Bảo mật FTP bằng Firewall ISA 2006 (P.2)

Quản trị mạng - Trong phần trước chúng ta đã tìm hiểu vấn đề phát sinh với máy chủ FTP sử dụng hệ thống tường lửa ISA 2006. Khi sử dụng bộ kết nối mạng, chúng ta có thể khẳng định rằng TLS (Transport Layer Security) từ máy trạm bị hệ thống tường lửa ISA từ chối.

Hệ thống tường lửa ISA có một bộ lọc lớp ứng dụng hộ trợ cho các kết nối FTP, tuy nhiên bộ lọc này không thể cấu hình (không giống như bộ lọc SMTP). Do bộ lọc lớp ứng dụng FTP tích hợp trên hệ thống tường lửa ISA không hỗ trợ TLS do đó người dùng cần phải tắt bỏ bộ lọc này cho tất cả các Rule hoặc một số Rule nhất định. Tốt nhất nên tắt bỏ trên một số Rule nhất định để các máy trạm SecureNAT có thể sử dụng giao thức FTP cho quá trình truy cập ngoài. Sau khi tắt bỏ bộ lọc ứng dụng FTP, kết nối FTP trên máy chủ FTP đã được hệ thống tường lửa ISA bảo mật . Tuy nhiên, người dùng cần phải thực hiện thêm một thao tác khi đã bảo mật kết nối FTP đó là bảo mật truyền dữ liệu qua kênh FTP. Phần này sẽ đi sâu vào phương pháp truyền dữ liệu qua liên kết FTP bảo mật.

Sau khi xác thực máy chủ FTP, chúng ta cần phải liệt kê những thư mục và file truyền. Thao tác này được thực hiện qua kệnh dữ liệu thứ cấp.


Như bạn thấy ở trên, quá trình xác thực vẫn được tiến hành nhưng hệ thống vẫn treo lệnh 150 kết nối dữ liệu chế độ Opening Binary, và nếu tiếp tục chờ đợi chúng ta sẽ nhận được một thông báo Time out.


Như đã nói trong phần trước, chúng ta có thể kiểm tra TCP trong 3 packet chứa thông tin kết nối, sau đó quá trình thẩm định quyền FTP sẽ khởi chạy, và ở phía cuối cửa sổ theo dõi bạn sẽ thấy một số packet lưu trữ thông tin kết nối qua kênh dữ liệu.


Kênh dữ liệu FTP là kênh kết nối mở TCP thứ hai. Trong quá trình thẩm định quyền, máy chủ FTP gửi tới máy trạm FTP thông tin về cổng kết nối động thứ cấp cần mở. Sau đó, máy trạm này mở một cổng trên cổng thứ cấp này và thiết lập kết nối dữ liệu. Cần nhớ rằng cổng thứ cấp này là một cổng cao động ngẫu nhiên. Trước khi Windows Vista được tung ra, những cổng cao có thể được lựa chọn trong phạm vi 1024 đến 5000. Nhưng khi Windows Vista được ra mắt thì Microsoft đã thay đổi lựa chọn cổng ngẫu nhiên, đó là lí do tại sao bạn thấy cổng ngẫu nhiên ở đây được đặt là 49198 TCP. Windows Vista và Windows Server 2008 sử dụng loạt cổng động từ 49152 tới 65535.

Mặc định, bộ lọc lớp ứng dụng của hệ thống tường lửa ISA sẽ giám sát cổng ngẫu nhiên này (được sử dụng cho kết nối thứ cấp bởi những cổng mở, động khi máy trạm kết nối tới máy chủ FTP). Tuy nhiên, do chúng ta cần tắt bỏ bộ lọc ứng dụng này để thực hiện lệnh Auth TLS, do đó chúng ta sẽ thay thế bộ lọc ứng dụng FTP trên hệ thống tường lửa ISA bằng một bộ lọc khác.



Bước 1

Trước tiên bạn cần phải áp dụng phương pháp máy chủ FTP chỉ định các cổng ngẫu nhiên để có thể gỡ bỏ những cổng không cần thiết và kiểm soát những cổng đang được sử dụng. Sau đó, bạn cũng cần phải thông báo cho máy chủ FTP địa chỉ IP công cộng nào thuộc về hệ thống tường lửa ISA.

