Trao đổi với tôi

http://www.buidao.com

11/25/09

[MCSA] Part 33 – IP Sercurity

Như chúng ta đã biết khi ta sao chép dữ liệu giữa 2 máy hoặc thông qua mạng VPN để nâng cao chế độ bảo mật người quản trị mạng phải tạo các User Account để chỉ khi nào các User này nhập đúng thông tin thì mới có thể trao đổi dữ liệu với nhau được.

Như vậy một người nào đó không cung cấp đủ thông tin cần thiết sẽ không thể truy cập dữ liệu của chúng ta. Tuy nhiên họ vẫn có thể rình rập chờ thời cơ để đánh cắp dữ liệu một cách hoàn hảo bằng cách Capture dữ liệu đang truyền từ máy này sang máy kia về máy mình.

Như vậy để hệ thống chúng ta được an toàn hơn người ta sử dụng công nghệ IPSec hay nói cách khác mã hóa dữ liệu trên đường truyền. Có như vậy dữ liệu có bị đánh cắp cũng không thể đọc được vì đã bị mã hóa hoàn toàn.

Trong bài này tôi sẽ lấy ví dụ cho bạn thấy dữ liệu của bạn chạy trên đường truyền từ máy này sang máy kia sẽ không bị mã hóa. Giả sử tôi có 2 máy trong mạng 172.16.1.0/24 và tôi sẽ tiến hành truyền dữ liệu cho nhau.

Cấu hình IP các máy như sau:

Máy Đặc tính PC01 PC02

Card Lan

IP Address

Subnet Mask

Default gateway

Preferred DNS


Card Cross IP Address 172.16.1.1 172.16.1.2
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway

Preferred DNS

Bạn tiến hành cài đặt dịch vụ Network Monitor để Capture dữ liệu trên đường truyền của mình xem sao.

Bạn vào Windows Components chọn Management and Monitoring Tools

gccom_2008_12_23_072152_gf

Chọn công cụ Network Monitor Tools

gccom_2008_12_23_072230_gf

Sau khi cài đặt thành công bạn vào Start -> Programs -> Administrative Tools -> Network Monitor

gccom_2008_12_23_072329_gf

Vì 2 máy nối với nhau thông qua Card Cross nên tại màn hình Select a Network tôi chọn Cross

gccom_2008_12_23_072412_gf

Nhấp chọn Capture -> Start để bắt đầu tiến trình Capture Data

gccom_2008_12_23_072434_gf

Bây giờ tại PC01 tôi ping đến PC02 và được kết quả thành công

Cũng xin nói thêm rằng trong Windows khi ta Ping một PC nào nó thì nó sẽ gởi liên tục 4 dòng tin có nội dung “abcdefghijklmnopqrstuvwxyzabcdefghi” đến máy bị yêu cầu và khi nhận được các tin này máy bị yêu cầu sẽ Reply với cùng nội dung tương ứng.

gccom_2008_12_23_072500_gf

Trở lại màn hình làm việc của Network Monitor chọn Capture -> Stop and View để xem kết quả

gccom_2008_12_23_072517_gf

Bạn chú ý dòng tin nào có dạng ICMP Echo 172.16.01.01 to 172.16.01.02 nó cho ta biết dòng tin được gởi từ máy PC01 đến PC02 và với giao thức ICMP (chính là giao thức Ping) nhấp vào dòng tin này

gccom_2008_12_23_072608_gf

Chọn tiếp phần ICMP: Data: để xem nội dung dữ liệu trên đường truyền.

Và ta thấy màn hình kết quả hiển thị rõ các nội dung mà máy PC01 gởi cho PC02

gccom_2008_12_23_072631_gf

Bây giờ để nâng cao chế độ bảo mật trên đường truyền chúng ta cần cài đặt dịch vụ IPSec bằng cách vào Start -> Run -> nhập mmcEnter

gccom_2008_12_23_073019_gf

Trong cửa sổ Console1 chọn File -> Add/Remove Snap-in…

gccom_2008_12_23_073058_gf

Chọn mục IP Sercurity Policy ManagementIP Sercurity Monitor vào

gccom_2008_12_23_073139_gf

Vì ta thực hành trực tiếp trên máy mình với các máy trong mạng LAN nên tại đây bạn chọn là Local Computer

gccom_2008_12_23_073206_gf

Màn hình Console1 sau khi Add hoàn tất

gccom_2008_12_23_073311_gf

Bạn chú ý rằng trong màn hình của IP Sercirity Policies an Local Computer đã có sẵn 3 PolicyWindows tạo sẵn cho chúng ta tuy nhiên các Policy này đang nằm ở trạng thái chưa được kích hoạt.

