Làm sao để ngăn truy cập web bằng IPSEC ? Vì lý do nào đó, bạn cần cấm user truy cập web, nhất là trong những giờ làm việc hay những giờ đặc biệt nào đó. Có nhiều cách thực hiện, ISA là một cách tốt để làm việc này. Tuy nhiên, với những hệ thống không có ISA thì sao ? Yên tâm, đã có IPSEC đảm nhiệm việc đó 
Trên hệ thống Windows 2000/XP/2003 có tích hợp sẵn tính năng IP Security, gọi là IPSEC. IPSEC là một giao thức (protocol) được xây dựng để bảo vệ TCP/IP cá nhân trong môi trường network bằng cách "public key encryption" ... Các bạn có thể đọc thêm bài IPSEC tại Nhất Nghệ. Bài viết dưới đây trích một phần từ môn học IPSEC, sẽ mô tả cách thực hiện điều này
Block một máy tính không cho truy cập web
- Mở cửa sổ MMC : Start > Run > MMC
- Thêm vào IP Security and Policy Management Snap-In như hình bên dưới
- Ở mục chọn Computer, chọn local computer
- Click phải vào MMC console bên trái, chọn Manage IP Filter Lists and Filter Actions
- Ở cửa sổ Manage IP Filter Lists and Filter Actions, chọn Add
- Ở cửa sổ IP Filter List, điền tên Policy và chọn Add
- Ở cửa sổ Welcome, chọn Next
- Ở phần mô tả Policy, bạn có thể điền vào hoặc không.
- Ở cửa sổ IP Traffic Source, chọn My IP Address và chọn Next
- Ở cửa sổ IP Traffic Destination, chọn Any IP Address và chọn Next
- Ở cửa sổ IP Protocol Type, chọn TCP
- Ở cửa sổ IP Protocol Port, chọn Port 80 (port HTTP) như hình dưới
- Ở cửa sổ IP Filter List sẽ hiển thị phần IP Filter bạn vừa Add. Tại đây, bạn có thể lập lại bước trên với HTTPS port 443 (Any IP to Any IP, Protocol TCP, Destination Port 443)
Khi đã setup cả 2 port HTTP và HTTPS (port 80 và port 443), bạn có thể Click OK.
Bạn có thể block không cho truy cập internet, nhưng vẫn có thể cho truy cập Web nội bộ (intranet). LDP hẹn sẽ cập nhật phần đó ở một bài viết khác
(còn tiếp ở bài viết kế)
Trên hệ thống Windows 2000/XP/2003 có tích hợp sẵn tính năng IP Security, gọi là IPSEC. IPSEC là một giao thức (protocol) được xây dựng để bảo vệ TCP/IP cá nhân trong môi trường network bằng cách "public key encryption" ... Các bạn có thể đọc thêm bài IPSEC tại Nhất Nghệ. Bài viết dưới đây trích một phần từ môn học IPSEC, sẽ mô tả cách thực hiện điều này
Block một máy tính không cho truy cập web
- Mở cửa sổ MMC : Start > Run > MMC
- Thêm vào IP Security and Policy Management Snap-In như hình bên dưới
- Ở mục chọn Computer, chọn local computer
- Click phải vào MMC console bên trái, chọn Manage IP Filter Lists and Filter Actions
- Ở cửa sổ Manage IP Filter Lists and Filter Actions, chọn Add
- Ở cửa sổ IP Filter List, điền tên Policy và chọn Add
- Ở cửa sổ Welcome, chọn Next
- Ở phần mô tả Policy, bạn có thể điền vào hoặc không.
- Ở cửa sổ IP Traffic Source, chọn My IP Address và chọn Next
- Ở cửa sổ IP Traffic Destination, chọn Any IP Address và chọn Next
- Ở cửa sổ IP Protocol Type, chọn TCP
- Ở cửa sổ IP Protocol Port, chọn Port 80 (port HTTP) như hình dưới
- Ở cửa sổ IP Filter List sẽ hiển thị phần IP Filter bạn vừa Add. Tại đây, bạn có thể lập lại bước trên với HTTPS port 443 (Any IP to Any IP, Protocol TCP, Destination Port 443)
Khi đã setup cả 2 port HTTP và HTTPS (port 80 và port 443), bạn có thể Click OK.
Bạn có thể block không cho truy cập internet, nhưng vẫn có thể cho truy cập Web nội bộ (intranet). LDP hẹn sẽ cập nhật phần đó ở một bài viết khác
(còn tiếp ở bài viết kế)
__________________
Lê Duy Phương - Network Consulting and Services Team
Email: lephuong@ncs.net.vn
Website: www.ncs.net.vn
Lê Duy Phương - Network Consulting and Services Team
Email: lephuong@ncs.net.vn
Website: www.ncs.net.vn
thay đổi nội dung bởi: LDP, 03-03-2007 lúc 00:41.
| Sponsored links |
| |
| #2  03-03-2007, 00:21 | ||||
| ||||
| Tiếp tục, trở về cửa sổ Manage IP Filter Lists and Filter Actions, bạn chọn Manage Filter Actions. Bây giờ, chúng ta sẽ block các traffic như chúng ta muốn. Các bạn chọn Add  - Ở cửa sổ Filter Action Name, gõ Block và click Next  Ở cửa sổ Filter Action General Options, chọn Block và click Next  - Quay về cửa sổ Manage IP Filter Lists and Filter Actions, bạn có thể Add thêm các Filter khác  Bước kế tiếp, chúng ta sẽ thết lập, tinh chỉnh IPSEC Policy và áp dụng nó. Thiết lập IPSec Policy - Ở cửa sổ IPSEC MMC, chọn IP Security Policies on Local Computer và chọn Create IP Security Policy.  - Ở màn hình Welcome chọn Next - Ở cửa sổ IP Security Policy Name, điền một cái mô tả nào đó cho dễ nhớ như "Block tất tần tật Web"  Chọn Next - Ở cửa sổ Request for Secure Communication, click bỏ chọn Active the Default Response Rule và chọn Next  - Ở cửa sổ Completing IP Security Policy Wizard, chọn Finish.  Chúng ta cần Add các IP Filters and Filter Actions ở Policy "Block tất tần tật Web" vừa tạo. Ở cửa sổ IPSec Policy, chọn Add  - Ở cửa sổ Welcome, chọn Next - Ở cửa sổ Tunnel Endpoint, chọn "The rule does not specify a tunnel", chọn Next  - Ở cửa sổ Network Type, chọn All Network Connections và chọn Next  - Ở cửa sổ IP Filter List, chọn phần IP Filters đã tạo ở bước trước (bước 6 thì phải ). Vì một lý do nào đó, bạn chưa thiết lập IP Filter, bạn có thể Add lại. Sau đó chọn Next - Ở cửa sổ Filter Action, chọn Filter Actions "Block" đã tạo. Nếu chưa tạo thì cứ Add lại Chọn Next - Kiểm tra chắc chắn IP Filter đã được chọn. Chọn OK  Xong rồi. Giờ đến phần áp dụng. Ở IPSEC MMC, click phải IPSEC Policies vừa tạo, chọn Assign  Rồi. Test duyệt Web thử xem __________________ Lê Duy Phương - Network Consulting and Services Team Email: lephuong@ncs.net.vn Website: www.ncs.net.vn thay đổi nội dung bởi: LDP, 08-03-2007 lúc 08:29. |
| Đã có 15 người gửi lời cảm ơn LDP vì bài viết hữu ích này: | ||
| #3 05-03-2007, 00:47 | ||||
| ||||
| [IPSEC] Cấm truy cập Internet, nhưng cho phép truy cập LAN Bài viết trước mô tả cách thực hiện việc cấm user truy cập Internet thông qua Web (port 80 và 443). Các bạn có thể tùy biến việc cấm truy cập Chat, Mail hay chơi Game Online ... bằng cách Add thêm các port tương ứng. Bài viết tiếp theo về IPSEC, các bạn sẽ cấm truy cập Internet, nhưng vẫn cho phép truy cập Web, Mail .. ở Local Network. LDP sẽ vẫn tiếp tục dùng port 80 và 443 để làm ví dụ ở bài viết này. Nhắc lại, các bạn có thể tùy biến với các services khác Bước đầu tiên, các bạn vẫn làm theo bài viết Add HTTP và HTTPS như bài viết này : http://nhatnghe.com/forum/showpost.p...90&postcount=1 Chúng ta sẽ chỉ phải tiếp tục ở phần thứ 2. - Ở cửa sổ Manage IP Filter Lists and Filter Actions, chúng ta Add một Filter mới  - Điền tên Filter mới, ví dụ như Intranet, chọn Add  - Ở cửa sổ IP Traffic Source, chọn My IP Address, chọn Next - Ở cửa sở IP Traffic Destination :
- Trở về cửa sổ IP Filter list, Add các filter như bạn muốn (port 80 va 443 chẳng hạn)  - Trở về cửa sổ Manage IP Filter Lists and Filter Actions, chọn Tab Manage Filter Actions. Bây giờ, chúng ta sẽ block các traffic như chúng ta muốn. Các bạn chọn Add  - Ở màn hình Welcome, chọn Next - Ở Filter Action Name, gõ Block, chọn Next  - Ở cửa sổ Filter Action General Options, click Block, chọn Next  - Trở về cửa sổ Manage IP Filter Lists and Filter Actions, xem lại các filter của bạn đã set. Bạn có thể Add thêm các Filter khác nếu cần thiết. Sau đó chọn Close. Bước kế tiếp, chúng ta sẽ thết lập, tinh chỉnh IPSEC Policy và áp dụng nó. Thiết lập IPSec Policy - Ở cửa sổ IPSEC MMC, chọn IP Security Policies on Local Computer và chọn Create IP Security Policy.  - Ở màn hình Welcome chọn Next - Ở cửa sổ IP Security Policy Name, điền tên miêu tả Filter. Ví dụ như "cấm truy cập internet, nhưng cho phép truy cập LAN". Chọn Next  - Tiếp theo, tại cửa sổ Request for Secure Communication, click bỏ chọn Active the Default Response Rule, chọn Next  - Tại Completing IP Security Policy Wizard, chọn Finish  Chúng ta cần Add các IP Filters and Filter Actions ở Policy "cấm truy cập internet, nhưng cho phép truy cập LAN" vừa tạo. Ở cửa sổ IPSec Policy, chọn Add  - Ở cửa sổ Welcome, chọn Next - Ở cửa sổ Tunnel Endpoint, chọn "The rule does not specify a tunnel", chọn Next  - Ở cửa sổ Network Type, chọn All Network Connections và chọn Next  - Ở cửa sổ IP Filter List, chọn phần IP Filters (ví dụ HTTP - HTTPS) chúng ta đã tạo ở bước trước. Một lần nữa, vì một lý do nào đó, bạn chưa thiết lập IP Filter, bạn có thể Add lại. Sau đó chọn Next  - Ở cửa sổ Filter Action, chọn Filter Actions "Block" đã tạo. Lại một lần nữa, nếu các bạn chưa tạo thì cứ Add lại. Chọn Next  - Trở về cửa sổ IPSec Policy, kiểm tra chắc chắn rằng Filter (HTTP - HTTPS) đã được chọn.  - Làm lại các bước Add các IP Filters and Filter Actions ở Policy "cấm truy cập internet, nhưng cho phép truy cập LAN", nhưng lần này với Policy "Intranet"  - Lần này, với "Intranet" chúng ta không chọn Block nữa mà chúng ta chọn Permit.  - Xong rồi. Kiểm tra lại để chắc là chúng ta có 2 Filter được đánh dấu.  Giờ chỉ cần chúng ta áp policies là xong.  Sau khi Assign Policy, các bạn có thể test truy cập trang web nhatnghe.com hay nhatnghe.vn hay bất kì trang web khác các bạn biết. Chắc chắn các bạn sẽ không truy cập được (với đk là các bạn làm đúng các bước trên nhé  ). Tuy không truy cập web ở internet được, các bạn vẫn có thể truy cập web ở Local Lan được. Hông tin ? Truy cập vào trang quản lý modem hay một webserver nào ở Local xem  Sau khi đã test thành công trên một PC, các bạn có thể export Policies vừa rồi và import vào PC khác, hay áp Policy từ GPO. Cách export và import các bạn có thể thực hiện theo các bước sau : - Tại IP Security and Policy Management Snap-In (IPSEC MMC), chọn All Task, chọn Export Policies. Tương tự là Import Policies. Một điều nhắn nho nhỏ : IPSEC không thể thay thế được một hệ thống Firewall ISA Server đúng nghĩa. Chúng ta có thể chặn không cho truy cập Web, Mail, hay Chat Chit ... bằng IPSEC, như các bài viết vừa qua. Tuy nhiên, đây chỉ là một biện pháp thủ công nhất thời khi mà Network chúng ta chưa có một hệ thống Firewall ISA Server. Với ISA Server, các bạn có thể làm điều trên một cách dễ dàng và gọn lẹ, không cần phải đi từng máy áp Policies hay áp Policies từ DC xuống các Client một cách phức tạp và mất thời gian như thế. __________________ Lê Duy Phương - Network Consulting and Services Team Email: lephuong@ncs.net.vn Website: www.ncs.net.vn thay đổi nội dung bởi: LDP, 05-03-2007 lúc 01:22. |
| #4 08-03-2007, 08:30 | ||||
| ||||
| Hôm nọ nói về vấn đề website khách hàng của LDP bị attack, và LDP đã tạm thời ngăn chặn được nhờ IPSEC. Nay LDP sẽ mô tả lại việc mình dùng IPSEC như thế nào để ngăn cấm một IP hay một range IP truy xuất đến server của mình. - Mở IPSEC mmc lên. Right click chọn Manage IP Filter Lists and Filter Actions - Ở cửa sổ Manage IP Filter Lists and Filter Actions, chọn Add - Ở cửa sổ IP Filter List, điền tên Policy "Block Attack IP" và chọn Add  - Ở cửa sổ Welcome, chọn Next - Ở phần mô tả Policy, bạn có thể điền vào hoặc không. - Ở cửa sổ IP Traffic Source, chọn A Special IP Address, điền IP của attacker vào và chọn Next. Để có IP của attacker, bạn cần phải check IIS log.  - Ở cửa sổ IP Traffic Destination, chọn My IP Address và chọn Next - Ở cửa sổ IP Protocol Type, chọn Any  - Chọn Finish Các bước còn lại, các bạn có thể làm tương tự theo bài viết này : http://www.nhatnghe.com/forum/showpo...22&postcount=2 |
No comments:
Post a Comment
Ghi một nhận xét ( bỏ dấu =)
- Tô đậm: "câu muốn tô đậm"
- Chữ nghiêng: " câu muốn in nghiêng "
- Chèn link: "text"
- Chèn hình: "[img]link hình muốn chèn[/img]"
- Chèn video: "[youtube]link video cần chèn[/youtube]"