2.6.9.1 Email
Email là dịch vụ hầu hết mọi người dùng đều cần. Email được gửi bằng giao thức SMTP có cổng TCP là 25. Email nhận thông qua một trong ba giao thức SMTP, IMAP, POP. POP và IMAP là dịch vụ nhận mail. POP hoạt động tại cổng 110 còn IMAP hoạt động tại cổng 143. Chi tiết hoạt động của ba giao thức trên thể hiện trong bảng sau:
$IPT A INPUT i $INTERNET s $CLASS_A j DROP $IPT A INPUT i $INTERNET s $CLASS_B j DROP $IPT A INPUT i $INTERNET s $CLASS_C j DROP $IPT A INPUT i $INTERNET s $LOOPBACK j DROP
Để gửi mail ta thường gửi thông qua một relay mail do ISP cung cấp. Nếu biết được địa chỉ relay mail của ISP ta xây dựng luật như sau:
Ngược lại ta có thể cho phép gửi mail đến mọi server nếu không biết đích xác địa chỉ của ISP relay mail.
Để nhận được email ta cũng phải xây dựng luật để cho phép. Những luật sau cho phép ta nhận mail bằng một SMTP server.
Trong trường hợp ta không sử dụng một SMTP server bên trong, ta có thể sử dụng dịch vụ mail do ISP cung cấp. Trong trường hơp ISP sử dụng một POP server, ta phải cấu hình luật để nhận mail như là một POP client.
Trong trường hợp ISP sử dụng IMAP server thì ta cũng phải sẽ thay số hiệu cổng dport thành cổng 143.
2.6.9.2 Telnet
$IPT A OUTPUT o $INTERNET p tcp \
s $IPADDR sport $UNPRIVPORTS d $POP_SERVER \ dport 110 m state state NEW j ACCEPT $IPT A INPUT i $INTERNET p tcp \
sport $UNPRIVPORTS d $IPADDR dport 25 \ m state state NEW j ACCEPT
$IPT A OUTPUT o $INTERNET p tcp s $IPADDR \
sport $UNPRIVPORTS d $SMTP_GATEWAY dport 25 \ m state state NEW j ACCEPT
SMTP_GATEWAY="my.isp.server"
$IPT A OUTPUT o $INTERNET p tcp s $IPADDR \
sport $UNPRIVPORTS d $SMTP_GATEWAY dport 25 \ m state state NEW j ACCEPT
Telnet là dịch vụ mạng kém bảo mật. Ngày nay ta nên sử dụng phiên làm việc trên SSH thay vì Telnet. Tuy nhiên nếu cần ta có thể mở dịch vụ này như sau.
Tuy nhiên ta nên giới hạn địa chỉ truy cập nếu có thể bằng cách thêm vào tùy chọn --destination.
Để cho phép người dùng bên ngoài telnet vào bên trong ta sẽ thêm những luật sau.
2.6.9.3 SSH
Ngày nay SSH được sử dụng ngày càng nhiều hơn thay cho telnet. SSH là dịch vụ mạng được bảo mật. Gói dữ liệu truyền đi đã được mã hóa. Để cho phép điều khiển một phiên SSH từ máy firewall ta cấu hình lệnh sau.
Tương tự như dịch vụ telnet, ta nên giới hạn lại dải địa chỉ cho phép truy cập ra bên ngoài nếu có thể. Những luật sau sẽ cho phép kết nối SSH từ bên ngoài đến SSH server cục bộ.
$IPT A INPUT i $INTERNET p tcp sport $SSH_PORTS \ d $IPADDR dport 22 m state state NEW j ACCEPT
$IPT A OUTPUT o $INTERNET p tcp \ s $IPADDR sport $SSH_PORTS \
dport 22 m state state NEW j ACCEPT
$IPT A INPUT i $INTERNET p tcp sport $UNPRIVPORTS d $IPADDR dport 23 m state state NEW j ACCEPT
$IPT A OUTPUT o $INTERNET p tcp \ s $IPADDR sport $UNPRIVPORTS \
2.6.9.4 FTP
FTP là một trong những phương thức truyền dữ liệu, tập tin giữa hai máy trên mạng thông dụng nhất. Ngày nay, FTP sử dụng giao diện web ngày càng trở nên phổ biến. Tuy nhiên, giống như telnet, FTP gửi thông tin xác thực dạng văn bản thuần, vì thế FTP cũng được xem là giao thức kém bảo mật. Thay vào đó ngày nay ta sử dụng giao thức SFTP hay SCP để tăng khả năng bảo mật cho FTP.
FTP thừa kết từ mô hình client/server thuần TCP. FTP sử dụng hai kết nối tách biệt, một để điều khiển lệnh và một để gửi dữ liệu và những thông tin khác. Để cho phép yêu cầu FTP đi ra qua kênh điều khiển, ta cấu hình lệnh sau.
Để có thể gửi nhận dữ liệu ta phải cho phép FTP hoạt động trên cổng 20. Trong trường hợp FTP sử dụng port mode.
Ngược lại, khi FTP sử dụng passive mode.
Trong trường hợp trong mạng có chạy dịch vụ FTP và ta muốn cho phép người dùng bên ngoài có thể truy cập vào trong ta cần thay đổi lại
$IPT A OUTPUT o $INTERNET p tcp \ s $IPADDR sport $UNPRIVPORTS \
dport $UNPRIVPORTS m state state NEW j ACCEPT $IPT A INPUT i $INTERNET p tcp sport 20 \
d $IPADDR dport $UNPRIVPORTS \ m state state NEW j ACCEPT $IPT A OUTPUT o $INTERNET p tcp \ s $IPADDR sport $UNPRIVPORTS \
các chain, địa chỉ đích và nguồn cũng như số hiệu cổng tương ứng cho ba mẫu luật trên.
2.6.9.5 Dịch vụ Web
Thông thường dịch vụ web thường lắng nghe ở cổng 80. Để cho phép một truy cập web ra bên ngoài ta thêm những luật sau.
Trong trường hợp trong mạng dựng lên một trang web tại Firewall và đưa ra cho phép người dùng bên ngoài truy cập vào thì ta cần thêm những luật sau.
Ngày nay vấn đề bảo mật của dịch vụ web cũng cần được nâng cao. Secure Socket Layer (SSL) và Transport Layer Security (TLS). Ta cần cho phép sử dụng giao thức này để có thể truy cập được dịch vụ web bảo mật. Để cấu hình luật ta chỉ cần thêm luật với số hiệu cổng là 443 thay vì 80 như ở trên.
$IPT A INPUT i $INTERNET p tcp \
sport $UNPRIVPORTS d $IPADDR dport 80 \ m state state NEW j ACCEPT
$IPT A OUTPUT o $INTERNET p tcp \ s $IPADDR sport $UNPRIVPORTS \
Một cách truy cập web khác đó là thông qua proxy. Thông thường proxy này do ISP cung cấp. Web proxy thường lắng nghe trên hai cổng 8008 và 8080. SQUID sử dụng cổng mặc định là 3128. Nếu sử dụng một web proxy nào đó, ta nên cho phép đến địa chỉ đó.
WEB_PROXY_SERVER="my.www.proxy" WEB_PROXY_PORT="www.proxy.port" $IPT A OUTPUT o $INTERNET p tcp \ s $IPADDR sport $UNPRIVPORTS \
d $WEB_PROXY_SERVER dport $WEB_PROXY_PORT \ m state state NEW j ACCEPT
Chương 3: HỆ THỐNG PHÁT HIỆN XÂM NHẬP (Intrusion Detection System - IDS)