Cài đặt và mục đích của IPSec
PSec và các mục đích sử dụng Với các Administrator , việc hiểu Internet Protocol Security-IPSEC, sẽ giúp chúng ta bảo vệ thông tin lưu chuyển trên Network an toàn hơn, và cấu hình IPSEC dùng X.509 certificates có thể tạo ra quy trình xác thực an toàn trong giao tiếp Network ở mức tối đa. A. Cài đặt IPSECIPSEC là một chuẩn an toàn trong giao tiếp thông tin giữa các hệ thống, giữa các mạng. Với IPSEC việc kiểm tra, xác thực, và mã hóa dữ liệu là những chức năng chính. Tất cả những việc này được tiến hành tại cấp độ IP Packet. Mục đích của IPSEC: Được dùng để bảo mật dữ liệu cho các chuyển giao thông tin qua Mạng. Admin có thể xác lập một hoặc nhiều chuỗi các Rules, gọilà IPSEC Policy, những rules này chứa các Filters, có trách nhiệm xác định những loại thông tin lưu chuyển nào yêu cầu được mã hóa (Encryption), xác nhận (digital signing), hoặc cả hai. Sau đó, mỗi Packet, được Computer gửi đi, sẽ được xem xét có hay không gặp các điều kiện của chính sách. Nếu gặp những điều kiện này, thì các Packet có thể được mã hóa, được xác nhận số, theo những quy định từ Policy. Quy trình này hòa toàn vô hình với User và Applicationkích hoạt truyền thông tin trên Mạng.Do IPSEC được chứa bên trong mỗi gói IP chuẩn, cho nên có thể dùngIPSEC qua Network, mà không yêu cầu những cấu hình đặc biệt trên thiết bị hoặc giữa 2 Computer.Tuy nhiên, IPSEC không tiến hành mã hóa một vài loại giao tiếp Mạng như: Broadcast, MultiCast, các packet dùng giao thức xác thực Kerberos. Những thuận lợi khi sử dụng IPSEC: Thuận lợi chính khi dùng IPSEC, là cung cấp được giải pháp mã hóa cho tất cả các giao thức hoạt động tại lớp 3 – Network Layer (OSI model), và kể cả các giao thức lớp cao hơn. IPSEC có khả năng cung cấp: - Chứng thực 2 chiều trước và trong suốt quá trình giao tiếp. IPSEC quy định cho cả 2 bên tham gia giao tiếp phải xác định chính mình trong suốt quy trình giao tiếp.- Tạo sự tin cậy qua việc mã hóa, và xác nhận số các Packet. IPSEC có 2 chẽ độ Encapsulating Security Payload (ESP) cung cấp cơ chế mã hóa dùng nhiều thuật toán khác nhau, và Authentication Header (AH) xác nhận các thông tin chuyển giao, nhưng không mã hóa.- Tich hợp các thông tin chuyển giao và sẽ loại ngay bất kì thông tin nào bị chỉnh sửa. Cả hai loại ESP và AH đều kiểm tra tính tích hợp của các thông tin chuyển giao. Nếu một gói tin đã chỉnh sửa, thì các xác nhận số sẽ không trùng khớp, kết quả gói tin sẽ bị loại. ESP cũng mã hóa địa chỉ nguồn và địa chỉ đích như một phần của việc mã hóa thông tin chuyển giao.- Chống lại các cuộc tấn công Replay (thông tin chuyển giao qua mạng sẽ bị attacker chặn, chỉnh sữa, và được gửi đi sau đó đến đúng địa chỉ người nhận, người nhận không hề hay biết và vẫn tin rằng đấy là thông tin hợp pháp. IPSEC dùng kĩ thuật đánh số liên tiếp cho các Packet Data của mình (Sequence numbers), nhằm làm cho attacker không thể sử dụng lại các dữ liệu đã chặn được, với ý đồ bất hợp pháp. Dùng Sequence numbers còn giúp bảo vệ chống việc chặn và đánh cắp dữ liệu, sau đó dùng những thông tin lấy