j'ai compris

[Dr.WoW] [No.40] Partage de fichiers

publié il y a  2020-3-31 22:18:02Dernière réponse jul. 02, 2020 00:34:40 115 1 0 0 0

1 Scénarios d'utilisation du partage de fichiers

Dans l'introduction de la dernière section, nous avons appris qu'une grande différence entre les VPN SSL et IPSec est que les VPN SSL peuvent affiner la granularité de l'accès d'un utilisateur distant sur un objet ressource désigné, par exemple un fichier ou une URL. Afin de permettre aux utilisateurs distants de comprendre instantanément leurs propres autorisations d'accès, la passerelle virtuelle fournit une plate-forme particulièrement conviviale et personnalisée: elle combine les fichiers et les URL dans des listes de ressources "personnalisées" à afficher à l'utilisateur distant. C'est comme si la passerelle virtuelle était un restaurant à la mode nouvelle vague qui vend non seulement des plats gastronomiques, mais aussi des services personnalisés, permettant à différents menus d'être personnalisés pour des clients ayant des goûts différents.

Ce n'est pas sa seule particularité. Comme la plupart des entreprises, pour des raisons de sécurité, ne veulent pas rendre publiques les adresses de ressources de leur serveur réseau interne (URL ou chemin de fichier), le VPN SSL fournit donc également un service de «cryptage d'adresse de ressource» qui réécrit le chemin de la ressource, permettant l'utilisateur distant pour non seulement accéder en douceur aux ressources du réseau interne, mais aussi rendre très difficile la découverte de l'adresse des ressources du réseau interne. Cela revient à appeler un simple plat de pommes de terre `` Sphères de gloire '', ou à appeler un hot-dog `` le sceptre du roi '' ― à première vue, la signification du nom n'est pas claire, et beaucoup de temps et d'efforts sont nécessaires avant qu'un tel nom puisse être déchiffré . Mais je m'égare, commençons par le premier plat:

Pour faire simple, la fonction de partage de fichiers du VPN SSL permet aux utilisateurs distants d'accéder en toute sécurité aux serveurs de fichiers internes de l'entreprise directement à l'aide d'un navigateur, et prend en charge les opérations de fichiers telles que la création de nouveaux fichiers, l'édition, le téléchargement et les téléchargements, etc. Ceci est illustré à la figure 1 -1 .

Figure 1-1 Scénario d'utilisation du partage de fichiers VPN SSL


[Dr.WoW] [No.40] Partage de fichiers-1293711-1

À l'heure actuelle, les protocoles de partage de fichiers qui sont relativement populaires dans les entreprises comprennent SMB (Server Message Block) et NFS (Network File System). Le premier est principalement utilisé dans le système d'exploitation Windows, tandis que le second est principalement utilisé dans le système d'exploitation Linux. Les VPN SSL des pare-feu de Huawei sont compatibles avec ces deux protocoles, nous n'avons donc pas à nous en préoccuper. Le contenu suivant utilisera le protocole SMB à titre d'exemple et utilisera le contrôleur de domaine, une méthode d'authentification commune, pour introduire l'interaction de partage de fichiers.

Dans la figure 1-2 , on peut voir que le pare-feu sert de périphérique proxy et que sa communication avec le client se fait toujours via la transmission cryptée du protocole HTTPS (HTTP + SSL). Une fois que le paquet chiffré a atteint le pare-feu, le pare-feu le déchiffre et effectue la conversion de protocole. Enfin, le pare-feu sert de client SMB et initie une demande au serveur de partage de fichiers SMB correspondant, qui contient également le processus d'authentification du serveur de fichiers. Sur la base des protocoles utilisés dans la communication, le processus susmentionné peut être résumé en deux phases:

1.          Interaction HTTPS entre le client distant servant de client Web et le pare-feu servant de serveur Web.

2.          Interaction SMB entre le pare-feu servant de client SMB et le serveur de fichiers (le serveur SMB)

Figure 1-2 Processus de partage de fichiers VPN SSL


[Dr.WoW] [No.40] Partage de fichiers-1293711-2

Ci-dessous, nous décrirons en détail les méthodes de configuration du partage de fichiers et les principes du partage de fichiers.

