Professional Documents
Culture Documents
2.5 Archie________________________________________________________33
2.6 Finger________________________________________________________34
1
3.1 Tæng quan____________________________________________________36
2
1. An toµn th«ng tin trªn m¹ng
1.1 T¹i sao cÇn cã Internet Firewall
HiÖn nay, kh¸i niÖm m¹ng toµn cÇu - Internet kh«ng cßn
míi mÎ. Nã ®· trë nªn phæ biÕn tíi møc kh«ng cÇn ph¶i
chó gi¶i g× thªm trong nh÷ng t¹p chÝ kü thuËt, cßn trªn
nh÷ng t¹p chÝ kh¸c th× trµn ngËp nh÷ng bµi viÕt dµi,
ng¾n vÒ Internet. Khi nh÷ng t¹p chÝ th«ng thêng chó
träng vµo Internet th× giê ®©y, nh÷ng t¹p chÝ kü thuËt l¹i
tËp trung vµo khÝa c¹nh kh¸c: an toµn th«ng tin. §ã cïng lµ
mét qu¸ tr×nh tiÕn triÓn hîp logic: khi nh÷ng vui thÝch
ban ®Çu vÒ mét siªu xa lé th«ng tin, b¹n nhÊt ®Þnh nhËn
thÊy r»ng kh«ng chØ cho phÐp b¹n truy nhËp vµo nhiÒu
n¬i trªn thÕ giíi, Internet cßn cho phÐp nhiÒu ngêi kh«ng
mêi mµ tù ý ghÐ th¨m m¸y tÝnh cña b¹n.
3
nµy chØ lµ phÇn næi cña t¶ng b¨ng. Mét phÇn rÊt lín c¸c
vô tÊn c«ng kh«ng ®îc th«ng b¸o, v× nhiÒu lý do, trong
®ã cã thÓ kÓ ®Õn nçi lo bÞ mÊt uy tÝn, hoÆc ®¬n gi¶n
nh÷ng ngêi qu¶n trÞ hÖ thèng kh«ng hÒ hay biÕt nh÷ng
cuéc tÊn c«ng nh»m vµo hÖ thèng cña hä.
Kh«ng chØ sè lîng c¸c cuéc tÊn c«ng t¨ng lªn nhanh chãng,
mµ c¸c ph¬ng ph¸p tÊn c«ng còng liªn tôc ®îc hoµn thiÖn.
§iÒu ®ã mét phÇn do c¸c nh©n viªn qu¶n trÞ hÖ thèng ®-
îc kÕt nèi víi Internet ngµy cµng ®Ò cao c¶nh gi¸c. Còng
theo CERT, nh÷ng cuéc tÊn c«ng thêi kú 1988-1989 chñ
yÕu ®o¸n tªn ngêi sö dông-mËt khÈu (UserID-password)
hoÆc sö dông mét sè lçi cña c¸c ch¬ng tr×nh vµ hÖ ®iÒu
hµnh (security hole) lµm v« hiÖu hÖ thèng b¶o vÖ, tuy
nhiªn c¸c cuéc tÊn c«ng vµo thêi gian gÇn ®©y bao gåm
c¶ c¸c thao t¸c nh gi¶ m¹o ®Þa chØ IP, theo dâi th«ng tin
truyÒn qua m¹ng, chiÕm c¸c phiªn lµm viÖc tõ xa (telnet
hoÆc rlogin).
4
1.2 B¹n muèn b¶o vÖ c¸i g×?
Nh÷ng th«ng tin lu tr÷ trªn hÖ thèng m¸y tÝnh cÇn ®îc
b¶o vÖ do c¸c yªu cÇu sau:
B¶o mËt: Nh÷ng th«ng tin cã gi¸ trÞ vÒ kinh tÕ, qu©n
sù, chÝnh s¸ch vv... cÇn ®îc gi÷ kÝn.
TÝnh kÞp thêi: Yªu cÇu truy nhËp th«ng tin vµo ®óng
thêi ®iÓm cÇn thiÕt.
Trong c¸c yªu cÇu nµy, th«ng thêng yªu cÇu vÒ b¶o mËt
®îc coi lµ yªu cÇu sè 1 ®èi víi th«ng tin lu tr÷ trªn m¹ng.
Tuy nhiªn, ngay c¶ khi nh÷ng th«ng tin nµy kh«ng ®îc gi÷
bÝ mËt, th× nh÷ng yªu cÇu vÒ tÝnh toµn vÑn còng rÊt
quan träng. Kh«ng mét c¸ nh©n, mét tæ chøc nµo l·ng phÝ
tµi nguyªn vËt chÊt vµ thêi gian ®Ó lu tr÷ nh÷ng th«ng tin
mµ kh«ng biÕt vÒ tÝnh ®óng ®¾n cña nh÷ng th«ng tin
®ã.
Trªn thùc tÕ, trong c¸c cuéc tÊn c«ng trªn Internet, kÎ tÊn
c«ng, sau khi ®· lµm chñ ®îc hÖ thèng bªn trong, cã thÓ
sö dông c¸c m¸y nµy ®Ó phôc vô cho môc ®Ých cña
m×nh nh ch¹y c¸c ch¬ng tr×nh dß mËt khÈu ngêi sö dông,
5
sö dông c¸c liªn kÕt m¹ng s½n cã ®Ó tiÕp tôc tÊn c«ng c¸c
hÖ thèng kh¸c vv...
Nh trªn ®· nªu, mét phÇn lín c¸c cuéc tÊn c«ng kh«ng ®îc
th«ng b¸o réng r·i, vµ mét trong nh÷ng nguyªn nh©n lµ nçi
lo bÞ mÊt uy tÝn cña c¬ quan, ®Æc biÖt lµ c¸c c«ng ty
lín vµ c¸c c¬ quan quan träng trong bé m¸y nhµ níc.
Trong trêng hîp ngêi qu¶n trÞ hÖ thèng chØ ®îc biÕt
®Õn sau khi chÝnh hÖ thèng cña m×nh ®îc dïng lµm
bµn ®¹p ®Ó tÊn c«ng c¸c hÖ thèng kh¸c, th× tæn thÊt vÒ
uy tÝn lµ rÊt lín vµ cã thÓ ®Ó l¹i hËu qu¶ l©u dµi.
6
1.3 B¹n muèn b¶o vÖ chèng l¹i c¸i g×?
Nh÷ng cuéc tÊn c«ng trùc tiÕp th«ng thêng ®îc sö dông
trong giai ®o¹n ®Çu ®Ó chiÕm ®îc quyÒn truy nhËp bªn
trong. Mét ph¬ng ph¸p tÊn c«ng cæ ®iÓn lµ dß cÆp tªn
ngêi sö dông-mËt khÈu. §©y lµ ph¬ng ph¸p ®¬n gi¶n, dÔ
thùc hiÖn vµ kh«ng ®ßi hái mét ®iÒu kiÖn ®Æc biÖt
nµo ®Ó b¾t ®Çu. KÎ tÊn c«ng cã thÓ sö dông nh÷ng
th«ng tin nh tªn ngêi dïng, ngµy sinh, ®Þa chØ, sè nhµ vv..
®Ó ®o¸n mËt khÈu. Trong trêng hîp cã ®îc danh s¸ch ng-
êi sö dông vµ nh÷ng th«ng tin vÒ m«i trêng lµm viÖc, cã
mét tr¬ng tr×nh tù ®éng ho¸ vÒ viÖc dß t×m mËt khÈu
nµy. mét tr¬ng tr×nh cã thÓ dÔ dµng lÊy ®îc tõ Internet
®Ó gi¶i c¸c mËt khÈu ®· m· ho¸ cña c¸c hÖ thèng unix cã
tªn lµ crack, cã kh¶ n¨ng thö c¸c tæ hîp c¸c tõ trong mét tõ
®iÓn lín, theo nh÷ng quy t¾c do ngêi dïng tù ®Þnh
nghÜa. Trong mét sè trêng hîp, kh¶ n¨ng thµnh c«ng cña
ph¬ng ph¸p nµy cã thÓ lªn tíi 30%.
