Tìm hiểu về tường lửa FIREWALL

1 2 M•c l•c 1. An toàn thông tin trên m
ng _____________ Error! Bookmark not defined. 1.1 T
i sao cn có Internet Firewall ___________ Error! Bookmark not defined. 1.2 B
n mun bo v cái gì?__________________ Error! Bookmark not defined. 1.2.1 D
liu ca bn ____________________ Error! Bookmark not defined. 1.2.2 Tài nguyên ca bn _________________ Error! Bookmark not defined. 1.2.3 Danh ting ca bn _________________ Error! Bookmark not defined. 1.3 B
n mun bo v chng l
i cái gì? _________ Error! Bookmark not defined. 1.3.1 Các kiu tn công __________________ Error! Bookmark not defined. 1.3.2 Phân loi k tn công _______________ Error! Bookmark not defined. 1.4 Vy Internet Firewall là gì? _______________ Error! Bookmark not defined. 1.4.1 nh ngha________________________ Error! Bookmark not defined. 1.4.2 Chc n ng ________________________ Error! Bookmark not defined. 1.4.3 Cu trúc__________________________ Error! Bookmark not defined. 1.4.4 Các thành phn ca Firewall và c ch hot ng Error! Bookmark not defined. 1.4.5 Nh
ng hn ch ca firewall __________ Error! Bookmark not defined. 1.4.6 Các ví d firewall __________________ Error! Bookmark not defined. 2. Các dch v Internet ______________Error! Bookmark not defined. 2.1 World Wide Web - WWW________________ Error! Bookmark not defined. 2.2 Electronic Mail (Email hay th in t ). ____ Error! Bookmark not defined. 2.3 Ftp (file transfer protocol hay d ch v chuyn file) ___ Error! Bookmark not defined. 2.4 Telnet và rlogin _________________________ Error! Bookmark not defined. 2.5 Archie_________________________________ Error! Bookmark not defined. 2.6 Finger _________________________________ Error! Bookmark not defined. 3 3. H thng Firewall xây dng bi CSE_Error! Bookmark not defined. 3.1 T ng quan _____________________________ Error! Bookmark not defined. 3.2 Các thành phn ca b chng trình proxy:_ Error! Bookmark not defined. 3.2.1 Smap: D ch v SMTP _______________ Error! Bookmark not defined. 3.2.2 Netacl: công c iu khin truy nhp mng _____ Error! Bookmark not defined. 3.2.3 Ftp-Gw: Proxy server cho Ftp ________ Error! Bookmark not defined. 3.2.4 Telnet-Gw: Proxy server cho Telnet____ Error! Bookmark not defined. 3.2.5 Rlogin-Gw: Proxy server cho rlogin____ Error! Bookmark not defined. 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net______ Error! Bookmark not defined. 3.2.7 Plug-Gw: TCP Plug-Board Connection server___ Error! Bookmark not defined. 3.3 Cài t ________________________________ Error! Bookmark not defined. 3.4 Thit lp cu hình: ______________________ Error! Bookmark not defined. 3.4.1 Cu hình mng ban u______________ Error! Bookmark not defined. 3.4.2 Cu hình cho Bastion Host ___________ Error! Bookmark not defined. 3.4.3 Thit lp tp hp quy tc_____________ Error! Bookmark not defined. 3.4.4 Xác thc và d ch v xác thc _________ Error! Bookmark not defined. 3.4.5 S dng màn hình iu khin CSE Proxy: ______ Error! Bookmark not defined. 3.4.6 Các vn  cn quan tâm vi ngi s dng ____ Error! Bookmark not defined. 4 1. An toàn thông tin trên m
ng 1.1 T
i sao cn có Internet Firewall Hin nay, khái nim mng toàn cu - Internet không còn mi m. Nó ã tr nên ph bin ti mc không cn phi chú gii gì thêm trong nh
ng tp chí k thut, còn trên nh
ng tp chí khác thì tràn ngp nh
ng bài vit dài, ngn v Internet. Khi nh
ng tp chí thông thng chú tr ng vào Internet thì gi ây, nh
ng tp chí k thut li tp trung vào khía cnh khác: an toàn thông tin. ó cùng là mt quá trình tin trin hp logic: khi nh
ng vui thích ban u v mt siêu xa l thông tin, bn nht  nh nhn thy r!ng không ch" cho phép bn truy nhp vào nhiu ni trên th gii, Internet còn cho phép nhiu ngi không mi mà t ý ghé th m máy tính ca bn. Thc vy, Internet có nh
ng k thut tuyt vi cho phép m i ngi truy nhp, khai thác, chia s thông tin. Nh
ng nó c#ng là nguy c chính d$n n thông tin ca bn b h h%ng ho&c phá hu' hoàn toàn. Theo s( liu ca CERT(Computer Emegency Response Team - “ i cp cu máy tính”), s( lng các v tn công trên Internet c thông báo cho t chc này là ít hn 200 vào n m 1989, khong 400 vào n m 1991, 1400 vào n m 1993, và 2241 vào n m 1994. Nh
ng v tn công này nh!m vào tt c các máy tính có m&t trên Internet, các máy tính ca tt c các công ty ln nh AT&T, IBM, các trng i h c, các c quan nhà nc, các t chc quân s, nhà b ng... Mt s( v tn công có quy mô khng l) (có ti 100.000 máy tính b tn công). Hn n
a, nh
ng con s( này ch" là phn ni ca tng b ng. Mt phn rt ln các v tn công 5 không c thông báo, vì nhiu lý do, trong ó có th k n n*i lo b mt uy tín, ho&c n gin nh
ng ngi qun tr h th(ng không h hay bit nh
ng cuc tn công nh!m vào h th(ng ca h . Không ch" s( lng các cuc tn công t ng lên nhanh chóng, mà các phng pháp tn công c#ng liên tc c hoàn thin. iu ó mt phn do các nhân viên qun tr h th(ng c kt n(i vi Internet ngày càng  cao cnh giác. C#ng theo CERT, nh
ng cuc tn công thi k+ 1988- 1989 ch yu oán tên ngi s dng-mt kh,u (UserID- password) ho&c s dng mt s( l*i ca các chng trình và h iu hành (security hole) làm vô hiu h th(ng bo v, tuy nhiên các cuc tn công vào thi gian gn ây bao g)m c các thao tác nh gi mo  a ch" IP, theo dõi thông tin truyn qua mng, chim các phiên làm vic t- xa (telnet ho&c rlogin). 6 1.2 B
n mun bo v cái gì? Nhim v c bn ca Firewall là bo v. Nu bn mu(n xây dng firewall, vic u tiên bn cn xem xét chính là bn cn bo v cái gì. 1.2.1 D liu ca b
n Nh
ng thông tin lu tr
trên h th(ng máy tính cn c bo v do các yêu cu sau:
Bo mt: Nh
ng thông tin có giá tr v kinh t, quân s, chính sách vv... cn c gi
kín.
Tính toàn v.n: Thông tin không b mt mát ho&c sa i, ánh tráo.
Tính k p thi: Yêu cu truy nhp thông tin vào úng thi im cn thit. Trong các yêu cu này, thông thng yêu cu v bo mt c coi là yêu cu s( 1 (i vi thông tin lu tr
trên mng. Tuy nhiên, ngay c khi nh
ng thông tin này không c gi
bí mt, thì nh
ng yêu cu v tính toàn v.n c#ng rt quan tr ng. Không mt cá nhân, mt t chc nào lãng phí tài nguyên vt cht và thi gian  lu tr
nh
ng thông tin mà không bit v tính úng n ca nh
ng thông tin ó. 1.2.2 Tài nguyên ca b
n Trên thc t, trong các cuc tn công trên Internet, k tn công, sau khi ã làm ch c h th(ng bên trong, có th s dng các máy này  phc v cho mc ích ca mình nh chy các chng trình dò mt kh,u ngi s dng, s dng các liên kt mng s/n có  tip tc tn công các h th(ng khác vv... 7 1.2.3 Danh ting ca b
n Nh trên ã nêu, mt phn ln các cuc tn công không c thông báo rng rãi, và mt trong nh
ng nguyên nhân là n*i lo b mt uy tín ca c quan, &c bit là các công ty ln và các c quan quan tr ng trong b máy nhà nc. Trong trng hp ngi qun tr h th(ng ch" c bit n sau khi chính h th(ng ca mình c dùng làm bàn p  tn công các h th(ng khác, thì tn tht v uy tín là rt ln và có th  li hu qu lâu dài. 8 1.3 B
n mun bo v chng l
i cái gì? Còn nh
ng gì bn cn phi lo lng. Bn s0 phi ng u vi nh
ng kiu tn công nào trên Internet và nh
ng k nào s0 thc hin chúng? 1.3.1 Các kiu tn công Có rt nhiu kiu tn công vào h th(ng, và có nhiu cách  phân loi nh
ng kiu tn công này.  ây, chúng ta chia thành 3 kiu chính nh sau: 1.3.1.1 Tn công trc ti p Nh
ng cuc tn công trc tip thông thng c s dng trong giai on u  chim c quyn truy nhp bên trong. Mt phng pháp tn công c in là dò c&p tên ngi s dng-mt kh,u. ây là phng pháp n gin, d1 thc hin và không òi h%i mt iu kin &c bit nào  bt u. K tn công có th s dng nh
ng thông tin nh tên ngi dùng, ngày sinh,  a ch", s( nhà vv..  oán mt kh,u. Trong trng hp có c danh sách ngi s dng và nh
ng thông tin v môi trng làm vic, có mt trng trình t ng hoá v vic dò tìm mt kh,u này. mt trng trình có th d1 dàng ly c t- Internet  gii các mt kh,u ã mã hoá ca các h th(ng unix có tên là crack, có kh n ng th các t hp các t- trong mt t- in ln, theo nh
ng quy tc do ngi dùng t  nh ngha. Trong mt s( trng hp, kh n ng thành công ca phng pháp này có th lên ti 30%. Phng pháp s dng các l*i ca chng trình ng dng và bn thân h iu hành ã c s dng t- nh
ng v tn công u tiên và v$n c tip tc  chim quyn truy 9 nhp. Trong mt s( trng hp phng pháp này cho phép k tn công có c quyn ca ngi qun tr h th(ng (root hay administrator). Hai ví d thng xuyên c a ra  minh ho cho phng pháp này là ví d vi chng trình sendmail và chng trình rlogin ca h iu hành UNIX. Sendmail là mt chng trình phc tp, vi mã ngu)n bao g)m hàng ngàn dòng lnh ca ngôn ng
C. Sendmail c chy vi quyn u tiên ca ngi qun tr h th(ng, do chng trình phi có quyn ghi vào hp th ca nh
ng ngi s dng máy. Và Sendmail trc tip nhn các yêu cu v th tín trên mng bên ngoài. ây chính là nh