được để truy cập hợp pháp vào một ngày nào đó. Ví dụ sử dụng IPSEC:Việc mất mát các thông tin khi cuyển giao qua mạng, có thể gây thiệt hại cho hoạt động của tổ chức, điều này cảnh báo các tổ chức cần trang bị và xây dựng những hệ thống mạng bảo mật chặt chẽ những thông tin quan trọng như dữ iệu về Product, báo có tài chính, kế hoạch Marketing. Trong trường hợp này các tổ chức có thể sử dụng IPSEC đảm bảo tính chất riêng tư và an toàn của truyền thông Mạng (Intranet, Extranet) bao gốm giao tiếp giữa Workstation với Server, Server với server.Ví dụ: Có thể tạo các IPSEC policies cho các Computer kết nối với Server (nắm giữ những dữ liệu quan trọng của tổ chức: tình hình tài chính, danh sách nhân sự, chiến lược phát triển). IPSEC policy sẽ bảo vệ dữ liệu của tổ chức chống lại các cuộc tấn công từ bên ngoài, và đảm bảo tính tích hợp thông tin, cũng như an toàn cho Client. IPSEC làm việc thế nào ? Có thể cấu hình IPSEC thông qua Local policy, hoặc triển khai trên diện rộng thì dùng Active Directory Group Policy (GPO.) 1. Giả sử chúng ta có 2 Computer : Computer A và Computer B, IPSECpolicy đã được cấu hình trên 2 computer này. Sau khi được cấu hìnhIPSEC policy sẽ báo cho IPSEC driver cách làm thế nào để vận hành vàxác định các liên kết bảo mật giữa 2 computer khi nối kết được thiết lập.Các liên kết bảo mật ảnh hưởng đến những giao thức mã hóa sẽ được sử dụng cho những loại thông tin giao tiếp nào và những phương thức xác thực nào sẽ được đem ra thương lượng. 2. Liên kết bảo mật mang tính chất thương lượng. Internet Key Exchange – IKE, sẽ có trách nhiệm thương lượng để tạo liên kết bảo mật. IKE kết hợp từ 2 giao thức: Internet Security Association and Key Management Protocol (ISAKMP) và Oakley Key Determination Protocol. Nếu Computer A yêu cầu xác thực thông qua Certificate và Computer B yêu cầu dùng giao thức Kerberos, thì IKE sẽ không thể thiết lập liên kết bảo mật giữa 2 Computer. Nếu dùng Network Monitor để theo dõi IPSEC hoạt động, sẽ không thấy được bất cứ AH hoặc ESP packet nào, vì giao tiếp IPSEC chưa được thiết lập, có lẽ chúng ta chỉ quan sát được các ISAKMP packets. 3. Nếu như liên kết ảo mật được thiết lập giửa 2 computer IPSEC driver sẽ quan sát tất cả IP traffic, so sánh các traffic đã được định nghĩa trong các Filter, nếu có hướng đi tiếp các traffic này sẽ được mã hóa hoặc xác nhận số. Hình 1. Mô tả giao tiếp IPSEC giữa 2 computer trong Active DirectoryDomain CHÍNH SÁCH BẢO MẬT IPSEC: IPSEC security policy bao gồm một hoặc nhiều Rule xác định cách thức hoạt động IPSEC. Các Administrator có thể có thể cài đặt IPSEC thông qua một policy. Mỗi Policy có thể chứa một hoặc nhiều Rule, nhưng chỉ có thể xác định một Policy hoạt động tại Computer tại một thời điểm bất kì. Các Administrator phải kết hợp tất cả những Rule mong muốn vào một single policy. Mỗi Rule bao gồm: - Filter: Filter báo cho Policy những thông tin lưu chuyển nào sẽ áp dụng với Filter action.Ví dụ: Administrator có thể tạo một filter chỉ xác định các lưu thông dạng HTTP hoặc FTP.