Bảo mật bằng Firewall ISA 2006 -phần 2

 Trong phần trước chúng ta đã tìm hiểu vấn đề phát sinh với máy chủ FTP sử dụng hệ thống tường lửa ISA 2006. Khi sử dụng bộ kết nối mạng, chúng ta có thể khẳng định rằng TLS (Transport Layer Security) từ máy trạm bị hệ thống tường lửa ISA từ chối. 

Hệ thống tường lửa ISA có một bộ lọc lớp ứng dụng hộ trợ cho các kết nối FTP, tuy nhiên bộ lọc này không thể cấu hình (không giống như bộ lọc SMTP). Do bộ lọc lớp ứng dụng FTP tích hợp trên hệ thống tường lửa ISA không hỗ trợ TLS do đó người dùng cần phải tắt bỏ bộ lọc này cho tất cả các Rule hoặc một số Rule nhất định. Tốt nhất nên tắt bỏ trên một số Rule nhất định để các máy trạm SecureNAT có thể sử dụng giao thức FTP cho quá trình truy cập ngoài. Sau khi tắt bỏ bộ lọc ứng dụng FTP, kết nối FTP trên máy chủ FTP đã được hệ thống tường lửa ISA bảo mật . Tuy nhiên, người dùng cần phải thực hiện thêm một thao tác khi đã bảo mật kết nối FTP đó là bảo mật truyền dữ liệu qua kênh FTP. Phần này sẽ đi sâu vào phương pháp truyền dữ liệu qua liên kết FTP bảo mật.

Sau khi xác thực máy chủ FTP, chúng ta cần phải liệt kê những thư mục và file truyền. Thao tác này được thực hiện qua kệnh dữ liệu thứ cấp.
 

Như bạn thấy ở trên, quá trình xác thực vẫn được tiến hành nhưng hệ thống vẫn treo lệnh 150 kết nối dữ liệu chế độ Opening Binary, và nếu tiếp tục chờ đợi chúng ta sẽ nhận được một thông báo Time out.
 

Như đã nói trong phần trước, chúng ta có thể kiểm tra TCP trong 3 packet chứa thông tin kết nối, sau đó quá trình thẩm định quyền FTP sẽ khởi chạy, và ở phía cuối cửa sổ theo dõi bạn sẽ thấy một số packet lưu trữ thông tin kết nối qua kênh dữ liệu.
 

Kênh dữ liệu FTP là kênh kết nối mở TCP thứ hai. Trong quá trình thẩm định quyền, máy chủ FTP gửi tới máy trạm FTP thông tin về cổng kết nối động thứ cấp cần mở. Sau đó, máy trạm này mở một cổng trên cổng thứ cấp này và thiết lập kết nối dữ liệu. Cần nhớ rằng cổng thứ cấp này là một cổng cao động ngẫu nhiên. Trước khi Windows Vista được tung ra, những cổng cao có thể được lựa chọn trong phạm vi 1024 đến 5000. Nhưng khi Windows Vista được ra mắt thì Microsoft đã thay đổi lựa chọn cổng ngẫu nhiên, đó là lí do tại sao bạn thấy cổng ngẫu nhiên ở đây được đặt là 49198 TCP. Windows Vista và Windows Server 2008 sử dụng loạt cổng động từ 49152 tới 65535.

Mặc định, bộ lọc lớp ứng dụng của hệ thống tường lửa ISA sẽ giám sát cổng ngẫu nhiên này (được sử dụng cho kết nối thứ cấp bởi những cổng mở, động khi máy trạm kết nối tới máy chủ FTP). Tuy nhiên, do chúng ta cần tắt bỏ bộ lọc ứng dụng này để thực hiện lệnh Auth TLS, do đó chúng ta sẽ thay thế bộ lọc ứng dụng FTP trên hệ thống tường lửa ISA bằng một bộ lọc khác.

Bước 1

Trước tiên bạn cần phải áp dụng phương pháp máy chủ FTP chỉ định các cổng ngẫu nhiên để có thể gỡ bỏ những cổng không cần thiết và kiểm soát những cổng đang được sử dụng. Sau đó, bạn cũng cần phải thông báo cho máy chủ FTP địa chỉ IP công cộng nào thuộc về hệ thống tường lửa ISA.

Bạn hãy thực hiện thao tác này trong cửa sổ cấu hình IIS. Để cài đặt cho những cổng tĩnh bạn phải thực hiện trên máy chủ (không phải trên cấp độ website). Trong cửa sổ này, click đúp vào biểu tượng FTP Firewall Support.
 

Trong cửa sổ FTP Firewall Support, bạn có thể nhập bất kì vùng cổng nào. Ví dụ nhập vào vùng 5000-5003rồi nhấn nút Apply.
 

Bước 2

Sau đó chúng ta phải cài đặt địa chỉ IP trên cấp độ website. Mở rộng mục Sites rồi click vào Default Web Site. Tiếp theo click vào biểu tượng FTP Firewall Support.
 

Nhập tên địa chỉ IP công cộng vừa sử dụng trong FTP Server Publishing Rule của hệ thống tường lửa ISA, rồi nhấn Apply.
 

Lưu ý: Khi nhấn nút Apply mà những cài đặt vừa thực hiện không được áp dụng bạn hãy khởi chạy lại dịch vụ Microsoft FTP Service từ Service Management Console.
 

Xian (Theo ISAServer)