ĐẠI HỌC QUỐC GIA TP.HCM
TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT
KHOA TIN HỌC QUẢN LÝ
LỚP K09406
- - -    - - -
Tiểu Luận
Giới Thiệu Về IPSec Và Hướng Dẫn Cách Chặn Trình
Duyệt Web Với IPSec
Giảng viên hướng dẫn : Trương Hoài Phan
Nhóm thực hiện : 16
Thành viên : Ng. Thái Hoàng Anh K094061101
Nguyễn Tiến Đạt K094061116
Đinh Lê Miên K094061157
Nhữ Thanh Nam K094061161
Phùng Quốc Thái K094061194
Năm học 2014 - 2015
Mục Lục
1. Giới thiệu về Ipsec
1.1 Khái niệm IPSec là gì?
IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục
đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên
mạng bằng giao thức IP. Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được
thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ
liệu giữa các thiết bị mạng.
IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong
cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng
đối với IPv6, giao thức bảo mật này được triển khai bắt buộc.
1.2 Kiến trúc Ipsec
IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhau như
mật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựa trên

các thành phần cơ bản sau đây, mỗi thành phần được định nghĩa trong một tài liệu riêng
tương ứng:
Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầu của
IPSec.
- Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã và xác thực
thông tin trong IPSec.
- Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng gần giống
ESP. Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH, mỗi
giao thức có ưu và nhược điểm riêng.
- Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng trong IPSec.
IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng.
- Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng trong AH và
ESP.
- Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khoá trong IPSec.
- Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec.
IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơ chế, giao
thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ hoạt
động khác nhau. Việc xác định một tập các chế độ cần thiết để triển khai IPSec trong
một tình huống cụ thể là chức năng của miền thực thi.
Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với IP nhằm
cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói
dữ liệu. Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần:
-Giao thức đóng gói, gồm AH và ESP
-Giao thức trao đổi khoá IKE (Internet Key Exchange)
1.3 Các dịch vụ Ipsec
• Quản lý truy xuất (access control)
• Toàn vẹn dữ liệu ở chế độ không kết nối (connectionless integrity)
• Xác thực nguồn gốc dữ liệu (data origin authentication )
• Chống phát lại (anti-replay)
• Mã hoá dữ liệu (encryption)

• Bảo mật dòng lưu lượng (traffic flow confidentiality)
Việc cung cấp các dịch vụ này trong từng tình huống cụ thể phụ thuộc vào giao thức đóng
gói được dùng là AH hay ESP. Theo đó nếu giao thức được chọn là AH thì các dịch vụ mã
hoá và bảo mật dòng dữ liệu sẽ không được cung cấp.
1.4 Ưu khuyết điểm Ipsec
Ưu điểm:
- Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng,
thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà các
thành phần khác không cần phải xử lý thêm các công việc liên quan đến bảo mật.
- IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối
với các lớp này. Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ
khi IPSec được triển khai.
- IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu
cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp mà người dùng phải thực
hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet.
Khuyết điểm:
- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề
khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề
này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật
như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu
lượng khác.
- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với
các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính
phủ một số quốc gia.
2. Chặn duyệt web với Ipsec
2.1 Cấu hình danh sách lọc và các hoạt động của bộ lọc
1. Mở cửa sổ MMC (Start > Run > MMC).
2. Add IP Security and Policy Management Snap-In.



3. Trong cửa sổ Select which computer this policy will manage, chọn Local Computer (hoặc bất cứ chính
sách nào phụ thuộc vào nhu cầu của bạn). Kích Close sau đó kích Ok.
4. Kích phải vào IP Security Policies trong panel bên trái của giao diện điều khiển MMC. Chọn Manage
IP Filter Lists and Filter Actions.
5. Trong Manage IP Filter Lists and Filter actions, kích Add.
6. Trong cửa sổ IP Filter List, đánh vào tên mô tả (chẳng hạn như HTTP, HTTPS) và kích Add để thêm
các bộ lọc mới.
7. Trong cửa sổ chào, kích Next.
8. Trong hộp mô tả, đánh vào các thông tin mô tả nếu bạn muốn, sau đó kích Next.
9. Trong cửa sổ IP Traffic Source, để tùy chọn My IP Address được chọn và kích Next.
10. Trong cửa sổ IP Traffic Destination, để tùy chọn Any IP Address được chọn và kích Next.

11. Trong IP Protocol Type, cuộn xuống đến TCP và nhấn Next.
12. Trong IP Protocol Port, đánh 80 (cho HTTP) trong hộp To This Post và kích Next.
13. Trong cửa sổ IP Filter List, lưu ý cách một IP Filter đã được add như thế nào. Lúc này nếu muốn, bạn
có thể add HTTPS (Any IP to Any IP, Protocol TCP, Destination Port 443) theo cách thực hiện như trên.
14. Lúc này bạn đã thiết lập được cả hai bộ lọc, kích OK.
15. Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá lại các bộ lọc (bạn có thể add hoặc
remove các bộ lọc về sau). Lúc này chúng ta sẽ đi add một bộ lọc mới dùng để định nghĩa lưu lượng web
của mạng nội bộ (INTRANET). Tiếp đó, kích Add.
16. Đặt tên thích hợp cho bộ lọc mới – cho ví dụ - Intranet, sau đó tiến hành cấu hình bộ lọc bằng cách
kíchAdd.
17. Trong cửa sổ IP Traffic Source, để tùy chọn My IP Address được tích và kích Next.
18. Trong IP Traffic Destination, kích danh sách sổ xuống và chọn kiểu đích. Ví dụ, nếu bạn chỉ muốn
cho phép lưu lượng web cung cấp từ một máy chủ web nào đó trong mạng nội bộ (chẳng hạn nó mang
tên SERVER200), khi đó hãy chọn A Specific DNS Name.
Sau đó, trong Host Name, đánh SERVER200 và kích Next.
Nếu muốn cho phép lưu lượng web được cung cấp từ một subnet trong mạng nội bộ, chẳng hạn

như192.168.0.0/24, hãy chọn A Specific IP Subnet, và đánh vào Network ID và Subnet Mask cho subnet
yêu cầu. Kích Next.
19. Quay trở lại danh sách IP Filter, add bất kỳ bộ lọc nào khác mà bạn muốn, cuối cùng kích OK.
20. Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá các bộ lọc của bạn và nếu tất cả đều
ok, hãy kích tab Manage Filter Actions. Lúc này chúng ta cần add một hành động lọc (filter action) để
khóa lưu lượng chỉ định nào đó, vì vậy hãy kích Add.
21. Trong màn hình chào, kích Next.
22. Trong Filter Action Name đánh Block và kích Next.
23. Trong Filter Action General Options, kích Block sau đó kích Next.
24. Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá các bộ lọc của bạn, nếu tất cả ok, kích
nútClose. Bạn có thể thêm các Filters và Filter Actions bất cứ lúc nào nếu muốn.
2.2 Cấu hình Ipsec policy
1. Trong giao diện MMC, kích phải vào IP Security Policies trên Local Computer và chọn Create IP
Security Policy
2. Trong màn hình chào, kích Next.
3. Trong IP Security Policy Name, nhập vào tên mô tả, chẳng hạn như "Block HTTP, HTTPS, allow
Intranet". Kích Next.
4. Trong cửa sổ Request for Secure Communication, bỏ chọn hộp kiểm Active the Default Response
Rule. Kích Next.
5. Trong cửa sổ Completing IP Security Policy Wizard, kích Finish
6. Lúc này chúng ta cần add IP Filters và Filter Actions khác vào IPSec Policy mới. Trong cửa sổ IPSec
Policy mới, kích Add để thêm vào IP Filters và Filter Actions
7. Trong cửa sổ chào, kích Next.
8. Trong Tunnel Endpoint, bảo đảm rằng thiết lập mặc định được chọn và kích Next.
9. Trong cửa sổ Network Type, chọn All Network Connections và kích Next.
10. Trong cửa sổ IP Filter List, chọn một trong các IP Filter đã được cấu hình từ trước, cho ví dụ "HTTP,
HTTPS" (được cấu hình trong bước 6 ở phần trên bài viết). Nếu vì một lý do nào đó, bạn không cấu hình
đúng IP Filter từ trước thì bạn có thể nhấn Add và thêm nó vào lúc này. Khi xong, kích Next.
11. Trong cửa sổ Filter Action, chọn một trong các Filter Action đã được cấu hình từ trước, cho ví dụ
"Block" (đã được cấu hình trong bước 20 ở phần trên). Tiếp đến, nếu chưa cấu hình đúng Filter Action từ

trước thì bạn có thể nhấn Add và thêm nó vào lúc này. Khi xong, kích Next
12. Quay trở lại cửa sổ new IPSec Policy, bảo đảm rằng new IP Filter được chọn. Kích Add để bổ sung
thêm IP Filters và Filter Actions giống như những gì bạn đã thực hiện ở trên. Trong ví dụ này, chúng ta
sẽ add "Intranet" IP Filter.
Thực hiện các bước từ 7 đến bước 11.
13. Add "Intranet" IP Filter.
14. Cấu hình nó để sử dụng Permit Filter Action.
15. Lưu ý cách hai IP Filter được add.
Lưu ý rằng bạn không thể thay đổi thứ tự của chúng giống như trong các tường lửa chuyên dụng. Mặc dù
vậy cấu hình này làm việc khá tốt.
2.3 Gán Ipsec policy
Trong giao diện MMC, kích phải vào new IPSec Policy và chọn Assign.
Khi thực hiện xong, bạn có thể test cấu hình bằng cách thử lướt đến một Windows nào đó bị chặn và một
website không bị chặn.
2.4 Khóa nhiều máy tính
Việc khóa nhiều máy tính có thể được thực hiện theo hai cách:
Export và Import IPSec Policy
Cấu hình IPSec Policy thông qua GPO
Cả hai phương pháp trên đều được sử dụng để ngăn chặn một số máy tính có thể sử dụng ICMP (cho cho
các IPSec Policy khác).