phần 3 - Tổng quan về Firewall của Windows Server 2008 với tính năng bảo mật nâng cao | phan 3 - Tong quan ve Firewall cua Windows Server 2008 voi tinh nang bao mat nang cao - Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

27-06-2009, 03:19 PM

Tổng quan về Firewall của Windows Server 2008 với tính năng bảo mật nâng cao (tiếp phần 3)

Thomas Shinder Trong phần 3 giới thiệu về cách tạo một chính sách miền cách lý bằng cách sử dụng giao diện điều khiển IPsec và Windows Firewall with Advanced Security tích hợp trong Windows Server 2008 Group Policy Editor, chúng tôi đã giới thiệu cho các bạn cách cấu hình chính sách IPsec mặc định để sử dụng mã hóa ESP trên kết nối được bảo vệ bởi IPsec, sau đó là giới thiệu về cách tạo rule chính sách IPsec cho các domain controller.
Trong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạn về cách tạo chính sách miền cách ly IPsec trong một mạng đơn giản, tạo một rule miền cách ly cho máy chủ và máy khách yêu cầu bảo mật (thẩm định quyền), cấu hình máy chủ để sử dụng các kết nối ping gửi đến chúng nhằm kiểm tra rule vừa tạo. Cuối cùng của phần này la kiểm tra rule để xác nhận rằng IPsec được sử dụng cho các kết nối và kết nối đó được mã hóa bằng ESP.
Tạo một rule miền cách ly cho máy chủ và khách
Rule tiếp theo chúng ta sẽ tạo là cách ly miền cho máy chủ và khách. Rule này sẽ không yêu cầu bảo mật giống như các rule trước mà chúng ta đã tạo cho các kết nối với domain controller. Nó chỉ yêu cầu sự thẩm định quyền và bảo mật khi các thành viên miền kết nối với nhau. Yêu cầu sự thẩm định quyền cho các kết nối gửi đến, bảo mật cho các kết nối gửi đi.
Khi bạn yêu cầu bảo mật cho kết nối gửi đến, cần yêu cầu các máy tính muốn kết nối đến thành viên miền phải thẩm định quyền đối với thành viên miền đó bằng Kerberos. Nếu máy tính đó không thẩm định quyền cũng đồng nghĩa kết nối đó sẽ bị thất bại. Nếu máy tính có thể thẩm định quyền thì kết nối đó sẽ được cho phép. Rule này cho phép các thành viên có thể thiết lập các kết nối an toàn với nhau trong khi đó vẫn cho phép các thành viên miền kết nối với các thành viên không thuộc miền (thành viên không thể thẩm định quyền).
Điều hướng đến nút Connection Security Rules ở panel bên trái của Group Policy Editor như những gì bạn đã thực hiện khi tạo rule trước.
Kích chuột phải vào Connection Security Rules, sau đó kích New Rule.

Hình 1

Trong trang Rule Type, hãy chọn tùy chọn Isolation và kích Next.

Hình 2

Trong trang Authentication Method, chọn Default và kích Next.

Hình 3

Trong trang Name, đặt tên cho rule. Trong ví dụ này chúng tôi đặt là Client/Server Domain Isolation và nhập vào đó chỉ dẫn Encrypts and secure connections between all machines that are not DCs or infrastructure servers (DNS, DHCP, Default Gateway, WINS).
Kích Next.

Hình 4

Lưu ý rule trong danh sách các rule bảo mật kết nối. Bạn có thể sẽ phân vân liệu chúng ta sẽ gặp phải vấn đề nào đó ở đây không, vì Client/Server Domain Isolation rule có tất cả các địa chỉ IP, trong đó có cả các địa chỉ IP của domain controller.
Tuy nhiên điều này không gây ảnh hưởng gì vì các rule được đánh giá từ cụ thể nhất đến kém cụ thể nhất. Chính vì vậy, rule cụ thể hơn sẽ được đánh giá trước rule kém cụ thể hơn. Trong trường hợp hai rule mà chúng ta có ở đây, DC Request Security rule cụ thể hơn vì Endpoint 2 là một địa chỉ IP cụ thể, còn Client/Server Domain Isolation rule thì Endpoint 2 là bất kỳ địa chỉ IP nào.

Hình 5

Lưu ý nữa, trong môi trường sản xuất chúng ta cần phải tạo một số rule ngoại lệ cho một số thiết bị nào đó được miễn thẩm định quyền. DHCP, DNS, WINS và các địa chỉ gateway mặc định cần phải được sử dụng bởi các máy không phải là thành viên miền và như vậy không thể thẩm định quyền bằng Kerberos.
Tạo Firewall Rule để cho phép Ping gửi đến
Để kiểm tra cấu hình, bạn có thể sử dụng lệnh ping để ping đến máy chủ từ một máy khách Vista nào đó. Để thực hiện, cần phải cho phép các ping ICMP gửi yêu cầu tới được máy chủ test. Tạo mọt rule cho phép máy khách Vista có thể ping đến máy chủ bằng Windows Firewall with Advanced Security MMC.
Trên máy chủ, bạn hãy mở Windows Firewall with Advanced Security từ Administrative Tools menu.
Bên trái panel giao diện điều khiển Windows Firewall with Advanced Security, hãy kích chuột phải vào nút Inbound Rules trong panel bên trái và kích tiếp New Rule.

Hình 6

Trong trang Rule Type, chọn tùy chọn Custom và kích Next.

Hình 7

Trong trang Program, chọn tùy chọn All Programs và kích Next.

Hình 8

Trong trang Protocol and Ports, kích mũi tên chỉ xuống trong danh sách Protocol Type và chọn tùy chọn ICMPv4.
Kích nút Customize. Trong hộp thoại Customize ICMP Settings, chọn tùy chọn Specific ICMP types. Sau đó hãy tích vào hộp kiểm Echo Request. Kích OK.

Hình 9

Kích Next trong trang Protocol and Ports.

Hình 10

Trong hộp thoại Scope, sử dụng các thiết lập mặc định cho các địa chỉ IP từ xa và cục bộ, Any IP address. Kích Next.

Hình 11

Trong trang Action, chọn tùy chọn Allow the connection và kích Next.

Hình 12

Trong trang Profile, remove các dấu chọn từ các hộp chọn Private và Public và kích Next.

Hình 13

Trong trang Name, hãy đặt tên cho rule. Trong ví dụ này chúng tôi đặt tên cho nó là Allow ICMP Request. Sau đó kích Finish.

Hình 14

Bạn có thể thấy Allow ICMP Request rule trong danh sách các rule gửi đến.

Hình 15

Quan sát hành động của bảo mật kết nối
OK, lúc này chúng ta đã sẵn sàng để xem xem mọi thứ có làm việc hay không! Hãy vào máy chủ và mở giao diện điều khiển Windows Firewall with Advanced Security, kích nút Connection Security Rules trong phần panel bên trái của giao diện. Bạn cần phải thấy các rule mà mình đã tạo trong Group Policy. Nếu không thấy các rule này, hãy thực hiện theo hướng dẫn sau:

Tại domain controller, mở một nhắc lệnh và đánh gpupdate /force, sau đó nhấn ENTER để cập nhật Group Policy trên domain controller.
Sau khi cập nhật Group Policy trên domain controller, hãy cập nhật Group Policy trên máy chủ bằng cách mở một nhắc lệnh và đánh gpupdate /force, nhấn ENTER để cập nhật Group Policy cho máy chủ.
Nếu vẫn không thấy làm việc, bạn hãy thử khởi động lại máy chủ và đăng nhập trở lại.

Sau đó refresh toàn bộ quang cảnh của Connection Security Rules trên máy chủ để xem danh sách được cập nhật của các rule này. Đây là một danh sách tương tự như vậy mà bạn thấy trong Group Policy Editor.

Hình 16

Kích nút Main Mode trong phần panel bên trái của giao diện điều khiển. Bạn phải thấy được máy chủ đã được thiết lập các kết nối an toàn cho cả domain controller và máy khách Vista. Nếu không thấy các kết nối an toàn đến máy khách Vista, hãy thực hiện theo các hướng dẫn sau:

Chạy gpupdate /force trene máy khách Vista
Cấu hình Connection Security Rules đã được áp dụng trên máy khách Vista bằng cách kiểm tra chúng trong Windows Firewall with Advanced Security MMC snap-in trên máy khách này.
Nếu không thấy làm việc, bạn hãy khởi độnglại máy khách
Ping đến máy khách Vista từ máy chủ

Sau khi thực hiện các bước này, bạn cần phải thấy các kết nối IPsec an toàn giữa máy chủ và domain controller và máy khách Vista.

Hình 17

Khi bạn kích đúp vào một trong các entry trong phần panel chi tiết của nút Main Mode, bạn có thể thấy các thông tin chi tiết của kết nối an toàn.

Hình 18

Kích nút Quick Mode trong panel bên trái của giao diện điều khiển. Bạn cần phải thấy được các kết nối an toàn cho cả domain controller và máy khách Vista.

Hình 19

Nếu kích đúp vào một trong các entry trong panel chi tiết của nút Quick Mode, bạn sẽ thấy các thông tin chi tiết của kết nối. Lưu ý rằng ESP confidentiality được sử dụng và đang sử dụng mã hóa AES-128 bit. Điều này có nghĩa rằng kết nối này hoàn toàn an toàn trên mạng và không thể bị đánh cắp bởi kẻ xâm nhập.

Hình 20

Kết luận
Trong phần này chúng tôi đã giới thiệu cho các bạn cách cấu hình rule miền cách ly cho máy chủ và khách, sau đó đã cấu hình tường lửa trên máy chủ để cho phép các yêu cầu ping gửi đến. Cũng trong bài này chúng ta đã kiểm tra xem mọi thứ có làm việc tốt như mong đợi hay không bằng cách sử dụng các tính năng kiểm tra có trong giao diện điều khiển Windows Firewall with Advanced Security. Phần này cũng tập trung vào cách tạo một chính sách miền cách ly đơn giản để minh chứng cho việc cấu hình các chính sách miền cách ly bằng các công cụ mới có trong Windows Server 2008 và Vista là hoàn toàn dễ dàng. Quan trọng hơn nữa, chúng tôi còn minh chứng được cho các bạn cách sử dụng Group Policy để tập trung cấu hình để có được chính sách cách ly miền là một giải pháp quản lý tập trung.
Trong phần tiếp theo của loạt bài này chúng tôi sẽ minh chứng cho các bạn về sự cách ly máy chủ. Sự hữu dụng của nó như thế nào khi các máy tính không phải là thành viên miền. Trong trường hợp đó chúng tôi sẽ giới thiệu cách sử dụng các phương pháp thẩm định quyền để bảo vệ các kết nối giữa các máy tính không phải là thành viên miền.

Văn Linh (Theo Quantrimang - Windows Security)

27-06-2009, 03:19 PM	#1
hoctinhoc Guest Trả Lời: n/a	phần 3 - Tổng quan về Firewall của Windows Server 2008 với tính năng bảo mật nâng cao Tổng quan về Firewall của Windows Server 2008 với tính năng bảo mật nâng cao (tiếp phần 3) Thomas Shinder Trong phần 3 giới thiệu về cách tạo một chính sách miền cách lý bằng cách sử dụng giao diện điều khiển IPsec và Windows Firewall with Advanced Security tích hợp trong Windows Server 2008 Group Policy Editor, chúng tôi đã giới thiệu cho các bạn cách cấu hình chính sách IPsec mặc định để sử dụng mã hóa ESP trên kết nối được bảo vệ bởi IPsec, sau đó là giới thiệu về cách tạo rule chính sách IPsec cho các domain controller. Trong phần tiếp theo này chúng tôi sẽ giới thiệu cho các bạn về cách tạo chính sách miền cách ly IPsec trong một mạng đơn giản, tạo một rule miền cách ly cho máy chủ và máy khách yêu cầu bảo mật (thẩm định quyền), cấu hình máy chủ để sử dụng các kết nối ping gửi đến chúng nhằm kiểm tra rule vừa tạo. Cuối cùng của phần này la kiểm tra rule để xác nhận rằng IPsec được sử dụng cho các kết nối và kết nối đó được mã hóa bằng ESP. Tạo một rule miền cách ly cho máy chủ và khách Rule tiếp theo chúng ta sẽ tạo là cách ly miền cho máy chủ và khách. Rule này sẽ không yêu cầu bảo mật giống như các rule trước mà chúng ta đã tạo cho các kết nối với domain controller. Nó chỉ yêu cầu sự thẩm định quyền và bảo mật khi các thành viên miền kết nối với nhau. Yêu cầu sự thẩm định quyền cho các kết nối gửi đến, bảo mật cho các kết nối gửi đi. Khi bạn yêu cầu bảo mật cho kết nối gửi đến, cần yêu cầu các máy tính muốn kết nối đến thành viên miền phải thẩm định quyền đối với thành viên miền đó bằng Kerberos. Nếu máy tính đó không thẩm định quyền cũng đồng nghĩa kết nối đó sẽ bị thất bại. Nếu máy tính có thể thẩm định quyền thì kết nối đó sẽ được cho phép. Rule này cho phép các thành viên có thể thiết lập các kết nối an toàn với nhau trong khi đó vẫn cho phép các thành viên miền kết nối với các thành viên không thuộc miền (thành viên không thể thẩm định quyền). Điều hướng đến nút Connection Security Rules ở panel bên trái của Group Policy Editor như những gì bạn đã thực hiện khi tạo rule trước. Kích chuột phải vào Connection Security Rules, sau đó kích New Rule. Hình 1 Trong trang Rule Type, hãy chọn tùy chọn Isolation và kích Next. Hình 2 Trong trang Authentication Method, chọn Default và kích Next. Hình 3 Trong trang Name, đặt tên cho rule. Trong ví dụ này chúng tôi đặt là Client/Server Domain Isolation và nhập vào đó chỉ dẫn Encrypts and secure connections between all machines that are not DCs or infrastructure servers (DNS, DHCP, Default Gateway, WINS). Kích Next. Hình 4 Lưu ý rule trong danh sách các rule bảo mật kết nối. Bạn có thể sẽ phân vân liệu chúng ta sẽ gặp phải vấn đề nào đó ở đây không, vì Client/Server Domain Isolation rule có tất cả các địa chỉ IP, trong đó có cả các địa chỉ IP của domain controller. Tuy nhiên điều này không gây ảnh hưởng gì vì các rule được đánh giá từ cụ thể nhất đến kém cụ thể nhất. Chính vì vậy, rule cụ thể hơn sẽ được đánh giá trước rule kém cụ thể hơn. Trong trường hợp hai rule mà chúng ta có ở đây, DC Request Security rule cụ thể hơn vì Endpoint 2 là một địa chỉ IP cụ thể, còn Client/Server Domain Isolation rule thì Endpoint 2 là bất kỳ địa chỉ IP nào. Hình 5 Lưu ý nữa, trong môi trường sản xuất chúng ta cần phải tạo một số rule ngoại lệ cho một số thiết bị nào đó được miễn thẩm định quyền. DHCP, DNS, WINS và các địa chỉ gateway mặc định cần phải được sử dụng bởi các máy không phải là thành viên miền và như vậy không thể thẩm định quyền bằng Kerberos. Tạo Firewall Rule để cho phép Ping gửi đến Để kiểm tra cấu hình, bạn có thể sử dụng lệnh ping để ping đến máy chủ từ một máy khách Vista nào đó. Để thực hiện, cần phải cho phép các ping ICMP gửi yêu cầu tới được máy chủ test. Tạo mọt rule cho phép máy khách Vista có thể ping đến máy chủ bằng Windows Firewall with Advanced Security MMC. Trên máy chủ, bạn hãy mở Windows Firewall with Advanced Security từ Administrative Tools menu. Bên trái panel giao diện điều khiển Windows Firewall with Advanced Security, hãy kích chuột phải vào nút Inbound Rules trong panel bên trái và kích tiếp New Rule. Hình 6 Trong trang Rule Type, chọn tùy chọn Custom và kích Next. Hình 7 Trong trang Program, chọn tùy chọn All Programs và kích Next. Hình 8 Trong trang Protocol and Ports, kích mũi tên chỉ xuống trong danh sách Protocol Type và chọn tùy chọn ICMPv4. Kích nút Customize. Trong hộp thoại Customize ICMP Settings, chọn tùy chọn Specific ICMP types. Sau đó hãy tích vào hộp kiểm Echo Request. Kích OK. Hình 9 Kích Next trong trang Protocol and Ports. Hình 10 Trong hộp thoại Scope, sử dụng các thiết lập mặc định cho các địa chỉ IP từ xa và cục bộ, Any IP address. Kích Next. Hình 11 Trong trang Action, chọn tùy chọn Allow the connection và kích Next. Hình 12 Trong trang Profile, remove các dấu chọn từ các hộp chọn Private và Public và kích Next. Hình 13 Trong trang Name, hãy đặt tên cho rule. Trong ví dụ này chúng tôi đặt tên cho nó là Allow ICMP Request. Sau đó kích Finish. Hình 14 Bạn có thể thấy Allow ICMP Request rule trong danh sách các rule gửi đến. Hình 15 Quan sát hành động của bảo mật kết nối OK, lúc này chúng ta đã sẵn sàng để xem xem mọi thứ có làm việc hay không! Hãy vào máy chủ và mở giao diện điều khiển Windows Firewall with Advanced Security, kích nút Connection Security Rules trong phần panel bên trái của giao diện. Bạn cần phải thấy các rule mà mình đã tạo trong Group Policy. Nếu không thấy các rule này, hãy thực hiện theo hướng dẫn sau: Tại domain controller, mở một nhắc lệnh và đánh gpupdate /force, sau đó nhấn ENTER để cập nhật Group Policy trên domain controller. Sau khi cập nhật Group Policy trên domain controller, hãy cập nhật Group Policy trên máy chủ bằng cách mở một nhắc lệnh và đánh gpupdate /force, nhấn ENTER để cập nhật Group Policy cho máy chủ. Nếu vẫn không thấy làm việc, bạn hãy thử khởi động lại máy chủ và đăng nhập trở lại. Sau đó refresh toàn bộ quang cảnh của Connection Security Rules trên máy chủ để xem danh sách được cập nhật của các rule này. Đây là một danh sách tương tự như vậy mà bạn thấy trong Group Policy Editor. Hình 16 Kích nút Main Mode trong phần panel bên trái của giao diện điều khiển. Bạn phải thấy được máy chủ đã được thiết lập các kết nối an toàn cho cả domain controller và máy khách Vista. Nếu không thấy các kết nối an toàn đến máy khách Vista, hãy thực hiện theo các hướng dẫn sau: Chạy gpupdate /force trene máy khách Vista Cấu hình Connection Security Rules đã được áp dụng trên máy khách Vista bằng cách kiểm tra chúng trong Windows Firewall with Advanced Security MMC snap-in trên máy khách này. Nếu không thấy làm việc, bạn hãy khởi độnglại máy khách Ping đến máy khách Vista từ máy chủ Sau khi thực hiện các bước này, bạn cần phải thấy các kết nối IPsec an toàn giữa máy chủ và domain controller và máy khách Vista. Hình 17 Khi bạn kích đúp vào một trong các entry trong phần panel chi tiết của nút Main Mode, bạn có thể thấy các thông tin chi tiết của kết nối an toàn. Hình 18 Kích nút Quick Mode trong panel bên trái của giao diện điều khiển. Bạn cần phải thấy được các kết nối an toàn cho cả domain controller và máy khách Vista. Hình 19 Nếu kích đúp vào một trong các entry trong panel chi tiết của nút Quick Mode, bạn sẽ thấy các thông tin chi tiết của kết nối. Lưu ý rằng ESP confidentiality được sử dụng và đang sử dụng mã hóa AES-128 bit. Điều này có nghĩa rằng kết nối này hoàn toàn an toàn trên mạng và không thể bị đánh cắp bởi kẻ xâm nhập. Hình 20 Kết luận Trong phần này chúng tôi đã giới thiệu cho các bạn cách cấu hình rule miền cách ly cho máy chủ và khách, sau đó đã cấu hình tường lửa trên máy chủ để cho phép các yêu cầu ping gửi đến. Cũng trong bài này chúng ta đã kiểm tra xem mọi thứ có làm việc tốt như mong đợi hay không bằng cách sử dụng các tính năng kiểm tra có trong giao diện điều khiển Windows Firewall with Advanced Security. Phần này cũng tập trung vào cách tạo một chính sách miền cách ly đơn giản để minh chứng cho việc cấu hình các chính sách miền cách ly bằng các công cụ mới có trong Windows Server 2008 và Vista là hoàn toàn dễ dàng. Quan trọng hơn nữa, chúng tôi còn minh chứng được cho các bạn cách sử dụng Group Policy để tập trung cấu hình để có được chính sách cách ly miền là một giải pháp quản lý tập trung. Trong phần tiếp theo của loạt bài này chúng tôi sẽ minh chứng cho các bạn về sự cách ly máy chủ. Sự hữu dụng của nó như thế nào khi các máy tính không phải là thành viên miền. Trong trường hợp đó chúng tôi sẽ giới thiệu cách sử dụng các phương pháp thẩm định quyền để bảo vệ các kết nối giữa các máy tính không phải là thành viên miền. *Văn Linh (Theo Quantrimang - Windows Security)*

Chia Sẽ Kinh Nghiệm Về IT