Thông tin quan trọng của bạn truyền trên mạng, bạn có chắc chắn thông tin đó không bị kẻ xấu đánh cắp. Vậy chúng ta bó tay sao, thật may mắn hiện nay có rất nhiều phương pháp bảo mật dữ liệu truyền trên mạng. Phổ thông nhất và hiệu quả hiện nay đó là IPSec, Trong bài viết này tôi sẽ mang đến các kiến thức về: Thế nào là IPSec, các IPSec Policy trong hệ thống Windows, cách triển khai áp dụng IPSec Policy trong bảo mật dữ liệu truyền trên mạng.
IPSec là tập hợp đầy đủ các giao thức đảm bảo thông tin truyền giữa hai máy tính được mã hóa và bảo mật trong hệ thống mạng không bảo mật. Mạng không bảo mật điển hình nhất đó là Internet. IPSec có hai tác dụng chính đó là bảo mật gói tin IP (IP Packet) và chống lại các tấn công.
IPSec bao gồm ba quá trình đó là Encryption, Decryption và Signing. Encryption đáp ứng yêu cầu dữ liệu phải được mã hóa trước khi truyền, Decryption đáp ứng yêu cầu khi dữ liệu đến đúng người nhận thì người đó mới có thể giải mã được, Signing đáp ứng yêu cầu chỉ nhận những dữ liệu từ nguồn tin cậy.
Trước khi quá trình truyền dữ liệu hai máy tính phải tiến hành việc thương lượng, thương lượng phương thức mã hóa, thương lượng phương thức giải mã.
Ví dụ về mã hóa thời xa xưa:
Mã hóa và giải mã được áp dụng từ khi chưa máy tính khi những bức thư quan trọng được gửi đi. Thời đó họ nghĩ ra một cách là viết thư chỉ là các con số như các tọa độ của chữ trong cuốn sách nào đó (ví dụ "33 32 10" trang 33, dòng 32, chữ thứ 5), cách mã hóa cả hai đều phải biết khi đọc những con số 33 32 10 là gì đó là quá trình thương lượng mã hóa. Khi người nhận thư nhận được bức thư này bản thân vẫn không thể đọc được hay giải mã được, người đó phải gửi lại bức thư khác là tôi đã nhận được bức thư của ông rồi. Khi người gửi nhận được tín hiệu là bức thư đã đến nơi thì gửi tiếp một bức thư khác chẳng hạn ông sử dụng cuốn tiểu thuyết nào đó mà giải mã. Lúc người nhận, nhận được hai hai bức thư một mã hóa, hai là phương thức giải mã thì có thể giải mã và lấy thông tin. Trong trường hợp người đưa thư bị mất một trong hai bức thư thì kẻ lấy được nó cũng không làm gì được. Có người nói vậy lấy được cả hai bức thu thì sao, điều này là không thể khi người nhận phải xác thực lại là tôi đã nhận đúng bức thư thì người gửi mới gửi tiếp Key để giải mã.
Với ý nghĩa ở trên ta có thể thấy IPSec được ứng dụng nhiều nhất ở trong VPN khi kết nối Site to Site, mọi thông tin truyền giữa hai máy chủ VPN đều được mã hóa và đảm bảo tính bảo mật.
Sử dụng IPSec trong quá trình truyền dữ liệu giữa hai máy bằng cách nào, trong bài viết này tôi giới thiệu với các bạn cách sử dụng IPSec Policy trong Group Policy của Windows.
Cách truy cập vào group policy để thiết lập IPSec policy
Hình 1 cách truy cập vào IPSec Policy trong GPO
Trong IPSec Policy của Windows có ba chính sách mặc định đó là:
Server (Request Security)
Client (Respond Only)
Secure Server (Require Security)
Lưu ý trong một GPO bạn chỉ có thể thực hiện một trong ba thiết lập trên. Muốn thiết lập nhiều chính sách chúng ta tạo ra nhiều GPO rồi link tới những OU cần thiết trong domain.
1. Server (Request Security).
Khi máy chủ thiết lập chính sách này, khi có một kết nối đến nó hay từ nó đi tới máy khác thì máy chủ này sẽ yêu cầu thương lượng phương thức bảo mật (trong Windows tất cả các máy tính trong một domain đều có thể thương lượng bảo mật với nhau qua giao thức Kerberos). Với các máy trả lời là có thể thương lượng bảo mật ví như cùng trong domain có thể sử dụng Kerberos thì hai máy sẽ sử dụng phương thức đó để mã hóa và truyền dữ liệu với nhau. Nhưng khi nó yêu cầu thương lượng bảo mật một số máy không trong domain thì sẽ không thể thương lượng được thì quá trình truyền dữ liệu vẫn được thực hiện nhưng không được mã hóa thông tin và không đáp ứng yêu cầu bảo mật cao.