Ph¬ng ph¸p sö dông c¸c lçi cña ch¬ng tr×nh øng dông vµ
b¶n th©n hÖ ®iÒu hµnh ®· ®îc sö dông tõ nh÷ng vô tÊn
c«ng ®Çu tiªn vµ vÉn ®îc tiÕp tôc ®Ó chiÕm quyÒn truy
7
nhËp. Trong mét sè trêng hîp ph¬ng ph¸p nµy cho phÐp kÎ
tÊn c«ng cã ®îc quyÒn cña ngêi qu¶n trÞ hÖ thèng (root
hay administrator).
Rlogin cho phÐp ngêi sö dông tõ mét m¸y trªn m¹ng truy
nhËp tõ xa vµo mét m¸y kh¸c sö dông tµi nguyªn cña m¸y
nµy. Trong qu¸ tr×nh nhËn tªn vµ mËt khÈu cña ngêi sö
dông, rlogin kh«ng kiÓm tra ®é dµi cña dßng nhËp, do
®ã kÎ tÊn c«ng cã thÓ ®a vµo mét x©u ®· ®îc tÝnh to¸n
tríc ®Ó ghi ®Ì lªn m· ch¬ng tr×nh cña rlogin, qua ®ã
chiÕm ®îc quyÒn truy nhËp.
ViÖc nghe trém th«ng tin trªn m¹ng cã thÓ ®a l¹i nh÷ng
th«ng tin cã Ých nh tªn-mËt khÈu cña ngêi sö dông, c¸c
th«ng tin mËt chuyÓn qua m¹ng. ViÖc nghe trém thêng ®-
îc tiÕn hµnh ngay sau khi kÎ tÊn c«ng ®· chiÕm ®îc
quyÒn truy nhËp hÖ thèng, th«ng qua c¸c ch¬ng tr×nh
cho phÐp ®a vØ giao tiÕp m¹ng (Network Interface Card-
NIC) vµo chÕ ®é nhËn toµn bé c¸c th«ng tin lu truyÒn
8
trªn m¹ng. Nh÷ng th«ng tin nµy còng cã thÓ dÔ dµng lÊy
®îc trªn Internet.
ViÖc gi¶ m¹o ®Þa chØ IP cã thÓ ®îc thùc hiÖn th«ng qua
viÖc sö dông kh¶ n¨ng dÉn ®êng trùc tiÕp (source-
routing). Víi c¸ch tÊn c«ng nµy, kÎ tÊn c«ng göi c¸c gãi tin
IP tíi m¹ng bªn trong víi mét ®Þa chØ IP gi¶ m¹o (th«ng
thêng lµ ®Þa chØ cña mét m¹ng hoÆc mét m¸y ®îc coi lµ
an toµn ®èi víi m¹ng bªn trong), ®ång thêi chØ râ ®êng
dÉn mµ c¸c gãi tin IP ph¶i göi ®i.
1.3.1.4 V« hiÖu ho¸ c¸c chøc n¨ng cña hÖ thèng (denial of service)
§©y kh«ng ph¶i lµ mét kiÓu tÊn c«ng cña nh÷ng kÎ ®ét
nhËp, tuy nhiªn lçi cña ngêi qu¶n trÞ hÖ thèng thêng t¹o ra
nh÷ng lç hæng cho phÐp kÎ tÊn c«ng sö dông ®Ó truy
nhËp vµo m¹ng néi bé.
9
1.3.1.6 TÊn c«ng vµo yÕu tè con ngêi
KÎ tÊn c«ng cã thÓ liªn l¹c víi mét ngêi qu¶n trÞ hÖ thèng,
gi¶ lµm mét ngêi sö dông ®Ó yªu cÇu thay ®æi mËt khÈu,
thay ®æi quyÒn truy nhËp cña m×nh ®èi víi hÖ thèng,
hoÆc thËm chÝ thay ®æi mét sè cÊu h×nh cña hÖ thèng
®Ó thùc hiÖn c¸c ph¬ng ph¸p tÊn c«ng kh¸c. Víi kiÓu tÊn
c«ng nµy kh«ng mét thiÕt bÞ nµo cã thÓ ng¨n chÆn mét
c¸ch h÷u hiÖu, vµ chØ cã mét c¸ch gi¸o dôc ngêi sö dông
m¹ng néi bé vÒ nh÷ng yªu cÇu b¶o mËt ®Ó ®Ò cao c¶nh
gi¸c víi nh÷ng hiÖn tîng ®¸ng nghi. Nãi chung yÕu tè con
ngêi lµ mét ®iÓm yÕu trong bÊt kú mét hÖ thèng b¶o vÖ
nµo, vµ chØ cã sù gi¸o dôc céng víi tinh thÇn hîp t¸c tõ
phÝa ngêi sö dông cã thÓ n©ng cao ®îc ®é an toµn cña
hÖ thèng b¶o vÖ.
Ngêi qua ®êng lµ nh÷ng kÎ buån ch¸n víi nh÷ng c«ng viÖc
thêng ngµy, hä muèn t×m nh÷ng trß gi¶i trÝ míi. Hä ®ét
nhËp vµo m¸y tÝnh cña b¹n v× hä nghÜ b¹n cã thÓ cã
nh÷ng d÷ liÖu hay, hoÆc bëi v× hä c¶m thÊy thÝch thó
khi sö dông m¸y tÝnh cña ngêi kh¸c, hoÆc chØ ®¬n gi¶n
lµ hä kh«ng t×m ®îc mét viÖc g× hay h¬n ®Ó lµm. Hä cã
thÓ lµ ngêi tß mß nhng kh«ng chñ ®Þnh lµm h¹i b¹n. Tuy
10
nhiªn, hä thêng g©y h háng hÖ thèng khi ®ét nhËp hay khi
xo¸ bá dÊu vÕt cña hä.
KÎ ph¸ ho¹i chñ ®Þnh ph¸ ho¹i hÖ thèng cña b¹n, hä cã thÓ
kh«ng thÝch b¹n, hä còng cã thÓ kh«ng biÕt b¹n nhng hä
t×m thÊy niÒm vui khi ®i ph¸ ho¹i.
Th«ng thêng, trªn Internet kÎ ph¸ ho¹i kh¸ hiÕm. Mäi ngêi
kh«ng thÝch hä. NhiÒu ngêi cßn thÝch t×m vµ chÆn
®øng nh÷ng kÎ ph¸ ho¹i. Tuy Ýt nhng kÎ ph¸ ho¹i thêng
g©y háng trÇm träng cho hÖ thèng cña b¹n nh xo¸ toµn bé
d÷ liÖu, ph¸ háng c¸c thiÕt bÞ trªn m¸y tÝnh cña b¹n...
RÊt nhiÒu kÎ qua ®êng bÞ cuèn hót vµo viÖc ®ét nhËp,
ph¸ ho¹i. Hä muèn ®îc kh¼ng ®Þnh m×nh th«ng qua sè l-
îng vµ c¸c kiÓu hÖ thèng mµ hä ®· ®ét nhËp qua. §ét
nhËp ®îc vµo nh÷ng n¬i næi tiÕng, nh÷ng n¬i phßng bÞ
chÆt chÏ, nh÷ng n¬i thiÕt kÕ tinh x¶o cã gi¸ trÞ nhiÒu
®iÓm ®èi víi hä. Tuy nhiªn hä còng sÏ tÊn c«ng tÊt c¶
nh÷ng n¬i hä cã thÓ, víi môc ®Ých sè lîng còng nh môc
®Ých chÊt lîng. Nh÷ng ngêi nµy kh«ng quan t©m ®Õn
nh÷ng th«ng tin b¹n cã hay nh÷ng ®Æc tÝnh kh¸c vÒ tµi
nguyªn cña b¹n. Tuy nhiªn ®Ó ®¹t ®îc môc ®Ých lµ ®ét
nhËp, v« t×nh hay h÷u ý hä sÏ lµm h háng hÖ thèng cña
b¹n.
