Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 20-05-2009, 07:57 PM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
[IPSEC] Cấm duyệt Web
[IPSEC] Cấm duyệt Web Làm sao để ngăn truy cập web bằng IPSEC ? Vì lý do nào đó, bạn cần cấm user truy cập web, nhất là trong những giờ làm việc hay những giờ đặc biệt nào đó. Có nhiều cách thực hiện, ISA là một cách tốt để làm việc này. Tuy nhiên, với những hệ thống không có ISA thì sao ? Yên tâm, đã có IPSEC đảm nhiệm việc đó

Trên hệ thống Windows 2000/XP/2003 có tích hợp sẵn tính năng IP Security, gọi là IPSEC. IPSEC là một giao thức (protocol) được xây dựng để bảo vệ TCP/IP cá nhân trong môi trường network bằng cách "public key encryption" ... Các bạn có thể đọc thêm bài IPSEC tại Nhất Nghệ. Bài viết dưới đây trích một phần từ môn học IPSEC, sẽ mô tả cách thực hiện điều này


Block một máy tính không cho truy cập web

- Mở cửa sổ MMC : Start > Run > MMC
- Thêm vào IP Security and Policy Management Snap-In như hình bên dưới

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở mục chọn Computer, chọn local computer

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Click phải vào MMC console bên trái, chọn Manage IP Filter Lists and Filter Actions

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Manage IP Filter Lists and Filter Actions, chọn Add

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ IP Filter List, điền tên Policy và chọn Add

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Welcome, chọn Next
- Ở phần mô tả Policy, bạn có thể điền vào hoặc không.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ IP Traffic Source, chọn My IP Address và chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ IP Traffic Destination, chọn Any IP Address và chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ IP Protocol Type, chọn TCP

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ IP Protocol Port, chọn Port 80 (port HTTP) như hình dưới

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ IP Filter List sẽ hiển thị phần IP Filter bạn vừa Add. Tại đây, bạn có thể lập lại bước trên với HTTPS port 443 (Any IP to Any IP, Protocol TCP, Destination Port 443)

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

Khi đã setup cả 2 port HTTP và HTTPS (port 80 và port 443), bạn có thể Click OK.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

Bạn có thể block không cho truy cập internet, nhưng vẫn có thể cho truy cập Web nội bộ (intranet). LDP hẹn sẽ cập nhật phần đó ở một bài viết khác

(còn tiếp ở bài viết kế)
__________________
Lê Duy Phương - Network Consulting and Services Team
Y!M: ldphuong13
Phone: 0906.760.770
Email: lephuong@ncsteam.com
Website: www.ncsteam.com




LDP Xem hồ sơ Gởi nhắn tin tới LDP Tới trang web của LDP Tìm bài gởi bởi LDP








Tiếp tục, trở về cửa sổ Manage IP Filter Lists and Filter Actions, bạn chọn Manage Filter Actions. Bây giờ, chúng ta sẽ block các traffic như chúng ta muốn. Các bạn chọn Add

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Filter Action Name, gõ Block và click Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

Ở cửa sổ Filter Action General Options, chọn Block và click Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Quay về cửa sổ Manage IP Filter Lists and Filter Actions, bạn có thể Add thêm các Filter khác

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

Bước kế tiếp, chúng ta sẽ thết lập, tinh chỉnh IPSEC Policy và áp dụng nó.


Thiết lập IPSec Policy

- Ở cửa sổ IPSEC MMC, chọn IP Security Policies on Local Computer và chọn Create IP Security Policy.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở màn hình Welcome chọn Next
- Ở cửa sổ IP Security Policy Name, điền một cái mô tả nào đó cho dễ nhớ như "Block tất tần tật Web" Chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Request for Secure Communication, click bỏ chọn Active the Default Response Rule và chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Completing IP Security Policy Wizard, chọn Finish.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

Chúng ta cần Add các IP Filters and Filter Actions ở Policy "Block tất tần tật Web" vừa tạo. Ở cửa sổ IPSec Policy, chọn Add

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Welcome, chọn Next
- Ở cửa sổ Tunnel Endpoint, chọn "The rule does not specify a tunnel", chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Network Type, chọn All Network Connections và chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ IP Filter List, chọn phần IP Filters đã tạo ở bước trước (bước 6 thì phải ). Vì một lý do nào đó, bạn chưa thiết lập IP Filter, bạn có thể Add lại. Sau đó chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Filter Action, chọn Filter Actions "Block" đã tạo. Nếu chưa tạo thì cứ Add lại Chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Kiểm tra chắc chắn IP Filter đã được chọn. Chọn OK

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

Xong rồi. Giờ đến phần áp dụng. Ở IPSEC MMC, click phải IPSEC Policies vừa tạo, chọn Assign

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

Rồi. Test duyệt Web thử xem
__________________
Lê Duy Phương - Network Consulting and Services Team
Y!M: ldphuong13
Phone: 0906.760.770
Email: lephuong@ncsteam.com
Website: www.ncsteam.com
thay đổi nội dung bởi: LDP, 08-03-2007 lúc 07:29.
LDP Xem hồ sơ Gởi nhắn tin tới LDP Tới trang web của LDP Tìm bài gởi bởi LDP

#3
04-03-2007, 23:47

LDP
Non-Stop
Tham gia ngày: Oct 2006
Nơi Cư Ngụ: NhatNghe
Bài gởi: 1,879


[IPSEC] Cấm truy cập Internet, nhưng cho phép truy cập LAN
Bài viết trước mô tả cách thực hiện việc cấm user truy cập Internet thông qua Web (port 80 và 443). Các bạn có thể tùy biến việc cấm truy cập Chat, Mail hay chơi Game Online ... bằng cách Add thêm các port tương ứng.
Bài viết tiếp theo về IPSEC, các bạn sẽ cấm truy cập Internet, nhưng vẫn cho phép truy cập Web, Mail .. ở Local Network.

LDP sẽ vẫn tiếp tục dùng port 80 và 443 để làm ví dụ ở bài viết này. Nhắc lại, các bạn có thể tùy biến với các services khác

Bước đầu tiên, các bạn vẫn làm theo bài viết Add HTTP và HTTPS như bài viết này : http://nhatnghe.com/forum/showpost.p...90&postcount=1
Chúng ta sẽ chỉ phải tiếp tục ở phần thứ 2.

- Ở cửa sổ Manage IP Filter Lists and Filter Actions, chúng ta Add một Filter mới

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Điền tên Filter mới, ví dụ như Intranet, chọn Add

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ IP Traffic Source, chọn My IP Address, chọn Next
- Ở cửa sở IP Traffic Destination :
  • Nếu bạn chỉ muốn cho phép truy cập đến 1 Server hay PC nào đó ở Local, bạn chọn Specific DNS Name. Ở hình ví dụ dưới đây là cho phép truy cập đến PC có tên là server200

    Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534
    Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534
  • Nếu bạn muốn cho phép truy cập cả một Local Network hay một Range IP, bạn có thể chọn A Specific IP Subnet

    Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Trở về cửa sổ IP Filter list, Add các filter như bạn muốn (port 80 va 443 chẳng hạn)

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Trở về cửa sổ Manage IP Filter Lists and Filter Actions, chọn Tab Manage Filter Actions. Bây giờ, chúng ta sẽ block các traffic như chúng ta muốn. Các bạn chọn Add

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở màn hình Welcome, chọn Next
- Ở Filter Action Name, gõ Block, chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Filter Action General Options, click Block, chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Trở về cửa sổ Manage IP Filter Lists and Filter Actions, xem lại các filter của bạn đã set. Bạn có thể Add thêm các Filter khác nếu cần thiết. Sau đó chọn Close. Bước kế tiếp, chúng ta sẽ thết lập, tinh chỉnh IPSEC Policy và áp dụng nó.


Thiết lập IPSec Policy

- Ở cửa sổ IPSEC MMC, chọn IP Security Policies on Local Computer và chọn Create IP Security Policy.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở màn hình Welcome chọn Next
- Ở cửa sổ IP Security Policy Name, điền tên miêu tả Filter. Ví dụ như "cấm truy cập internet, nhưng cho phép truy cập LAN". Chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Tiếp theo, tại cửa sổ Request for Secure Communication, click bỏ chọn Active the Default Response Rule, chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Tại Completing IP Security Policy Wizard, chọn Finish

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

Chúng ta cần Add các IP Filters and Filter Actions ở Policy "cấm truy cập internet, nhưng cho phép truy cập LAN" vừa tạo. Ở cửa sổ IPSec Policy, chọn Add

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Welcome, chọn Next
- Ở cửa sổ Tunnel Endpoint, chọn "The rule does not specify a tunnel", chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Network Type, chọn All Network Connections và chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ IP Filter List, chọn phần IP Filters (ví dụ HTTP - HTTPS) chúng ta đã tạo ở bước trước. Một lần nữa, vì một lý do nào đó, bạn chưa thiết lập IP Filter, bạn có thể Add lại. Sau đó chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Filter Action, chọn Filter Actions "Block" đã tạo. Lại một lần nữa, nếu các bạn chưa tạo thì cứ Add lại. Chọn Next

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Trở về cửa sổ IPSec Policy, kiểm tra chắc chắn rằng Filter (HTTP - HTTPS) đã được chọn.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Làm lại các bước Add các IP Filters and Filter Actions ở Policy "cấm truy cập internet, nhưng cho phép truy cập LAN", nhưng lần này với Policy "Intranet"

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Lần này, với "Intranet" chúng ta không chọn Block nữa mà chúng ta chọn Permit.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Xong rồi. Kiểm tra lại để chắc là chúng ta có 2 Filter được đánh dấu.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

Giờ chỉ cần chúng ta áp policies là xong.

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

Sau khi Assign Policy, các bạn có thể test truy cập trang web nhatnghe.com hay nhatnghe.vn hay bất kì trang web khác các bạn biết. Chắc chắn các bạn sẽ không truy cập được (với đk là các bạn làm đúng các bước trên nhé ). Tuy không truy cập web ở internet được, các bạn vẫn có thể truy cập web ở Local Lan được. Hông tin ? Truy cập vào trang quản lý modem hay một webserver nào ở Local xem


Sau khi đã test thành công trên một PC, các bạn có thể export Policies vừa rồi và import vào PC khác, hay áp Policy từ GPO. Cách export và import các bạn có thể thực hiện theo các bước sau :

- Tại IP Security and Policy Management Snap-In (IPSEC MMC), chọn All Task, chọn Export Policies. Tương tự là Import Policies.


Một điều nhắn nho nhỏ : IPSEC không thể thay thế được một hệ thống Firewall ISA Server đúng nghĩa. Chúng ta có thể chặn không cho truy cập Web, Mail, hay Chat Chit ... bằng IPSEC, như các bài viết vừa qua. Tuy nhiên, đây chỉ là một biện pháp thủ công nhất thời khi mà Network chúng ta chưa có một hệ thống Firewall ISA Server. Với ISA Server, các bạn có thể làm điều trên một cách dễ dàng và gọn lẹ, không cần phải đi từng máy áp Policies hay áp Policies từ DC xuống các Client một cách phức tạp và mất thời gian như thế.
__________________
Lê Duy Phương - Network Consulting and Services Team
Y!M: ldphuong13
Phone: 0906.760.770
Email: lephuong@ncsteam.com
Website: www.ncsteam.com
thay đổi nội dung bởi: LDP, 05-03-2007 lúc 00:22.
LDP Xem hồ sơ Gởi nhắn tin tới LDP Tới trang web của LDP Tìm bài gởi bởi LDP

#4
08-03-2007, 07:30

LDP
Non-Stop
Tham gia ngày: Oct 2006
Nơi Cư Ngụ: NhatNghe
Bài gởi: 1,879


Hôm nọ nói về vấn đề website khách hàng của LDP bị attack, và LDP đã tạm thời ngăn chặn được nhờ IPSEC. Nay LDP sẽ mô tả lại việc mình dùng IPSEC như thế nào để ngăn cấm một IP hay một range IP truy xuất đến server của mình.

- Mở IPSEC mmc lên. Right click chọn Manage IP Filter Lists and Filter Actions

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ Manage IP Filter Lists and Filter Actions, chọn Add

Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534

- Ở cửa sổ IP Filter List, điền tên Policy "Block Attack IP" và chọn Add



- Ở cửa sổ Welcome, chọn Next
- Ở phần mô tả Policy, bạn có thể điền vào hoặc không.
- Ở cửa sổ IP Traffic Source, chọn A Special IP Address, điền IP của attacker vào và chọn Next. Để có IP của attacker, bạn cần phải check IIS log.



- Ở cửa sổ IP Traffic Destination, chọn My IP Address và chọn Next
- Ở cửa sổ IP Protocol Type, chọn Any



- Chọn Finish

Lê Duy Phương Y!M: ldphuong13
Phone: 0906.760.770
  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 05:35 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.