Đang tải... (xem toàn văn)
Tìm hiểu về tường lửa FIREWALL
Mục lục An toàn thông tin mạng 2 Các dịch vụ Internet 26 HÖ thèng Firewall x©y dùng bëi CSE 33 1 An toàn thông tin mạng 1.1 Tại cần có Internet Firewall Hiện nay, khái niệm mạng toàn cầu - Internet không mẻ Nó đà trở nên phổ biến tới mức không cần phải giải thêm tạp chí kỹ thuật, tạp chí khác tràn ngập viết dài, ngắn Internet Khi tạp chí thông thờng trọng vào Internet đây, tạp chí kỹ thuật lại tập trung vào khía cạnh khác: an toàn thông tin Đó trình tiến triển hợp logic: vui thích ban đầu siêu xa lộ thông tin, bạn định nhận thấy không cho phép bạn truy nhập vào nhiều nơi giới, Internet cho phép nhiều ngời không mời mà tự ý ghé thăm máy tính bạn Thực vậy, Internet cã nh÷ng kü tht tut vêi cho phÐp mäi ngêi truy nhập, khai thác, chia sẻ thông tin Những nguy dẫn đến thông tin bạn bị h hỏng phá huỷ hoàn toàn Theo sè liƯu cđa CERT(Computer Emegency Response Team - “§éi cÊp cứu máy tính), số lợng vụ công Internet đợc thông báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, 2241 vào năm 1994 Những vụ công nhằm vào tất máy tính có mặt Internet, máy tính tất công ty lớn nh AT&T, IBM, trờng đại học, quan nhà nớc, tổ chức quân sự, nhà băng Một số vụ công có quy mô khổng lồ (có tới 100.000 máy tính bị công) Hơn nữa, số phần tảng băng Một phần lớn vụ công không đợc thông báo, nhiều lý do, kể lo bị uy tín, đơn giản ngời quản trị hệ thống không hay biết công nhằm vào hệ thống họ Không số lợng công tăng lên nhanh chóng, mà phơng pháp công liên tục đợc hoàn thiện Điều phần nhân viên quản trị hệ thống đợc kết nối với Internet ngày đề cao cảnh giác Cũng theo CERT, công thời kỳ 1988-1989 chủ yếu đoán tên ngời sử dụng-mật (UserID-password) sử dụng số lỗi chơng trình hệ điều hành (security hole) làm vô hiệu hệ thống bảo vệ, nhiên công vào thời gian gần bao gồm thao tác nh giả mạo địa IP, theo dõi thông tin truyền qua mạng, chiếm phiên làm việc từ xa (telnet rlogin) 1.2 Bạn muốn bảo vệ gì? Nhiệm vụ Firewall bảo vệ Nếu bạn muốn xây dựng firewall, việc bạn cần xem xét bạn cần bảo vệ 1.2.1 Dữ liệu bạn Những thông tin lu trữ hệ thống máy tính cần đợc bảo vệ yêu cầu sau: Bảo mật: Những thông tin có giá trị kinh tế, quân sự, sách vv cần đợc giữ kín Tính toàn vẹn: Thông tin không bị mát sửa đổi, đánh tráo Tính kịp thời: Yêu cầu truy nhập thông tin vào thời điểm cần thiết Trong yêu cầu này, thông thờng yêu cầu bảo mật đợc coi yêu cầu số thông tin lu trữ mạng Tuy nhiên, thông tin không đợc giữ bí mật, yêu cầu tính toàn vẹn quan trọng Không cá nhân, tổ chức lÃng phí tài nguyên vật chất thời gian để lu trữ thông tin mà tính đắn thông tin 1.2.2 Tài nguyên bạn Trên thực tế, công Internet, kẻ công, sau đà làm chủ đợc hệ thống bên trong, sử dụng máy để phục vụ cho mục đích nh chạy chơng trình dò mật ngời sử dụng, sử dụng liên kết mạng sẵn có để tiếp tục công hệ thống khác vv 1.2.3 Danh tiếng bạn Nh đà nêu, phần lớn công không đợc thông báo rộng rÃi, nguyên nhân nỗi lo bị uy tín quan, đặc biệt công ty lớn quan quan trọng máy nhà nớc Trong trờng hợp ngời quản trị hệ thống đợc biết đến sau hệ thống đợc dùng làm bàn đạp để công hệ thống khác, tổn thất uy tín lớn để lại hậu lâu dài 1.3 Bạn muốn bảo vệ chống lại gì? Còn bạn cần phải lo lắng Bạn phải đơng đầu với kiểu công Internet kẻ thực chúng? 