Được tạo bởi Blogger.
Home » » Bảo mật FTP Server với Windows Server 2008 / ISA Server 2006

Bảo mật FTP Server với Windows Server 2008 / ISA Server 2006

Written By Unknown on Thứ Hai, 25 tháng 11, 2013 | 10:12

Việc tạo một dịch vụ FTP với ISA Server 2006 khá đơn giản vì ISA Server 2006 tích hợp một wizard chuyên dùng để tạo FTP Server. Tuy nhiên, chúng ta cần phải làm gì để bảo mật máy chủ này?

FTP là một giao thức không được bảo mật, nó truyền dữ liệu mà không thực hiện mã hóa vì vậy mà người dùng có thể gặp phải những rủi ro khi sử dụng giao thức này. Một phương pháp hữu hiệu hơn đó là sử dụng giao thức FTPS (FTP trên SSL) cung cấp khả năng mã hóa giao thức cho các dữ liệu được truyền. Việc cấu hình ISA Server để tạo FTP khá phức tạp vì chúng ta sẽ phải tạo thủ công một định nghĩa giao thức cho FTPS và vùng cổng mà kết nối FTPS sử dụng.

Trước tiên chúng ta sẽ tiến hành cấu hình Publishing Rule cho ISA Server 2006. Bạn hãy mở MMC của ISA Server 2006, truy cập vào node Firewall Policy và tạo một Publishing Rule mới. Sau đó hãy đặt tên cho Rule mới này. Giả sử đặt tên cho Rule này là FTPS-Server.



Hình 1: Đặt tên cho Publishing Rule mới trên trang Welcome của
New Server Publishing Rule Wizard.

Khi nhấn Next, bạn sẽ chuyển sang trang Select Server. Tại đây bạn hãy nhập địa chỉ IP của FTP Server muốn tạo. FTP Server được tạo phải là một máy trạm Secure NAT.


Hình 2: Nhập địa chỉ IP cho FTP Server muốn tạo.

Vì ISA Server 2006 không có định nghĩa giao thức tích hợp cho FTPS cần sử dụng nên chúng ta sẽ phải tạo thủ công định nghĩa giao thức. Chúng ta cần sử dụng một định nghĩa giao thức cho cổng giao thức FTP chuẩn và một vùng cổng được kết nối FTP sử dụng (phải là một vùng cổng tương tự được cấu hình tại cài đặt hỗ trợ giao thức của hệ thống tường lửa trên FTP Server.


Hình 3: Lựa chọn giao thức trên trang Select Protocol.

Trên trang Select Protocol bạn hãy nhấn nút New, khi đó bạn sẽ thấy New Protocol Definition Wizard xuất hiện. Tại trang Welcome của Wizard này hãy nhập tên cho định nghĩa giao thức rồi nhấn Next.


Hình 4: New Protocol Definition Wizard.

Tiếp theo lựa chọn loại giao thức (Protocol Type) là TCP, hướng (Direction) là Inbound và định nghĩa cổng là từ 21 đến 21.


Hình 5: Vùng cổng của giao thức FTPS.

Khi một vùng giao thức thứ hai nhập cùng địa chỉ IP cho vùng cổng được chỉ định trong Firewall Properties của cấu hình FTP Server.


Hình 6: Định nghĩa toàn bộ giao thức.

Chúng ta không phải chỉ định một kết nối phụ. Thay vào đó hãy chỉ định Listener (trình xử lý TCP/IP) cho mạng mà ISA Server 2006 nhận lưu lượng FTP trên đó. Đây là một định nghĩa mạng ngoài thông thường. Nếu có nhiều địa chỉ IP kết nối tới giao tiếp mạng ngoài, bạn sẽ phải nhập rõ ràng địa chỉ IP trên ISA Server sẽ nhận lưu lượng trên đó.


Hình 7: Lựa chọn Listener cho ISA Server.

Sau đó click Next rồi Finish và Apply.

Quan trọng:

FTP-Filter không cần phải kích hoạt cho định nghĩa giao thức FTPS mới do đó bạn phải đảm bảo rằng tùy chọn này được hủy bỏ trong định nghĩa giao thức đó.

Sau khi chúng ta đã hoàn thành mọi cài đặt trên trang ISA Server, sau đó chúng ta cần cấu hình FTP Server trên Firewall.


Lưu ý:

Nếu sử dụng Windows Server 2008 bạn sẽ phải tự tải và cài đặt dịch vụ Microsoft FTP từ trang web http://www.iis.net.

Phiên bản Windows Server 2008 R2 tích hợp đúng phiên bản FTP Server được tích hợp trong cấu hình Windows Server 2008 R2 Server Manager Roles như trong hình 8.



Hình 8: Cài đặt dịch vụ FTP.

Vì chúng ta sẽ sử dụng FTPS trên máy chủ FTP nên chúng ta sẽ phải chỉ định vùng cổng cho kênh dữ liệu FTP. Vùng cổng mà chúng ta nhập tại đây phải là vùng trong định nghĩa giao thức tại ISA Server. Ngoài ra chúng ta còn phải chỉ định địa chỉ IP ngoài của hệ thống tường lửa thường là địa chỉ IP của hệ thống tường lửa được kết nối trực tiếp tới Internet. Sau đó Click Apply để kích hoạt những cài đặt mới trong cấu hình của IIS.



Hình 9: Hỗ trợ FTP Firewall.
Giờ đây chúng ta đã có thể kết nối từ Internet tới máy chủ FTPS nội bộ qua ISA Server 2006 với ứng dụng máy trạm FTP mong muốn với hỗ trợ FTP qua SSL (FTPS). Nếu kết nối không thành công thì bạn hãy kiểm tra lại các cài đặt kết nối với cấu hình FTP trong IIS và nếu một kết nối FTP bảo mật vẫn không được triển khai bạn cần kiểm tra trong hệ thống kiểm soát thời gian thực của ISA Server 2006 để xem những gì đã bị chặn.

Trong bài viết này chúng ta đã tìm hiểu phương pháp tạo một FTP Server bảo mật vận hành trên Windows Server 2008 với ISA Server 2006. ISA Server 2006 có một số công cụ tích hợp để tạo một FTP Server nhưng mặc định không có công cụ nào giúp tạo giao thức FTPS bảo mật. Để tạo một FTPS Server chúng ta sẽ phải cấu hình một số cài đặt bổ sung trên Windows Server 2008 và một số cài đặt trên ISA Server 2006.
Theo ISAServer /QTM
Share this article :

0 nhận xét:

Đăng nhận xét

 
Đăng Kí Học Trực Tuyến : Chương Trình Đào Tạo Security365 | Ethical Haking | SiSSP
Copyright © 2013. MC Security Blog - All Rights Reserved
Web Master @ Nguyen Tran Tuong Vinh
Tech Support @ Bang Tran Ngoc