Bảo mật FTP bằng Firewall ISA 2006 (P.1)

Quản trị mạng - ISA Firewall không chính thức hỗ trợ giao thức FTPS bởi vì những thỏa thuận giao thức đã được mã hóa và do đó không có bộ lọc ứng dụng nào có thể xử lý những thỏa thuận này.

Bài viết này sẽ giới thiệu một phương pháp khắc phục vấn đề này. Tuy nhiên, một nhược điểm của phương pháp này đó là những kết nối không được mã hóa sẽ không hoạt động. Một giải pháp khác cần sử dụng đó là tạo một Server Protocol Definition cho tùy chỉnh cho FTP, sau đó sử dụng công cụ Pesach Shelnizt để ngăn chặn xung đột có thể xảy ra với FTP Server Protocol Definition mặc định.

Giới thiệu

Một trong những tính năng mới rất quan trong được tích hợp trong IIS 7.0 (cũng được tích hợp trên Windows Server 2008) đó là bảo mật FTP. Bảo mật FTP sử dụng bộ mã hóa TLS để bảo mật dữ liệu trong khi truyền qua các kênh dữ liệu của FTP. Đây là một cải tiến đáng kể so với những phiên bản trước đó của dịch vụ FTP trong IIS (chỉ hỗ trợ các kết nối không được mã hóa).

Giao diện cấu hình dịch vụ bảo mật FTP của IIS 7.0.

Tuy nhiên, nếu đã từng sử dụng dịch vụ FTP của IIS 7.0 qua một tường lửa ISA, có thể bạn sẽ nhận thấy rằng mọi thứ không hoạt động theo như ý muốn. Khi kết nối tới máy chủ từ máy trạm bạn sẽ gặp phải lỗi 550 Access Denied (từ chối truy cập).

Lỗi xuất hiện trên máy trạm khi cố gắng kết nối tới máy chủ đã áp dụng dịch vụ bảo mật FTP

Tiếp theo chúng ta sẽ tìm hiểu bản chất của lỗi này và xem xét phương pháp khắc phục. Để làm được điều đó chúng ta cần thực hiện các thao tác sau:

  • Kiểm tra máy trạm FTP
  • Giám sát hệ thống máy chủ ISA
  • Kiểm tra máy chủ FTP

Mô hình cài đặt hệ thống máy trạm và máy chủ như sau:

FTP client <---> ISA 2006 <---> Win2k8 (IIS7/FTP7)

Giả sử địa chỉ IP của máy trạm FTP là 10.10.10.100. Địa chỉ IP trên giao diện ngoài của hệ thống tường lửa ISA là ISA 10.10.10.254 và địa chỉ IP của máy chủ là 10.10.20.200.


Mô hình hệ thống FTP

Bước 1: Kết nối vào máy chủ FTP từ máy trạm FTP

Khi kiểm tra thông tin bạn sẽ biết được những gì đang xảy ra trên hệ thống. Trước tiên hãy kiểm tra Trace Packet vì nó cho phép chúng ta theo dõi dòng FTP.

Packet View


Packet trên máy trạm FTP

Theo thông tin trong Packet View, máy trạm FTP hiển thị thông tin kết nối TCP trong 3 Packet đầu tiên (gồm SYN, SYN ACK và ACK). Sau khi kết nối TCP hoàn thành, giao tiếp FTP sẽ khởi chạy. Lệnh FTP đầu tiên là lệnh máy chủ sử dụng để tự xác định nó như một máy chủ FTP MS.

Sau đó máy trạm sẽ phản hồi một thông báo AUTH TLS. Thông thường máy trạm sẽ hiển thị thông báo “hello friendly FTP server, i would like to start an encrypted TLS session”. Máy trạm sẽ phản hồi thông báo này hai lần sau đó nhận lại phản hồi Access is Denied từ máy chủ.

