Sử Dụng Snort Ở Chế Độ Packer Logger:
Ngòai việc xem các gói tin trên mạng chúng ta còn có thể lưu trữ chúng trong thư mục
C:Snortlog với tùy chọ n –l, ví dụ dòng lệnh sau sẽ ghi log các thông tin dữ liệu tại tầng
data link và TCP/IP he ader c ủa lớp mạng nội bộ 192.168.1.0/24
C:/Snort/bin/snort -de v -l C:/Snort/log -h 192.168.1.0/24
Như vậy c húng ta đã tiến hành cài đặt và cấu hình snort để tiến hành bắt giữ c ác gói tin,
xem nội dung của chúng nhưng vẫn chưa biến snort thực sự trở thành 1 hệ thố ng IDS –
dò tìm xâm phạm trái phép. Vì một hệ thống như vậy cần có các quy tắc (rule) cùng
những hành động cảnh báo cho quản trị hệ thống khi xảy ra sự trùng khớp của những quy
tắc này. Trong phần tiếp theo,chúng ta sẽ tiến hành cấu hình để xây dựng 1 network IDS
với Snort.
155 trang |
Chia sẻ: thienmai908 | Lượt xem: 1481 | Lượt tải: 0
Bạn đang xem trước 20 trang nội dung tài liệu Đề tài Comptia Security, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Các Tập Tin Security Template Trên Windows Server 2003
Hệ thống Windows Server 2003 có một số tập tin Security Template lưu trữ trong thư
mục %systemroot%\Security\Templates của ổ đĩa hệ thống. Các bạn có thể hiệu chỉnh
những tập tin này bằng chương trình sọan thảo như notepad, MS word hay wordpad và
lưu với phần mở rộng là *.inf. Sau đây là một số tập tin Secruity Template có sẳn trên hệ
thống Windows Server 2003 sau khi cài đặt mà các bạn cần phải ghi nhớ:
Mức bảo mật Template Mô tả
Basic DC Security (áp dụng cho
domain controller)
Setup Security (áp dụng
cho member server và stvà-
alone server)
Rootsec (sử dụng để gán
các quyền cho hệ thống tập
tin gốc)
Đây là những tập tin mẫu
dùng để thiết lập cơ chế bảo
mật mặc định cho hệ thống
Windows Server 2003 được
cài đặt mới (clean install).
Vi dụ, khi bạn cài đặt mới
một máy tính Windows
Server thì tập tin Security
Teamplte Setup Security sẽ
được ứng dụng để tạo ra
các quyền hạn và chế độ
bảo mật mặc định. Hoặc
trong trường hợp bạn thay
đổi các chính sách bảo mật
làm cho hệ thống không thể
họat động như không cho
Administartor đăng nhập
thì có thể trả về trạng tháo
ban đầu (mặc định) bằng
cách ứng dụng những tập
tin ST tương ứng trong
phần này.
Secure Securedc (áp dụng cho các
domain controller)
Securews (áp dụng cho
member server và stvà-
alone server)
Các tập tin này dùng để áp
dụng một mức bảo mật cao
hơn so với Basic, bao gồm
những thay đổi về Account
Policy, Auditing và một số
vấn đề liên quan đến
Registry Key.
Highly Secure Hisecdc (áp dụng cho các
domain controller)
Hisecws (áp dụng cho
member hay stvà-alone
server)
Những ST này áp đặt chế
độ bảo mật cao nhất cho hệ
thống Windows Server
2003 bao gồm máy chủ hay
Domain controller. Khi áp
dụng các mức bảo mật với
Hisecdc (cho DC) hay
Hisecws (cho máy chủ
thông thường) hệ thống sẽ
yêu cầu tất cả các truyền
thông trên mạng phải được
áp dụng digital sign và mã
hóa với các thuật tóan và
giao thức chỉ được hỗ trợ
bởi Windows Server 2003
hoặc Windows Server
2000. Điều này có nghĩa là
các máy tính sử dụng
Windows 98 không thể nào
truyền thông được với máy
chủ hay Domain Controller
có áp dụng chế độ bảo mật
Highly Secure.
Compatibility Compatws (chỉ áp dụng cho
các máy trạm hay máy chủ
thông thường, không sử
dụng trên các hệ thống
Domain Controller)
Compatws template cho
phép những thành viên của
nhóm Users chạy những
ứng dụng đòi hỏi phải có
quyền hạn của nhóm Power
Users.
Internet Explorer Iesacls Micorsoft cung cấp tập tin
này để ghi nhận thay đổi
trong Registry đối với các
họat động liên quan đến sự
an toàn của Internet
Explorer. Việc áp dụng tập
tin này thật sự không tăng
cường mức độ bảo mật cho
Internet Explorer nhưng nó
có thể dùng để làm điểm
khởi đầu cho việc xây dựng
các Internet Explorer
Security Template.
Các Công Cụ Quản Lý Windows Template
Có nhiều công cụ (MMC snap-in) trên Windows Server 2003 có thể dùng để quản lý các
Security Template như:
1. Security Template snap-in dùng để xem, thay đổi hay tạo mới một tập tin ST.
2. Security Configuration Và Analysis snap-in dùng để phân tích sự thay đổi (so với
cấu hình gốc) các thiết lập về bảo mật khi ứng dụng một Security Template. Ngòai
ra, công cụ này còn dùng để áp dụng một ST cho hệ thống.
3. Group Policy Management dùng để triển khai hay áp đặt các Security Teamplate
cho một nhóm các máy tính trong môi trường domain.
ASET (Sun Solaris Automated Security Enhancement Tool)
Hệ điều hanh Sun Solaris có một cong cụ phục vụ cho việc tăng cường bảo mật hệ thống
tên là ASET, bao gồm một tập các template và chức năng phân tích tính năng bảo mật
chuẩn (tương tự chức năng của MBSA trên Microsoft Windows). Với chương trình này
chúng ta có thể tăng cường mức độ bảo mật cho hệ thống Sun Solaris với các mức bảo
mật sau đây:
Mức bảo mật Mô tả
Low ASET sẽ kiểm tra các thành phần của hệ
thống và đưa ra bản báo cao về những lổ
hỗng bảo mật. Ngòai ra còn có một số
thay đổi nhỏ về cấu hình được tạo ra tại
mức này.
Medium ASET sẽ kiểm tra các thành phần và cấu
hình hệ thống để hạn chế những truy cập.
High Tại mức này ASET sẽ thiết lập các hạn
chế truy cập ở mức cao nhất trên hệ
thống.
Khi ASET họat động nó sẽ tiến hành kiểm tra đối với những thành phần sau đây trên hệ
thống Sun Solaris:
Hệ thống tập tin.
Các tập tin cấu hình
Các quyền được ứng dụng cho tập tin
Người dùng và nhóm người dùng (User và Group)
Các biến môi trường
Thiết lập an tòan cho Eeprom
Firewall (nếu máy tính của bạn không phải là tường lữa thì có thể bỏ tùy chọn này)
ASET sẽ kiểm tra các thiết lập trên hệ thống và cấu hình chúng cho tương thích với mức
độ bảo mật được chọn. Nếu có lỗi xảy ra trong qua trình họat động sẽ được lưu trong thư
mục /usr/aset/. Cũng như trên hệ điều hành Windows Server 2003 chúng ta có thể hiệu
chỉnh các tham số, biến môi trường trong tập tin cấuhình của ASET để cho thích hợp với
nhu cầu sử dụng của hệ thống.
ACTIVITY 3-3
Tìm Hiểu Các Security Template Trên Windows Server 2003
1. Mở một blank MMC và công cụ Security Templates snap-in.
a. Chọn Start => Run, và nhập vào MMC. Click OK.
b. Mở rộng cữa sổ Console1 và Console Root.
c. Chọn File => Add/Remove Snap-in.
d. Trong hộp thọai Add/Remove Snap-in, hãy click Add.
e. Kép thanh cuộn để tìm và chọn Security Templates snap-in, rối click Add.
f. Click Close.
g. Trong hộp thọai Add/Remove Snap-in, hãy click OK.
h. Mở Security Templates, C:\Windows\Security\Templates.
2. Tìm hiểu nội dung của tập tin Hisecdc template.
a. Mở Hisecdc, Account Policies, và chọn Password Policy.
b. Chọn Account Lockout Policy.
c. Mở Local Policies và chọn Audit Policy.
Hãy trả lời một số câu hỏi sau đây
3. What is the account lockout threshold value in the Hisecdc policy?
a) 0 attempts
b) 3 attempts
c) 5 attempts
d) 7 attempts
4. Which is the only event for which no auditing is configured in the Hisecdc policy?
a) Account Logon
b) Directory Service Access
c) Object Access
d) Process Tracking
e) System Events
Biên sọan : Công ty Security365
NttVinh@Security365.Biz
Last Modified: Friday Jun 12, 2009 - 00:22. Revision: 1. Release Date: Sunday Apr 26,
2009 - 08:43.
LESSON 5 A : Protect Network Traffic with IP Security
IPSEC PROTOCOL
SECURITY365 – Www.Security365.Biz
Nguyễn Trần Tường Vinh
Tài liệu được biên sọan kết hợp SCNP và Security+
Tổng Quan Về IPSEC Và Mã Hóa:
Chúng ta đã thực hành công cụ sniffer rất mạnh đó là Ettercap, tuy nhiên ngay cả những
công cụ giám sát mạng thông dụng vẫn có thể bắt giữ những thông tin nhạy cảm không
được mã hóa như Email, FTP, HTTP password..
Bởi vì TCP/IP mặc định không có cơ chế bảo vệ cho các thông tin riêng tư, bí mật cho
nên nhằm bảo đảm sự an tòan cho quá trình truyền thông các ứng dụng third-party
thường được dùng để băm (hash), mã hóa (encryption) và chứng thực dữ liệu tại tầng
Application nhằm đảm bảo 3 yếu tố bảo mật cơ bản CIA sau:
- C : (confidential) bảo vệ tính riêng tư của dữ liệu thông qua các cơ chế chứng
thực và mã hóa, ngăn ngừa những người không hợp lệ sẽ không được đọc những
thông tin. Giống như các bì thư khi phát lương thường được dán chữ Confidential,
chúng ta có thể hình dung trong môi trường IT là một người chưa log vào domain
sẽ không được truy cập những dữ liệu chỉ chia sẽ cho các Domain User.
- I : (integrity) bảo vệ tính tòan vẹn của dữ liệu thông qua các thuật tóan
message digesst, SHA, MD5.. ngăn ngừa attacker thay đổi các thông tin nhạy cảm
trong quá trình truyền.
- A : (available) bảo đảm dữ liệu luôn ở trong trạng thái sẳn sàng đap ứng nhu
cầu của người dùng. Trong các kì thi chứng chỉ bảo mật của Security+ và SCNP
các câu hỏi về CIA rất hay ra, đặc biệt lưu ý chữ A là tượng trưng cho Available
chứ không phải Authentiacation.
Trong số các khái niệm trên thì Data Integrity và Data Encryption được nhắc nhiều trong
các kỳ thi chứng chỉ bảo mật quốc tế, từ SECURITY+, SCNP cho đến CISSP. Vì vậy các
bạn cần nắm vững những khái niệm này cùng những thuật tóan liên quan.
Data Integrity
Trong ba yếu tố trên thì Data Integrity (tính tòan vẹn dữ liệu) được dùng để phòng chống
lại các kiểu tấn công replay attack hay man-in-the-middle làm thay đổi dữ liệu truyền.
Cho phép các máy tham gia truyền thông có thể nhận ra dữ liệu nhận được là dữ liệu gốc
khi truyền, chưa bị thay đổi.
main-in-the-middle attack
Một trong những phương pháp được sử dụng là message digest hay còn gọi là digital
signature sử dụng thuật tóan mã hóa 1 chiều (one-way encryption algorithm) còn được
gọi là hashing algorithm (thuật tóan băm) như các giao thức MD5 và SHA-1. Khi sử
dụng các thuật tóan băm sẽ tạo ra các giá trị băm (hash value) là digest với kích thước
phụ thuộc vào dữ liệu gốc. Trong qua trình truyền thông cả dữ liệu (ciphertext) và digest
đều được truyền đến bên nhận để phục vụ cho quá trình so sánh dữ liệu sau khi truyền với
các thuật toán thích hợp. Digital signature ngoài việc cung cấp cơ chế bảo đảm tính tòan
vẹn (data integrity) còn lọai trừ khả năng chối bỏ trách nhiệm của bên gởi dữ liệu, đặc
trưng này còn được gọi là non-repudiation – một trong những tính năng quan trọng trong
môi trường trao đổi thông tin điện tử.
Table 1: Các Thuật Tóan Băm
Các thuật tòan Hashing Mô tả
Secure Hash Algorithm (SHA-1, SHA-
256, SHA-
384, và SHA-512)
Là thuật tóan mã hóa mạnh nhất trong
số 2 thuật tóan băm được giới thiệu.
SHA-1 tạo ra các hash value 160-bit
còn SHA-256, SHA-384, và SHA-512
thì tạo ra các hash value tương ứng
256-bit, 384-bit, và 512-bit.
Message Digest 5 (MD-5)
MD5 sử dụng 128-bit message digest.
Data Encryption
Ngòai phương pháp băm với các thuật tóan như MD5 hay SHA được áp dụng để mang
đến tính tòan vẹn dữ liệu (data integrity) thì phương pháp mã hóa dùng cho để bảo đảm
tính riêng tư cho dữ liệu. Có nhiều thuật tóan mã hóa khác nhau họat động dựa trên hai cơ
chế là mã hóa đối xứng và mã hóa bất đối xứng đựoc mô tả trong Table 2-2 sau đây:
Table 2 : Các Thuật Tóan Mã Hóa
Thuật Tóan Mã
Hóa
Mô tả
Ví dụ
Symmetric/Private
key
Symmetric encryption (mã
hóa đối xứng) còn được
xem là private key
encryption tiến hành mã
hóa và giải mã dựa trên
một khóa duy nhất. Điều
này có thuận lợi về mặt tốc
độ triển khai cũng như chi
- Data Encryption Standard
(DES)
Triple DES (3DES) -
Advanced - Encryption
Standard (AES)
phí thấp nhưng lại có tính
bảo mật kém vì khi tiến
hành truyền dữ liệu phải
gởi kèm cả khóa dùng để
giải mã vì vậy khi khóa bị
đánh cắp sẽ làm cho dữ
liệu bị mất an tòan. Do đó
khi áp dụng cơ chế này cần
có cơ chế truyền khóa an
tòan.
Stream cipher là
symmetric encryption
- Rijndael
Rivest Cipher - (RC) 4 và 5
Skipjack -
Blowfish -
CAST-128 -
Asymmetric/Public
key
Asymmetricencryption (mã
hóa bất đối xứng), hay còn
gọi là public key
encryption là phương pháp
mã hóa cao cấp hơn so với
symmetric encryption và
an tòan hơn. Trong cơ chế
mã hóa này một cặp khóa
được áp dụng gồm public
key có tác dụng đối với tất
cả mọi người, và dữ liệu sẽ
được mã hóa bằng public
key của recipent (bên
nhận) và chỉ có private key
của recipientmới có thể
giải mã dữ liệu. Phương
pháp mã hóa bất đối xứng
giải quyết được vấn đề
chia sẽ private key của mã
hóa đối xứng, do đó tính
an tòan cũng cao hơn.
- Rivest Shamir Adelman
(RSA) cryptosystem
- Diffie-Hellman
Elgamel -
Quay lại với chủ đề chính của chương này, khi sử dụng các tiện ích mã hóa và chứng
thực tại tầng ứng dụng làm tăng chi phí mua phần mềm khiến cho tổng phí TCO tăng lên.
Ngòai ra người dùng cần phải được đào tạo để nắm cách sử mã hóa và giải mã vì vậy có
một giải pháp khác đáp ứng được vấn đề trên nhưng không cần cái đặt thêm các ứng
dụng khác đó là mã hóa và chứng thực tại Network Layer với IPSEC hay IP Security
Protocol (được mô tả trong RFC 2401), là giao thức bảo mật dữ liệu và đường truyền
được sử dụng rất nhiều trong các sản phẩm bảo mật hiện nay. Khi áp dụng IPSEC các
host không cần cài đặt thêm chương trình và người dùng không phải thực hiện các thao
tác mã hóa và giải mã ở các trạm đầu cuối vì quá trình được thực hiện hòan tòan tại tầng
Network và trong suốt đối với người dùng, đây là một ưu điểm nổi bật của ứng dụng này.
Vậy chúng ta có thể sử dụng IPSEC như thế nào? Trước tiên các bạn hãy làm quen với
các đặc điểm của chúng. Chúng ta có thể sử dụng IPSEC để mã hóa tòan bộ IP packet
hay chỉ bảo vệ các upper-layer protocol/aplication như Mail,Web..Đây chính là 2 chế độ
sử dụng của IPSEC:
- Trasport Mode: khi áp dụng IPSEC ở chế độ này IPSec Header (AH/ ESP
header) sẽ được chèn giữa IP Header và TCP Header giúp chúng ta bảo vệ các
ứng dụng tầng cao như FTP, WWW..
- Tunnel Mode: với Tunnel Mode thì IPSEC Header sẽ được chèn giữa IP
Header gốc và IP Header mới được tạo ra trong quá trình Tunnel giúp bảo vệ
tòan bộ IP payload.
Bên cạnh 2 Mode được sử dụng trên, IPSec sử dụng 2 giao thức tại tầng vận chuyển là
AH và ESP. Giữa các giao thức này có những điểm khác biệt chính sau đ ây:
- ESP cho phép thực hiện các ccơ chế data integrity và bảo đảm tính riêng tư của
dữ liệu với các thuật tóan mã hóa như DES hay 3DES. Tuy nhiên, khi áp dụng
ESP ở Transport Mode chỉ bảo vệ cho data payload chứ không bảo vệ phần IP
header vì vậy phần source va2 destionation address va64n có thể bị hiển thị. Khi
áp dụng cơ chế này các ESP header sẽ được chèn vào data payload như hình sau:
Gói tin trước khi áp dụng ESP
Gói tin sau khi áp dụng ESP
- Giao thức còn lại là AH chỉ cho phép thực hiện data integrity. Do đó các
packet khi được áp dụng AH có thể bảo vệ được phần IP Header bằng cách chèn
một AH header vào giữa IP header và TCP/UDP header, và các attacker vẫn có thể
bắt được nội dung của gói tin trong phần payload, cho nên những ứng dụng yêu
cầu bảo mật với phần dữ liệu cần phải tiến hành IPSec với ESP như các hình dưới
đây.
Gói tin trước khi áp dụng AH
Sau khi áp dụng AH
Vậy là cách nào để có thể vừa bảo vệ IP header và cả Data Payload, hãy áp dụng cả AH
signature và ESP signature cho dữ liệu trước khi truyền. Nhưng khi đó tốc độ sẽ bị giảm
đáng kể do quá trình mã hóa, giải mã và trao đổi khóa cần phải tiến hành nhiều công đọan
hơn, cho nên khi triển khai IPSec chúng ta cần cân nhắc kỹ sự cân bằng giữa như cầu bảo
mật, an tòan dữ liệu và tốc độ của quá trình truyền thông để có thể đưa ra giải pháp thích
hợp nhất.
Như vậy, với hai cơ chế họat động và hai giao thức tại tầng Transport chúng ta có 4 tình
huống áp dụng IPSec là:
- ESP Transport Mode: trong chế độ này ESP mã hóa và xác thực các
application data như email, web page…tuy nhiên nó không bảo vệ IP Address
nghĩa là các attacker khi bắt được các gói tin có thể không xem được nội dung vì
chúng đã được mã hóa nhưng vẫn có thể xem được địa chỉ IP nguồn và đích . Và
khi truyền thông cả 2 host nguồn và đích cần có IPSEC enable.
- ESP Tunnel Mode: giống như ESP Trasport Mode các application data sẽ được
mã hóa, ngoài ra IP Address cũng sẽ được mã hóa và các attacker sẽ không thể
xem được các thông tin dữ liệu cũng như IP Address.
- AH Trasport Mode: chúng ta cần ghi nhớ là AH không cung cấp chức năng mã
hóa mà chỉ cung cấp dịch vụ xác thực.
- AH Tunnel mode : ở chế độ này AH sẽ xác thực các dữ liệu giữa 2 điểm đầu
cuối của tunnel, tuy nhiên chế độ này ít được sử dụng.
Tham khảo thêm
Để bảo vệ dữ liệu IPSEC cung cấp cơ chế mã hóa khi gởi và giải mã dữ liệu tại nơi nhận,
tiến trình này gọi là cryptography. Các tập tin khi chưa được mã hóa được gọi là
plaintext còn sau khi được thực hiện mã hóa được gọi là cipertext, và để có thể mã hóa
các plaintext cũng như giải mã các ciphertext thì chúng ta cần phải có các khóa (key) để
giải mã do đó cần có một cơ chế thích hợp cho quá trình trao đổi khóa (negotiating) giữa
bên truyền và bên nhận trong quá trình truyền thông với IPSEC:
- Manual distribution: phương pháp này các user trong quá trình truyền dữ liệu
sẽ gởi cho người nhận khóa dùng để giải mã. Phương pháp trao đổi này thường
được ứng dụng với tên gọi là KDC (key distribution center).
- Automatic ditribution: giống như tên gọi của nó, phương pháp trao đổi khóa
này sẽ diễn ra một cách tự động với cơ chế mặc định là Internet Key Exchange
(IKE) tuy nhiên ta vẫn có thể sử dụng KDC (với thực thi Keberos như trong môi
trường Active Directory) để tiến hành trao đổi khóa một cách tự động.
Internet Key Exchange
Ngòai các thuật toán dung để mã hóa và xác nhận tính tòan vẹn của dự liệu IPSec sử
dụng giao thức Internet Key Exchange (IKE) để tạo master key dung cho quá trình mã
hóa dữ liệu. Master key không bao giờ được trao đổi trên mạng, thay vào đó các máy tính
sẽ sử dụng thuật tóan Diffıe-Hellman (DH) algorithm để tạo ra master key.
Trên đây là những đặc điểm chính của IPSec và các giao thức của nó. Để trển khai IPSec
tren hệ thống Windows chúng ta sử dụng IPSec Policy Management. Các bạn có thể tham
khảo các filde video demo cách triển khai và ứng dụng IPSEc cho một hệ thống.
Topic 2B: Thực Thi Và Quản Lý IPSEC Policy
Để triển khai và quản lý các IPSec policy trên hệ thống Windows các bạn sử dụng IP
Security Management snap-in như sau:
1. Mở Start -> Run và gõ vào lệnh mmc sau đó nhấn enter.
1. Trên cữa sổ console ta chọn File -> Add/Remove Snap-in (hoặc nhấn Crtl+M)
1. Tiếp theo ta chọn Add trên cữa sổ Add/Remove Snap-in và click vào IP Security
Policy Management như hình sau và chọn Add (giữ giá trị mặc định là Local
Computer trên cửa sổ tiếp theo và click Finish:
1. Sau khi đã thêm Snap-in IP Security Policy Management vào giao diện quản lý
snap-in các bạn có thể chọn thêm các snap-in khác để gắn vào console của mình
hoặc chọn Close để đóng cữa sổ Add Standalone Snap-in và nhấn OK trở về giao
diện quản lý chính. Để tiết kiệm thời gian ta có thể lưu Console với các Snap-in đã
được gắn trong Administrative Tools bằng cách chọn File -> Save As:
Trên hệ thống Windows có 3 chính sách IPSEC mặc định được tạo sẳn khi cài đặt hệ
thống là Client (Response Only), Secure Server (Require Security) và Server (Request
Security) như hình sau:
- Client (Response Only) Policy: đây là policy dùng để áp dụng cho các client
phục vụ cho việc đáp ứng lại các yêu cầu truyền thông theo các cơ chế mã hóa do
phía server đưa ra. Ví dụ chúng ta có một máy chủ FTP yêu cầu các client khi
truyền thông phải áp dụng IPSEC thì lúc đó trên các Client các bạn có thể gán
(Assign) Client Policy. Và khi các client truyền thông với các máy không yêu cầu
IPSEC như một client khác chúng sẽ sử dụng cơ chế truyền thông bình thường
không mã hóa.
- Secure Server (Require Secrity) Policy: nếu chúng ta có 3 host A, B, C trong
đó Host A được gán Secure Server Policy và Host B gán Response Only, còn Host
C thì không áp đặt IPSEC. Vậy nếu Host B và Host C khi truyền thông với Host A
sẽ diễn ra như thế nào? Khi đó dữ liệu truyền giữa Host A và B sẽ được mã hóa
theo các cơ chế do Host A đưa ra vì dụ sử dụng MD5 hay SHA1 … còn dữ liệu
truyền giữa Host A và Host C được tiến hành bình thường (plaintext) do Host C
không áp dụng cơ chế truyền thông IPSEC.
- Server (Request Security) Policy: đây l à cơ chế khắt khe và đáp ứng được nhu
cầu bảo mật cao nhất, lấy ví dụng như trong trường hợp trên khi chúng ta áp đặt
Server Policy cho Host A thì chỉ có Host B mới có thể truyền thông với Host A
còn Host C không được phép truyền thông vì không được áp dụng IPSEC. Điều
này sẽ ngăn ngừa các kết nối unsecure và tăng mức độ an tòan cho dữ liệu trong
quá trình truyền.
Tuy nhiên, để sử dụng các default policy này chúng ta cần phải xây dựng Active
Directory và Join các host vào domain vì mặc định cơ chế xác thực giữa các host lúc này
là keberos protocol (giao thức này chỉ được cài trên các máy chủ Domain Controller). Vì
vậy nếu các bạn muốn áp dụng chúng cho mô hình WorkGroup hay giữa các untrust
Domain thì cần phải chỉnh sữa lạ cơ chế xác thực của chúng. Lúc này các IPSEC Policy
của chúng ta được gọi là Custom IPSec Policy. Ví dụ như trường hợp sau chúng ta sẽ
thay đổi Authentication Methods của Secure Server Policy từ Keberos sang sử dụng
Preshared Key với khóa là security365 (lưu ý là preshared key sẽ được gởi đi dưới dạng
pliantext và có thể bị các Sniffer bắt giữ)
IPSEC GUIDE LAB – HOCTRUCTUYEN.ORG
Quản Lý IP Security Protocal
Các Bài Thực Hành Trong Chương Này Gồm Có:
Exercise 2.1: Enable IPSec trên Local Computer
Exercise 2.2: Enabling IPSec cho tòan Domain
Exercise 2.3: Cấu hình Policy cho IPSec Tunnel Mode
Exercise 2.4: Sử dụng IP Security Monitor
Case Study.
Exercise 2.1: Enable IPSec Trên Local Computer
1. Click Start -> Run, nhập vào lệnh MMC, và click OK để mở giao diện
console quản lý các snap-in.
2. Chọn File -> Add/Remove Snap-In. Khi hộp thọai Add/Remove Snap-In
xuất hiện, click Add button.
3. In Add Standalone Snap-In dialog box, chọn IP Security Policy
Management và click Add button.
4. Hộp thọai Select Computer Or Domain xuất hiện. Chọn Local Computer
(default) radio button và click Finish button.
5. Click Close button trên Add Standalone Snap-In.
6. Click OK button trên Add/Remove Snap-In.
7. Chọn IP Security Policies On Local Computer node trên MMC.
8. Right-click Server (Request Security) policy và chọn Assign.
Lúc này chúng ta thấy cột Policy Assigned của Server (Request Security) policy
đã chuyển sang Yes.
chọn IP Security Policies On Local Computer node in MMC. In right-hvà pane
of MMC, right-click Server (Request Security) policy và choose Properties. The
Server (Request Security) Properties xuất hiện.
7. The All IP Traffic rule is chọned by default. Click Edit button. The Edit
Rule Properties xuất hiện.
8. Switch to Filter Action tab. chọn Request Security (Optional) filter action
và n click Edit button. The filter action’s Properties xuất hiện.
9. Click Add button. When New Security Method xuất hiện, click Custom
radio button và n click Thiết Lậps button.
10. In Custom Security Method Thiết Lậps dialog box, check Data And
Address Integrity Without Encryption (AH) checkbox, và in drop-down list, chọn
SHA1. Check Data Integrity và Encryption (ESP) checkbox. Using drop-down
lists under (ESP), set Integrity to SHA1 và Encryption to 3DES.
11. First check Generate A New Key Every checkbox và set key generation
interval to 24,000 Kbytes. (Kbytes must be in range 20,480–2,147,483,647Kb.)
Then click next Generate A New Key Every checkbox và specify a key
generation interval of 1800 seconds.
12. Click OK button in Custom Security Method Thiết Lậps dialog box và n
click OK in New Security Method dialog box.
13. When Request Security (Optional) Properties xuất hiện, use Move Up
button to move custom filter you just defined to top of list.
14. Click OK button in Request Security (Optional) Properties dialog box.
15. Click Close button in Edit Rule Properties dialog box và n click OK
button in Server (Request Security) Properties dialog box. Leave window open for next
lab
Exercise 2.2: Enabling IPSec Cho Tòan Domain
Trong bài lab này, chúng ta sẽ enable ipsec tất cả các máy tính trong domain.
1. Click Start -> Run, nhập vào lệnh MMC, và click OK để mở giao diện quản
lý snap-in.
2. Chọn File Add/Remove Snap-In. Khi hộp thọai Add/Remove Snap-In xuất
hiện, click Add button.
3. Trên cữa sổ Add Standalone Snap-In, chọn Group Policy Object Editor và
click Add button.
4. Select Group Policy Object xuất hiện. Chọn Browse button để mở cữa sổ
Browse For A Group Policy Object.
5. Chọn Default Domain Policy và click OK button.
6. Click Finish button in chọn Group Policy Object dialog box.
7. Click Close trên Add Standalone Snap-In và sau đó click OK button trên
cữa sổ Add/Remove Snap-In.
8. Mở Default Domain Policy -> Computer Configuration -> Windows
Settings-> Security Settings -> IP Security Policies on Default Domain Name.
9. Bên khung phải của giao diện quản lý Domain Policy ta thấy ba predefined
policie.
10. Right-click Server (Request Security) policy và chọn Assign để bật chức
năng IPSec cho tòan domain, lúc này chúng ta thấy cột Policy Assigned của
Server (Request Policy) hiển thị Yes.
Exercise 2.3: Cấu hình Policy Tunnel Mode policy
1. Trên giao diện quản lý IP Security Policies On Local Computer chọn Create
IP Security Policy. Khi cữa sổ IP Security Policy Wizard xuất hiện hãy click Next.
2. Đặt tên policy là Tunnel To B và click Next button.
3. Trên trang Requests For Secure Communication, turn off Activate Default
Response Rule checkbox và click Next button.
4. Clic
Các file đính kèm theo tài liệu này:
- comptia_security_122.pdf