HiÖn nay cã rÊt nhiÒu th«ng tin quan träng ®îc lu tr÷ trªn
m¸y tÝnh nh c¸c th«ng tin vÒ qu©n sù, kinh tÕ... Gi¸n
®iÖp m¸y tÝnh lµ mét vÊn ®Ò phøc t¹p vµ khã ph¸t hiÖn.
11
Thùc tÕ, phÇn lín c¸c tæ chøc kh«ng thÓ phßng thñ kiÓu
tÊn c«ng nµy mét c¸ch hiÖu qu¶ vµ b¹n cã thÓ ch¾c r»ng
®êng liªn kÕt víi Internet kh«ng ph¶i lµ con ®êng dÔ nhÊt
®Ó gi¸n ®iÖp thu lîm th«ng tin.
12
1.4 VËy Internet Firewall lµ g×?
13
§Ó firewall lµm viÖc hiÖu qu¶, tÊt c¶ trao ®æi th«ng
tin tõ trong ra ngoµi vµ ngîc l¹i ®Òu ph¶i thùc hiÖn
th«ng qua Firewall.
Mét hoÆc nhiÒu hÖ thèng m¸y chñ kÕt nèi víi c¸c bé
®Þnh tuyÕn (router) hoÆc cã chøc n¨ng router.
14
1.4.4 C¸c thµnh phÇn cña Firewall vµ c¬ chÕ ho¹t ®éng
Mét Firewall chuÈn bao gåm mét hay nhiÒu c¸c thµnh
phÇn sau ®©y:
Khi nãi ®Õn viÖc lu th«ng d÷ liÖu gi÷a c¸c m¹ng víi nhau
th«ng qua Firewall th× ®iÒu ®ã cã nghÜa r»ng Firewall
ho¹t ®éng chÆt chÏ víi giao thøc liªn m¹ng TCP/IP. V×
giao thøc nµy lµm viÖc theo thuËt to¸n chia nhá c¸c d÷
liÖu nhËn ®îc tõ c¸c øng dông trªn m¹ng, hay nãi chÝnh
x¸c h¬n lµ c¸c dÞch vô ch¹y trªn c¸c giao thøc (Telnet,
SMTP, DNS, SMNP, NFS...) thµnh c¸c gãi d÷ liÖu (data
packets) råi g¸n cho c¸c packet nµy nh÷ng ®Þa chØ ®Ó cã
thÓ nhËn d¹ng, t¸i lËp l¹i ë ®Ých cÇn göi ®Õn, do ®ã c¸c
lo¹i Firewall còng liªn quan rÊt nhiÒu ®Õn c¸c packet vµ
nh÷ng con sè ®Þa chØ cña chóng.
15
§Þa chØ IP n¬i xuÊt ph¸t ( IP Source address)
NÕu luËt lÖ läc packet ®îc tho¶ m·n th× packet ®îc
chuyÓn qua firewall. NÕu kh«ng packet sÏ bÞ bá ®i. Nhê
vËy mµ Firewall cã thÓ ng¨n c¶n ®îc c¸c kÕt nèi vµo c¸c
m¸y chñ hoÆc m¹ng nµo ®ã ®îc x¸c ®Þnh, hoÆc kho¸
viÖc truy cËp vµo hÖ thèng m¹ng néi bé tõ nh÷ng ®Þa
chØ kh«ng cho phÐp. H¬n n÷a, viÖc kiÓm so¸t c¸c cæng
lµm cho Firewall cã kh¶ n¨ng chØ cho phÐp mét sè lo¹i
kÕt nèi nhÊt ®Þnh vµo c¸c lo¹i m¸y chñ nµo ®ã, hoÆc
chØ cã nh÷ng dÞch vô nµo ®ã (Telnet, SMTP, FTP...) ®îc
phÐp míi ch¹y ®îc trªn hÖ thèng m¹ng côc bé.
1.4.4.1.2 ¦u ®iÓm
16
Ngoµi ra, bé läc packet lµ trong suèt ®èi víi ngêi sö
dông vµ c¸c øng dông, v× vËy nã kh«ng yªu cÇu sù
huÊn luyÖn ®Æc biÖt nµo c¶.
ViÖc ®Þnh nghÜa c¸c chÕ ®é läc packet lµ mét viÖc kh¸
phøc t¹p, nã ®ßi hái ngêi qu¶n trÞ m¹ng cÇn cã hiÓu biÕt
chi tiÕt vÓ c¸c dÞch vô Internet, c¸c d¹ng packet header,
vµ c¸c gi¸ trÞ cô thÓ mµ hä cã thÓ nhËn trªn mçi trêng.
Khi ®ßi hái vÓ sù läc cµng lín, c¸c luËt lÖ vÓ läc cµng trë
nªn dµi vµ phøc t¹p, rÊt khã ®Ó qu¶n lý vµ ®iÒu khiÓn.
1.4.4.2.1 Nguyªn lý
17
®Æc ®iÓm trong øng dông mµ ngßi qu¶n trÞ m¹ng cho lµ
chÊp nhËn ®îc trong khi tõ chèi nh÷ng ®Æc ®iÓm kh¸c.
Mét cæng øng dông thêng ®îc coi nh lµ mét ph¸o ®µi
(bastion host), bëi v× nã ®îc thiÕt kÕ ®Æt biÖt ®Ó chèng
l¹i sù tÊn c«ng tõ bªn ngoµi. Nh÷ng biÖn ph¸p ®¶m b¶o an
ninh cña mét bastion host lµ:
Mçi proxy duy tr× mét quyÓn nhËt ký ghi chÐp l¹i
toµn bé chi tiÕt cña giao th«ng qua nã, mçi sù kÕt nèi,
kho¶ng thêi gian kÕt nèi. NhËt ký nµy rÊt cã Ých
trong viÖc t×m theo dÊu vÕt hay ng¨n chÆn kÎ ph¸
ho¹i.
18
Mçi proxy ®Òu ®éc lËp víi c¸c proxies kh¸c trªn
bastion host. §iÒu nµy cho phÐp dÔ dµng qu¸ tr×nh
cµi ®Æt mét proxy míi, hay th¸o gì m«t proxy ®ang cã
vÊn ®Ó.
1.4.4.2.2 ¦u ®iÓm:
Cho phÐp ngêi qu¶n trÞ m¹ng hoµn toµn ®iÒu khiÓn
®îc tõng dÞch vô trªn m¹ng, bëi v× øng dông proxy h¹n
chÕ bé lÖnh vµ quyÕt ®Þnh nh÷ng m¸y chñ nµo cã
thÓ truy nhËp ®îc bëi c¸c dÞch vô.
Cho phÐp ngêi qu¶n trÞ m¹ng hoµn toµn ®iÒu khiÓn
®îc nh÷ng dÞch vô nµo cho phÐp, bëi v× sù v¾ng
19
mÆt cña c¸c proxy cho c¸c dÞch vô t¬ng øng cã nghÜa
lµ c¸c dÞch vô Êy bÞ kho¸.
Cæng øng dông cho phÐp kiÓm tra ®é x¸c thùc rÊt tèt,
vµ nã cã nhËt ký ghi chÐp l¹i th«ng tin vÒ truy nhËp
hÖ thèng.
