intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Bảo mật FTP bằng Firewall ISA 2006 (P.2)

Chia sẻ: Abcdef_46 Abcdef_46 | Ngày: | Loại File: PDF | Số trang:10

107
lượt xem
30
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Quản trị mạng - Trong phần trước chúng ta đã tìm hiểu vấn đề phát sinh với máy chủ FTP sử dụng hệ thống tường lửa ISA 2006. Khi sử dụng bộ kết nối mạng, chúng ta có thể khẳng định rằng TLS (Transport Layer Security) từ máy trạm bị hệ thống tường lửa ISA từ chối. Hệ thống tường lửa ISA có một bộ lọc lớp ứng dụng hộ trợ cho các kết nối FTP, tuy nhiên bộ lọc này không thể cấu hình (không giống như bộ lọc SMTP). Do bộ lọc lớp ứng dụng FTP tích hợp...

Chủ đề:
Lưu

Nội dung Text: Bảo mật FTP bằng Firewall ISA 2006 (P.2)

  1. Bảo mật FTP bằng Firewall ISA 2006 (P.2) Quản trị mạng - Trong phần trước chúng ta đã tìm hiểu vấn đề phát sinh với máy chủ FTP sử dụng hệ thống t ường lửa ISA 2006. Khi sử dụng bộ kết nối mạng, chúng ta có thể khẳng định rằng TLS (Transport Layer Security) từ máy trạm bị hệ thống t ường lửa ISA từ chối. Hệ thống tường lửa ISA có một bộ lọc lớp ứng dụng hộ trợ cho các kết nối FTP, tuy nhiên bộ lọc này không thể cấu hình (không giống như bộ lọc SMTP). Do bộ lọc lớp ứng dụng FTP tích hợp trên hệ thống tường lửa ISA không hỗ trợ TLS do đó người dùng cần phải tắt bỏ bộ lọc này cho tất cả các Rule hoặc một số Rule nhất định. Tốt nhất nên tắt bỏ trên một số Rule nhất định để các máy trạm SecureNAT có thể sử dụng giao thức FTP cho quá tr ình truy cập ngoài. Sau khi tắt bỏ bộ lọc ứng dụng FTP, kết nối FTP trên máy chủ FTP đã được hệ thống t ường lửa ISA bảo mật . Tuy nhiên, người dùng cần phải thực hiện thêm một thao tác khi đã bảo mật kết nối FTP đó là bảo mật truyền dữ liệu qua kênh FTP. Phần này sẽ đi sâu vào phương pháp truyền dữ liệu qua liên kết FTP bảo mật. Sau khi xác thực máy chủ FTP, chúng ta cần phải liệt kê những thư mục và file truyền. Thao tác này được thực hiện qua kệnh dữ liệu thứ cấp. Như bạn thấy ở trên, quá trình xác thực vẫn được tiến hành nhưng hệ thống vẫn treo lệnh 150 kết nối dữ liệu chế độ Opening Binary, v à nếu tiếp tục chờ đợi chúng ta sẽ nhận được một thông báo Time out.
  2. Như đã nói trong phần trước, chúng ta có thể kiểm tra TCP trong 3 packet chứa thông tin kết nối, sau đó quá trình thẩm định quyền FTP sẽ khởi chạy, v à ở phía cuối cửa sổ theo dõi bạn sẽ thấy một số packet l ưu trữ thông tin kết nối qua kênh dữ liệu. Kênh dữ liệu FTP là kênh kết nối mở TCP thứ hai. Trong quá trình thẩm định quyền, máy chủ FTP gửi tới máy trạm FTP thông tin về cổng kết nối động thứ cấp cần mở. Sau đó, máy trạm này mở một cổng trên cổng thứ cấp này và thiết lập kết nối dữ liệu. Cần nhớ rằng cổng thứ cấp này là một cổng cao động ngẫu nhiên. Trước khi Windows Vista được tung ra, những cổng cao có thể đ ược lựa chọn trong phạm vi 1024 đến 5000. Nh ưng khi Windows Vista được ra mắt thì Microsoft đã thay đổi lựa chọn cổng ngẫu nhiên, đó là lí do tại sao bạn thấy cổng ngẫu nhiên ở đây được đặt là 49198 TCP. Windows Vista và Windows Server 2008 sử dụng loạt cổng động từ 49152 tới 65535. Mặc định, bộ lọc lớp ứng dụng của hệ thống t ường lửa ISA sẽ giám sát cổng ngẫu nhiên này (được sử dụng cho kết nối thứ cấp bởi những cổng mở, động khi máy trạm kết nối tới máy chủ FTP). Tuy nhiên, do chúng ta cần tắt bỏ bộ lọc ứng dụng này để thực hiện lệnh Auth TLS, do đó chúng ta sẽ thay thế bộ lọc ứng dụng FTP trên hệ thống tường lửa ISA bằng một bộ lọc khác. B ước 1
