QUẢN LÝ CLIENT ACCESS TRÊN EXCHANGE SERVER 2007-PHẦN II: SMTPS POPS IMAPS SECURE OUTLOOK WEB ACCESS (HTTPS)

By Huynh Sy Nguyen

I. Giới thiệu Trong phần I chúng tôi đã giới thiệu với các bạn cách cấu hình các cơ chế kết nối SMTP MAPI(RPC) POP IMAP HTTP trên Exchange Server 2007. Nhưng trong hệ thống E-mail hiện nay các kết nối SMTP POP IMAP HTTP có cấp độ bảo mật không cao vì các gói tin được gởi bằng chế độ clear text (không mã hóa) nên có thể để lộ thông tin (username và password...) của người dùng.   Vì vậy để đáp ứng nhu cầu bảo mật trong hệ thống e-mail hiện nay chúng ta có thể áp dụng Secure Socket Layer (SSL) để mã hóa thông tin và nội dung cho các gói tin SMTP POP IMAP HTTP.   Trong phần II chúng tôi sẽ giới thiệu với các bạn cách cấu hình các kết nối SMTPS POPS IMAPS và HTTPS trên Exchange Server 2007   Bài viết bao gồm các phần:

Phần I: SMTP MAPI (RPC) POP IMAP Oulook Web Access (HTTP)

Phần II: SMTPS POPS IMAPS Secure Outlook Web Access (HTTPS)

Phần III: Oulook Anywhere (RPC over HTTP)   Phần II bao gồm các bước: 1. Cài đặt Enterprise CA 2. Xin Certificate cho Exchange Server 3. Kết nối POPS và SMTPS 4. Kết nối IMAPS và SMTPS 5. Kết nối HTTPS-Secure Outlook Web Access 6. Đơn giản địa chỉ truy cập Secure Outlook Web Access
II. Chuẩn bị Để thực hiện phần II yêu cầu thực hiện hoàn tất phần I   III. Thực hiện 1. Cài đặt Enterprise CA Tại máy Exchange Server mở Control Panel mở Add or Remove Programs chọn Add/Remove Windows Components   Trong hộp thoại  Windows Components đánh dấu chọn Certificate Services

  Hộp thoại Microsoft Certificate Services chọn Yes chọn Next    

Hộp thoại CA Type chọn Enterprise root CA chọn Next  

Hộp thoại CA Identifying Information nhập MSOPENLAB-CA vào ô Common name for this CA chọn Next    

Hộp thoại Certificate Database Settings chọn Next  

  Hộp thoại Microsoft Certificate Services chọn Yes  

  Lưu ý: trong quá trình cài đặt nếu hệ thống yêu cầu CD cài đặt Windows Server 2003 thì trỏ đường dẫn đến thư mục I386 trong CD cai đặt Windows Server 2003       Hộp thoại yêu cầu enable Active Server Pages chọn Yes  

  Hộp thoại Completing the Windows Components Wizard chọn Finish  
Mở Certificate Authority từ Administrative Tools kiểm tra cài đặt CA thành công    

2. Xin Certificate cho Exchange Server Tại máy Exchange Server mở Internet Information Services (IIS) Manager bung Web Site chuột phải Default Web Site chọn Properties

  Hộp thoại Default Web Site  Properties vào tab Directory Security chọn Server Certificate

 

Hộp thoại Welcome to the Web Server Certificate Wizard chọn Next    

Hộp thoại Modify the Current Certificate Assignment chọn Remove the current certificate chọn Next  

  Hộp thoại Remove a Certificate chọn Next. Hộp thoại Completing the Web Server Certificate Wizard chọn Finish    

Trong hộp thoại Default Web Site Properties chọn Server Certificate  

  Hộp thoại Welcome to the Web Server Certificate Wizard chọn Next  

  Hộp thoại Server Certificate đánh dấu chọn Create a new certificate chọn Next    

Hộp thoại Delayed or Immediate Request chọn Send the request immediately to an online certification authority chọn Next

 

Hộp thoại Name and Security Settings chọn Next    

Hộp thoại Organization Information nhập thông tin như hình bên dưới chọn Next

 

Hộp thoại Your Site s Common Name nhập dca.msopenlab.com vào ô Common name (dca.msopenlab.com là tên của máy Exchange Server) chọn Next    

