SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 50 Cấu hình IPSec được thiết lập thông qua policy trên máy cục bộ hoặc policy nhóm trong Active Directory directory service:
IPSec policies được cung cấp cho tất cả máy tính: Policy quy định cho bộ phận điều khiển IPSec cách chạy và định nghĩa Security Association mà có thể được thiết lập. Security asscociation chi phối giao thức mã hóa nào được sử dụng cho loại lưu lượng nào và phương thức xác thực nào được thiết lập.
Security Association được thiết lập: Phần Internet Key Exchange (IKE) thiết lập Security Association. IKE kết hợp giữa hai giao thức: Internet Security Association và Key Management (ISAKMP) và Oakley Key Determination. Nếu một máy client đòi hỏi certificate để xác thực và một client khác đòi hỏi giao thức Kerberos, IKE sẽ không thể thiết lập security association (sự kết hợp bảo mật) giữa hai máy. Nếu bạn nhìn thấy gói trong Network Monitor thì bạn sẽ thấy gói ISAKMP nhưng bạn cũng sẽ không thấy bất cứ gói AH hay ESP theo sau.
Gói IP được mã hóa: Sau khi security association được thiết lập thì bộ điều khiển IPSec giám sát toàn bộ lưu lượng IP, so sánh lưu lượng với bộ lọc được định nghĩa.
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 51
3.2 IPSec Security Policy là gì?
Định nghĩa
IPSec security policy bao gồm một hoặc nhiều quy luật quyết định cách hoạt động của IPSec
IPSec Security policy rules
Bạn triển khai IPSec bằng cách thiết lập policy. Mỗi policy có thể chứa đựng một vài quy luật nhưng bạn chỉ có thể xác nhận một policy riêng lẻ tại một thời điểm bất kì trên một máy. Bạn phải phối hợp tất cả quy luật được yêu cầu thành một chính sách đơn. Mỗi quy luật bao gồm:
Bộ lọc: Bộ lọc quy định cho policy biết loại lưu lượng nào để áp dụng cho filter action. Chẳng hạn, bạn có thể có bộ lọc nhận dạng chỉ lưu lượng giao thức HTTP hoặc lưu lượng FTP.
Filter action: Filter action quyết định cho chính sách phải làm gì nếu lưu lượng thỏa bộ lọc. Chẳng hạn, bạn có thể báo cho IPSec chặn đứng tất cả lưu lượng FTP nhưng đòi hỏi mã hóa tất cả lưu lượng HTTP. Filter action cũng có thể chỉ rõ thuật toán mã hóa và băm mà policy nên dùng.
Phương pháp xác thực: Có 3 phương pháp có thể xác thực: certificates, giao thức Kerberos và Preshared key. Mỗi rule có thể chỉ rõ nhiều phương pháp xác thực.
Policy mặc định
Ở Window 2000 hoặc sau đó, có 3 policy được cấu hình mặc định:
Client (Respond only): Nếu máy tính yêu cầu client dùng IPSec thì nó sẽ đáp ứng với IPSec. Policy Client (Respond Only) sẽ không khởi tạo IPSec trên chính nó. Policy này có 1 rule được gọi là Default Response rule. Rule này cho phép host đáp ứng đòi hỏi ESP cũng như cả host trong Active Directory domains tin cậy. ESP là chế độ IPSec cung cấp sự tin cậy cộng với xác thực, toàn vẹn và chống truyền lại.
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 52 Server (Request Security): Bạn có thể dùng chính sách này trên cả server và client. Chính sách này luôn cố gắng dùng IPSec nhưng có thể trở lại quá trình liên lạc không bảo mật nếu client không được cấu hình với IPSec policy. Chính sách Response Security có 3 rule. Rule thứ nhất là Default Response đã được mô tả. Rule thứ hai cho phép lưu lượng ICMP. ICMP là giao thức duy trì trong TCP/IP, thông báo lỗi và cho phép kết nối đơn giản. Lệnh ping dùng ICMP để thực hiện việc gỡ rối TCP/IP. Mặc dù ICMP là tiện ích chuẩn đoán tốt nhưng bạn có thể muốn vô hiệu hóa nó trong mạng bảo mật cao vì có một vài đợt tấn công chống dựa trên ICMP. Rule thứ 3 đòi hỏi ESP cho tất cả lưu lượng IP.
Secure Server (Require Security): Bạn có thể sử dụng chính sách này trên cả server và client. Nếu chính sách này được gán thì máy tính có thể chỉ liên lạc trên IPSec và sẽ không bao giờ trở lại chế độ liên lạc không bảo mật. Policy này cũng có 3 rule. Hai rule đầu là Default Response và Permit ICMP thì đã được nói ở trên. Sự khác nhau trong policy Secure Server (Require Security) là tất cả lưu lượng phải được mã hóa với ESP nếu không server sẽ không liên lạc với nó. Rule ICMP ghi đè rule để đòi hỏi bảo mật cho tất cả lưu lượng IP khác.
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 53
Thỏa thuận sự kết hợp bảo mật
Chúng ta đừng bao giờ so sánh các policy một cách riêng lẻ. Các máy tính có thỏa thuận kế thợp bảo mật phải có policy bổ sung. Bảng trên chỉ ra các tác động khi các policy mặc định làm việc với nhau. Nếu hai host có thể thỏa thuận kết hợp bảo mật tương thích với nhau thì liên lạc có thể được thực hiện bằng cách dùng IPSec. Nếu hai host có các policy không tương thích với nhau thì có thể chúng sẽ trở lại dạng liên lạc không bảo mật hoặckhông thể liên lạc với nhau.
Ví dụ về cách thức các policy làm việc với nhau
Bảng trên chỉ áp dụng cho các policy mặc định với các rule mặc định. Nếu bạn áp policy với rule là máy A request ESP cho HTTP và máy B require AH cho HTTP thì sau đó hai máy đó sẽ không thể thỏa thuận được sự kết hợp bảo mật.
Xác thực Kerberos là thiết lập mặc định cho tất cả các policy mặc định. Giao thức Kerberos làm việc với máy tính trong hệ thống Active Directory nhưng nếu một máy không là thành viên trong hệ thống đó thì các máy tính khác không thể thỏa thuận xác thực. Nếu máy B được thay đổi để sử dụng chỉ certificate cho xác thực lưu lượng IP thì không thể thiết lập kết hợp bảo mật. Có thể cấu hình lại
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 54 cho máy B yêu cầu giao thức Kerberos hoặc certificates. Khi thỏa phương pháp xác thực thì xác thực có thể được thực hiện.
Nếu bạn thiết lập policy Secure Server (Require Security) thì máy tính đó sẽ không thể liên lạc với bất kì máy nào không cài đặt IPSec. Chẳng hạn, máy tính cần truy cập server chạy Microsoft SQL Server không có IPSec thì hệ thống sẽ bị fail.
Nếu bạn thiết lập policy Server (Request Security) thì máy tính sẽ quay về liên lạc không bảo mật với bất cứ máy tính nào không có policy. Policy IPSec sẽ được thiết lập để bảo mật lưu lượng cần được bảo mật khi cho phép thực hiện các liên lạc cơ bản.
4 Triển khai IPSec với Certificates. 4.1Giới thiệu về Certificates.