1.3.1 Các kiểu công Có nhiều kiểu công vào hệ thống, có nhiều cách để phân loại kiểu công đây, chia thành kiĨu chÝnh nh sau: 1.3.1.1 TÊn c«ng trùc tiÕp Những công trực tiếp thông thờng đợc sử dụng giai đoạn đầu để chiếm đợc quyền truy nhập bên Một phơng pháp công cổ điển dò cặp tên ngời sử dụng-mật Đây phơng pháp đơn giản, dễ thực không đòi hỏi điều kiện đặc biệt để bắt đầu Kẻ công sử dụng thông tin nh tên ngời dùng, ngày sinh, địa chỉ, số nhà vv để đoán mật Trong trờng hợp có đợc danh sách ngời sử dụng thông tin môi trờng làm việc, có trơng trình tự động hoá việc dò tìm mật trơng trình dễ dàng lấy đợc từ Internet để giải mật đà mà hoá hệ thống unix có tên crack, có khả thử tổ hợp từ từ điển lớn, theo quy tắc ngời dùng tự định nghĩa Trong số trờng hợp, khả thành công phơng pháp lên tới 30% Phơng pháp sử dụng lỗi chơng trình ứng dụng thân hệ điều hành đà đợc sử dụng từ vụ công đợc tiếp tơc ®Ĩ chiÕm qun truy nhËp Trong mét sè trêng hợp phơng pháp cho phép kẻ công có đợc quyền ngời quản trị hệ thống (root hay administrator) Hai ví dụ thờng xuyên đợc đa để minh hoạ cho phơng pháp ví dụ với chơng trình sendmail chơng trình rlogin hệ điều hành UNIX Sendmail chơng trình phức tạp, với mà nguồn bao gồm hàng ngàn dòng lệnh ngôn ngữ C Sendmail đợc chạy với quyền u tiên ngời quản trị hệ thống, chơng trình phải có quyền ghi vào hộp th ngời sử dụng máy Và Sendmail trực tiếp nhận yêu cầu th tín mạng bên Đây yếu tố làm cho sendmail trở thành nguồn cung cấp lỗ hổng bảo mật để truy nhËp hƯ thèng Rlogin cho phÐp ngêi sư dơng tõ máy mạng truy nhập từ xa vào máy khác sử dụng tài nguyên máy Trong trình nhận tên mật ngời sử dụng, rlogin không kiểm tra độ dài dòng nhập, kẻ công đa vào xâu đà đợc tính toán trớc để ghi đè lên mà chơng trình rlogin, qua chiếm đợc quyền truy nhËp 1.3.1.2 Nghe trém ViƯc nghe trém th«ng tin mạng đa lại thông tin có ích nh tên-mật ngời sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thờng đợc tiến hành sau kẻ công đà chiếm đợc quyền truy nhập hệ thống, thông qua chơng trình cho phép đa vỉ giao tiếp mạng (Network Interface Card-NIC) vào chế độ nhận toàn thông tin lu truyền mạng Những thông tin dễ dàng lấy đợc Internet 1.3.1.3 Giả mạo địa Việc giả mạo địa IP đợc thực thông qua việc sử dụng khả dẫn đờng trực tiếp (source-routing) Với cách công này, kẻ công gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thờng địa mạng máy đợc coi an toàn mạng bên trong), đồng thời rõ đờng dẫn mà gói tin IP phải gửi 1.3.1.4 Vô hiệu hoá chức hệ thống (denial of service) Đây kểu công nhằm tê liệt hệ thống, không cho thực chức mà thiết kế Kiểu công ngăn chặn đợc, phơng tiện đợc tổ chức công phơng tiện để làm việc truy nhập thông tin mạng Ví dụ sử dụng lệnh ping với tèc ®é cao nhÊt cã thĨ, bc mét hƯ thèng tiêu hao toàn tốc độ tính toán khả mạng để trả lời lệnh này, không tài nguyên để thực công việc có ích khác 1.3.1.5 Lỗi ngời quản trị hệ thống Đây kiểu công kẻ đột nhập, nhiên lỗi ngời quản trị hệ thống thờng tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội 1.3.1.6 Tấn công vào yếu tố ngời Kẻ công liên lạc với ngời quản trị hệ thống, giả làm ngời sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phơng pháp công khác Với kiểu công không thiết bị ngăn chặn cách hữu hiệu, có cách giáo dục ngời sử dụng mạng nội yêu cầu bảo mật để đề cao cảnh giác với tợng đáng nghi Nói chung yếu tố ngời điểm yếu hệ thống bảo vệ nào, có giáo dục cộng với tinh thần hợp tác từ phía ngời sử dụng nâng cao đợc độ an toàn hệ thống bảo vệ 1.3.2 Phân loại kẻ công Có nhiều kẻ công mạng toàn cầu Internet phân loại chúng cách xác, phân loại kiểu nên đợc xem nh giới thiệu cách nhìn rập khuôn 1.3.2.1 Ngời qua đờng Ngời qua đờng kẻ buồn chán với công việc thờng ngày, họ muốn tìm trò giải trí Họ đột nhập vào máy tính bạn họ nghĩ bạn có liệu hay, họ cảm thấy thích thú sử dụng máy tính ngời khác, đơn giản họ không tìm đợc việc hay để làm Họ ngời tò mò nhng không chủ định làm hại bạn Tuy nhiên, họ thờng gây h hỏng hệ thống đột nhập hay xoá bỏ dấu vết họ 1.3.2.2 Kẻ phá hoại Kẻ phá hoại chủ định phá hoại hệ thống bạn, họ không thích bạn, họ bạn nhng họ tìm thấy niềm vui phá hoại Thông thờng, Internet kẻ phá hoại Mọi ngời không thích họ Nhiều ngời thích tìm chặn đứng kẻ phá hoại Tuy nhng kẻ phá hoại thờng gây hỏng trầm trọng cho hệ thống bạn nh xoá toàn liệu, phá hỏng thiết bị máy tính bạn 1.3.2.3 Kẻ ghi điểm Rất nhiều kẻ qua đờng bị hút vào việc đột nhập, phá hoại Họ muốn đợc khẳng định thông qua số lợng kiểu hệ thống mà họ đà đột nhập qua Đột nhập đợc vào nơi tiếng, nơi phòng bị chặt chẽ, nơi thiết kế tinh xảo có giá trị nhiều điểm họ Tuy nhiên họ công tất nơi họ có thể, với mục đích số lợng nh mục đích chất lợng Những ngời không quan tâm đến thông tin bạn có hay đặc tính khác tài nguyên bạn Tuy nhiên để đạt đợc mục đích đột nhập, vô tình hay hữu ý họ làm h hỏng hệ thống bạn 1.3.2.4 Gián điệp Hiện có nhiều thông tin quan trọng đợc lu trữ máy tính nh thông tin quân sự, kinh tế Gián điệp máy tính vấn đề phức tạp khó phát Thực tế, phần lớn tổ chức phòng thủ kiểu công cách hiệu bạn đờng liên kết với Internet đờng dễ để gián điệp thu lợm thông tin 10 2.10.3.3 Telnet vµ rlogin Nãi chung truy cËp tíi bastion host nên bị cấm, ngời quản trị có quyền login Thông thờng để chạy proxy, chơng trình telnet rlogin chạy cổng chuẩn chúng Có cách giải vấn đề này: Chạy telnet rloggin proxy cổng chuẩn với telnet rlogin cổng khác bảo vệ truy cập tới chóng b»ng netacl Cho phÐp login chØ víi thiÕt bị đầu cuối Dùng netacl để chuyển đổi tuỳ thuộc vào điểm xuất phát kết nối, dựa proxy để thực kết nối thực Cách giải qut ci cïng rÊt tiƯn lỵi nhng cho phÐp mäi ngời có quyền dùng proxy để login vào bastion host Nếu bastion host sử dụng xác thực mức cao để qu¶n lý truy cËp cđa ngêi dïng, sù rđi ro việc công vào hệ bastion host đợc giảm thiểu để cấu hình hệ thống trớc hết, tất thiết bị đợc nối vào hệ thống qua netacl dùng gọi chơng trình server hay proxy server tuỳ thuộc vào nơi xuất phát kết nối Ngời quản trị muốn vào bastion host trớc hết phải kết nối vào netacl sau lệnh kết nối vào bastion host Việc đơn giản số telnet rlogin không làm việc không đợc