ng yu t( làm cho sendmail tr thành mt ngu)n cung cp nh
ng l* hng v bo mt  truy nhp h th(ng. Rlogin cho phép ngi s dng t- mt máy trên mng truy nhp t- xa vào mt máy khác s dng tài nguyên ca máy này. Trong quá trình nhn tên và mt kh,u ca ngi s dng, rlogin không kim tra  dài ca dòng nhp, do ó k tn công có th a vào mt xâu ã c tính toán trc  ghi è lên mã chng trình ca rlogin, qua ó chim c quyn truy nhp. 1.3.1.2 Nghe tr m Vic nghe trm thông tin trên mng có th a li nh
ng thông tin có ích nh tên-mt kh,u ca ngi s dng, các thông tin mt chuyn qua mng. Vic nghe trm thng c tin hành ngay sau khi k tn công ã chim c quyn truy nhp h th(ng, thông qua các chng trình cho phép a v" giao tip mng (Network Interface Card-NIC) vào ch  nhn toàn b các thông tin lu truyn trên mng. 10 Nh
ng thông tin này c#ng có th d1 dàng ly c trên Internet. 1.3.1.3 Gi m
o a ch Vic gi mo  a ch" IP có th c thc hin thông qua vic s dng kh n ng d$n ng trc tip (source- routing). Vi cách tn công này, k tn công gi các gói tin IP ti mng bên trong vi mt  a ch" IP gi mo (thông thng là  a ch" ca mt mng ho&c mt máy c coi là an toàn (i vi mng bên trong), )ng thi ch" rõ ng d$n mà các gói tin IP phi gi i. 1.3.1.4 Vô hiu hoá các chc nng ca h thng (denial of service) ây là ku tn công nh!m tê lit h th(ng, không cho nó thc hin chc n ng mà nó thit k. Kiu tn công này không th ng n ch&n c, do nh
ng phng tin c t chc tn công c#ng chính là các phng tin  làm vic và truy nhp thông tin trên mng. Ví d s dng lnh ping vi t(c  cao nht có th, buc mt h th(ng tiêu hao toàn b t(c  tính toán và kh n ng ca mng  tr li các lnh này, không còn các tài nguyên  thc hin nh
ng công vic có ích khác. 1.3.1.5 Li ca ngi qun tr h thng ây không phi là mt kiu tn công ca nh
ng k t nhp, tuy nhiên l*i ca ngi qun tr h th(ng thng to ra nh
ng l* hng cho phép k tn công s dng  truy nhp vào mng ni b. 11 1.3.1.6 Tn công vào y u t con ngi K tn công có th liên lc vi mt ngi qun tr h th(ng, gi làm mt ngi s dng  yêu cu thay i mt kh,u, thay i quyn truy nhp ca mình (i vi h th(ng, ho&c thm chí thay i mt s( cu hình ca h th(ng  thc hin các phng pháp tn công khác. Vi kiu tn công này không mt thit b nào có th ng n ch&n mt cách h
u hiu, và ch" có mt cách giáo dc ngi s dng mng ni b v nh
ng yêu cu bo mt   cao cnh giác vi nh
ng hin tng áng nghi. Nói chung yu t( con ngi là mt im yu trong bt k+ mt h th(ng bo v nào, và ch" có s giáo dc cng vi tinh thn hp tác t- phía ngi s dng có th nâng cao c  an toàn ca h th(ng bo v. 1.3.2 Phân lo
i k tn công Có rt nhiu k tn công trên mng toàn cu – Internet và chúng ta c#ng không th phân loi chúng mt cách chính xác, bt c mt bn phân loi kiu này c#ng ch" nên c xem nh là mt s gii thiu hn là mt cách nhìn rp khuôn. 1.3.2.1 Ngi qua ng Ng
i qua 
ng là nh
ng k bu)n chán vi nh
ng công vic thng ngày, h mu(n tìm nh
ng trò gii trí mi. H t nhp vào máy tính ca bn vì h ngh bn có th có nh
ng d
liu hay, ho&c bi vì h cm thy thích thú khi s dng máy tính ca ngi khác, ho&c ch" n gin là h không tìm c mt vic gì hay hn  làm. H có th là ngi tò mò nhng không ch  nh làm hi bn. Tuy nhiên, h thng gây h h%ng h th(ng khi t nhp hay khi xoá b% du vt ca h . 12 1.3.2.2 K phá ho
i K phá hoi ch  nh phá hoi h th(ng ca bn, h có th không thích bn, h c#ng có th không bit bn nhng h tìm thy nim vui khi i phá hoi. Thông thng, trên Internet k phá hoi khá him. M i ngi không thích h . Nhiu ngi còn thích tìm và ch&n ng nh
ng k phá hoi. Tuy ít nhng k phá hoi thng gây h%ng trm tr ng cho h th(ng ca bn nh xoá toàn b d
liu, phá h%ng các thit b trên máy tính ca bn... 1.3.2.3 K ghi im Rt nhiu k qua ng b cu(n hút vào vic t nhp, phá hoi. H mu(n c kh2ng  nh mình thông qua s( lng và các kiu h th(ng mà h ã t nhp qua. t nhp c vào nh
ng ni ni ting, nh
ng ni phòng b ch&t ch0, nh
ng ni thit k tinh xo có giá tr nhiu im (i vi h . Tuy nhiên h c#ng s0 tn công tt c nh
ng ni h có th, vi mc ích s( lng c#ng nh mc ích cht lng. Nh
ng ngi này không quan tâm n nh
ng thông tin bn có hay nh
ng &c tính khác v tài nguyên ca bn. Tuy nhiên  t c mc ích là t nhp, vô tình hay h
u ý h s0 làm h h%ng h th(ng ca bn. 1.3.2.4 Gián ip Hin nay có rt nhiu thông tin quan tr ng c lu tr
trên máy tính nh các thông tin v quân s, kinh t... Gián ip máy tính là mt vn  phc tp và khó phát hin. Thc t, phn ln các t chc không th phòng th kiu tn công này mt cách hiu qu và bn có th chc r!ng ng liên kt 13 vi Internet không phi là con ng d1 nht  gián ip thu lm thông tin. 14 1.4 Vy Internet Firewall là gì? 1.4.1  nh ngha Thut ng
Firewall có ngu)n g(c t- mt k thut thit k trong xây dng  ng n ch&n, hn ch ho hon. Trong công ngh mng thông tin, Firewall là mt k thut c tích hp vào h th(ng mng  ch(ng s truy cp trái phép nh!m bo v các ngu)n thông tin ni b c#ng nh hn ch s xâm nhp vào h th(ng ca mt s( thông tin khác không mong mu(n. C#ng có th hiu r!ng Firewall là mt c ch  bo v mng tin tng (trusted network) kh%i các mng không tin tng (untrusted network). Internet Firewall là mt thit b (phn cng+phn mm) gi
a mng ca mt t chc, mt công ty, hay mt qu(c gia (Intranet) và Internet. Nó thc hin vai trò bo mt các thông tin Intranet t- th gii Internet bên ngoài. 1.4.2 Chc nng Internet Firewall (t- nay v sau g i tt là firewall) là mt thành phn &t gi
a Intranet và Internet  kim soát tt c các vic lu thông và truy cp gi
a chúng vi nhau bao g)m: • Firewall quyt  nh nh
ng d ch v nào t- bên trong c phép truy cp t- bên ngoài, nh
ng ngi nào t- bên ngoài c phép truy cp n các d ch v bên trong, và c nh
ng d ch v nào bên ngoài c phép truy cp bi nh
ng ngi bên trong. 15 •  firewall làm vic hiu qu, tt c trao i thông tin t- trong ra ngoài và ngc li u phi thc hin thông qua Firewall. • Ch" có nh
ng trao i nào c phép bi ch  an ninh ca h th(ng mng ni b mi c quyn lu thông qua Firewall. S ) chc n ng h th(ng ca firewall c mô t nh trong hình 2.1 Intranet firewall Internet Hình 2.1 S ) chc n ng h th(ng ca firewall 1.4.3 Cu trúc Firewall bao g)m: • Mt ho&c nhiu h th(ng máy ch kt n(i vi các b  nh tuyn (router) ho&c có chc n ng router. • Các phn mm qun lý an ninh chy trên h th(ng máy ch. Thông thng là các h qun tr xác thc (Authentication), cp quyn (Authorization) và k toán (Accounting). Chúng ta s0  cp k hn các hot ng ca nh
ng h này  phn sau. 16 1.4.4 Các thành phn ca Firewall và c ch ho
t ng Mt Firewall chu,n bao g)m mt hay nhiu các thành phn sau ây: • B l c packet ( packet-filtering router ) • Cng ng dng (application-level gateway hay proxy server ) • Cng mch (circuite level gateway) 1.4.4.1 B lc gói tin (Packet filtering router) 1.4.4.1.1 Nguyên lý: Khi nói n vic lu thông d
liu gi
a các mng vi nhau thông qua Firewall thì iu ó có ngha r!ng Firewall hot ng ch&t ch0 vi giao thc liên mng TCP/IP. Vì giao thc này làm vic theo thut toán chia nh% các d
liu nhn c t- các ng dng trên mng, hay nói chính xác hn là các d ch v chy trên các giao thc (Telnet, SMTP, DNS, SMNP, NFS...) thành các gói d
liu (data packets) r)i gán cho các packet này nh
ng  a ch"  có th nhn dng, tái lp li  ích cn gi n, do ó các loi Firewall c#ng liên quan rt nhiu n các packet và nh
ng con s(  a ch" ca chúng. B l c packet cho phép hay t- ch(i m*i packet mà nó nhn c. Nó kim tra toàn b on d
liu  quyt  nh xem on d
liu ó có tho mãn mt trong s( các lut l ca l c packet hay không. Các lut l l c packet này là da trên các thông tin  u m*i packet (packet header), dùng  cho phép truyn các packet ó  trên mng. ó là: • a ch" IP ni xut phát ( IP Source address) 17 • a ch" IP ni nhn (IP Destination address) • Nh
ng th tc truyn tin (TCP, UDP, ICMP, IP tunnel) • Cng TCP/UDP ni xut phát (TCP/UDP source port) • Cng TCP/UDP ni nhn (TCP/UDP destination port) • Dng thông báo ICMP ( ICMP message type) • giao din packet n ( incomming interface of packet) • giao din packet i ( outcomming interface of packet) Nu lut l l c packet c tho mãn thì packet c chuyn qua firewall. Nu không packet s0 b b% i. Nh vy mà Firewall có th ng n cn c các kt n(i vào các máy ch ho&c mng nào ó c xác  nh, ho&c khoá vic truy cp vào h th(ng mng ni b t- nh
ng  a ch" không cho phép. Hn n
a, vic kim soát các cng làm cho Firewall có kh n ng ch" cho phép mt s( loi kt n(i nht  nh vào các loi máy ch nào ó, ho&c ch" có nh
ng d ch v nào ó (Telnet, SMTP, FTP...) c phép mi chy c trên h th(ng mng cc b. 1.4.4.1.2 3u im
a s( các h th(ng firewall u s dng b l c packet. Mt trong nh
ng u im ca phng pháp dùng b l c packet là chi phí thp vì c ch l c packet ã c bao g)m trong m*i phn mm router.
