3. H thng Firewall xây dng bi CSE B chng trình Firewall 1.0 ca CSE c a ra vào tháng 6/1998. B chng trình này g)m hai thành phn:  B l c gói tin – IP Filtering  B chng trình cng ng dng – proxy servers Hai thành phn này có th hot ng mt cách riêng r0. Chúng c#ng có th kt hp li vi nhau  tr thành mt h th(ng firewall hoàn ch"nh. Trong tp tài liu này, chúng tôi ch"  cp n b chng trình cng ng dng ã c cài &t ti VPCP. 38 3.1 Tng quan B chng trình proxy ca CSE (phiên bn 1.0) c phát trin da trên b công c xây dng Internet Firewall TIS (Trusted Information System) phiên bn 1.3. TIS bao g)m mt b các chng trình và s &t li cu hình h th(ng  nh!m mc ích xây dng mt Firewall. B chng trình c thit k  chy trên h UNIX s dng TCP/IP vi giao din socket Berkeley. Vic cài &t b chng trình proxy òi h%i kinh nghim qun lý h th(ng UNIX, và TCP/IP networking. T(i thiu, ngi qun tr mng firewall phi quen thuc vi:  vic qun tr và duy trì h th(ng UNIX hot ng  vic xây dng các package cho h th(ng S khác nhau khi &t cu hình cho h th(ng quyt nh mc  an toàn mng khác nhau. Ngi cài &t firewall phi hiu rõ yêu cu v  an toàn ca mng cn bo v, nm chc nhng ri ro nào là chp nhn c và không chp nhn c, thu lm và phân tích chúng t- nhng òi h%i ca ngi dùng. B chng trình proxy c thit k cho mt s( cu hình firewall, trong ó các dng c bn nht là dual-home gateway (hình 2.4), screened host gateway(hình 2.5), và screened subnet gateway(hình 2.6). Nh chúng ta ã bit, trong nhng cu trúc firewall này, yu t( cn bn nht là bastion host, óng vai trò nh mt ngi chuyn tip thông tin (forwarder), ghi nht ký truyn thông, và cung cp các dch v. Duy trì  an toàn trên bastion host là cc k+ quan tr ng, bi vì ó là ni tp trung hu ht các c( gng cài &t mt h th(ng firewall. 39 3.2 Các thành phn ca b chng trình proxy: B chng trình proxy g)m nhng chng trình bc ng dng (application-level programs), ho&c là  thay th ho&c là c cng thêm vào phn mm h th(ng ã có. B chng trình proxy có nhng thành phn chính bao g)m:  Smap: dch v SMTP(Simple Mail Tranfer Protocol)  Netacl: dch v Telnet, finger, và danh mc các iêu khin truy nhp mng  Ftp-Gw: Proxy server cho Ftp  Telnet-Gw: Proxy server cho Telnet  Rlogin-Gw: Proxy server cho rlogin  Plug-Gw: TCP Plug-Board Connection server (server kt n(i tc thi dùng th tc TCP) 3.2.1 Smap: Dch v SMTP SMTP c xây dng b!ng cách s dng c&p công c phn mm smap và smapd. Có th nói r!ng SMTP ch(ng li s e do ti h th(ng, bi vì các chng trình mail chy  mc  h th(ng  phân phát mail ti các hp th ca user. Smap và smapd thc hin iu ó b!ng cách cô lp chng trình mail, bt nó chy trên mt th mc dành riêng (restricted directory) qua chroot (thay i th mc g(c), nh mt user không có quyn u tiên. Mc ích ca smap là cô lp chng trình mail v(n ã gây ra rt nhiu l*i trên h th(ng. Phn ln các công vic x lý mail thng c 40 thc hin bi chng trình sendmail. Sendmail không yêu cu mt s thay i hay &t li cu hình gì c. Khi mt h th(ng  xa n(i ti mt cng SMTP, h iu hành khi ng smap. Smap lp tc chroot ti th mc dành riêng và &t user-id  mc bình thng (không có quyn u tiên). Bi vì smap không yêu cu h* tr bi mt file h th(ng nào c, th mc dành riêng ch" cha các file do smap to ra. Do vy, bn không cn phi lo s là smap s0 thay i file h th(ng khi nó chroot. Mc ích duy nht ca smap là (i thoi SMTP vi các h th(ng khác, thu lm thông báo mail, ghi vào a, ghi nht ký, và thoát. Smapd có trách nhim thng xuyên quét th mc kho ca smap và a ra các thông báo ã c xp theo th t (queued messages) ti sendmail  cu(i cùng phân phát. Chú ý r!ng nu sendmail c &t cu hình  mc bình thng, và smap chy vi uucp user-id (?), mail có th c phân phát bình thng mà không cn smapd chy vi mc u tiên cao. Khi smapd