Bạn hãy thực hiện thao tác này trong cửa sổ cấu hình IIS. Để cài đặt cho những cổng tĩnh bạn phải thực hiện trên máy chủ (không phải trên cấp độ website). Trong cửa sổ này, click đúp vào biểu tượng FTP Firewall Support.


Trong cửa sổ FTP Firewall Support, bạn có thể nhập bất kì vùng cổng nào. Ví dụ nhập vào vùng 5000-5003 rồi nhấn nút Apply.



Bước 2

Sau đó chúng ta phải cài đặt địa chỉ IP trên cấp độ website. Mở rộng mục Sites rồi click vào Default Web Site. Tiếp theo click vào biểu tượng FTP Firewall Support.


Nhập tên địa chỉ IP công cộng vừa sử dụng trong FTP Server Publishing Rule của hệ thống tường lửa ISA, rồi nhấn Apply.


Lưu ý: Khi nhấn nút Apply mà những cài đặt vừa thực hiện không được áp dụng bạn hãy khởi chạy lại dịch vụ Microsoft FTP Service từ Service Management Console.




Bước 3

Thao tác cuối cùng cần thực hiện là cấu hình cho FTP Server Publishing Rule trên hệ thống tường lửa ISA. Tại đây chúng ta sẽ bổ sung thêm vùng cổng có chức năng như những cổng kết nối chính. Khi hiệu chỉnh FTP Server Publishing Rule, bạn sẽ không thể hiệu chỉnh Parameters. Đó là do định nghĩa giao thức mặc định và Microsoft không cho phép người dùng thay đổi những định nghĩa này.


Để giải quyết vấn đề này, chúng ta sẽ tạo Protocol Definition riêng cho máy chủ FTPS. Bạn hãy chọn tab Traffic rồi click New.


Nhập tên cho Protocol Definition trên trang Welcome to the New Protocol Definition Wizard. Giả sử nhập tên là FTPS (bạn có thể nhập tên tùy thích). Rồi nhấn nút Next.


Tiếp theo click nút New trên trang Primary Connection Information.


Trong hộp thoại New/Edit Protocol Connection, lựa chọn TCP cho loại giao thức Protocol. Lựa chọn giá trị cho DirectionInbound, và cài đặt vùng Port Range với giá trị From21To21. Thực hiện xong nhấn OK.


Click lại nút New trên trang Primary Connection Information. Đặt loại ProtocolTCP. Lựa chọn Inbound cho Direction và đặt giá trị cho trường From5000To 5003 trong vùng Port Range.


Sau đó bạn sẽ thấy kết nối chính mới trên trang Primary Connection Information. Click Next.


Trên trang Secondary Connections lựa chọn radio No rồi click Next.


Click nút Finish trên trang Completing the New Protocol Definition Wizard.


Trên tab Traffic, bạn sẽ thấy hai Protocol Definition hiển thị trong danh sách thả xuống Allow network traffic using the following protocol (cho phép lưu lượng mạng sử dụng giao thức sau).


Click Apply để lưu những thay đổi và cập nhật cài đặt tường lửa. Sau đó click OK trong hộp thoại Saving Configuration Changes.




Bước 4

Quay trở lại máy trạm FTP và thực hiện kết nối lại. Sau đó bạn sẽ thấy kết nối đã thành công.


Kết luận

Khi bảo mật máy chủ FTP, chúng ta có thể tạo lập một kết nối để xác thực máy chủ FTP sử dụng FTP Protocol Definition mặc định. Tuy nhiên chúng ta không thể thiết lập kết nối dữ liệu. Để hỗ trợ kết nối dữ liệu, trước tiên chúng ta phải thay đổi cấu hình máy chủ FTPS để giứoi hạn những cổng cao được sử dụng thực hiện kết nối. Ngoài ra, chúng ta cũng phải thực hiện cấu hình địa chỉ IP cho máy chủ FTP trên giao diện bên ngoài của hệ thống tường lửa ISA áp dụng cho FTPS Server Publishing Rule. Sau khi thục hiện cấu hình máy chủ FTPS, chúng ta đã thay đổi FTPS Server Publishing Rule do đó nó sẽ sử dụng một Protocol Definition mới của máy chủ FTP. Khi đó máy trạm FTPS đã có thể kết nối tới máy chủ FTPS.
Thứ Sáu, 11/09/2009 13:57
11 👨 2.869
0 Bình luận
Sắp xếp theo