang ®-îc cung cÊp. NÕu kh«ng cã yªu cÇu ®Æc biÖt cã thÓ dïng c¸c file cÊu h×nh nãi trªn ®· ®-îc t¹o s½n vµ ®Æt t¹i /usr/proxy/etc khi cµi ®Æt, ng-îc l¹i cã thÓ tham kh¶o ®Ó söa ®æi theo yªu cÇu. Toµn bé c¸c thµnh phÇn cña bé Firewall ®ßi hái ®-îc cÊu h×nh chung (mÆc ®Þnh lµ /usr/proxy/etc/netperms). PhÇn lín c¸c thµnh phÇn cña bé Firewall ®-îc gäi bëi dÞch vô cña hÖ thèng lµ inetd, khai b¸o trong /etc/inetd.conf t-¬ng tù nh- sau: f tp f tpgw t elne t-a t elne t l ogin trea m trea m trea m trea m trea m s cp s cp s cp s cp s cp t owai t t owai t t owai t t owai t t owai t n oot n oot n oot n oot n oot r /usr/proxy/ bin/netacl /usr/proxy/ bin/ftp-gw /usr/proxy/ bin/netacl /usr/proxy/ bin/tn-gw /usr/proxy/ bin/rlogin-gw f tpd f tp-gw t elnetd t n-gw r logingw r r r r Trang 24 Vietebooks Nguyễn Hoàng Cương t n n /usr/proxy/ f inge trea cp owai obod bin/netacl ingerd r m t y h s t n r /usr/proxy/ h ttp trea cp owai oot bin/netacl ttpd m t s s t n r /usr/proxy/ s mtp trea cp owai oot bin/smap map m t Ch-¬ng tr×nh netacl lµ mét vá bäc TCP (TCP Wrapper) cung cÊp kh¶ n¨ng ®iÒu khiÓn truy cËp cho nh÷ng dÞch vô TCP vµ còng sö dông mét tÖp cÊu h×nh víi Firewall. B-íc ®Çu tiªn ®Ó cÊu h×nh netacl lµ cho phÐp m¹ng néi bé truy nhËp cã giíi h¹n vµo Firewall, nÕu nh- nã cÇn thiÕt cho nhu cÇu qu¶n trÞ. Tuú thuéc vµo TELNET gateway tn-gw cã ®-îc cµi ®Æt hay kh«ng, qu¶n trÞ cã thÓ truy cËp vµo Firewall qua cæng kh¸c víi cæng chuÈn cña telnet (23). Bëi v× telnet th-êng kh«ng cho phÐp ch-¬ng tr×nh truy cËp tíi mét cæng kh«ng ph¶i lµ cæng chuÈn cña nã. DÞch vô proxy sÏ ch¹y trªn cæng 23 vµ telnet thùc sù sÏ ch¹y trªn cæng kh¸c vÝ dô dÞch vô cã tªn lµ telnet-a ë trªn (Xem file inetd.conf ë trªn). Cã thÓ kiÓm tra tÝnh ®óng ®¾n cña netacl b»ng c¸ch cÊu h×nh cho phÐp hoÆc cÊm mét sè host råi thö truy cËp c¸c dÞch vô tõ chóng. Mçi khi netacl ®-îc cÊu h×nh, TELNET vµ FTP gateway cÇn ph¶i ®-îc cÊu h×nh theo. CÊu h×nh TELNET gateway chØ ®¬n gi¶n lµ coi nã nh- mét dÞch vô vµ trong netacl.conf viÕt mét sè miªu t¶ hÖ thèng nµo cã thÓ sö dông nã. Trî gióp cã thÓ ®-îc cung cÊp cho ng-êi sö dông khi cÇn thiÕt. ViÖc cÊu h×nh FTP proxy còng nh- vËy. Tuy nhiªn, FTP cã thÓ sö dông cæng kh¸c kh«ng gièng TELNET. RÊt nhiÒu c¸c FTP client hç trî cho viÖc sö dông cæng kh«ng chuÈn. DÞch vô rlogin lµ mét tuú chän cã thÓ dïng vµ ph¶i ®-îc cµi ®Æt trªn cæng øng dông cña bastion host (cæng 512) giao thøc rlogin ®ßi hái mét cæng ®Æc biÖt, mét qu¸ tr×nh ®ßi hái sù cho phÐp cña hÖ thèng UNIX. Ng-êi qu¶n trÞ muèn sö dông c¬ chÕ an toµn ph¶i cµi ®Æt th- môc cho proxy ®Ó nã giíi h¹n nã trong thmôc ®ã. Smap vµ smapd lµ c¸c tiÕn tr×nh läc th- cã thÓ ®-îc cµi ®Æt sö dông th- môc riªng cña proxy ®Ó xö lý hoÆc sö dông mét thmôc nµo ®ã trong hÖ thèng. Smap vµ smapd kh«ng thay thÕ sendmail do ®ã vÉn cÇn cÊu h×nh sendmail cho Firewall. ViÖc nµy kh«ng m« t¶ trong tµi liÖu nµy. f s Trang 25 Vietebooks Nguyễn Hoàng Cương 3.4.3 ThiÕt lËp tËp hîp quy t¾c Khi cÊu h×nh cho proxy server vµ ch-¬ng tr×nh ®iÒu khiÓn truy cËp m¹ng ®iÒu cÇn thiÕt lµ thiÕt lËp chÝnh x¸c tËp quy t¾c ®Ó thÓ hiÖn ®óng víi m« h×nh an toµn mong muèn. Mét c¸ch tèt ®Ó b¾t ®Çu cÊu h×nh Firewall lµ ®Ó mäi ng-êi trong m¹ng sö dông tù do c¸c dÞch vô ®ång thêi cÊm tÊt c¶ mäi ng-êi bªn ngoµi. ViÖc ®Æt cÊu h×nh cho firewall kh«ng qu¸ r¾c rèi, v× nã ®-îc thiÕt kÕ ®Ó hç trî cho mäi hoµn c¶nh. TÖp tin /usr/proxy/etc/netperms lµ CSDL cÊu h×nh vµ quyÒn truy nhËp (configuration/permissions) cho c¸c thµnh phÇn cña Firewall: netacl, smap, smapd, ftp-gw, tn-gw, http-gw, vµ plug-gw. Khi mét trong c¸c øng dông nµy khëi ®éng, nã ®äc cÊu h×nh vµ quyÒn truy nhËp cña nã tõ netperms vµ l-u tr÷ vµo mét CSDL trong bé nhí. File configuration/permissions ®-îc thiÕt lËp thµnh nh÷ng quy t¾c, mçi quy t¾c chøa trªn mét dßng. PhÇn ®Çu tiªn cña mçi quy t¾c lµ tªn cða øng dông, tiÕp theo lµ dÊu hai chÊm (―:‖). NhiÒu øng dông cã thÓ dïng chung mét quy t¾c víi tªn ng¨n c¸ch bëi dÊu ph¶y. Dßng chó thÝch cã thÓ chÌn vµo file cÊu h×nh b»ng c¸ch thªm vµo ®Çu dßng ký tù ‗#‘. 