Khi kiểm tra những Packet của máy chủ FTP, bạn có thể kiểm tra 3 Packet cho biết thông tin kết nối đầu tiên, trong đó có một gói máy chủ tự thực hiện xác nhận, nhưng chúng ta sẽ không thể thấy được Packet lưu trữ thông tin về FTP của máy chủ FTP trong phiên AUTH TLS.


Packet trên máy chủ FTP

Cửa sổ hiển thị thông tin

Nếu nhìn vào cửa sổ hiển thị thông tin TCP, chúng ta có thể dễ dàng thấy rằng máy trạm đang gửi thông tin AUTH SSL và máy chủ sẽ không bao giờ nhận được những thông tin này.

Bước 2: Kiểm tra thông báo lỗi Access is Denied

Những thông tin trên cho thấy một phản hồi 550 Access is Denied đang được gửi tới máy trạm FTP. Tuy nhiên, không có thông tin nào khẳng định rằng thông tin phản hồi được máy chủ gửi đi. Máy chủ FTP có thể chấp nhận yêu cầu để thực hiện bảo mật kết nối TLS. Như vậy, vấn đề ở đây là gì? Rõ ràng, có một thiết bị trung gian đã tạo ra phản hồi này và gửi trở lại máy trạm.

Để sử dụng thông tin này, hãy kiểm tra file log của ISA Firewall và kiểm tra xem có cấp độ từ chối truy cập hay không. Hình minh họa dưới đây hiển thị những mục log liên quan.

Khi nhìn thoáng qua, lưu lượng có vẻ rất bình thường. ISA chấp nhận gói tin thứ nhất sau đó ngắt kết nối như nó thường làm mỗi khi một phiên kết nối TCP thông thường kết thúc.

Vậy thông báo lỗi Access is Denied được gửi đến từ đâu? Để kiểm tra kĩ hơn, chúng ta cần bổ sung thêm một cột vào cửa sổ file log của ISA có tên Result Code.

Sau khi đã chèn thêm cột này chúng ta sẽ thấy được những gì mà Firewall của ISA đang thực hiện.

Lưu ý: Bạn có thể kiểm tra ý nghĩa của các Result Code tại đây.

Trong Result Code trên thì 0x80074E24 FWX_E_CONNECTION_KILLED cho biết máy chủ ISA đã ngắt một kết nối.


Mặc dù thao tác ngắt kết nối này là không bình thường, nhưng dường như đây là phương pháp ngắt phiên kết nối của hệ thống tường lửa ISA, như vậy chúng ta có thể khẳng định rằng thông báo lỗi Access is Denied được gửi đến máy trạm từ hệ thống tường lửa của ISA.

Khi đó chúng ta lại phải kiểm tra thành phần nào trong hệ thống tường lửa của ISA đã hủy bỏ kết nối. Trước tiên bạn nên kiểm tra bộ lọc ứng dụng xử lý những kết nối FTP. Có thể hệ thống tường lửa của ISA là một hệ thống kiểm tra trạng thái lớp ứng dụng và thông tin, việc cấu hình cho nó thực hiện kiểm tra lớp ứng dụng cho những giao thức lớp. Một trong những giao thức này là FTP. Bạn có thể xem giao thức này trong mục Add-ins trong bảng trái của console ISA Firewall.

Add-ins chứa bộ lọc truy cập FTP và một số bộ lọc khác

Điều này có nghĩa là ISA biết giao thức FTP tại lớp ứng dụng và sẽ phân biệt được những lệnh khác nhau với một dòng giao tiếp FTP. Chúng ta có thể sử dụng bộ lọc ứng dụng dll để cấu hình cho các mục hoặc không.

Chẳng hạn, bộ lọc SMTP hỗ trợ bổ sung và gỡ bỏ lệnh được hệ thống tường lửa chấp thuận. Tuy nhiên bộ lọc FTP lại không thực hiện được chức năng này. Những gì bạn có thể là là kích hoạt hay tắt bỏ nó. Bạn có thể hủy bỏ bộ lọc tại đây và khi đó bộ lọc này cũng sẽ được tắt bỏ trong toàn bộ Rule của hệ thống tường lửa ISA, hoặc bạn có thể tắt bỏ nó trên một số Rule nào đó.

