Tham khảo tài liệu ''giáo trình phân tích quy trình tạo ra các thao tác cơ bản trong computer management p6'', công nghệ thông tin, hệ điều hành phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
h a n g e Vi e N y to k lic c Một số lựa chọn bảo mật thông dụng: Tên lựa chọn Mô tả Shutdown: allow system to be Cho phép người dùng shutdown hệ thống mà không cần shut down without having to log logon on Audit : audit the access of global Giám sát việc truy cập đối tượng hệ thống toàn cục system objects Network security: force logoff Tự động logoff khỏi hệ thống người dùng hết thời gian sử when logon hours expires dụng tài khoản hết hạn Interactive logon: not require Khơng u cầu ấn ba phím CTRL+ALT+DEL logon CTRL+ALT+DEL Interactive logon: not display Không hiển thị tên người dùng logon hộp thoại Logon last user name Account: rename administrator Cho phép đổi tên tài khoản Administrator thành tên account Account: rename guest account III Cho phép đổi tên tài khoản Guest thành tên IPSec IP Security (IPSec) giao thức hỗ trợ thiết lập kết nối an toàn dựa IP Giao thức hoạt động tầng ba (Network) mơ hình OSI an tồn tiện lợi giao thức an toàn khác tầng Application SSL IPSec thành phần quan trọng hỗ trợ giao thức L2TP công nghệ mạng riêng ảo VPN (Virtual Private Network) Để sử dụng IPSec bạn phải tạo qui tắc (rule), qui tắc IPSec kết hợp hai thành phần lọc IPSec (filter) tác động IPSec (action) Ví dụ nội dung qui tắc IPSec “Hãy mã hóa tất liệu truyền Telnet từ máy có địa 192.168.0.10”, gồm hai phần, phần lọc “qui tắc hoạt động có liệu truyền từ máy có địa 192.168.0.10 thơng qua cổng 23”, phần hành động “mã hóa liệu III.1 Các tác động bảo mật IPSec Microsoft hỗ trợ bốn loại tác động (action) bảo mật, tác động bảo mật giúp hệ thống thiết lập trao đổi thơng tin máy an tồn Danh sách tác động bảo mật hệ thống Windows Server 2003 sau: - Block transmissons: có chức ngăn chận gói liệu truyền, ví dụ bạn muốn IPSec ngăn chận liệu truyền từ máy A đến máy B, đơn giản chương trình IPSec máy B loại bỏ liệu truyền đến từ máy A - Encrypt transmissions: có chức mã hóa gói liệu truyền, ví dụ muốn liệu truyền từ máy A đến máy B, sợ có người nghe trộm Học phần - Quản trị mạng Microsoft Windows Trang 243/555 d o m o o c u -tr a c k C w w w d o m C lic k to Tài liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c h a n g e Vi e N y to k lic c đường truyền nối kết mạng hai máy A B Cho nên cần cấu hình cho IPSec sử dụng giao thức ESP (encapsulating security payload) để mã hóa liệu cần truyền trước đưa lên mạng Lúc người xem trộm thấy dịng byte ngẫu nhiên khơng hiểu liệu thật Do IPSec hoạt động tầng Network nên việc mã hóa suốt người dùng, người dùng gởi mail, truyền file hay telnet bình thường - Sign transmissions: có chức ký tên vào gói liệu truyền, nhằm tránh kẻ công mạng giả dạng gói liệu truyền từ máy mà bạn thiết lập quan hệ tin cậy, kiểu cơng cịn có tên main-in-the-middle IPSec cho phép bạn chống lại điều giao thức authentication header Giao thức phương pháp ký tên số hóa (digitally signing) vào gói liệu trước truyền, ngăn ngừa giả mạo sai lệnh thông tin không ngăn nghe trộm thông tin Nguyên lý hoạt động phương pháp hệ thống thêm bit vào cuối gói liệu truyền qua mạng, từ kiểm tra xem