phân phát mt thông báo, nó xoá file cha thông báo ó trong kho. Theo ý ngha này, sendmail b cô lp, và do ó mt user l trên mng không th kt n(i vi sendmail mà không qua smap. Tuy nhiên, smap và smapd không th gii quyt vn  gi mo th ho&c các loi tn công khác qua mail. Smap có kích thc rt nh% so vi sendmail (700 dòng so vi 20,000 dòng) nên vic phân tích file ngu)n  tìm ra l*i n gin hn nhiu. 3.2.2 Netacl: công c iu khin truy nhp mng Chúng ta ã bit r!ng inetd không cung cp mt s iu khin truy nhp mng nào c: nó cho phép bt k+ mt h 41 th(ng nào trên mng c#ng có th n(i ti các dch v lit kê trong file inetd.conf. Netacl là mt công c  iu khin truy nhp mng, da trên a ch" network ca máy client, và dch v c yêu cu. Vì vy mt client (xác nh bi a ch" IP ho&c hostname) có th khi ng telnetd (mt version khác ca telnet) khi nó n(i vi cng dch v telnet trên firewall. Thng thng trong các cu hình firewall, netacl c s dng  cm tt c các máy tr- mt vài host c quyn login ti firewall qua ho&c là telnet ho&c là rlogin, và  khoá các truy nhp t- nhng k tn công.  an toàn ca netacl da trên a ch" IP và/ho&c hostname. Vi các h th(ng cn  an toàn cao, nên dng a ch" IP  tránh s gi mo DNS. Netacl không ch(ng li c s gi a ch" IP qua chuyn ngu)n (source routing) ho&c nhng phng tin khác. Nu có các loi tn công nh vy, cn phi s dng mt router có kh nng soi nhng packet ã c chuyn ngu)n (screening source routed packages). Chú ý là netacl không cung cp iu khin truy nhp UDP, bi vì công ngh hin nay không m bo s xác thc ca UDP. An toàn cho các dch v UDP  ây )ng ngha vi s không cho phép tt c các dch v UDP. Netacl ch" bao g)m 240 dòng mã C (c gii thích) cho nên rt d1 dàng kim tra và hiu ch"nh. Tuy nhiên v$n cn phi c,n thn khi cu hình nó. 3.2.3 Ftp-Gw: Proxy server cho Ftp Ftp-Gw là mt proxy server cung cp iu khin truy nhp mng da trên a ch" IP và/ho&c hostname, và cung cp 42 iu khin truy nhp th cp cho phép tu+ ch n khoá ho&c ghi nht ký bt k+ lnh ftp nào. ích cho dch v này c#ng có th tu+ ch n c phép hay khoá. Tt c các s kt n(i và byte d liu chuyn qua u b ghi nht kí li. Ftp-Gw t bn thân nó không e do an toàn ca h th(ng firewall, bi vì nó chy chroot ti mt th mc r*ng, không thc hin mt th tc vào ra file nào c ngoài vic  c file cu hình ca nó. Kích thc ca Ftp-gw là khong 1,300 dòng. Ftp gateway ch" cung cp dch v ftp, mà không quan tâm n ai có quyn hay không có quyn kt xut (export) file. Do vy, vic xác nh quyn phi c thit lp trên gateway và phi thc hin trc khi thc hin kt xut (export) hay nhp (import) file. Ftp gateway nên c cài &t da theo chính sách an toàn ca mng. B chng trình ngu)n cho phép ngi qun tr mng cung cp c dch v ftp và ftp proxy trên cùng mt h th(ng. 3.2.4 Telnet-Gw: Proxy server cho Telnet Telnet-Gw là mt proxy server cung cp iu khin truy nhp mng da trên a ch" IP và/ho&c hostname, và cung cp s iu khin truy nhp th cp cho phép tu+ ch n khoá bt k+ ích nào. Tt c các s kt n(i và byte d liu chuyn qua u b ghi nht ký li. M*i mt ln user n(i ti telnet-gw, s0 có mt menu n gin ca các ch n la  n(i ti mt host  xa. Telnet-gw không phng hi ti an toàn h th(ng, vì nó chy chroot n môt th mc dành riêng (restricted directory). File ngu)n bao g)m ch" 1,000 dòng lnh. Vic x lý menu là hoàn toàn di1n ra  trong b nh, và không 43 có môt subsell hay chng trình nào tham d. C#ng không có vic vào ra file ngoài vic  c cu hình file. Vì vy, telnet-gw không th cung cp truy nhp ti bn thân h th(ng firewall. 3.2.5 Rlogin-Gw: Proxy server cho rlogin Các terminal truy nhp qua th tc BSD rlogin có th c cung cp qua rlogin proxy. rlogin cho phép kim tra và iêu khin truy nhp mng tng t nh telnet gateway. Rlogin client có th ch" ra mt h th(ng  xa ngay khi bt u n(i vào proxy, cho phép hn ch yêu cu tng tác ca user vi máy (trong trng hp không yêu cu xác thc). 