3.4.3.1 ThiÕt lËp tËp hîp c¸c quy t¾c cho dÞch vô HTTP, FTP ViÖc thiÕt lËp cÊu h×nh cho c¸c dÞch vô HTTP, FTP lµ t-¬ng tù nh- nhau. Chóng t«i chØ ®-a ra chi tiÕt vÒ thiÕt lËp cÊu h×nh vµ quy t¾c cho dÞch vô FTP. #Example ftp gateway rules: #--------------------------------f denial/usr/proxy/etc/ftptp-gw: msg deny.txt f welcome /usr/proxy/etc/ftptp—gw: -msg welcome.txt f help/usr/proxy/etc/ftptp-gw: msg help.txt f permit-hosts 10.10.170.* tp-gw: log {retr stor} f timeout tp-gw: 3600 Trong vÝ dô trªn, m¹ng 10.10.170 ®-îc cho phÐp dïng proxy trong khi mäi host kh¸c kh«ng cã trong danh s¸ch, mäi truy cËp kh¸c ®Òu bÞ cÊm. NÕu mét m¹ng kh¸c muèn truy cËp proxy, nã nhËn ®-îc mét th«ng b¸o tõ chèi trong /usr/proxy/etc/ftp-deny.txt vµ sau ®ã liªn kÕt bÞ ng¾t. NÕu m¹ng ®-îc b¶o vÖ ph¸t triÓn thªm chØ cÇn thªm vµo c¸c dßng cho phÐp. ft permit-hosts 16.67.32.* -log Trang 26 Vietebooks Nguyễn Hoàng Cương p-gw: or ft p-gw: ft p-gw: {retr stor} permit-hosts {retr stor} permit-hosts {retr stor} 16.67.32.* 10.10.170.* -log -log Mçi bé phËn cña Firewall cã mét tËp c¸c tuú chän vµ cê ®-îc m« t¶ trong manual page riªng cña phÇn ®ã. Trong vÝ dô trªn, Tuú chän -log {retr stor} cho phÐp FTP proxy ghi l¹i nhËt ký víi tuú chän retr vµ stor. 3.4.3.2 Anonymous FTP Anonymous FTP server ®· ®-îc sö dông trong hÖ ®iÒu hµnh UNIX tõ l©u. C¸c lç hæng trong viÖc b¶o ®¶m an toµn (Security hole) th-êng xuyªn sinh ra do c¸c chøc n¨ng míi ®-îc thªm vµo, sù xuÊt hiÖn cña bug vµ do cÊu h×nh sai. Mét c¸ch tiÕp cËn víi viÖc ®¶m b¶o an toµn cho anonymous FTP lµ sö dông netacl ®Ó ch¾c ch¾n FTP server bÞ h¹n chÕ trong th- môc cña nã tr-íc khi ®-îc gäi. Víi cÊu hinh nh- vËy, khã kh¨n cho anonymous FTP lµm tæn h¹i ®Õn hÖ thèng bªn ngoµi khu vùc cña FTP. D-íi ®©y lµ mét vÝ dô sö dông netacl ®Ó quyÕt ®Þnh giíi h¹n hay kh«ng giíi h¹n vïng sö dông cña FTP ®èi víi mçi liªn kÕt. Gi¶ sö lµ m¹ng ®-îc b¶o vÖ lµ 192.5.12 neta hosts -exec /etc/ftpd cl-ftpd: 192.5.12.* neta hosts -exec /bin/cat cl-ftpd: unknown /usr/proxy/etc/noftp.txt neta hosts * -chroot /ftpdir -exec cl-ftpd: /etc/ftpd Trong vÝ dô nµy, ng-êi dïng nèi víi dÞch vô FTP tõ m¹ng ®-îc b¶o vÖ cã kh¶ n¨ng FTP b×nh th-êng. Ng-êi dïng kÕt nèi tõ hÖ thèng kh¸c domain nhËn ®-îc mét th«ng b¸o r»ng hä kh«ng cã quyÒn sö dông FTP. Mäi hÖ thèng kh¸c kÕt nèi vµo FTP ®Òu sö dông víi vïng file FTP. §iÒu nµy cã mét sè thuËn lîi cho viÖc b¶o ®¶m an toµn. Thø nhÊt, khi kiÓm tra x¸c thùc, ftpd kiÓm tra mËt khÈu cña ng-êi sö dông trong vïng FTP, cho phÐp ng-êi qu¶n trÞ ®-a ra ―account‖ cho FTP. §iÒu nµy cÇn thiÕt cho nh’ng ng-êi kh«ng cã account trong bastion host cung cÊp sù kiÓm tra vµ x¸c thùc nã cßn cho phÐp qu¶n trÞ sö dông nh÷ng ®iÓm m¹nh cña ftpd cho dï nã chøa mét sè lç hæng vÒ an toµn. 3.4.3.3 Telnet vµ rlogin Nãi chung truy cËp tíi bastion host nªn bÞ cÊm, chØ ng-êi qu¶n trÞ cã quyÒn login. Th«ng th-êng ®Ó khi ch¹y proxy, ch-¬ng Trang 27 Vietebooks Nguyễn Hoàng Cương tr×nh telnet vµ rlogin kh«ng thÓ ch¹y trªn c¸c cæng chuÈn cña chóng. Cã 3 c¸ch gi¶i quyÕt vÊn ®Ò nµy: Ch¹y telnet vµ rloggin proxy trªn cæng chuÈn víi telnet vµ rlogin trªn cæng kh¸c vµ b¶o vÖ truy cËp tíi chóng b»ng netacl Cho phÐp login chØ víi thiÕt bÞ ®Çu cuèi. Dïng netacl ®Ó chuyÓn ®æi tuú thuéc vµo ®iÓm xuÊt ph¸t cña kÕt nèi, dùa trªn proxy ®Ó thùc hiÖn kÕt nèi thùc sù. C¸ch gi¶i quyÕt cuèi cïng rÊt tiÖn lîi nh-ng cho phÐp mäi ng-êi cã quyÒn dïng proxy ®Ó login vµo bastion host. NÕu bastion host sö dông x¸c thùc møc cao ®Ó qu¶n lý truy cËp cña ng-êi dïng, sù rñi ro do viÖc tÊn c«ng vµo hÖ bastion host sÏ ®-îc gi¶m thiÓu. ®Ó cÊu h×nh hÖ thèng tr-íc hÕt, tÊt c¶ c¸c thiÕt bÞ ®-îc nèi vµo hÖ thèng qua netacl vµ dïng nã gäi c¸c ch-¬ng tr×nh server hay proxy server tuú thuéc vµo n¬i xuÊt ph¸t cña kÕt nèi. Ng-êi qu¶n trÞ muèn vµo bastion host tr-íc hÕt ph¶i kÕt nèi vµo netacl sau ®ã ra lÖnh kÕt nèi vµo bastion host. ViÖc nµy ®¬n gi¶n v× mét sè b¶n telnet vµ rlogin kh«ng lµm viÖc nÕu kh«ng ®-îc kÕt nèi vµo ®óng cæng. netacl -telnetd: netacl -telnetd: netacl -telnetd: netacl -rlogin: netacl -rlogin: perm it-hosts perm it-hosts perm it-hosts perm it-hosts perm it-hosts 1 27.0.0 .1 m yaddre ss * 1 27.0.0 .1 m yaddre ss * -exec /etc/telnetd -exec /etc/telnetd -exec /usr/proxy/bin/tn-gw -exec /etc/rlogin -exec /etc/rlogin netacl perm -exec -rlogin: it-hosts /usr/proxy/bin/rlogin-gw 3.4.3.4 Sql-net proxy Gi¶ thiÕt lµ cã hai CSDL STU n»m trªn m¸y 190.2.2.3 vµ VPCP n»m trªn m¸y 190.2.0.4. §Ó cÊu h×nh cho sql-net proxy, ph¶i tiÕn hµnh c¸c b-íc nhsau: 3.4.3.4.1 CÊu h×nh trªn firewall §Æt cÊu h×nh cho tÖp netperms nh- sau: #Oracle proxy for STU Database Trang 28 Vietebooks Nguyễn Hoàng Cương ora_stu1: ora_stu1: ora_stu2: ora_stu2: timeout 3600 port 1521 * -plug-to 190.2.2.3 -port 1521 timeout 3600 port 1526 * -plug-to 190.2.2.3 -port 1526 #Oracle proxy for VBPQ Database ora_vpcp1: timeout 3600 ora_vpcp1: port 1421 * -plug-to 190.2.0.4 -port 1521 ora_vpcp2: timeout 3600 ora_vpcp2: port 1426 * -plug-to 190.2.0.4 -port 1526 §Æt l¹i tÖp /etc/services nh- sau: #Oracle Proxy for STU Database ora_stu1 1521/tcp oracle proxy ora_stu2 1526/tcp oracle proxy #Oracle Proxy for VBPQ Database ora_vpcp1 1421/tcp oracle proxy ora_vpcp2 1426/tcp oracle proxy §Æt l¹i tÖp /etc/inetd.conf nh- sau: #Oracle Proxy for VBPQ Database ora_stu1 stream tcp nowait /usr/proxy/bin/plug-gw ora_stu1 ora_stu2 stream tcp nowait /usr/proxy/bin/plug-gw ora_stu2 root root #Oracle Proxy for VBPQ Database ora_vpcp1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp1 ora_vpcp2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp2 §Æt l¹i tÖp /etc/syslog.conf nh- sau: #Logfile for Sql-gw ―sql-gw‖ /usr/proxy/log/plug-gw 3.4.3.4.2 CÊu h×nh trªn m¸y tr¹m §Æt l¹i tÖp oracle_home\network\admin\tnsnames.ora nh- sau: #Logfile for Sql-gw Trang 29 Vietebooks Nguyễn Hoàng Cương stu.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1521) ) (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1526) ) ) (CONNECT_DATA = (SID = STU) ) ) vpcp.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1421) ) (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1426) ) ) (CONNECT_DATA = (SID = ORA1) ) ) B¹n cã thÓ dÔ dµng më réng cho nhiÒu CSDL kh¸c n»m trªn nhiÒu m¸y kh¸c nhau. Trang 30 Vietebooks Nguyễn Hoàng Cương 3.4.3.5 C¸c dÞch vô kh¸c T-¬ng tù nh- trªn lµ c¸c vÝ dô cÊu h×nh cho c¸c dÞch vô kh¸c khai b¸o trong file netperms: # finger gateway rules: # --------------------netacl-fingerd: permit-hosts 190.2.