Đang tải... (xem toàn văn)
ĐẠI HỌC QUỐC GIA TP.HCMTRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT
KHOA TIN HỌC QUẢN LÝLỚP K09406
- - - Tiểu Luận
Giới Thiệu Về IPSec Và Hướng Dẫn Cách Chặn TrìnhDuyệt Web Với IPSec
Giảng viên hướng dẫn: Trương Hoài Phan
Trang 2Mục Lục
1 Giới Thiệu Về IPSec 3
1.1 Khái niệm IPSec là gì? 4
1.2 Kiến trúc IPsec 4
1.3 Các dịch vụ IPsec 4
1.4 Ưu khuyết điểm IPsec 4
1.5 Các chế độ hoạt động IPsec 4
2 Chặn trình duyệt web với IPsec 4
2.1 Cấu hình danh sách lọc và các hoạt động của bộ lọc 4
2.2 Cấu hình Ipsec policy 6
2.3 Gán Ipsec policy 11
2.4 Khóa nhiều máy tính 14
Trang 31 Giới thiệu về Ipsec
1.1 Khái niệm IPSec là gì?
IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mụcđích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trênmạng bằng giao thức IP Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở đượcthiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữliệu giữa các thiết bị mạng.
IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trongcả hai phiên bản IPv4 và IPv6 Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưngđối với IPv6, giao thức bảo mật này được triển khai bắt buộc.
1.2 Kiến trúc Ipsec
IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhau nhưmật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựa trêncác thành phần cơ bản sau đây, mỗi thành phần được định nghĩa trong một tài liệu riêngtương ứng:
Trang 4Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầu củaIPSec.
- Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã và xác thựcthông tin trong IPSec.
- Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng gần giốngESP Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH, mỗigiao thức có ưu và nhược điểm riêng.
- Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng trong IPSec.IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng.
- Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng trong AH vàESP.
- Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khoá trong IPSec.- Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec.IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơ chế, giaothức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ hoạt
Trang 5động khác nhau Việc xác định một tập các chế độ cần thiết để triển khai IPSec trongmột tình huống cụ thể là chức năng của miền thực thi.
Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với IPnhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và xácthực gói dữ liệu Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thànhphần:
-Giao thức đóng gói, gồm AH và ESP
-Giao thức trao đổi khoá IKE (Internet Key Exchange)1.3 Các dịch vụ Ipsec
Quản lý truy xuất (access control)
Toàn vẹn dữ liệu ở chế độ không kết nối (connectionless integrity)
Xác thực nguồn gốc dữ liệu (data origin authentication )
Chống phát lại (anti-replay)
Mã hoá dữ liệu (encryption)
Bảo mật dòng lưu lượng (traffic flow confidentiality)
Việc cung cấp các dịch vụ này trong từng tình huống cụ thể phụ thuộc vào giao thức đónggói được dùng là AH hay ESP Theo đó nếu giao thức được chọn là AH thì các dịch vụmã hoá và bảo mật dòng dữ liệu sẽ không được cung cấp.
1.4 Ưu khuyết điểm IpsecƯu điểm:
- Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng,thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà cácthành phần khác không cần phải xử lý thêm các công việc liên quan đến bảo mật.
- IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốtđối với các lớp này Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịchvụ khi IPSec được triển khai.
- IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầucuối, điều này giúp che giấu những chi tiết cấu hình phức tạp mà người dùng phải thựchiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet.
Khuyết điểm:
- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đềkhác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống Vấn đềnày có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuậtnhư vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
Trang 6- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác.
- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia.
2 Chặn duyệt web với Ipsec
2.1 Cấu hình danh sách lọc và các hoạt động của bộ lọc 1 Mở cửa sổ MMC (Start > Run > MMC)
2 Add IP Security and Policy Management Snap-In.
Trang 7
3 Trong cửa sổ Select which computer this policy will manage, chọn LocalComputer (hoặc bất cứ chính sách nào phụ thuộc vào nhu cầu của bạn) Kích Close sauđó kích Ok.
4 Kích phải vào IP Security Policies trong panel bên trái của giao diện điều khiểnMMC Chọn Manage IP Filter Lists and Filter Actions
Trang 85 Trong Manage IP Filter Lists and Filter actions, kích Add.
6 Trong cửa sổ IP Filter List, đánh vào tên mô tả (chẳng hạn như HTTP, HTTPS) vàkích Add để thêm các bộ lọc mới.
Trang 97 Trong cửa sổ chào, kích Next.
8 Trong hộp mô tả, đánh vào các thông tin mô tả nếu bạn muốn, sau đó kích Next.
9 Trong cửa sổ IP Traffic Source, để tùy chọn My IP Address được chọn và kích Next.
Trang 1010 Trong cửa sổ IP Traffic Destination, để tùy chọn Any IP Address được chọn vàkích Next.
11 Trong IP Protocol Type, cuộn xuống đến TCP và nhấn Next.
Trang 1112 Trong IP Protocol Port, đánh 80 (cho HTTP) trong hộp To This Post và kích Next.
13 Trong cửa sổ IP Filter List, lưu ý cách một IP Filter đã được add như thế nào Lúcnày nếu muốn, bạn có thể add HTTPS (Any IP to Any IP, Protocol TCP, DestinationPort 443) theo cách thực hiện như trên.
Trang 1214 Lúc này bạn đã thiết lập được cả hai bộ lọc, kích OK.
