ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC KINH TẾ - LUẬT KHOA TIN HỌC QUẢN LÝ LỚP K09406 - - -    - - - Tiểu Luận Giới Thiệu Về IPSec Và Hướng Dẫn Cách Chặn Trình Duyệt Web Với IPSec Giảng viên hướng dẫn : Trương Hoài Phan Nhóm thực hiện : 16 Thành viên : Ng. Thái Hoàng Anh K094061101 Nguyễn Tiến Đạt K094061116 Đinh Lê Miên K094061157 Nhữ Thanh Nam K094061161 Phùng Quốc Thái K094061194 Năm học 2014 - 2015 Mục Lục 1. Giới thiệu về Ipsec 1.1 Khái niệm IPSec là gì? IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP. Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạng. IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI. IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc. 1.2 Kiến trúc Ipsec IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhau như mật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựa trên các thành phần cơ bản sau đây, mỗi thành phần được định nghĩa trong một tài liệu riêng tương ứng: Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầu của IPSec. - Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã và xác thực thông tin trong IPSec. - Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng gần giống ESP. Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH, mỗi giao thức có ưu và nhược điểm riêng. - Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng trong IPSec. IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng. - Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng trong AH và ESP. - Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khoá trong IPSec. - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec. IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ hoạt động khác nhau. Việc xác định một tập các chế độ cần thiết để triển khai IPSec trong một tình huống cụ thể là chức năng của miền thực thi. Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu. Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần: -Giao thức đóng gói, gồm AH và ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange) 1.3 Các dịch vụ Ipsec • Quản lý truy xuất (access control) • Toàn vẹn dữ liệu ở chế độ không kết nối (connectionless integrity) • Xác thực nguồn gốc dữ liệu (data origin authentication ) • Chống phát lại (anti-replay) • Mã hoá dữ liệu (encryption) • Bảo mật dòng lưu lượng (traffic flow confidentiality) Việc cung cấp các dịch vụ này trong từng tình huống cụ thể phụ thuộc vào giao thức đóng gói được dùng là AH hay ESP. Theo đó nếu giao thức được chọn là AH thì các dịch vụ mã hoá và bảo mật dòng dữ liệu sẽ không được cung cấp. 1.4 Ưu khuyết điểm Ipsec Ưu điểm: - Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng, thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà các thành phần khác không cần phải xử lý thêm các công việc liên quan đến bảo mật. - IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này. Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSec được triển khai. - IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet. Khuyết điểm: - Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa. - IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác. - Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu. - Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia. 2. Chặn duyệt web với Ipsec 2.1 Cấu hình danh sách lọc và các hoạt động của bộ lọc 1. Mở cửa sổ MMC (Start > Run > MMC). 2. Add IP Security and Policy Management Snap-In. 3. Trong cửa sổ Select which computer this policy will manage, chọn Local Computer (hoặc bất cứ chính sách nào phụ thuộc vào nhu cầu của bạn). Kích Close sau đó kích Ok. 4. Kích phải vào IP Security Policies trong panel bên trái của giao diện điều khiển MMC. Chọn Manage IP Filter Lists and Filter Actions. 5. Trong Manage IP Filter Lists and Filter actions, kích Add. 6. Trong cửa sổ IP Filter List, đánh vào tên mô tả (chẳng hạn như HTTP, HTTPS) và kích Add để thêm các bộ lọc mới. 7. Trong cửa sổ chào, kích Next. 8. Trong hộp mô tả, đánh vào các thông tin mô tả nếu bạn muốn, sau đó kích Next. 9. Trong cửa sổ IP Traffic Source, để tùy chọn My IP Address được chọn và kích Next. 10. Trong cửa sổ IP Traffic Destination, để tùy chọn Any IP Address được chọn và kích Next. 11. Trong IP Protocol Type, cuộn xuống đến TCP và nhấn Next. 12. Trong IP Protocol Port, đánh 80 (cho HTTP) trong hộp To This Post và kích Next. [...]