2 Các thành phần của bộ chương trình proxy:

mức bình thờng (không có quyền u tiên). Bởi vì smap

không yêu cầu hỗ trợ bởi một file hệ thống no cả, th mục

dnh riêng chỉ chứa các file do smap tạo ra. Do vậy, bạn

không cần phải lo sợ l smap sẽ thay đổi file hệ thống khi

nó chroot. Mục đích duy nhất của smap l đối thoại SMTP

với các hệ thống khác, thu lợm thông báo mail, ghi vo

đĩa, ghi nhật ký, v thoát.

Smapd có trách nhiệm thờng xuyên quét th mục kho của

smap v đa ra các thông báo đã đợc xếp theo thứ tự

(queued messages) tới sendmail để cuối cùng phân phát.

Chú ý rằng nếu sendmail đợc đặt cấu hình ở mức bình

thờng, v smap chạy với uucp user-id (?), mail có thể đợc

phân phát bình thờng m không cần smapd chạy với mức

u tiên cao. Khi smapd phân phát một thông báo, nó xoá

file chứa thông báo đó trong kho.

Theo ý nghĩa ny, sendmail bị cô lập, v do đó một user lạ

trên mạng không thể kết nối với sendmail m không qua

smap. Tuy nhiên, smap v smapd không thể giải quyết vấn

đề giả mạo th hoặc các loại tấn công khác qua mail. Smap

có kích thớc rất nhỏ so với sendmail (700 dòng so với

20,000 dòng) nên việc phân tích file nguồn để tìm ra lỗi đơn

giản hơn nhiều.



3.2.2 Netacl: công cụ điều khiển truy nhập mạng

Chúng ta đã biết rằng inetd không cung cấp một sự điều

khiển truy nhập mạng no cả: nó cho phép bất kỳ một hệ

thống no trên mạng cũng có thể nối tới các dịch vụ liệt kê

trong file inetd.conf.

Netacl l một công cụ để điều khiển truy nhập mạng, dựa

trên địa chỉ network của máy client, v dịch vụ đợc yêu

cầu. Vì vậy một client (xác định bởi địa chỉ IP hoặc



hostname) có thể khởi động telnetd (một version khác của

telnet) khi nó nối với cổng dịch vụ telnet trên firewall.

Thờng thờng trong các cấu hình firewall, netacl đợc sử

dụng để cấm tất cả các máy trừ một vi host đợc quyền

login tới firewall qua hoặc l telnet hoặc l rlogin, v để

khoá các truy nhập từ những kẻ tấn công.

Độ an ton của netacl dựa trên địa chỉ IP v/hoặc hostname.

Với các hệ thống cần độ an ton cao, nên dụng địa chỉ IP để

tránh sự giả mạo DNS. Netacl không chống lại đợc sự giả

địa chỉ IP qua chuyển nguồn (source routing) hoặc những

phơng tiện khác. Nếu có các loại tấn công nh vậy, cần

phải sử dụng một router có khả năng soi những packet đã

đợc chuyển nguồn (screening source routed packages).

Chú ý l netacl không cung cấp điều khiển truy nhập UDP,

bởi vì công nghệ hiện nay không đảm bảo sự xác thực của

UDP. An ton cho các dịch vụ UDP ở đây đồng nghĩa với sự

không cho phép tất cả các dịch vụ UDP.

Netacl chỉ bao gồm 240 dòng mã C (cả giải thích) cho nên

rất dễ dng kiểm tra v hiệu chỉnh. Tuy nhiên vẫn cần phải

cẩn thận khi cấu hình nó.



3.2.3 Ftp-Gw: Proxy server cho Ftp

Ftp-Gw l một proxy server cung cấp điều khiển truy nhập

mạng dựa trên địa chỉ IP v/hoặc hostname, v cung cấp

điều khiển truy nhập thứ cấp cho phép tuỳ chọn khoá hoặc

ghi nhật ký bất kỳ lệnh ftp no. Đích cho dịch vụ ny cũng

có thể tuỳ chọn đợc phép hay khoá. Tất cả các sự kết nối

v byte dữ liệu chuyển qua đều bị ghi nhật kí lại.