Trong bài tôi sẽ không sử dụng các Policy này mà sẽ tự tạo các Policy riêng bằng cách nhấp phải vào khoảng trắng chọn Create IP Sercurity Policy

gccom_2008_12_23_073449_gf

Đặt tên cho Policy này ví dụ IPSec

gccom_2008_12_23_073522_gf

Bỏ chọn Active the default response rule

gccom_2008_12_23_073552_gf

Nhấp Filnish để hoàn tất tạo Policy mới

gccom_2008_12_23_073612_gf

Bây giờ ta thấy xuất hiện thêm Icon IPSec mà ta vừa tạo trong cửa sổ Console1

gccom_2008_12_23_073632_gf

Tiếp tục nhấp phải vào IPsec chọn Assign để kích hoạt nó

gccom_2008_12_23_073650_gf

Bây giờ ta cấu hình Policy cho IPSec vừa tạo bằng cách Double click vào IPSec

gccom_2008_12_23_073652_gf

Mặc định trong này Windows tạo sẵn cho ta một Policy tên là Default tuy nhiên tôi không sử dụng nó mà tạo một Policy khác bằng cách nhấp vào nút Add và chọn Next

gccom_2008_12_23_074725_gf

Trong Network Type bạn chọn dạng muốn tác động

All Network connection: trên tất cả đường truyền

Local area network: trong mạng nội bộ

Remote access: điều khiển từ xa

gccom_2008_12_23_074735_gf

Trong IP Filter List bạn chọn dạng muốn tác động:

All ICMP Traffic: tác động lên tất cả liên quan đến giao thức ICMP

All IP Traffic: tác động lên tất cả

Do trong bài tôi chỉ thử nghiệm trên DOS để Ping nên tôi chọn ICMP

gccom_2008_12_23_074748_gf

Filter Action chọn Require Sercurity

gccom_2008_12_23_074804_gf

Trong màn hình Authentication Method chúng ta có 3 lựa chọn để mã hóa:

- Kerberos V5: mã hóa theo Kerberos

- Use a certificate from this certification authority: mã hóa bằng chứng thực từ CA Server

- Use this string to protect the key exchange: mã hóa bằng Key riêng

Giả sử tôi chọn lựa chọn 3 và đặt một Key là “123

gccom_2008_12_23_074829_gf

Sau khi hoàn tất bạn check vào All ICMP Traffic trong IPSec Properties và chọn OK

gccom_2008_12_23_074846_gf

Bây giờ tôi trở lại màn hình DOS để ping lại máy PC02 thì sẽ thấy báo là Negotiating IP sercurity, nghĩa là máy của ta gởi một yêu cầu đến máy PC02 tuy nhiên do máy PC02 không hiểu dữ liệu mà ta gởi đến là gì vì không có Key để giải mã nên không hồi đáp được. Vì vậy tại máy PC02 bạn cũng phải làm thao tác tương tự và gán cùng Key thì 2 máy mới hiểu nhau.

gccom_2008_12_23_075012_gf

Tuy nhiên dữ liệu mà PC01 truyền đến PC02 vẫn được mã hóa hoàn hảo. Bạn vào lại màn hình Network Monitor sẽ thấy lúc này giao thức truyền đi không còn là ICMP nữa mà là ISAKMP rồi

gccom_2008_12_23_075052_gf

Vào xem lại dòng tin mà ta truyền đi sẽ thấy bị mã hóa hoàn toàn

gccom_2008_12_23_075150_gf

Đến đây bạn có thể an tâm về dữ liệu của mình truyền trên mạng đã được mã hóa kỹ càng với IPSec

Tuy nhiên trong thực tế người ta không dùng Key như tôi trình bày trên mà dùng Certificate từ CA Server

gccom_2008_12_23_075255_gf

Trở lại màn hình IPSec Properties bạn double click vào All ICMP Traffic chọn tiếp Edit

gccom_2008_12_23_075407_gf

Đến đây ta chọn lực chọn 2 Use a certificate from this certification authority

gccom_2008_12_23_075423_gf

Và xin Certificate từ CA Server (xem lại bài Cerificate Authority)

gccom_2008_12_23_075538_gf

OK mình vừa giới thiệu xong phần IPSec trong 70-291 của MCSA.