Ngoài ra, b l c packet là trong su(t (i vi ngi s dng và các ng dng, vì vy nó không yêu cu s hun luyn &c bit nào c. 1.4.4.1.3 Hn ch: 18 Vic  nh ngha các ch  l c packet là mt vic khá phc tp, nó òi h%i ngi qun tr mng cn có hiu bit chi tit v các d ch v Internet, các dng packet header, và các giá tr c th mà h có th nhn trên m*i trng. Khi òi h%i v s l c càng ln, các lut l v l c càng tr nên dài và phc tp, rt khó  qun lý và iu khin. Do làm vic da trên header ca các packet, rõ ràng là b l c packet không kim soát c ni dung thông tin ca packet. Các packet chuyn qua v$n có th mang theo nh
ng hành ng vi ý ) n cp thông tin hay phá hoi ca k xu. 1.4.4.2 Cng ng dng (application-level gateway) 1.4.4.2.1 Nguyên lý ây là mt loi Firewall c thit k  t ng cng chc n ng kim soát các loi d ch v, giao thc c cho phép truy cp vào h th(ng mng. C ch hot ng ca nó da trên cách thc g i là Proxy service (d ch v i din). Proxy service là các b chng trình &c bit cài &t trên gateway cho t-ng ng dng. Nu ngi qun tr mng không cài &t chng trình proxy cho mt ng dng nào ó, d ch v tng ng s0 không c cung cp và do ó không th chuyn thông tin qua firewall. Ngoài ra, proxy code có th c  nh cu hình  h* tr ch" mt s( &c im trong ng dng mà ngòi qun tr mng cho là chp nhn c trong khi t- ch(i nh
ng &c im khác. Mt cng ng dng thng c coi nh là mt pháo ài (bastion host), bi vì nó c thit k &t bit  ch(ng li s tn công t- bên ngoài. Nh
ng bin pháp m bo an ninh ca mt bastion host là: 19
Bastion host luôn chy các version an toàn (secure version) ca các phn mm h th(ng (Operating system). Các version an toàn này c thit k chuyên cho mc ích ch(ng li s tn công vào Operating System, c#ng nh là m bo s tích hp firewall.
Ch" nh
ng d ch v mà ngi qun tr mng cho là cn thit mi c cài &t trên bastion host, n gin ch" vì nu mt d ch v không c cài &t, nó không th b tn công. Thông thng, ch" mt s( gii hn các ng dng cho các d ch v Telnet, DNS, FTP, SMTP và xác thc user là c cài &t trên bastion host.
Bastion host có th yêu cu nhiu mc  xác thc khác nhau, ví d nh user password hay smart card.
M*i proxy c &t cu hình  cho phép truy nhp ch" mt s) các máy ch nht  nh. iu này có ngha r!ng b lnh và &c im thit lp cho m*i proxy ch" úng vi mt s( máy ch trên toàn h th(ng.
M*i proxy duy trì mt quyn nht ký ghi chép li toàn b chi tit ca giao thông qua nó, m*i s kt n(i, khong thi gian kt n(i. Nht ký này rt có ích trong vic tìm theo du vt hay ng n ch&n k phá hoi.
M*i proxy u c lp vi các proxies khác trên bastion host. iu này cho phép d1 dàng quá trình cài &t mt proxy mi, hay tháo g4 môt proxy ang có vn . Ví d: Telnet Proxy Ví d mt ngi (g i là outside client) mu(n s dng d ch v TELNET  kt n(i vào h th(ng mng qua môt bastion host có Telnet proxy. Quá trình xy ra nh sau: 20 1. Outside client telnets n bastion host. Bastion host kim tra password, nu hp l thì outside client c phép vào giao din ca Telnet proxy. Telnet proxy cho phép mt tp nh% nh
ng lnh ca Telnet, và quyt  nh nh
ng máy ch ni b nào outside client c phép truy nhp. 2. Outside client ch" ra máy ch ích và Telnet proxy to mt kt n(i ca riêng nó ti máy ch bên trong, và chuyn các lnh ti máy ch di s u' quyn ca outside client. Outside client thì tin r!ng Telnet proxy là máy ch tht  bên trong, trong khi máy ch  bên trong thì tin r!ng Telnet proxy là client tht. 1.4.4.2.2 3u im:
Cho phép ngi qun tr mng hoàn toàn iu khin c t-ng d ch v trên mng, bi vì ng dng proxy hn ch b lnh và quyt  nh nh
ng máy ch nào có th truy nhp c bi các d ch v.
Cho phép ngi qun tr mng hoàn toàn iu khin c nh
ng d ch v nào cho phép, bi vì s vng m&t ca các proxy cho các d ch v tng ng có ngha là các d ch v y b khoá.
Cng ng dng cho phép kim tra  xác thc rt t(t, và nó có nht ký ghi chép li thông tin v truy nhp h th(ng.
Lut l filltering (l c) cho cng ng dng là d1 dàng cu hình và kim tra hn so vi b l c packet. 1.4.4.2.3 Hn ch: 21 Yêu cu các users bin i (modìy) thao tác, ho&c modìy phn mm ã cài &t trên máy client cho truy nhp vào các d ch v proxy. Ví d, Telnet truy nhp qua cng ng dng òi h%i hai bc ê n(i vi máy ch ch không phi là mt bc thôi. Tuy nhiên, c#ng ã có mt s( phn mm client cho phép ng dng trên cng ng dng là trong su(t, b!ng cách cho phép user ch" ra máy ích ch không phi cng ng dng trên lnh Telnet. 1.4.4.3 Cng vòng (circuit-Level Gateway) Cng vòng là mt chc n ng &c bit có th thc hin c bi mt cng ng dng. Cng vòng n gin ch" chuyn tip (relay) các kt n(i TCP mà không thc hin bt k+ mt hành ng x lý hay l c packet nào. Hình 2.2 minh ho mt hành ng s dng n(i telnet qua cng vòng. Cng vòng n gin chuyn tip kt n(i telnet qua firewall mà không thc hin mt s kim tra, l c hay iu khin các th tc Telnet nào.Cng vòng làm vic nh mt si dây,sao chép các byte gi
a kt n(i bên trong (inside connection) và các kt n(i bên ngoài (outside connection). Tuy nhiên, vì s kt n(i này xut hin t- h th(ng firewall, nó che du thông tin v mng ni b. Cng vòng thng c s dng cho nh
ng kt n(i ra ngoài, ni mà các qun tr mng tht s tin tng nh
ng ngi dùng bên trong. 3u im ln nht là mt bastion host có th c cu hình nh là mt h*n hp cung cp Cng ng dng cho nh
ng kt n(i n, và cng vòng cho các kt n(i i. iu này làm cho h th(ng bc tng la d1 dàng s dng cho nh
ng ngi trong mng ni b mu(n trc tip truy nhp ti các d ch v Internet, trong khi v$n cung cp 22 chc n ng bc tng la  bo v mng ni b t- nh
ng s tn công bên ngoài. out out out in in in outside host Inside host Circuit-level Gateway Hình 2.2 Cng vòng 1.4.5 Nhng h
n ch ca firewall
Firewall không  thông minh nh con ngi  có th  c hiu t-ng loi thông tin và phân tích ni dung t(t hay xu ca nó. Firewall ch" có th ng n ch&n s xâm nhp ca nh
ng ngu)n thông tin không mong mu(n nhng phi xác  nh rõ các thông s(  a ch".
Firewall không th ng n ch&n mt cuc tn công nu cuc tn công này không "i qua" nó. Mt cách c th, firewall không th ch(ng li mt cuc tn công t- mt ng dial-up, ho&c s dò r" thông tin do d
liu b sao chép bt hp pháp lên a mm.
Firewall c#ng không th ch(ng li các cuc tn công b!ng d
liu (data-driven attack). Khi có mt s( chng trình c chuyn theo th in t, vt qua firewall vào trong mng c bo v và bt u hot ng  ây.
Mt ví d là các virus máy tính. Firewall không th làm nhim v rà quét virus trên các d
liu c chuyn qua nó, do t(c  làm vic, s xut hin liên tc ca các 23 virus mi và do có rt nhiu cách  mã hóa d
liu, thoát kh%i kh n ng kim soát ca firewall. 1.4.6 Các ví d firewall 1.4.6.1 Packet-Filtering Router (B trung chuyn có lc gói) H th(ng Internet firewall ph bin nht ch" bao g)m mt packet-filtering router &t gi
a mng ni b và Internet (Hình 2.3). Mt packet-filtering router có hai chc n ng: chuyn tip truyn thông gi
a hai mng và s dng các quy lut v l c gói  cho phép hay t- ch(i truyn thông. C n bn, các quy lut l c c  nh ngha sao cho các host trên mng ni b c quyn truy nhp trc tip ti Internet, trong khi các host trên Internet ch" có mt s( gii hn các truy nhp vào các máy tính trên mng ni b. T tng ca mô cu trúc firewall này là tt c nh
ng gì không c ch" ra rõ ràng là cho phép thì có ngha là b t- ch(i. The Internet Bªn ngoµi Packet filtering router M¹ng néi bé Bªn trong Hình 2.3 Packet-filtering router u im:
giá thành thp (vì cu hình n gin) 24
trong su(t (i vi ngi s dng H
n ch :
Có tt c hn ch ca mt packet-filtering router, nh là d1 b tn công vào các b l c mà cu hình c &t không hoàn ho, ho&c là b tn công ngm di nh
ng d ch v ã c phép.
Bi vì các packet c trao i trc tip gi
a hai mng thông qua router , nguy c b tn công quyt  nh bi s( lng các host và d ch v c phép. iu ó d$n n m*i mt host c phép truy nhp trc tip vào Internet cn phi c cung cp mt h th(ng xác thc phc tp, và thng xuyên kim tra bi ngi qun tr mng xem có du hiu ca s tn công nào không.
Nu mt packet-filtering router do mt s c( nào ó ng-ng hot ng, tt c h th(ng trên mng ni b có th b tn công. 1.4.6.2 Screened Host Firewall H th(ng này bao g)m mt packet-filtering router và mt bastion host (hình 2.4). H th(ng này cung cp  bo mt cao hn h th(ng trên, vì nó thc hin c bo mt  tng network( packet-filtering ) và  tng ng dng (application level). )ng thi, k tn công phi phá v4 c hai tng bo mt  tn công vào mng ni b. 25 The Internet Bªn ngoµi Packet filtering router Bªn trong Information server Bastion host m¸y néi bé Hình 2.4 Screened host firewall (Single- Homed Bastion Host) Trong h th(ng này, bastion host c cu hình  trong mng ni b. Qui lut filtering trên packet-filtering router c  nh ngha sao cho tt c các h th(ng  bên ngoài ch" có th truy nhp bastion host; Vic truyn thông ti tt c các h th(ng bên trong u b khoá. Bi vì các h th(ng ni b và bastion host  trên cùng mt mng, chính sách bo mt ca mt t chc s0 quyt  nh xem các h th(ng ni b c phép truy nhp trc tip vào bastion Internet hay là chúng phi s dng d ch v proxy trên bastion host. Vic bt buc nh
ng user ni b c thc hin b!ng cách &t cu hình b l c ca router sao cho ch" chp nhn nh
ng truyn thông ni b xut phát t- bastion host. u im: 26 Máy ch cung cp các thông tin công cng qua d ch v Web và FTP có th &t trên packet-filtering router và bastion. Trong trng hp yêu cu  an toàn cao nht, bastion host có th chy các d ch v proxy yêu cu tt c các user c trong và ngoài truy nhp qua bastion host trc khi n(i vi máy ch. Trng hp không yêu cu  an toàn cao thì các máy ni b có th n(i th2ng vi máy ch. Nu cn  bo mt cao hn n
a thì có th dùng h th(ng firewall dual-home (hai chiu) bastion host (hình 2.5). Mt h th(ng bastion host nh vy có 2 giao din mng (network interface), nhng khi ó kh n ng truyn thông trc tip gi
a hai giao din ó qua d ch v proxy là b cm. The Internet Bªn ngoµi Packet filtering router Bªn trong Information server Bastion host m¸y néi bé Hình 2.5 Screened host firewall (Dual- Homed Bastion Host) Bi vì bastion host là h th(ng bên trong duy nht có th truy nhp c t- Internet, s tn công c#ng ch" gii hn 27 n bastion host mà thôi. Tuy nhiên, nu nh ngi dùng truy nhp c vào bastion host thì h có th d1 dàng truy nhp toàn b mng ni b. Vì vy cn phi cm không cho ngi dùng truy nhp vào bastion host. 1.4.6.3 Demilitarized Zone (DMZ - khu vc phi quân s) hay Screened-subnet Firewall H th(ng này bao g)m hai packet-filtering router và mt bastion host (hình 2.6). H th(ng firewall này có  an toàn cao nht vì nó cung cp c mc bo mt : network và application trong khi  nh ngha mt mng “phi quân s”. Mng DMZ óng vai trò nh mt mng nh%, cô lp &t gi
a Internet và mng ni b. C bn, mt DMZ c cu hình sao cho các h th(ng trên Internet và mng ni b ch" có th truy nhp c mt s( gii hn các h th(ng trên mng DMZ, và s truyn trc tip qua mng DMZ là không th c. Vi nh
ng thông tin n, router ngoài ch(ng li nh
ng s tn công chu,n (nh gi mo  a ch" IP), và iu khin truy nhp ti DMZ. Nó cho phép h th(ng bên ngoài truy nhp ch" bastion host, và có th c information server. Router trong cung cp s bo v th hai b!ng cách iu khin DMZ truy nhp mng ni b ch" vi nh
ng truyn thông bt u t- bastion host. Vi nh
ng thông tin i, router trong iu khin mng ni b truy nhp ti DMZ. Nó ch" cho phép các h th(ng bên trong truy nhp bastion host và có th c information server. Quy lut filtering trên router ngoài yêu cu s dung dich v proxy b!ng cách ch" cho phép thông tin ra bt ngu)n t- bastion host. 28 u im:
K tn công cn phá v4 ba tng bo v: router ngoài, bastion host và router trong.
Bi vì router ngoài ch" qung cáo DMZ network ti Internet, h th(ng mng ni b là không th nhìn thy (invisible). Ch" có mt s( h th(ng ã c ch n ra trên DMZ là c bit n bi Internet qua routing table và DNS information exchange (Domain Name Server).
Bi vì router trong ch" qung cáo DMZ network ti mng ni b, các h th(ng trong mng ni b không th truy nhp trc tip vào Internet. iu nay m bo r!ng nh
ng user bên trong bt buc phi truy nhp Internet qua d ch v proxy. The Internet Bªn ngoµi Packet filtering router Bªn trong Information server Bastion host Outside router Inside router DMZ 29 Hình 2.6 Screened-Subnet Firewall 30 2. Các d ch v Internet Nh ã trình bày  trên, nhìn chung bn phi xác  nh bn bo v cái gì khi thit lp liên kt ra mng ngoài hay Internet: d
liu, tài nguyên, danh ting. Khi xây dng mt Firewall, bn phi quan tâm n nh
ng vn  c th hn: bn phi bo v nh
ng d ch v nào bn dùng ho&c cung cp cho mng ngoài (hay Internet). Internet cung cp mt h th(ng các d ch v cho phép ngi dùng n(i vào Internet truy nhp và s dng các thông tin  trên mng Internet. H th(ng các d ch v này ã và ang c b sung theo s phát trin không ng-ng ca Internet. Các d ch v này bao g)m World Wide Web (g i tt là WWW ho&c Web), Email (th in t), Ftp (file transfer protocols - d ch v chuyn file), telnet (ng dng cho phép truy nhp máy tính  xa), Archie (h th(ng xác  nh thông tin  các file và directory), finger (h th(ng xác  nh các user trên Internet), rlogin(remote login - vào mng t- xa) và mt s( các d ch v khác n
a. 31 2.1 World Wide Web - WWW WWW là d ch v Internet ra i gn ây nht, nhng phát trin nhanh nht hin nay. Web cung cp mt giao din vô cùng thân thin vi ngi dùng, d1 s dng, vô cùng thun li và n gin  tìm kim thông tin. Web liên kt thông tin da trên công ngh hyper-link (siêu liên kt), cho phép các trang Web liên kt vi nhau trc tip qua các  a ch" ca chúng. Thông qua Web, ngi dùng có th :
Phát hành các tin tc ca mình và  c tin tc t- khp ni trên th gii
Qung cáo v mình, v công ty hay t chc ca mình c#ng nh xem các loi qung cáo trên th gii, t- kim vic làm, tuyn m nhân viên, công ngh và sn ph,m mi, tìm bn, vân vân.
Trao i thông tin vi bè bn, các t chc xã hi, các trung tâm nghiên cu, trng h c, vân vân
Thc hin các d ch v chuyn tin hay mua bán hàng hoá
Truy nhp các c s d
liu ca các t chc, công ty (nu nh c phép) Và rt nhiu các hot ng khác n
a. 32 2.2 Electronic Mail (Email hay th in t ). Email là d ch v Internet c s dng rng rãi nht hin nay. Hâu ht các thông báo  dng text (v n bn) n gin, nhng ngi s dng có th gi kèm theo các file cha các hình nh nh s ), nh . H th(ng email trên Internet là h th(ng th in t ln nht trên th gii, và thng c s dng cùng vi các h th(ng chuyn th khác. Kh n ng chuyn th in t trên Web có b hn ch hn so vi các h th(ng chuyn th in t trên Internet, bi vì Web là mt phng tin trao i công cng, trong khi th là mt cái gì ó riêng t. Vì vy, không phi tt c các Web brower u cung cp chc n ng email. (Hai browser ln nht hin nay là Netscape và Internet Explorer u cung cp chc n ng email). 33 2.3 Ftp (file transfer protocol hay d ch v chuyn file) Ftp là mt d ch v cho phép sao chép file t- mt h th(ng máy tính này n h th(ng máy tính khác ftp bao g)m th tc và chng trình ng dng, và là mt trong nh
ng d ch v ra i sm nht trên Internet. Fpt có th c dùng  mc h th(ng (gõ lnh vào command-line), trong Web browser hay mt s( tin ích khác. Fpt vô cùng h
u ích cho nh
ng ngi dùng Internet, bi vì khi sc so trên Internet, bn s0 tìm thy vô s( nh
ng th vin phn mm có ích v rt nhiu lnh vc và bn có th chép chúng v  s dng. 34 2.4 Telnet và rlogin Telnet là mt ng dng cho phép bn truy nhp vào mt máy tính  xa và chy các ng dng  trên máy tính ó. Telnet là rt h
u ích khi bn mu(n chy mt ng dng không có ho&c không chy c trên máy tính ca bn, ví d nh bn mu(n chy mt ng dung Unix trong khi máy ca bn là PC. Hay bn máy tính ca bn không  mnh  chy mt ng dng nào ó, ho&c không có các file d
liu cn thit. Telnet cho bn kh n ng làm vic trên máy tính  xa bn hàng ngàn cây s( mà bn v$n có cm giác nh ang ng)i trc máy tính ó. Chc n ng ca rlogin(remote login - vào mng t- xa) c#ng tng t nh Telnet. 35 2.5 Archie Archie là mt loi th vin thng xuyên t ng tìm kim các máy tính trên Internet, to ra mt kho d
liu v danh sách các file có th np xu(ng (downloadable) t- Internet. Do ó, d
liêu trong các file này luôn luôn là mi nht. Archie do ó rt tin dng cho ngi dùng  tìm kim và download các file. Ngi dùng ch" cn gi tên file, ho&c các t- khoá ti Archie; Archie s0 cho li  a ch" ca các file có tên ó ho&c có cha nh
ng t- ó. 36 2.6 Finger Finger là mt chng trình ng dng cho phép tìm  a ch" ca các user khác trên Internet. T(i thiu, finger có th cho bn bit ai ang s dng mt h th(ng máy tính nào ó, tên login ca ngi ó là gì. Finger hay c s dng  tìm  a ch" email ca bè bn trên Internet. Finger còn có th cung cp cho bn nhiu thông tin khác, nh là mt ngi nào ó ã login vào mng bao lâu. Vì th finger có th coi là mt ngi tr giúp c lc nhng c#ng là m(i him ho cho s an toàn ca mng. 3. H thng Firewall xây dng bi CSE B chng trình Firewall 1.0 ca CSE c a ra vào tháng 6/1998. B chng trình này g)m hai thành phn:
B l c gói tin – IP Filtering
B chng trình cng ng dng – proxy servers Hai thành phn này có th hot ng mt cách riêng r0. Chúng c#ng có th kt hp li vi nhau  tr thành mt h th(ng firewall hoàn ch"nh. Trong tp tài liu này, chúng tôi ch"  cp n b chng trình cng ng dng ã c cài &t ti VPCP. 38 3.1 T ng quan B chng trình proxy ca CSE (phiên bn 1.0) c phát trin da trên b công c xây dng Internet Firewall TIS (Trusted Information System) phiên bn 1.3. TIS bao g)m mt b các chng trình và s &t li cu hình h th(ng  nh!m mc ích xây dng mt Firewall. B chng trình c thit k  chy trên h UNIX s dng TCP/IP vi giao din socket Berkeley. Vic cài &t b chng trình proxy òi h%i kinh nghim qun lý h th(ng UNIX, và TCP/IP networking. T(i thiu, ngi qun tr mng firewall phi quen thuc vi:
vic qun tr và duy trì h th(ng UNIX hot ng
vic xây dng các package cho h th(ng S khác nhau khi &t cu hình cho h th(ng quyt  nh mc  an toàn mng khác nhau. Ngi cài &t firewall phi hiu rõ yêu cu v  an toàn ca mng cn bo v, nm chc nh