liệu có bị thay đổi truyền hay khơng - Permit transmissions: có chức cho phép liệu truyền qua, chúng dùng để tạo qui tắc (rule) hạn chế số điều không hạn chế số điều khác Ví dụ qui tắc dạng “Hãy ngăn chặn tất liệu truyền tới, trừ liệu truyền cổng 80 443” Chú ý: hai tác động bảo mật theo phương pháp ký tên mã hóa hệ thống yêu cầu bạn IPSec dùng phương pháp chứng thực Microsoft hỗ trợ ba phương pháp chứng thực: Kerberos, chứng (certificate) khóa dựa thỏa thuận (agreed-upon key) Phương pháp Kerberos áp dụng máy miền Active Directory miền Active Directory có ủy quyền cho Phương pháp dùng chứng cho phép bạn sử dụng chứng PKI (public key infrastructure) để nhận diện máy Phương pháp dùng chìa khóa chia sẻ trước cho phép bạn dùng chuỗi ký tự văn thơng thường làm chìa khóa (key) III.2 Các lọc IPSec Để IPSec hoạt động linh hoạt hơn, Microsoft đưa thêm khái niệm lọc (filter) IPSec, lọc có tác dụng thống kê điều kiện để qui tắc hoạt động Đồng thời chúng giới hạn tầm tác dụng tác động bảo mật phạm vị máy tính hay số dịch vụ Bộ lọc IPSec chủ yếu dự yếu tố sau: - Địa IP, subnet tên DNS máy nguồn - Địa IP, subnet tên DNS máy đích - Theo số hiệu cổng (port) kiển cổng (TCP, UDP, ICMP…) III.3 Triển khai IPSec Windows Server 2003 Trong hệ thống Windows Server 2003 không hỗ trợ cơng cụ riêng cấu hình IPSec, để triển khai IPSec dùng công cụ thiết lập sách dành cho máy cục dùng cho miền Để mở cơng cụ cấu hình IPSec bạn nhấp chuột vào Start ¾ Run gõ secpol.msc nhấp chuột vào Start ¾ Programs ¾ Administrative Tools ¾ Local Security Policy, cơng cụ bạn chọn IP Security Policies on Local Machine Học phần - Quản trị mạng Microsoft Windows Trang 244/555 d o m o o c u -tr a c k C w w w d o m C lic k to Tài liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c h a n g e Vi e N y to k lic c Tóm lại, điều mà bạn cần nhớ triển khai IPSec: - Bạn triển khai IPSec Windows Server 2003 thơng qua sách, máy tính vào thời điểm có sách IPSec hoạt động - Mỗi sách IPSec gồm nhiều qui tắc (rule) phương pháp chứng thực Mặc dù qui tắc permit block không dùng đến chứng thực Windows đòi bạn định phương pháp chứng thực - IPSec cho phép bạn chứng thực thông qua Active Directory, chứng PKI khóa chia sẻ trước - Mỗi qui tắc (rule) gồm hay nhiều lọc (filter) hay nhiều tác động bảo mật (action) - Có bốn tác động mà qui tắc dùng là: block, encrypt, sign permit III.3.1 Các sách IPSec tạo sẵn Trong khung cửa sổ cơng cụ cấu hình IPSec, bên phải thấy xuất ba sách tạo sẵn tên là: Client, Server Secure Cả ba sách trạng thái chưa áp dụng (assigned) Nhưng ý thời điểm có sách áp dụng hoạt động, có nghĩa bạn áp dụng sách sách hoạt động trở trạng thái không hoạt động Sau khảo sát chi tiết ba sách tạo sẵn - Client (Respond Only): sách qui định máy tính bạn khơng chủ động dùng IPSec trừ nhận yêu cầu dùng IPSec từ máy đối tác Chính sách cho phép bạn kết nối với máy tính dùng IPSec khơng dùng IPSec - Server (Request Security): sách qui định máy server bạn chủ động cố gắng khởi tạo IPSec thiết lập kết nối với máy tính khác, máy client khơng thể dùng IPSec Server chấp nhận kết nối khơng dùng IPSec - Secure Server (Require Security): sách qui định không cho phép trao đổi liệu với Server mà không dùng IPSec III.3.2 Ví dụ tạo sách IPSec đảm bảo kết nối mã hóa Học phần - Quản trị mạng Microsoft Windows Trang 245/555 d o m o o c u -tr a c k C w w w d o m C lic k to Tài liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c h a n g e Vi e N y to k lic c Trong phần bắt tay vào thiết lập sách IPSec nhằm đảm bảo kết nối mã hóa hai máy tính Chúng ta có hai máy tính, máy A có địa 203.162.100.1 máy B có địa 203.162.100.2 Chúng ta thiết lập sách IPSec máy thêm hai qui tắc (rule), trừ hai qui tắc hệ thống gồm: qui tắc áp dụng cho liệu truyền vào máy qui tắc áp dụng cho liệu truyền khỏi máy Ví dụ qui tắc máy A bao gồm: - Bộ lọc (filter): kích hoạt qui tắc có liệu truyền đến địa 203.162.100.1, qua cổng - Tác động bảo mật (action): mã hóa liệu - Chứng thực: chìa khóa chia sẻ trước chuỗi “quantri” Qui tắc thứ hai áp dụng cho máy A tương tự lọc có nội dung ngược lại “dữ liệu truyền từ địa 203.162.100.1” Chú ý: cách dễ để tạo qui tắc trước tiên bạn phải qui định lọc tác động bảo mật, sau tạo qui tắc từ lọc tác động bảo mật Các bước để thực sách IPSec theo yêu cầu trên: Trong công cụ Domain Controller Security Policy, bạn nhấp phải chuột mục IP Security Policies on Active Directory, chọn Manage IP filter lists and filter actions Hộp thoại xuất hiện, bạn nhấp chuột vào nút add để thêm lọc Bạn nhập tên cho lọc này, ví dụ đặt tên “Connect to 203.162.100.1” Bạn nhấp chuột tiếp vào nút Add để hệ thống hướng dẫn bạn khai báo thông tin cho lọc Học phần - Quản trị mạng Microsoft Windows Trang 246/555 d o m o o c u -tr a c k C w w w d o m C lic k to Tài liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c h a n g e Vi e N y to k lic c Bạn theo hướng dẫn hệ thống để khai báo thông tin, ý nên đánh dấu vào mục Mirrored để qui tắc có ý nghĩa hai chiều bạn khơng phải tốn công để tạo hai qui tắc Mục Source address chọn My IP Address, mục Destination address chọn A specific IP Address nhập địa “203.162.100.1” vào, mục IP Protocol Type bạn để mặc định Cuối bạn chọn Finish để hoàn thành phần khai báo, bạn nhấp chuột tiếp vào nút OK để trở lại hộp thoại Tiếp theo bạn chuyển sang Tab Manage Filter Actions để tạo tác động bảo mật Bạn nhấp chuột vào nút Add hệ thống hướng dẫn bạn khai báo thông tin tác động Trước tiên bạn đặt tên cho tác động này, ví dụ Encrypt.Tiếp tục mục Filter Action bạn chọn Negotiate security, mục IP Traffic Security bạn chọn Integrity and encryption Đến bạn hoàn thành việc tạo tác động bảo mật Học phần - Quản trị mạng Microsoft Windows Trang 247/555 d o m o o c u -tr a c k C w w w d o m C lic k to Tài liệu hướng dẫn giảng dạy w w w w bu bu y N O W ! XC er O W F- w PD h a n g e Vi e ! XC er PD F- c u -tr a c k c ... 203.162.100.1” Chú ý: cách dễ để tạo qui tắc trước tiên bạn phải qui định lọc tác động bảo mật, sau tạo qui tắc từ lọc tác động bảo mật Các bước để thực sách IPSec theo yêu cầu trên: Trong công cụ Domain... nhiều lọc (filter) hay nhiều tác động bảo mật (action) - Có bốn tác động mà qui tắc dùng là: block, encrypt, sign permit III.3.1 Các sách IPSec tạo sẵn Trong khung cửa sổ cơng cụ cấu hình IPSec, bên... chuột vào Start ¾ Programs ¾ Administrative Tools ¾ Local Security Policy, cơng cụ bạn chọn IP Security Policies on Local Machine Học phần - Quản trị mạng Microsoft Windows Trang 244/555 d o m