2 Configuration du partage de fichiers

Avant d'introduire officiellement les échanges de paquets impliqués dans le partage de fichiers, nous supposerons d'abord que les ressources de partage de fichiers ont déjà été configurées sur un serveur de fichiers SMB (ici, nous utiliserons Windows Server 2008 comme exemple), et que des autorisations ont été accordées sur le contrôleur de domaine:

Adresse d'accès aux ressources: \\ 4.0.2.11 \ huawei

Configuration des autorisations utilisateur: l'administrateur dispose d'autorisations de lecture / écriture; l'utilisateur n'a que l'autorisation de lecture.

La passerelle virtuelle sert d'entrée du VPN SSL pour toutes les ressources. Toutes les ressources qui doivent être accessibles doivent apparaître dans la configuration SSL VPN ― cela incarne également l'approche de conception du SSL VPN qui permet d'affiner la granularité du contrôle d'accès. Le partage de fichiers nécessite tout d'abord d'activer la fonction de partage de fichiers et de créer de nouvelles ressources de partage de fichiers, l'objectif étant de fournir un "menu" de ressources de partage de fichiers visible pour l'utilisateur distant, comme le montre la figure 1-3 .

Figure 1-3 Configuration du partage de fichiers


[Dr.WoW] [No.40] Partage de fichiers-1293711-3

3 Interaction entre l'utilisateur distant et le pare-feu

Après une connexion réussie, les ressources que la passerelle virtuelle met à la disposition de l'utilisateur apparaîtront sur cette interface. Passer la souris sur une ressource permet de voir le lien Web correspondant des ressources dans la barre d'état du navigateur; ce lien inclut les pages qui doivent être demandées au pare-feu et les paramètres qui doivent être fournis, comme illustré dans la figure 1-4 . Nous ne voulons pas sous-estimer cette URL, car elle représente les informations de ressource de fichier demandées par l'utilisateur distant et les commandes opérationnelles correspondantes. Différents répertoires et opérations correspondront chacun à des URL différentes.

Figure 1-4 Interface de connexion VPN SSL sharing partage de fichiers


[Dr.WoW] [No.40] Partage de fichiers-1293711-4

https://4.1.64.12/protocoltran/Login.html?VTID=0&UserID=4&SessionID=2141622535&ResourceType=1&ResourceID=4&PageSize=20&",1)

Q: Pourquoi la ressource de fichier \\ 4.0.2.11 \ huawei mentionnée ci-dessus ne peut-elle pas être vue ici?

R: Parce que le pare-feu a déjà caché cela. L'utilisation de l'ID de ressource est le seul moyen de confirmer l'adresse de la ressource. La relation correspondante entre l'ID de ressource et l'adresse de la ressource est stockée dans le cerveau du pare-feu (mémoire); cela permet de masquer l'adresse réelle du serveur de réseau interne, protégeant ainsi la sécurité du serveur.

Pour approfondir notre *** ysis de ce lien Web, en plus du fait évident que 4.1.64.12 est l'adresse de la passerelle virtuelle, je vais diviser les parties restantes de la structure du lien en trois parties:

l    protocoltran est le répertoire spécial pour le partage de fichiers. Il est clair d'après son nom qu'il s'agit d'un protocole + transformation, ce qui indique qu'il effectue une conversion dans les deux sens entre le protocole HTTPS et les protocoles SMB / NFS.

l    Login.html est la page de demande. De manière générale, différentes opérations correspondront à différentes pages de demande. J'ai organisé toutes les pages de demande et les pages de résultats de demande qui peuvent être utilisées dans le tableau 1-1 .

Tableau 1-1 Pages de demande de partage de fichiers et pages de résultats de demande


Nom de la page

Sens

login.html

loginresult.html

Page d'authentification du serveur de fichiers SMB

dirlist.html

Affiche la structure des dossiers et la liste détaillée des ressources de partage de fichiers.

downloadresult.html

downloadfailed.html

Télécharge les fichiers.

create.html

result.html

Crée des dossiers.

deleteresult.html

result.html

Supprime les fichiers et les dossiers.

rename.html

result.html

Renomme des fichiers et des dossiers.

upload.html

uploadresult.html

Télécharge des fichiers.



l     ?VTID=0&UserID=4&SessionID=2141622535&ResourceType=1&ResourceID=4&PageSize=20&",1sont des paramètres transmis à la page de demande. Ici, je vais d'abord donner un tableau de paramètres détaillé. En plus des paramètres couverts par cette URL, j'ai également inclus des paramètres de demande pour d'autres opérations pour aider tout le monde à comprendre.

Tableau 1-2 Détails des paramètres de la page de demande


Paramètre

Sens

VTID

L'ID de passerelle virtuelle, utilisé pour distinguer plusieurs passerelles virtuelles sur le même pare-feu.