Hình 2: Rules security trong Server (Request Security)
Thiết lập mặc định này máy chủ sẽ yêu cầu toàn bộ các giao tiếp IP phải thương lượng bảo mật trước khi truyền và tự động trả lời cho quá trình thương lượng bảo mật. Nếu thương lượng thất bại quá trình truyền dữ liệu không được mã hóa. Gói ICMP không luôn luôn được cho phép và không cần mã hóa. Trong thiết lập mặc định của Server (Request Security) bao gồm ba Rule Security:
All IP Traffic, All ICMP Traffic và
a. All IP Traffic thiết lập
Hình 3: Các thiết lập trong Rule Security: All IP Traffic
Với thiết lập mặc định này sẽ được áp dụng cho toàn bộ các giao tiếp thông qua IP (All IP Traffic), được áp dụng với Port, IP nguồn (source) là My IP địa từ chính máy yêu cầu, Port và IP đích (Destination) là Any IP. Với thiết lập hệ thống sẽ yêu cầu bảo mật khi máy tính giao tiếp với tất cả các máy khác.
Trong Filter Action có ba mức độ là Permit, Request Security, Require Security. Rule này với thiết lập mặc định phải là Request Security.
Authentication Methods mặc định chỉ sử dụng Kerberos để xác thực mà thôi, bạn có thể add thêm hai phương thức xác thực khác đó là CA và Preshare key.
Trong tab tunnel setting cho phép bạn thực hiện cấu hình tạo đường hầm ảo với toàn bộ các giao tiếp hay chỉ với một địa chỉ mạng hay địa chỉ host mà thôi.
Connection Type được áp dụng cho những dạng kết nối nào, với mặc định là Any Connection bạn có thể chỉ cần áp dụng cho các kết nối từ xa như VPN, hay LAN mà thôi.
b. All ICMP Traffic
Hình 4: các thiết lập trong Rule Security: All ICMP Traffic.
Với thiết lập mặc định sẽ cho phép toàn bộ các gói ICMP đi ra và tới máy tính này.
Tab filter lọc toàn bộ gói ICMP, tab action thiết lập allow, không cần xác thực ..
c.
Hình 5: Dynamic Rule
Với thiết lập trong Dynamic Security Rule này để đảm bảo hệ thống sẽ trả lời các request security nào.
Trong bảng trên thể hiện những phương thức mà chúng có thể trả lời như 3DES, DES, SH, MD5…
Phương thức xác thực sử dụng Kerberos
2. Client (Respond Only)
Nếu các client chịu chính sách này trong domain sẽ tự động trả lời các quá trình thương lượng bảo mật (trong domain sẽ tự động sử dụng Kerberos).
Với thiết lập này hệ thống sẽ trả lời toàn bộ các request security thông qua giao thức xác thực Kerberos. Thiết lập này chính là
Do đó nếu bạn đã sử dụng chính sách Server (Request Security) bạn không cần sử dụng chính sách Client (Respond only) nữa, và cuối phần này tôi sẽ giải thích tại sao lại chỉ sử dụng một trong ba chính sách, Server (Request Security) và Client (Respond only), Server Secure (Require Security).
3. Server Secure (Require Security).
Khi chính sách Require Security được enable lên toàn bộ quá trình giao tiếp tới nó đều được yêu cầu thương lượng phương thức bảo mật. Nếu thương lượng thành công thì quá trình truyền dữ liệu được tiến hành. Khác với Server (Request Security) đó là với chính sách này được enable nếu quá trình thương lượng bảo mật bị thất bại nó sẽ hủy bỏ quá trình giao tiếp.
Trong thiết lập mặc định này cũng bao gồm ba Security Rule đó là All IP Traffic, All ICMP Traffic,
Cách thực hiện chọn Rule All IP Traffic nhấn vào Edit trong rule này chọn tab IP filter list chọn All IP Traffic nhấn Edit, trong cửa sổ đó nhấn tiếp Edit.
Chuyển Source IP từ My IP thành Any khi đó sẽ cho phép những giao tiếp bảo mật từ nó đi tới máy khác và từ máy khác tới nó. Với thiết lập này chỉ những máy cho domain có thể giao tiếp với nhau mà thôi các máy ngoài domain không thể giao tiếp được với nhau.
Khác với thiết lập của Server (Request Security) thiết lập All IP Traffic trong Server Secure (Require Security). Đó là thiết lập trong action filter là Require Security. Bắt buộc tất cả các giao tiếp ra bên ngoài đều phải được bảo mật không giống như Request Security nếu có bảo mật thì thương lượng không có thì truyền không bảo mật. Require Security bắt buộc chỉ cho phép những quá trình truyền thông tin phải đảm bảo tính bảo mật mà thôi.
Các Security Rule ở trong Server Secure (Require Security) khác đều tương tự với (Request Security).
4. Custom Policy
Nếu bạn không muốn sử dụng hay cấu hình lại các chính sách đã có từ trước bạn có thể tạo ra một chính sách mới.
Vào Group Policy Editor trong phần thiết lập các chính sách cho IPSec bạn chuột phải chọn Create IP Security Policy.
