Part 36 - IPSec

Như chúng ta đã biết khi ta sao chép dữ liệu giữa 2 máy hoặc thông qua mạng VPN để nâng cao chế độ bảo mật người quản trị mạng phải tạo các User Account để chỉ khi nào các User này nhập đúng thông tin thì mới có thể trao đổi dữ liệu với nhau được. Như vậy một người nào đó không cung cấp đủ thông tin cần thiết sẽ không thể truy cập dữ liệu của chúng ta. Tuy nhiên họ vẫn có thể rình rập chờ thời cơ để đánh cắp dữ liệu một cách hoàn...
Nội dung trích xuất từ tài liệu:
Part 36 - IPSec “Chuyên trang dành cho kỹ thuật viên tin học” CHIA SẺ - KINH NGHIỆM - HỌC TẬP - THỦ THUẬTPart 36 - IPSecNhư chúng ta đã biết khi ta sao chép dữ liệu giữa 2 máy hoặc thông qua mạng VPN để nâng cao chế độbảo mật người quản trị mạng phải tạo các User Account để chỉ khi nào các User này nhập đúng thôngtin thì mới có thể trao đổi dữ liệu với nhau được.Như vậy một người nào đó không cung cấp đủ thông tin cần thiết sẽ không thể truy cập dữ liệu củachúng ta. Tuy nhiên họ vẫn có thể rình rập chờ thời cơ để đánh cắp dữ liệu một cách hoàn hảo bằngcách Capture dữ liệu đang truyền từ máy này sang máy kia về máy mình.Như vậy để hệ thống chúng ta được an toàn hơn người ta sử dụng công nghệ IPSec hay nói cách khácmã hóa dữ liệu trên đường truyền. Có như vậy dữ liệu có bị đánh cắp cũng không thể đọc được vì đã bịmã hóa hoàn toàn.Trong bài này tôi sẽ lấy ví dụ cho bạn thấy dữ liệu của bạn chạy trên đường truyền từ máy này sangmáy kia sẽ không bị mã hóa. Giả sử tôi có 2 máy trong mạng 172.16.1.0/24 và tôi sẽ tiến hành truyềndữ liệu cho nhau.Cấu hình IP các máy như sau:Máy Đặc tính PC01 PC02 IP Address Subnet Mask Card Lan Default gateway Preferred DNS IP Address 172.16.1.1 172.16.1.2 Subnet Mask 255.255.255.0 255.255.255.0Card Cross Default gateway Preferred DNSBạn tiến hành cài đặt dịch vụ Network Monitor để Capture dữ liệu trên đường truyền của mình xemsao.Bạn vào Windows Components chọn Management and Monitoring Tools 1 of 18Chọn công cụ Network Monitor ToolsSau khi cài đặt thành công bạn vào Start -> Programs -> Administrative Tools -> NetworkMonitor 2 of 18Vì 2 máy nối với nhau thông qua Card Cross nên tại màn hình Select a Network tôi chọn CrossNhấp chọn Capture -> Start để bắt đầu tiến trình Capture Data 3 of 18Bây giờ tại PC01 tôi ping đến PC02 và được kết quả thành côngCũng xin nói thêm rằng trong Windows khi ta Ping một PC nào nó thì nó sẽ gởi liên tục 4 dòng tin cónội dung abcdefghijklmnopqrstuvwxyzabcdefghi đến máy bị yêu cầu và khi nhận được các tin nàymáy bị yêu cầu sẽ Reply với cùng nội dung tương ứng.Trở lại màn hình làm việc của Network Monitor chọn Capture -> Stop and View để xem kết quả 4 of 18Bạn chú ý dòng tin nào có dạng ICMP Echo 172.16.01.01 to 172.16.01.02 nó cho ta biết dòng tinđược gởi từ máy PC01 đến PC02 và với giao thức ICMP (chính là giao thức Ping) nhấp vào dòng tinnàyChọn tiếp phần ICMP: Data: để xem nội dung dữ liệu trên đường truyền.Và ta thấy màn hình kết quả hiển thị rõ các nội dung mà máy PC01 gởi cho PC02 5 of 18Bây giờ để nâng cao chế độ bảo mật trên đường truyền chúng ta cần cài đặt dịch vụ IPSec bằng cáchvào Start -> Run -> nhập mmc và EnterTrong cửa sổ Console1 chọn File -> Add/Remove Snap-in... 6 of 18Chọn mục IP Sercurity Policy Management và IP Sercurity Monitor vàoVì ta thực hành trực tiếp trên máy mình với các máy trong mạng LAN nên tại đây bạn chọn là LocalComputer 7 of 18Màn hình Console1 sau khi Add hoàn tấtBạn chú ý rằng trong màn hình của IP Sercirity Policies an Local Computer đã có sẵn 3 Policy màWindows tạo sẵn cho chúng ta tuy nhiên các Policy này đang nằm ở trạng thái chưa được kích hoạt.Trong bài tôi sẽ không sử dụng các Policy này mà sẽ tự tạo các Policy riêng bằng cách nhấp phải vàokhoảng trắng chọn Create IP Sercurity Policy 8 of 18Đặt tên cho Policy này ví dụ IPSecBỏ chọn Active the default response ruleNhấp Filnish để hoàn tất tạo Policy mới 9 of 18Bây giờ ta thấy xuất hiện thêm Icon IPSec mà ta vừa tạo trong cửa sổ Console1Tiếp tục nhấp phải vào IPsec chọn Assign để kích hoạt nóBây giờ ta cấu hình Policy cho IPSec vừa tạo bằng cách Double click vào IPSec 10 of 18Mặc định trong này Windows tạo sẵn cho ta một Policy tên là Default tuy nhiên tôi không sử dụng nómà tạo một Policy khác bằng cách nhấp vào nút Add và chọn NextTrong Network Type bạn chọn dạng muốn tác động 11 of 18All Network connection: trên tất cả đường truyềnLocal area network: trong mạng nội bộRemote access: điều khiển từ xaTrong IP Filter List bạn chọn dạng muốn tác động:All ICMP Traffic: tác động lên tất cả liên quan đến giao thức ICMPAll IP Traffic: tác động lên tất cảDo trong bài tôi chỉ thử nghiệm trên DOS để Ping nên tôi chọn ICMPFilter Action chọn Require Sercurity 12 of 18Trong màn hình Authentication Method chúng ta có 3 lựa chọn để mã hóa:- Kerberos V5: mã hóa theo Kerberos- Use a certificate from this certification authority: mã hóa bằng chứng thực từ CA Server- Use this string to protect the key exchange: mã hóa bằng Key riêngGiả sử tôi chọn lựa chọn 3 và đặt một Key là 123 13 of 18Sau khi hoàn tất bạn check vào All ICMP Traffic trong IPSec Properties và chọn OKBây giờ tôi trở lại màn hình DOS để ping lại máy PC02 thì sẽ thấy báo là Negotiating IP sercurity,nghĩa là máy của ta gởi một yêu cầu đến máy PC02 tuy nhiên do máy PC02 không hiểu dữ liệu mà tagởi đến là gì vì không có ...