Yªu cÇu c¸c users biÕn ®æi (mod×y) thao t¸c, hoÆc
mod×y phÇn mÒm ®· cµi ®Æt trªn m¸y client cho truy
nhËp vµo c¸c dÞch vô proxy. VÝ dô, Telnet truy nhËp qua
cæng øng dông ®ßi hái hai bíc ®ª nèi víi m¸y chñ chø
kh«ng ph¶i lµ mét bíc th«i. Tuy nhiªn, còng ®· cã mét sè
phÇn mÒm client cho phÐp øng dông trªn cæng øng dông
lµ trong suèt, b»ng c¸ch cho phÐp user chØ ra m¸y ®Ých
chø kh«ng ph¶i cæng øng dông trªn lÖnh Telnet.
Cæng vßng lµ mét chøc n¨ng ®Æc biÖt cã thÓ thùc hiÖn
®¬c bëi mét cæng øng dông. Cæng vßng ®¬n gi¶n chØ
chuyÓn tiÕp (relay) c¸c kÕt nèi TCP mµ kh«ng thùc hiÖn
bÊt kú mét hµnh ®éng xö lý hay läc packet nµo.
H×nh 2.2 minh ho¹ mét hµnh ®éng sö dông nèi telnet qua
cæng vßng. Cæng vßng ®¬n gi¶n chuyÓn tiÕp kÕt nèi
telnet qua firewall mµ kh«ng thùc hiÖn mét sù kiÓm tra,
läc hay ®iÒu khiÓn c¸c thñ tôc Telnet nµo.Cæng vßng lµm
viÖc nh mét sîi d©y,sao chÐp c¸c byte gi÷a kÕt nèi bªn
trong (inside connection) vµ c¸c kÕt nèi bªn ngoµi (outside
20
connection). Tuy nhiªn, v× sù kÕt nèi nµy xuÊt hiÖn tõ
hÖ thèng firewall, nã che dÊu th«ng tin vÒ m¹ng néi bé.
Cæng vßng thêng ®îc sö dông cho nh÷ng kÕt nèi ra ngoµi,
n¬i mµ c¸c qu¶n trÞ m¹ng thËt sù tin tëng nh÷ng ngêi dïng
bªn trong. ¦u ®iÓm lín nhÊt lµ mét bastion host cã thÓ ®îc
cÊu h×nh nh lµ mét hçn hîp cung cÊp Cæng øng dông cho
nh÷ng kÕt nèi ®Õn, vµ cæng vßng cho c¸c kÕt nèi ®i.
§iÒu nµy lµm cho hÖ thèng bøc têng löa dÔ dµng sö dông
cho nh÷ng ngêi trong m¹ng néi bé muèn trùc tiÕp truy
nhËp tíi c¸c dÞch vô Internet, trong khi vÉn cung cÊp chøc
n¨ng bøc têng löa ®Ó b¶o vÖ m¹ng néi bé tõ nh÷ng sù tÊn
c«ng bªn ngoµi.
out in
out in
out in
outside host Inside host
Circuit-level Gateway
Firewall kh«ng thÓ ng¨n chÆn mét cuéc tÊn c«ng nÕu
cuéc tÊn c«ng nµy kh«ng "®i qua" nã. Mét c¸ch cô thÓ,
firewall kh«ng thÓ chèng l¹i mét cuéc tÊn c«ng tõ mét
21
®êng dial-up, hoÆc sù dß rØ th«ng tin do d÷ liÖu bÞ
sao chÐp bÊt hîp ph¸p lªn ®Üa mÒm.
22
Bª n ngoµi Packet filtering Bª n trong
router
M¹ ng néi bé
The Internet
¦u ®iÓm:
H¹n chÕ:
Bëi v× c¸c packet ®îc trao ®æi trùc tiÕp gi÷a hai m¹ng
th«ng qua router , nguy c¬ bÞ tÊn c«ng quyÕt ®Þnh
bëi sè lîng c¸c host vµ dÞch vô ®îc phÐp. §iÒu ®ã
dÉn ®Õn mçi mét host ®îc phÐp truy nhËp trùc tiÕp
vµo Internet cÇn ph¶i ®îc cung cÊp mét hÖ thèng x¸c
thùc phøc t¹p, vµ thêng xuyªn kiÓm tra bëi ngêi qu¶n
trÞ m¹ng xem cã dÊu hiÖu cña sù tÊn c«ng nµo kh«ng.
23
1.4.6.2 Screened Host Firewall
Bª n trong
Information server
24
thèng néi bé ®îc phÐp truy nhËp trùc tiÕp vµo bastion
Internet hay lµ chóng ph¶i sö dông dÞch vô proxy trªn
bastion host. ViÖc b¾t buéc nh÷ng user néi bé ®îc thùc
hiÖn b»ng c¸ch ®Æt cÊu h×nh bé läc cña router sao cho
chØ chÊp nhËn nh÷ng truyÒn th«ng néi bé xuÊt ph¸t tõ
bastion host.
¦u ®iÓm:
M¸y chñ cung cÊp c¸c th«ng tin c«ng céng qua dÞch vô
Web vµ FTP cã thÓ ®Æt trªn packet-filtering router vµ
bastion. Trong trêng hîp yªu cÇu ®é an toµn cao nhÊt,
bastion host cã thÓ ch¹y c¸c dÞch vô proxy yªu cÇu tÊt c¶
c¸c user c¶ trong vµ ngoµi truy nhËp qua bastion host tríc
khi nèi víi m¸y chñ. Trêng hîp kh«ng yªu cÇu ®é an toµn
cao th× c¸c m¸y néi bé cã thÓ nèi th¼ng víi m¸y chñ.
NÕu cÇn ®é b¶o mËt cao h¬n n÷a th× cã thÓ dïng hÖ
thèng firewall dual-home (hai chiÒu) bastion host (h×nh
2.5). Mét hÖ thèng bastion host nh vËy cã 2 giao diÖn
m¹ng (network interface), nhng khi ®ã kh¶ n¨ng truyÒn
th«ng trùc tiÕp gi÷a hai giao diÖn ®ã qua dÞch vô proxy
lµ bÞ cÊm.
25
Bª n trong
Information server
1.4.6.3 Demilitarized Zone (DMZ - khu vùc phi qu©n sù) hay Screened-subnet
Firewall
26
m¹ng DMZ, vµ sù truyÒn trùc tiÕp qua m¹ng DMZ lµ
kh«ng thÓ ®îc.
Víi nh÷ng th«ng tin ®Õn, router ngoµi chèng l¹i nh÷ng sù
tÊn c«ng chuÈn (nh gi¶ m¹o ®Þa chØ IP), vµ ®iÒu khiÓn
truy nhËp tíi DMZ. Nã cho phÐp hÖ thèng bªn ngoµi truy
nhËp chØ bastion host, vµ cã thÓ c¶ information server.
Router trong cung cÊp sù b¶o vÖ thø hai b»ng c¸ch ®iÒu
khiÓn DMZ truy nhËp m¹ng néi bé chØ víi nh÷ng truyÒn
th«ng b¾t ®Çu tõ bastion host.
Víi nh÷ng th«ng tin ®i, router trong ®iÒu khiÓn m¹ng néi
bé truy nhËp tíi DMZ. Nã chØ cho phÐp c¸c hÖ thèng bªn
trong truy nhËp bastion host vµ cã thÓ c¶ information
server. Quy luËt filtering trªn router ngoµi yªu cÇu sö dung
dich vô proxy b»ng c¸ch chØ cho phÐp th«ng tin ra b¾t
nguån tõ bastion host.
¦u ®iÓm:
27
Bª n trong
DMZ
The Internet
Information server
28
2. C¸c dÞch vô Internet
Nh ®· tr×nh bµy ë trªn, nh×n chung b¹n ph¶i x¸c ®Þnh b¹n
b¶o vÖ c¸i g× khi thiÕt lËp liªn kÕt ra m¹ng ngoµi hay
Internet: d÷ liÖu, tµi nguyªn, danh tiÕng. Khi x©y dùng
mét Firewall, b¹n ph¶i quan t©m ®Õn nh÷ng vÊn ®Ò cô
thÓ h¬n: b¹n ph¶i b¶o vÖ nh÷ng dÞch vô nµo b¹n dïng
hoÆc cung cÊp cho m¹ng ngoµi (hay Internet).