kết nối vào cổng netacl-telnetd: permit-hosts 127.0.0.1 -exec /etc/telnetd netacl-telnetd: permit-hosts myaddress -exec /etc/telnetd netacl-telnetd: permit-hosts * -exec /usr/proxy/bin/tn-gw netacl-rlogin: permit-hosts 127.0.0.1 -exec /etc/rlogin netacl-rlogin: permit-hosts myaddress -exec /etc/rlogin 47 netacl-rlogin: 2.10.3.4 permit-hosts * -exec /usr/proxy/bin/rlogin-gw Sql-net proxy Giả thiết có hai CSDL STU nằm máy 190.2.2.3 VPCP nằm máy 190.2.0.4 Để cấu hình cho sql-net proxy, phải tiến hành bớc nh sau: 2.10.3.4.1 Cấu hình firewall Đặt cấu hình cho tÖp netperms nh sau: #Oracle proxy for STU Database ora_stu1: timeout 3600 ora_stu1: port 1521 * -plug-to 190.2.2.3 -port 1521 ora_stu2: timeout 3600 ora_stu2: port 1526 * -plug-to 190.2.2.3 -port 1526 #Oracle proxy for VBPQ Database ora_vpcp1: timeout 3600 ora_vpcp1: port 1421 * -plug-to 190.2.0.4 -port 1521 ora_vpcp2: timeout 3600 ora_vpcp2: port 1426 * -plug-to 190.2.0.4 -port 1526 Đặt l¹i tƯp /etc/services nh sau: #Oracle Proxy for STU Database 48 ora_stu1 1521/tcp oracle proxy ora_stu2 1526/tcp oracle proxy #Oracle Proxy for VBPQ Database ora_vpcp1 1421/tcp oracle proxy ora_vpcp2 1426/tcp oracle proxy Đặt lại tệp /etc/inetd.conf nh sau: #Oracle Proxy for VBPQ Database ora_stu1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu1 ora_stu2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_stu2 #Oracle Proxy for VBPQ Database ora_vpcp1 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp1 ora_vpcp2 stream tcp nowait root /usr/proxy/bin/plug-gw ora_vpcp2 Đặt lại tÖp /etc/syslog.conf nh sau: #Logfile for Sql-gw “sql-gw” 2.10.3.4.2 /usr/proxy/log/plug-gw Cấu hình máy trạm Đặt lại oracle_home\network\admin\tnsnames.ora nh sau: 49 tÖp #Logfile for Sql-gw stu.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1521) ) (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1526) ) ) (CONNECT_DATA = (SID = STU) ) ) vpcp.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1421) ) 50 (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1426) ) ) (CONNECT_DATA = (SID = ORA1) ) ) Bạn dễ dàng mở rộng cho nhiều CSDL khác nằm nhiều máy khác 2.10.3.5 Các dịch vụ khác Tơng tự nh ví dụ cấu hình cho dịch vơ kh¸c khai b¸o file netperms: # finger gateway rules: # netacl-fingerd: permit-hosts 190.2.* ws1 -exec /etc/fingerd netacl-fingerd: deny-hosts * -exec /bin/cat /usr/proxy/etc/finger.txt # http gateway rules: # netacl-httpd: permit-hosts * -exec /usr/proxy/bin/http-gw http-gw: timeout 3600 #http-gw: denial-msg /usr/proxy/etc/http-deny.txt #http-gw: welcome-msg /usr/proxy/etc/http-welcome.txt #http-gw: help-msg /usr/proxy/etc/http-help.txt 51 http-gw: permit-hosts 190.2.* 10.* 192.2.0.