bảo vệ thư mục dùng chung với ipsec
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (471.74 KB, 11 trang )
Bảo vệ thư mục dùng chung
với IPSec
Giải pháp VLAN (Virtual LAN) thường được triển khai để cách ly các
máy tính nối mạng nhưng trong thực tế nhiều đơn vị không có điều kiện
trang bị switch hỗ trợ VLAN. Trong trường hợp này, dùng IPSec là giải pháp
hữu hiệu để bảo vệ tài nguyên mạng chẳng hạn như thư mục dùng chung.
Trongmô hình vídụ có 2 nhómmáy tính,gọi lànhóm 1 vànhóm 2. Ta sẽ thựchiện
cấu hình IPSec để chỉ có các máy tính ở trong cùng 1nhóm có thể truy cập thư mục
dùngchung của nhau.
Để truy cập thư mục dùng chung, hệ điều hành XP/2000/2003dùng giao thức TCP
port 139và port 445. Như vậyta sẽ tạo 1 policyđể lọc các cổng này.
1. Tạo mới và cấu hình IP Secutity Policy cho máy tính đầu tiên
Bước 1: Chọn Start,Run và gõ MMC, nhấn Enterđể mở trình Microsoft
ManangementConsole.
Bước 2: Trong cửa sổ Console, chọn File,rồi chọn Add/Remove Snap-in.
Bước 3: Trong hộp thoại mới mở, nhấn Add.Trong hộp thoại Add StanaloneSnap-
in ta chọn IP Security PolicyManagementrồi nhấn Add.
Bước 4: Trong hộp thoại SelectComputer orDomainta chọn Local
computer rồi nhấn Finish.
Bước 5: Tiếp theo nhấnFinish ->Close, rồi OK để trở về màn hình của MMC
Bước 6: Nhấn phải chuộtvào mục IP SecurityPolicies on LocalComputer vàchọn
CreateIP Security Policy. Nhấn Next để tiếp tục.
Bước 7: Tiếp theo, gõtên củaPolicy cần tạo vào ô name,ví dụ "Lọc cổng 445
và 139". Nhấn Next để tiếp tục.
Bước 8: Chọn Activatethe defaultresponse rule,rồi nhấn Next. Tiếp theo,
tại DefaultResponse RuleAuthenticationMethod, bạn chọnUse this string to
protectthe key exchange(presharedkey) và gõvào "1234". Nhấn Nextđể tiếptục.
Bước 9: Chọn Editproperties, rồi nhấn Finishđể hoàn tất.
Bước 10: Tronghộp thoại"Lọc cổng 445 và 139",bạn bỏ mục chọnở phần
<Dynamic> vànhấn Add. Tiếptục, bạn chọn Nextvà chọn Thisrule does not
specifya tunnel. Nhấn Next,chọn All Connection, rồinhấn Next; bạn chọnUse this
string toprotect the key exchange(preshared key) và gõvào "1234". Nhấn Nextđể
tiếp tục.
Bước 11: Tronghộp thoạiIP Filter List, bạn chọn Add. Tại mụcname, bạn gõ
vào tên của danhsách, vídụ "Cổng 445,139 ra - vào" (nên đặt tên cho dễ nhớ).
NhấnAdd,rồi Next -> Nextđể tiếp tục.
Bước 12: Tronghộp thoạiIP Filter Wizard, bạn gõ mô tả vào ô Description,
ví dụ "445 ra".Nhấn Nextđể tiếp tục.
Bước 13:
Tại mục IP Traffic Source Addressbạn chọnMy IP Address.Nhấn Nextđể tiếp tục.
Tại mục IP Traffic DestinationAddressbạn chọnAny IP Address.Nhấn Nextđể
tiếp tục.
Tại mục Select aprotocol typebạn chọn TCP.Nhấn Nextđể tiếptục.
Tại mục hộp thoại IP Protocol Portbạn chọn To this portvà gõ vào giá trị 445.
NhấnNextrồi Finish để hoàntất.
Bước 14: Lặp lại từ bước 12 đếnbước 13 thêm3 lần nữa với các tham số
như sau:
- Lần 1:
* Descripton :Cổng 445 vào
* Source Address: My IP Address
* DestinationAddress:Any IP Address
* Protocol Type:TCP
* IP Protocol Port: Chọn Fromthis portgiá trị 445
- Lần 2:
* Descripton: Cổng 139ra
* Source Address:My IP Address
* DestinationAddress:Any IP Address
* Protocol Type:TCP
* IP Protocol Port: Chọn Tothis portgiá trị 139
- Lần 3:
* Descripton: Cổng 139vào
* Source Address:My IP Address
* DestinationAddress:Any IP Address
* Protocol Type:TCP
* IP Protocol Port: Chọn Fromthis portgiá trị 139
Kết thúc ta thu đượckết quả như hình. Nhấn OK để tiếp tục.