ng ri ro nào là chp nhn c và không chp nhn c, thu lm và phân tích chúng t- nh
ng òi h%i ca ngi dùng. B chng trình proxy c thit k cho mt s( cu hình firewall, trong ó các dng c bn nht là dual-home gateway (hình 2.4), screened host gateway(hình 2.5), và screened subnet gateway(hình 2.6). Nh chúng ta ã bit, trong nh
ng cu trúc firewall này, yu t( c n bn nht là bastion host, óng vai trò nh mt ngi chuyn tip thông tin (forwarder), ghi nht ký truyn thông, và cung cp các d ch v. Duy trì  an toàn trên bastion host là cc k+ quan tr ng, bi vì ó là ni tp trung hu ht các c( gng cài &t mt h th(ng firewall. 39 3.2 Các thành phn ca b chng trình proxy: B chng trình proxy g)m nh
ng chng trình bc ng dng (application-level programs), ho&c là  thay th ho&c là c cng thêm vào phn mm h th(ng ã có. B chng trình proxy có nh
ng thành phn chính bao g)m:
Smap: d ch v SMTP(Simple Mail Tranfer Protocol)
Netacl: d ch v Telnet, finger, và danh mc các iêu khin truy nhp mng
Ftp-Gw: Proxy server cho Ftp
Telnet-Gw: Proxy server cho Telnet
Rlogin-Gw: Proxy server cho rlogin
Plug-Gw: TCP Plug-Board Connection server (server kt n(i tc thi dùng th tc TCP) 3.2.1 Smap: D ch v SMTP SMTP c xây dng b!ng cách s dng c&p công c phn mm smap và smapd. Có th nói r!ng SMTP ch(ng li s e do ti h th(ng, bi vì các chng trình mail chy  mc  h th(ng  phân phát mail ti các hp th ca user. Smap và smapd thc hin iu ó b!ng cách cô lp chng trình mail, bt nó chy trên mt th mc dành riêng (restricted directory) qua chroot (thay i th mc g(c), nh mt user không có quyn u tiên. Mc ích ca smap là cô lp chng trình mail v(n ã gây ra rt nhiu l*i trên h th(ng. Phn ln các công vic x lý mail thng c 40 thc hin bi chng trình sendmail. Sendmail không yêu cu mt s thay i hay &t li cu hình gì c. Khi mt h th(ng  xa n(i ti mt cng SMTP, h iu hành khi ng smap. Smap lp tc chroot ti th mc dành riêng và &t user-id  mc bình thng (không có quyn u tiên). Bi vì smap không yêu cu h* tr bi mt file h th(ng nào c, th mc dành riêng ch" cha các file do smap to ra. Do vy, bn không cn phi lo s là smap s0 thay i file h th(ng khi nó chroot. Mc ích duy nht ca smap là (i thoi SMTP vi các h th(ng khác, thu lm thông báo mail, ghi vào a, ghi nht ký, và thoát. Smapd có trách nhim thng xuyên quét th mc kho ca smap và a ra các thông báo ã c xp theo th t (queued messages) ti sendmail  cu(i cùng phân phát. Chú ý r!ng nu sendmail c &t cu hình  mc bình thng, và smap chy vi uucp user-id (?), mail có th c phân phát bình thng mà không cn smapd chy vi mc u tiên cao. Khi smapd phân phát mt thông báo, nó xoá file cha thông báo ó trong kho. Theo ý ngha này, sendmail b cô lp, và do ó mt user l trên mng không th kt n(i vi sendmail mà không qua smap. Tuy nhiên, smap và smapd không th gii quyt vn  gi mo th ho&c các loi tn công khác qua mail. Smap có kích thc rt nh% so vi sendmail (700 dòng so vi 20,000 dòng) nên vic phân tích file ngu)n  tìm ra l*i n gin hn nhiu. 3.2.2 Netacl: công c iu khin truy nhp m
ng Chúng ta ã bit r!ng inetd không cung cp mt s iu khin truy nhp mng nào c: nó cho phép bt k+ mt h 41 th(ng nào trên mng c#ng có th n(i ti các d ch v lit kê trong file inetd.conf. Netacl là mt công c  iu khin truy nhp mng, da trên  a ch" network ca máy client, và d ch v c yêu cu. Vì vy mt client (xác  nh bi  a ch" IP ho&c hostname) có th khi ng telnetd (mt version khác ca telnet) khi nó n(i vi cng d ch v telnet trên firewall. Thng thng trong các cu hình firewall, netacl c s dng  cm tt c các máy tr- mt vài host c quyn login ti firewall qua ho&c là telnet ho&c là rlogin, và  khoá các truy nhp t- nh
ng k tn công.  an toàn ca netacl da trên  a ch" IP và/ho&c hostname. Vi các h th(ng cn  an toàn cao, nên dng  a ch" IP  tránh s gi mo DNS. Netacl không ch(ng li c s gi  a ch" IP qua chuyn ngu)n (source routing) ho&c nh
ng phng tin khác. Nu có các loi tn công nh vy, cn phi s dng mt router có kh n ng soi nh
ng packet ã c chuyn ngu)n (screening source routed packages). Chú ý là netacl không cung cp iu khin truy nhp UDP, bi vì công ngh hin nay không m bo s xác thc ca UDP. An toàn cho các d ch v UDP  ây )ng ngha vi s không cho phép tt c các d ch v UDP. Netacl ch" bao g)m 240 dòng mã C (c gii thích) cho nên rt d1 dàng kim tra và hiu ch"nh. Tuy nhiên v$n cn phi c,n thn khi cu hình nó. 3.2.3 Ftp-Gw: Proxy server cho Ftp Ftp-Gw là mt proxy server cung cp iu khin truy nhp mng da trên  a ch" IP và/ho&c hostname, và cung cp 42 iu khin truy nhp th cp cho phép tu+ ch n khoá ho&c ghi nht ký bt k+ lnh ftp nào. ích cho d ch v này c#ng có th tu+ ch n c phép hay khoá. Tt c các s kt n(i và byte d
liu chuyn qua u b ghi nht kí li. Ftp-Gw t bn thân nó không e do an toàn ca h th(ng firewall, bi vì nó chy chroot ti mt th mc r*ng, không thc hin mt th tc vào ra file nào c ngoài vic  c file cu hình ca nó. Kích thc ca Ftp-gw là khong 1,300 dòng. Ftp gateway ch" cung cp d ch v ftp, mà không quan tâm n ai có quyn hay không có quyn kt xut (export) file. Do vy, vic xác  nh quyn phi c thit lp trên gateway và phi thc hin trc khi thc hin kt xut (export) hay nhp (import) file. Ftp gateway nên c cài &t da theo chính sách an toàn ca mng. B chng trình ngu)n cho phép ngi qun tr mng cung cp c d ch v ftp và ftp proxy trên cùng mt h th(ng. 3.2.4 Telnet-Gw: Proxy server cho Telnet Telnet-Gw là mt proxy server cung cp iu khin truy nhp mng da trên  a ch" IP và/ho&c hostname, và cung cp s iu khin truy nhp th cp cho phép tu+ ch n khoá bt k+ ích nào. Tt c các s kt n(i và byte d
liu chuyn qua u b ghi nht ký li. M*i mt ln user n(i ti telnet-gw, s0 có mt menu n gin ca các ch n la  n(i ti mt host  xa. Telnet-gw không phng hi ti an toàn h th(ng, vì nó chy chroot n môt th mc dành riêng (restricted directory). File ngu)n bao g)m ch" 1,000 dòng lnh. Vic x lý menu là hoàn toàn di1n ra  trong b nh, và không 43 có môt subsell hay chng trình nào tham d. C#ng không có vic vào ra file ngoài vic  c cu hình file. Vì vy, telnet-gw không th cung cp truy nhp ti bn thân h th(ng firewall. 3.2.5 Rlogin-Gw: Proxy server cho rlogin Các terminal truy nhp qua th tc BSD rlogin có th c cung cp qua rlogin proxy. rlogin cho phép kim tra và iêu khin truy nhp mng tng t nh telnet gateway. Rlogin client có th ch" ra mt h th(ng  xa ngay khi bt u n(i vào proxy, cho phép hn ch yêu cu tng tác ca user vi máy (trong trng hp không yêu cu xác thc). 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net Thông thng, vic khai thác thông tin t- CSDL Oracle c tin hành thông qua d ch v WWW. Tuy nhiên  h* tr ngi s dng dùng chng trình plus33 n(i vào máy ch Oracle, b firewall ca CSE c a kèm vào chng trình Sql-net proxy. Vic kim soát truy nhp c thc hiu qua tên máy hay  a ch" IP ca máy ngu)n và máy ích. 3.2.7 Plug-Gw: TCP Plug-Board Connection server Firewall cung cp các d ch v thông thng nh Usernet news. Ngi qun tr mng có th ch n ho&c là chy d ch v này trên bn thân firewall, ho&c là cài &t mt proxy server. Do chy news trc tip trên firewall d1 gây l*i h th(ng trên phn mm này, cách an toàn hn là s dng proxy. Plug-gw c thit k cho Usernet News. 44 Plug-gw có th c &t cu hình  cho phép hay t- ch(i mt s kt n(i da trên  a ch" IP ho&c là hostname. Tt c s kt n(i và các byte d
liu chuyn qua u c ghi nht ký li. 45 3.3 Cài t B cài &t g)m 2 a mm 1.44 Mb, R1 và R2. M*i b cài &t u có mt s( Serial number khác nhau và ch" hot ng c trên máy có hostname ã xác  nh trc. Vic cài &t c tin hành bình thng b!ng cách dùng lnh custom. Khi cài &t, mt ngi s dng có tên là proxy c  ng ký vi h th(ng  thc hin các chc n ng qun lý proxy. Ngi cài &t phi &t mt kh,u cho user này. Mt th mc /usr/proxy c t ng thit lp, trong ó có các th mc con:
bin  cha các chng trình thc hin
etc  cha các tp cu hình Firewall và mt s( ví d các file cu hình ca h th(ng khi chy vi Firewall nh inetd.conf, services, syslog.conf
log  cha các tp nht ký
report  cha các tp báo cáo sau này. Vic &t cu hình và qun tr CSE Firewall u thông qua các chc n ng trên menu khi login vào máy Firewall b!ng tên ngi s dng là proxy. Sau khi cài &t nên i tên nh
ng tp h th(ng và lu li trc khi &t cu hình:
/etc/inetd.conf
/etc/services
/etc/syslog.conf. 46 3.4 Thit lp cu hình: 3.4.1 Cu hình m
ng ban u Vi Firewall host-base Chúng ta có th chc chn vào vic mng c cài &t theo mt chính sách an toàn c la ch n nh!m ng n cn m i lu)ng thông tin không mong mu(n gi
a mng c bo v và mng bên ngoài. iu này có th c thc hin bi screening router hay dual-home gateway. Thông thng, các thit b mng u s dng c ch an toàn cài &t trên router ni mà m i liên kt u phi i qua. Mt iu cn quan tâm là trong khi ang cài &t, nh
ng máy ch công khai (Firewall bastion host) có th b tn công trc khi c ch an toàn ca nó c cu hình hoàn ch"nh  có th chy c. Do ó, nên cu hình tp inetd.conf  cm tt c các d ch v mng t- ngoài vào và s dng thit b u cu(i  cài &t. Ti thi im ó, chúng ta có th quy  nh nh
ng truy nhp gi
a mng c bo v và mng bên ngoài nào s0 b khoá. Tu+ theo mc ích, chúng ta có th ng n các truy nhp tu+ theo hng ca chúng. Chng trình c#ng cn c th nghim k càng trc khi s dng. Nu cn thit có th dùng chng trình /usr/proxy/bin/netscan  th kt n(i ti tt c máy tính trong mng con  kim tra. Nó s0 c( gng th l t qua Firewall theo m i hng  chc chn r!ng các truy nhp bt hp pháp là không th xy ra. Ng n cm truy nhp vào ra là cái ch(t trong c ch an toàn ca Firewall không nên s dng nu nó cha c cài &t và th nghim k l4ng. 47 3.4.2 Cu hình cho Bastion Host Mt nguyên nhân c bn ca vic xây dng Firewall là  ng n ch&n các d ch v không cn thit và các d ch v không nm rõ. Ng n ch&n các d ch v không cn thit òi h%i ngi cài &t phi có hiu bit v cu hình h th(ng. Các bc thc hin nh sau:
Sa i tp /etc/inetd.conf, /etc/services, /etc/syslog.conf, /etc/sockd.conf.
