Tweet
Nói đến mạng của công ty thì luôn gắn liền với firewall, hệ thống an ninh, giám sát... đóng hoàn toàn các port được cho là không cần thiết (tất nhiên công ty phải chừa lại 1 số port ví dụ 80 cho HTTP, 443 cho email, nếu đóng hết thì coi như khỏi bàn rồi). Thật là khó chịu khi những trang web mà nhân viên truy cập lại bị giám sát (monitor) , nhòm ngó, các trang về Gmail, yahoo mail, chat chit đều bị cấm tần tậc. Làm cách nào để "trị" những hệ thống firewall như thế này đây?
Hiện nay kỹ thuật SSH được xem là protocol bảo mật hiệu quả trong an ninh mạng... Để "trị" được firewall như đã nói ở trên, SSH đã đưa ra một cách gọi là SSH tunnel. Theo cách này, luồng truy cập về mạng sẽ được chui qua đường hầm SSH và đi qua firewall một cách dễ dàng. Và luồng dữ liệu truy cập này không thể đọc được từ hệ thống monitor an ninh mạng.
Cụ thể hơn, để tiện cho việc phân biệt, ta gọi máy tính tại công ty là WORK, và máy tính đặt ở nhà là HOME. Bài toán đặc ra là làm sao có thể truy cập internet một cách hạng chế từ WORK thông qua kết nối SSH với HOME. Để thực hiện đều này, chúng ta từng tự giải quyết các bước sau:
1> Chạy SSH server trên HOME.
2> Chạy SSH client trên WORK nhằm thực hiện đường hầm SSH cho việc kết nối secure giữa WORK và HOME.
3> Cấu hình SSH client hoạt động như một SOCKs Proxy (sử dụng Dynamic Forwarding của SSH)
4> Cấu hình Internet Explorer kết nối Internet thông qua SOCKs Proxy thay cho cách trực tiếp (bị Firewall).
Mô hình thực hiện như sau:
Ý tưởng của mô hình này là:
Lưu file lại và tiến hành khởi động lại server
$ /ect/init.d/ssh restart ---> Khởi động SSH server
Kế tiếp, ta cần cấu hình ADSL modem router mở port 443 (port forwarding), sau khi cấu hình xong, máy tính bên ngoài (WAN) có thể truy cập SSH server trên máy HOME thông qua địa chỉ mặt ngoài router. Có thể tìm địa chỉ này thông qua việc truy cập trang http://www.whatismyip.com/
$ apt-get install ddclient
2> Chạy SSH client trên WORK
3> Cấu hình SSH client hoạt động như một SOCKs Proxy (sử dụng Dynamic Forwarding của SSH)
Ta có thể chạy putty và cấu hình theo yêu cầu bởi lệnh dos command sau:
Trong đó home.domain.com là domain name của HOME.
4> Cấu hình Internet Explorer kết nối Internet thông qua SOCKs Proxy
Hiện nay kỹ thuật SSH được xem là protocol bảo mật hiệu quả trong an ninh mạng... Để "trị" được firewall như đã nói ở trên, SSH đã đưa ra một cách gọi là SSH tunnel. Theo cách này, luồng truy cập về mạng sẽ được chui qua đường hầm SSH và đi qua firewall một cách dễ dàng. Và luồng dữ liệu truy cập này không thể đọc được từ hệ thống monitor an ninh mạng.
Cụ thể hơn, để tiện cho việc phân biệt, ta gọi máy tính tại công ty là WORK, và máy tính đặt ở nhà là HOME. Bài toán đặc ra là làm sao có thể truy cập internet một cách hạng chế từ WORK thông qua kết nối SSH với HOME. Để thực hiện đều này, chúng ta từng tự giải quyết các bước sau:
1> Chạy SSH server trên HOME.
2> Chạy SSH client trên WORK nhằm thực hiện đường hầm SSH cho việc kết nối secure giữa WORK và HOME.
3> Cấu hình SSH client hoạt động như một SOCKs Proxy (sử dụng Dynamic Forwarding của SSH)
4> Cấu hình Internet Explorer kết nối Internet thông qua SOCKs Proxy thay cho cách trực tiếp (bị Firewall).
Mô hình thực hiện như sau:
Ý tưởng của mô hình này là:
- Kết nối SSH từ WORK sang HOME thì được Firewall cho phép (thông qua port được phép 443).
- IE truy cập trang web (webserver) thông qua SOCKs Proxy server (Putty) thông qua port 8080, Putty thực hiện mã hóa luồng truy cập theo SSH protocol và chuyển sang SSH server chạy trên HOME (board nhúng KM9260).
- SSH server kết nối với webserver thông qua kết nối HTTP thông thường.
1> Cài đặt SSH server trên HOME:
Ta có thể cài SSH server trên bất kỳ máy tính nào. Về điểm này, board nhúng là sự lựa chọn tốt do tính nhỏ gọn, tiết kiệm điện năng và có thể sử dụng lâu dài.
$ apt-get install openssh-server ---> Cài đặt SSH server
Port chuẩn của SSH là 22, tuy nhiên port này bị cấm bởi firewall của công ty, vì thế ta cần đổi port sang 443, thực hiện bằng cách edit file cấu hình ssh_config.
# Port 22 chuyển thành
Port 443
Lưu file lại và tiến hành khởi động lại server
$ /ect/init.d/ssh restart ---> Khởi động SSH server
Kế tiếp, ta cần cấu hình ADSL modem router mở port 443 (port forwarding), sau khi cấu hình xong, máy tính bên ngoài (WAN) có thể truy cập SSH server trên máy HOME thông qua địa chỉ mặt ngoài router. Có thể tìm địa chỉ này thông qua việc truy cập trang http://www.whatismyip.com/
Nhưng số IP này là động và rất khó nhớ, và bị thay đổi khi ADSL modem router bị mất nguồn (ngoại trừ yêu cầu ISP cung cấp IP tĩnh). Vì thế ta nên dùng domain name thay vì những con số như trên. Hiện nay có nhiều trang cung cấp domain name dạng động hoàn toàn miễn phí. Ta có thể chon http://www.dyndns.com/services/dns/. Sau khi đăng ký account, ta có thể tiến hành cập nhật để DNS server có thể map IP của bạn vào domain name. Việc cập nhật này có thể làm bằng tay, hoặc tự động thông qua router (nếu có hỗ trợ) hoặc cài gói phần mềm ddclient trên HOME.
$ apt-get install ddclient
2> Chạy SSH client trên WORK
Bước này chúng ta sử dụng phần mềm miễn phí putty, có thể chạy trực tiếp trên winXP mà không cần thông qua bước cài đặt.
3> Cấu hình SSH client hoạt động như một SOCKs Proxy (sử dụng Dynamic Forwarding của SSH)
Cấu hình port input là 8080 cho việc kết nối với IE.
Ta có thể chạy putty và cấu hình theo yêu cầu bởi lệnh dos command sau:
C:\> putty -D 8080 -P 443 -ssh home.domain.com
Trong đó home.domain.com là domain name của HOME.
Sau khi thực hiện trên, putty hiện ra console đăng nhập của Linux, ta chỉ việc gõ vào user = root và pass để hoàn tất bước cấu hình cho ssh client.
4> Cấu hình Internet Explorer kết nối Internet thông qua SOCKs Proxy
Cuối cùng, ta vào mục Option của IE để chọn kết nối với putty SSH SOCKs Proxy, tham khảo hình sau:
Xong các bước trên, ta có thể tiến hành thử kết nối với các trang "cấm" như yahoo mail, google mail...
Việc cấu hình cho các phần mềm "cấm" khác như Yahoo messenger, Skype, chát chít khác... hoàn toàn tương tự.