Bạn chỉ được lựa chọn phương thức xác thực là Kerberos, CA, Preshare Key. Sau khi hoàn thành công việc tạo mới một IP Security Policy bạn phải add thêm các rule tương tự như All IP Traffic hay All ICMP traffic, phương thức xác thực, tunnel, apply cho các dạng kết nối nào.
Ý nghĩa của nó tương tự như phần All IP Traffic trong phần 1 của bài viết.
5. Cách thực áp dụng IPSec Policy vào thực tế.
Chúng ta hãy quan tâm tới một ví dụ sau:
"
Bạn có một domain với tên VNE.NET bạn có hai máy chủ chứa dữ liệu đó là Server1.vne.net và Server2.vne.net. Trong đó máy chủ Server1.vne.net chứa dữ liệu rất quan trọng cho công ty, dữ liệu chứa trên máy chủ Server2.vne.net chứa dữ liệu public. Người quản lý nói với bạn rằng ông ấy muốn ngoài việc bảo mật share dữ liệu sử dụng NTFS Permission và Share Permission ra các máy chủ còn phải đáp ứng.
Toàn bộ quá trình truyền dữ liệu giữa các máy client và Server1.vne.net đều được mã hóa để đảm bảo tính bảo mật, và chỉ cho những máy tính trong domain được truy cập vào máy chủ đó. Những máy tính không trong domain sẽ không thể truy cập được vào máy chủ đó nhằm đảm bảo tính bảo mật cho dữ liệu.
Toàn bộ quá trình truyền dữ liệu giữa client với Server2.vne.net phải đáp ứng: Nếu quá trình truyền dữ liệu với những máy tính trong domain phải được mã hóa, nhưng vẫn đảm bảo cho người dùng không trong domain vẫn truy cập vào bình thường.
"
Với ví dụ này bạn cần phải thực hiện những yêu cầu sau:
Do máy chủ Server1.vne.net yêu cầu toàn bộ các giao tiếp phải được bảo mật và chỉ cho phép giao tiếp với các máy trong cùng domain. Như chúng ta đã biết trong cùng domain sẽ có một giao thức xác thực trung là Kerberos. Chúng hoàn toàn có thể thương lượng bảo mật với nhau, người ngoài domain thì không có cơ chế xác thực Kerberos. Chúng ta phải áp dụng chính xách Server Secure (Require Security) cho máy chủ Server1.vne.net sẽ đáp ứng toàn bộ yêu cầu của bài toán.
Còn trong máy chủ Server2.vne.net sẽ áp dụng chính sách là Server (Request Security) Bởi yêu cầu bắt buộc các máy tính trong domain giao tiếp với máy chủ này phải được mã hóa, còn máy chủ này cũng cho phép người khác không trong domain cũng có thể giao tiếp được với nó.
Cách thực hiện.
Vào Active Directory Users and Computers
Tạo hai OU mới là: Secure và Public sau đó chuyển máy chủ Server1.vne.net vào OU Secure và Server2.vne.net vào OU Public.
Chuột phải vào OU Secure chọn Properties chuyển sang tab Group Policy, nhấn vào New để tạo ra một GPO mới đặt tên cho GPO mới, nhấn tiếp vào Edit sẽ bật ra cửa sổ Group Policy Editor
Vào phần thiết lập của IPSec policy trong GPO đó chuột phải vào Server Secure (Require Security) chọn assign để apply chính sách đó cho OU này.
Làm tương tự với OU Public và assign Server (Request Security) cho máy chủ Server2.vne.net.
Ở đây tôi chỉ tạo GPO mới link trực tiếp tới OU mà không thực hiện với domain bởi khi enable nhiều GPO trong cùng domain khi đó cứ thiết lập nào được enable của GPO trước thì GPO sau có cấu hình thì cũng không có tác dụng.
Lưu ý rằng trong Rule All IP Traffic chúng ta phải chỉnh lại source IP là ANY thay cho My IP, nếu bạn assign chính sách Secure Server (Require Security) mà chưa có thay đổi này thì bất kỳ máy tính nào cũng không thể giao tiếp được với máy tính khác.
Khi thực hiện song các bước này các bạn sẽ thấy chỉ các máy tính trong domain mới có khả năng truy cập vào máy chủ Server1.vne.net, các máy tính không trong domain chỉ có thể Ping được cho máy chủ này mà thôi.
Và Server2.vne.net khi request thương lượng bảo mật máy tính trong domain trả lời khi đó truyền thông tin sẽ được bảo mật. Nếu các máy không trả lời thì giao tiếp sẽ được tiến hành nhưng không bảo mật.
Trong bài viết này tôi đã trình bày với các bạn
Thế nào là IPSec, IPSec Policy, và cách áp dụng IPSec Policy trong bảo mật hệ thống.
Theo VNEXPERTS Research!
Không có nhận xét nào:
Đăng nhận xét