III. QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM CỤC BỘ
1.10 Triển khai IPSEC trên Windows Server
-Trong hệ thống Windows Server 2003 không hỗ trợ một công cụ riêng cấu hình IPSec, do đó để triển khai IPSec chúng ta dùng các công cụ thiết lập chính sách dành cho máy cục bộ hoặc dùng cho miền.
- Để mở công cụ cấu hình IPSec, ta có 2 cách sau: • Vào Start / Run rồi gõ secpol.msc
• Vào Start / Programs / Administrative Tools / Local
Security Policy, bạn chọn IP Security Policies on active Directory
Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phương pháp chứng thực nào đó. Mặc dù các qui tắc permit và block không dùng đến chứng thực nhưng
Windows vẫn đòi bạn chỉ định phương pháp chứng thực. - IPSec cho phép bạn chứng thực thông qua Active Directory, các chứng chỉ PKI hoặc một khóa được chia sẻ trước.
- Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác động bảo mật (action).
- Có bốn tác động mà qui tắc có thể dùng là:block, encrypt, sign và permit. Ví dụ:Tạo chính sách IPSec đảm bảo một kết nối được mã hóa
- Chúng ta có hai máy tính, máy A có địa chỉ 203.162.100.1 và máy B có địa chỉ 203.162.100.2. Chúng ta sẽ thiết lập chính sách IPSec trên mỗi máy thêm hai qui tắc (rule), trừ hai qui tắc của hệ thống gồm: Một qui tắc áp dụng cho dữ liệu truyền vào máy và Một qui tắc áp dụng cho dữ liệu truyền ra khỏi máy.Ví dụ qui tắc đầu tiên trên máy A bao gồm:
• Bộ lọc (filter): kích hoạt qui tắc này khi có dữ liệu truyền đến địa chỉ 203.162.100.1, qua bất kỳ cổng nào.
• Tác động bảo mật (action): mã hóa dữ liệu đó.
• Chứng thực: chìa khóa chia sẻ trước là chuỗi “quantri”.
Tiếp theo bạn chuyển sang Tab Manage Filter Actions để tạo ra các tác động bảo mật. Bạn nhấp chuột vào nút Add hệ thống sẽ hướng dẫn
bạn khai báo các thông tin về tác động. Trước tiên bạn đặt tên cho tác động này, ví dụ như làEncrypt.Tiếp tục trong mục Filter Action bạn chọn Negotiate security, trong mục IP Traffic Security bạn chọn Integrity and encryption.Đến đây bạn đã hoàn thành việc tạo một tác động bảo mật.
- Trong công cụ DomainController Security Policy, bạn nhấp phải chuột trên mục IP Security Policies on Active Directory, rồi chọn Create IP Security Policy, theo hướng dẫn bạn nhập tên của chính vào, ví dụ là First IPSec, tiếp theo bạn phải bỏ đánh dấu trong mục Active the default response rule.Các giá trị còn lại bạn để mặc định vì qui tắc Dynamic này chúng ta không dùng và sẽ tạo ra một qui tắc mới.
- Trong hộp thoại chính sách IPSec, bạn nhấp chuột vào nút Add để tạo ra qui tắc mới. Hệ thống sẽ hướng dẫn bạn từng bước thực hiện, đến mục chọn bộ lọc bạn chọn bộ lọc vừa tạo phía trên tên “Connect to 203.162.100.1”, mục chọn tác động bạn chọn tác động vừa tạo tên Encypt. Đến mục chọn phương pháp chứng thực bạn chọn mục Use this string to protect the key exchange và nhập chuỗi làm khóa để mã hóa dữ liệu vào, trong ví dụ này là “quantri”.