Bảo vệ thư mục dùng chung với IPSec Giải pháp VLAN (Virtual LAN) thường được triển khai để cách ly các máy tính nối mạng nhưng trong thực tế nhiều đơn vị không có điều kiện trang bị switch hỗ trợ VLAN. Trong trường hợp này, dùng IPSec là giải pháp hữu hiệu để bảo vệ tài nguyên mạng chẳng hạn như thư mục dùng chung. Trongmô hình vídụ có 2 nhómmáy tính,gọi lànhóm 1 vànhóm 2. Ta sẽ thựchiện cấu hình IPSec để chỉ có các máy tính ở trong cùng 1nhóm có thể truy cập thư mục dùngchung của nhau. Để truy cập thư mục dùng chung, hệ điều hành XP/2000/2003dùng giao thức TCP port 139và port 445. Như vậyta sẽ tạo 1 policyđể lọc các cổng này. 1. Tạo mới và cấu hình IP Secutity Policy cho máy tính đầu tiên Bước 1: Chọn Start,Run và gõ MMC, nhấn Enterđể mở trình Microsoft ManangementConsole. Bước 2: Trong cửa sổ Console, chọn File,rồi chọn Add/Remove Snap-in. Bước 3: Trong hộp thoại mới mở, nhấn Add.Trong hộp thoại Add StanaloneSnap- in ta chọn IP Security PolicyManagementrồi nhấn Add. Bước 4: Trong hộp thoại SelectComputer orDomainta chọn Local computer rồi nhấn Finish. Bước 5: Tiếp theo nhấnFinish ->Close, rồi OK để trở về màn hình của MMC Bước 6: Nhấn phải chuộtvào mục IP SecurityPolicies on LocalComputer vàchọn CreateIP Security Policy. Nhấn Next để tiếp tục. Bước 7: Tiếp theo, gõtên củaPolicy cần tạo vào ô name,ví dụ "Lọc cổng 445 và 139". Nhấn Next để tiếp tục. Bước 8: Chọn Activatethe defaultresponse rule,rồi nhấn Next. Tiếp theo, tại DefaultResponse RuleAuthenticationMethod, bạn chọnUse this string to protectthe key exchange(presharedkey) và gõvào "1234". Nhấn Nextđể tiếptục. Bước 9: Chọn Editproperties, rồi nhấn Finishđể hoàn tất. Bước 10: Tronghộp thoại"Lọc cổng 445 và 139",bạn bỏ mục chọnở phần <Dynamic> vànhấn Add. Tiếptục, bạn chọn Nextvà chọn Thisrule does not specifya tunnel. Nhấn Next,chọn All Connection, rồinhấn Next; bạn chọnUse this string toprotect the key exchange(preshared key) và gõvào "1234". Nhấn Nextđể tiếp tục. Bước 11: Tronghộp thoạiIP Filter List, bạn chọn Add. Tại mụcname, bạn gõ vào tên của danhsách, vídụ "Cổng 445,139 ra - vào" (nên đặt tên cho dễ nhớ). NhấnAdd,rồi Next -> Nextđể tiếp tục. Bước 12: Tronghộp thoạiIP Filter Wizard, bạn gõ mô tả vào ô Description, ví dụ "445 ra".Nhấn Nextđể tiếp tục. Bước 13: Tại mục IP Traffic Source Addressbạn chọnMy IP Address.Nhấn Nextđể tiếp tục. Tại mục IP Traffic DestinationAddressbạn chọnAny IP Address.Nhấn Nextđể tiếp tục. Tại mục Select aprotocol typebạn chọn TCP.Nhấn Nextđể tiếptục. Tại mục hộp thoại IP Protocol Portbạn chọn To this portvà gõ vào giá trị 445. NhấnNextrồi Finish để hoàntất. Bước 14: Lặp lại từ bước 12 đếnbước 13 thêm3 lần nữa với các tham số như sau: - Lần 1: * Descripton :Cổng 445 vào * Source Address: My IP Address * DestinationAddress:Any IP Address * Protocol Type:TCP * IP Protocol Port: Chọn Fromthis portgiá trị 445 - Lần 2: * Descripton: Cổng 139ra * Source Address:My IP Address * DestinationAddress:Any IP Address * Protocol Type:TCP * IP Protocol Port: Chọn Tothis portgiá trị 139 - Lần 3: * Descripton: Cổng 139vào * Source Address:My IP Address * DestinationAddress:Any IP Address * Protocol Type:TCP * IP Protocol Port: Chọn Fromthis portgiá trị 139 Kết thúc ta