VLAN (Virtual Local Area Network hay còn gọi là mạng LAN ảo) giúp tăng tính bảo mật, cho hệ thống mạng nội bộ (do chỉ có các máy có cùng VLAN mới có thể trao đổi qua lại với nhau).
Mời các bạn tham khảo Hướng dẫn chi tiết các bước thực hiện qua Clip sau:
Phần 1: Cấu hình IPSEC để chia VLAN
Mở Console bằng cách gõ lệnh mmc trong cửa sổ Run:
Chọn Add/ Remove Snap-in ….
Chọn IP Security Policy Management -> Add
Chọn Local computer -> Finish.
OK
Click phải IP Security Policies on local computer
Chọn Create IP Security Policy …
Next
Đặt tên cho bộ lọc IPSec. Tùy ý, ví dụ: TDMIT Filter Port TCP 139 and 445. Ghi chú (tùy ý): TDMIT lọc Port 139 và 445 (để giới hạn truy cập LAN theo nhóm hoặc theo Phòng ban) hay còn gọi là chia VLAN (chia mạng ảo).
Next
Nhập Preshared key: lưu ý nên nhập kiểu phức tạp, các máy cùng nhóm hay cùng phòng thì phải có Preshared key giống nhau. Ví dụ: Preshared key cho các máy của Phòng công nghệ thông tin là: congnghethongtinVLAN@tdmit.com thì chỉ những máy có thiết lập Preshared key giống như vậy mới thấy được các máy của Phòng công nghệ thông tin. Tương tự, Phòng kế toán bạn có thể đặt Preshared key là ketoanVLAN@tdmit.com thì chỉ các máy có Preshared key là ketoanVLAN@tdmit.com mới thấy nhau.
Nhấn Finish
Bỏ check mục <Dynamic> rồi nhấn nút Add
Next
Next
Chọn All netword connections -> Next
Nhấn Add
Nhập tên IP Filter (Name) và ghi chú (Description) -> Add
-> Next
Nhập phần ghi chú là Port 445 Out -> Next
Chọn My IP Address -> Next
Chọn Any IP Address -> Next
Chọn TCP -> Next
Chọn From any port. To this port nhập: 445
Finish
Ta sẽ được 1 dòng IP Filter với: Source Port là Any, Destination Port là 445, Protocal là TCP.
Tương tự, Tiếp tục nhấn nút Add -> Next và thêm Port 445 In
Port 139 cũng làm tương tự cho 1 cái In và 1 cái Out
Sau khi làm các bước ta được 4 dòng cấu hình IP Filters IN Out cho Port 139 và 445 như sau:
Xong Nhấn OK
Nếu muốn Cấm Ping luôn thì Add thêm 1 IP Filter nữa để cấm giao thức ICMP.
Lúc này trên IP Filter List đã có cái Danh sách lọc do mình vừa tạo ở trên. Nhấn chọn TDMIT Filter Port 139 and 445.
Next
Nhấn nút Add để tạo Filter Action
Next
Đặt tên cho Filter Action (mục Name) và ghi chú ở mục Description -> Next
Chọn Negotiate security -> Next
Chọn Do not allow unsecured communication
Chọn Integrity only -> Next -> Finish ( Nếu muốn mã hóa dữ liệu trên đường truyền thì chọn Custom -> Settings … Tuy nhiên việc mã hóa dữ liệu sẽ có 1 khoảng thời gian nhất định nên dùng phương thức này có thể mạng sẽ bị chậm 1 ít hoặc khi in ra máy in sẽ bị chậm ….).
Lúc này trong Filter Action đã có dòng “TDMIT thiết lập bảo mật”, bạn chọn Filter Action này rồi nhất nút Edit:
Chọn: Use session key perfect forward secrecy (PFS) -> Apply -> OK.
Tiếp theo trong Filter Actions dòng “TDMIT thiết lập yêu cầu bảo mật”, bạn chọn Filter Action này rồi nhất nút Next:
Nhập Preshare key giống như đã thiết lập ở Rule của IPSec phía trên -> Next -> Finish.
OK. Chúng ta đã xong phần thiết lập Ipsec lọc Port 139 và 445. Để IPSEC này hoạt động, ta cần kích hoạt chúng như sau:
Click phải lên dòng Ipsec do chúng ta tạo ra -> Chọn Assign để áp dụng. Không cần phải khởi động lại máy. Muốn tắt thì Click phải -> chọn Unassign.
Lưu ý: sau khi tạo IPSec chúng ta hoàn toàn có thể hiệu chỉnh các thông số đã thiết lập trước đó (Mã hóa, preshared key,…. ) để có thể áp dụng cho Phòng ban khác, nhóm người sử dụng khác, ….
Để hiệu chỉnh Ipsec thì chúng ta click phải vào dòng Ipsec TDMIT Filter Port 139 and 445 và chọn Properties, chọn Edit để hiệu chỉnh….
Xong chọn File Save As để lưu và cất giữ Console để có thể mở nhanh khi cần.
Xong phần Ipsec.
Phần 2: Export và Import Cấu hình IPSEC để áp dụng cho máy khác 1 cách nhanh chóng.
Cách 1: Dùng Console
Start > Run > MMC. Mở Console bằng cách gõ lệnh mmc trong cửa sổ Run:
Chọn Add/ Remove Snap-in ….
Chọn IP Security Policy Management -> Add -> OK
Chọn Local computer -> Finish.
Để Export : Click phải lên IP Security … -> All Tasks -> Export -> Chọn nơi chưa file -> Nhấn Save sẽ được 1 file cấu hình.
Chép sang máy khác và Import trở lại sẽ được cấu hình Ipsec tương tự.
Cách 2: Dùng lệnh (nên dùng cách này vì với lệnh thì chúng ta có thể tạo ra 1 file .bat để copy sang nhiều máy và chạy hàng loạt sẽ rất nhanh).
Export:
Tạo 1 thư mục IPSec trên ổ C:
md C:\IPSec
Đánh lệnh để Export file:
netsh ipsec static exportpolicy file = c:\IPSec\TDMITSetIPSec
Lệnh Export thành công thì trong thư mục C:\IPSec sẽ có file như sau:
Chép lưu thư mục này để Import cho các máy khác cùng Phòng ban hoặc cùng nhóm sử dụng.
Import:
Copy Thư mục C:\IPSec đã tạo ở trên sang ổ C của máy cần Import
Đánh lệnh:
netsh ipsec static importpolicy file = c:\IPSec\TDMITSetIPSec.ipsec
Lưu ý: Nếu trên Win 7, 8 hoặc Server phải chạy lệnh CMD với quyền Administrator nếu không sẽ gặp lỗi: “ERR IPSec[05073] : Unable to open Policy Store”.
Lưu ý: việc dùng IPSec cũng có ưu và nhược điểm của nó. Do cấu hình bằng Console nên người khác có thể xem được Preshare key nên có thể dễ dàng thay đổi. Vì thế khi áp dụng, bạn nên kết hợp với giải pháp đặt mật khẩu riêng cho từng máy, chia Group, chia lớp IP …. Để đạt hiệu quả cao nhất. Ngoài ra việc cấu hình IPSEC nếu làm không chuẩn sẽ dẫn đến tình trạng mạng bị chậm hoặc chập chờn … Nếu máy có cài chương trình Antivirus như Kaspersky thì cần cấu hình thêm để tránh chương trình Antivirus chặn, gây xung đột.
Chúc bạn thành công.
0 Comments
Đăng nhận xét
Mọi đóng góp ý kiến, trao đổi với TDMIT xin vui lòng viết vào ô bên dưới. Nội dung bạn gửi sẽ được chuyển tới TDMIT kiểm tra lại trước khi đăng lên để bảo đảm chắc chắn rằng nó không vi phạm luật pháp, không vi phạm các qui định của nhà cung cấp dịch vụ , cũng như các thỏa thuận sử dụng của trang www.tdmit.com
Xin chân thành cảm ơn.