Internet cung cÊp mét hÖ thèng c¸c dÞch vô cho phÐp ngêi
dïng nèi vµo Internet truy nhËp vµ sö dông c¸c th«ng tin ë
trªn m¹ng Internet. HÖ thèng c¸c dÞch vô nµy ®· vµ ®ang
®îc bæ sung theo sù ph¸t triÓn kh«ng ngõng cña Internet.
C¸c dÞch vô nµy bao gåm World Wide Web (gäi t¾t lµ
WWW hoÆc Web), Email (th ®iÖn tö), Ftp (file transfer
protocols - dÞch vô chuyÓn file), telnet (øng dông cho
phÐp truy nhËp m¸y tÝnh ë xa), Archie (hÖ thèng x¸c
®Þnh th«ng tin ë c¸c file vµ directory), finger (hÖ thèng
x¸c ®Þnh c¸c user trªn Internet), rlogin(remote login - vµo
m¹ng tõ xa) vµ mét sè c¸c dÞch vô kh¸c n÷a.
29
2.1 World Wide Web - WWW
Ph¸t hµnh c¸c tin tøc cña m×nh vµ ®äc tin tøc tõ kh¾p
n¬i trªn thÕ giíi
Trao ®æi th«ng tin víi bÌ b¹n, c¸c tæ chøc x· héi, c¸c
trung t©m nghiªn cøu, trêng häc, v©n v©n
Thùc hiÖn c¸c dÞch vô chuyÒn tiÒn hay mua b¸n hµng
ho¸
30
2.2 Electronic Mail (Email hay th ®iÖn tö).
31
2.3 Ftp (file transfer protocol hay dÞch vô chuyÓn file)
32
2.4 Telnet vµ rlogin
Telnet lµ mét øng dông cho phÐp b¹n truy nhËp vµo mét
m¸y tÝnh ë xa vµ ch¹y c¸c øng dông ë trªn m¸y tÝnh ®ã.
Telnet lµ rÊt h÷u Ých khi b¹n muèn ch¹y mét øng dông
kh«ng cã hoÆc kh«ng ch¹y ®îc trªn m¸y tÝnh cña b¹n, vÝ
dô nh b¹n muèn ch¹y mét øng dung Unix trong khi m¸y cña
b¹n lµ PC. Hay b¹n m¸y tÝnh cña b¹n kh«ng ®ñ m¹nh ®Ó
ch¹y mét øng dông nµo ®ã, hoÆc kh«ng cã c¸c file d÷ liÖu
cÇn thiÕt.
Telnet cho b¹n kh¶ n¨ng lµm viÖc trªn m¸y tÝnh ë xa b¹n
hµng ngµn c©y sè mµ b¹n vÉn cã c¶m gi¸c nh ®ang ngåi
tríc m¸y tÝnh ®ã.
33
2.5 Archie
34
2.6 Finger
Finger lµ mét ch¬ng tr×nh øng dông cho phÐp t×m ®Þa
chØ cña c¸c user kh¸c trªn Internet. Tèi thiÓu, finger cã thÓ
cho b¹n biÕt ai ®ang sö dông mét hÖ thèng m¸y tÝnh nµo
®ã, tªn login cña ngêi ®ã lµ g×.
Finger hay ®îc sö dông ®Ó t×m ®Þa chØ email cña bÌ b¹n
trªn Internet. Finger cßn cã thÓ cung cÊp cho b¹n nhiÒu
th«ng tin kh¸c, nh lµ mét ngêi nµo ®ã ®· login vµo m¹ng
bao l©u. V× thÕ finger cã thÓ coi lµ mét ngêi trî gióp
®¾c lùc nhng còng lµ mèi hiÓm ho¹ cho sù an toµn cña
m¹ng.
35
3. HÖ thèng Firewall x©y dùng bëi CSE
Bé ch¬ng tr×nh Firewall 1.0 cña CSE ®îc ®a ra vµo th¸ng
6/1998. Bé ch¬ng tr×nh nµy gåm hai thµnh phÇn:
Hai thµnh phÇn nµy cã thÓ ho¹t ®éng mét c¸ch riªng rÏ.
Chóng còng cã thÓ kÕt hîp l¹i víi nhau ®Ó trë thµnh mét
hÖ thèng firewall hoµn chØnh.
Trong tËp tµi liÖu nµy, chóng t«i chØ ®Ò cËp ®Õn bé
ch¬ng tr×nh cæng øng dông ®· ®îc cµi ®Æt t¹i VPCP.
3.1 Tæng quan
Bé ch¬ng tr×nh proxy cña CSE (phiªn b¶n 1.0) ®îc ph¸t
triÓn dùa trªn bé c«ng cô x©y dùng Internet Firewall TIS
(Trusted Information System) phiªn b¶n 1.3. TIS bao gåm
mét bé c¸c ch¬ng tr×nh vµ sù ®Æt l¹i cÊu h×nh hÖ thèng
®Ó nh»m môc ®Ých x©y dùng mét Firewall. Bé ch¬ng
tr×nh ®îc thiÕt kÕ ®Ó ch¹y trªn hÖ UNIX sö dông TCP/IP
víi giao diÖn socket Berkeley.
ViÖc cµi ®Æt bé ch¬ng tr×nh proxy ®ßi hái kinh nghiÖm
qu¶n lý hÖ thèng UNIX, vµ TCP/IP networking. Tèi thiÓu,
ngêi qu¶n trÞ m¹ng firewall ph¶i quen thuéc víi:
37
quan träng, bëi v× ®ã lµ n¬i tËp trung hÇu hÕt c¸c cè
g¾ng cµi ®Æt mét hÖ thèng firewall.
38
Smap vµ smapd thùc hiÖn ®iÒu ®ã b»ng c¸ch c« lËp ch-
¬ng tr×nh mail, b¾t nã ch¹y trªn mét th môc dµnh riªng
(restricted directory) qua chroot (thay ®æi th môc gèc), nh
mét user kh«ng cã quyÒn u tiªn. Môc ®Ých cña smap lµ
c« lËp ch¬ng tr×nh mail vèn ®· g©y ra rÊt nhiÒu lçi trªn
hÖ thèng. PhÇn lín c¸c c«ng viÖc xö lý mail thêng ®îc
thùc hiÖn bëi ch¬ng tr×nh sendmail. Sendmail kh«ng yªu
cÇu mét sù thay ®æi hay ®Æt l¹i cÊu h×nh g× c¶. Khi mét
hÖ thèng ë xa nèi tíi mét cæng SMTP, hÖ ®iÒu hµnh khëi
®éng smap. Smap lËp tøc chroot tíi th môc dµnh riªng vµ
®Æt user-id ë møc b×nh thêng (kh«ng cã quyÒn u tiªn).
Bëi v× smap kh«ng yªu cÇu hç trî bëi mét file hÖ thèng
nµo c¶, th môc dµnh riªng chØ chøa c¸c file do smap t¹o ra.
Do vËy, b¹n kh«ng cÇn ph¶i lo sî lµ smap sÏ thay ®æi file
hÖ thèng khi nã chroot. Môc ®Ých duy nhÊt cña smap lµ
®èi tho¹i SMTP víi c¸c hÖ thèng kh¸c, thu lîm th«ng b¸o
mail, ghi vµo ®Üa, ghi nhËt ký, vµ tho¸t.
39
20,000 dßng) nªn viÖc ph©n tÝch file nguån ®Ó t×m ra lçi
®¬n gi¶n h¬n nhiÒu.
40
thùc cña UDP. An toµn cho c¸c dÞch vô UDP ë ®©y ®ång
nghÜa víi sù kh«ng cho phÐp tÊt c¶ c¸c dÞch vô UDP.