Sa i cu hình h diu hành, loi b% nh
ng d ch v có th gây l*i nh NFS, sau ó rebuild kernel. Vic này c thc hin cho ti khi h th(ng cung cp d ch v t(i thiu mà ngi qun tr tin tng. Vic cu hình này có th làm )ng thi vi vic kim tra d ch v nào chy chính xác b!ng cách dùng các lnh ps và netstat. Phn ln các server c cu hình cùng vi mt s( dng bo mt khác, các cu hình này s0 mô t  phn sau. Mt công c chung  th m dò các d ch v TCP/IP là /usr/proxy/bin/portscan có th dùng  xem d ch v nào ang c cung cp. Nu không có yêu cu &c bit có th dùng các file cu hình nói trên ã c to s/n và &t ti /usr/proxy/etc khi cài &t, ngc li có th tham kho  sa i theo yêu cu. Toàn b các thành phn ca b Firewall òi h%i c cu hình chung (m&c  nh là /usr/proxy/etc/netperms). Phn ln các thành phn ca b Firewall c g i bi d ch v ca h th(ng là inetd, khai báo trong /etc/inetd.conf tng t nh sau: 48 ftp stream tcp nowait root /usr/proxy/bin/netacl ftpd ftp-gw stream tcp nowait root /usr/proxy/bin/ftp-gw ftp-gw telnet-a stream tcp nowait root /usr/proxy/bin/netacl telnetd telnet stream tcp nowait root /usr/proxy/bin/tn-gw tn-gw login stream tcp nowait root /usr/proxy/bin/rlogin-gw rlogin-gw finger stream tcp nowait nobody /usr/proxy/bin/netacl fingerd http stream tcp nowait root /usr/proxy/bin/netacl httpd smtp stream tcp nowait root /usr/proxy/bin/smap smap Chng trình netacl là mt v% b c TCP (TCP Wrapper) cung cp kh n ng iu khin truy cp cho nh
ng d ch v TCP và c#ng s dng mt tp cu hình vi Firewall. Bc u tiên  cu hình netacl là cho phép mng ni b truy nhp có gii hn vào Firewall, nu nh nó cn thit cho nhu cu qun tr . Tu+ thuc vào TELNET gateway tn-gw có c cài &t hay không, qun tr có th truy cp vào Firewall qua cng khác vi cng chu,n ca telnet (23). Bi vì telnet thng không cho phép chng trình truy cp ti mt cng không phi là cng chu,n ca nó. D ch v proxy s0 chy trên cng 23 và telnet thc s s0 chy trên cng khác ví d d ch v có tên là telnet-a  trên (Xem file inetd.conf  trên). Có th kim tra tính úng n ca netacl b!ng cách cu hình cho phép ho&c cm mt s( host r)i th truy cp các d ch v t- chúng. M*i khi netacl c cu hình, TELNET và FTP gateway cn phi c cu hình theo. Cu hình TELNET gateway ch" n gin là coi nó nh mt d ch v và trong netacl.conf vit mt s( miêu t h th(ng nào có th s dng nó. Tr giúp có th c cung cp cho ngi s dng khi cn thit. Vic cu hình FTP proxy c#ng nh vy. Tuy nhiên, FTP có 49 th s dng cng khác không gi(ng TELNET. Rt nhiu các FTP client h* tr cho vic s dng cng không chu,n. D ch v rlogin là mt tu+ ch n có th dùng và phi c cài &t trên cng ng dng ca bastion host (cng 512) giao thc rlogin òi h%i mt cng &c bit, mt quá trình òi h%i s cho phép ca h th(ng UNIX. Ngi qun tr mu(n s dng c ch an toàn phi cài &t th mc cho proxy  nó gii hn nó trong th mc ó. Smap và smapd là các tin trình l c th có th c cài &t s dng th mc riêng ca proxy  x lý ho&c s dng mt th mc nào ó trong h th(ng. Smap và smapd không thay th sendmail do ó v$n cn cu hình sendmail cho Firewall. Vic này không mô t trong tài liu này. 3.4.3 Thit lp tp hp quy tc Khi cu hình cho proxy server và chng trình iu khin truy cp mng iu cn thit là thit lp chính xác tp quy tc  th hin úng vi mô hình an toàn mong mu(n. Mt cách t(t  bt u cu hình Firewall là  m i ngi trong mng s dng t do các d ch v )ng thi cm tt c m i ngi bên ngoài. Vic &t cu hình cho firewall không quá rc r(i, vì nó c thit k  h* tr cho m i hoàn cnh. Tp tin /usr/proxy/etc/netperms là CSDL cu hình và quyn truy nhp (configuration/permissions) cho các thành phn ca Firewall: netacl, smap, smapd, ftp-gw, tn-gw, http-gw, và plug-gw. Khi mt trong các ng dng này khi ng, nó  c cu hình và quyn truy nhp ca nó t- netperms và lu tr
vào mt CSDL trong b nh. File configuration/permissions c thit lp thành nh
ng quy tc, m*i quy tc cha trên mt dòng. Phn u tiên ca 50 m*i quy tc là tên ca ng dng, tip theo là du hai chm (“:”). Nhiu ng dng có th dùng chung mt quy tc vi tên ng n cách bi du phy. Dòng chú thích có th chèn vào file cu hình b!ng cách thêm vào u dòng ký t ‘#’. 3.4.3.1 Thi t lp tp hp các quy tc cho dch v HTTP, FTP Vic thit lp cu hình cho các d ch v HTTP, FTP là tng t nh nhau. Chúng tôi ch" a ra chi tit v thit lp cu hình và quy tc cho d ch v FTP. #Example ftp gateway rules: #--------------------------------- ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt ftp—gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt ftp-gw: permit-hosts 10.10.170.* -log {retr stor} ftp-gw: timeout 3600 Trong ví d trên, mng 10.10.170 c cho phép dùng proxy trong khi m i host khác không có trong danh sách, m i truy cp khác u b cm. Nu mt mng khác mu(n truy cp proxy, nó nhn c mt thông báo t- ch(i trong /usr/proxy/etc/ftp-deny.txt và sau ó liên kt b ngt. Nu mng c bo v phát trin thêm ch" cn thêm vào các dòng cho phép. ftp-gw: permit-hosts 16.67.32.* -log {retr stor} or 51 ftp-gw: permit-hosts 16.67.32.* -log {retr stor} ftp-gw: permit-hosts 10.10.170.* -log {retr stor} M*i b phn ca Firewall có mt tp các tu+ ch n và c c mô t trong manual page riêng ca phn ó. Trong ví d trên, Tu+ ch n -log {retr stor} cho phép FTP proxy ghi li nht ký vi tu+ ch n retr và stor. 3.4.3.2 Anonymous FTP Anonymous FTP server ã c s dng trong h iu hành UNIX t- lâu. Các l* hng trong vic bo m an toàn (Security hole) thng xuyên sinh ra do các chc n ng mi c thêm vào, s xut hin ca bug và do cu hình sai. Mt cách tip cn vi vic m bo an toàn cho anonymous FTP là s dng netacl  chc chn FTP server b hn ch trong th mc ca nó trc khi c g i. Vi cu hinh nh vy, khó kh n cho anonymous FTP làm tn hi n h th(ng bên ngoài khu vc ca FTP. Di ây là mt ví d s dng netacl  quyt  nh gii hn hay không gii hn vùng s dng ca FTP (i vi m*i liên kt. Gi s là mng c bo v là 192.5.12 netacl-ftpd: hosts 192.5.12.* -exec /etc/ftpd netacl-ftpd: hosts unknown -exec /bin/cat /usr/proxy/etc/noftp.txt netacl-ftpd: hosts * -chroot /ftpdir -exec /etc/ftpd Trong ví d này, ngi dùng n(i vi d ch v FTP t- mng c bo v có kh n ng FTP bình thng. Ngi dùng kt n(i t- h th(ng khác domain nhn c mt thông báo r!ng h không có quyn s dng FTP. M i h th(ng khác kt n(i vào FTP u s dng vi vùng file FTP. iu này có mt 52 s( thun li cho vic bo m an toàn. Th nht, khi kim tra xác thc, ftpd kim tra mt kh,u ca ngi s dng trong vùng FTP, cho phép ngi qun tr a ra “account” cho FTP. iu này cn thit cho nh
ng ngi không có account trong bastion host cung cp s kim tra và xác thc nó còn cho phép qun tr s dng nh
ng im mnh ca ftpd cho dù nó cha mt s( l* hng v an toàn. 3.4.3.3 Telnet và rlogin Nói chung truy cp ti bastion host nên b cm, ch" ngi qun tr có quyn login. Thông thng  khi chy proxy, chng trình telnet và rlogin không th chy trên các cng chu,n ca chúng. Có 3 cách gii quyt vn  này:
Chy telnet và rloggin proxy trên cng chu,n vi telnet và rlogin trên cng khác và bo v truy cp ti chúng b!ng netacl
Cho phép login ch" vi thit b u cu(i.