- Filter Action: Báo cho Policy phải đưa ra hành động gì nếu thông tin lưu chuyển trùng với định dang đã xác định tại Filter. Ví dụ: thông báo cho IPSEC chặn tất cả những giao tiếp FTP, nhưng với những giao tiếp HTTP thì dữ liệu sẽ được mã hóa. Filter action cũng có thể xác định những thuật toán mã hóa và hashing (băm) mà Policy nên sử dụng.- Authentication method: IPSEC cung cấp 3 phương thức xác thực:Certificates (thông thường các Computer triển khai dùng IPSEC nhậnCertificates từ một Certificate Authority – CA server), Kerberos (Giao thức chứng thực phổ biến trong Active directory Domain), Preshared Key (khóa ngầm hiểu, một phương thức xác thực đơn giản). Mỗi một Rule của IPSEC policy có thể bao gồm nhiều phưong thức xác thực vừa nêu. NHỮNG CHÍNH SÁCH IPSEC MẶC ĐỊNH: Kể từ Windows 2000 trở đi IPSEC đã cấu hình sẵn 3 chính sách, tạo sựthuận tiện khi triển khai IPSEC. - Client (Respond only) : chính sách thụ động, chỉ phản hồi sử dụng IPSEC nếu partner có yêu cầu, thường được enable trên các Workstation. Chính sách mặc định này chỉ có một rule được gọi là Default Respond Rule.Rule này cho phép Computer phản hồi đến các yêu cầu IPSEC ESP từcác Computer được tin cậy trong Active directory domain. ESP là một chế độ IPSEC cung cấp độ tin cậy cho việc xác thực, tích hợp, và chống Replay attack. - Server (Request Security): Computer hoạt động với chính sách này luôn chủ động dùng IPSEC trong giao tiếp, tuy nhiên nếu đối tác không dùng IPSEC, vẫn có thể cho phép giao tiếp không bảo mật. Chính sách này được dùng cho cả Server hoặc Workstation. Chính sách có 3 Rules: Default respond rule (như đã trình bày ở trên), Permit ICMP (internetControlMessage Protocol) rule cho phép các giao tiếp dùng giao thứcICMP, ví dụ như Ping (mặc dù ICMP là một giao thức kiểm tra và thôngbáo tình trạng kết nối Mạng, phục vụ cho xử lý các sự cố, nhưng cũng có thể disable để tăng tính bảo mật cho Mạng, vì có một số cách thức tấn công phổ biến nhắm vào những điểm yếu cuqả ICMP.), Yêu cầu ESP cho tất cả IP traffic. - Secure Server (require security): Bắt buộc dùng IPSEC cho giao tiếpMạng. Có thể dùng chính sách này cho cả Server, Workstation. Nếu chính sách được xác lập, không cho phép giao tiếp không bảo mật. chính sách có 3 Rules: 2 chính sách đầu tươn tự như trên là Default Respond rule và Permit ICMP, và chính sách thứ 3 quy định: Tất cả các giao tiếp (trừ ICMP) phải được mã hóa với ESP, ngược lại Server sẽ không giao tiếp. THẾ NÀO LÀ THƯƠNG LƯỢNG MỘT LIÊN KẾT BẢO MẬT (A SECURITY ASSOCIATION) Các Administrator không nên quan tâm đến các đặc điểm mang tính cá nhân của Policy . Cả hai Computer tiến hành thương lượng bảo mật cần phải có những chính sách bổ sung. Nếu 2 computer có thể thương lượng thành công, IPSEC sẽ được sử dụng. Nếu thương lượng không thành công do bất đồng về chính sách, 2 computer có thể không tiếp tục giao tiếp hoặc chấp nhận giao tiếp không an toàn. Ví dụ về cách thức hoạt động của các policy giửa 2 Computer A và B:- Computer A yêu cầu ESP cho các giao tiếp HTTP, Computer B yêu cầu AH cho HTTP, như vậy 2 computer sẽ không thể thương lượng một liên kết bảo mật.