* ws1 -exec /etc/fingerd netacl-fingerd: deny-hosts * -exec /bin/cat /usr/proxy/etc/finger.txt # http gateway rules: # --------------------netacl-httpd: permit-hosts * -exec /usr/proxy/bin/http-gw http-gw: timeout 3600 #http-gw: denial-msg /usr/proxy/etc/httpdeny.txt #http-gw: welcome-msg /usr/proxy/etc/httpwelcome.txt #http-gw: help-msg /usr/proxy/etc/httphelp.txt http-gw: permit-hosts 190.2.* 10.* 192.2.0.* -log { all } http-gw: deny-hosts 220.10.170.32 ws1 http-gw: default-httpd hpnt # # smap (E-mail) rules: # ---------------------smap, smapd: userid root smap, smapd: directory /usr/spool/mail smapd: executable /usr/proxy/bin/smapd smapd: sendmail /usr/lib/sendmail smap: timeout 3600 # Ngoµi ra, trong CSE Firewall cßn cã dÞch vô socks ®Ó kiÓm so¸t c¸c phÇn mÒm øng dông ®Æc biÖt nh- Lotus Notes. CÇn ph¶i thªm vµo c¸c file cÊu h×nh hÖ thèng nh- sau: File /etc/services: socks 1080/tcp File /etc/inetd.conf: s s t n r /etc s ocks tre c owai oot /sockd ockd am p t CÊu h×nh vµ quy t¾c cho dÞch vô nµy n»m ë file /etc/sockd.conf, chØ cã hai tõ kho¸ cÇn ph¶i quan t©m lµ permit vµ deny ®Ó cho phÐp hay kh«ng c¸c host ®i qua, dÞch vô nµy kh«ng Trang 31 Vietebooks Nguyễn Hoàng Cương kÕt hîp víi dÞch vô x¸c thùc. §Þa chØ IP vµ Netmask ®Æt trong file nµy gièng nh- víi lÖnh dÉn ®-êng route cña UNIX. permit 190.2.0.0 255.255.0.0 permit 10.10.170.50 255.255.255.255 permit 10.10.170.40 255.255.255.255 permit 10.10.170.31 255.255.255.255 deny 0.0.0.0 0.0.0.0 : mail -s 'SOCKD: rejected -- from %u@%A to host %Z (service %S)' root 3.4.4 X¸c thùc vµ dÞch vô x¸c thùc Bé Firewall chøa ch-¬ng tr×nh server x¸c thùc ®-îc thiÕt kÕ ®Ó hç trî c¬ chÕ ph©n quyÒn. Authsrv chøa mét c¬ së d÷ liÖu vÒ ng-êi dïng trong m¹ng, mçi b¶n ghi t-¬ng øng víi mét ng-êi dïng, chøa c¬ chÕ x¸c thùc cho mçi anh ta, trong ®ã bao gåm tªn nhãm, tªn ®Çy ®ñ cña ng-êi dïng, lÇn truy cËp míi nhÊt. MËt khÈu kh«ng m· ho¸ (Plain text password) ®-îc sö dông cho ng-êi dïng trong m¹ng ®Ó viÖc qu¶n trÞ ®-îc ®¬n gi¶n. MËt khÈu kh«ng m· ho¸ kh«ng nªn dïng víi nh÷ng ng-ßi sö dông tõ m¹ng bªn ngoµi. Authsrv ®-îc ch¹y trªn mét host an toµn th«ng th-êng lµ bastion host. §Ó ®¬n gi¶n cho viÖc qu¶n trÞ authsrv ng-êi qu¶n trÞ cã thÓ sö dông mét shell authmsg ®Ó qu¶n trÞ c¬ së d÷ liÖu cã cung cÊp c¬ chÕ m· ho¸ d÷ liÖu. Ng-êi dïng trong 1 c¬ së d÷ liÖu cña authsrv cã thÓ ®-îc chia thµnh c¸c nhãm kh¸c nhau ®-îc qu¶n trÞ bëi qu¶n trÞ nhãm lµ ng-êi cã toµn quyÒn trong nhãm c¶ viÖc thªm, bít ng-êi dïng. §iÒu nµy thuËn lîi khi nhiÒu tæ chøc cïng dïng chung mét Firewall. §Ó cÊu h×nh authsrv, ®Çu tiªn cÇn x¸c ®Þnh 1 cæng TCP trèng vµ thªm vµo mét dßng vµo trong inetd.conf ®Ó gäi authsrv mçi khi cã yªu cÇu kÕt nèi. Authsrv kh«ng ph¶i mét tiÕn tr×nh deamon ch¹y liªn tôc, nã lµ ch-¬ng tr×nh ®-îc gäi mçi khi cã yªu cÇu vµ chøa mét b¶n sao CSDL ®Ó tr¸nh rñi ro. Thªm authsrv vµo inet.conf ®ßi hái t¹o thªm ®iÓm vµo trong /etc/services. V× authsrv kh«ng chÊp nhËn tham sè, mµ ph¶i thªm vµo inetd.conf vµ services c¸c dßng nh- sau: Trong /etc/services: authsrv 7777/tcp Trong /etc/inetd.conf: authsrv stream tcp nowait root /usr/proxy/bin/authsrv authsrv Cæng dÞch vô dïng cho authsvr sÏ ®-îc dïng ®Ó ®Æt cÊu h×nh cho c¸c øng dông client cã sö dông dÞch vô x¸c thùc. DÞch vô x¸c thùc kh«ng cÇn ¸p dông cho tÊt c¶ c¸c dÞch vô hay tÊt c¶ c¸c client. Trang 32 Vietebooks Nguyễn Hoàng Cương tpgw: tpgw: #Example ftp gateway rules: f authse local host 7777 rver f -msg f welcom e-msg helpmsg f permit -host permit -host permis t-host timeou t 192.33.112.100 /usr/proxy/etc/ftp-welcome.txt denial /usr/proxy/etc/ftp-deny.txt tpgw: f tpgw: tpgw: f tpgw: f tpgw: f tpgw: /usr/proxy/etc/ftp-help.txt 192.33.112.