Bước 15: Tronghộp thoạiSecurity Rile Wizard, ta chọnmục Cổng 445,139 ra -
vào. Nhấn Next để tiếp tục.
Bước 16: Tại hộpthoại FilterAction ta chọn mục RequireSecurity.Nhấn
Edit để thayđổi tham số của Filter Action.
Bước 17: Tronghộp thoạiRequireSecurity Properties, ta chọnmục Use
session keyperfectforward secrecy (PFS).Nhấn OKđể quay trở lại rồi nhấnNext
để tiếp tục.
Bước 18: Tiếp theotrong hộp thoại AuthenticationMethod, bạn chọnUse
this stringto protectthe key exchange(presharedkey) và gõvào "1234".
Bạn có thể dùng chuỗi khácphức tạp hơn, tuy nhiênphải nhớ rằng cácmáy tính
trong cùng 1 nhóm sẽ có presharedkey giống nhau.
Tại hộp thoại này còn có 2 mục trên chúng ta không chọncó ý nghĩanhư sau:
- ActiveDirectory default(Kerberos V5 protocol): Chỉ chọnkhi máy tính của bạn là
thành viên được đăngnhập vào máy chủ (Windows Server2000/2003)có cài
ActiveDirectory (haycòn gọi tắtlà AD). KerberosV5 là giao thức đượcmã hóa dữ
liệu sử dụnggiữa các usernằm trong AD.
- Use acertificate from this certificationauthority(CA): Sử dụng phươngthức xác
thực dựatrên Certificate Authority(CA). Muốn dùng phương thức này, bạn cầnkết
nối đếnmột máy chủ có cài Certificate Serviceđể thực hiện yêu cầu và cài đặt CA
dùngcho IPSec.
NhấnNexttiếp tục, rồi Finish để trở về.
Bước 19: Tronghộp thoạiEdit RulePropertiesbạn chọnmục "Cổng 445,139 ra -
vào"vànhấn Apply rồi OKđể trở về.
Bước 20: Nhấnphải chuộtvào mục IPSecurity Policy vừa tạo (Lọc cổng445 và
139) vàchọn Assign.
2. Sao chép IP Security cho máy tiếp theo
Ta có thể tiến hành20 bước trêncho máy 2, rồi máy 3. Tuynhiên, như vậy sẽ rất
mấtthời gian và cóthể xảy ra nhầm lẫn dẫnđến không thể liên lạc được với nhau.
Ta dùngcôngcụ netshđể thựchiện thao tácExport IPsecPolicy để xuất policy ra 1
file, sauđó nhập (Import) file này vào máy tínhkhác. Cáchthực hiện như sau:
Bước 1: Chuẩn bị
Chọn Start, Runvà gõ cmdvà ấn Enter.Tại dấu nhắccủa DOS ta gõlệnh sau để tạo
ra thư mụcIpsec ở ổ đĩa C:
md C:\Ipsec
Bước 2: Xuất IPSec policy rafile có tên Loc445va139.ipsec
Gõ lệnh sau:
netshipsecstatic exportpolicyfile = c:\Ipsec\Loc445va139
(phầnmở rộng ipsecdo netsh tự thêm vào)
Bước 3: Nhập IPSec Policy từ file Loc445va139.ipsec
Chépfile Loc445va139.ipsec vào thư mục C:\IPsecở máy 2 và gõlệnh sau:
netshipsecstatic importpolicyfile = c:\Ipsec\Loc445va139.ipsec
Tại máy 2, tiếp tục các bước từ 1 đến 5ở mục 1, để có được màn hìnhquản lý IP
SecurityManagement.Nhấn phải chuộtvào mục IPSecurity Policy (Lọc cổng445
và 139)và chọn Assign.
Tiếp tục bước3 với máy3.
3. Thực hiện với nhóm 2
Đối với máy 4,5 trong nhóm2, ta tiến hànhtương tự với nhóm 1 như đã trình bày
ở trên. Tuynhiên giá trị presharedkeyphảikhác là giá trị của nhóm 1.