Dùng netacl  chuyn i tu+ thuc vào im xut phát ca kt n(i, da trên proxy  thc hin kt n(i thc s. Cách gii quyt cu(i cùng rt tin li nhng cho phép m i ngi có quyn dùng proxy  login vào bastion host. Nu bastion host s dng xác thc mc cao  qun lý truy cp ca ngi dùng, s ri ro do vic tn công vào h bastion host s0 c gim thiu.  cu hình h th(ng trc ht, tt c các thit b c n(i vào h th(ng qua netacl và dùng nó g i các chng trình server hay proxy server tu+ thuc vào ni xut phát ca kt n(i. Ngi qun tr mu(n vào bastion host trc ht phi kt n(i vào netacl sau ó ra lnh kt n(i vào bastion host. Vic này 53 n gin vì mt s( bn telnet và rlogin không làm vic nu không c kt n(i vào úng cng. netacl-telnetd: permit-hosts 127.0.0.1 -exec /etc/telnetd netacl-telnetd: permit-hosts myaddress -exec /etc/telnetd netacl-telnetd: permit-hosts * -exec /usr/proxy/bin/tn-gw netacl-rlogin: permit-hosts 127.0.0.1 -exec /etc/rlogin netacl-rlogin: permit-hosts myaddress -exec /etc/rlogin netacl-rlogin: permit-hosts * -exec /usr/proxy/bin/rlogin-gw 3.4.3.4 Sql-net proxy Gi thit là có hai CSDL STU n!m trên máy 190.2.2.3 và VPCP n!m trên máy 190.2.0.4.  cu hình cho sql-net proxy, phi tin hành các bc nh sau: 3.4.3.4.1 Cu hình trên firewall
&t cu hình cho tp netperms nh sau: #Oracle proxy for STU Database ora_stu1: timeout 3600 ora_stu1: port 1521 * -plug-to 190.2.2.3 -port 1521 ora_stu2: timeout 3600 ora_stu2: port 1526 * -plug-to 190.2.2.3 -port 1526 #Oracle proxy for VBPQ Database 54 ora_vpcp1: timeout 3600 ora_vpcp1: port 1421 * -plug-to 190.2.0.4 -port 1521 ora_vpcp2: timeout 3600 ora_vpcp2: port 1426 * -plug-to 190.2.0.4 -port 1526
&t li tp /etc/services nh sau: #Oracle Proxy for STU Database ora_stu1 1521/tcp oracle proxy ora_stu2 1526/tcp oracle proxy #Oracle Proxy for VBPQ Database ora_vpcp1 1421/tcp oracle proxy ora_vpcp2 1426/tcp oracle proxy
&t li tp /etc/inetd.conf nh sau: #Oracle Proxy for VBPQ Database ora_stu1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu1 ora_stu2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu2 55 #Oracle Proxy for VBPQ Database ora_vpcp1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp1 ora_vpcp2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp2
&t li tp /etc/syslog.conf nh sau: #Logfile for Sql-gw “sql-gw” /usr/proxy/log/plug-gw 3.4.3.4.2 Cu hình trên máy trm
&t li tp oracle_home\network\admin\tnsnames.ora nh sau: #Logfile for Sql-gw stu.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1521) ) (ADDRESS = (COMMUNITY = tcp.world) 56 (PROTOCOL = TCP) (Host = firewall) (Port = 1526) ) ) (CONNECT_DATA = (SID = STU) ) ) vpcp.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1421) ) (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1426) ) ) (CONNECT_DATA = (SID = ORA1) 57 ) ) Bn có th d1 dàng m rng cho nhiu CSDL khác n!m trên nhiu máy khác nhau. 3.4.3.5 Các dch v khác Tng t nh trên là các ví d cu hình cho các d ch v khác khai báo trong file netperms: # finger gateway rules: # --------------------- netacl-fingerd: permit-hosts 190.2.* ws1 -exec /etc/fingerd netacl-fingerd: deny-hosts * -exec /bin/cat /usr/proxy/etc/finger.txt # http gateway rules: # --------------------- netacl-httpd: permit-hosts * -exec /usr/proxy/bin/http-gw http-gw: timeout 3600 #http-gw: denial-msg /usr/proxy/etc/http-deny.txt #http-gw: welcome-msg /usr/proxy/etc/http-welcome.txt #http-gw: help-msg /usr/proxy/etc/http-help.txt http-gw: permit-hosts 190.2.* 10.* 192.2.0.* -log { all } http-gw: deny-hosts 220.10.170.32 ws1 http-gw: default-httpd hpnt # # smap (E-mail) rules: 58 # ---------------------- smap, smapd: userid root smap, smapd: directory /usr/spool/mail smapd: executable /usr/proxy/bin/smapd smapd: sendmail /usr/lib/sendmail smap: timeout 3600 # Ngoài ra, trong CSE Firewall còn có d ch v socks  kim soát các phn mm ng dng &c bit nh Lotus Notes. Cn phi thêm vào các file cu hình h th(ng nh sau: File /etc/services: socks 1080/tcp File /etc/inetd.conf: socks stream tcp nowait root /etc/sockd sockd Cu hình và quy tc cho d ch v này n!m  file /etc/sockd.conf, ch" có hai t- khoá cn phi quan tâm là permit và deny  cho phép hay không các host i qua, d ch v này không kt hp vi d ch v xác thc. a ch" IP và Netmask &t trong file này gi(ng nh vi lnh d$n ng route ca UNIX. permit 190.2.0.0 255.255.0.0 permit 10.10.170.50 255.255.255.255 permit 10.10.170.40 255.255.255.255 permit 10.10.170.31 255.255.255.255 deny 0.0.0.0 0.0.0.0 : mail -s 'SOCKD: rejected -- from %u@%A to host %Z (service %S)' root 59 3.4.4 Xác thc và d ch v xác thc B Firewall cha chng trình server xác thc c thit k  h* tr c ch phân quyn. Authsrv cha mt c s d
liu v ngi dùng trong mng, m*i bn ghi tng ng vi mt ngi dùng, cha c ch xác thc cho m*i anh ta, trong ó bao g)m tên nhóm, tên y  ca ngi dùng, ln truy cp mi nht. Mt kh,u không mã hoá (Plain text password) c s dng cho ngi dùng trong mng  vic qun tr c n gin. Mt kh,u không mã hoá không nên dùng vi nh
ng ngòi s dng t- mng bên ngoài. Authsrv c chy trên mt host an toàn thông thng là bastion host.  n gin cho vic qun tr authsrv ngi qun tr có th s dng mt shell authmsg  qun tr c s d
liu có cung cp c ch mã hoá d
liu. Ngi dùng trong 1 c s d
liu ca authsrv có th c chia thành các nhóm khác nhau c qun tr bi qun tr nhóm là ngi có toàn quyn trong nhóm c vic thêm, bt ngi dùng. iu này thun li khi nhiu t chc cùng dùng chung mt Firewall.  cu hình authsrv, u tiên cn xác  nh 1 cng TCP tr(ng và thêm vào mt dòng vào trong inetd.conf  g i authsrv m*i khi có yêu cu kt n(i. Authsrv không phi mt tin trình deamon chy liên tc, nó là chng trình c g i m*i khi có yêu cu và cha mt bn sao CSDL  tránh ri ro. Thêm authsrv vào inet.conf òi h%i to thêm im vào trong /etc/services. Vì authsrv không chp nhn tham s(, mà phi thêm vào inetd.conf và services các dòng nh sau: Trong /etc/services: 60 authsrv 7777/tcp Trong /etc/inetd.conf: authsrv stream tcp nowait root /usr/proxy/bin/authsrv authsrv Cng d ch v dùng cho authsvr s0 c dùng  &t cu hình cho các ng dng client có s dng d ch v xác thc. D ch v xác thc không cn áp dng cho tt c các d ch v hay tt c các client. #Example ftp gateway rules: ftp-gw: authserver local host 7777 ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt ftp-gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt ftp-gw: permit-host 192.33.112.100 ftp-gw: permit-host 192.33.112.* -log {retr stor} -auth {stor} ftp-gw: permist-host * -authall ftp-gw: timeout 36000 Trong ví d trên, xác thc dùng vi FTP proxy. Dòng u tiên  nh ngha  a ch" mng cng d ch v ca chng trình xác thc. Dòng permist-host cho thy mt trong s( s mm do ca h th(ng xác thc, mt host c la ch n  không phi ch u c ch xác thc, ngi dùng t- host này có th truy cp t do ti m i d ch v ca proxy. Permist-host th 2 òi h%i xác thc m i h th(ng trong mng 192.33.112 mu(n truyn ra ngoài vi -auth {store} nh
ng thao tác ca FTP s0 b khoá ti khi ngi dùng hoàn thành vic xác thc 61 vi server. Khi ó, lnh c m khoá và ngi dùng có th vào h th(ng. Ví d cu(i  nh ngha m i ngi có th n(i vi server nhng trc ht h phi c xác thc. Authsrv server phi c cu hình  bit máy nào c cho phép kt n(i. iu này cm tt c nh
ng c( gng truy nhp bt hp pháp vào server t- nh
ng server không chy nh
ng phn mm xác thc. Trong Firewall authsrv s0 chy trên bastion host cùng vi proxy trên ó. Nu không có h th(ng nào òi h%i truy cp, m*i client và server coi “local host” nh mt  a ch" truyn thông. Cu hình authsrv  nh ngha nó s0 vn hành CSDL và client h* tr. #Example authhsrv rules: authsrv: database /usr/proxy/bin/authsrv.db authsrv: permit-host localhost authsrv: permit-host 192.5.214..32 Trong ví d trên, ng d$n ti CSDL  nh ngha và 2 host c nhn ra. Chú ý CSDL  trên trong h th(ng c bo v ho&c c bo v nghiêm ng&t bi c ch truy cp file. Bo v CSDL rt quan tr ng do ó nên  CSDL trên bastion host. L(i vào th 2 là mt ví d v client s dng mã hoá DES trong khi truyn thông vi authsrv. Khoá mã cha trong tp cu hình òi h%i file cu hình phi c bo v. Nói chung, vic mã hoá là không cn thit. Kt qu ca vic mã hoá là cho phép qun tr có th qun lý c s d
liu xác thc t- trm làm vic. Lu)ng d
liu duy nht cn phi bo v là khi ngi qun tr mng &t li mt kh,u qua 62 mng cc b, hay khi qun lý c s d
liu xác thc qua mng din rng. Duy trì CSDL xác thc da vào 2 công c authload và authdump  load và dump CSDL xác thc. Ngi qun tr nên chy authdump trong crontab to bn sao dng ASCII ca CSDL  tránh trng hp xu khi CSDL b h%ng hay b xoá. Authsrv qun lý nhóm rt mm do, qun tr có th nhóm ngi dùng thành nhóm dùng “group wiz”, ngi có quyn qun tr nhóm có th xoá, thêm, to sa bn ghi trong nhóm, cho phép hay cm ngi dùng, thay i password ca mt kh,u ca user trong nhóm ca mình. Qun tr nhóm không thay i c ngi dùng ca nhóm khác, to ra nhóm mi hay thay i quan h gi