Identifiant d'utilisateur

L'ID utilisateur, identifiant l'utilisateur actuellement connecté. Pour des raisons de sécurité, l'ID est différent pour chaque connexion par le même utilisateur afin d'empêcher une attaque de l'homme du milieu de créer des paquets de données fabriqués.

SessionID / RandomID

L'ID de session; tous les ID de session pour la même connexion à la passerelle virtuelle sont les mêmes.

ResourceID

L'ID de ressource, identifiant chaque ressource de partage de fichiers.

CurrentPath

Chemin d'accès au fichier de l'opération en cours.

MethodType

Types d'opérations:

1: Suppression de dossiers

2: Suppression de fichiers

3: Affichage d'un répertoire

4: renommer un répertoire

5: renommer un fichier

6: Création d'un nouveau répertoire

7: Téléchargement d'un fichier

8: Téléchargement d'un fichier

Numéro d'article

Nombre d'objets opérationnels.

ItemName1

Nom (s) des objets opérationnels; cela peut contenir plusieurs cibles opérationnelles, par exemple la suppression de plusieurs fichiers.

ItemType1

Type d'objet opérationnel:

0: fichier

1: dossier

Nouveau nom

Nouveau nom.

Type de ressource

Type de ressource:

1: Ressources SMB

2: Ressources NFS

Taille de la page

Chaque page affiche le nombre d'éléments de ressource.



Afin de permettre à tout le monde de comprendre le panorama complet des fonctions de partage de fichiers, je donnerai une explication supplémentaire, une par une, de certaines des opérations et commandes susmentionnées en utilisant des fonctions de partage de fichiers spécifiques comme exemples.

Lorsque vous accédez aux ressources de partage de fichiers pour la première fois, l'authentification du serveur de fichiers doit d'abord être transmise.

L'authentification indiquée ici doit être distinguée de l'authentification qui se produit lors de la connexion au VPN SSL. Dans la phase de connexion, la première chose que l'utilisateur distant doit passer est l'authentification du pare-feu. Cette fois, nous voulons accéder aux ressources de partage de fichiers et nous devons bien sûr vérifier si le serveur de fichiers y consent. Lorsque vous cliquez sur "Partage public" dans la liste des ressources, une page d'authentification apparaîtra, comme le montre la figure 1-5 .

Figure 1-5 Connexion au partage de fichiers


[Dr.WoW] [No.40] Partage de fichiers-1293711-5

Après avoir réussi l'authentification, la page de ressource de fichier apparaît, comme illustré à la figure 1-6 .

Figure 1-6 Opérations de partage de fichiers


[Dr.WoW] [No.40] Partage de fichiers-1293711-6

Nous savons que le processus d'accès ci-dessus peut être divisé en deux étapes (authentification et affichage des dossiers), mais le véritable processus d'interaction est-il comme ça? Une capture de paquets *** ysis du processus d'interaction est la suivante:


[Dr.WoW] [No.40] Partage de fichiers-1293711-7

C'est vrai, il semble que ma compréhension était correcte. Login.html / LoginResult.html sont toutes les pages d'authentification, et une fois le paquet chiffré déchiffré, LoginResult.html inclut également le nom d'utilisateur et le mot de passe en attente d'authentification par le serveur de fichiers. De plus, Dirlist.html est la page qui affiche la structure des dossiers.

3.          Vérification du téléchargement de fichiers

La page de téléchargement de fichier et l'URL correspondante sont comme indiqué dans la figure 1-7 .

Figure 1-7 Téléchargement de fichiers



[Dr.WoW] [No.40] Partage de fichiers-1293711-8

[Dr.WoW] [No.40] Partage de fichiers-1293711-9


Le tableau ci-dessus peut être utilisé pour mettre en mots l'opération de téléchargement de fichier: le téléchargement (MethodType = 8) est du fichier (CurrentPath = 2F) d'un répertoire racine (ItemType1 = 0), nommé readme_11 (ItemName1 =% r% e% a % d% m% e_% 1% 1). Mais il est important de noter qu'il y a un peu de contenu décrypté URL ici. Par exemple, le décryptage de la valeur de CurrentPath ('2F') donne '/', qui exprime le répertoire racine des ressources actuelles.

4.          Authentification de renommer le dossier

La page renommer le dossier est illustrée à la figure 1-8 .