Ftp-Gw tự bản thân nó không đe doạ an ton của hệ thống

firewall, bởi vì nó chạy chroot tới một th mục rỗng, không



thực hiện một thủ tục vo ra file no cả ngoi việc đọc file

cấu hình của nó. Kích thớc của Ftp-gw l khoảng 1,300

dòng. Ftp gateway chỉ cung cấp dịch vụ ftp, m không quan

tâm đến ai có quyền hay không có quyền kết xuất (export)

file. Do vậy, việc xác định quyền phải đợc thiết lập trên

gateway v phải thực hiện trứơc khi thực hiện kết xuất

(export) hay nhập (import) file. Ftp gateway nên đợc ci

đặt dựa theo chính sách an ton của mạng. Bộ chơng trình

nguồn cho phép ngời quản trị mạng cung cấp cả dịch vụ

ftp v ftp proxy trên cùng một hệ thống.



3.2.4 Telnet-Gw: Proxy server cho Telnet

Telnet-Gw l một proxy server cung cấp điều khiển truy

nhập mạng dựa trên địa chỉ IP v/hoặc hostname, v cung

cấp sự điều khiển truy nhập thứ cấp cho phép tuỳ chọn khoá

bất kỳ đích no. Tất cả các sự kết nối v byte dữ liệu chuyển

qua đều bị ghi nhật ký lại. Mỗi một lần user nối tới telnetgw, sẽ có một menu đơn giản của các chọn lựa để nối tới

một host ở xa.

Telnet-gw không phơng hại tới an ton hệ thống, vì nó

chạy chroot đến môt th mục dnh riêng (restricted

directory). File nguồn bao gồm chỉ 1,000 dòng lệnh. Việc

xử lý menu l hon ton diễn ra ở trong bộ nhớ, v không có

môt subsell hay chơng trình no tham dự. Cũng không có

việc vo ra file ngoi việc đọc cấu hình file. Vì vậy, telnetgw không thể cung cấp truy nhập tới bản thân hệ thống

firewall.



3.2.5 Rlogin-Gw: Proxy server cho rlogin

Các terminal truy nhập qua thủ tục BSD rlogin có thể đợc

cung cấp qua rlogin proxy. rlogin cho phép kiểm tra v điêu

khiển truy nhập mạng tơng tự nh telnet gateway. Rlogin

client có thể chỉ ra một hệ thống ở xa ngay khi bắt đầu nối



vo proxy, cho phép hạn chế yêu cầu tơng tác của user với

máy (trong trờng hợp không yêu cầu xác thực).



3.2.6 Sql-Gw: Proxy Server cho Oracle Sql-net

Thông thờng, việc khai thác thông tin từ CSDL Oracle

đợc tiến hnh thông qua dịch vụ WWW. Tuy nhiên để hỗ

trợ ngời sử dụng dùng chơng trình plus33 nối vo máy

chủ Oracle, bộ firewall của CSE đợc đa kèm vo chơng

trình Sql-net proxy. Việc kiểm soát truy nhập đợc thực

hiệu qua tên máy hay địa chỉ IP của máy nguồn v máy

đích.



3.2.7 Plug-Gw: TCP Plug-Board Connection server

Firewall cung cấp các dịch vụ thông thờng nh Usernet

news. Ngời quản trị mạng có thể chọn hoặc l chạy dịch vụ

ny trên bản thân firewall, hoặc l ci đặt một proxy server.

Do chạy news trực tiếp trên firewall dễ gây lỗi hệ thống trên

phần mềm ny, cách an ton hơn l sử dụng proxy. Plug-gw

đợc thiết kế cho Usernet News.

Plug-gw có thể đợc đặt cấu hình để cho phép hay từ chối

một sự kết nối dựa trên địa chỉ IP hoặc l hostname. Tất cả

sự kết nối v các byte dữ liệu chuyển qua đều đợc ghi nhật

ký lại.



3.3 Ci đặt

Bộ ci đặt gồm 2 đĩa mềm 1.44 Mb, R1 v R2. Mỗi bộ ci

đặt đều có một số Serial number khác nhau v chỉ hoạt

động đợc trên máy có hostname đã xác định trớc. Việc

ci đặt đợc tiến hnh bình thờng bằng cách dùng lệnh

custom.

Khi ci đặt, một ngời sử dụng có tên l proxy đợc đăng

ký với hệ thống để thực hiện các chức năng quản lý proxy.

Ngời ci đặt phải đặt mật khẩu cho user ny.

Một th mục /usr/proxy đợc tự động thiết lập, trong đó có

các th mục con:

bin để chứa các chơng trình thực hiện

etc để chứa các tệp cấu hình Firewall v một số ví dụ

các file cấu hình của hệ thống khi chạy với Firewall nh

inetd.conf, services, syslog.conf

log để chứa các tệp nhật ký

report để chứa các tệp báo cáo sau ny.