* -log { all } http-gw: deny-hosts 220.10.170.32 ws1 http-gw: default-httpd hpnt # # smap (E-mail) rules: # -smap, smapd: userid root smap, smapd: directory /usr/spool/mail smapd: executable /usr/proxy/bin/smapd smapd: sendmail /usr/lib/sendmail smap: timeout 3600 # Ngoµi ra, CSE Firewall có dịch vụ socks để kiểm soát phần mềm ứng dụng đặc biệt nh Lotus Notes Cần phải thêm vào file cấu hình hệ thống nh sau: File /etc/services: socks 1080/tcp File /etc/inetd.conf: socks stream tcp nowait root /etc/sockd sockd Cấu hình quy tắc cho dịch vụ nằm file /etc/sockd.conf, có hai từ khoá cần phải quan tâm permit deny phép hay không host qua, dịch vụ không kết hợp với dịch vụ xác thực Địa IP Netmask đặt file gièng nh víi lƯnh dÉn ®êng route cđa UNIX permit 190.2.0.0 255.255.0.0 permit 10.10.170.50 255.255.255.255 permit 10.10.170.40 255.255.255.255 52 permit 10.10.170.31 255.255.255.255 deny 0.0.0.0 0.0.0.0 : mail -s 'SOCKD: rejected from %u@%A to host %Z (service %S)' root 2.10.4 Xác thực dịch vụ xác thực Bộ Firewall chứa chơng trình server xác thực đợc thiết kế để hỗ trợ chế phân quyền Authsrv chứa sở liệu ngời dùng mạng, ghi t¬ng øng víi mét ngêi dïng, chøa c¬ chÕ xác thực cho anh ta, bao gồm tên nhóm, tên đầy đủ ngời dùng, lần truy cập Mật không mà hoá (Plain text password) đợc sử dụng cho ngời dùng mạng để việc quản trị đợc đơn giản Mật không mà hoá không nên dùng với ngòi sử dụng từ mạng bên Authsrv đợc chạy host an toàn thông thờng bastion host Để đơn giản cho việc quản trị authsrv ngời quản trị sử dụng shell authmsg để quản trị sở liệu có cung cấp chế mà hoá liệu Ngời dùng sở liệu authsrv đợc chia thành nhóm khác đợc quản trị quản trị nhóm ngời có toàn quyền nhóm việc thêm, bớt ngời dùng Điều thuận lợi nhiều tổ chức dùng chung Firewall Để cấu hình authsrv, cần xác định cổng TCP trống thêm vào dòng vào inetd.conf để gọi authsrv có yêu cầu kết nối Authsrv tiến trình deamon chạy liên tục, chơng trình đợc gọi có yêu cầu chứa CSDL để tránh rủi ro Thêm authsrv vào inet.conf đòi hỏi tạo thêm điểm vào /etc/services Vì authsrv không chấp nhận tham số, mà phải thêm vào inetd.conf services dòng nh sau: 53 Trong /etc/services: authsrv 7777/tcp Trong /etc/inetd.conf: authsrv stream tcp nowait root /usr/proxy/bin/authsrv authsrv Cỉng dÞch vụ dùng cho authsvr đợc dùng để đặt cấu hình cho ứng dụng client có sử dụng dịch vụ xác thực Dịch vụ xác thực không cần áp dụng cho tất dịch vụ hay tất c¸c client #Example ftp gateway rules: ftp-gw: authserver local host 7777 ftp-gw: denial-msg /usr/proxy/etc/ftp-deny.txt ftp-gw: welcome-msg /usr/proxy/etc/ftp-welcome.txt ftp-gw: help-msg /usr/proxy/etc/ftp-help.txt ftp-gw: permit-host 192.33.112.100 ftp-gw: permit-host 192.33.112.* -log {retr stor} -auth {stor} ftp-gw: permist-host * -authall ftp-gw: timeout 36000 Trong vÝ dụ trên, xác thực dùng với FTP proxy Dòng định nghĩa địa mạng cổng dịch vụ chơng trình xác thực Dòng permist-host cho thấy số mềm dẻo hệ thống xác thực, host đợc lựa chọn để chịu chế xác thực, ngời dùng từ host truy cËp tù tíi mäi dÞch vơ cđa proxy Permist-host thứ đòi hỏi xác thực hệ thống mạng 192.33.112 muốn truyền với -auth {store} thao tác FTP bị khoá tới ngời dùng hoàn thành việc xác thực với server Khi đó, lệnh đợc mở khoá ngời dùng vào 54 hệ thống Ví dụ cuối định nghĩa ngời cã thĨ nèi víi server nhng tríc hÕt hä ph¶i đợc xác thực Authsrv server phải đợc cấu hình để biết máy đợc cho phép kết nối Điều cấm tất cố gắng truy nhập bất hợp pháp vào server từ server không chạy phần mềm xác thực Trong Firewall authsrv chạy bastion host với proxy Nếu hệ thống đòi hỏi truy