Hộp thoại Geographical Information nhập thông tinh như hình bên dưới chọn Next

 

Hộp thoại SSL Port giữ mặc định port 443 chọn Next    

Hộp thoại Choose a Certification Authority chọn Next

 

Hộp thoại Certificate Request Submission chọn Next. Hộp thoại Completing the Web Server Certificate Wizard chọn Finish    

Hộp thoại Default Web Site Properties chọn View Certificate  

  Trong hộp thoại Certificate vào tab Details chọn Thumbprint copy chuỗi thumbprint bên ô dưới chọn OK    

Mở Exchange Management Shell gõ lệnh:   Enable-ExchangeCertificate -Thumbprint "chuỗi thumbprint không có khoảng trắng" -Services "POP IMAP SMTP IIS"     3. Kết nối POPS và SMTPS Tại máy Client logon MSOPENLABHieu mở Outlook Express bung Tools chọn Accounts     Hộp thoại Internet Account vào tab Mail chọn Properties

 

Hộp thoại DCA.msopenlab.com Properties vào tab Advanced đánh dấu chọn vào 2 ô This server requires a secure connection (SSL) chọn OK    

Trong cửa sổ Outlook Express chọn Create Mail gởi e-mail tới Trong@msopenlab.com    

Logon MSOPENLABTrong mở Outlook Express vào Inbox kiểm tra nhận được e-mail gởi từ Hieu     4. Kết nối IMAPS và SMTPS Tại máy Client logon MSOPENLABTrong mở Outlook Express chọn Tools chọn Accounts

  Trong hộp thoại Internet Accounts vào tab Mail chọn Properties    

Hộp thoại DCA.msopenlab.com Properties vào tab Advanced đánh dấu chọn vào 2 ô This server requires a secure connection (SSL) chọn OK    

Hộp thoại thông báo Outlook Express chọn Yes    

Trong cửa sổ Outlook Express chọn Create Mail gởi e-mail tới Hieu@msopenlab.com

 

Logon MSOPENLABHieu kiểm tra nhận được e-mail gởi từ Trong  

    5. Kết nối HTTPS-Secure Outlook Web Access Tại máy Client truy cập địa chỉ https://DCA.msopenlab.com/owa. Đăng nhập bằng account MSOPENLABHieu password là P@ssword     Trong cửa sổ Outlook Web Access chọn New gởi e-mail tới địa chỉ Trong@msopenlab.com

  Đăng nhập Outlook Web Access bằng quyền MSOPENLABTrong password là P@ssword     Trong cửa sổ Outlook Web Access kiểm tra nhận được e-mail gởi từ Hieu

  6. Đơn giản địa chỉ truy cập Secure Outlook Web Access Để truy cập Secure OWA chúng ta phải truy cập bằng địa chỉ https://DCA.msopenlab.com/owa. với địa chỉ như vậy người sử dụng sẽ rất khó nhớ. Vì vậy chúng ta sẽ cấu hình IIS để có thể truy cập Secure OWA bằng địa chỉ đơn giản http://mail.msopenlab.com mà vẫn có mã hóa gói tin bằng SSL   Trong cửa sổ  DNS tạo Alias recore mail.msopenlab.com trỏ đến host của máy Exchange Server     Tại máy Exchange Server mở Internet Information Services (IIS) Manager chuột phải Web Sites chọn New chọn Web Site  

  Hộp thoại Welcome to the Web Site Creation Wizard chọn Next

  Hộp thoại Web Site Description nhập OWA vào ô Decription chọn Next    

Hộp thoại IP Address and Port Settings nhập mail.msopenlab.com vào ô Host header for this Web site chọn Next  

  Hộp thoại Web Site Home Directory chọn Browse trỏ đến đường dẫn bất kỳ chọn Next    

Hộp thoại Web Site Access Permission chọn Next chọn Finish    

Trong cửa sổ Internet Information Services (IIS) Manager chuột phải OWA chọn Properties     Trong hộp thoại OWA Properties vào tab Home Directory chọn A redirection to a URL nhập https://DCA.msopenlab.com/owa vào ô Redirect to chọn OK    

Mở Internet Explorer truy cập địa chỉ http://mail.msopenlab.com  

More...