... này làm việc khá tốt 2.3 Gán Ipsec policy Trong giao diện MMC, kích phải vào new IPSec Policy và chọn Assign Khi thực hiện xong, bạn có thể test cấu hình bằng cách thử lướt đến một Windows nào đó bị chặn và một website không bị chặn 2.4 Khóa nhiều máy tính Việc khóa nhiều máy tính có thể được thực hiện theo hai cách: Export và Import IPSec Policy Cấu hình IPSec Policy thông qua GPO Cả hai phương pháp... lượng web của mạng nội bộ (INTRANET) Tiếp đó, kích Add 16 Đặt tên thích hợp cho bộ lọc mới – cho ví dụ - Intranet, sau đó tiến hành cấu hình bộ lọc bằng cách kíchAdd 17 Trong cửa sổ IP Traffic Source, để tùy chọn My IP Address được tích và kích Next 18 Trong IP Traffic Destination, kích danh sách sổ xuống và chọn kiểu đích Ví dụ, nếu bạn chỉ muốn cho phép lưu lượng web cung cấp từ một máy chủ web nào... như "Block HTTP, HTTPS, allow Intranet" Kích Next 4 Trong cửa sổ Request for Secure Communication, bỏ chọn hộp kiểm Active the Default Response Rule Kích Next 5 Trong cửa sổ Completing IP Security Policy Wizard, kích Finish 6 Lúc này chúng ta cần add IP Filters và Filter Actions khác vào IPSec Policy mới Trong cửa sổ IPSec Policy mới, kích Add để thêm vào IP Filters và Filter Actions 7 Trong cửa sổ... Add và thêm nó vào lúc này Khi xong, kích Next 12 Quay trở lại cửa sổ new IPSec Policy, bảo đảm rằng new IP Filter được chọn Kích Add để bổ sung thêm IP Filters và Filter Actions giống như những gì bạn đã thực hiện ở trên Trong ví dụ này, chúng ta sẽ add "Intranet" IP Filter Thực hiện các bước từ 7 đến bước 11 13 Add "Intranet" IP Filter 14 Cấu hình nó để sử dụng Permit Filter Action 15 Lưu ý cách. .. cửa sổ IP Filter List, lưu ý cách một IP Filter đã được add như thế nào Lúc này nếu muốn, bạn có thể add HTTPS (Any IP to Any IP, Protocol TCP, Destination Port 443) theo cách thực hiện như trên 14 Lúc này bạn đã thiết lập được cả hai bộ lọc, kích OK 15 Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá lại các bộ lọc (bạn có thể add hoặc remove các bộ lọc về sau) Lúc này chúng ta sẽ... Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá các bộ lọc của bạn, nếu tất cả ok, kích nútClose Bạn có thể thêm các Filters và Filter Actions bất cứ lúc nào nếu muốn 2.2 Cấu hình Ipsec policy 1 Trong giao diện MMC, kích phải vào IP Security Policies trên Local Computer và chọn Create IP Security Policy 2 Trong màn hình chào, kích Next 3 Trong IP Security Policy Name, nhập vào tên mô... trong mạng nội bộ (chẳng hạn nó mang tên SERVER200), khi đó hãy chọn A Specific DNS Name Sau đó, trong Host Name, đánh SERVER200 và kích Next Nếu muốn cho phép lưu lượng web được cung cấp từ một subnet trong mạng nội bộ, chẳng hạn như192.168.0.0/24, hãy chọn A Specific IP Subnet, và đánh vào Network ID và Subnet Mask cho subnet yêu cầu Kích Next 19 Quay trở lại danh sách IP Filter, add bất kỳ bộ... bạn muốn, cuối cùng kích OK 20 Quay trở lại Manage IP Filter Lists and Filter actions, đánh giá các bộ lọc của bạn và nếu tất cả đều ok, hãy kích tab Manage Filter Actions Lúc này chúng ta cần add một hành động lọc (filter action) để khóa lưu lượng chỉ định nào đó, vì vậy hãy kích Add 21 Trong màn hình chào, kích Next 22 Trong Filter Action Name đánh Block và kích Next 23 Trong Filter Action General... Endpoint, bảo đảm rằng thiết lập mặc định được chọn và kích Next 9 Trong cửa sổ Network Type, chọn All Network Connections và kích Next 10 Trong cửa sổ IP Filter List, chọn một trong các IP Filter đã được cấu hình từ trước, cho ví dụ "HTTP, HTTPS" (được cấu hình trong bước 6 ở phần trên bài viết) Nếu vì một lý do nào đó, bạn không cấu hình đúng IP Filter từ trước thì bạn có thể nhấn Add và thêm nó vào lúc... Việc khóa nhiều máy tính có thể được thực hiện theo hai cách: Export và Import IPSec Policy Cấu hình IPSec Policy thông qua GPO Cả hai phương pháp trên đều được sử dụng để ngăn chặn một số máy tính có thể sử dụng ICMP (cho cho các IPSec Policy khác) . TẾ - LUẬT KHOA TIN HỌC QUẢN LÝ LỚP K09406 - - -    - - - Tiểu Luận Giới Thiệu Về IPSec Và Hướng Dẫn Cách Chặn Trình Duyệt Web Với IPSec Giảng viên hướng dẫn : Trương Hoài Phan Nhóm thực hiện. số quốc gia. 2. Chặn duyệt web với Ipsec 2.1 Cấu hình danh sách lọc và các hoạt động của bộ lọc 1. Mở cửa sổ MMC (Start > Run > MMC). 2. Add IP Security and Policy Management Snap-In. . trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầu của IPSec. - Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã và xác thực thông tin trong IPSec. -