[Dr.WoW] [No.40] Compartir Archivos

57 0 0 0

1 Escenarios de uso compartido de archivos

En la introducción en la última sección, aprendimos que una gran diferencia entre las VPN SSL y IPSec es que las VPN SSL pueden refinar la granularidad del acceso de un usuario remoto a un objeto de recurso designado, por ejemplo un archivo o una URL. Para permitir a los usuarios remotos comprender instantáneamente sus propios permisos de acceso, el gateway virtual proporciona una plataforma especialmente amigable y personalizada: Combina archivos y URLs en listas de recursos "personalizadas" para mostrar al usuario remoto. Esto es como si la puerta virtual es un restaurante de nueva onda, de moda que no sólo vende comida gourmet, sino que también vende servicios personalizados, permitiendo que diferentes menús sean personalizados para clientes con diferentes gustos.

Esta no es su única característica especial. Como la mayoría de las empresas, por consideraciones de seguridad, no quieren hacer públicas las direcciones de recursos del servidor de red interna (URL o ruta de archivos), el SSL VPN también proporciona un servicio de "cifrado de direcciones de recursos" que reescribe la ruta del recurso. Esto es como llamar a un simple plato de papa 'Esferas de Gloria', o llamar a un perro caliente 'el cetro del rey' -a primera vista el significado del nombre no está claro, y una gran cantidad de tiempo y esfuerzo es necesario antes de que tal nombre pueda ser descifrado. Pero voy a empezar con el primer plato:

Para poner las cosas simplemente, la función de intercambio de archivos de SSL VPN permite a los usuarios remotos acceder de forma segura a los servidores de archivos internos de la empresa directamente utilizando un navegador, y soporta operaciones de archivos tales como crear nuevos archivos, editar, cargar y descargar, etc. Esto se muestra en la Figura 1-1.

Figura escenario de uso compartido de archivos 1-1 SSL VPN

5604edc07db60.png

Por el momento, los protocolos de intercambio de archivos que son relativamente populares en las empresas incluyen SMB (Server Message Block) y NFS (Network File System). El primero se utiliza principalmente en el sistema operativo Windows, mientras que este último se utiliza principalmente en el sistema operativo Linux. Las VPN SSL de los firewalls de Huawei son compatibles con ambos protocolos, por lo que no tenemos que preocuparnos por esto. El siguiente contenido utilizará el protocolo SMB como ejemplo, y hará uso del controlador de dominio, un método de autenticación común, al introducir la interacción de intercambio de archivos.

En la Figura 1-2, se puede ver que el firewall sirve como un dispositivo proxy, y que su comunicación con el cliente es siempre a través de la transmisión cifrada del protocolo HTTPS (HTTP + SSL). Una vez que el paquete cifrado alcanza el firewall, el firewall lo descifra y realiza la conversión de protocolos. Por último, el firewall sirve como cliente SMB e inicia una solicitud al servidor de intercambio de archivos SMB correspondiente, y esto también contiene el proceso de autenticación del servidor de archivos. Sobre la base de los protocolos utilizados en la comunicación, el proceso mencionado puede resumirse en dos fases:

Interacción HTTPS interacción entre el cliente remoto que sirve como cliente Web y el firewall que sirve como servidor Web.

2. interacción SMB entre el firewall que sirve como cliente SMB y el servidor de archivos (el servidor SMB)

Figura 1-2 SSL VPN Proceso de intercambio de archivos

5604edd177c3e.png

A continuación, describiremos los métodos de configuración de archivos compartidos en detalle y los principios detrás del intercambio de archivos.

2 Configuración del uso compartido de archivos

Antes de introducir oficialmente las bolsas de paquetes involucradas en el intercambio de archivos, primero asumiremos que los recursos de intercambio de archivos ya han sido configurados en un servidor de archivos SMB (aquí usaremos Windows Server 2008 como ejemplo), y que los permisos se han concedido en el controlador de dominio:

Dirección de acceso :\\ 4.0.2.11\ huawei

Configuración de permisos de usuario: El administrador tiene permisos de lectura/escritura; el usuario sólo tiene el permiso de lectura.

La puerta de enlace virtual sirve como entrada de SSL VPN para todos los recursos. Cualquier recurso que deba ser accedido debe aparecer en la configuración de SSL VPN, esto también encarna el enfoque de diseño de VPN 's de SSL que permite refinar la granularidad del control de acceso. El intercambio de archivos primero requiere activar la función de intercambio de archivos y crear nuevos recursos de intercambio de archivos, con el objetivo de proporcionar un "menú" de recursos compartidos de archivos visibles para el usuario remoto, como se muestra en la Figura 1-3.

Figura 1-3 Configuración del uso compartido de archivos

5604ede1e844a.png

3 Interacción entre el usuario remoto y el firewall

Después de un inicio de sesión exitoso, los recursos que el gateway virtual pone a disposición del usuario aparecerán en esta interfaz. Girar el ratón sobre un recurso permite que el enlace Web correspondiente de los recursos se vea en la barra de estado del navegador; este enlace incluye las páginas que deben ser solicitadas del firewall y los parámetros que deben ser entregados, como se muestra en la Figura 1-4. No queremos subestimar esta URL, ya que representa la información de recursos de archivo solicitada por el usuario remoto y los comandos operativos correspondientes. Cada uno de los directorios y operaciones se corresponderá con diferentes URLs.