cập, client server coi local host nh địa truyền thông Cấu hình authsrv định nghĩa vận hành CSDL client hỗ trợ #Example authhsrv rules: authsrv: database /usr/proxy/bin/authsrv.db authsrv: permit-host localhost authsrv: permit-host 192.5.214 32 Trong vÝ dơ trªn, đờng dẫn tới CSDL định nghĩa host đợc nhËn Chó ý CSDL ë trªn hƯ thèng đợc bảo vệ đợc bảo vệ nghiêm ngặt chế truy cập file Bảo vệ CSDL quan trọng nên để CSDL bastion host Lối vµo thø lµ mét vÝ dơ vỊ client sư dụng mà hoá DES truyền thông với authsrv Khoá mà chứa tệp cấu hình đòi hỏi file cấu hình phải đợc bảo vệ Nói chung, việc mà hoá không cần thiết Kết việc mà hoá cho phép quản trị quản lý sở liệu xác thực từ trạm làm việc Luồng liệu cần phải bảo vệ ngời quản trị mạng đặt lại mật qua mạng cục bộ, hay quản lý sở liệu xác thực qua mạng diện rộng Duy trì CSDL xác thực dựa vào công cụ authload authdump để load dump CSDL xác thực Ngời quản trị 55 nên chạy authdump crontab tạo dạng ASCII CSDL để tránh trờng hợp xấu CSDL bị hỏng hay bị xoá Authsrv quản lý nhóm mềm dẻo, quản trị nhóm ngời dùng thành nhóm dùng group wiz, ngời có quyền quản trị nhóm xoá, thêm, tạo sửa ghi nhóm, cho phÐp hay cÊm ngêi dïng, thay ®ỉi password cđa mật user nhóm Quản trị nhóm không thay đổi đợc ngời dùng nhóm khác, tạo nhóm hay thay đổi quan hệ nhóm Quản trị nhóm có quyền hạn nhóm Việc có ích tổ chøc cã nhiỊu nhãm lµm viƯc cïng sư dơng Firewall T¹o mét ngêi sư dơng b»ng lƯnh “adduser” adduser mrj Marcus J Ranum Khi user record đợc tạo cha đợc hoạt động ngời sử dụng cha thể login Trớc ngời sử dụng login, quản trị mạng thay đổi mật số hiệu nhãm cđa ngêi sư dơng ®ã group users mjr password “whumpus” mjr proto SecurID mjr enable mjr Khi mét user record tạo ngời quản trị nhóm, thừa hëng sè hiĐu nhãm cịng nh giao thøc x¸c thùc User record cã thĨ xem bëi lƯnh “display” hay “list” Ví dụ phiên làm việc với Authmsg: %-> authmgs Connected to server authmgr-> login 56 Username: wizard Challenge “200850” : 182312 Logged in authmgs-> disp wizard Report for user wizard (Auth DBA) Last authenticated: Fri Oct 17:11:07 1993 Authentication protocol: Snk Flags: WIZARD authmgr-> list Report for user in database user group longname flags proto last - - - - - wizard users Auth DBA avolio users Fred Avolio y W y SnkFri Oct passwd 17:02:56 1993 Fri Sep 24 10:52:14 1993 rnj 1993 users Robert N Jesse y passwd mjr users Marcus J Ranum y none ri Oct authmgr-> adduser dalva “Dave dalva” ok - user added initially disable authmgr-> enable dalva enabled authmgr-> group dalva users set group authmgr-> proto dalva Skey changed authmgr-> disp dalva Report for user dalva, group users (Dave Dalva) Authentication protocol: Skey Flags: none authmgr-> password dalva 57 Wed Sep 29 18:35:45 17:02:10 1993 Password: ####### Repeat Password: ####### ID dalva s/key is 999 sol32 authmgr-> quit Trong ví dụ quản trị nối vào authsrv qua mạng sử dụng giao diện authmsg sau xác thực user record hiển thị thời gian xác thực Sau login, list CSDL user, tạo ngời dùng, đặt password, enable đa vào nhóm Khởi tạo CSDL Authsrv: # authsrv -administrator modeauthsrv# list Report for user in database user group