|
||||||||
|
||||||||
|
|
Công Cụ | Xếp Bài |
20-05-2009, 08:57 PM | #1 |
Guest
Trả Lời: n/a
|
[IPSEC] Cấm duyệt Web
[IPSEC] Cấm duyệt Web Làm sao để ngăn truy cập web bằng IPSEC ? Vì lý do nào đó, bạn cần cấm user truy cập web, nhất là trong những giờ làm việc hay những giờ đặc biệt nào đó. Có nhiều cách thực hiện, ISA là một cách tốt để làm việc này. Tuy nhiên, với những hệ thống không có ISA thì sao ? Yên tâm, đã có IPSEC đảm nhiệm việc đó
Trên hệ thống Windows 2000/XP/2003 có tích hợp sẵn tính năng IP Security, gọi là IPSEC. IPSEC là một giao thức (protocol) được xây dựng để bảo vệ TCP/IP cá nhân trong môi trường network bằng cách "public key encryption" ... Các bạn có thể đọc thêm bài IPSEC tại Nhất Nghệ. Bài viết dưới đây trích một phần từ môn học IPSEC, sẽ mô tả cách thực hiện điều này Block một máy tính không cho truy cập web - Mở cửa sổ MMC : Start > Run > MMC - Thêm vào IP Security and Policy Management Snap-In như hình bên dưới Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở mục chọn Computer, chọn local computer Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Click phải vào MMC console bên trái, chọn Manage IP Filter Lists and Filter Actions Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Manage IP Filter Lists and Filter Actions, chọn Add Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ IP Filter List, điền tên Policy và chọn Add Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Welcome, chọn Next - Ở phần mô tả Policy, bạn có thể điền vào hoặc không. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ IP Traffic Source, chọn My IP Address và chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ IP Traffic Destination, chọn Any IP Address và chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ IP Protocol Type, chọn TCP Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ IP Protocol Port, chọn Port 80 (port HTTP) như hình dưới Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ IP Filter List sẽ hiển thị phần IP Filter bạn vừa Add. Tại đây, bạn có thể lập lại bước trên với HTTPS port 443 (Any IP to Any IP, Protocol TCP, Destination Port 443) Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Khi đã setup cả 2 port HTTP và HTTPS (port 80 và port 443), bạn có thể Click OK. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Bạn có thể block không cho truy cập internet, nhưng vẫn có thể cho truy cập Web nội bộ (intranet). LDP hẹn sẽ cập nhật phần đó ở một bài viết khác (còn tiếp ở bài viết kế) __________________ Lê Duy Phương - Network Consulting and Services Team Y!M: ldphuong13 Phone: 0906.760.770 Email: lephuong@ncsteam.com Website: www.ncsteam.com LDP Xem hồ sơ Gởi nhắn tin tới LDP Tới trang web của LDP Tìm bài gởi bởi LDP Tiếp tục, trở về cửa sổ Manage IP Filter Lists and Filter Actions, bạn chọn Manage Filter Actions. Bây giờ, chúng ta sẽ block các traffic như chúng ta muốn. Các bạn chọn Add Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Filter Action Name, gõ Block và click Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Ở cửa sổ Filter Action General Options, chọn Block và click Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Quay về cửa sổ Manage IP Filter Lists and Filter Actions, bạn có thể Add thêm các Filter khác Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Bước kế tiếp, chúng ta sẽ thết lập, tinh chỉnh IPSEC Policy và áp dụng nó. Thiết lập IPSec Policy - Ở cửa sổ IPSEC MMC, chọn IP Security Policies on Local Computer và chọn Create IP Security Policy. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở màn hình Welcome chọn Next - Ở cửa sổ IP Security Policy Name, điền một cái mô tả nào đó cho dễ nhớ như "Block tất tần tật Web" Chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Request for Secure Communication, click bỏ chọn Active the Default Response Rule và chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Completing IP Security Policy Wizard, chọn Finish. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Chúng ta cần Add các IP Filters and Filter Actions ở Policy "Block tất tần tật Web" vừa tạo. Ở cửa sổ IPSec Policy, chọn Add Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Welcome, chọn Next - Ở cửa sổ Tunnel Endpoint, chọn "The rule does not specify a tunnel", chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Network Type, chọn All Network Connections và chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ IP Filter List, chọn phần IP Filters đã tạo ở bước trước (bước 6 thì phải ). Vì một lý do nào đó, bạn chưa thiết lập IP Filter, bạn có thể Add lại. Sau đó chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Filter Action, chọn Filter Actions "Block" đã tạo. Nếu chưa tạo thì cứ Add lại Chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Kiểm tra chắc chắn IP Filter đã được chọn. Chọn OK Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Xong rồi. Giờ đến phần áp dụng. Ở IPSEC MMC, click phải IPSEC Policies vừa tạo, chọn Assign Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Rồi. Test duyệt Web thử xem __________________ Lê Duy Phương - Network Consulting and Services Team Y!M: ldphuong13 Phone: 0906.760.770 Email: lephuong@ncsteam.com Website: www.ncsteam.com thay đổi nội dung bởi: LDP, 08-03-2007 lúc 07:29. LDP Xem hồ sơ Gởi nhắn tin tới LDP Tới trang web của LDP Tìm bài gởi bởi LDP #3 04-03-2007, 23:47 LDP Non-Stop Tham gia ngày: Oct 2006 Nơi Cư Ngụ: NhatNghe Bài gởi: 1,879 [IPSEC] Cấm truy cập Internet, nhưng cho phép truy cập LAN Bài viết trước mô tả cách thực hiện việc cấm user truy cập Internet thông qua Web (port 80 và 443). Các bạn có thể tùy biến việc cấm truy cập Chat, Mail hay chơi Game Online ... bằng cách Add thêm các port tương ứng. Bài viết tiếp theo về IPSEC, các bạn sẽ cấm truy cập Internet, nhưng vẫn cho phép truy cập Web, Mail .. ở Local Network. LDP sẽ vẫn tiếp tục dùng port 80 và 443 để làm ví dụ ở bài viết này. Nhắc lại, các bạn có thể tùy biến với các services khác Bước đầu tiên, các bạn vẫn làm theo bài viết Add HTTP và HTTPS như bài viết này : http://nhatnghe.com/forum/showpost.p...90&postcount=1 Chúng ta sẽ chỉ phải tiếp tục ở phần thứ 2. - Ở cửa sổ Manage IP Filter Lists and Filter Actions, chúng ta Add một Filter mới Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Điền tên Filter mới, ví dụ như Intranet, chọn Add Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ IP Traffic Source, chọn My IP Address, chọn Next - Ở cửa sở IP Traffic Destination :
- Trở về cửa sổ IP Filter list, Add các filter như bạn muốn (port 80 va 443 chẳng hạn) Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Trở về cửa sổ Manage IP Filter Lists and Filter Actions, chọn Tab Manage Filter Actions. Bây giờ, chúng ta sẽ block các traffic như chúng ta muốn. Các bạn chọn Add Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở màn hình Welcome, chọn Next - Ở Filter Action Name, gõ Block, chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Filter Action General Options, click Block, chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Trở về cửa sổ Manage IP Filter Lists and Filter Actions, xem lại các filter của bạn đã set. Bạn có thể Add thêm các Filter khác nếu cần thiết. Sau đó chọn Close. Bước kế tiếp, chúng ta sẽ thết lập, tinh chỉnh IPSEC Policy và áp dụng nó. Thiết lập IPSec Policy - Ở cửa sổ IPSEC MMC, chọn IP Security Policies on Local Computer và chọn Create IP Security Policy. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở màn hình Welcome chọn Next - Ở cửa sổ IP Security Policy Name, điền tên miêu tả Filter. Ví dụ như "cấm truy cập internet, nhưng cho phép truy cập LAN". Chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Tiếp theo, tại cửa sổ Request for Secure Communication, click bỏ chọn Active the Default Response Rule, chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Tại Completing IP Security Policy Wizard, chọn Finish Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Chúng ta cần Add các IP Filters and Filter Actions ở Policy "cấm truy cập internet, nhưng cho phép truy cập LAN" vừa tạo. Ở cửa sổ IPSec Policy, chọn Add Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Welcome, chọn Next - Ở cửa sổ Tunnel Endpoint, chọn "The rule does not specify a tunnel", chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Network Type, chọn All Network Connections và chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ IP Filter List, chọn phần IP Filters (ví dụ HTTP - HTTPS) chúng ta đã tạo ở bước trước. Một lần nữa, vì một lý do nào đó, bạn chưa thiết lập IP Filter, bạn có thể Add lại. Sau đó chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Filter Action, chọn Filter Actions "Block" đã tạo. Lại một lần nữa, nếu các bạn chưa tạo thì cứ Add lại. Chọn Next Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Trở về cửa sổ IPSec Policy, kiểm tra chắc chắn rằng Filter (HTTP - HTTPS) đã được chọn. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Làm lại các bước Add các IP Filters and Filter Actions ở Policy "cấm truy cập internet, nhưng cho phép truy cập LAN", nhưng lần này với Policy "Intranet" Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Lần này, với "Intranet" chúng ta không chọn Block nữa mà chúng ta chọn Permit. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Xong rồi. Kiểm tra lại để chắc là chúng ta có 2 Filter được đánh dấu. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Giờ chỉ cần chúng ta áp policies là xong. Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 Sau khi Assign Policy, các bạn có thể test truy cập trang web nhatnghe.com hay nhatnghe.vn hay bất kì trang web khác các bạn biết. Chắc chắn các bạn sẽ không truy cập được (với đk là các bạn làm đúng các bước trên nhé ). Tuy không truy cập web ở internet được, các bạn vẫn có thể truy cập web ở Local Lan được. Hông tin ? Truy cập vào trang quản lý modem hay một webserver nào ở Local xem Sau khi đã test thành công trên một PC, các bạn có thể export Policies vừa rồi và import vào PC khác, hay áp Policy từ GPO. Cách export và import các bạn có thể thực hiện theo các bước sau : - Tại IP Security and Policy Management Snap-In (IPSEC MMC), chọn All Task, chọn Export Policies. Tương tự là Import Policies. Một điều nhắn nho nhỏ : IPSEC không thể thay thế được một hệ thống Firewall ISA Server đúng nghĩa. Chúng ta có thể chặn không cho truy cập Web, Mail, hay Chat Chit ... bằng IPSEC, như các bài viết vừa qua. Tuy nhiên, đây chỉ là một biện pháp thủ công nhất thời khi mà Network chúng ta chưa có một hệ thống Firewall ISA Server. Với ISA Server, các bạn có thể làm điều trên một cách dễ dàng và gọn lẹ, không cần phải đi từng máy áp Policies hay áp Policies từ DC xuống các Client một cách phức tạp và mất thời gian như thế. __________________ Lê Duy Phương - Network Consulting and Services Team Y!M: ldphuong13 Phone: 0906.760.770 Email: lephuong@ncsteam.com Website: www.ncsteam.com thay đổi nội dung bởi: LDP, 05-03-2007 lúc 00:22. LDP Xem hồ sơ Gởi nhắn tin tới LDP Tới trang web của LDP Tìm bài gởi bởi LDP 08-03-2007, 07:30 LDP Non-Stop Tham gia ngày: Oct 2006 Nơi Cư Ngụ: NhatNghe Bài gởi: 1,879 Hôm nọ nói về vấn đề website khách hàng của LDP bị attack, và LDP đã tạm thời ngăn chặn được nhờ IPSEC. Nay LDP sẽ mô tả lại việc mình dùng IPSEC như thế nào để ngăn cấm một IP hay một range IP truy xuất đến server của mình. - Mở IPSEC mmc lên. Right click chọn Manage IP Filter Lists and Filter Actions Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ Manage IP Filter Lists and Filter Actions, chọn Add Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 768x534 - Ở cửa sổ IP Filter List, điền tên Policy "Block Attack IP" và chọn Add - Ở cửa sổ Welcome, chọn Next - Ở phần mô tả Policy, bạn có thể điền vào hoặc không. - Ở cửa sổ IP Traffic Source, chọn A Special IP Address, điền IP của attacker vào và chọn Next. Để có IP của attacker, bạn cần phải check IIS log. - Ở cửa sổ IP Traffic Destination, chọn My IP Address và chọn Next - Ở cửa sổ IP Protocol Type, chọn Any - Chọn Finish Lê Duy Phương Y!M: ldphuong13 Phone: 0906.760.770 |
|
|