Bộ lọc ứng dụng FTP và bộ lọc ứng dụng SMTP

Thực ra bộ lọc ứng dụng FTP của ISA 2006 không hỗ trợ AUTH TLS, do đó phản hồi mặc định từ hệ thống tường lửa ISA với những yêu cầu như vậy là để trả về một thông báo từ chối truy cập. Hệ thống tường lửa ISA kết xuất nhóm lệnh FTP mặc định và bạn sẽ không thể chèn tập lệnh chấp nhận truy cập được.

Lưu ý: Phản hồi này không hiển thị dòng chữ “filtered by ISA 2006” (được lọc bởi ISA 2006), vì có thể cung cấp thông tin không mong muốn cho tin tặc.

Thông tin kết xuất khi truy cập vào máy chủ FTP từ máy trạm

Phương pháp duy nhất để khắc phục vấn đề này trong ISA 2006 là tắt bỏ bộ lọc ứng dụng FTP trong Access Rule. Bạn thực hiên các thao tác sau:

  • Mở hộp thoại thuộc tính Properties của FTP Server Publishing Rule trong Access Rule.
  • Click chọn tab Traffic.
  • Hủy chọn hộp chọn FTP Access Filter trong khung Application Filters.

Cửa sổ thuộc tính Properties của máy chủ FTP

Nếu sau khi thực hiện xong bạn thực hiện kết nối lại và thay đổi lưu lượng trên máy chủ FTP thì bạn có thể Packet đầu tiên hiển thị thông tin chuỗi xác minh, gói thứ hai hiển thị thông báo của máy trạm “Hi, I want to do TLS authentication” (Xin chào, tôi muốn thực hiện xác thực quyền TLS), và gói thông tin thứ 3 là phản hồi từ máy chủ “ok let’s do TLS” (chấp thuận). Sau đó những thông tin này sẽ chuyển sang chế độ mã hóa.

Thông tin phản hồi từ náy chủ FTP khi kết nối thành công

Tuy nhiên, kênh thẩm định quyền chỉ là phân đầu tiên của kết nối. Khi đã thẩm định quyền cho một máy chủ FTP mà chúng ta muốn liệt kê những thư mục và truyền file, thì quá trình này sẽ được thực hiện trên kênh dữ liệu thứ cấp. Trong phần hai của bài viết này chúng ta sẽ tìm hiểu phương pháp truyền dữ liệu qua một kênh bảo mật.

Kết luận

Trong phần này của bài viết chúng ta chỉ tập trung vào những vấn đề xảy ra với máy chủ FTP khi bảo mật bằng hệ thống tường lửa ISA 2006. Khi sử dụng bộ kết nối mạng, chúng ta có thể thấy rằng kết nối máy trạm bị từ chối nhưng không phải do máy chủ FTP từ chối mà là do hệ thống tường lửa ISA. Hệ thống tường lửa ISA tích hợp một bộ lọc lớp ứng dụng hỗ trợ kết nối FTP. Tuy nhiên người dùng không thể cấu hình cho bộ lọc này (trái ngược với bộ lọc SMTP cho phép người dùng thực hiện một số cấu hình cơ bản). Đó là do bộ lọc này không hỗ trợ thỏa thuận TLS vì vậy người dùng cần phải tắt bỏ nó trong toàn bộ Rule hay trong một số Rule nhất định. Tốt nhất nên tắt bổ bộ lọc này trong một số Rule vì nếu tắt bỏ trong toàn bộ Rule sẽ khiến cho máy tạm SecureNAT không thể sử dụng giao thức FTP để truy cập ngoài mạng.

Thứ Năm, 10/09/2009 11:20
31 👨 5.448
0 Bình luận
Sắp xếp theo
    ❖ Mạng LAN - WAN