Bảo mật bằng Firewall ISA 2006 -phần 1 (TT)

Mặc dù thao tác ngắt kết nối này là không bình thường, nhưng dường như đây là phương pháp ngắt phiên kết nối của hệ thống tường lửa ISA, như vậy chúng ta có thể khẳng định rằng thông báo lỗi Access is Deniedđược gửi đến máy trạm từ hệ thống tường lửa của ISA.

Khi đó chúng ta lại phải kiểm tra thành phần nào trong hệ thống tường lửa của ISA đã hủy bỏ kết nối. Trước tiên bạn nên kiểm tra bộ lọc ứng dụng xử lý những kết nối FTP. Có thể hệ thống tường lửa của ISA là một hệ thống kiểm tra trạng thái lớp ứng dụng và thông tin, việc cấu hình cho nó thực hiện kiểm tra lớp ứng dụng cho những giao thức lớp. Một trong những giao thức này là FTP. Bạn có thể xem giao thức này trong mụcAdd-ins trong bảng trái của console ISA Firewall.

Điều này có nghĩa là ISA biết giao thức FTP tại lớp ứng dụng và sẽ phân biệt được những lệnh khác nhau với một dòng giao tiếp FTP. Chúng ta có thể sử dụng bộ lọc ứng dụng dll để cấu hình cho các mục hoặc không.

Chẳng hạn, bộ lọc SMTP hỗ trợ bổ sung và gỡ bỏ lệnh được hệ thống tường lửa chấp thuận. Tuy nhiên bộ lọc FTP lại không thực hiện được chức năng này. Những gì bạn có thể là là kích hoạt hay tắt bỏ nó. Bạn có thể hủy bỏ bộ lọc tại đây và khi đó bộ lọc này cũng sẽ được tắt bỏ trong toàn bộ Rule của hệ thống tường lửa ISA, hoặc bạn có thể tắt bỏ nó trên một số Rule nào đó.

Bộ lọc ứng dụng FTP và bộ lọc ứng dụng SMTP

Thực ra bộ lọc ứng dụng FTP của ISA 2006 không hỗ trợ AUTH TLS, do đó phản hồi mặc định từ hệ thống tường lửa ISA với những yêu cầu như vậy là để trả về một thông báo từ chối truy cập. Hệ thống tường lửa ISA kết xuất nhóm lệnh FTP mặc định và bạn sẽ không thể chèn tập lệnh chấp nhận truy cập được.

Lưu ý: Phản hồi này không hiển thị dòng chữ “filtered by ISA 2006” (được lọc bởi ISA 2006), vì có thể cung cấp thông tin không mong muốn cho tin tặc.

• Mở hộp thoại thuộc tính Properties của FTP Server Publishing Rule trong Access Rule.
   
• Click chọn tab Traffic.
   
• Hủy chọn hộp chọn FTP Access Filter trong khung Application Filters.

Cửa sổ thuộc tính Properties của máy chủ FTP

Nếu sau khi thực hiện xong bạn thực hiện kết nối lại và thay đổi lưu lượng trên máy chủ FTP thì bạn có thể Packet đầu tiên hiển thị thông tin chuỗi xác minh, gói thứ hai hiển thị thông báo của máy trạm “Hi, I want to do TLS authentication” (Xin chào, tôi muốn thực hiện xác thực quyền TLS), và gói thông tin thứ 3 là phản hồi từ máy chủ “ok let’s do TLS” (chấp thuận). Sau đó những thông tin này sẽ chuyển sang chế độ mã hóa.

Tuy nhiên, kênh thẩm định quyền chỉ là phân đầu tiên của kết nối. Khi đã thẩm định quyền cho một máy chủ FTP mà chúng ta muốn liệt kê những thư mục và truyền file, thì quá trình này sẽ được thực hiện trên kênh dữ liệu thứ cấp. Trong phần hai của bài viết này chúng ta sẽ tìm hiểu phương pháp truyền dữ liệu qua một kênh bảo mật.

Kết luận

Trong phần này của bài viết chúng ta chỉ tập trung vào những vấn đề xảy ra với máy chủ FTP khi bảo mật bằng hệ thống tường lửa ISA 2006. Khi sử dụng bộ kết nối mạng, chúng ta có thể thấy rằng kết nối máy trạm bị từ chối nhưng không phải do máy chủ FTP từ chối mà là do hệ thống tường lửa ISA. Hệ thống tường lửa ISA tích hợp một bộ lọc lớp ứng dụng hỗ trợ kết nối FTP. Tuy nhiên người dùng không thể cấu hình cho bộ lọc này (trái ngược với bộ lọc SMTP cho phép người dùng thực hiện một số cấu hình cơ bản). Đó là do bộ lọc này không hỗ trợ thỏa thuận TLS vì vậy người dùng cần phải tắt bỏ nó trong toàn bộ Rule hay trong một số Rule nhất định. Tốt nhất nên tắt bổ bộ lọc này trong một số Rule vì nếu tắt bỏ trong toàn bộ Rule sẽ khiến cho máy tạm SecureNAT không thể sử dụng giao thức FTP để truy cập ngoài mạng.

Xian (Theo ISAServer)