thu đượckết quả như hình. Nhấn OK để tiếp tục. Bước 15: Tronghộp thoạiSecurity Rile Wizard, ta chọnmục Cổng 445,139 ra - vào. Nhấn Next để tiếp tục. Bước 16: Tại hộpthoại FilterAction ta chọn mục RequireSecurity.Nhấn Edit để thayđổi tham số của Filter Action. Bước 17: Tronghộp thoạiRequireSecurity Properties, ta chọnmục Use session keyperfectforward secrecy (PFS).Nhấn OKđể quay trở lại rồi nhấnNext để tiếp tục. Bước 18: Tiếp theotrong hộp thoại AuthenticationMethod, bạn chọnUse this stringto protectthe key exchange(presharedkey) và gõvào "1234". Bạn có thể dùng chuỗi khácphức tạp hơn, tuy nhiênphải nhớ rằng cácmáy tính trong cùng 1 nhóm sẽ có presharedkey giống nhau. Tại hộp thoại này còn có 2 mục trên chúng ta không chọncó ý nghĩanhư sau: - ActiveDirectory default(Kerberos V5 protocol): Chỉ chọnkhi máy tính của bạn là thành viên được đăngnhập vào máy chủ (Windows Server2000/2003)có cài ActiveDirectory (haycòn gọi tắtlà AD). KerberosV5 là giao thức đượcmã hóa dữ liệu sử dụnggiữa các usernằm trong AD. - Use acertificate from this certificationauthority(CA): Sử dụng phươngthức xác thực dựatrên Certificate Authority(CA). Muốn dùng phương thức này, bạn cầnkết nối đếnmột máy chủ có cài Certificate Serviceđể thực hiện yêu cầu và cài đặt CA dùngcho IPSec. NhấnNexttiếp tục, rồi Finish để trở về. Bước 19: Tronghộp thoạiEdit RulePropertiesbạn chọnmục "Cổng 445,139 ra - vào"vànhấn Apply rồi OKđể trở về. Bước 20: Nhấnphải chuộtvào mục IPSecurity Policy vừa tạo (Lọc cổng445 và 139) vàchọn Assign. 2. Sao chép IP Security cho máy tiếp theo Ta có thể tiến hành20 bước trêncho máy 2, rồi máy 3. Tuynhiên, như vậy sẽ rất mấtthời gian và cóthể xảy ra nhầm lẫn dẫnđến không thể liên lạc được với nhau. Ta dùngcôngcụ netshđể thựchiện thao tácExport IPsecPolicy để xuất policy ra 1 file, sauđó nhập (Import) file này vào máy tínhkhác. Cáchthực hiện như sau: Bước 1: Chuẩn bị Chọn Start, Runvà gõ cmdvà ấn Enter.Tại dấu nhắccủa DOS ta gõlệnh sau để tạo ra thư mụcIpsec ở ổ đĩa C: md C:\Ipsec Bước 2: Xuất IPSec policy rafile có tên Loc445va139.ipsec Gõ lệnh sau: netshipsecstatic exportpolicyfile = c:\Ipsec\Loc445va139 (phầnmở rộng ipsecdo netsh tự thêm vào) Bước 3: Nhập IPSec Policy từ file Loc445va139.ipsec Chépfile Loc445va139.ipsec vào thư mục C:\IPsecở máy 2 và gõlệnh sau: [...]...netsh ipsec static importpolicy file = c: \Ipsec\ Loc445va139 .ipsec Tại máy 2, tiếp tục các bước từ 1 đến 5 ở mục 1, để có được màn hình quản lý IP Security Management Nhấn phải chuột vào mục IP Security Policy (Lọc cổng 445 và 139) và chọn Assign Tiếp tục bước 3 với máy 3 3 Thực hiện với nhóm 2 Đối với máy 4, 5 trong nhóm 2, ta tiến hành tương tự với nhóm 1 như đã trình bày ở . Bảo vệ thư mục dùng chung với IPSec Giải pháp VLAN (Virtual LAN) thư ng được triển khai để cách ly các máy tính nối mạng nhưng trong. hợp này, dùng IPSec là giải pháp hữu hiệu để bảo vệ tài nguyên mạng chẳng hạn như thư mục dùng chung. Trongmô hình vídụ có 2 nhómmáy tính,gọi lànhóm 1 vànhóm 2. Ta sẽ thựchiện cấu hình IPSec để. chỉ có các máy tính ở trong cùng 1nhóm có thể truy cập thư mục dùngchung của nhau. Để truy cập thư mục dùng chung, hệ điều hành XP/2000/200 3dùng giao thức TCP port 139và port 445. Như vậyta sẽ