Netacl chØ bao gåm 240 dßng m· C (c¶ gi¶i thÝch) cho nªn
rÊt dÔ dµng kiÓm tra vµ hiÖu chØnh. Tuy nhiªn vÉn cÇn
ph¶i cÈn thËn khi cÊu h×nh nã.
41
3.2.4 Telnet-Gw: Proxy server cho Telnet
C¸c terminal truy nhËp qua thñ tôc BSD rlogin cã thÓ ®îc
cung cÊp qua rlogin proxy. rlogin cho phÐp kiÓm tra vµ
®iªu khiÓn truy nhËp m¹ng t¬ng tù nh telnet gateway.
Rlogin client cã thÓ chØ ra mét hÖ thèng ë xa ngay khi
b¾t ®Çu nèi vµo proxy, cho phÐp h¹n chÕ yªu cÇu t¬ng
t¸c cña user víi m¸y (trong trêng hîp kh«ng yªu cÇu x¸c
thùc).
Th«ng thêng, viÖc khai th¸c th«ng tin tõ CSDL Oracle ®îc
tiÕn hµnh th«ng qua dÞch vô WWW. Tuy nhiªn ®Ó hç trî
ngêi sö dông dïng ch¬ng tr×nh plus33 nèi vµo m¸y chñ
42
Oracle, bé firewall cña CSE ®îc ®a kÌm vµo ch¬ng tr×nh
Sql-net proxy. ViÖc kiÓm so¸t truy nhËp ®îc thùc hiÖu
qua tªn m¸y hay ®Þa chØ IP cña m¸y nguån vµ m¸y ®Ých.
43
3.3 Cµi ®Æt
Khi cµi ®Æt, mét ngêi sö dông cã tªn lµ proxy ®îc ®¨ng ký
víi hÖ thèng ®Ó thùc hiÖn c¸c chøc n¨ng qu¶n lý proxy.
Ngêi cµi ®Æt ph¶i ®Æt mËt khÈu cho user nµy.
ViÖc ®Æt cÊu h×nh vµ qu¶n trÞ CSE Firewall ®Òu th«ng
qua c¸c chøc n¨ng trªn menu khi login vµo m¸y Firewall
b»ng tªn ngêi sö dông lµ proxy. Sau khi cµi ®Æt nªn ®æi
tªn nh÷ng tÖp hÖ thèng vµ lu l¹i tríc khi ®Æt cÊu h×nh:
/etc/inetd.conf
/etc/services
/etc/syslog.conf.
44
3.4 ThiÕt lËp cÊu h×nh:
Mét ®iÒu cÇn quan t©m lµ trong khi ®ang cµi ®Æt,
nh÷ng m¸y chñ c«ng khai (Firewall bastion host) cã thÓ bÞ
tÊn c«ng tríc khi c¬ chÕ an toµn cña nã ®îc cÊu h×nh
hoµn chØnh ®Ó cã thÓ ch¹y ®îc. Do ®ã, nªn cÊu h×nh
tÖp inetd.conf ®Ó cÊm tÊt c¶ c¸c dÞch vô m¹ng tõ ngoµi
vµo vµ sö dông thiÕt bÞ ®Çu cuèi ®Ó cµi ®Æt.
T¹i thêi ®iÓm ®ã, chóng ta cã thÓ quy ®Þnh nh÷ng truy
nhËp gi÷a m¹ng ®îc b¶o vÖ vµ m¹ng bªn ngoµi nµo sÏ bÞ
kho¸. Tuú theo môc ®Ých, chóng ta cã thÓ ng¨n c¸c truy
nhËp tuú theo híng cña chóng. Ch¬ng tr×nh còng cÇn ®îc
thö nghiÖm kü cµng tríc khi sö dông. NÕu cÇn thiÕt cã
thÓ dïng ch¬ng tr×nh /usr/proxy/bin/netscan ®Ó thö kÕt
nèi tíi tÊt c¶ m¸y tÝnh trong m¹ng con ®Ó kiÓm tra. Nã sÏ
cè g¾ng thö lät qua Firewall theo mäi híng ®Ó ch¾c ch¾n
r»ng c¸c truy nhËp bÊt hîp ph¸p lµ kh«ng thÓ x¶y ra. Ng¨n
cÊm truy nhËp vµo ra lµ c¸i chèt trong c¬ chÕ an toµn
cña Firewall kh«ng nªn sö dông nÕu nã cha ®îc cµi ®Æt
vµ thö nghiÖm kü lìng.
45
3.4.2 CÊu h×nh cho Bastion Host
ViÖc nµy ®îc thùc hiÖn cho tíi khi hÖ thèng cung cÊp
dÞch vô tèi thiÓu mµ ngêi qu¶n trÞ tin tëng. ViÖc cÊu
h×nh nµy cã thÓ lµm ®ång thêi víi viÖc kiÓm tra dÞch vô
nµo ch¹y chÝnh x¸c b»ng c¸ch dïng c¸c lÖnh ps vµ
netstat. PhÇn lín c¸c server ®îc cÊu h×nh cïng víi mét sè
d¹ng b¶o mËt kh¸c, c¸c cÊu h×nh nµy sÏ m« t¶ ë phÇn sau.
Mét c«ng cô chung ®Ó th¨m dß c¸c dÞch vô TCP/IP lµ
/usr/proxy/bin/portscan cã thÓ dïng ®Ó xem dÞch vô nµo
®ang ®îc cung cÊp. NÕu kh«ng cã yªu cÇu ®Æc biÖt cã
thÓ dïng c¸c file cÊu h×nh nãi trªn ®· ®îc t¹o s½n vµ ®Æt
t¹i /usr/proxy/etc khi cµi ®Æt, ngîc l¹i cã thÓ tham kh¶o
®Ó söa ®æi theo yªu cÇu.
Toµn bé c¸c thµnh phÇn cña bé Firewall ®ßi hái ®îc cÊu
h×nh chung (mÆc ®Þnh lµ /usr/proxy/etc/netperms). PhÇn
lín c¸c thµnh phÇn cña bé Firewall ®îc gäi bëi dÞch vô cña
hÖ thèng lµ inetd, khai b¸o trong /etc/inetd.conf t¬ng tù
nh sau:
46
ftp stream tcp nowait root /usr/proxy/bin/netacl ftpd
Bíc ®Çu tiªn ®Ó cÊu h×nh netacl lµ cho phÐp m¹ng néi bé
truy nhËp cã giíi h¹n vµo Firewall, nÕu nh nã cÇn thiÕt
cho nhu cÇu qu¶n trÞ. Tuú thuéc vµo TELNET gateway
tn-gw cã ®îc cµi ®Æt hay kh«ng, qu¶n trÞ cã thÓ truy cËp
vµo Firewall qua cæng kh¸c víi cæng chuÈn cña telnet (23).
Bëi v× telnet thêng kh«ng cho phÐp ch¬ng tr×nh truy cËp
tíi mét cæng kh«ng ph¶i lµ cæng chuÈn cña nã. DÞch vô
proxy sÏ ch¹y trªn cæng 23 vµ telnet thùc sù sÏ ch¹y trªn
cæng kh¸c vÝ dô dÞch vô cã tªn lµ telnet-a ë trªn (Xem file
inetd.conf ë trªn). Cã thÓ kiÓm tra tÝnh ®óng ®¾n cña
netacl b»ng c¸ch cÊu h×nh cho phÐp hoÆc cÊm mét sè
host råi thö truy cËp c¸c dÞch vô tõ chóng.
47
Tuy nhiªn, FTP cã thÓ sö dông cæng kh¸c kh«ng gièng
TELNET. RÊt nhiÒu c¸c FTP client hç trî cho viÖc sö
dông cæng kh«ng chuÈn.
48
®äc cÊu h×nh vµ quyÒn truy nhËp cña nã tõ netperms vµ
lu tr÷ vµo mét CSDL trong bé nhí.
