Đang tải... (xem toàn văn)
IPSec policy bao gồm một hoặc nhiều Rule xác định cách thức hoạt động IPSec. Các Administrator có thể có thể cài đặt IPSec thông qua một policy. Mỗi Policy có thể chứa một hoặc nhiều Rule, nhưng chỉ có thể xác định một Policy hoạt động tại Computer tại một thời điểm bất kì. Các Administrator phải kết hợp tất cả những Rule mong muốn vào một single policy
CHÍNH SÁCH BẢO MẬT ĐỊA CHỈ MẠNG (IP SECURITY POLICIES IPSEC) Thuật ngữ IPSec từ viết tắt thuật ngữ Internet Protocol Security Giao thức IPSec phát triển tổ chức Internet Engineering Task Force (IETF) IPSec bao gồm hệ thống giao thức chuẩn, cung cấp dịch vụ bảo mật trình truyền thông tin tảng Internet Protocol (IP) Bao gồm xác thực mã hóa (Authenticating and/or Encrypting) cho gói IP (IP packet) trình truyền thông tin IPsec bao gồm giao thức cung cấp cho mã hoá xác thực IPSec giao thức hỗ trợ thiết lập kết nối an toàn dựa IP Giao thức hoạt động tầng mạng mô hình OSI an toàn tiện lợi giao thức bảo mật khác tầng ứng dụng SSL (Secure Sockets Layes) IPSec thành phần quan trọng hỗ trợ giao thức L2TP công nghệ mạng riêng ảo VPN IPSec policy bao gồm nhiều Rule xác định cách thức hoạt động IPSec Các Administrator có thể cài đặt IPSec thông qua policy Mỗi Policy chứa nhiều Rule, xác định Policy hoạt động Computer thời điểm Các Administrator phải kết hợp tất Rule mong muốn vào single policy Mỗi Rule bao gồm: Filter: Filter báo cho Policy thông tin lưu chuyển áp dụng với Filter action Ví dụ: Administrator tạo filter xác định lưu thông dạng HTTP FTP Filter Action: Báo cho Policy phải đưa hành động thông tin lưu chuyển trùng với định dang xác định Filter Ví dụ: thông báo cho IPSec chặn tất giao tiếp FTP, với giao tiếp HTTP liệu mã hóa Filter action xác định thuật toán mã hóa hashing (băm) mà Policy nên sử dụng 2.3.1 Các tác động bảo mật IPSec Microsoft hỗ trợ bốn loại thao tác (action) bảo mật Các thao tác bảo mật giúp hệ thống thiết lập phiên (session) trao đổi thông tin máy an toàn Danh sách thao tác bảo mật hệ thống Windows Server 2008 gồm: - Block transmissions: Ngăn chặn gói liệu truyền Ví dụ, bạn muốn IPSec ngăn chặn liệu truyền từ máy A đến máy B giao thức IPSec máy B loại bỏ liệu truyền đến từ máy A - Encrypt transmissions: Mã hóa gói liệu truyền Ví dụ, bạn muốn liệu truyền từ máy A đến máy B Nhưng bạn sợ có người nghe trộm (sniffer) đường truyền kết nối hai máy A B, bạn cần cấu hình cho IPSec sử dụng giao thức ESP (Encapsulating Security Payload) để mã hóa liệu cần truyền trước đưa lên mạng Lúc này, người xem trộm thấy dòng byte ngẫu nhiên không đọc/hiểu liệu thật Do IPSec hoạt động lớp Network nên việc mã hóa suốt người dùng Người dùng gửi mail, truyền file hay telnet bình thường - Sign transmissions: Ký tên vào gói liệu truyền nhằm tránh kẻ công mạng giả dạng gói liệu truyền từ máy mà bạn thiết lập quan hệ tin cậy (kiểu công gọi main-in-the-middle) IPSec cho phép bạn chống lại điều giao thức AH _ Authentication Header Giao thức phương pháp ký tên số hóa (digitally signing) vào gói liệu trước truyền, ngăn ngừa giả mạo sai lệch thông tin không ngăn ngừa nghe trộm thông tin Nguyên lý hoạt động phương pháp hệ thống thêm bit vào cuối gói liệu truyền qua mạng, từ kiểm tra xem liệu có bị thay đổi truyền hay không - Permit transmissions: Cho phép liệu truyền qua, chúng dùng để tạo quy tắc (rule) hạn chế số điều không hạn chế số điều khác Ví dụ, quy tắc dạng “Hãy ngăn chặn tất liệu truyền tới, trừ liệu truyền cổng 80 443” Chú ý: Đối với hai thao tác bảo mật theo phương pháp ký tên (sign) mã hóa (encrypt) hệ thống yêu cầu bạn IPSec dùng phương pháp chứng thực (có nghĩa cho IPSec