  3. Trước tiên bạn cần phải áp dụng ph ương pháp máy chủ FTP chỉ định các cổng ngẫu nhiên để có thể gỡ bỏ những cổng không cần thiết và kiểm soát những cổng đang được sử dụng. Sau đó, bạn cũng cần phải thông báo cho máy chủ FTP địa chỉ IP công cộng n ào thuộc về hệ thống tường lửa ISA. Bạn hãy thực hiện thao tác này trong cửa sổ cấu hình IIS. Để cài đặt cho những cổng tĩnh bạn phải thực hiện trên máy chủ (không phải trên cấp độ website). Trong cửa sổ này, click đúp vào bi ểu tượng FTP Firewall Support. Trong cửa sổ FTP Firewall Support, bạn có thể nhập bất kì vùng cổng nào. Ví dụ nhập vào vùng 5000-5003 rồi nhấn nút Apply. Bước 2 Sau đó chúng ta phải cài đặt địa chỉ IP trên cấp độ website. Mở rộng mục Sites
  4. rồi click vào Default Web Site. Ti ếp theo click vào biểu tượng FTP Firewall Support. Nhập tên địa chỉ IP công cộng vừa sử dụng trong FTP Server Publishing Rule của hệ thống tường lửa ISA, rồi nhấn Apply. Lưu ý: Khi nhấn nút Apply mà những cài đặt vừa thực hiện không đ ược áp dụng bạn hãy khởi chạy lại dịch vụ Microsoft FTP Service từ Service Management Console. Bước 3 Thao tác cuối cùng cần thực hiện là cấu hình cho FTP Server Publishing Rule trên hệ thống tường lửa ISA. Tại đây chúng ta sẽ bổ sung thêm vùng cổng có
  5. chức năng như những cổng kết nối chính. Khi hiệu chỉnh FTP Server Publishing Rule, bạn sẽ không thể hiệu chỉnh Parameters. Đó là do định nghĩa giao thức mặc định và Microsoft không cho phép người dùng thay đổi những định nghĩa này. Để giải quyết vấn đề này, chúng ta sẽ tạo Protocol Definition riêng cho máy chủ FTPS. Bạn hãy chọn tab Traffic rồi click New.
  6. Nhập tên cho Protocol Definition trên trang Welcome to the New Protocol Definition Wizard. Giả sử nhập tên là FTPS (bạn có thể nhập tên tùy thích). Rồi nhấn nút Next.
  7. Tiếp theo click nút New trên trang Primary Connection Information. Trong hộp thoại New/Edit Protocol Connection, lựa chọn TCP cho loại giao thức Protocol. Lựa chọn giá trị cho Direction l à Inbound, và cài đặt vùng Port Range với giá trị From là 21 và To là 21. Thực hiện xong nhấn OK. Click lại nút New trên trang Primary Connection Information. Đặt loại Protocol là TCP. L ựa chọn Inbound cho Direction và đặt giá trị cho trường From là 5000 và To là 5003 trong vùng Port Range.
  8. Sau đó bạn sẽ thấy kết nối chính mới trên trang Primary Connection Information. Click Next. Trên trang Secondary Connections l ựa chọn radio No rồi click Next.
  9. Click nút Finish trên trang Completing the New Protocol Definition Wizard. Trên tab Traffic, bạn sẽ thấy hai Protocol Definition hiển thị trong danh sách thả xuống Allow network traffic using the following protocol (cho phép l ưu lượng mạng sử dụng giao thức sau).
  10. Click Apply để lưu những thay đổi và cập nhật cài đặt tường lửa. Sau đó click OK trong hộp thoại Saving Configuration Changes.
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2