3.4.3.1 ThiÕt lËp tËp hîp c¸c quy t¾c cho dÞch vô HTTP, FTP
#---------------------------------
49
NÕu m¹ng ®îc b¶o vÖ ph¸t triÓn thªm chØ cÇn thªm vµo
c¸c dßng cho phÐp.
or
50
Trong vÝ dô nµy, ngêi dïng nèi víi dÞch vô FTP tõ m¹ng
®îc b¶o vÖ cã kh¶ n¨ng FTP b×nh thêng. Ngêi dïng kÕt
nèi tõ hÖ thèng kh¸c domain nhËn ®îc mét th«ng b¸o r»ng
hä kh«ng cã quyÒn sö dông FTP. Mäi hÖ thèng kh¸c kÕt
nèi vµo FTP ®Òu sö dông víi vïng file FTP. §iÒu nµy cã
mét sè thuËn lîi cho viÖc b¶o ®¶m an toµn. Thø nhÊt, khi
kiÓm tra x¸c thùc, ftpd kiÓm tra mËt khÈu cña ngêi sö
dông trong vïng FTP, cho phÐp ngêi qu¶n trÞ ®a ra
“account” cho FTP. §iÒu nµy cÇn thiÕt cho nh÷ng ngêi
kh«ng cã account trong bastion host cung cÊp sù kiÓm tra
vµ x¸c thùc nã cßn cho phÐp qu¶n trÞ sö dông nh÷ng
®iÓm m¹nh cña ftpd cho dï nã chøa mét sè lç hæng vÒ an
toµn.
Nãi chung truy cËp tíi bastion host nªn bÞ cÊm, chØ ngêi
qu¶n trÞ cã quyÒn login. Th«ng thêng ®Ó khi ch¹y proxy,
ch¬ng tr×nh telnet vµ rlogin kh«ng thÓ ch¹y trªn c¸c cæng
chuÈn cña chóng. Cã 3 c¸ch gi¶i quyÕt vÊn ®Ò nµy:
C¸ch gi¶i quyÕt cuèi cïng rÊt tiÖn lîi nhng cho phÐp mäi
ngêi cã quyÒn dïng proxy ®Ó login vµo bastion host. NÕu
bastion host sö dông x¸c thùc møc cao ®Ó qu¶n lý truy cËp
cña ngêi dïng, sù rñi ro do viÖc tÊn c«ng vµo hÖ bastion
51
host sÏ ®îc gi¶m thiÓu. ®Ó cÊu h×nh hÖ thèng tríc hÕt,
tÊt c¶ c¸c thiÕt bÞ ®îc nèi vµo hÖ thèng qua netacl vµ
dïng nã gäi c¸c ch¬ng tr×nh server hay proxy server tuú
thuéc vµo n¬i xuÊt ph¸t cña kÕt nèi.
Ngêi qu¶n trÞ muèn vµo bastion host tríc hÕt ph¶i kÕt nèi
vµo netacl sau ®ã ra lÖnh kÕt nèi vµo bastion host. ViÖc
nµy ®¬n gi¶n v× mét sè b¶n telnet vµ rlogin kh«ng lµm
viÖc nÕu kh«ng ®îc kÕt nèi vµo ®óng cæng.
§Ó cÊu h×nh cho sql-net proxy, ph¶i tiÕn hµnh c¸c bíc nh
sau:
52
ora_stu2: port 1526 * -plug-to 190.2.2.3 -port 1526
53
ora_vpcp1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp1
“sql-gw” /usr/proxy/log/plug-gw
stu.world =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1521)
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1526)
54
(CONNECT_DATA = (SID = STU)
vpcp.world =
(DESCRIPTION =
(ADDRESS_LIST =
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1421)
(ADDRESS =
(COMMUNITY = tcp.world)
(PROTOCOL = TCP)
(Host = firewall)
(Port = 1426)
55
3.4.3.5 C¸c dÞch vô kh¸c
# ---------------------
# ---------------------
# ----------------------
56
Notes. CÇn ph¶i thªm vµo c¸c file cÊu h×nh hÖ thèng nh
sau:
File /etc/services:
socks 1080/tcp
File /etc/inetd.conf:
57
qu¶n trÞ ®îc ®¬n gi¶n. MËt khÈu kh«ng m· ho¸ kh«ng nªn
dïng víi nh÷ng ngßi sö dông tõ m¹ng bªn ngoµi. Authsrv ®-
îc ch¹y trªn mét host an toµn th«ng thêng lµ bastion host.
§Ó ®¬n gi¶n cho viÖc qu¶n trÞ authsrv ngêi qu¶n trÞ cã
thÓ sö dông mét shell authmsg ®Ó qu¶n trÞ c¬ së d÷ liÖu
cã cung cÊp c¬ chÕ m· ho¸ d÷ liÖu.
Trong /etc/services:
authsrv 7777/tcp
Trong /etc/inetd.conf:
58
#Example ftp gateway rules:
Trong vÝ dô trªn, x¸c thùc dïng víi FTP proxy. Dßng ®Çu
tiªn ®Þnh nghÜa ®Þa chØ m¹ng cæng dÞch vô cña ch¬ng
tr×nh x¸c thùc. Dßng permist-host cho thÊy mét trong sè sù
mÒm dÎo cña hÖ thèng x¸c thùc, mét host ®îc lùa chän ®Ó
kh«ng ph¶i chÞu c¬ chÕ x¸c thùc, ngêi dïng tõ host nµy cã
thÓ truy cËp tù do tíi mäi dÞch vô cña proxy. Permist-host
thø 2 ®ßi hái x¸c thùc mäi hÖ thèng trong m¹ng 192.33.112
muèn truyÒn ra ngoµi víi -auth {store} nh÷ng thao t¸c cña
FTP sÏ bÞ kho¸ tíi khi ngêi dïng hoµn thµnh viÖc x¸c thùc
víi server. Khi ®ã, lÖnh ®îc më kho¸ vµ ngêi dïng cã thÓ
vµo hÖ thèng. VÝ dô cuèi ®Þnh nghÜa mäi ngêi cã thÓ
nèi víi server nhng tríc hÕt hä ph¶i ®îc x¸c thùc.
Authsrv server ph¶i ®îc cÊu h×nh ®Ó biÕt m¸y nµo ®îc
cho phÐp kÕt nèi. §iÒu nµy cÊm tÊt c¶ nh÷ng cè g¾ng
truy nhËp bÊt hîp ph¸p vµo server tõ nh÷ng server kh«ng
ch¹y nh÷ng phÇn mÒm x¸c thùc. Trong Firewall authsrv sÏ
ch¹y trªn bastion host cïng víi proxy trªn ®ã. NÕu kh«ng cã
hÖ thèng nµo ®ßi hái truy cËp, mçi client vµ server coi
“local host” nh mét ®Þa chØ truyÒn th«ng. CÊu h×nh
59
authsrv ®Þnh nghÜa nã sÏ vËn hµnh CSDL vµ client hç
trî.
Authsrv qu¶n lý nhãm rÊt mÒm dÎo, qu¶n trÞ cã thÓ nhãm
ngêi dïng thµnh nhãm dïng “group wiz”, ngêi cã quyÒn
qu¶n trÞ nhãm cã thÓ xo¸, thªm, t¹o söa b¶n ghi trong
nhãm, cho phÐp hay cÊm ngêi dïng, thay ®æi password
60
cña mËt khÈu cña user trong nhãm cña m×nh. Qu¶n trÞ
nhãm kh«ng thay ®æi ®îc ngêi dïng cña nhãm kh¸c, t¹o ra
nhãm míi hay thay ®æi quan hÖ gi÷a c¸c nhãm. Qu¶n trÞ
nhãm chØ cã quyÒn h¹n trong nhãm cña m×nh. ViÖc nµy
cã Ých ®èi víi tæ chøc cã nhiÒu nhãm lµm viÖc cïng sö
dông Firewall.