* -log {retr stor} auth {stor} * -authall 36000 Trong vÝ dô trªn, x¸c thùc dïng víi FTP proxy. Dßng ®Çu tiªn ®Þnh nghÜa ®Þa chØ m¹ng cæng dÞch vô cña ch-¬ng tr×nh x¸c thùc. Dßng permist-host cho thÊy mét trong sè sù mÒm dÎo cña hÖ thèng x¸c thùc, mét host ®-îc lùa chän ®Ó kh«ng ph¶i chÞu c¬ chÕ x¸c thùc, ng-êi dïng tõ host nµy cã thÓ truy cËp tù do tíi mäi dÞch vô cña proxy. Permist-host thø 2 ®ßi hái x¸c thùc mäi hÖ thèng trong m¹ng 192.33.112 muèn truyÒn ra ngoµi víi -auth {store} nh÷ng thao t¸c cña FTP sÏ bÞ kho¸ tíi khi ng-êi dïng hoµn thµnh viÖc x¸c thùc víi server. Khi ®ã, lÖnh ®-îc më kho¸ vµ ng-êi dïng cã thÓ vµo hÖ thèng. VÝ dô cuèi ®Þnh nghÜa mäi ng-êi cã thÓ nèi víi server nh-ng tr-íc hÕt hä ph¶i ®-îc x¸c thùc. Authsrv server ph¶i ®-îc cÊu h×nh ®Ó biÕt m¸y nµo ®-îc cho phÐp kÕt nèi. §iÒu nµy cÊm tÊt c¶ nh÷ng cè g¾ng truy nhËp bÊt hîp ph¸p vµo server tõ nh÷ng server kh«ng ch¹y nh÷ng phÇn mÒm x¸c thùc. Trong Firewall authsrv sÏ ch¹y trªn bastion host cïng víi proxy trªn ®ã. NÕu kh«ng cã hÖ thèng nµo ®ßi hái truy cËp, Trang 33 Vietebooks Nguyễn Hoàng Cương mçi client vµ server coi ―local host‖ nh­ mét ®Þa chØ truyÒn th«ng. CÊu h×nh authsrv ®Þnh nghÜa nã sÏ vËn hµnh CSDL vµ client hç trî. #Example authhsrv rules: au thsrv: au thsrv: au thsrv: dat abase per mit-host per mit-host /usr/proxy/bin/a uthsrv.db localhost 192.5.214..32 Trong vÝ dô trªn, ®-êng dÉn tíi CSDL ®Þnh nghÜa vµ 2 host ®-îc nhËn ra. Chó ý CSDL ë trªn trong hÖ thèng ®-îc b¶o vÖ hoÆc ®-îc b¶o vÖ nghiªm ngÆt bëi c¬ chÕ truy cËp file. B¶o vÖ CSDL rÊt quan träng do ®ã nªn ®Ó CSDL trªn bastion host. Lèi vµo thø 2 lµ mét vÝ dô vÒ client sö dông m· ho¸ DES trong khi truyÒn th«ng víi authsrv. Kho¸ m· chøa trong tÖp cÊu h×nh ®ßi hái file cÊu h×nh ph¶i ®-îc b¶o vÖ. Nãi chung, viÖc m· ho¸ lµ kh«ng cÇn thiÕt. KÕt qu¶ cña viÖc m· ho¸ lµ cho phÐp qu¶n trÞ cã thÓ qu¶n lý c¬ së d÷ liÖu x¸c thùc tõ tr¹m lµm viÖc. Luång d÷ liÖu duy nhÊt cÇn ph¶i b¶o vÖ lµ khi ng-êi qu¶n trÞ m¹ng ®Æt l¹i mËt khÈu qua m¹ng côc bé, hay khi qu¶n lý c¬ së d÷ liÖu x¸c thùc qua m¹ng diÖn réng. Duy tr× CSDL x¸c thùc dùa vµo 2 c«ng cô authload vµ authdump ®Ó load vµ dump CSDL x¸c thùc. Ng-êi qu¶n trÞ nªn ch¹y authdump trong crontab t¹o b¶n sao d¹ng ASCII cña CSDL ®Ó tr¸nh tr-êng hîp xÊu khi CSDL bÞ háng hay bÞ xo¸. Authsrv qu¶n lý nhãm rÊt mÒm dÎo, qu¶n trÞ cã thÓ nhãm ng­êi dïng thµnh nhãm dïng ―group wiz‖, ng­êi cã quyÒn qu¶n trÞ nhãm cã thÓ xo¸, thªm, t¹o söa b¶n ghi trong nhãm, cho phÐp hay cÊm ng-êi dïng, thay ®æi password cña mËt khÈu cña user trong nhãm cña m×nh. Qu¶n trÞ nhãm kh«ng thay ®æi ®-îc ng-êi dïng cña nhãm kh¸c, t¹o ra nhãm míi hay thay ®æi quan hÖ gi÷a c¸c nhãm. Qu¶n trÞ nhãm chØ cã quyÒn h¹n trong nhãm cña m×nh. ViÖc nµy cã Ých ®èi víi tæ chøc cã nhiÒu nhãm lµm viÖc cïng sö dông Firewall. T¹o mét ng­êi sö dông b»ng lÖnh ―adduser‖ adduser mrj ‗Marcus J. Ranum‘ Khi mét user record míi ®-îc t¹o nã ch-a ®-îc ho¹t ®éng vµ ng-êi sö dông ch-a thÓ login. Tr-íc khi ng-êi sö dông login, qu¶n trÞ m¹ng cã thÓ thay ®æi mËt khÈu vµ sè hiÖu nhãm cña ng-êi sö dông ®ã Trang 34 Vietebooks Nguyễn Hoàng Cương group users mjr password ―whumpus‖ mjr proto SecurID mjr enable mjr Khi mét user record t¹o ra bëi ng-êi qu¶n trÞ nhãm, nã thõa h-ëng sè hiÑu nhãm còng nh- giao thøc x¸c thùc. User record cã thÓ xem bëi lÖnh ―display‖ hay ―list‖. VÝ dô mét phiªn lµm viÖc víi Authmsg: %-> authmgs Connected to server authmgr-> login Username: wizard Challenge ―200850‖ : 182312 Logged in authmgs-> disp wizard Report for user wizard (Auth DBA) Last authenticated: Fri Oct 8 17:11:07 1993 Authentication protocol: Snk Flags: WIZARD authmgr-> list Report for user in database user group longname flags proto last ------------------ ------wizard users Auth DBA y W Snk Fri Oct 8 17:02:56 1993 avolio users Fred Avolio y passwd Fri Sep 24 10:52:14 1993 rnj users Robert N. Jesse y passwd Wed Sep 29 18:35:45 1993 mjr users Marcus J. Ranum y none ri Oct 8 17:02:10 1993 authmgr-> adduser dalva ―Dave dalva‖ ok - user added initially disable authmgr-> enable dalva enabled authmgr-> group dalva users set group authmgr-> proto dalva Skey changed authmgr-> disp dalva Report for user dalva, group users (Dave Dalva) Authentication protocol: Skey Flags: none authmgr-> password dalva Trang 35 Vietebooks Nguyễn Hoàng Cương Password: ####### Repeat Password: ####### ID dalva s/key is 999 sol32 authmgr-> quit Trong vÝ dô trªn qu¶n trÞ nèi vµo authsrv qua m¹ng sö dông giao diÖn authmsg sau khi x¸c thùc user record hiÓn thÞ thêi gian x¸c thùc. Sau khi login, list CSDL user, t¹o ng-êi dïng, ®Æt password, enable vµ ®-a vµo nhãm. Khëi t¹o CSDL Authsrv: # authsrv -administrator modeauthsrv# list Report for user in database user group longname flags proto last ------------------ ------authsrv# adduser admin ‗Auth DBA‘ ok - user added initially disable authsrv# enable admin enabled authsrv# superwiz admin set wizard authsrv# proto admin Snk changed authsrv# pass ‗160 270 203 065 022 034 232 162‘ admin Secret key changed authsrv# list Report for user in database user group longname flags roto last --------------------- --admin Auth DBA y W Snk never authsrv# quit Trong vÝ dô, mét CSDL míi ®-îc t¹o cïng víi mét record cho ng-êi qu¶n trÞ. Ng-êi qu¶n trÞ ®-îc g¸n quyÒn, g¸n protocol x¸c thùc. 3.4.5 Sö dông mµn h×nh ®iÒu khiÓn CSE Proxy: Sau khi cµi ®Æt xong, khi login vµo user proxy mµn h×nh ®iÒu khiÓn sÏ hiÖn nªn menu c¸c chøc n¨ng ®Ó ng-êi qu¶n trÞ cã thÓ lùa chän. PROXY SERVICE MENU 1 Configuration Trang 36 Vietebooks Nguyễn Hoàng Cương 2 3 4 5 6 7 8 9 a b c d e q Select option> _ View TELNET log View FTP log View HTTP log View E-MAIL log View AUTHENTICATE log View FINGER log View RLOGIN log View SOCKD log Report Authentication Change system time Change password Shutdown Exit Con sè hay ch÷ c¸i ®Çu tiªn thÓ hiÖn phÝm bÊm ®Ó thùc hiÖn chøc n¨ng. Sau khi mçi chøc n¨ng thùc hiÖn xong xuÊt hiÖn th«ng b¸o Press ENTER to continue råi chê cho tíi khi phÝm Enter ®-îc bÊm ®Ó trë l¹i mµn h×nh ®iÒu khiÓn chÝnh. 3.4.5.1 1 Configuration Chøc n¨ng nµy cho phÐp so¹n th¶o trùc tiÕp tíi file cÊu h×nh cña proxy. Trong file nµy chøa c¸c quy t¾c cña c¸c dÞch vô nh- netacl, ftp-gw, tn-gw... Có ph¸p cña c¸c quy t¾c nµy ®· ®-îc m« t¶ ë phÇn trªn. Sau khi sö ®æi c¸c quy t¾c chän chøc n¨ng Save th× c¸c quy t¾c míi sÏ lËp tøc ®-îc ¸p dông. Chó ý: Bé so¹n th¶o v¨n b¶n ®Ó so¹n th¶o file cÇu h×nh cã c¸c phÝm chøc n¨ng t-¬ng tù nh- chøc n¨ng so¹n th¶o cña Turbo Pascal 3.0. (C¸c chøc n¨ng cÇn thiÕt ®Òu cã thÓ thÊy trªn Status Bar ë dßng cuèi cïng cña mµn h×nh). §èi víi mét sè tr-êng hîp bé so¹n th¶o nµy kh«ng ho¹t ®éng th× ch-¬ng tr×nh so¹n th¶o vi cña UNIX sÏ ®-îc dïng ®Ó thay thÕ. 3.4.5.2 2 View TELNET log Chøc n¨ng xem néi dung nhËt ký cña tn-gw. NhËt ký ghi l¹i toµn bé c¸c truy nhËp qua proxy ®èi víi dÞch vô tn-gw. §èi víi c¸c dÞch vô kh¸c nh- ftp-gw, http-gw ®Òu d-îc ghi l¹i nhËt ký vµ cã thÓ theo dâi bëi c¸c chøc n¨ng t-¬ng tù (Xem c¸c môc d-íi ®©y). 