15 Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá lại các bộ lọc (bạncó thể add hoặc remove các bộ lọc về sau) Lúc này chúng ta sẽ đi add một bộ lọc mớidùng để định nghĩa lưu lượng web của mạng nội bộ (INTRANET) Tiếp đó, kích Add.
Trang 1316 Đặt tên thích hợp cho bộ lọc mới – cho ví dụ - Intranet, sau đó tiến hành cấu hìnhbộ lọc bằng cách kíchAdd.
17 Trong cửa sổ IP Traffic Source, để tùy chọn My IP Address được tích và kích Next.18 Trong IP Traffic Destination, kích danh sách sổ xuống và chọn kiểu đích Ví dụ,nếu bạn chỉ muốn cho phép lưu lượng web cung cấp từ một máy chủ web nào đó trong
Trang 14mạng nội bộ (chẳng hạn nó mang tên SERVER200), khi đó hãy chọn A Specific DNSName.
Sau đó, trong Host Name, đánh SERVER200 và kích Next.
Nếu muốn cho phép lưu lượng web được cung cấp từ một subnet trong mạng nội bộ,chẳng hạn như192.168.0.0/24, hãy chọn A Specific IP Subnet, và đánh vào NetworkID và Subnet Mask cho subnet yêu cầu Kích Next.
Trang 1519 Quay trở lại danh sách IP Filter, add bất kỳ bộ lọc nào khác mà bạn muốn, cuốicùng kích OK.
20 Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá các bộ lọc của bạnvà nếu tất cả đều ok, hãy kích tab Manage Filter Actions Lúc này chúng ta cần add mộthành động lọc (filter action) để khóa lưu lượng chỉ định nào đó, vì vậy hãy kích Add.
Trang 1621 Trong màn hình chào, kích Next.
22 Trong Filter Action Name đánh Block và kích Next.
23 Trong Filter Action General Options, kích Block sau đó kích Next.
Trang 1724 Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá các bộ lọc của bạn,nếu tất cả ok, kích nútClose Bạn có thể thêm các Filters và Filter Actions bất cứ lúcnào nếu muốn.
2.2 Cấu hình Ipsec policy
Trang 181 Trong giao diện MMC, kích phải vào IP Security Policies trên Local Computer vàchọn Create IP Security Policy
2 Trong màn hình chào, kích Next.
3 Trong IP Security Policy Name, nhập vào tên mô tả, chẳng hạn như "Block HTTP,HTTPS, allow Intranet" Kích Next.
Trang 194 Trong cửa sổ Request for Secure Communication, bỏ chọn hộp kiểm Active theDefault Response Rule Kích Next.
5 Trong cửa sổ Completing IP Security Policy Wizard, kích Finish
6 Lúc này chúng ta cần add IP Filters và Filter Actions khác vào IPSec Policy mới.Trong cửa sổ IPSec Policy mới, kích Add để thêm vào IP Filters và Filter Actions
Trang 207 Trong cửa sổ chào, kích Next.
8 Trong Tunnel Endpoint, bảo đảm rằng thiết lập mặc định được chọn và kích Next.
9 Trong cửa sổ Network Type, chọn All Network Connections và kích Next.
Trang 2110 Trong cửa sổ IP Filter List, chọn một trong các IP Filter đã được cấu hình từ trước,cho ví dụ "HTTP, HTTPS" (được cấu hình trong bước 6 ở phần trên bài viết) Nếu vìmột lý do nào đó, bạn không cấu hình đúng IP Filter từ trước thì bạn có thểnhấn Add và thêm nó vào lúc này Khi xong, kích Next.
11 Trong cửa sổ Filter Action, chọn một trong các Filter Action đã được cấu hình từtrước, cho ví dụ "Block" (đã được cấu hình trong bước 20 ở phần trên) Tiếp đến, nếu
Trang 22chưa cấu hình đúng Filter Action từ trước thì bạn có thể nhấn Add và thêm nó vào lúcnày Khi xong, kích Next
12 Quay trở lại cửa sổ new IPSec Policy, bảo đảm rằng new IP Filter được chọn.Kích Add để bổ sung thêm IP Filters và Filter Actions giống như những gì bạn đã thựchiện ở trên Trong ví dụ này, chúng ta sẽ add "Intranet" IP Filter.
Thực hiện các bước từ 7 đến bước 11.
Trang 2313. Add "Intranet" IP Filter.
14 Cấu hình nó để sử dụng Permit Filter Action.
15 Lưu ý cách hai IP Filter được add.
Trang 24Lưu ý rằng bạn không thể thay đổi thứ tự của chúng giống như trong các tường lửachuyên dụng Mặc dù vậy cấu hình này làm việc khá tốt.
2.3 Gán Ipsec policy
Trong giao diện MMC, kích phải vào new IPSec Policy và chọn Assign.
Trang 25Khi thực hiện xong, bạn có thể test cấu hình bằng cách thử lướt đến một Windows nàođó bị chặn và một website không bị chặn.
2.4 Khóa nhiều máy tính
Việc khóa nhiều máy tính có thể được thực hiện theo hai cách:
Export và Import IPSec Policy
Cấu hình IPSec Policy thông qua GPO
Cả hai phương pháp trên đều được sử dụng để ngăn chặn một số máy tính có thể sửdụng ICMP (cho cho các IPSec Policy khác).