Bảo mật bằng Firewall ISA 2006

Bảo mật bằng Firewall ISA 2006

ISA Firewall không chính thức hỗ trợ giao thức FTPS bởi vì những thỏa thuận giao thức đã được mã hóa và do đó không có bộ lọc ứng dụng nào có thể xử lý những thỏa thuận này. 

Bài viết này sẽ giới thiệu một phương pháp khắc phục vấn đề này. Tuy nhiên, một nhược điểm của phương pháp này đó là những kết nối không được mã hóa sẽ không hoạt động. Một giải pháp khác cần sử dụng đó là tạo một Server Protocol Definition cho tùy chỉnh cho FTP, sau đó sử dụng công cụ Pesach Shelnizt để ngăn chặn xung đột có thể xảy ra với FTP Server Protocol Definition mặc định.
 

Giới thiệu

Một trong những tính năng mới rất quan trong được tích hợp trong IIS 7.0 (cũng được tích hợp trên Windows Server 2008) đó là bảo mật FTP. Bảo mật FTP sử dụng bộ mã hóa TLS để bảo mật dữ liệu trong khi truyền qua các kênh dữ liệu của FTP. Đây là một cải tiến đáng kể so với những phiên bản trước đó của dịch vụ FTP trong IIS (chỉ hỗ trợ các kết nối không được mã hóa).

Giao diện cấu hình dịch vụ bảo mật FTP của IIS 7.0.

Tuy nhiên, nếu đã từng sử dụng dịch vụ FTP của IIS 7.0 qua một tường lửa ISA, có thể bạn sẽ nhận thấy rằng mọi thứ không hoạt động theo như ý muốn. Khi kết nối tới máy chủ từ máy trạm bạn sẽ gặp phải lỗi 550 Access Denied (từ chối truy cập).

Lỗi xuất hiện trên máy trạm khi cố gắng kết nối tới máy chủ đã áp dụng dịch vụ bảo mật FTP

Tiếp theo chúng ta sẽ tìm hiểu bản chất của lỗi này và xem xét phương pháp khắc phục. Để làm được điều đó chúng ta cần thực hiện các thao tác sau:

  • Kiểm tra máy trạm FTP
     
  • Giám sát hệ thống máy chủ ISA
     
  • Kiểm tra máy chủ FTP

Mô hình cài đặt hệ thống máy trạm và máy chủ như sau:

FTP client <---> ISA 2006 <---> Win2k8 (IIS7/FTP7)

Giả sử địa chỉ IP của máy trạm FTP là 10.10.10.100. Địa chỉ IP trên giao diện ngoài của hệ thống tường lửa ISA là ISA 10.10.10.254 và địa chỉ IP của máy chủ là 10.10.20.200.


Mô hình hệ thống FTP
Bước 1: Kết nối vào máy chủ FTP từ máy trạm FTP

Khi kiểm tra thông tin bạn sẽ biết được những gì đang xảy ra trên hệ thống. Trước tiên hãy kiểm tra Trace Packet vì nó cho phép chúng ta theo dõi dòng FTP.

Packet View


Packet trên máy trạm FTP

Theo thông tin trong Packet View, máy trạm FTP hiển thị thông tin kết nối TCP trong 3 Packet đầu tiên (gồm SYN, SYN ACK và ACK). Sau khi kết nối TCP hoàn thành, giao tiếp FTP sẽ khởi chạy. Lệnh FTP đầu tiên là lệnh máy chủ sử dụng để tự xác định nó như một máy chủ FTP MS.

Sau đó máy trạm sẽ phản hồi một thông báo AUTH TLS. Thông thường máy trạm sẽ hiển thị thông báo“hello friendly FTP server, i would like to start an encrypted TLS session”. Máy trạm sẽ phản hồi thông báo này hai lần sau đó nhận lại phản hồi Access is Denied từ máy chủ.

Khi kiểm tra những Packet của máy chủ FTP, bạn có thể kiểm tra 3 Packet cho biết thông tin kết nối đầu tiên, trong đó có một gói máy chủ tự thực hiện xác nhận, nhưng chúng ta sẽ không thể thấy được Packet lưu trữ thông tin về FTP của máy chủ FTP trong phiên AUTH TLS.


Packet trên máy chủ FTP

Cửa sổ hiển thị thông tin

Nếu nhìn vào cửa sổ hiển thị thông tin TCP, chúng ta có thể dễ dàng thấy rằng máy trạm đang gửi thông tin AUTH SSL và máy chủ sẽ không bao giờ nhận được những thông tin này.

Bước 2: Kiểm tra thông báo lỗi Access is Denied

Những thông tin trên cho thấy một phản hồi 550 Access is Denied đang được gửi tới máy trạm FTP. Tuy nhiên, không có thông tin nào khẳng định rằng thông tin phản hồi được máy chủ gửi đi. Máy chủ FTP có thể chấp nhận yêu cầu để thực hiện bảo mật kết nối TLS. Như vậy, vấn đề ở đây là gì? Rõ ràng, có một thiết bị trung gian đã tạo ra phản hồi này và gửi trở lại máy trạm.

Để sử dụng thông tin này, hãy kiểm tra file log của ISA Firewall và kiểm tra xem có cấp độ từ chối truy cập hay không. Hình minh họa dưới đây hiển thị những mục log liên quan.

Khi nhìn thoáng qua, lưu lượng có vẻ rất bình thường. ISA chấp nhận gói tin thứ nhất sau đó ngắt kết nối như nó thường làm mỗi khi một phiên kết nối TCP thông thường kết thúc.

Vậy thông báo lỗi Access is Denied được gửi đến từ đâu? Để kiểm tra kĩ hơn, chúng ta cần bổ sung thêm một cột vào cửa sổ file log của ISA có tên Result Code.

Sau khi đã chèn thêm cột này chúng ta sẽ thấy được những gì mà Firewall của ISA đang thực hiện.

Lưu ý: Bạn có thể kiểm tra ý nghĩa của các Result Code tại đây.

Trong Result Code trên thì 0x80074E24 FWX_E_CONNECTION_KILLED cho biết máy chủ ISA đã ngắt một kết nối.

Xian (Theo ISAServer)

Bạn thấy bài viết này như thế nào?: 
No votes yet
Ảnh của vu hoang

Không một gia đình nào là hoàn hảo… vẫn có cãi vã, vẫn có chiến tranh, thậm chí là sự lạnh lùng trong một thời gian rất dài, nhưng cho đến cuối cùng, gia đình vẫn là gia đình… nơi tình yêu luôn luôn hiện hữu.

“Cái gọi là duyên phận, chính là trong ngàn vạn người gặp được người cần gặp là anh, trong ngàn vạn năm, giữa mênh mông hoang hoải vô tận của thời gian, không sớm một bước cũng không muộn một bước.”

Advertisement

 

jobsora

Dich vu khu trung tphcm

Dich vu diet chuot tphcm

Dich vu diet con trung

Quảng Cáo Bài Viết

 
Cấu hình notices, warnings và errors trong Drupal Site

Cấu hình notices, warnings và errors trong Drupal Site

Websites will run into problems. Whether you're using Drupal or any other software, there will be problems at some point.

blogviet

Những mánh khóe gian lận của một số Blogger Việt

Cách đây cũng gần một tháng, blogviet được một người bạn, một blogger có tiếng mà hẳn nhiều bạn đọc đã quen tên @Hùng Marketing cho biết rằng, một số blogger Việt đang dùng những mánh khóe gian lận để kiếm tiền từ các mạng affiliate

Best Buy bán iPhone 5c 16 GB với giá 0 đồng

Best Buy bán iPhone 5c 16 GB với giá 0 đồng

Hãng bán lẻ nổi tiếng thế giới Best Buy vừa gây sốc khi bán ra chiếc iPhone 5c (bản 16 GB) ra mắt cách đây không lâu với mức giá không thể rẻ hơn.

Tomdesgin.vn

 

Drupal Services