3.4.5.3 3 View FTP log Chøc n¨ng xem néi dung nhËt ký cña ftp-gw. 3.4.5.4 4 View HTTP log Chøc n¨ng xem néi dung nhËt ký cña http-gw. 3.4.5.5 5 View E-MAIL log Chøc n¨ng xem néi dung nhËt ký cña dÞch vô email. Trang 37 Vietebooks Nguyễn Hoàng Cương 3.4.5.6 6 View AUTHENTICATE log Chøc n¨ng xem néi dung nhËt ký cña dÞch vô x¸c thùc. 3.4.5.7 7 View FINGER log Chøc n¨ng xem néi dung nhËt ký cña finger. 3.4.5.8 8 View RLOGIN log Chøc n¨ng xem néi dung nhËt ký cña rlogin-gw. 3.4.5.9 9 View SOCKD log Chøc n¨ng xem néi dung nhËt ký cña sockd. 3.4.5.10 a Report Chøc n¨ng lµm b¸o c¸o thèng kª ®èi víi tÊt c¶ c¸c dÞch vô trong mét kho¶ng thêi gian nhÊt ®Þnh. §Çu tiªn mµn h×nh sÏ hiÖn lªn mét lÞch ®Ó chän kho¶ng thêi gian muèn lµm b¸o c¸o. Sau khi tÝnh to¸n xong b¸o c¸o. Ng-êi sö dông sÏ ph¶i chän mét trong c¸c ®Çu ra cña b¸o c¸o gåm : xem (®-a ra mµn h×nh), save (ra ®Üa mÒm) hay print (in ra m¸y in g¾n trùc tiÕp víi m¸y server). NÕu muèn in tõ c¸c m¸y in kh¸c ta cã thÓ ®-a ra ®Üa mÒm råi in c¸c tÖp ®ã tõ c¸c tr¹m lµm viÖc. Fri May 8 10:39:13 1998 Apr May Jun S M Tu W Th F S S M Tu W Th F S S M Tu W Th F S 1 2 3 4 1 2 1 2 3 4 5 6 5 6 7 8 9 10 11 3 4 5 6 7 8 9 7 8 9 10 11 12 13 12 13 14 15 16 17 18 10 11 12 13 14 15 16 14 15 16 17 18 19 20 19 20 21 22 23 24 25 17 18 19 20 21 22 23 21 22 23 24 25 26 27 26 27 28 29 30 24 25 26 27 28 29 30 28 29 30 31 From date (dd/mm[/yy]) (08/05/98):01/05/98 To date (dd/mm[/yy]): (08/05/98):05/05/09 Calculating... View, save to MS-DOS floppy disk or print report (v/s/p/q)? v 3.4.5.11 b Authentication Chøc n¨ng nµy gäi authsrv ®Ó qu¶n trÞ ng-êi sö dông vµ chøc n¨ng x¸c thùc cho ng-êi ®ã. authrv ®· ®-îc m« t¶ kh¸ râ rµng ë trªn. authsrv# list Trang 38 Vietebooks Nguyễn Hoàng Cương Report for users in database user group longname status proto last -------------------- -------dalva cse n passw never ruth cse y passw never authsrv# 3.4.5.12 c Change system time Chøc n¨ng ®æi thêi gian hÖ thèng. Chøc n¨ng nµy cã t¸c dông ®iÒu chØnh chÝnh x¸c giê cña hÖ thèng. Bëi v× giê hÖ thèng cã ¶nh h-ëng quan träng tíi ®é chÝnh x¸c cña nhËt ký. Gióp cho ng-êi qu¶n trÞ cã thÓ theo dâi ®óng c¸c truy nhËp tíi proxy. Dßng nhËp thêi gian sÏ nh- d-íi ®©y. Ngµy th¸ng n¨m cã thÓ kh«ng cµn nhËp nh-ng cÇn chó ý tíi d¹ng cña sè ®-a vµo. D-íi ®©y lµ vÝ dô ®æi giê thµnh 11 giê 28. Current System Time is Fri May 08 10:32:00 HN 1998 Enter new time ([yymmdd]hhmm): 1128 3.4.5.13 d Change password Chøc n¨ng ®æi mËt khÈu cña user proxy. 3.4.5.14 e Shutdown Chøc n¨ng shut down toµn bé hÖ thèng. Chøc n¨ng nµy ®-îc dïng ®Ó t¾t m¸y mét c¸ch an toµn ®èi víi ng-êi sö dông. 3.4.5.15 q Exit Chøc n¨ng nµy logout khái mµn h×nh ®iÒu khiÓn proxy. 3.4.6 C¸c vÊn ®Ò cÇn quan t©m víi ng-êi sö dông Víi ng-êi sö dông, khi dïng CSE Proxy cÇn ph¶i quan t©m ®Õn c¸c vÊn ®Ò sau: 3.4.6.1 Víi c¸c Web Browser CÇn ph¶i ®Æt chÕ ®é proxy ®Ó chóng cã thÓ truy nhËp ®Õn c¸c trang Web th«ng qua proxy. Trong Microsoft Internet Explore (version 4.0) ta ph¶i chän View -> Internet option -> Connection -> Proxy Server vµ ®Æt chÕ ®é Access the Internet using a proxy, ®Æt ®Þa chØ IP vµ port cña proxy vµo. Trong Netscape Nevigator (version 4.0) ta ph¶i chän Edit >Preferences -> Advanced -> Proxies vµ ®Æt ®Þa chØ proxy vµ cæng dÞch vô (port) (80) qua phÇn Manual proxy configuration. 