longname flags proto last - - - - - authsrv# adduser admin ‘Auth DBA’ ok - user added initially disable authsrv# enable admin enabled authsrv# superwiz admin set wizard authsrv# proto admin Snk changed authsrv# pass ‘160 270 203 065 022 034 232 162’ admin Secret key changed authsrv# list Report for user in database user group longname flags 58 roto last admin - -Auth DBA - - y W Snk never authsrv# quit Trong ví dụ, CSDL đợc tạo với record cho ngời quản trị Ngời quản trị đợc gán quyền, gán protocol xác thực 2.10.5 Sử dụng hình điều khiển CSE Proxy: Sau cài đặt xong, login vào user proxy hình điều khiển nên menu chức để ngời quản trị cã thÓ lùa chän PROXY SERVICE MENU Configuration View TELNET log View FTP log View HTTP log View E-MAIL log View AUTHENTICATE log View FINGER log View RLOGIN log View SOCKD log a Report b Authentication c Change system time d Change password e Shutdown q Exit 59 Select option> _ Con số hay chữ thể phím bấm để thực chức Sau chức thực xong xuất thông báo Press ENTER to continue chờ phím Enter đợc bấm để trở lại hình điều khiển 2.10.5.1 Configuration Chức cho phép soạn thảo trực tiếp tới file cấu hình proxy Trong file chứa quy tắc dịch vụ nh netacl, ftp-gw, tn-gw Cú pháp quy tắc đà đợc mô tả phần Sau sử đổi quy tắc chọn chức Save quy tắc đợc áp dụng Chú ý: Bộ soạn thảo văn để soạn thảo file cầu hình có phím chức tơng tự nh chức soạn thảo Turbo Pascal 3.0 (Các chức cần thiết thấy Status Bar dòng cuối hình) Đối với số trờng hợp soạn thảo không hoạt động chơng trình soạn thảo vi UNIX đợc dïng ®Ĩ thay thÕ 2.10.5.2 View TELNET log Chøc xem nội dung nhật ký tn-gw Nhật ký ghi lại toàn truy nhập qua proxy dịch vụ tn-gw Đối với dịch vụ khác nh ftp-gw, http-gw dợc ghi lại nhật ký theo dõi chức tơng tự (Xem mục dới đây) 2.10.5.3 View FTP log Chức xem nội dung nhật ký ftp-gw 60 2.10.5.4 View HTTP log Chức xem nội dung nhËt ký cña http-gw 2.10.5.5 View E-MAIL log Chøc xem nội dung nhật ký dịch vụ email 2.10.5.6 View AUTHENTICATE log Chức xem nội dung nhật ký dịch vụ xác thực 2.10.5.7 View FINGER log Chức xem nội dung nhật ký finger 2.10.5.8 View RLOGIN log Chức xem nội dung nhËt ký cña rlogin-gw 2.10.5.9 View SOCKD log Chức xem nội dung nhật ký sockd 2.10.5.10 a Report Chức làm báo cáo thống kê tất dịch vụ khoảng thời gian định Đầu tiên hình lên lịch để chọn khoảng thời gian muốn làm báo c¸o Sau tÝnh to¸n xong b¸o c¸o Ngêi sư dụng phải chọn đầu báo cáo gồm : xem (đa hình), save (ra đĩa mềm) hay print (in máy in gắn trùc tiÕp víi m¸y server) NÕu mn in tõ c¸c máy in khác ta đa đĩa mềm in tệp từ trạm làm việc Fri May 10:39:13 1998 Apr May Jun 61 ... 10 1.4 Vậy Internet Firewall gì? 1.4.1 Định nghĩa Thuật ngữ Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall kỹ thuật... số thông tin khác không mong muốn Cũng hiểu Firewall chế để bảo vệ mạng tin tởng (trusted network) khỏi mạng không tin tởng (untrusted network) Internet Firewall thiết bị (phần cứng+phần mềm)... Internet bên 1.4.2 Chức Internet Firewall (từ sau gọi tắt firewall) thành phần đặt Intranet Internet để kiểm soát tất việc lu thông truy cập chúng với bao gồm: ã Firewall định dịch vụ từ bên đợc