Việc đặt cấu hình v quản trị CSE Firewall đều thông qua

các chức năng trên menu khi login vo máy Firewall bằng

tên ngời sử dụng l proxy. Sau khi ci đặt nên đổi tên

những tệp hệ thống v lu lại trớc khi đặt cấu hình:

/etc/inetd.conf

/etc/services

/etc/syslog.conf.



3.4 Thiết lập cấu hình:

3.4.1 Cấu hình mạng ban đầu

Với Firewall host-base Chúng ta có thể chắc chắn vo việc

mạng đợc ci đặt theo một chính sách an ton đợc lựa

chọn nhằm ngăn cản mọi luồng thông tin không mong

muốn giữa mạng đợc bảo vệ v mạng bên ngoi. Điều ny

có thể đợc thực hiện bởi screening router hay dual-home

gateway. Thông thờng, các thiết bị mạng đều sử dụng cơ

chế an ton ci đặt trên router nơi m mọi liên kết đều phải

đi qua.

Một điều cần quan tâm l trong khi đang ci đặt, những

máy chủ công khai (Firewall bastion host) có thể bị tấn

công trớc khi cơ chế an ton của nó đợc cấu hình hon

chỉnh để có thể chạy đợc. Do đó, nên cấu hình tệp

inetd.conf để cấm tất cả các dịch vụ mạng từ ngoi vo v

sử dụng thiết bị đầu cuối để ci đặt.

Tại thời điểm đó, chúng ta có thể quy định những truy nhập

giữa mạng đợc bảo vệ v mạng bên ngoi no sẽ bị khoá.

Tuỳ theo mục đích, chúng ta có thể ngăn các truy nhập tuỳ

theo hớng của chúng. Chơng trình cũng cần đợc thử

nghiệm kỹ cng trớc khi sử dụng. Nếu cần thiết có thể

dùng chơng trình /usr/proxy/bin/netscan để thử kết nối tới

tất cả máy tính trong mạng con để kiểm tra. Nó sẽ cố gắng

thử lọt qua Firewall theo mọi hớng để chắc chắn rằng các

truy nhập bất hợp pháp l không thể xảy ra. Ngăn cấm truy

nhập vo ra l cái chốt trong cơ chế an ton của Firewall

không nên sử dụng nếu nó cha đợc ci đặt v thử nghiệm

kỹ lỡng.



3.4.2 Cấu hình cho Bastion Host

Một nguyên nhân cơ bản của việc xây dựng Firewall l để

ngăn chặn các dịch vụ không cần thiết v các dịch vụ không

nắm rõ. Ngăn chặn các dịch vụ không cần thiết đòi hỏi

ngời ci đặt phải có hiểu biết về cấu hình hệ thống. Các

bớc thực hiện nh sau:

Sửa



đổi



/etc/inetd.conf,



tệp



/etc/services,



/etc/syslog.conf, /etc/sockd.conf.

Sửa đổi cấu hình hệ diều hnh, loại bỏ những dịch vụ có

thể gây lỗi nh NFS, sau đó rebuild kernel.

Việc ny đợc thực hiện cho tới khi hệ thống cung cấp dịch

vụ tối thiểu m ngời quản trị tin tởng. Việc cấu hình ny

có thể lm đồng thời với việc kiểm tra dịch vụ no chạy

chính xác bằng cách dùng các lệnh ps v netstat. Phần lớn

các server đợc cấu hình cùng với một số dạng bảo mật

khác, các cấu hình ny sẽ mô tả ở phần sau. Một công cụ

chung



để



thăm



dò



các



dịch



vụ



TCP/IP



l



/usr/proxy/bin/portscan có thể dùng để xem dịch vụ no

đang đợc cung cấp. Nếu không có yêu cầu đặc biệt có thể

dùng các file cấu hình nói trên đã đợc tạo sẵn v đặt tại

/usr/proxy/etc khi ci đặt, ngợc lại có thể tham khảo để sửa

đổi theo yêu cầu.

Ton bộ các thnh phần của bộ Firewall đòi hỏi đợc cấu

hình chung (mặc định l /usr/proxy/etc/netperms). Phần lớn

các thnh phần của bộ Firewall đợc gọi bởi dịch vụ của hệ

thống l inetd, khai báo trong /etc/inetd.conf tơng tự nh

sau:



ftp



stream



tcp



nowait



root



/usr/proxy/bin/netacl



ftpd



ftp-gw



stream



tcp



nowait



root



/usr/proxy/bin/ftp-gw



ftp-gw