hướng dẫn cấu hình IPSec bảo mật lưu thông mạng với IPsec
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (606.85 KB, 33 trang )
BẢO MẬT LƯU THÔNG
BẢO MẬT LƯU THÔNG
MẠNG VỚI
MẠNG VỚI
IPSEC
IPSEC
MỤC TIÊU CỦA
IPSEC
IPSEC
Bảo vệ nội dung của các gói tin
IP
IP
Cung cấp sự phòng vệ chống lại các
cuộc tấn công
IPSEC LÀ GÌ?
IPSec
IPSec là một khung kiến trúc
cung cấp các dịch vụ bảo
mật dạng mã hóa cho các gói
tin
IP
IP.
CÁC TÍNH NĂNG BẢO MẬT IPSEC
CÁC TÍNH NĂNG BẢO MẬT IPSEC
Tính xác nhận và Tính nguyên vẹn dữ liệu:
IPSec
IPSec cung cấp một cơ chế mạnh mẽ để xác
nhận tính chất xác thực của người gửi và kiểm
chứng bất kỳ sự sửa đổi không được bảo vệ
trước đó của nội dung gói dữ liệu bởi người
nhận.
Các giao thức
IPSec
IPSec đưa ra khả năng bảo vệ
mạnh để chống lại các dạng tấn công giả mạo,
đánh hơi và từ chối dịch vụ
CÁC TÍNH NĂNG BẢO MẬT IPSEC (tt)
CÁC TÍNH NĂNG BẢO MẬT IPSEC (tt)
Sự cẩn mật:
Các giao thức
IPSec
IPSec mã hóa dữ liệu bằng
cách sử dụng kỹ thuật mã hóa cao cấp, giúp
ngăn cản người chưa chứng thực truy cập dữ
liệu trên đường đi của nó.
IPSec
IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ
IP
IP của nút nguồn (người gửi) và nút đích
(người nhận) từ những kẻ nghe lén.
CẤU HÌNH IPSEC
CẤU HÌNH IPSEC
Ví dụ một mô hình mạng với sơ đồ
IPSEC
IPSEC như sau .
Không cho phép truy cập
Cho phép truy cập
Server 2003
100.168.100.10
100.168.100.30
100.168.100.40
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Bước 1
Bước 1: Tạo danh sách cho phép và
không cho phép truy cập, tạo luật cho
phép và không cho phép .
Danh sách cho phép là hai máy tính có địa
chỉ IP 100.168.100.30 và 100.168.100.40,
hai máy tính này có thể truy cập vào máy
chủ có địa chỉ IP 100.168.100.10 thông
qua giao thức TCP tại hai cổng 445 và
139.
Ngược lại danh sách không cho phép.
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Chọn Start / Adminitrative Tool / Domain Controller
Security Policy, sau đó chuột phải vào mục IP Srcurity
Policies on Active Directory… và chọn mục Manager IP
filter lists and filter actions… để tạo .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Tại hộp thọai Manager IP lists filter and filter actions, tại
tab Manager IP Filter Lists nhấn chọn nút Add để bắt
đầu tạo các danh sách cho IPSec.
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Trước hết, ta sẽ tạo danh sách cho phép, sau khi nhấn
nút Add, tại hộp thoại IP Filter Lists, nhập tên danh sách
vào ô Name, sau đó nhấn tiếp nút Add để thêm các địa
chỉ IP .
Nhập tên danh sách, sau đó nhấn Add
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Tại hộp thoại IP Filter Properties, tại tab Addresses
chọn A specific IP Address tại ô Source address, nhập
địa chỉ IP máy thứ nhất 100.168.100.30 là máy Client
cho phép truy cập vào máy chủ, tại ô Destination
address cũng chọn A specific IP Address và nhập địa chỉ
IP máy đích là địa chỉ IP của máy chủ: 100.168.100.10 .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Chuyển sang tab Protocol, chúng ta sẽ chọn giao thức
kết nối là giao thức TCP và cổng kết nối đến máy chủ là
cổng 445. Sau đó nhấn OK .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Tiếp theo, chúng ta sẽ tạo danh sách không cho phép.
Tại tab IP Filter Lists nhập tên danh sách không cho
phép vào ô Name, sau đó nhấn nút Add .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Danh sách không cho phép là bất kì máy tính nào kết
nối đến máy chủ thông qua giao thức TCP tại hai cổng
445 và 139. Ở đây chúng ta sẽ chọn Any IP Address tại
ô Source address và ô Destination address chọn A
specific IP Address sau đó nhập địa chỉ IP máy chủ .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Chuyển sang tab Protocol, chúng ta sẽ chọn giao thức
kết nối là giao thức TCP và cổng kết nối đến máy chủ là
cổng 445. Sau đó nhấn OK .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Bây giờ ta sẽ tạo luật cho phép và không cho phép.
Cũng tại hộp thoại Manager IP lists filter and filter actions
chuyển sang tab Manager Filter Actions và nhấn nút
Add để tạo luật .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Đối với luật cho phép, ta sẽ chọn là Permit .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Chuyển sang tab General nhập tên của hành động là
cho phép vào ô Name. Sau đó nhấn Apply và OK .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Tiếp tục nhấn nút Add để tạo luật không cho phép, hành
động cho phép thì chúng ta sẽ chọn là Block .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Tương tự ở tab General, đặt tên cho hành động là
không cho phép .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Bước 2
Bước 2: Tạo IPSec.
Chuột phải vào IP Srcurity Policies on Active
Directory… chọn Create IP Security Policy… để
tạo mới một IPSec
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Nhập ten IPSec vào ô Name ở hộp thoại IP security
Policy Name, sau đó nhấn Next .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Tiếp tục nhấn Next và Finish, tiếp theo, hộp thoai
Properties của IPSec vừa tạo hiện ra. Tại tab Ruler chọn
nút Add .
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Chúng ta sẽ tạo rule cho phép trước. Ở hộp thoại New
Ruler Properties, tại tab IP Filter Lists, chọn mục Danh
Sach Cho Phep.
CẤU HÌNH IPSEC (TT)
CẤU HÌNH IPSEC (TT)
Tương ứng với Danh Sach Cho Phep là hành động cho
phép, chuyển sang tab Filter Actions chọn mục Cho
Phep. Sau đó nhấn Apply và OK để đồng ý . (Trong quá
trình làm việc, chúng ta sẽ làm việc theo từng tab, cho
nên sẽ tích bỏ chọn ở ô Use Add Wizard )
Chọn hành động cho phép tương ứng