3.4.6.2 Víi ng-êi sö dông telnet, NÕu kh«ng ®-îc ®Æt chøc n¨ng x¸c thùc th× qu¸ tr×nh nhsau: $ telnet vectra Trang 39 Vietebooks Nguyễn Hoàng Cương Trying 192.1.1.155... connect hostname [serv/ port] connect to vectra. Escape character is‘^]‘. Vectra.sce.gov.vn telnet proxy (version V1.0) ready: tn-gw -> help Valid commands are: (unique abbreviations may be used) connect hostname [serv/ port] telnet hostname [serv/ port] x-gw [hostname/ display] help/ ? quit/ exit password tn-gw -> c 192.1.1.1 Trying 192.1.1.1 port 23... SCO Openserver TM Release 5 (sco5.cse.gov.vn) (ttysO) Login: ngoc password: ####### ... $ NÕu cã dïng chøc n¨ng x¸c thùc, th× sau khi m¸y proxy tr¶ lêi: Vectra.sce.gov.vn telnet proxy (version V1.0) ready: Nh¾c ta ph¶i ®-a vµo tªn vµ mËt khÈu ®Ó thùc hiÖn x¸c thùc: Username: ngoc password: ####### Login accepted tn-gw -> 3.4.6.3 §èi víi ng-êi dïng dÞch vô FTP NÕu cã dïng chøc n¨ng x¸c thùc th× quy tr×nh nh- sau: $ftp vectra Connected to vectra. 220 -Proxy first requres authentication 220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready: Name (vectra: root): ngoc 331 Enter authentication password for ngoc Password: ####### 230 User authenticated to proxy ftp>user ngoc@192.1.1.1 331 -(----GATEWAY CONNECTED TO 192.1.1.1----) Trang 40 Vietebooks Nguyễn Hoàng Cương 331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.) 331 Password required for ngoc. Password: 230 User ngoc logged in. ftp> ... ftp>bye 221 Goodbye. $ Cßn nÕu kh«ng sö dông chøc n¨ng x¸c thùc th× ®¬n gi¶n h¬n: $ftp vectra Connected to vectra. 220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready: Name (vectra: root): ngoc@192.1.1.1 331 -(----GATEWAY CONNECTED TO 192.1.1.1----) 331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.) 331 Password required for ngoc. Password: 230 User ngoc logged in. ftp> ... ftp>bye 221 Goodbye $ NÕu sö dông ch-¬ng tr×nh WS_FTP trªn Window cña Ipswitch, Inc th× cÇn ph¶i ®Æt chÕ ®é Use Firewall ë trong phÇn Advanced khi ta cÊu h×nh mét phiªn nèi kÕt. Trong phÇn Firewall Informatic ta sÏ ®-a ®Þa chØ IP cña proxy vµo phÇn Hostname, tªn ng-êi dïng vµ mËt khÈu (UserID vµ Password) cho phÇn x¸c thùc trªn proxy vµ cæng dÞch vô (21). §ång thêi ph¶i chän kiÓu USER after logon ë phÇn Firewall type. Trang 41

Related docs
De ban An toan tren mang
Views: 103  |  Downloads: 11
bai toan con tuong tren co vua
Views: 95  |  Downloads: 10
cua gai tren mang
Views: 12  |  Downloads: 0
gui goi tin tren mang
Views: 4  |  Downloads: 1
cua gai tren mang
Views: 25  |  Downloads: 1
21 kho luu tru mien phi tren mang
Views: 17  |  Downloads: 1
Luat ke toan
Views: 698  |  Downloads: 44
Bai 7 - Dung chung tai nguyen tren mang ngang hang
Views: 222  |  Downloads: 37
luu y thanh toan qua mang
Views: 1  |  Downloads: 1
Bai 3 Cac van de mang tinh toan cau
Views: 85  |  Downloads: 2
Toan-THCS-08-09
Views: 304  |  Downloads: 7
Toan-THPT-08-09
Views: 75  |  Downloads: 2
Luu du lieu tren mang
Views: 113  |  Downloads: 7
Other docs by ba chu nguyen
lan network[1]
Views: 840  |  Downloads: 274
KyNangTimKiem[1]
Views: 805  |  Downloads: 195
Ky nang bao mat _ phan tich su co[1]
Views: 1305  |  Downloads: 389
Kinh nghiem phan cung[1]
Views: 1267  |  Downloads: 292
ISA Server Firewall 2004[2]
Views: 1070  |  Downloads: 252
Internet Security[1]
Views: 362  |  Downloads: 93
Huong dan lam quen voi Excel[1]
Views: 550  |  Downloads: 45
Huong dan cai dat domain controller va cau hinh DNS Window2000 Server[1]
Views: 2183  |  Downloads: 116
Hướng dẫn cách tìm Website bị lỗi[1]
Views: 677  |  Downloads: 61
Howtosetupawebserver[1]
Views: 623  |  Downloads: 38
HBCBDTHacker[1]
Views: 377  |  Downloads: 42
Hanosoft Tool[1]
Views: 1485  |  Downloads: 56
Gpedit.msc[1]
Views: 4104  |  Downloads: 291
GiaotrinhWinCC[1]
Views: 288  |  Downloads: 17
O'Reilly_-_Oracle_PL-SQL_Programming
Views: 334  |  Downloads: 111