Tài liệu KHÓA LƯU LƯỢNG PING VỚI IPSec docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (712.02 KB, 12 trang )
KHÓA LƯU LƯỢNG PING VỚI IPSec
Trong bài này chúng tôi sẽ hướng dẫn bạn cách cấu hình các máy tính Windows
2000/XP/2003 để khóa các gói dữ liệu Ping.
Các máy tính Windows 2000/XP/2003 có một cơ chế bảo mật IP đi kèm mang tên
IPSec (IP Security). IPSec là một giao thức được thiết kế để bảo vệ các gói dữ liệu
TCP/IP khi chúng truyền tải trong mạng bằng cách sử dụng mã hóa khóa công. Về bản
chất, máy nguồn sẽ gói địa chỉ IP chuẩn tắc bên trong một gói IPSec đã được mã hóa.
Sau đó gói dữ liệu này sẽ được duy trì ở trạng thái mã hóa cho tới khi nó đến được
máy đích.
Ngoài tính năng kể trên, bên cạnh việc mã hóa, IPSec còn cho phép bạn có thể bảo vệ
và cấu hình máy trạm cũng như máy chủ với một cơ chế giống như tường lửa.
Bạn có thể bảo vệ các máy tính của mình bằng IPSec? Rất đơn giản, chỉ cần tạo một
chính sách để chỉ thị cho máy tính khóa tất cả lưu lượng IP nào đó đã được cấu hình
bởi rule đó.
Khóa PING trên một máy tính
Để khóa lưu lượng PING đến và đi khỏi một máy tính, bạn cần tạo một chính sách
IPSec dùng để khóa tất cả lưu lượng ICMP.
Kiểm tra xem máy tính có đáp trả các yêu cầu PING bằng cách ping đến nó:
Để cấu hình, bạn thực hiện theo các bước sau:
Cấu hình danh sách lọc địa chỉ IP và các hành động lọc.
• Mở cửa sổ MMC (Start > Run > MMC).
• Add Security Policy Management Snap-In.
• Trong cửa sổ Select which computer this policy will manage, chọn Local
Computer
(hoặc bất cứ chính sách nào phụ thuộc vào nhu cầu của bạn).
Kích
Close sau đó kích Ok.
• Kích phải vào IP Security Policies trong panel bên trái của giao diện điều
khiển MMC. Chọn
Manage IP Filter Lists and Filter Actions.
• Bạn không cần cấu hình một bộ lọc (IP Filter) IP cụ thể cho ICMP (giao thức
được sử dụng cho PING) vì bộ lọc như vậy đã tồn tại mặc định - All ICMP
Traffic.
Mặc dù vậy bạn vẫn có thể cấu hình nhiều bộ lọc (IP Filter) IP cụ thể cho ICMP. Cho
ví dụ, bạn có thể muốn ngăn chặn một máy chủ nào đó trả lời tất cả các PING ngoại
trừ các PING được gửi bởi một máy tính nào đó được sử dụng bởi phòng trợ giúp.
Trong trường hợp đó, bạn cần
add một IP Filter mới và sử dụng các địa chỉ IP đích và
nguồn đã định nghĩa của mình, và giao thức ICMP. Chúng tôi sẽ giới thiệu cho các bạn
cách khóa hành động duyệt web nhưng vẫn cho phép lưu lượng mạng nội bộ với IPSec
trong một bài khác để bạn biết thêm về cách tạo bộ lọc IP Filter.
• Trong Manage IP Filter Lists and Filter actions, xem lại các bộ lọc của bạn
và cân nhắc xem liệu tất cả đã ok, kích vào tab
Manage Filter Actions. Lúc
này chúng ta cần thêm hành động lọc để khóa lưu lượng được chỉ định của
mình, vì vậy hãy kích
Add.
• Trong màn hình chào, kích Next.
• Trong Filter Action Name, kích Next.
• Trong Filter Action General Options kích Block sau đó kích Next.
• Quay trở lại Manage IP Filter Lists and Filter actions, xem lại tất cả các bộ
lọc của bạn liệu đã ok, sau đó kích nút
Close. Bạn có thể thêm
các
Filters Actions và Filter Actions bất cứ lúc nào nếu muốn.
Bước tiếp theo là cấu hình IPSec Policy và gán nó.
Cấu hình IPSec Policy
• Trong giao diện MMC, kích phải vào IP Security Policies trên Local
Computer
và chọn Create IP Security Policy.
• Trong màn hình chào, kích Next
• Trong IP Security Policy Name, nhập vào tên mô tả, chẳng hạn như "Block
PING
". Kích Next.
• Trong cửa sổ Request for Secure Communication, bỏ chọn hộp kiểm Active
the Default Response Rule
. Kích Next.
• Trong cửa sổ Completing IP Security Policy Wizard, kích Finish.
• Lúc này chúng ta cần add IP Filters và Filter Actions khác nhau vào IPSec
Policy
mới. Trong cửa sổ IPSec Policy mới, kích Add để thêm vào IP Filters và
Filter Actions
• Trong cửa sổ chào, kích Next.
• Trong Tunnel Endpoint, bảo đảm rằng thiết lập mặc định được chọn và
kích
Next.
• Trong cửa sổ Network Type, chọn All Network Connections và kích Next.
• Trong cửa sổ IP Filter List, chọn "All ICMP Traffic" (hoặc bất cứ IP Filter
nào đã được cấu hình trong bước 5 ở phần trên bài viết). Nếu vì một lý do nào
đó, bạn không cấu hình đúng IP Filter từ trước thì bạn có thể nhấn
Add và thêm
nó vào lúc này. Khi xong, kích
Next.
• Trong cửa sổ Filter Action chọn "Block". Tiếp đến, nếu bạn chưa cấu hình
đúng Filter Action từ trước, bạn có thể nhấn
Add để thêm nó lúc này. Khi thực
hiện xong, kích
Next.
• Lưu ý về cách add IP Filter.
Tiếp đến, bạn có thể thêm bất cứ sự kết hợp của IP Filters và Filter Actions nếu muốn.
Lưu ý rằng bạn không thể thay đổi thứ tự của chúng giống như các tường lửa đúng
nghĩa. Tuy nhiên cấu hình này làm việc khá hoàn hảo.
Giai đoạn tiếp theo là gán IPSec Policy.
Gán IPSec Policy
• Trong giao diện MMC, kích phải vào IPSec Policy và chọn Assign.
Khi thực hiện xong, bạn có thể test cấu hình bằng cách thử lướt đến một website bị
hạn chế và bị cấm nào đó.
Khóa nhiều máy tính
Việc khóa nhiều máy tính có thể được thực hiện theo hai cách:
Export và Import IPSec Policy
Cấu hình IPSec Policy thông qua GPO
Cả hai phương pháp trên đều được sử dụng để ngăn chặn một số máy tính có thể sử
dụng ICMP (cho cho các IPSec Policy khác).
