Triển khai IPSec trên windows

I. TRIỂN KHAI IP SEC :

– Truy cập vào group policy để thiết lập IP Sec policy :

– Trong IP Sec Policy của Windows có ba chính sách mặc định đó là:

  • Server (Request Security)
  • Client (Respond Only)
  • Secure Server (Require Security)

– Lưu ý trong một GPO ta chỉ có thể thực hiện một trong ba thiết lập trên. Muốn thiết lập nhiều chính sách, ta tạo ra nhiều GPO rồi link tới những OU cần thiết trong domain.

1. Server (Request Security).

– Khi máy chủ thiết lập chính sách này, khi có một kết nối đến nó hay từ nó đi tới máy khác thì máy chủ này sẽ yêu cầu thương lượng phương thức bảo mật (trong Windows tất cả các máy tính trong một domain đều có thể thương lượng bảo mật với nhau qua giao thức Kerberos). Với các máy trả lời là có thể thương lượng bảo mật ví như cùng trong domain có thể sử dụng Kerberos thì hai máy sẽ sử dụng phương thức đó để mã hóa và truyền dữ liệu với nhau. Nhưng khi nó yêu cầu thương lượng bảo mật một số máy không trong domain thì sẽ không thể thương lượng được thì quá trình truyền dữ liệu vẫn được thực hiện nhưng không được mã hóa thông tin và không đáp ứng yêu cầu bảo mật cao.


– Thiết lập mặc định này máy chủ sẽ yêu cầu toàn bộ các giao tiếp IP phải thương lượng bảo mật trước khi truyền và tự động trả lời cho quá trình thương lượng bảo mật. Nếu thương lượng thất bại quá trình truyền dữ liệu không được mã hóa. Gói ICMP không luôn luôn được cho phép và không cần mã hóa. Trong thiết lập mặc định của Server (Request Security) bao gồm ba Rule Security:

  • All IP Traffic
  • All ICMP Traffic
  • <Dynamic>

1A. All IP Traffic :

– Với thiết lập mặc định này sẽ được áp dụng cho toàn bộ các giao tiếp thông qua IP (All IP
Traffic), được áp dụng với Port, IP nguồn (source) là My IP địa từ chính máy yêu cầu, Port và IP đích (Destination) là Any IP. Với thiết lập hệ thống sẽ yêu cầu bảo mật khi máy tính giao tiếp với tất cả các máy khác.

– Trong Filter Action có ba mức độ là Permit, Request Security, Require Security. Rule này với thiết lập mặc định phải là Request Security.

– Authentication Methods mặc định chỉ sử dụng Kerberos để xác thực mà thôi, ta có thể add thêm hai phương thức xác thực khác đó là CA và Preshare key.

– Trong tab tunnel setting cho phép ta thực hiện cấu hình tạo đường hầm ảo với toàn bộ các giao tiếp hay chỉ với một địa chỉ mạng hay địa chỉ host mà thôi.

– Connection Type được áp dụng cho những dạng kết nối nào, với mặc định là Any Connection ta có thể chỉ cần áp dụng cho các kết nối từ xa như VPN, hay LAN mà thôi.


1B. All ICMP Traffic :

– Với thiết lập mặc định sẽ cho phép toàn bộ các gói ICMP đi ra và tới máy tính này.

– Tab filter lọc toàn bộ gói ICMP, tab action thiết lập allow, không cần xác thực.

1C. <dynamic> rule :

– Với thiết lập trong Dynamic Security Rule này để đảm bảo hệ thống sẽ trả lời các request security nào.

– Trong bảng trên thể hiện những phương thức mà chúng có thể trả lời như 3DES, DES, SH, MD5…

– Phương thức xác thực sử dụng Kerberos

2. Client (Respond Only) :

– Nếu các client chịu chính sách này trong domain sẽ tự động trả lời các quá trình thương lượng bảo mật (trong domain sẽ tự động sử dụng Kerberos).

– Với thiết lập này hệ thống sẽ trả lời toàn bộ các request security thông qua giao thức xác thực Kerberos. Thiết lập này chính là <dynamic> rule Security trong Server (Request Security).

– Do đó nếu ta đã sử dụng chính sách Server (Request Security) ta không cần sử dụng chính sách Client (Respond only) nữa, và cuối phần này tôi sẽ giải thích tại sao lại chỉ sử dụng một trong ba chính sách, Server (Request Security) và Client (Respond only), Server Secure (Require Security).


3. Server Secure (Require Security) :

– Khi chính sách Require Security được enable lên toàn bộ quá trình giao tiếp tới nó đều được yêu cầu thương lượng phương thức bảo mật. Nếu thương lượng thành công thì quá trình truyền dữ liệu được tiến hành. Khác với Server (Request Security) đó là với chính sách này được enable nếu quá trình thương lượng bảo mật bị thất bại nó sẽ hủy bỏ quá trình giao tiếp.

– Trong thiết lập mặc định này cũng bao gồm ba Security Rule đó là All IP Traffic, All ICMP Traffic, <dynamic>. Nếu là thiết lập mặc định như vậy nó yêu cầu bắt buộc phải bảo mật từ máy chủ đó tới toàn bộ các máy khác nhưng từ các máy khác thì không thể đến được nó. Do vậy khi chúng ta muốn cho phép các máy client khác trong domain có khả năng truy cập được vào máy chủ đó đã enable chính sách này ta phải chỉnh sửa lại: Source Port và Source IP là (Any) thay vì là (My IP).

– Cách thực hiện chọn Rule All IP Traffic nhấn vào Edit trong rule này chọn tab IP filter list chọn All IP Traffic nhấn Edit, trong cửa sổ đó nhấn tiếp Edit.