a các nhóm. Qun tr nhóm ch" có quyn hn trong nhóm ca mình. Vic này có ích (i vi t chc có nhiu nhóm làm vic cùng s dng Firewall. To mt ngi s dng b!ng lnh “adduser” adduser mrj ‘Marcus J. Ranum’ Khi mt user record mi c to nó cha c hot ng và ngi s dng cha th login. Trc khi ngi s dng login, qun tr mng có th thay i mt kh,u và s( hiu nhóm ca ngi s dng ó group users mjr password “whumpus” mjr proto SecurID mjr enable mjr 63 Khi mt user record to ra bi ngi qun tr nhóm, nó th-a hng s( hi.u nhóm c#ng nh giao thc xác thc. User record có th xem bi lnh “display” hay “list”. Ví d m t phiên làm vic vi Authmsg: %-> authmgs Connected to server authmgr-> login Username: wizard Challenge “200850” : 182312 Logged in authmgs-> disp wizard Report for user wizard (Auth DBA) Last authenticated: Fri Oct 8 17:11:07 1993 Authentication protocol: Snk Flags: WIZARD authmgr-> list Report for user in database user group longname flags proto last --- ----- -------- ----- ----- --- wizard users Auth DBA y W Snk Fri Oct 8 17:02:56 1993 avolio users Fred Avolio y passwd Fri Sep 24 10:52:14 1993 rnj users Robert N. Jesse y passwd Wed Sep 29 18:35:45 1993 mjr users Marcus J. Ranum y none ri Oct 8 17:02:10 1993 authmgr-> adduser dalva “Dave dalva” ok - user added initially disable 64 authmgr-> enable dalva enabled authmgr-> group dalva users set group authmgr-> proto dalva Skey changed authmgr-> disp dalva Report for user dalva, group users (Dave Dalva) Authentication protocol: Skey Flags: none authmgr-> password dalva Password: ####### Repeat Password: ####### ID dalva s/key is 999 sol32 authmgr-> quit Trong ví d trên qun tr n(i vào authsrv qua mng s dng giao din authmsg sau khi xác thc user record hin th thi gian xác thc. Sau khi login, list CSDL user, to ngi dùng, &t password, enable và a vào nhóm. Khi t
o CSDL Authsrv: # authsrv -administrator mode- authsrv# list Report for user in database 65 user group longname flags proto last --- ----- -------- ----- ----- --- authsrv# adduser admin ‘Auth DBA’ ok - user added initially disable authsrv# enable admin enabled authsrv# superwiz admin set wizard authsrv# proto admin Snk changed authsrv# pass ‘160 270 203 065 022 034 232 162’ admin Secret key changed authsrv# list Report for user in database user group longname flags roto last --- ----- -------- ----- ---- --- admin Auth DBA y W Snk never authsrv# quit Trong ví d, mt CSDL mi c to cùng vi mt record cho ngi qun tr . Ngi qun tr c gán quyn, gán protocol xác thc. 66 3.4.5 S dng màn hình iu khin CSE Proxy: Sau khi cài &t xong, khi login vào user proxy màn hình iu khin s0 hin nên menu các chc n ng  ngi qun tr có th la ch n. PROXY SERVICE MENU 1 Configuration 2 View TELNET log 3 View FTP log 4 View HTTP log 5 View E-MAIL log 6 View AUTHENTICATE log 7 View FINGER log 8 View RLOGIN log 9 View SOCKD log a Report b Authentication c Change system time d Change password e Shutdown q Exit Select option> _ Con s( hay ch
cái u tiên th hin phím bm  thc hin chc n ng. Sau khi m*i chc n ng thc hin xong xut hin 67 thông báo Press ENTER to continue r)i ch cho ti khi phím Enter c bm  tr li màn hình iu khin chính. 3.4.5.1 1 Configuration Chc n ng này cho phép son tho trc tip ti file cu hình ca proxy. Trong file này cha các quy tc ca các d ch v nh netacl, ftp-gw, tn-gw... Cú pháp ca các quy tc này ã c mô t  phn trên. Sau khi s i các quy tc ch n chc n ng Save thì các quy tc mi s0 lp tc c áp dng. Chú ý: B son tho v n bn  son tho file cu hình có các phím chc n ng tng t nh chc n ng son tho ca Turbo Pascal 3.0. (Các chc n ng cn thit u có th thy trên Status Bar  dòng cu(i cùng ca màn hình). (i vi mt s( trng hp b son tho này không hot ng thì chng trình son tho vi ca UNIX s0 c dùng  thay th. 3.4.5.2 2 View TELNET log Chc n ng xem ni dung nht ký ca tn-gw. Nht ký ghi li toàn b các truy nhp qua proxy (i vi d ch v tn-gw. (i vi các d ch v khác nh ftp-gw, http-gw u dc ghi li nht ký và có th theo dõi bi các chc n ng tng t (Xem các mc di ây). 3.4.5.3 3 View FTP log Chc n ng xem ni dung nht ký ca ftp-gw. 3.4.5.4 4 View HTTP log Chc n ng xem ni dung nht ký ca http-gw. 68 3.4.5.5 5 View E-MAIL log Chc n ng xem ni dung nht ký ca d ch v email. 3.4.5.6 6 View AUTHENTICATE log Chc n ng xem ni dung nht ký ca d ch v xác thc. 3.4.5.7 7 View FINGER log Chc n ng xem ni dung nht ký ca finger. 3.4.5.8 8 View RLOGIN log Chc n ng xem ni dung nht ký ca rlogin-gw. 3.4.5.9 9 View SOCKD log Chc n ng xem ni dung nht ký ca sockd. 3.4.5.10 a Report Chc n ng làm báo cáo th(ng kê (i vi tt c các d ch v trong mt khong thi gian nht  nh. u tiên màn hình s0 hin lên mt l ch  ch n khong thi gian mu(n làm báo cáo. Sau khi tính toán xong báo cáo. Ngi s dng s0 phi ch n mt trong các u ra ca báo cáo g)m : xem (a ra màn hình), save (ra a mm) hay print (in ra máy in gn trc tip vi máy server). Nu mu(n in t- các máy in khác ta có th a ra a mm r)i in các tp ó t- các trm làm vic. Fri May 8 10:39:13 1998 Apr May Jun S M Tu W Th F S S M Tu W Th F S S M Tu W Th F S 1 2 3 4 1 2 1 2 3 4 5 6 69 5 6 7 8 9 10 11 3 4 5 6 7 8 9 7 8 9 10 11 12 13 12 13 14 15 16 17 18 10 11 12 13 14 15 16 14 15 16 17 18 19 20 19 20 21 22 23 24 25 17 18 19 20 21 22 23 21 22 23 24 25 26 27 26 27 28 29 30 24 25 26 27 28 29 30 28 29 30 31 From date (dd/mm[/yy]) (08/05/98):01/05/98 To date (dd/mm[/yy]): (08/05/98):05/05/09 Calculating... View, save to MS-DOS floppy disk or print report (v/s/p/q)? v 3.4.5.11 b Authentication Chc n ng này g i authsrv  qun tr ngi s dng và chc n ng xác thc cho ngi ó. authrv ã c mô t khá rõ ràng  trên. authsrv# list Report for users in database user group longname status proto last ---- ----- -------- ------ ----- ---- dalva cse n passw never ruth cse y passw never authsrv# 70 3.4.5.12 c Change system time Chc n ng i thi gian h th(ng. Chc n ng này có tác dng iu ch"nh chính xác gi ca h th(ng. Bi vì gi h th(ng có nh hng quan tr ng ti  chính xác ca nht ký. Giúp cho ngi qun tr có th theo dõi úng các truy nhp ti proxy. Dòng nhp thi gian s0 nh di ây. Ngày tháng n m có th không càn nhp nhng cn chú ý ti dng ca s( a vào. Di ây là ví d i gi thành 11 gi 28. Current System Time is Fri May 08 10:32:00 HN 1998 Enter new time ([yymmdd]hhmm): 1128 3.4.5.13 d Change password Chc n ng i mt kh,u ca user proxy. 3.4.5.14 e Shutdown Chc n ng shut down toàn b h th(ng. Chc n ng này c dùng  tt máy mt cách an toàn (i vi ngi s dng. 3.4.5.15 q Exit Chc n ng này logout kh%i màn hình iu khin proxy. 3.4.6 Các vn  cn quan tâm vi ng i s dng Vi ngi s dng, khi dùng CSE Proxy cn phi quan tâm n các vn  sau: 71 3.4.6.1 Vi các Web Browser Cn phi &t ch  proxy  chúng có th truy nhp n các trang Web thông qua proxy. Trong Microsoft Internet Explore (version 4.0) ta phi ch n View -> Internet option -> Connection -> Proxy Server và &t ch  Access the Internet using a proxy, &t  a ch" IP và port ca proxy vào. Trong Netscape Nevigator (version 4.0) ta phi ch n Edit - >Preferences -> Advanced -> Proxies và &t  a ch" proxy và cng d ch v (port) (80) qua phn Manual proxy configuration. 3.4.6.2 Vi ngi s dng telnet, Nu không c &t chc n ng xác thc thì quá trình nh sau: $ telnet vectra Trying 192.1.1.155... connect hostname [serv/ port] connect to vectra. Escape character is’^]’. Vectra.sce.gov.vn telnet proxy (version V1.0) ready: tn-gw -> help Valid commands are: (unique abbreviations may be used) connect hostname [serv/ port] telnet hostname [serv/ port] x-gw [hostname/ display] 72 help/ ? quit/ exit password tn-gw -> c 192.1.1.1 Trying 192.1.1.1 port 23... SCO Openserver TM Release 5 (sco5.cse.gov.vn) (ttysO) Login: ngoc password: ####### ... $ Nu có dùng chc n ng xác thc, thì sau khi máy proxy tr li: Vectra.sce.gov.vn telnet proxy (version V1.0) ready: Nhc ta phi a vào tên và mt kh,u  thc hin xác thc: Username: ngoc password: ####### Login accepted tn-gw -> 3.4.6.3 i vi ngi dùng dch v FTP Nu có dùng chc n ng xác thc thì quy trình nh sau: $ftp vectra 73 Connected to vectra. 220 -Proxy first requres authentication 220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready: Name (vectra: root): ngoc 331 Enter authentication password for ngoc Password: ####### 230 User authenticated to proxy ftp>user ngoc@192.1.1.1 331 -(----GATEWAY CONNECTED TO 192.1.1.1----) 331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.) 331 Password required for ngoc. Password: 230 User ngoc logged in. ftp> ... ftp>bye 221 Goodbye. $ Còn nu không s dng chc n ng xác thc thì n gin hn: $ftp vectra Connected to vectra. 220 Vectra.sce.gov.vn FTP proxy (version V1.0) ready: Name (vectra: root): ngoc@192.1.1.1 331 -(----GATEWAY CONNECTED TO 192.1.1.1----) 331-(220 sco5.cse,gov.vn FTP server (Version 2.1 WU(1)) ready.) 74 331 Password required for ngoc. Password: 230 User ngoc logged in. ftp> ... ftp>bye 221 Goodbye $ Nu s dng chng trình WS_FTP trên Window ca Ipswitch, Inc thì cn phi &t ch  Use Firewall  trong phn Advanced khi ta cu hình mt phiên n(i kt. Trong phn Firewall Informatic ta s0 a  a ch" IP ca proxy vào phn Hostname, tên ngi dùng và mt kh,u (UserID và Password) cho phn xác thc trên proxy và cng d ch v (21). )ng thi phi ch n kiu USER after logon  phn Firewall type.