biết cách thức mà máy nhận (receiver) máy gửi (transmitter) trao đổi mật khẩu; sau đó, chúng dùng mật để ký tên mã hóa gói liệu truyền mạng) Microsoft hỗ trợ ba phương pháp chứng thực: Kerberos, chứng (Certificate) khóa dựa thỏa thuận (agree-upon key) Phương pháp Kerberos áp dụng máy miền (domain) Active Directory miền Active Directory có ủy quyền cho nhau.Phương pháp dùng chứng cho phép bạn sử dụng chứng PKI (Public Key Infrastructure) để nhận diện máy.Phương pháp dùng khóa dùng chung (chia sẻ) trước (preshared key) cho phép bạn dùng chuỗi ký tự thông thường (plain text) làm khóa (key) 2.3.2 Các lọc IPSec Để IPSec hoạt động linh hoạt hơn, Microsoft đưa thêm khái niệm lọc IPSec (IPSec filter) Bộ lọc có tác dụng thống kê điều kiện để quy tắc hoạt động Đồng thời chúng giới hạn tầm tác dụng thao tác bảo mật phạm vi máy tính hay số dịch vụ Bộ lọc IPSec chủ yếu dựa yếu tố sau: Địa IP, subnet tên DNS máy nguồn Địa IP, subnet tên DNS máy đích Theo giao thức (TCP, UDP, ICMP) số hiệu cổng (port) 2.3.3 Triển khai IPSec Windows Server Để triển khai IPSec bạn dùng công cụ thiết lập sách dành cho máy cục (local machine) dùng cho miền (domain) - Máy cục bộ: Click Start > Run, nhập vào secpol.msc click Start-> Programs -> Administrative Tools-> Local Security Policy cửa sổ console Local Security Settings chọn mục IP Security Policies on Local Machine - Miền: Click Start-> Programs -> Administrative Tools -> Domain Controller Security Policy cửa sổ console Default Domain Controller Security Settings chọn mục IP Security Policies on Domain Controller Tóm lại, triển khai IPSec cần nhớ: - Nếu triển khai IPSec Windows Server 2008 thông qua sách (policy), máy tính vào thời điểm có sách IPSec hoạt động - Mỗi sách IPSec gồm nhiều quy tắc (rule) phương pháp chứng thực đó.Mặc dù quy tắc Permit Block không dùng đến chứng thực Windows Server 2003 đòi bạn định phương pháp chứng thực (phương pháp chứng thực được) - IPSec cho phép bạn chứng thực thông qua Active Directory, chứng PKI khóa dùng chung (chia sẻ) trước (preshared key) - Mỗi quy tắc (rule) gồm hay nhiều lọc (filter) hay nhiều thao tác bảo mật (action) - Có bốn thao tác bảo mật mà quy tắc dùng là: Block, Encrypt, Sign Permit * Các sách IPSec tạo sẵn: Bên phải khung cửa sổ công cụ cấu hình sách IPSec, bạn thấy có ba sách tạo sẵn tên là: Client, Server Secure.Cả ba sách trạng thái chưa áp dụng (unassigned) Bạn cần lưu ý, thời điểm có sách áp dụng (assigned) hoạt động, có nghĩa bạn áp dụng sách sách hoạt động trở trạng thái không hoạt động - Client (Respond Only) Chính sách quy định máy tính bạn không chủ động dùng IPSec trừ yêu cầu dùng IPSec từ máy đối tác Chính sách cho phép bạn kết nối với máy tính dùng IPSec không dùng IPSec - Server (Request Security) Chính sách quy định máy tính bạn chủ động cố gắng khởi tạo IPSec thiết lập kết nối với máy tính khác, máy client dùng IPSec server chấp nhận kết nối không dùng IPSec - Secure Server (Require Security) Chính sách quy định không cho phép phiên trao đổi liệu với server mà không dùng IPSec ... tác bảo mật (action) - Có bốn thao tác bảo mật mà quy tắc dùng là: Block, Encrypt, Sign Permit * Các sách IPSec tạo sẵn: Bên phải khung cửa sổ công cụ cấu hình sách IPSec, bạn thấy có ba sách. .. thời chúng giới hạn tầm tác dụng thao tác bảo mật phạm vi máy tính hay số dịch vụ Bộ lọc IPSec chủ yếu dựa yếu tố sau: Địa IP, subnet tên DNS máy nguồn Địa IP, subnet tên DNS máy đích Theo giao... là: Client, Server Secure.Cả ba sách trạng thái chưa áp dụng (unassigned) Bạn cần lưu ý, thời điểm có sách áp dụng (assigned) hoạt động, có nghĩa bạn áp dụng sách sách hoạt động trở trạng thái