Quản trị mạng - Trong phần này chúng tôi sẽ giới thiệu các kịch bản khi nâng cao độ bảo mật bên trong máy chủ FTP.
Giới thiệu
Trong phần ba này chúng tôi sẽ giới thiệu cho các bạn một số kịch bản cấu hình nhằm nâng cao độ bảo mật cho một FTP site, sử dụng chứng chỉ SSL trong một FTP Publishing Service mới đối với IIS 7.0. Điều kiện tiên quyết cho phần ba này là FTP Publishing Service phải được cài đặt trên Windows Server 2008 rồi và một FTP site đã được cấu hình. Để xem cách thực hiện như thế nào, mời các bạn đọc lại phần 1 và phần 2 trong loạt bài này. Phần ba này sẽ gồm hai chủ đề chính cho việc cấu hình đó là:

• Cách cấu hình một FTP site an toàn bằng chứng chỉ SSL thương mại
• Cách cấu hình một FTP site an toàn bằng chứng chỉ SSL tự gán

FTP Publishing Service cho IIS 7.0 hỗ trợ việc bổ sung thêm chứng chỉ SSL vào một FTP site. Việc sử dụng chứng chỉ SSL với một FTP site cũng được biết đến như FTP-S hoặc FTP trên Secure Socket Layers (SSL). FTP-S là một chuẩn RFC (RFC 4217), ở đây chứng chỉ SSL được bổ sung vào một FTP site và từ đó làm cho nó có thể thực hiện việc bảo mật trong quá trình truyền tải file thông qua lớp TLS (SSL) layer dưới giao thức FTP. Bằng cách sử dụng SSL, sự truyền tải FTP sẽ được mã hóa và an toàn một cách xuyên suốt và tất cả lưu lượng FTP đều được bảo đảm tình trạng bị tắc nghẽn.
Các yêu cầu cho nguời dùng ở đây sẽ là sử dụng một FTP client có thể kết nối bằng cách sử dụng FTP-S. Cho ví dụ, các máy khách FTP site hỗ trợ FTP-S có thể là FTP client FileZilla mã nguồn mở hoặc FTP client CuteFTP thương mại.
Cấu hình một FTP site an toàn bằng cách sử dụng SSL thương mại
Bên dưới chúng tôi sẽ mô tả cách bảo mật một FTP site đang tồn tại bằng cách sử dụng chứng chỉ SSL. Chứng chỉ đã được phát hành và sử dụng bên dưới này sẽ được tạo trong Certificate Authority với mục đích kiểm thử, tuy nhiên quá trình phát hành chứng chỉ trên máy chủ là hoàn toàn tương tự như khi cung cấp một chứng chỉ từ một nhà cung cấp chứng chỉ thứ ba, chẳng hạn như Verisign hoặc Godaddy. Cũng có thể tạo chứng chỉ tự gán trực tiếp từ bên trong IIS, quá trình này sẽ được mô tả ở phần dưới.
Cần bảo đảm rằng bạn đang sở hữu một FTP site đang hoạt động và bạn có thể đăng nhập vào FTP site đó. FTP site được sử dụng với tư cách ví dụ trong phần này ftp.example.com được minh chứng bên dưới.

1. Khởi chạy IIS Manager tại Start – Administrative Tools – Internet Information Service (IIS) Manager
2. Trong IIS Manager, kích FTP server, đánh dấu máy chủ và chọn Server Certificates:

1. Trong phần panel actions, chọn Create Certificate Request:

1. Trong cửa sổ hộp thoại xuất hiện, bạn hãy điền vào các thông tin cần thiết cho chứng chỉ và kích Next:

1. Chọn nhà cung cấp mã hóa mặc định và kích Next:

1. Lưu yêu cầu đến file và kích Finish:

Yêu cầu chứng chỉ lúc này được thực hiện và đang chờ giải quyết trong IIS. Yêu cầu lúc này đã sẵn sàng để gửi đến nhà cung cấp chứng chỉ thứ ba (chẳng hạn như Verisign, Godaddy,…)
Import yêu cầu chứng chỉ
Khi yêu cầu chứng chỉ được phản hồi về từ nhà cung cấp, nó cần phải được import vào IIS để làm việc.