- Giao thức xác thực Kerberos là phương thức xác thực mặc định cho cả 3 phương thức đã trình bày. Kerberos protocol, được các Computer trong cùng Active directory forest sử dụng , nếu một trong 2 Computer không cùng AD Forest, thì không thể thương lượng được phương thức bảo mật. Tương tự, khi Computer A dùng Kerberos, Computer B dùng Certificates làm phương thức xác thực IP traffic, thương lựong cũng sẽ không được thiết lập. Tuy nhiên chúng ta có thể trang bị cho computer A hoặcc B nhiều phương thức xác thực (cả Kerberos và Certificates ), chỉ cần gặp một phương thức xác thực tương đồng giữa 2 Computer, xác thực sẽ bắt đầu.Lấy chính sách mặc định Secure Server (require Security) làm ví dụ. Nếu Computer A xác định dùng chính sách này, nó sẽ không thể giao tiếp với bất kì Computer nào không được trang bị IPSEC. Ví dụ: Computer A yêu cầu kết quả truy vấn từ DNS server của AD Domain (DNS server không dùng IPSEC), truy vấn sẽ không được thực hiện. Computer A cần truy cập SQL server (không dùng IPSEC), cũng không thể truy cập. Nếu Computer A dùng chính sách Server (request security), giao tiếp không an toàn với các Computer không trang bị vẫn có thể thực hiện. Trong thực tế, các chính sách IPSEC nên được triển khai để bảo mật những thông tin quan trọng, và cho phép những giao tiếp cơ bản có thể thực hiện. HÌNH 2: CÁC CHÍNH SÁCH IPSEC HOẠT ĐỘNG VỚI NHAU NHƯ THẾ NÀOthể dùng IPSEC trên Windows 2000/XP/2003 để ngăn chặn Ping packets? Các computer Windows 2000/XP/2003 có phương tiện bảo mật IP được tích hợp được gọi là IPSec (IP Security). IPSec là một giao thức được thiết kế để bảo vệ các TCP/IP packets truyền qua mạng bằng cách dùng mã hóa khóa công -public key encryption. Có thể hình dung đơn giản như sau: Các gói IP packet thông thường được bao bọc bởi gói Ipsec đã mã hóa -encrypted IPSec packet. Và packet này sau đó vẫn giữ thuộc tính mã hóa cho đến khi packet được nhận ở Computer đầu bên kia.Chúng tôi không đề cập quá chi tiết về các tính năng IPSec ở đây, nhưng các bạn ghi nhớ rằng bên cạnh khả năng mã hóa các gói IP, thì IPSec còn giúp bạn bảo vệ server/workstation thông qua việc cấu hình một số chức năng tương tự firewall. Vậy thì làm sao bạn có thể bảo vệ Computer mình với IPSec? Chỉ đơn giản bằng cách thực hiện một policy ra lệnh cho Computer hãy ngăn chặn-block tất cả các lưu thông IP được chỉ định trong các quy tắc sẽ thiết lập -rules.Chặn PING trên một computerĐể thực hiện việc chặn PING tới và từ một computer , bạn cần tạo một IPSec policy cho phép block tất cả ICMP traffic (Internet Control Message protocol, giao thức mà Ping traffic sử dụng). Hình dưới là cấu trúc của ICMP packet mà Ping sử dụngPING đến một Server và nhận phản hồi: . toàn hơn, và cấu hình IPSEC dùng X.509 certificates có thể tạo ra quy trình xác thực an toàn trong giao tiếp Network ở mức tối đa. A. Cài đặt IPSECIPSEC là. Với IPSEC việc kiểm tra, xác thực, và mã hóa dữ liệu là những chức năng chính. Tất cả những việc này được tiến hành tại cấp độ IP Packet. Mục đích của IPSEC: