Quá trình hình thành giáo trình hướng dẫn sử dụng các tab thuộc tính trong domain controller p3

Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phương pháp chứng thực nào đó. Mặc dù các qui tắc permit và block không dùng đến chứng thực nhưng Windows vẫn đòi bạn chỉ định phương pháp chứng thực. IPSec cho phép bạn chứng thực thông qua Active Directory, các chứng chỉ PKI hoặc một khóa được chia sẻ trước. Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác động bảo mật (action)...
Nội dung trích xuất từ tài liệu:
Quá trình hình thành giáo trình hướng dẫn sử dụng các tab thuộc tính trong domain controller p3Tài liệu hướng dẫn giảng dạyTóm lại, các điều mà bạn cần nhớ khi triển khai IPSec: Bạn triển khai IPSec trên Windows Server 2003 thông qua các chính sách, trên một máy tính bất- kỳ nào đó vào tại một thời điểm thì chỉ có một chính sách IPSec được hoạt động. Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phương pháp chứng thực nào đó.- Mặc dù các qui tắc permit và block không dùng đến chứng thực nhưng Windows vẫn đòi bạn chỉ định phương pháp chứng thực. IPSec cho phép bạn chứng thực thông qua Active Directory, các chứng chỉ PKI hoặc một khóa- được chia sẻ trước. Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác động bảo mật (action).- Có bốn tác động mà qui tắc có thể dùng là: block, encrypt, sign và permit.-III.3.1 Các chính sách IPSec tạo sẵn.Trong khung cửa sổ chính của công cụ cấu hình IPSec, bên phải chúng ta thấy xuất hiện ba chínhsách được tạo sẵn tên là: Client, Server và Secure. Cả ba chính sách này đều ở trạng thái chưa ápdụng (assigned). Nhưng chú ý ngay cùng một thời điểm thì chỉ có thể có một chính sách được ápdụng và hoạt động, có nghĩa là khi bạn áp dụng một chính sách mới thì chính sách đang hoạt độnghiện tại sẽ trở về trạng thái không hoạt động. Sau đây chúng ta sẽ khảo sát chi tiết ba chính sách tạosẵn này. Client (Respond Only): chính sách qui định máy tính của bạn không chủ động dùng IPSec trừ khi- nhận được yêu cầu dùng IPSec từ máy đối tác. Chính sách này cho phép bạn có thể kết nối được cả với các máy tính dùng IPSec hoặc không dùng IPSec. Server (Request Security): chính sách này qui định máy server của bạn chủ động cố gắng khởi- tạo IPSec mỗi khi thiết lập kết nối với các máy tính khác, nhưng nếu máy client không thể dùng IPSec thì Server vẫn chấp nhận kết nối không dùng IPSec. Secure Server (Require Security): chính sách này qui định không cho phép bất kỳ cuộc trao đổi- dữ liệu nào với Server hiện tại mà không dùng IPSec.III.3.2 Ví dụ tạo chính sách IPSec đảm bảo một kết nối được mã hóa. Trang 245/555Học phần 3 - Quản trị mạng Microsoft WindowsTài liệu hướng dẫn giảng dạyTrong phần này chúng ta bắt tay vào thiết lập một chính sách IPSec nhằm đảm bảo một kết nối đượcmã hóa giữa hai máy tính. Chúng ta có hai máy tính, máy A có địa chỉ 203.162.100.1 và máy B có địachỉ 203.162.100.2. Chúng ta sẽ thiết lập chính sách IPSec trên mỗi máy thêm hai qui tắc (rule), trừ haiqui tắc của hệ thống gồm: một qui tắc áp dụng cho dữ liệu truyền vào máy và một qui tắc áp dụng chodữ liệu truyền ra khỏi máy. Ví dụ qui tắc đầu tiên trên máy A bao gồm: Bộ lọc (filter): kích hoạt qui tắc này khi có dữ liệu truyền đến địa chỉ 203.162.100.1, qua bất kỳ- cổng nào. Tác động bảo mật (action): mã hóa dữ liệu đó.- Chứng thực: chìa khóa chia sẻ trước là chuỗi “quantri”.-Qui tắc thứ hai áp dụng cho máy A cũng tương tự nhưng bộ lọc có nội dung ngược lại là “dữ liệutruyền đi từ địa chỉ 203.162.100.1”. Chú ý: cách dễ nhất để tạo ra một qui tắc là trước tiên bạn phải quiđịnh các bộ lọc và tác động bảo mật, rồi sau đó mới tạo ra qui tắc từ các bộ lọc và tác động bảo mậtnày. Các bước để thực hiện một chính sách IPSec theo yêu cầu như trên:Trong công cụ Domain Controller Security Policy, bạn nhấp phải chuột trên mục IP SecurityPolicies on Active Directory, rồi chọn Manage IP filter lists and filter actions.Hộp thoại xuất hiện, bạn nhấp chuột vào nút add để thêm một bộ lọc mới. Bạn nhập tên cho bộ lọcnày, trong ví dụ này chúng ta đặt tên là “Connect to 203.162.100.1”. Bạn nhấp chuột tiếp vào nút Addđể hệ thống hướng dẫn bạn khai báo các thông tin cho bộ lọc. Trang 246/555Học phần 3 - Quản trị mạng Microsoft WindowsTài liệu hướng dẫn giảng dạyBạn theo hướng dẫn của hệ thống để khai báo các thông tin, chú ý nên đánh dấu vào mục Mirrored đểqui tắc này có ý nghĩa hai chiều bạn không phải tốn công để tạo ra hai qui tắc. Mục Source addresschọn My IP Address, mục Destination address chọn A specific IP Address và nhập địa chỉ“203.162.100.1” vào, mục IP Protocol Type bạn để mặc định. Cuối cùng bạn chọn Finish để hoànthành phần khai báo, bạn nhấp chuột tiếp vào nút OK để trở lại hộp thoại đầu tiên.Tiếp theo bạn chuyển sang Tab Manage Filter Actions để tạo ra các tác động bảo mật. Bạn nhấpchuột vào nút Add hệ thống sẽ hướng dẫn bạn khai báo các thông tin về tác động. Trước tiên bạn đặttên cho tác động này, ví dụ như là Encrypt.Tiếp tục trong mục Filter Action bạn chọn Negotiatesecurity, trong mục IP Traffic Security bạn chọn Integrity and encryption. Đến đây bạn đã hoànthành việc tạo một tác động bảo mật. ...