– Chuyển Source IP từ My IP thành Any khi đó sẽ cho phép những giao tiếp bảo mật từ nó đi tới máy khác và từ máy khác tới nó. Với thiết lập này chỉ những máy cho domain có thể giao tiếp với nhau mà thôi các máy ngoài domain không thể giao tiếp được với nhau.

– Khác với thiết lập của Server (Request Security) thiết lập All IP Traffic trong Server Secure (Require Security). Đó là thiết lập trong action filter là Require Security. Bắt buộc tất cả các giao tiếp ra bên ngoài đều phải được bảo mật không giống như Request Security nếu có bảo mật thì thương lượng không có thì truyền không bảo mật. Require Security bắt buộc chỉ cho phép những quá trình truyền thông tin phải đảm bảo tính bảo mật mà thôi.

– Các Security Rule ở trong Server Secure (Require Security) khác đều tương tự với (Request Security).

4. Custom Policy :

– Nếu ta không muốn sử dụng hay cấu hình lại các chính sách đã có từ trước ta có thể tạo ra một chính sách mới.

– Vào Group Policy Editor trong phần thiết lập các chính sách cho IP Sec ta chuột phải chọn Create IP Security Policy.

– Ta chỉ được lựa chọn phương thức xác thực là Kerberos, CA, Preshare Key. Sau khi hoàn thành công việc tạo mới một IP Security Policy ta phải add thêm các rule tương tự như All IP Traffic hay All ICMP traffic, phương thức xác thực, tunnel, apply cho các dạng kết nối nào.

5. Cách thực áp dụng IP Sec Policy vào thực tế.

5A. Tình huống :

– Ta có một domain với tên VNE.NET ta có hai máy chủ chứa dữ liệu đó là Server1.vne.net và Server2.vne.net. Trong đó máy chủ Server1.vne.net chứa dữ liệu rất quan trọng cho công ty, dữ liệu chứa trên máy chủ Server2.vne.net chứa dữ liệu public. Người quản lý nói với ta rằng ông ấy muốn ngoài việc bảo mật share dữ liệu sử dụng NTFS Permission và Share Permission ra các máy chủ còn phải đáp ứng.

– Toàn bộ quá trình truyền dữ liệu giữa các máy client và Server1.vne.net đều được mã hóa để đảm bảo tính bảo mật, và chỉ cho những máy tính trong domain được truy cập vào máy chủ đó. Những máy tính không trong domain sẽ không thể truy cập được vào máy chủ đó nhằm đảm bảo tính bảo mật cho dữ liệu.

– Toàn bộ quá trình truyền dữ liệu giữa client với Server2.vne.net phải đáp ứng: Nếu quá trình truyền dữ liệu với những máy tính trong domain phải được mã hóa, nhưng vẫn đảm bảo cho người dùng không trong domain vẫn truy cập vào bình thường.

5B. Cách giải quyết :

– Do máy chủ Server1.terri.info yêu cầu toàn bộ các giao tiếp phải được bảo mật và chỉ cho phép giao tiếp với các máy trong cùng domain. Như chúng ta đã biết trong cùng domain sẽ có một giao thức xác thực trung là Kerberos. Chúng hoàn toàn có thể thương lượng bảo mật với nhau, người ngoài domain thì không có cơ chế xác thực Kerberos. Chúng ta phải áp dụng chính xách Server Secure (Require Security) cho máy chủ Server1.terri.info sẽ đáp ứng toàn bộ yêu cầu.

– Còn trong máy chủ Server2.terri.info sẽ áp dụng chính sách là Server (Request Security) Bởi yêu cầu bắt buộc các máy tính trong domain giao tiếp với máy chủ này phải được mã hóa, còn máy chủ này cũng cho phép người khác không trong domain cũng có thể giao tiếp được với nó.

5C. Triển khai :

– Vào Active Directory Users and Computers

  • Tạo hai OU mới là: Secure và Public sau đó chuyển máy chủ Server1.terri.info vào OU Secure và Server2.terri.info vào OU Public

– Click chuột phải vào OU Secure chọn Properties chuyển sang tab Group Policy, nhấn vào New để tạo ra một GPO mới đặt tên cho GPO mới, nhấn tiếp vào Edit sẽ bật ra cửa sổ Group Policy Editor


– Vào phần thiết lập của IP Sec policy trong GPO đó chuột phải vào Server Secure (Require Security) chọn assign để apply chính sách đó cho OU này.


– Làm tương tự với OU Public và assign Server (Request Security) cho máy chủ Server2.terri.info

– Ở đây tôi chỉ tạo GPO mới link trực tiếp tới OU mà không thực hiện với domain bởi khi enable nhiều GPO trong cùng domain khi đó cứ thiết lập nào được enable của GPO trước thì GPO sau có cấu hình thì cũng không có tác dụng.

– Lưu ý rằng trong Rule All IP Traffic chúng ta phải chỉnh lại source IP là ANY thay cho My IP, nếu ta assign chính sách Secure Server (Require Security) mà chưa có thay đổi này thì bất kỳ máy tính nào cũng không thể giao tiếp được với máy tính khác.

– Khi thực hiện song các bước này các ta sẽ thấy chỉ các máy tính trong domain mới có khả năng truy cập vào máy chủ Server1.vne.net, các máy tính không trong domain chỉ có thể Ping được cho máy chủ này mà thôi.

– Và Server2.terri.info khi request thương lượng bảo mật máy tính trong domain trả lời khi đó truyền thông tin sẽ được bảo mật. Nếu các máy không trả lời thì giao tiếp sẽ được tiến hành nhưng không bảo mật.

About Terri

System Administrator @Netpower Datacenter

Posted on 02.11.2010, in Technical Articles, Windows and tagged , , . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: