Chặn trình duyệt Web với IPSec

Quản trị mạng - Hệ điều hành Windows 2000, Windows XP và Windows 2003 tích hợp một cơ chế bảo mật IP có tên IPSec hay IP Security.

IPSec là một giao thức được thiết kế để bảo vệ dữ liệu TCP/IP được truyền qua mạng bằng cách sử dụng phương thức mã hóa key công cộng. Trong một mạng, máy tính nguồn sẽ thu thập gói IP thông thường bên trong một gói IPSec mã hóa. Sau đó gói này sẽ được mã hóa cho đến khi nó được chuyển đến máy tính đích.

Trong bài viết này chúng ta sẽ không tìm hiểu chi tiết IPSec, tuy nhiên chúng ta cần biết rằng ngoài khả năng mã hóa, IPSec cong cho phép người dùng bảo vệ và cấu hình máy chủ và máy trạm với cơ chế bảo mật giống như tường lửa.

Làm thế nào để có thể chặn không cho một số người dùng cụ thể lướt Web với IPSec? Thao tác này khá đơn giản, chúng ta chỉ cần tạo một thành phần Policy có chức năng thông báo cho máy tính chặn mọi lưu lượng IP cụ thể được cấu hình bởi những Rule này. Lưu lượng Internet sử dụng HTTP và HTTPS (lần lượt sử dụng cổng TCP 80 và 443) như các cổng tới. Khi chặn lưu lượng này, chúng ta có thể chặn không cho một máy tính truy cập Internet).

Để chặn mọi lưu lượng Internet đến và đi của một máy tính, chúng ta cần tạo một chính sách IPSec để chặn mọi lưu lượng HTTP. Chúng ta có thể cấu hình chính sách này dành riêng cho một máy tính bằng cách tạo chính sách IPSec cho nhiều mày tính, hoặc cấu hình cho chính sách này như một Group Policy Object (GPO) trên một Site, một Domain hay một Organization Unit (OU) cụ thể. Để cấu hình một GPO, chúng ta phải có Active Directory.

Chặn truy cập Web cho một máy tính

Để chặn truy cập Web trên mốt máy tính, thực hiện các thao tác sau:

Cấu hình IP Filter List và Filter Action

1. Vào menu Start | Run, rồi nhập MMC để mở cửa sổ MMC.

2. Bổ sung Snap-In IP Security and Policy Management.


3. Trong hộp thoại Select Computer or Domain, lựa chọn máy tính mà chính sách này sẽ quản lý. Do mục đích là chặn một máy nên chúng ta sẽ lựa chọn tùy chọn Local Machine. Sau đó nhấn Finish | Close | OK trên các hộp thoại đang mở.

4. Phải chuột lên IP Security Policies trong bảng bên phải của MMC Console. Lựa chọn Manage IP Filter Lists and Filter Actions.


5. Trong hộp thoại Manage IP Filter Lists and Filter Actions nhấn Add.

6. Trong hộp thoại IP Filter List, nhập tên mô tả (như HTTP hay HTTPS) rồi nhấn Add để bổ sung bộ lọc mới. Khi đó IP Filter Wizard sẽ xuất hiện.







7. Trên trang Welcome nhấn Next.

8. Trong hộp Description, nhập một đoạn mô tả nếu muốn. Sau đó nhấn Next.

9. Trên trang IP Traffic Source IP Traffic Destination, giữ nguyên tùy chọn được chọn sẵn và nhấn Next.

10. Trong trang IP Protocol Type, lựa chọn kiểu giao thức là TCP trong danh sách thả xuống rồi nhấn Next.

11. Trên trang IP Protocol Port, lựa chọn tùy chọn From any port và nhập 80 (cho HTTP) vào hộp To this box rồi nhấn Next.


12. Trên trang IP Filter List, kiểm tra phương pháp một IP Filter mới đã được bổ sung. Tại đây, nếu muốn, chúng ta có thể bổ sung HTTPS (Mọi IP tới IP, giao thức TCP, cổng đích 443) theo cùng một phương thức.


13. Đến đây chúng ta đã thiết lập được hai bộ lọc. Nhấn OK để hoàn thành.


Lưu ý: Chúng ta có thể sử dụng IPSex để chặn truy cập Web nhưng vẫn có thể cho phép lưu lượng Intranet.

14. Quay trở lại hộp thoại Manage IP Filter Lists and Filter actions, kiểm tra lại các bộ lọc. Nếu tất cả đã được cài đặt, click vào tab Manage Filter Actions. Tiếp theo chúng ta cần bổ sung một hành động lọc sẽ chặn lưu lượng đến. Nhấn Add.







15. Trên trang Welcome của Filter Action Wizard, nhấn Next.

16. Trên trang Filter Action Name, nhập Block rồi nhấn Next.

17. Trên trang Filter Action General Options, lựa chọn tùy chọn Block rồi nhấn Next.

18. Quay trở lại hộp thoại Manage IP Filter Lists and Filter actions, kiểm tra lại các bộ lọc, nếu mọi bộ lọc đã được cài đặt nhấn Close. Chúng ta có thể bổ sung các bộ lọc và hành động lọc tại bất kì thời điểm nào.


Cấu hình chính sách IPSec

Sau đây chúng ta sẽ tiến hành cấu hình chính sách IPSec. Thực hiện các thao tác sau:

1. Trong MMC Console, phải chuột lên IP Security Policies trên Local Computer rồi chọn Create IP Security Policy. Khi đó IP Security Policy Wizard sẽ xuất hiện.

 

2. Trên trang Welcome của Wizard này, nhấn Next.

3. Trên trang IP Security Policy Name, nhập tên cho chính sách này rồi nhấn Next.

4. Trên trang Request for Secure Communication, hủy chọn hộp chọn Activate the default response rule rồi nhấn Next.

 

5. Trên trang Completing IP Security Policy Wizard, nhấn Finish.

6. Tiếp theo chúng ta cần bổ sung IP Filter và Filter Action cho chính sách IPSec Policy mới. Trên hộp thoại thuộc tính của chính sách IPSec mới, nhấn nút Add để bắt đầu tiến trình bổ sung IP Filter và Filter Actions.







7. Trên trang Welcome của Security Rule Wizard, nhấn Next.

8. Trên trang Tunnel EndPoint, giữ nguyên cài đặt mặc định rồi nhấn Next.

9. Trên trang Network Type, lựa chọn tùy chọn All Network Connections rồi nhấn Next.

10. Trên trang IP Filter List, lựa chọn một trong những bộ lọc IP đã được cấu hình trước đó, ví dụ như HTTP, HTTPS (đã được cấuh ình trong bước 6). Nếu vì một lí do nào đó, bộ lọc IP chưa được cấu hình phù hợp thì chúng ta có thể nhấn Add và bắt đầu bổ sung nó. Khi hoàn thành nhấn Next.


11. Trên trang Filter Action, lựa chọn một trong những Filter Action đã được cấu hình trước đó, ví dụ Block (được cấu hình trong bước 16 của phần trên). Nếu chưa cấu hình Filter Action phù hợp, nhấn nút Add để bổ sung. Sau khi hoàn thành, nhấn Next.


12. Xác nhận rằng IP Filter đã được bổ sung.

Nếu muốn, chúng ta có thể kết hợp bổ sung bất kỳ IP Filter và Filter Action nào.

Lưu ý rằng chúng ta không thể thay đổi thứ tự trong những Firewal đầy đủ tính năng khác. Tuy vậy, cấu hình này vẫn hoạt động tốt.

Gán IPSec Policy

Sau khi tạo thành công IPSec Policy, trong MMC Console, phải chuột lên chính sách mới này rồi lựa chọn Assign.


Sau khi hoàn thành, chúng ta có thể thử nghiệm cấu hình này bằng cách thử truy cập vào những trang Web bị giới hạn và không bị giới hạn.





Chặn truy cập Web trên nhiều máy tính

Sau khi đã tạo chính sách IPSec trên một máy tính, để chặn truy cập Web trên nhiều máy tính chúng ta có thể áp dụng hai phương pháp.

Export và Import các chính sách IPSec

Có hai phương pháp có thể áp dụng để xuất và nhập chính sách IPSec, đó là sử dụng MMC Console và một phương pháp đơn giản hơn là sử dụng lệnh NESH. Trong bài viết này chúng ta sẽ sử dụng lệnh NETSH để xuất và nhập chính sách IPSec.

Trước tiến, vào menu Start | Run, nhập CMD để chạy Command Prompt.

Để xuất chính sách IPSec, nhập lệnh sau:
netsh ipsec static exportpolicy c:'temp'ipsec_policy.ipsec
Khi đó, chính sách này sẽ được xuất thành một file có tên ipsec_policy.ipsec trong thư mục C:\Temp.

Để nhập chính sách vừa được xuất vào một hệ thống khác, trước tiên ta cần copy file kết xuất về máy tính muốn áp dụng, sau đó chạy lệnh với cú pháp:
netsh ipsec static importpolicy c:'temp'ipsec_policy.ipsec
Trong đó c:'temp'ipsec_policy.ipsec là đường dẫn tới file được copy về máy.

Cấu hình chính sách IPSec qua Group Policy Object

1. Mở Active Directory Users & Computers, phải chuột lên miền (hay OU nếu chỉ muốn cấu hình cho một nhóm máy tính cụ thể) rồi chọn Properties.

2. Trong hộp thoại Properties, chọn tab Group Policy. Nhấn nút New để cấu hình một GPO mới (nếu chưa có một nhóm cho OU đó). Giả sử nhập tên mô tả cho GPO này là Secure Services.

3. Sau đó nhấn nút Edit để hiệu chỉnh GPO này.

4. Truy cập vào Computer Settings > Windows Settings > Security Settings > IP Security Policies On Active Directory. Tại đây chúng ta có thể cấu hình thủ công chính sách IPSec này, hoặc nếu đã cấu hình, hãy nhập nó như một file .IPSEC.


5. Sau khi chính sách IPSec mới đã được cấu hình, phải chuột lên nó chọn Assign.


6. Để áp dụng các thay đổi cho hệ thống, chúng ta cần khởi động lại máy hoặc làm mới chính sách của máy tính bằng lệnh sau:
secedit /refreshpolicy machine_policy /enforce
Trên máy tính Windows XP hay Windows Server 2003, nhập lệnh sau:
gpupdate /force





Khi đã gán một chính sách IPSec trong Active Directory, cần lưu ý những điểm sau:
  • Danh sách của mọi chính sách IPSec cho phép gán tại mọi cấp độ trong phân lớp Active Directory. Tuy nhiên, chỉ một chính sách IPSec duy nhất có thể được gán tại một cấp độ cụ thể trong Active Directory.
     
  • Một chính sách IPSec được gán cho một OU trong Active Directory sẽ được ưu tiên hơn so với chính sách cấp độ miền của những thành viên trong OU đó.
     
  • Một chính sách IPSec được gán tới OU thấp nhất trong phân cấp miền sẽ ghi đè lên một chính sách IPSec được gán trước đó tới một OU cấp độ cao hơn cho các máy tính thành viên của OU đó.
     
  • Một OU sẽ thừa kế chính sách của OU chủ nếu khả năng thừa kế chính sách không bị chặn hoàn toàn hay chính sách đã được gán.
     
  • Những chính sách IPSec từ những OU khác nhau sẽ không thể kết hợp.
     
  • Cấp độ cao nhất có thể của hệ phân cấp Active Directory sẽ được sử dụng để gán chính sách nhằm giảm thiểu tác vụ cấu hình và quản trị cần thiết.
     
  • Một chính sách IPSec có thể vẫn hoạt động cho dù Group Policy Object được gán đã bị xóa bỏ. Vì lí do này, chúng ta cần hủy gán chính sách IPSec này trước khi xóa Policy Object này. Để khắc phục vấn đề này, thực hiện phương pháp sau:
1. Hủy gán chính sách IPSec
2. Đợi một khoảng thời gian nhất định để đảm bảo rằng thay đổi đã được triển khai.
3. Xóa Group Policy Object.
  • Nếu xóa GPO này không tuân thủ theo các bước trên, thì các máy tính trong Active Directory mà chính sách IPSec này được gán tới sẽ coi chính sách IPSec này như thể nó không thể được định vị và sẽ tiếp tục sử dụng một bản sao đã được lưu trữ.
     
  • Trước khi gán một chính sách IPSec tới một GPO, kiểm tra lại những cài đặt của Group Policy cho chính sách IPSec. Ví dụ, nếu một chính sách IPSec yêu cầu thẩm định quyền qua giấy phép, gán cài đặt Group Policy cho phép máy tính bổ sung các giấy phép đăng nhập (thường một hoặc hai ngày trước khi gán chính sách IPSec sẽ yêu cầu sử dụng giấy phép của máy tính). Ngoài ra, chúng ta cần kiểm tra tiến trình bổ sung giấy phép và khắc phục mọi sự cố trước khi triển khai chính sách IPSec.
Thứ Hai, 21/12/2009 16:57
31 👨 3.086