BẢO MẬT E-MAIL VỚI DIGITAL CERTIFICATE VÀ DIGITAL SIGNATURE – PHẦN I: CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG MAIL SERVER KERIO

By Huynh Sy Nguyen

PHẦN I: CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG MAIL I. Giới thiệu Trong bài viết "Understanding Public Key Infrastructure" đã trình bày tất cả các vấn đề liên quan đến chức năng cơ chế mã hóa tầm quan trọng của phương pháp mã hóa Public Key Infrastructure (PKI) cũng như chức năng của Digital Signature trong việc trong đổi thông tin của hệ thống mạng máy tính.   Trong bài viết này chúng tôi sẽ trình bày cách thức triển khai PKI để bảo mật cho hệ thống e-mail. Mục đích cụ thể của bài lab: - Mã hóa nội dung e-mail với Digital Certificate - Đảm bảo tính xác thực của e-mail với Digital Signature   Bài lab bao gồm các bước: 1. Tạo User Account 2. Cài đặt Mail Server Kerio 3. Cấu hình Mail Server Kerio 4. Cài đặt Desktop Experience 5. Cấu hình Windows Mail cho User 6. Capture và thay đổi nội dung e-mail 7. Cài đặt Enterprise CA 8. Xin Certificate cho User 9. Trao đổi Public Key 10. Kiểm tra Digital Signature 11. Kiểm tra E-mail có mã hóa   II.    Chuẩn bị Một máy Windows Server 2008 Domain Controller

III. Thực hiện   1. Tạo User Account -   Logon MSOPENLABAdministrator mở Active Directory Users and Computers tạo các user TrongHieu như trong hình bên dưới password của các user là: P@ssword   picture000.jpg

  -          Chuột phải user Hieu chọn Properties nhập hieu@msopenlab.com vào ô E-mail chọn OK   picture001.jpg

  -          Chuột phải user Trong chọn Properties nhập trong@msopenlab.com vào ô E-mail chọn OK  

2. Cài đặt Mail Server Kerio -          Chạy file cài đặt keri-kms-6.4.1-3801-win.exe
*Bạn có thể download chương trình Mail Server Kerio tại http://www.kerio.com/kms_download.html  
-          Hộp thoại Choose Setup Language chọn ngôn ngữ là English (United States) chọn OK   picture002.jpg  

-          Trong hộp thoại Welcome chọn Next. Hộp thoại What s New chọn Next

-          Hộp thoại License Agreement chọn I accept the terms in the license agreement chọn Next   picture005.jpg  

-          Hộp thoại Setup Type chọn Complete chọn Next   picture006.jpg
-          Hộp thoại Destination Folder giữ đường dẫn mặc định chọn Next   picture007.jpg   -          Hộp thoại Ready to Install the Program chọn Install   picture008.jpg   -          Hộp thoại Welcome chọn Next   picture001.jpg   -          Hộp thoại Mail Domain nhập MSOpenLab.com vào ô domain nhập DC vào ô Hostname chọn Next   picture002.jpg   -          Hộp thoại Administrative Account nhập 123456 vào ô PasswordConfirm Password chọn Next
picture003.jpg   -          Hộp thoại Message Store Directory chọn Finish chọn Close   picture004.jpg   -          Hộp thoại InstallShield Wizard Completed chọn Finish   picture009.jpg   3. Cấu hình Mail Server Kerio -  Vào StartProgramsKerio   mở Administration Console Trong hộp thoại New Connection nhập password 123456 chọn Connect   picture006.jpg   -          Trong cửa sổ Administration Console bung Configuration vào Domain kiểm tra có domain MSOpenLab.com
picture002.jpg
-          Trong mục Domain Settings vào Users bung Import chọn Import from directory service...
picture003.jpg
-          Trong hộp thoại Import Users nhập thông tin như trong hình bên dưới (Password: P@ssword) chọn OK

picture004.jpg
-          Đánh dấu chọn vào user HieuTrong chọn OK

picture005.jpg
-          Kiểm tra trong mục user đã có các mailbox như hình bên dưới chọn Apply

picture006.jpg
-          Trong Configuration vào Services. Lần lượt Stop các service: HTTPHTTPS

picture001.jpg

4. Cài đặt Desktop Experience
Vì Windows Server 2008 không có cài đặt sẵn các chương trình mail client như Outlook Express trên Windows XP và Windows Mail trên Windows Vista nên trong bài lab này để trên Windows Server 2008 sử dụng được Windows Mail thì chúng ta cần cài đặt Desktop Experience   -          Mở Server Manager từ Administrative Tools chuột phải Features chọn Add Features

picture001.jpg  

-          Trong hộp thoại Select Features đánh dấu chọn Desktop Experience chọn Next   picture002.jpg

  -          Hộp thoại Confirm Installation Selections chọn Install

picture003.jpg

  -          Hộp thoại Installation Results chọn Close. Hộp thoại Do you want to restart now? chọn Yes để restart.   picture004.jpg

  -          Sau khi khởi động logon MSOPENLABAdministrator kiểm tra cài đặt Desktop Experience thành công.   picture006.jpg

  5.      Cấu hình Windows Mail cho User -          Logon MSOPENLABHieu mở Windows Mail từ StartPrograms

-          Trong hộp thoại Your Name nhập Hieu vào ô Display name chọn Next

picture001.jpg
-          Hộp thoại Internet E-mail Address nhập Hieu@MSOpenLab. Com vào ô Email Address chọn Next

picture002.jpg
-          Hộp thoại Setup e-mail servers nhập địa chỉ của mail server vào ô Incoming mailOutgoing e-mail server đánh dấu chọn Outgoing server requires authentication chọn Next

picture003.jpg
-          Trong hộp thoại Internet Mail Logon nhập Hieu vào ô E-mail username nhập P@ssword vào ô Password chọn Next chọn Finish
picture004.jpg
-          Tương tự logon MSOPENLABTrong cấu hình Windows Mail cho user Trong   6.  Capture và thay đổi nội dung e-mail

-          Logon MSOPENLABTrong mở Windows Mail chọn Create Mail
picture006.jpg

  -          Nhập Hieu@msopenlab.com vào ô To nhập Subject và Body như trong hình chọn Send

picture000.jpg
-          Logon MSOPENLABAdministrator vào đường dẫn C:Program FilesKerioMailServerstoremailMSOpenLab.comhieuINBOX#msgs chuột phải file .eml chọn Open With chọn Notepad

picture002.jpg             -          Trong Notepad sửa nội dung mail tùy ý   *E-mail khi chưa sửa nội dung picture003.jpg          

     *E-mail sau khi sửa nội dung picture006.jpg   -          Logon MSOPENLABHieu mở Windows Mail kiểm tra nội dung e-mail gời từ Trong là nội dung đã bị giả mạo.   picture007.jpg

More...

About Mod_Security

By Huynh Sy Nguyen

Phát hiện và chống xâm nhập Web Server với Mod Security1. giới thiệu về Mod_security
ModSecurity là một bộ máy phát hiện và phòng chống xâm nhập dành cho các ứng dụng web (hoặc 1 web application firewall). Hoạt động như một module của máy chủ web Apache mục đích của ModSecurity là tăng cường bảo mật cho các ứng dụng web bảo vệ chúng khỏi các loại tấn công đã biết và chưa biết
Click this bar to view the full image.
Click the image to open in full size.

Sau khi cài đặt Apache mặc định sẽ không có mod_security.Bạn phải download mod_security từ http://www.modsecurity.org .Phiên bản mới nhất hiện nay là 1.9. Mod_security dùng được cho cả apache 1.x và 2.x (trên cả windows *.nix ...)

2.Cài đặt và cấu hình:
Việc install Mod_security tương đối đơn giản sau khi đã download Binary packages về:
Với apache 2.x:
Bạn chỉ việc copy file mod_security.so vào thư mục modules/ của apache và mở file httpd.conf thêm vào dòng sau:
LoadModule security_module modules/mod_security.so
là có đã hoàn thành bước cài đặt
Với apache 1.x:
Ban copy file mod_security.so (*.nix ) hoăc mod_security.dll (windows) vào thư mục libexec/ và mở file httpd.conf thêm vào dòng sau:
LoadModule security_module libexec/mod_security.so
Để sử dụng mod_security bạn phải cấu hình cho nó( cái này tùy vào mỗi hệ thống mà sẽ dẫn đến những cấu hình khác nhau). Trước tiên bạn mở file httpd.conf ra và thêm vào dòng sau:

# cấu hình cho mod_security

hoặc bạn có thể tạo riêng một file là modsecurity.conf trong thư mục conf cua apache và include nó tù file cấu hình của apache httpd.conf:

include conf/modsecurity.conf
Sau khi cài đặt mặc định bộ máy filtering sẽ disable ( muốn dùng mod_security chúng ta phải bật nó lên).
Ban chỉ việc thêm vào dòng sau trong file modsecurity.conf:
SecFilterEngine On ( or Off DynamicOnly )
Sau đây là cách cấu hình cho mod_security để hạn chế những kiểu tấn công cơ bản:

#Chống lại kiểu tấn công thực thi các lệnh:
SecFilter /etc/password
SecFilter /bin/ls
#Chống lại kiểu tấn công Directory traversal
SecFilter "../"
#Lọc các kí tự hay dùng trong shell code
SecFilterForceByteRange 32 126
#Lọc các kí tụ hay dùng trong XSS attack
SecFilter "<(.| )+>"
SecFilter "<[[:space:]]*script"
#chống lại kiểu tấn công XSS thông qua PHP session cookie
SecFilterSelective ARG_PHPSESSID "!^[0-9a-z]*$"
SecFilterSelective COOKIE_PHPSESSID "!^[0-9a-z]*$"
#Hạn chế sqlinjection attack
SecFilter "delete[[:space:]]+from"
SecFilter "insert[[:space:]]+into"
SecFilter "select.+from"
#Hạn chế MSSQL injection attack
SecFilter xp_enumdsn
SecFilter xp_filelist
SecFilter xp_availablemedia
SecFilter xp_cmdshell
SecFilter xp_regread
SecFilter xp_regwrite
SecFilter xp_regdeletekey
#chống spam mail:
SecFilterSelective "ARG_recipient" "!@modsecurity.org$"

#phát hiện xâm nhập
SecFilterSelective OUTPUT "Volume Serial Number"
SecFilterSelective OUTPUT "Command completed"
SecFilterSelective OUTPUT "Bad command or filename"
SecFilterSelective OUTPUT "file(s) copied"
SecFilterSelective OUTPUT "Index of /cgi-bin/"
SecFilterSelective OUTPUT ".*uid=("

#Nếu muốn ghi lại log:
SecAuditLog logs/audit.log
SecFilterDebugLog logs/modsec.log
SecFilterDebugLevel 0
# để mod_security *kiểm tra* URL encoding và UTF-8.
SecFilterCheckURLEncoding On
SecFilterCheckUnicodeEncoding On
Lưu ý:nếu bạn dùng SecFilterCheckUnicodeEncoding On một số bộ gõ hay input tiếng Việt sẽ không hoạt động một số bộ gõ hay input tiếng Việt sẽ không hoạt động
Nếu bạn chạy web với nhiều virtualhost và muốn một site trong nhiều sites không dùng mod_security bạn có thể dùng:
SecFilterSelective SERVERNAME "^tên_của_web_site$" nolog allow

3. Lời kết:
Trên đây chỉ là vài cấu hình cơ bản Còn rất nhiều kiểu cấu hình mà tôi không đề cập (tùy thuộc vào hệ thống của bạn mà có cấu hình cho thích hợp).
Chúc bạn thanh công.

More...

Understanding IPSec

By Huynh Sy Nguyen

Với các Administrator việc hiểu Internet Protocol Security-IPSEC sẽ giúp chúng ta bảo vệ thông tin lưu chuyển trên Network an toàn hơn và cấu hình IPSEC dùng X.509 certificates có thể tạo ra quy trình xác thực an toàn trong giao tiếp Network ở mức tối đa.

A. Cài đặt IPSEC
IPSEC là một chuẩn an toàn trong giao tiếp thông tin giữa các hệ thống
giữa các mạng. Với IPSEC việc kiểm tra xác thực và mã hóa dữ liệu là những chức năng chính. Tất cả những việc này được tiến hành tại cấp độ IP Packet.

Mục đích của IPSEC:

Được dùng để bảo mật dữ liệu cho các chuyển giao thông tin qua Mạng. Admin có thể xác lập một hoặc nhiều chuỗi các Rules gọilà IPSEC Policy những rules này chứa các Filters có trách nhiệm xác định những loại thông tin lưu chuyển nào yêu cầu được mã hóa (Encryption) xác nhận (digital signing) hoặc cả hai. Sau đó mỗi Packet được Computer gửi đi sẽ được xem xét có hay không gặp các điều kiện của chính sách. Nếu gặp những điều kiện này thì các Packet có thể được mã hóa được xác nhận số theo những quy định từ Policy. Quy trình này hòa toàn vô hình với User và Application
kích hoạt truyền thông tin trên Mạng.
Do IPSEC được chứa bên trong mỗi gói IP chuẩn cho nên có thể dùng
IPSEC qua Network mà không yêu cầu những cấu hình đặc biệt trên thiết bị hoặc giữa 2 Computer.
Tuy nhiên IPSEC không tiến hành mã hóa một vài loại giao tiếp Mạng như: Broadcast MultiCast các packet dùng giao thức xác thực Kerberos.

Những thuận lợi khi sử dụng IPSEC:

Thuận lợi chính khi dùng IPSEC là cung cấp được giải pháp mã hóa cho tất cả các giao thức hoạt động tại lớp 3 - Network Layer (OSI model) và kể cả các giao thức lớp cao hơn.

IPSEC có khả năng cung cấp:

- Chứng thực 2 chiều trước và trong suốt quá trình giao tiếp. IPSEC quy định cho cả 2 bên tham gia giao tiếp phải xác định chính mình trong suốt quy trình giao tiếp.
- Tạo sự tin cậy qua việc mã hóa và xác nhận số các Packet. IPSEC có 2 chẽ độ Encapsulating Security Payload (ESP) cung cấp cơ chế mã hóa dùng nhiều thuật toán khác nhau và Authentication Header (AH) xác nhận các thông tin chuyển giao nhưng không mã hóa.
- Tich hợp các thông tin chuyển giao và sẽ loại ngay bất kì thông tin nào bị chỉnh sửa. Cả hai loại ESP và AH đều kiểm tra tính tích hợp của các thông tin chuyển giao. Nếu một gói tin đã chỉnh sửa thì các xác nhận số sẽ không trùng khớp kết quả gói tin sẽ bị loại. ESP cũng mã hóa địa chỉ nguồn và địa chỉ đích như một phần của việc mã hóa thông tin chuyển giao.
- Chống lại các cuộc tấn công Replay (thông tin chuyển giao qua mạng sẽ bị attacker chặn chỉnh sữa và được gửi đi sau đó đến đúng địa chỉ người nhận người nhận không hề hay biết và vẫn tin rằng đấy là thông tin hợp pháp. IPSEC dùng kĩ thuật đánh số liên tiếp cho các Packet Data của mình (Sequence numbers) nhằm làm cho attacker không thể sử dụng lại các dữ liệu đã chặn được với ý đồ bất hợp pháp. Dùng Sequence numbers còn giúp bảo vệ chống việc chặn và đánh cắp dữ liệu sau đó dùng những thông tin lấy được để truy cập hợp pháp vào một ngày nào đó.

Ví dụ sử dụng IPSEC:
Việc mất mát các thông tin khi cuyển giao qua mạng có thể gây thiệt hại cho hoạt động của tổ chức điều này cảnh báo các tổ chức cần trang bị và xây dựng những hệ thống mạng bảo mật chặt chẽ những thông tin quan trọng như dữ iệu về Product báo có tài chính kế hoạch Marketing. Trong trường hợp này các tổ chức có thể sử dụng IPSEC đảm bảo tính chất riêng tư và an toàn của truyền thông Mạng (Intranet Extranet) bao gốm giao tiếp giữa Workstation với Server Server với server.
Ví dụ: Có thể tạo các IPSEC policies cho các Computer kết nối với Server (nắm giữ những dữ liệu quan trọng của tổ chức: tình hình tài chính danh sách nhân sự chiến lược phát triển). IPSEC policy sẽ bảo vệ dữ liệu của tổ chức chống lại các cuộc tấn công từ bên ngoài và đảm bảo tính tích hợp thông tin cũng như an toàn cho Client.

IPSEC làm việc thế nào ?

Có thể cấu hình IPSEC thông qua Local policy hoặc triển khai trên diện rộng thì dùng Active Directory Group Policy (GPO.)

1. Giả sử chúng ta có 2 Computer : Computer A Computer B IPSEC
policy đã được cấu hình trên 2 computer này. Sau khi được cấu hình
IPSEC policy sẽ báo cho IPSEC driver cách làm thế nào để vận hành và
xác định các liên kết bảo mật giữa 2 computer khi nối kết được thiết lập.
Các liên kết bảo mật ảnh hưởng đến những giao thức mã hóa sẽ được sử dụng cho những loại thông tin giao tiếp nào và những phương thức xác thực nào sẽ được đem ra thương lượng.

2. Liên kết bảo mật mang tính chất thương lượng. Internet Key Exchange - IKE sẽ có trách nhiệm thương lượng để tạo liên kết bảo mật. IKE kết hợp từ 2 giao thức: Internet Security Association and Key Management Protocol (ISAKMP) và Oakley Key Determination Protocol. Nếu Computer A yêu cầu xác thực thông qua Certificate và Computer B yêu cầu dùng giao thức Kerberos thì IKE sẽ không thể thiết lập liên kết bảo mật giữa 2 Computer. Nếu dùng Network Monitor để theo dõi IPSEC hoạt động sẽ không thấy được bất cứ AH hoặc ESP packet nào vì giao tiếp IPSEC chưa được thiết lập có lẽ chúng ta chỉ quan sát được các ISAKMP packets.

3. Nếu như liên kết ảo mật được thiết lập giửa 2 computer IPSEC driver sẽ quan sát tất cả IP traffic so sánh các traffic đã được định nghĩa trong các Filter nếu có hướng đi tiếp các traffic này sẽ được mã hóa hoặc xác nhận số.

Click this bar to view the full image.
Click the image to open in full size.

Hình 1. Mô tả giao tiếp IPSEC giữa 2 computer trong Active Directory
Domain
CHÍNH SÁCH BẢO MẬT IPSEC:

IPSEC security policy bao gồm một hoặc nhiều Rule xác định cách thức hoạt động IPSEC. Các Administrator có thể có thể cài đặt IPSEC thông qua một policy. Mỗi Policy có thể chứa một hoặc nhiều Rule nhưng chỉ có thể xác định một Policy hoạt động tại Computer tại một thời điểm bất kì. Các Administrator phải kết hợp tất cả những Rule mong muốn vào một single policy. Mỗi Rule bao gồm:

- Filter: Filter báo cho Policy những thông tin lưu chuyển nào sẽ áp dụng với Filter action.
Ví dụ: Administrator có thể tạo một filter chỉ xác định các lưu thông dạng HTTP hoặc FTP.
- Filter Action: Báo cho Policy phải đưa ra hành động gì nếu thông tin lưu chuyển trùng với định dang đã xác định tại Filter. Ví dụ: thông báo cho IPSEC chặn tất cả những giao tiếp FTP nhưng với những giao tiếp HTTP thì dữ liệu sẽ được mã hóa. Filter action cũng có thể xác định những thuật toán mã hóa và hashing (băm) mà Policy nên sử dụng.
- Authentication method: IPSEC cung cấp 3 phương thức xác thực:
Certificates (thông thường các Computer triển khai dùng IPSEC nhận
Certificates từ một Certificate Authority - CA server) Kerberos (Giao thức chứng thực phổ biến trong Active directory Domain) Preshared Key (khóa ngầm hiểu một phương thức xác thực đơn giản). Mỗi một Rule của IPSEC policy có thể bao gồm nhiều phưong thức xác thực vừa nêu.

NHỮNG CHÍNH SÁCH IPSEC MẶC ĐỊNH:

Kể từ Windows 2000 trở đi IPSEC đã cấu hình sẵn 3 chính sách tạo sự
thuận tiện khi triển khai IPSEC.

- Client (Respond only) : chính sách thụ động chỉ phản hồi sử dụng IPSEC nếu partner có yêu cầu thường được enable trên các Workstation. Chính sách mặc định này chỉ có một rule được gọi là Default Respond Rule.
Rule này cho phép Computer phản hồi đến các yêu cầu IPSEC ESP từ
các Computer được tin cậy trong Active directory domain. ESP là một chế độ IPSEC cung cấp độ tin cậy cho việc xác thực tích hợp và chống Replay attack.

- Server (Request Security): Computer hoạt động với chính sách này luôn chủ động dùng IPSEC trong giao tiếp tuy nhiên nếu đối tác không dùng IPSEC vẫn có thể cho phép giao tiếp không bảo mật. Chính sách này được dùng cho cả Server hoặc Workstation. Chính sách có 3 Rules:

Default respond rule (như đã trình bày ở trên) Permit ICMP (internet
ControlMessage Protocol) rule cho phép các giao tiếp dùng giao thức
ICMP ví dụ như Ping (mặc dù ICMP là một giao thức kiểm tra và thông
báo tình trạng kết nối Mạng phục vụ cho xử lý các sự cố nhưng cũng có thể disable để tăng tính bảo mật cho Mạng vì có một số cách thức tấn công phổ biến nhắm vào những điểm yếu cuqả ICMP.) Yêu cầu ESP cho tất cả IP traffic.

- Secure Server (require security): Bắt buộc dùng IPSEC cho giao tiếp
Mạng. Có thể dùng chính sách này cho cả Server Workstation. Nếu chính sách được xác lập không cho phép giao tiếp không bảo mật. chính sách có 3 Rules: 2 chính sách đầu tươn tự như trên là Default Respond rule Permit ICMP và chính sách thứ 3 quy định: Tất cả các giao tiếp (trừ ICMP) phải được mã hóa với ESP ngược lại Server sẽ không giao tiếp.

THẾ NÀO LÀ THƯƠNG LƯỢNG MỘT LIÊN KẾT BẢO MẬT (A SECURITY ASSOCIATION)

Các Administrator không nên quan tâm đến các đặc điểm mang tính cá nhân của Policy . Cả hai Computer tiến hành thương lượng bảo mật cần phải có những chính sách bổ sung. Nếu 2 computer có thể thương lượng thành công IPSEC sẽ được sử dụng. Nếu thương lượng không thành công do bất đồng về chính sách 2 computer có thể không tiếp tục giao tiếp hoặc chấp nhận giao tiếp không an toàn.

Ví dụ về cách thức hoạt động của các policy giửa 2 Computer A và B:
- Computer A yêu cầu ESP cho các giao tiếp HTTP Computer B yêu cầu AH cho HTTP như vậy 2 computer sẽ không thể thương lượng một liên kết bảo mật.
- Giao thức xác thực Kerberos là phương thức xác thực mặc định cho cả 3 phương thức đã trình bày. Kerberos protocol được các Computer trong cùng Active directory forest sử dụng nếu một trong 2 Computer không cùng AD Forest thì không thể thương lượng được phương thức bảo mật. Tương tự khi Computer A dùng Kerberos Computer B dùng Certificates làm phương thức xác thực IP traffic thương lựong cũng sẽ không được thiết lập. Tuy nhiên chúng ta có thể trang bị cho computer A hoặcc B nhiều phương thức xác thực (cả Kerberos và Certificates..) chỉ cần gặp một phương thức xác thực tương đồng giữa 2 Computer xác thực sẽ bắt đầu.
Lấy chính sách mặc định Secure Server (require Security) làm ví dụ. Nếu Computer A xác định dùng chính sách này nó sẽ không thể giao tiếp với bất kì Computer nào không được trang bị IPSEC. Ví dụ: Computer A yêu cầu kết quả truy vấn từ DNS server của AD Domain (DNS server không dùng IPSEC) truy vấn sẽ không được thực hiện. Computer A cần truy cập SQL server (không dùng IPSEC) cũng không thể truy cập. Nếu Computer A dùng chính sách Server (request security) giao tiếp không an toàn với các Computer không trang bị vẫn có thể thực hiện. Trong thực tế các chính sách IPSEC nên được triển khai để bảo mật những thông tin quan trọng và cho phép những giao tiếp cơ bản có thể thực hiện.

More...