3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net Thông thng, vic khai thác thông tin t- CSDL Oracle c tin hành thông qua dch v WWW. Tuy nhiên  h* tr ngi s dng dùng chng trình plus33 n(i vào máy ch Oracle, b firewall ca CSE c a kèm vào chng trình Sql-net proxy. Vic kim soát truy nhp c thc hiu qua tên máy hay a ch" IP ca máy ngu)n và máy ích. 3.2.7 Plug-Gw: TCP Plug-Board Connection server Firewall cung cp các dch v thông thng nh Usernet news. Ngi qun tr mng có th ch n ho&c là chy dch v này trên bn thân firewall, ho&c là cài &t mt proxy server. Do chy news trc tip trên firewall d1 gây l*i h th(ng trên phn mm này, cách an toàn hn là s dng proxy. Plug-gw c thit k cho Usernet News. 44 Plug-gw có th c &t cu hình  cho phép hay t- ch(i mt s kt n(i da trên a ch" IP ho&c là hostname. Tt c s kt n(i và các byte d liu chuyn qua u c ghi nht ký li. 45 3.3 Cài t B cài &t g)m 2 a mm 1.44 Mb, R1 và R2. M*i b cài &t u có mt s( Serial number khác nhau và ch" hot ng c trên máy có hostname ã xác nh trc. Vic cài &t c tin hành bình thng b!ng cách dùng lnh custom. Khi cài &t, mt ngi s dng có tên là proxy c ng ký vi h th(ng  thc hin các chc nng qun lý proxy. Ngi cài &t phi &t mt kh,u cho user này. Mt th mc /usr/proxy c t ng thit lp, trong ó có các th mc con:  bin  cha các chng trình thc hin  etc  cha các tp cu hình Firewall và mt s( ví d các file cu hình ca h th(ng khi chy vi Firewall nh inetd.conf, services, syslog.conf  log  cha các tp nht ký  report  cha các tp báo cáo sau này. Vic &t cu hình và qun tr CSE Firewall u thông qua các chc nng trên menu khi login vào máy Firewall b!ng tên ngi s dng là proxy. Sau khi cài &t nên i tên nhng tp h th(ng và lu li trc khi &t cu hình:  /etc/inetd.conf  /etc/services  /etc/syslog.conf. 46 3.4 Thit lp cu hình: 3.4.1 Cu hình mng ban u Vi Firewall host-base Chúng ta có th chc chn vào vic mng c cài &t theo mt chính sách an toàn c la ch n nh!m ngn cn m i lu)ng thông tin không mong mu(n gia mng c bo v và mng bên ngoài. iu này có th c thc hin bi screening router hay dual-home gateway. Thông thng, các thit b mng u s dng c ch an toàn cài &t trên router ni mà m i liên kt u phi i qua. Mt iu cn quan tâm là trong khi ang cài &t, nhng máy ch công khai (Firewall bastion host) có th b tn công trc khi c ch an toàn ca nó c cu hình hoàn ch"nh  có th chy c. Do ó, nên cu hình tp inetd.conf  cm tt c các dch v mng t- ngoài vào và s dng thit b u cu(i  cài &t. Ti thi im ó, chúng ta có th quy nh nhng truy nhp gia mng c bo v và mng bên ngoài nào s0 b khoá. Tu+ theo mc ích, chúng ta có th ngn các truy nhp tu+ theo hng ca chúng. Chng trình c#ng cn c th nghim k càng trc khi s dng. Nu cn thit có th dùng chng trình /usr/proxy/bin/netscan  th kt n(i ti tt c máy tính trong mng con  kim tra. Nó s0 c( gng th l t qua Firewall theo m i hng  chc chn r!ng các truy nhp bt hp pháp là không th xy ra. Ngn cm truy nhp vào ra là cái ch(t trong c ch an toàn ca Firewall không nên s dng nu nó cha c cài &t và th nghim k l4ng. [...]... tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1521) ) (ADDRESS = (COMMUNITY = tcp.world) 55 (PROTOCOL = TCP) (Host = firewall) (Port = 1526) ) ) (CONNECT_DATA = (SID = STU) ) ) vpcp.world = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1421) ) (ADDRESS = (COMMUNITY = tcp.world) (PROTOCOL = TCP) (Host = firewall) (Port = 1426) ) ) (CONNECT_DATA... sendmail cho Firewall Vi c này không mô t trong tài li u này 3.4.3 Thi t l p t p h p quy t c Khi c u hình cho proxy server và ch ng trình i u khi n truy c p m ng i u c n thi t là thi t l p chính xác t p quy t c th hi n úng v i mô hình an toàn mong mu(n M t cách t(t b t u c u hình Firewall là i trong )ng th i c m t t c m i m ng s d ng t do các d ch v ng m i ng i bên ngoài Vi c &t c u hình cho firewall không... cung c p kh n ng i u khi n truy c p cho nh ng d ch v TCP và c#ng s d ng m t t p c u hình v i Firewall B c u tiên c u hình netacl là cho phép m ng n i b truy nh p có gi i h n vào Firewall, n u nh nó c n thi t cho nhu c u qu n tr Tu+ thu c vào TELNET gateway tn-gw có c cài &t hay không, qu n tr có th truy c p vào Firewall qua c ng khác v i c ng chu,n c a telnet (23) B i vì telnet th ng không cho phép ch... th dùng các file c u hình nói trên ã /usr/proxy/etc khi cài &t, ng c t o s/n và &t t i c l i có th tham kh o s a i theo yêu c u Toàn b các thành ph n c a b Firewall òi h%i hình chung (m&c nh là /usr/proxy/etc/netperms) Ph n l n các thành ph n c a b Firewall c g i b i d ch v c a h th(ng là inetd, khai báo trong /etc/inetd.conf t sau: 47 cc u ng t nh ftp stream tcp nowait root /usr/proxy/bin/netacl ftpd...3.4.2 C u hình cho Bastion Host M t nguyên nhân c b n c a vi c xây d ng Firewall là ng n ch&n các d ch v không c n thi t và các d ch v không n m rõ Ng n ch&n các d ch v không c n thi t òi h%i i cài &t ph i có hi u bi t v c u hình h th(ng Các ng b c th c hi n nh sau: S... (E-mail) rules: 57 # -smap, smapd: userid root smap, smapd: directory /usr/spool/mail smapd: executable /usr/proxy/bin/smapd smapd: sendmail /usr/lib/sendmail smap: timeout 3600 # Ngoài ra, trong CSE Firewall còn có d ch v socks ki m soát các ph n m m ng d ng &c bi t nh Lotus Notes C n ph i thêm vào các file c u hình h th(ng nh sau: File /etc/services: socks 1080/tcp File /etc/inetd.conf: socks stream... Authentication Ch c n ng này g i authsrv ch c n ng xác th c cho ng rõ ràng trên authsrv# list Report for users in database user group - longname status proto - last dalva cse n passw never ruth cse y never passw authsrv# 69 qu n tr ng i s d ng và i ó authrv ã c mô t khá 3.4.5.12 c Change system time Ch c n ng i th i gian h th(ng Ch c n ng này có tác d ng i u ch"nh chính xác gi c a... c u hình cho firewall không quá r c r(i, vì nó c thi t k h* tr cho m i hoàn c nh T p tin /usr/proxy/etc/netperms là CSDL c u hình và quy n truy nh p (configuration/permissions) cho các thành ph n c a Firewall: netacl, smap, smapd, ftp-gw, tn-gw, http-gw, và plug-gw Khi m t trong các ng d ng này kh i ng, nó c c u hình và quy n truy nh p c a nó t- netperms và l u tr vào m t CSDL trong b nh File configuration/permissions... c n thêm vào các dòng cho phép ftp-gw: permit-hosts 16.67.32.* -log {retr stor} or 50 ftp-gw: permit-hosts 16.67.32.* -log {retr stor} ftp-gw: permit-hosts 10.10.170.* -log {retr stor} M*i b ph n c a Firewall có m t t p các tu+ ch n và c c mô t trong manual page riêng c a ph n ó Trong ví d trên, Tu+ ch n -log {retr stor} cho phép FTP proxy ghi l i nh t ký v i tu+ ch n retr và stor 3.4.3.2 Anonymous... permit 10.10.170.40 255.255.255.255 permit 10.10.170.31 255.255.255.255 deny 0.0.0.0 0.0.0.0 : mail -s 'SOCKD: rejected from %u@%A to host %Z (service %S)' root 58 ng 3.4.4 Xác th c và d ch v xác th c B Firewall ch a ch ng trình server xác th c c thi t k h* tr c ch phân quy n Authsrv ch a m t c s d li u v ng m t ng i dùng trong m ng, m*i b n ghi t ng ng v i i dùng, ch a c ch xác th c cho m*i anh ta, trong . 3. H thng Firewall xây dng bi CSE B chng trình Firewall 1.0 ca CSE c a ra vào tháng 6/1998. B chng trình. 3.1 Tng quan B chng trình proxy ca CSE (phiên bn 1.0) c phát trin da trên b công c xây dng Internet Firewall TIS (Trusted Information System)