Khi mét user record míi ®îc t¹o nã cha ®îc ho¹t ®éng vµ
ngêi sö dông cha thÓ login. Tríc khi ngêi sö dông login,
qu¶n trÞ m¹ng cã thÓ thay ®æi mËt khÈu vµ sè hiÖu nhãm
cña ngêi sö dông ®ã
enable mjr
Khi mét user record t¹o ra bëi ngêi qu¶n trÞ nhãm, nã thõa
hëng sè hiÑu nhãm còng nh giao thøc x¸c thùc. User record
cã thÓ xem bëi lÖnh “display” hay “list”.
%-> authmgs
Connected to server
authmgr-> login
Username: wizard
Logged in
61
Last authenticated: Fri Oct 8 17:11:07 1993
Flags: WIZARD
authmgr-> list
enabled
set group
changed
Flags: none
Password: #######
authmgr-> quit
62
Trong vÝ dô trªn qu¶n trÞ nèi vµo authsrv qua m¹ng sö
dông giao diÖn authmsg sau khi x¸c thùc user record hiÓn
thÞ thêi gian x¸c thùc. Sau khi login, list CSDL user, t¹o
ngêi dïng, ®Æt password, enable vµ ®a vµo nhãm.
# authsrv
-administrator mode-
authsrv# list
enabled
set wizard
changed
authsrv# pass ‘160 270 203 065 022 034 232 162’ admin
authsrv# list
authsrv# quit
63
Trong vÝ dô, mét CSDL míi ®îc t¹o cïng víi mét record
cho ngêi qu¶n trÞ. Ngêi qu¶n trÞ ®îc g¸n quyÒn, g¸n
protocol x¸c thùc.
Sau khi cµi ®Æt xong, khi login vµo user proxy mµn
h×nh ®iÒu khiÓn sÏ hiÖn nªn menu c¸c chøc n¨ng ®Ó ngêi
qu¶n trÞ cã thÓ lùa chän.
1 Configuration
a Report
b Authentication
d Change password
e Shutdown
q Exit
Select option> _
64
Con sè hay ch÷ c¸i ®Çu tiªn thÓ hiÖn phÝm bÊm ®Ó thùc
hiÖn chøc n¨ng. Sau khi mçi chøc n¨ng thùc hiÖn xong
xuÊt hiÖn th«ng b¸o Press ENTER to continue råi chê
cho tíi khi phÝm Enter ®îc bÊm ®Ó trë l¹i mµn h×nh
®iÒu khiÓn chÝnh.
3.4.5.1 1 Configuration
Chøc n¨ng nµy cho phÐp so¹n th¶o trùc tiÕp tíi file cÊu
h×nh cña proxy. Trong file nµy chøa c¸c quy t¾c cña c¸c
dÞch vô nh netacl, ftp-gw, tn-gw... Có ph¸p cña c¸c quy
t¾c nµy ®· ®îc m« t¶ ë phÇn trªn. Sau khi sö ®æi c¸c quy
t¾c chän chøc n¨ng Save th× c¸c quy t¾c míi sÏ lËp tøc ®îc
¸p dông.
Chó ý: Bé so¹n th¶o v¨n b¶n ®Ó so¹n th¶o file cÇu h×nh cã
c¸c phÝm chøc n¨ng t¬ng tù nh chøc n¨ng so¹n th¶o cña
Turbo Pascal 3.0. (C¸c chøc n¨ng cÇn thiÕt ®Òu cã thÓ
thÊy trªn Status Bar ë dßng cuèi cïng cña mµn h×nh). §èi
víi mét sè trêng hîp bé so¹n th¶o nµy kh«ng ho¹t ®éng th×
ch¬ng tr×nh so¹n th¶o vi cña UNIX sÏ ®îc dïng ®Ó thay
thÕ.
Chøc n¨ng xem néi dung nhËt ký cña tn-gw. NhËt ký ghi
l¹i toµn bé c¸c truy nhËp qua proxy ®èi víi dÞch vô tn-gw.
§èi víi c¸c dÞch vô kh¸c nh ftp-gw, http-gw ®Òu dîc ghi l¹i
nhËt ký vµ cã thÓ theo dâi bëi c¸c chøc n¨ng t¬ng tù (Xem
c¸c môc díi ®©y).
65
3.4.5.4 4 View HTTP log
Chøc n¨ng xem néi dung nhËt ký cña dÞch vô x¸c thùc.
3.4.5.10 a Report
Chøc n¨ng lµm b¸o c¸o thèng kª ®èi víi tÊt c¶ c¸c dÞch vô
trong mét kho¶ng thêi gian nhÊt ®Þnh.
§Çu tiªn mµn h×nh sÏ hiÖn lªn mét lÞch ®Ó chän kho¶ng
thêi gian muèn lµm b¸o c¸o. Sau khi tÝnh to¸n xong b¸o
c¸o. Ngêi sö dông sÏ ph¶i chän mét trong c¸c ®Çu ra cña
b¸o c¸o gåm : xem (®a ra mµn h×nh), save (ra ®Üa mÒm)
hay print (in ra m¸y in g¾n trùc tiÕp víi m¸y server). NÕu
muèn in tõ c¸c m¸y in kh¸c ta cã thÓ ®a ra ®Üa mÒm råi
in c¸c tÖp ®ã tõ c¸c tr¹m lµm viÖc.
66
Apr May Jun
S M Tu W Th F S S M Tu W Th F S S M Tu W Th F S
1 2 3 4 1 2 1 2 3 4 5 6
5 6 7 8 9 10 11 3 4 5 6 7 8 9 7 8 9 10 11 12 13
12 13 14 15 16 17 18 10 11 12 13 14 15 16 14 15 16 17 18 19 20
19 20 21 22 23 24 25 17 18 19 20 21 22 23 21 22 23 24 25 26 27
26 27 28 29 30 24 25 26 27 28 29 30 28 29 30
31
Calculating...
3.4.5.11 b Authentication
authsrv# list
authsrv#
67
3.4.5.12 c Change system time
Chøc n¨ng ®æi thêi gian hÖ thèng. Chøc n¨ng nµy cã t¸c
dông ®iÒu chØnh chÝnh x¸c giê cña hÖ thèng. Bëi v× giê
hÖ thèng cã ¶nh hëng quan träng tíi ®é chÝnh x¸c cña nhËt
ký. Gióp cho ngêi qu¶n trÞ cã thÓ theo dâi ®óng c¸c truy
nhËp tíi proxy.
3.4.5.14 e Shutdown
3.4.5.15 q Exit
Chøc n¨ng nµy logout khái mµn h×nh ®iÒu khiÓn proxy.
68
3.4.6.1 Víi c¸c Web Browser
NÕu kh«ng ®îc ®Æt chøc n¨ng x¸c thùc th× qu¸ tr×nh nh
sau:
$ telnet vectra
Trying 192.1.1.155...
connect to vectra.
help/ ?
quit/ exit
69
password
TM
SCO Openserver Release 5 (sco5.cse.gov.vn) (ttysO)
Login: ngoc
password: #######
...
NÕu cã dïng chøc n¨ng x¸c thùc, th× sau khi m¸y proxy tr¶
lêi:
Username: ngoc
password: #######
Login accepted
tn-gw ->
NÕu cã dïng chøc n¨ng x¸c thùc th× quy tr×nh nh sau:
$ftp vectra
Connected to vectra.
70
331 Enter authentication password for ngoc
Password: #######
ftp>user ngoc@192.1.1.1
Password:
ftp>
...
ftp>bye
221 Goodbye.
Cßn nÕu kh«ng sö dông chøc n¨ng x¸c thùc th× ®¬n gi¶n
h¬n:
$ftp vectra
Connected to vectra.
Password:
ftp>
...
ftp>bye
221 Goodbye
71
$
72