Figure 1-8 Renommer des dossiers




[Dr.WoW] [No.40] Partage de fichiers-1293711-10

[Dr.WoW] [No.40] Partage de fichiers-1293711-11

[Dr.WoW] [No.40] Partage de fichiers-1293711-12



Comme usera n'a que l'autorisation de lecture, un avis d'échec est donné, mais cela ne nous empêche pas de continuer avec *** yzing ceci: fichier (ItemType1 = 1) userb (ItemName1 =% u% s% e% r% b ) dans le répertoire racine (CurrentPath = 2F) est renommé usera (NewName =% u% s% e% r% a); l'URL correspondante est illustrée à la figure 1-9 .

Figure 1-9 URL correspondant à l'opération de renommage de dossier.


[Dr.WoW] [No.40] Partage de fichiers-1293711-13

Grâce à l'introduction ci-dessus, j'espère que tout le monde comprend maintenant que l'établissement de ces liens par le pare-feu consiste d'abord à masquer le véritable chemin d'accès aux ressources du fichier réseau interne ( \\ 4.0.2.11 \ huawei \), et ensuite à le pare-feu en tant que SSL Passerelle VPN pour créer un pont pour l'accès utilisateur à distance: en tant que client SMB, il initie l'accès aux fichiers sur le serveur SMB (définissant l'objet fichier et l'opération à accéder.)

4 Interaction du pare-feu avec le serveur de fichiers

Une capture de paquets entre le pare-feu et le serveur de fichiers est illustrée ci-dessous.



[Dr.WoW] [No.40] Partage de fichiers-1293711-14 5.          Le pare-feu 4.0.2.1, servant de client, lance une demande de négociation vers le serveur de fichiers 4.0.2.11. La première à négocier est la version SMB (dialecte). Le pare-feu ne prend actuellement en charge que l'utilisation de SMB1.0 (NT LM 0.12) dans son rôle de client dans l'interaction avec le serveur.


[Dr.WoW] [No.40] Partage de fichiers-1293711-15

6.          Les informations de réponse du serveur contiennent la méthode d'authentification à utiliser ensuite et un nombre aléatoire de défi à 16 chiffres. Une sorte de mécanisme d'authentification sécurisé est utilisé ici: le mécanisme de stimulation / réponse NT, appelé NTLM.


[Dr.WoW] [No.40] Partage de fichiers-1293711-16

Le processus d'authentification est à peu près le suivant:

une.           Le serveur génère un nombre aléatoire à 16 chiffres et l'envoie au pare-feu, pour servir de nombre aléatoire de défi.

b.          Le pare-feu utilise un algorithme HASH pour générer le mot de passe utilisateur et la valeur HASH, et chiffre le nombre aléatoire de défi reçu. Il utilise également une transmission en texte clair pour renvoyer son propre nom d'utilisateur avec celui-ci au serveur.

c.           Le serveur envoie le nom d'utilisateur, le numéro aléatoire de défi et le numéro aléatoire de défi chiffré renvoyé par le pare-feu au contrôleur de domaine.

ré.          Le contrôleur de domaine utilise le nom d'utilisateur pour rechercher la valeur de hachage du mot de passe utilisateur dans la base de données d'administration des mots de passe; ceci est également utilisé pour crypter le nombre aléatoire de défi. Le contrôleur de domaine compare les deux nombres aléatoires de défi chiffrés, et s'ils sont identiques, l'authentification réussit.

Une fois l'authentification réussie, l'utilisateur peut accéder au fichier ou dossier désigné.

Pour résumer ce qui précède, nous pouvons voir que le rôle du pare-feu dans la fonction de partage de fichiers est en fait celui d'un proxy qui est un intermédiaire entre l'utilisateur distant et le serveur SMB: à l'étape HTTPS, il sert de serveur Web lors de la réception du fichier demande d'accès de l'utilisateur distant, et traduit cela en une demande SMB; à l'étape SMB, il sert de client SMB pour lancer une demande, recevoir la réponse et la traduire pour donner à l'utilisateur distant. Avec la fonction de partage de fichiers, l'accès utilisateur à distance au serveur de fichiers interne est tout aussi pratique que son accès aux pages Web ordinaires ― il n'a pas besoin d'installer un client de partage de fichiers, n'a pas à se souvenir de l'adresse IP du serveur, et ne se perdra pas parmi une multitude de serveurs.


Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .



  • x
  • Standard:

paulineviard
publié il y a 2020-7-2 00:34:40
Merci de le partager avec nous
View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.