1. Trong IIS Manager, kích FTP server và chọn Server Certificates:

1. Chọn Complete Certificate Request…:

1. Chọn Certificate request đến từ nhà cung cấp và nhập vào tên của site, sau đó kích OK:

1. Chứng chỉ hiện được hiển thị trong IIS Manager và đang sẵn sàng để sử dụng:

Kích hoạt chứng chỉ thương mại trên FTP site
Khi đã import, chứng chỉ SSL có thể được kích hoạt và được sử dụng cho một FTP site. Vào FTP site mà bạn muốn sử dụng chứng chỉ cho nó.

1. Trong IIS Manager, chọn FTP site sau đó kích các thiết lập FTP SSL:

1. Chọn chứng chỉ và các thiết lập chính sách SSL (Allow hoặc Required SSL), kích Apply:

1. Chứng chỉ SSL hiện đã được sử dụng cho FTP site:

FTP site hiện được bảo vệ và yêu cầu kết nối đến FTP site để trở thành FTP-S bằng cách sử dụng FTP client có hỗ trợ FTP-S.
Cấu hình một FTP site an toàn bằng SSL tự gán
Như được mô tả từ trước, bạn hoàn toàn có thể tạo một chứng chỉ tự gán trực tiếp từ bên trong Internet Information Services (IIS) Manager. Quá trình này diễn ra nhanh hơn so với việc yêu cầu một chứng chỉ thương mại. Các chứng chỉ tự gán rất tuyệt vời cho việc kiểm tra FTP site hoặc có thể sử dụng bên trong, nhưng không được khuyến khích cho sử dụng sản xuất.

1. Khởi động IIS Manager từ Start – Administrative Tools – Internet Information Service (IIS) Manager
2. Trong IIS Manager, kích FTP server và chọn Server Certificates:

1. Trong panel actions, chọn Create Self-Signed Certificate:

1. Trong các cửa sổ hộp thoại bật ra, hãy đặt tên cho chứng chỉ và kích OK:

1. Chứng chỉ lúc này đã được tạo và sẵn sàng cho sử dụng:

Bước tiếp theo là sử dụng và kích hoạt chứng chỉ mới trên FTP site đang tồn tại.

1. Chọn FTP site (trong ví dụ này: ftp.example.com) và kích FTP SSL Settings:

1. Chọn chứng chỉ và chọn các thiết lập cần thiết (Require SSL Connections), kích Apply:

FTP site lúc này đã sẵn sàng được sử dụng và tất cả lưu lượng đều được mã hóa. FTP client hỗ trợ nhiều FTP sẽ được yêu cầu để kết nối đến FTP site mới.
Kết nối đến một FTP site
Sử dụng FTP client có hỗ trợ FTP-S để kết nối đến FTP site, sau đó test kết nối. Ví dụ bên dưới đã sử dụng FileZilla. Bạn cần phải cấu hình thiết lập FTP server trong FileZilla để kết nối bằng cách sử dụng nhiều FTP, với FileZilla, các thiết lập sẽ là "FTPES - FTP over explicit TLS/SSL".
Thời gian đầu bạn cần phải đăng nhập vào một FTP site đang hoạt động bằng chứng chỉ tự gán của mình, FTP client (FileZilla) sẽ nhắc nhở cho bạn biết rằng root của chứng chỉ hiện vẫn chưa biết. Nếu bạn muốn tin tưởng và import chứng chỉ này, hãy kích OK.
FTP site sẽ sẵn sàng được sử dụng theo cách an toàn.
Kết luận
Với một Microsoft FTP Publishing Service mới, bạn hoàn toàn có thể triển khai một giải pháp FTP an toàn dựa trên sản phẩm của Microsoft, với sự tích hợp Internet Information Services và Active Directory. Tất cả sự truyền thông FTP lúc này đều có thể được mã hóa vì FTP Publishing Service for IIS 7.0 hỗ trợ FTP-S (FTP over SSL), FTP-S là một chuẩn RFC (RFC 4217) cho việc mã hóa lưu lượng FTP.
Sự mã hóa về lưu lượng FTP có thể được thực hiện bằng cách sử dụng chứng chỉ SSL tự gán hoặc thương mại. Tất cả việc cấu hình đều được thực hiện trên máy chủ. Các máy khách kết nối với FTP site an toàn cần phải sử dụng một máy khách FTP có hỗ trợ FTP-S.
Văn Linh (Theo WindowsNetworking)