Đề tài Comptia Security

Các Tập Tin Security Template Trên Windows Server 2003 Hệ thống Windows Server 2003 có một số tập tin Security Template lưu trữ trong thư mục %systemroot%\Security\Templates của ổ đĩa hệ thống. Các bạn có thể hiệu chỉnh những tập tin này bằng chương trình sọan thảo như notepad, MS word hay wordpad và lưu với phần mở rộng là *.inf. Sau đây là một số tập tin Secruity Template có sẳn trên hệ thống Windows Server 2003 sau khi cài đặt mà các bạn cần phải ghi nhớ: Mức bảo mật Template Mô tả Basic DC Security (áp dụng cho domain controller) Setup Security (áp dụng cho member server và stvà- alone server) Rootsec (sử dụng để gán các quyền cho hệ thống tập tin gốc) Đây là những tập tin mẫu dùng để thiết lập cơ chế bảo mật mặc định cho hệ thống Windows Server 2003 được cài đặt mới (clean install). Vi dụ, khi bạn cài đặt mới một máy tính Windows Server thì tập tin Security Teamplte Setup Security sẽ được ứng dụng để tạo ra các quyền hạn và chế độ bảo mật mặc định. Hoặc trong trường hợp bạn thay đổi các chính sách bảo mật làm cho hệ thống không thể họat động như không cho Administartor đăng nhập thì có thể trả về trạng tháo ban đầu (mặc định) bằng cách ứng dụng những tập tin ST tương ứng trong phần này. Secure Securedc (áp dụng cho các domain controller) Securews (áp dụng cho member server và stvà- alone server) Các tập tin này dùng để áp dụng một mức bảo mật cao hơn so với Basic, bao gồm những thay đổi về Account Policy, Auditing và một số vấn đề liên quan đến Registry Key. Highly Secure Hisecdc (áp dụng cho các domain controller) Hisecws (áp dụng cho member hay stvà-alone server) Những ST này áp đặt chế độ bảo mật cao nhất cho hệ thống Windows Server 2003 bao gồm máy chủ hay Domain controller. Khi áp dụng các mức bảo mật với Hisecdc (cho DC) hay Hisecws (cho máy chủ thông thường) hệ thống sẽ yêu cầu tất cả các truyền thông trên mạng phải được áp dụng digital sign và mã hóa với các thuật tóan và giao thức chỉ được hỗ trợ bởi Windows Server 2003 hoặc Windows Server 2000. Điều này có nghĩa là các máy tính sử dụng Windows 98 không thể nào truyền thông được với máy chủ hay Domain Controller có áp dụng chế độ bảo mật Highly Secure. Compatibility Compatws (chỉ áp dụng cho các máy trạm hay máy chủ thông thường, không sử dụng trên các hệ thống Domain Controller) Compatws template cho phép những thành viên của nhóm Users chạy những ứng dụng đòi hỏi phải có quyền hạn của nhóm Power Users. Internet Explorer Iesacls Micorsoft cung cấp tập tin này để ghi nhận thay đổi trong Registry đối với các họat động liên quan đến sự an toàn của Internet Explorer. Việc áp dụng tập tin này thật sự không tăng cường mức độ bảo mật cho Internet Explorer nhưng nó có thể dùng để làm điểm khởi đầu cho việc xây dựng các Internet Explorer Security Template. Các Công Cụ Quản Lý Windows Template Có nhiều công cụ (MMC snap-in) trên Windows Server 2003 có thể dùng để quản lý các Security Template như: 1. Security Template snap-in dùng để xem, thay đổi hay tạo mới một tập tin ST. 2. Security Configuration Và Analysis snap-in dùng để phân tích sự thay đổi (so với cấu hình gốc) các thiết lập về bảo mật khi ứng dụng một Security Template. Ngòai ra, công cụ này còn dùng để áp dụng một ST cho hệ thống. 3. Group Policy Management dùng để triển khai hay áp đặt các Security Teamplate cho một nhóm các máy tính trong môi trường domain. ASET (Sun Solaris Automated Security Enhancement Tool) Hệ điều hanh Sun Solaris có một cong cụ phục vụ cho việc tăng cường bảo mật hệ thống tên là ASET, bao gồm một tập các template và chức năng phân tích tính năng bảo mật chuẩn (tương tự chức năng của MBSA trên Microsoft Windows). Với chương trình này chúng ta có thể tăng cường mức độ bảo mật cho hệ thống Sun Solaris với các mức bảo mật sau đây: Mức bảo mật Mô tả Low ASET sẽ kiểm tra các thành phần của hệ thống và đưa ra bản báo cao về những lổ hỗng bảo mật. Ngòai ra còn có một số thay đổi nhỏ về cấu hình được tạo ra tại mức này. Medium ASET sẽ kiểm tra các thành phần và cấu hình hệ thống để hạn chế những truy cập. High Tại mức này ASET sẽ thiết lập các hạn chế truy cập ở mức cao nhất trên hệ thống. Khi ASET họat động nó sẽ tiến hành kiểm tra đối với những thành phần sau đây trên hệ thống Sun Solaris: Hệ thống tập tin. Các tập tin cấu hình Các quyền được ứng dụng cho tập tin Người dùng và nhóm người dùng (User và Group) Các biến môi trường Thiết lập an tòan cho Eeprom Firewall (nếu máy tính của bạn không phải là tường lữa thì có thể bỏ tùy chọn này) ASET sẽ kiểm tra các thiết lập trên hệ thống và cấu hình chúng cho tương thích với mức độ bảo mật được chọn. Nếu có lỗi xảy ra trong qua trình họat động sẽ được lưu trong thư mục /usr/aset/. Cũng như trên hệ điều hành Windows Server 2003 chúng ta có thể hiệu chỉnh các tham số, biến môi trường trong tập tin cấuhình của ASET để cho thích hợp với nhu cầu sử dụng của hệ thống. ACTIVITY 3-3 Tìm Hiểu Các Security Template Trên Windows Server 2003 1. Mở một blank MMC và công cụ Security Templates snap-in. a. Chọn Start => Run, và nhập vào MMC. Click OK. b. Mở rộng cữa sổ Console1 và Console Root. c. Chọn File => Add/Remove Snap-in. d. Trong hộp thọai Add/Remove Snap-in, hãy click Add. e. Kép thanh cuộn để tìm và chọn Security Templates snap-in, rối click Add. f. Click Close. g. Trong hộp thọai Add/Remove Snap-in, hãy click OK. h. Mở Security Templates, C:\Windows\Security\Templates. 2. Tìm hiểu nội dung của tập tin Hisecdc template. a. Mở Hisecdc, Account Policies, và chọn Password Policy. b. Chọn Account Lockout Policy. c. Mở Local Policies và chọn Audit Policy. Hãy trả lời một số câu hỏi sau đây 3. What is the account lockout threshold value in the Hisecdc policy? a) 0 attempts b) 3 attempts c) 5 attempts d) 7 attempts 4. Which is the only event for which no auditing is configured in the Hisecdc policy? a) Account Logon b) Directory Service Access c) Object Access d) Process Tracking e) System Events Biên sọan : Công ty Security365 NttVinh@Security365.Biz Last Modified: Friday Jun 12, 2009 - 00:22. Revision: 1. Release Date: Sunday Apr 26, 2009 - 08:43. LESSON 5 A : Protect Network Traffic with IP Security IPSEC PROTOCOL SECURITY365 – Www.Security365.Biz Nguyễn Trần Tường Vinh Tài liệu được biên sọan kết hợp SCNP và Security+ Tổng Quan Về IPSEC Và Mã Hóa: Chúng ta đã thực hành công cụ sniffer rất mạnh đó là Ettercap, tuy nhiên ngay cả những công cụ giám sát mạng thông dụng vẫn có thể bắt giữ những thông tin nhạy cảm không được mã hóa như Email, FTP, HTTP password.. Bởi vì TCP/IP mặc định không có cơ chế bảo vệ cho các thông tin riêng tư, bí mật cho nên nhằm bảo đảm sự an tòan cho quá trình truyền thông các ứng dụng third-party thường được dùng để băm (hash), mã hóa (encryption) và chứng thực dữ liệu tại tầng Application nhằm đảm bảo 3 yếu tố bảo mật cơ bản CIA sau: - C : (confidential) bảo vệ tính riêng tư của dữ liệu thông qua các cơ chế chứng thực và mã hóa, ngăn ngừa những người không hợp lệ sẽ không được đọc những thông tin. Giống như các bì thư khi phát lương thường được dán chữ Confidential, chúng ta có thể hình dung trong môi trường IT là một người chưa log vào domain sẽ không được truy cập những dữ liệu chỉ chia sẽ cho các Domain User. - I : (integrity) bảo vệ tính tòan vẹn của dữ liệu thông qua các thuật tóan message digesst, SHA, MD5.. ngăn ngừa attacker thay đổi các thông tin nhạy cảm trong quá trình truyền. - A : (available) bảo đảm dữ liệu luôn ở trong trạng thái sẳn sàng đap ứng nhu cầu của người dùng. Trong các kì thi chứng chỉ bảo mật của Security+ và SCNP các câu hỏi về CIA rất hay ra, đặc biệt lưu ý chữ A là tượng trưng cho Available chứ không phải Authentiacation. Trong số các khái niệm trên thì Data Integrity và Data Encryption được nhắc nhiều trong các kỳ thi chứng chỉ bảo mật quốc tế, từ SECURITY+, SCNP cho đến CISSP. Vì vậy các bạn cần nắm vững những khái niệm này cùng những thuật tóan liên quan. Data Integrity Trong ba yếu tố trên thì Data Integrity (tính tòan vẹn dữ liệu) được dùng để phòng chống lại các kiểu tấn công replay attack hay man-in-the-middle làm thay đổi dữ liệu truyền. Cho phép các máy tham gia truyền thông có thể nhận ra dữ liệu nhận được là dữ liệu gốc khi truyền, chưa bị thay đổi. main-in-the-middle attack Một trong những phương pháp được sử dụng là message digest hay còn gọi là digital signature sử dụng thuật tóan mã hóa 1 chiều (one-way encryption algorithm) còn được gọi là hashing algorithm (thuật tóan băm) như các giao thức MD5 và SHA-1. Khi sử dụng các thuật tóan băm sẽ tạo ra các giá trị băm (hash value) là digest với kích thước phụ thuộc vào dữ liệu gốc. Trong qua trình truyền thông cả dữ liệu (ciphertext) và digest đều được truyền đến bên nhận để phục vụ cho quá trình so sánh dữ liệu sau khi truyền với các thuật toán thích hợp. Digital signature ngoài việc cung cấp cơ chế bảo đảm tính tòan vẹn (data integrity) còn lọai trừ khả năng chối bỏ trách nhiệm của bên gởi dữ liệu, đặc trưng này còn được gọi là non-repudiation – một trong những tính năng quan trọng trong môi trường trao đổi thông tin điện tử. Table 1: Các Thuật Tóan Băm Các thuật tòan Hashing Mô tả Secure Hash Algorithm (SHA-1, SHA- 256, SHA- 384, và SHA-512) Là thuật tóan mã hóa mạnh nhất trong số 2 thuật tóan băm được giới thiệu. SHA-1 tạo ra các hash value 160-bit còn SHA-256, SHA-384, và SHA-512 thì tạo ra các hash value tương ứng 256-bit, 384-bit, và 512-bit. Message Digest 5 (MD-5) MD5 sử dụng 128-bit message digest. Data Encryption Ngòai phương pháp băm với các thuật tóan như MD5 hay SHA được áp dụng để mang đến tính tòan vẹn dữ liệu (data integrity) thì phương pháp mã hóa dùng cho để bảo đảm tính riêng tư cho dữ liệu. Có nhiều thuật tóan mã hóa khác nhau họat động dựa trên hai cơ chế là mã hóa đối xứng và mã hóa bất đối xứng đựoc mô tả trong Table 2-2 sau đây: Table 2 : Các Thuật Tóan Mã Hóa Thuật Tóan Mã Hóa Mô tả Ví dụ Symmetric/Private key Symmetric encryption (mã hóa đối xứng) còn được xem là private key encryption tiến hành mã hóa và giải mã dựa trên một khóa duy nhất. Điều này có thuận lợi về mặt tốc độ triển khai cũng như chi - Data Encryption Standard (DES) Triple DES (3DES) - Advanced - Encryption Standard (AES) phí thấp nhưng lại có tính bảo mật kém vì khi tiến hành truyền dữ liệu phải gởi kèm cả khóa dùng để giải mã vì vậy khi khóa bị đánh cắp sẽ làm cho dữ liệu bị mất an tòan. Do đó khi áp dụng cơ chế này cần có cơ chế truyền khóa an tòan. Stream cipher là symmetric encryption - Rijndael Rivest Cipher - (RC) 4 và 5 Skipjack - Blowfish - CAST-128 - Asymmetric/Public key Asymmetricencryption (mã hóa bất đối xứng), hay còn gọi là public key encryption là phương pháp mã hóa cao cấp hơn so với symmetric encryption và an tòan hơn. Trong cơ chế mã hóa này một cặp khóa được áp dụng gồm public key có tác dụng đối với tất cả mọi người, và dữ liệu sẽ được mã hóa bằng public key của recipent (bên nhận) và chỉ có private key của recipientmới có thể giải mã dữ liệu. Phương pháp mã hóa bất đối xứng giải quyết được vấn đề chia sẽ private key của mã hóa đối xứng, do đó tính an tòan cũng cao hơn. - Rivest Shamir Adelman (RSA) cryptosystem - Diffie-Hellman Elgamel - Quay lại với chủ đề chính của chương này, khi sử dụng các tiện ích mã hóa và chứng thực tại tầng ứng dụng làm tăng chi phí mua phần mềm khiến cho tổng phí TCO tăng lên. Ngòai ra người dùng cần phải được đào tạo để nắm cách sử mã hóa và giải mã vì vậy có một giải pháp khác đáp ứng được vấn đề trên nhưng không cần cái đặt thêm các ứng dụng khác đó là mã hóa và chứng thực tại Network Layer với IPSEC hay IP Security Protocol (được mô tả trong RFC 2401), là giao thức bảo mật dữ liệu và đường truyền được sử dụng rất nhiều trong các sản phẩm bảo mật hiện nay. Khi áp dụng IPSEC các host không cần cài đặt thêm chương trình và người dùng không phải thực hiện các thao tác mã hóa và giải mã ở các trạm đầu cuối vì quá trình được thực hiện hòan tòan tại tầng Network và trong suốt đối với người dùng, đây là một ưu điểm nổi bật của ứng dụng này. Vậy chúng ta có thể sử dụng IPSEC như thế nào? Trước tiên các bạn hãy làm quen với các đặc điểm của chúng. Chúng ta có thể sử dụng IPSEC để mã hóa tòan bộ IP packet hay chỉ bảo vệ các upper-layer protocol/aplication như Mail,Web..Đây chính là 2 chế độ sử dụng của IPSEC: - Trasport Mode: khi áp dụng IPSEC ở chế độ này IPSec Header (AH/ ESP header) sẽ được chèn giữa IP Header và TCP Header giúp chúng ta bảo vệ các ứng dụng tầng cao như FTP, WWW.. - Tunnel Mode: với Tunnel Mode thì IPSEC Header sẽ được chèn giữa IP Header gốc và IP Header mới được tạo ra trong quá trình Tunnel giúp bảo vệ tòan bộ IP payload. Bên cạnh 2 Mode được sử dụng trên, IPSec sử dụng 2 giao thức tại tầng vận chuyển là AH và ESP. Giữa các giao thức này có những điểm khác biệt chính sau đ ây: - ESP cho phép thực hiện các ccơ chế data integrity và bảo đảm tính riêng tư của dữ liệu với các thuật tóan mã hóa như DES hay 3DES. Tuy nhiên, khi áp dụng ESP ở Transport Mode chỉ bảo vệ cho data payload chứ không bảo vệ phần IP header vì vậy phần source va2 destionation address va64n có thể bị hiển thị. Khi áp dụng cơ chế này các ESP header sẽ được chèn vào data payload như hình sau: Gói tin trước khi áp dụng ESP Gói tin sau khi áp dụng ESP - Giao thức còn lại là AH chỉ cho phép thực hiện data integrity. Do đó các packet khi được áp dụng AH có thể bảo vệ được phần IP Header bằng cách chèn một AH header vào giữa IP header và TCP/UDP header, và các attacker vẫn có thể bắt được nội dung của gói tin trong phần payload, cho nên những ứng dụng yêu cầu bảo mật với phần dữ liệu cần phải tiến hành IPSec với ESP như các hình dưới đây. Gói tin trước khi áp dụng AH Sau khi áp dụng AH Vậy là cách nào để có thể vừa bảo vệ IP header và cả Data Payload, hãy áp dụng cả AH signature và ESP signature cho dữ liệu trước khi truyền. Nhưng khi đó tốc độ sẽ bị giảm đáng kể do quá trình mã hóa, giải mã và trao đổi khóa cần phải tiến hành nhiều công đọan hơn, cho nên khi triển khai IPSec chúng ta cần cân nhắc kỹ sự cân bằng giữa như cầu bảo mật, an tòan dữ liệu và tốc độ của quá trình truyền thông để có thể đưa ra giải pháp thích hợp nhất. Như vậy, với hai cơ chế họat động và hai giao thức tại tầng Transport chúng ta có 4 tình huống áp dụng IPSec là: - ESP Transport Mode: trong chế độ này ESP mã hóa và xác thực các application data như email, web page…tuy nhiên nó không bảo vệ IP Address nghĩa là các attacker khi bắt được các gói tin có thể không xem được nội dung vì chúng đã được mã hóa nhưng vẫn có thể xem được địa chỉ IP nguồn và đích . Và khi truyền thông cả 2 host nguồn và đích cần có IPSEC enable. - ESP Tunnel Mode: giống như ESP Trasport Mode các application data sẽ được mã hóa, ngoài ra IP Address cũng sẽ được mã hóa và các attacker sẽ không thể xem được các thông tin dữ liệu cũng như IP Address. - AH Trasport Mode: chúng ta cần ghi nhớ là AH không cung cấp chức năng mã hóa mà chỉ cung cấp dịch vụ xác thực. - AH Tunnel mode : ở chế độ này AH sẽ xác thực các dữ liệu giữa 2 điểm đầu cuối của tunnel, tuy nhiên chế độ này ít được sử dụng. Tham khảo thêm Để bảo vệ dữ liệu IPSEC cung cấp cơ chế mã hóa khi gởi và giải mã dữ liệu tại nơi nhận, tiến trình này gọi là cryptography. Các tập tin khi chưa được mã hóa được gọi là plaintext còn sau khi được thực hiện mã hóa được gọi là cipertext, và để có thể mã hóa các plaintext cũng như giải mã các ciphertext thì chúng ta cần phải có các khóa (key) để giải mã do đó cần có một cơ chế thích hợp cho quá trình trao đổi khóa (negotiating) giữa bên truyền và bên nhận trong quá trình truyền thông với IPSEC: - Manual distribution: phương pháp này các user trong quá trình truyền dữ liệu sẽ gởi cho người nhận khóa dùng để giải mã. Phương pháp trao đổi này thường được ứng dụng với tên gọi là KDC (key distribution center). - Automatic ditribution: giống như tên gọi của nó, phương pháp trao đổi khóa này sẽ diễn ra một cách tự động với cơ chế mặc định là Internet Key Exchange (IKE) tuy nhiên ta vẫn có thể sử dụng KDC (với thực thi Keberos như trong môi trường Active Directory) để tiến hành trao đổi khóa một cách tự động. Internet Key Exchange Ngòai các thuật toán dung để mã hóa và xác nhận tính tòan vẹn của dự liệu IPSec sử dụng giao thức Internet Key Exchange (IKE) để tạo master key dung cho quá trình mã hóa dữ liệu. Master key không bao giờ được trao đổi trên mạng, thay vào đó các máy tính sẽ sử dụng thuật tóan Diffıe-Hellman (DH) algorithm để tạo ra master key. Trên đây là những đặc điểm chính của IPSec và các giao thức của nó. Để trển khai IPSec tren hệ thống Windows chúng ta sử dụng IPSec Policy Management. Các bạn có thể tham khảo các filde video demo cách triển khai và ứng dụng IPSEc cho một hệ thống. Topic 2B: Thực Thi Và Quản Lý IPSEC Policy Để triển khai và quản lý các IPSec policy trên hệ thống Windows các bạn sử dụng IP Security Management snap-in như sau: 1. Mở Start -> Run và gõ vào lệnh mmc sau đó nhấn enter. 1. Trên cữa sổ console ta chọn File -> Add/Remove Snap-in (hoặc nhấn Crtl+M) 1. Tiếp theo ta chọn Add trên cữa sổ Add/Remove Snap-in và click vào IP Security Policy Management như hình sau và chọn Add (giữ giá trị mặc định là Local Computer trên cửa sổ tiếp theo và click Finish: 1. Sau khi đã thêm Snap-in IP Security Policy Management vào giao diện quản lý snap-in các bạn có thể chọn thêm các snap-in khác để gắn vào console của mình hoặc chọn Close để đóng cữa sổ Add Standalone Snap-in và nhấn OK trở về giao diện quản lý chính. Để tiết kiệm thời gian ta có thể lưu Console với các Snap-in đã được gắn trong Administrative Tools bằng cách chọn File -> Save As: Trên hệ thống Windows có 3 chính sách IPSEC mặc định được tạo sẳn khi cài đặt hệ thống là Client (Response Only), Secure Server (Require Security) và Server (Request Security) như hình sau: - Client (Response Only) Policy: đây là policy dùng để áp dụng cho các client phục vụ cho việc đáp ứng lại các yêu cầu truyền thông theo các cơ chế mã hóa do phía server đưa ra. Ví dụ chúng ta có một máy chủ FTP yêu cầu các client khi truyền thông phải áp dụng IPSEC thì lúc đó trên các Client các bạn có thể gán (Assign) Client Policy. Và khi các client truyền thông với các máy không yêu cầu IPSEC như một client khác chúng sẽ sử dụng cơ chế truyền thông bình thường không mã hóa. - Secure Server (Require Secrity) Policy: nếu chúng ta có 3 host A, B, C trong đó Host A được gán Secure Server Policy và Host B gán Response Only, còn Host C thì không áp đặt IPSEC. Vậy nếu Host B và Host C khi truyền thông với Host A sẽ diễn ra như thế nào? Khi đó dữ liệu truyền giữa Host A và B sẽ được mã hóa theo các cơ chế do Host A đưa ra vì dụ sử dụng MD5 hay SHA1 … còn dữ liệu truyền giữa Host A và Host C được tiến hành bình thường (plaintext) do Host C không áp dụng cơ chế truyền thông IPSEC. - Server (Request Security) Policy: đây l à cơ chế khắt khe và đáp ứng được nhu cầu bảo mật cao nhất, lấy ví dụng như trong trường hợp trên khi chúng ta áp đặt Server Policy cho Host A thì chỉ có Host B mới có thể truyền thông với Host A còn Host C không được phép truyền thông vì không được áp dụng IPSEC. Điều này sẽ ngăn ngừa các kết nối unsecure và tăng mức độ an tòan cho dữ liệu trong quá trình truyền. Tuy nhiên, để sử dụng các default policy này chúng ta cần phải xây dựng Active Directory và Join các host vào domain vì mặc định cơ chế xác thực giữa các host lúc này là keberos protocol (giao thức này chỉ được cài trên các máy chủ Domain Controller). Vì vậy nếu các bạn muốn áp dụng chúng cho mô hình WorkGroup hay giữa các untrust Domain thì cần phải chỉnh sữa lạ cơ chế xác thực của chúng. Lúc này các IPSEC Policy của chúng ta được gọi là Custom IPSec Policy. Ví dụ như trường hợp sau chúng ta sẽ thay đổi Authentication Methods của Secure Server Policy từ Keberos sang sử dụng Preshared Key với khóa là security365 (lưu ý là preshared key sẽ được gởi đi dưới dạng pliantext và có thể bị các Sniffer bắt giữ) IPSEC GUIDE LAB – HOCTRUCTUYEN.ORG Quản Lý IP Security Protocal Các Bài Thực Hành Trong Chương Này Gồm Có: Exercise 2.1: Enable IPSec trên Local Computer Exercise 2.2: Enabling IPSec cho tòan Domain Exercise 2.3: Cấu hình Policy cho IPSec Tunnel Mode Exercise 2.4: Sử dụng IP Security Monitor Case Study. Exercise 2.1: Enable IPSec Trên Local Computer 1. Click Start -> Run, nhập vào lệnh MMC, và click OK để mở giao diện console quản lý các snap-in. 2. Chọn File -> Add/Remove Snap-In. Khi hộp thọai Add/Remove Snap-In xuất hiện, click Add button. 3. In Add Standalone Snap-In dialog box, chọn IP Security Policy Management và click Add button. 4. Hộp thọai Select Computer Or Domain xuất hiện. Chọn Local Computer (default) radio button và click Finish button. 5. Click Close button trên Add Standalone Snap-In. 6. Click OK button trên Add/Remove Snap-In. 7. Chọn IP Security Policies On Local Computer node trên MMC. 8. Right-click Server (Request Security) policy và chọn Assign. Lúc này chúng ta thấy cột Policy Assigned của Server (Request Security) policy đã chuyển sang Yes. chọn IP Security Policies On Local Computer node in MMC. In right-hvà pane of MMC, right-click Server (Request Security) policy và choose Properties. The Server (Request Security) Properties xuất hiện. 7. The All IP Traffic rule is chọned by default. Click Edit button. The Edit Rule Properties xuất hiện. 8. Switch to Filter Action tab. chọn Request Security (Optional) filter action và n click Edit button. The filter action’s Properties xuất hiện. 9. Click Add button. When New Security Method xuất hiện, click Custom radio button và n click Thiết Lậps button. 10. In Custom Security Method Thiết Lậps dialog box, check Data And Address Integrity Without Encryption (AH) checkbox, và in drop-down list, chọn SHA1. Check Data Integrity và Encryption (ESP) checkbox. Using drop-down lists under (ESP), set Integrity to SHA1 và Encryption to 3DES. 11. First check Generate A New Key Every checkbox và set key generation interval to 24,000 Kbytes. (Kbytes must be in range 20,480–2,147,483,647Kb.) Then click next Generate A New Key Every checkbox và specify a key generation interval of 1800 seconds. 12. Click OK button in Custom Security Method Thiết Lậps dialog box và n click OK in New Security Method dialog box. 13. When Request Security (Optional) Properties xuất hiện, use Move Up button to move custom filter you just defined to top of list. 14. Click OK button in Request Security (Optional) Properties dialog box. 15. Click Close button in Edit Rule Properties dialog box và n click OK button in Server (Request Security) Properties dialog box. Leave window open for next lab Exercise 2.2: Enabling IPSec Cho Tòan Domain Trong bài lab này, chúng ta sẽ enable ipsec tất cả các máy tính trong domain. 1. Click Start -> Run, nhập vào lệnh MMC, và click OK để mở giao diện quản lý snap-in. 2. Chọn File Add/Remove Snap-In. Khi hộp thọai Add/Remove Snap-In xuất hiện, click Add button. 3. Trên cữa sổ Add Standalone Snap-In, chọn Group Policy Object Editor và click Add button. 4. Select Group Policy Object xuất hiện. Chọn Browse button để mở cữa sổ Browse For A Group Policy Object. 5. Chọn Default Domain Policy và click OK button. 6. Click Finish button in chọn Group Policy Object dialog box. 7. Click Close trên Add Standalone Snap-In và sau đó click OK button trên cữa sổ Add/Remove Snap-In. 8. Mở Default Domain Policy -> Computer Configuration -> Windows Settings-> Security Settings -> IP Security Policies on Default Domain Name. 9. Bên khung phải của giao diện quản lý Domain Policy ta thấy ba predefined policie. 10. Right-click Server (Request Security) policy và chọn Assign để bật chức năng IPSec cho tòan domain, lúc này chúng ta thấy cột Policy Assigned của Server (Request Policy) hiển thị Yes. Exercise 2.3: Cấu hình Policy Tunnel Mode policy 1. Trên giao diện quản lý IP Security Policies On Local Computer chọn Create IP Security Policy. Khi cữa sổ IP Security Policy Wizard xuất hiện hãy click Next. 2. Đặt tên policy là Tunnel To B và click Next button. 3. Trên trang Requests For Secure Communication, turn off Activate Default Response Rule checkbox và click Next button. 4. Clic