Figura 1-4 SSL VPN Interfaz de inicio de sesión -intercambio de archivos

5604edef788a5.png

Https://4.1.64.12/protocoltran/Login.html VTID = 0&UserID = 4&SessionID = 2141622535&ResourceType = 1&ResourceID = 4&PageSize = 20 &% 22,1).

P: ¿Por qué no se puede ver aquí el recurso de archivo\\ 4.0.2.11\ Huawei mencionado anteriormente?

R: Porque el firewall ya ha ocultado esto. El uso de ID de recurso es la única manera de confirmar la dirección del recurso. La relación correspondiente entre el ID del recurso y la dirección del recurso se almacena en el cerebro del firewall (memoria); esto permite que la dirección real del servidor de red interna se oculte, protegiendo la seguridad del servidor.

Para seguir nuestro chequeo de este enlace Web, además del hecho obvio de que 4.1.64.12 es la dirección de la puerta de enlace virtual, romperé las partes restantes de la estructura del enlace en tres partes:

l  Protocoltran es el directorio especial para compartir archivos. Se desprende claramente de su nombre que esto es protocolo + transformación, indicando que esto lleva a cabo la conversión de ida y vuelta entre el protocolo HTTPS y los protocolos SMB/NFS.

l  Login.html es la página de solicitud. En general, las diferentes operaciones se corresponderán con diferentes páginas de solicitud. He organizado todas las páginas de solicitud y solicitado las páginas de resultados que se pueden utilizar en la Tabla 1-1.

Tabla 1-1 Páginas de solicitud de intercambio de archivos y páginas de resultados de solicitud

Nombre de página

Significado

Login.html

Loginresult.html

Página de autenticación del servidor de archivos   SMB

Dirlist.html

Muestra la estructura de carpetas y la lista   detallada de los recursos de intercambio de archivos.

Downloadresult.html

Downloadfailed.html

Descarga archivos.

Create.html

Result.html

Crea carpetas.

Deleteresult.html

Result.html

Archivos y carpetas Deletes.

Rename.html

Result.html

Cambia los nombres de archivos y carpetas.

Upload.html

Uploadresult.html

Carga archivos.

l  VTID = 0&UserID = 4&SessionID = 2141622535&ResourceType = 1&ResourceID = 4&PageSize = 20 &% 22,1 son parámetros transmitidos a la página de solicitud. Aquí primero daré una tabla de parámetros detallada. Además de los parámetros cubiertos por esta URL, también he incluido los parámetros de solicitud para otras operaciones para ayudar a todos a entender.

Tabla 1-2 Detalles de los parámetros de la página de solicitud

Parámetro

Significado

VTID.

El ID del Gateway Virtual, utilizado para   distinguir entre múltiples gateways virtuales en el mismo firewall.

UserID.

ID del usuario, identificando el usuario   registrado en la actualidad. Para fines de seguridad, el ID es diferente para   cada inicio de sesión por el mismo usuario para evitar que un ataque   hombre-en-el-medio crea paquetes de datos fabricados.

SessionID/RandomID.

ID de sesión; todos los ID de sesión para el   mismo inicio de sesión en el gateway virtual son los mismos.

ResourceID

ID del recurso, identificando cada recurso   compartido de archivos.

CurrentPath

La ruta del archivo de la operación actual.

"MethodType"

Tipos de operaciones:

1: Eliminar carpetas

2: Eliminar archivos

3: Visualización de un directorio

4: Cambiar el nombre de un directorio

5: Cambiar el nombre de un archivo

6: Creación de un nuevo directorio

7: Cargar un archivo

8: Descarga de un archivo

ItemNumber

Cantidad de objetos operativos.

ItemName1

Nombre (s) del (los) objeto (s) operativo (s);   esto puede contener múltiples objetivos operativos, por ejemplo eliminando   múltiples archivos.

ItemType1.

Tipo de objeto operativo:

0: Archivo

1: Carpeta

Newname

Nuevo nombre.

ResourceType

Tipo de recurso:

1: Recursos SMB

2: Recursos NFS

PageSize.

Cada página muestra el número de elementos de   recursos.

Con el fin de permitir a todos obtener una comprensión de todo el panorama de las funciones de intercambio de archivos, voy a dar una explicación más, uno por uno de algunas de las operaciones mencionadas anteriormente y comandos usando funciones específicas de intercambio de archivos como ejemplos.

Al acceder a los recursos de intercambio de archivos por primera vez, primero debe pasar la autenticación del servidor de archivos.

La autenticación indicada aquí debe distinguirse de la autenticación que se produce al iniciar sesión en el SSL VPN En la etapa de inicio de sesión, lo primero que el usuario remoto necesita pasar es la autenticación del firewall. Esta vez queremos acceder a los recursos de intercambio de archivos, y por supuesto necesitamos comprobar si el servidor de archivos está o no de acuerdo con esto. Cuando se haga clic en "Public share" en la lista de recursos, aparecerá una página de autenticación, como se muestra en la Figura 1-5.

Figura 1-5 Iniciar sesión de intercambio de archivos

5604ee0537f1b.png

Después de pasar la autenticación, aparece la página de recursos de archivos, como se muestra en la Figura 1-6.

Figura 1-6 Operaciones de archivo compartido de archivos

5604ee1d21725.png


Sabemos que el proceso de acceso anterior se puede dividir en dos etapas (autenticación y visualización de carpetas), pero ¿es el proceso de interacción real como este? La captura de paquetes del proceso de interacción es la siguiente:

5604ee371f1df.png

Así es, parece que mi entendimiento era correcto. Login.html/LoginResult.html son todas las páginas de autenticación, y después de que el paquete cifrado es descifrado, LoginResult.html también incluye el nombre de usuario y la contraseña en espera de la autenticación por el servidor de archivos. Además, Dirlist.html es la página que muestra la estructura de la carpeta.

3. Verificación de la descarga de archivos

La página de descarga de archivos y la URL correspondiente son las que se muestran en la Figura 1-7.

Figura 1-7 descarga de archivos


5604ee46506da.png

5604ee56171c8.png


La tabla anterior puede ser usada para poner la operación de descarga de archivos en palabras: La descarga (el MethodType = 8) es de un directorio raíz (CurrentPath = 2F)), llamado readme _ 11 (ItemName1 =% r% e% a% d% m% e _% 1% 1). Pero es importante notar que hay un poco de contenido descifrado de URL aquí. Por ejemplo, descifrar el valor de CurrentPath ("2F") da '/', que expresa el directorio raíz de recursos actual.

4. Autenticación de renombre de carpeta

La página de carpeta rename se muestra en la Figura 1-8.

Figura 1-8 carpetas de renombre


5604ee67afe3a.png

5604ee840bae0.png

5604eea6076e0.png


Como User A sólo tiene el permiso de lectura, se da un aviso de fallo, pero esto no nos impide continuar con * * * yzing esto: El archivo (ItemType1 = 1) User B (ItemName1 =% u% s% e% r% b) en el directorio raíz (CurrentPath = 2F) está siendo renombrado Usera (NewName =% u% s% e% r% a); la URL correspondiente se muestra en la Figura 1-9.

Figura 1-9 URL correspondiente a la operación de renombre de la carpeta.

5604eebac208b.png



A través de la introducción anterior confío en que todos ahora entienden que el establecimiento del firewall de estos enlaces es primero para ocultar la verdadera ruta de recursos de archivo de red interna (\\ 4.0.2.11\ huawei\) y, en segundo lugar, para crear un puente para el acceso del usuario de remote:)

4 Interacción del firewall con el servidor de archivos

A continuación se muestra una captura de paquetes entre el firewall y el servidor de archivos.

5604eec75919f.png


5. Firewall 4.0.2.1 sirve como cliente, inicia una solicitud de negociación para el servidor de archivos 4.0.2.11. El primero en ser negociado es la versión SMB (dialecto). El firewall actualmente sólo soporta el uso de SMB1.0 (NT LM 0.12 en su papel como cliente en la interacción con el servidor.

5604eed349497.png


6. La información de respuesta del servidor contiene el método de autenticación que se utilizará a continuación y un número aleatorio de desafío de 16 dígitos. Aquí se utiliza una especie de mecanismo de autenticación segura: El mecanismo de desafío/respuesta NT, conocido como "NTLM".

5604eee09349a.png


El proceso de autenticación es aproximadamente el siguiente:

a. El servidor genera un número aleatorio de 16 dígitos y lo envía al firewall, para servir como un número aleatorio de desafío.

b. El firewall utiliza un algoritmo HASH para generar la contraseña de usuario y el valor HASH, y encripta el número aleatorio de desafío recibido. También utiliza una transmisión de texto clara para devolver su propio nombre de usuario junto con esto al servidor.

c. El servidor envía el nombre de usuario, desafía el número aleatorio y el número aleatorio de desafío cifrado regresa del firewall al controlador de dominio.

d. El controlador de dominio utiliza el nombre de usuario para encontrar el valor de hash de la contraseña de usuario en la base de datos de administración de contraseñas; esto también se utiliza para cifrar el número aleatorio de desafío. El controlador de dominio compara los dos números aleatorios de desafío cifrado, y si son iguales, entonces la autenticación tiene éxito.

Una vez que pasa la autenticación, el usuario puede acceder al archivo o carpeta designado.

Para resumir lo anterior, podemos ver un proxy que es un intermediario entre el usuario remoto y el servidor SMB: En la etapa HTTPS sirve como Web Server para recibir la solicitud de acceso del usuario remoto, y traduce esto en una solicitud SMB. Con la función de intercambio de archivos, el acceso remoto al servidor de archivos interno es tan conveniente como su acceso a las páginas Web ordinarias, no necesita instalar un cliente de intercambio de archivos, no tiene que recordar la dirección IP del servidor, y no se perderá entre una multitud de servidores.




  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje