ISA Firewall không chính thức hỗ trợ giao thức FTPS bởi vì những thỏa thuận giao thức đã được mã hóa và do đó không có bộ lọc ứng dụng nào có thể xử lý những thỏa thuận này.
Bài viết này sẽ giới thiệu một phương pháp khắc phục vấn đề này. Tuy nhiên, một nhược điểm của phương pháp này đó là những kết nối không được mã hóa sẽ không hoạt động. Một giải pháp khác cần sử dụng đó là tạo một Server Protocol Definition cho tùy chỉnh cho FTP, sau đó sử dụng công cụ Pesach Shelnizt để ngăn chặn xung đột có thể xảy ra với FTP Server Protocol Definition mặc định.
Một trong những tính năng mới rất quan trong được tích hợp trong IIS 7.0 (cũng được tích hợp trên Windows Server 2008) đó là bảo mật FTP. Bảo mật FTP sử dụng bộ mã hóa TLS để bảo mật dữ liệu trong khi truyền qua các kênh dữ liệu của FTP. Đây là một cải tiến đáng kể so với những phiên bản trước đó của dịch vụ FTP trong IIS (chỉ hỗ trợ các kết nối không được mã hóa).
Tuy nhiên, nếu đã từng sử dụng dịch vụ FTP của IIS 7.0 qua một tường lửa ISA, có thể bạn sẽ nhận thấy rằng mọi thứ không hoạt động theo như ý muốn. Khi kết nối tới máy chủ từ máy trạm bạn sẽ gặp phải lỗi 550 Access Denied (từ chối truy cập).
Tiếp theo chúng ta sẽ tìm hiểu bản chất của lỗi này và xem xét phương pháp khắc phục. Để làm được điều đó chúng ta cần thực hiện các thao tác sau:
Mô hình cài đặt hệ thống máy trạm và máy chủ như sau:
Giả sử địa chỉ IP của máy trạm FTP là 10.10.10.100. Địa chỉ IP trên giao diện ngoài của hệ thống tường lửa ISA là ISA 10.10.10.254 và địa chỉ IP của máy chủ là 10.10.20.200.
Khi kiểm tra thông tin bạn sẽ biết được những gì đang xảy ra trên hệ thống. Trước tiên hãy kiểm tra Trace Packet vì nó cho phép chúng ta theo dõi dòng FTP.
Packet View
Theo thông tin trong Packet View, máy trạm FTP hiển thị thông tin kết nối TCP trong 3 Packet đầu tiên (gồm SYN, SYN ACK và ACK). Sau khi kết nối TCP hoàn thành, giao tiếp FTP sẽ khởi chạy. Lệnh FTP đầu tiên là lệnh máy chủ sử dụng để tự xác định nó như một máy chủ FTP MS.
Sau đó máy trạm sẽ phản hồi một thông báo AUTH TLS. Thông thường máy trạm sẽ hiển thị thông báo“hello friendly FTP server, i would like to start an encrypted TLS session”. Máy trạm sẽ phản hồi thông báo này hai lần sau đó nhận lại phản hồi Access is Denied từ máy chủ.
Khi kiểm tra những Packet của máy chủ FTP, bạn có thể kiểm tra 3 Packet cho biết thông tin kết nối đầu tiên, trong đó có một gói máy chủ tự thực hiện xác nhận, nhưng chúng ta sẽ không thể thấy được Packet lưu trữ thông tin về FTP của máy chủ FTP trong phiên AUTH TLS.
Cửa sổ hiển thị thông tin
Nếu nhìn vào cửa sổ hiển thị thông tin TCP, chúng ta có thể dễ dàng thấy rằng máy trạm đang gửi thông tin AUTH SSL và máy chủ sẽ không bao giờ nhận được những thông tin này.
Bước 2: Kiểm tra thông báo lỗi Access is Denied
Những thông tin trên cho thấy một phản hồi 550 Access is Denied đang được gửi tới máy trạm FTP. Tuy nhiên, không có thông tin nào khẳng định rằng thông tin phản hồi được máy chủ gửi đi. Máy chủ FTP có thể chấp nhận yêu cầu để thực hiện bảo mật kết nối TLS. Như vậy, vấn đề ở đây là gì? Rõ ràng, có một thiết bị trung gian đã tạo ra phản hồi này và gửi trở lại máy trạm.
Để sử dụng thông tin này, hãy kiểm tra file log của ISA Firewall và kiểm tra xem có cấp độ từ chối truy cập hay không. Hình minh họa dưới đây hiển thị những mục log liên quan.
Khi nhìn thoáng qua, lưu lượng có vẻ rất bình thường. ISA chấp nhận gói tin thứ nhất sau đó ngắt kết nối như nó thường làm mỗi khi một phiên kết nối TCP thông thường kết thúc.
Vậy thông báo lỗi Access is Denied được gửi đến từ đâu? Để kiểm tra kĩ hơn, chúng ta cần bổ sung thêm một cột vào cửa sổ file log của ISA có tên Result Code.
Sau khi đã chèn thêm cột này chúng ta sẽ thấy được những gì mà Firewall của ISA đang thực hiện.
Lưu ý: Bạn có thể kiểm tra ý nghĩa của các Result Code tại đây.
Trong Result Code trên thì 0x80074E24 FWX_E_CONNECTION_KILLED cho biết máy chủ ISA đã ngắt một kết nối.
Xian (Theo ISAServer)
Không một gia đình nào là hoàn hảo… vẫn có cãi vã, vẫn có chiến tranh, thậm chí là sự lạnh lùng trong một thời gian rất dài, nhưng cho đến cuối cùng, gia đình vẫn là gia đình… nơi tình yêu luôn luôn hiện hữu.
“Cái gọi là duyên phận, chính là trong ngàn vạn người gặp được người cần gặp là anh, trong ngàn vạn năm, giữa mênh mông hoang hoải vô tận của thời gian, không sớm một bước cũng không muộn một bước.”
Samsung has announced two Galaxy S II variants for its domestic market. First is the Galaxy S II LTE that was announced at the IFA sometime back.
Basel in Switzerland is one of the leading tourism destinations, known for its art and culture. Major events like "Art Basel" and "Basel World" attracts many visitors from around the world. In addition to business and congress tourism, Basel Tourism
Trang All Things D khẳng định cách đây một năm rưỡi, Facebook thành lập một nhóm chuyên trách, làm việc tại một văn phòng ngoài trụ sở công ty và chỉ những người có liên quan mới được vào trong.
