31 Практика 12. Установление соединения
Скачать 1.62 Mb.
|
Практическая работа 12 Тема: Установление соединения IPSec между компьютерами Windows ХР. Цель работы: научиться устанавливать соединение IPSec между компьютерами, а также производит настройку политики безопасности IPSec План работы Внимательно прочитайте теоретические сведения Выполните задания к работе Составить отчет о проделанной работе. Ответить на контрольные вопросы. Теоретические сведения Этапы настройки и установки соединения IPSec Этапы настройки и установки соединения IPSec: Создание политики безопасности IPSec. Добавление правила безопасности в созданную политику. Добавление фильтра для трафика, который будет шифроваться. Определение действий фильтра (Filter Action). Заключительная настройка IPSEC. Запуск и проверка работы IPSEC соединения. Общий набор параметров безопасности IPSec называется политикой IPSec. Политика состоит из набора правил, определяющих обработку сетевого трафика. Каждое правило содержит относящиеся к нему набор фильтров и действия, которые данное правило будет производить с пакетом, соответствующим условиям фильтра. В качестве параметров фильтров могут быть заданы IP-адреса, адреса сети или полное доменное имя отправителя и получателя пакета, тип IP-протокола (ICMP, TCP, UDP и т.д.), номера TCP и UDP портов отправителя и получателя. В ОС Windows ХР настройку IPsec можно выполнить посредством функции «Локальные параметры безопасности». Запуск может быть произведен из меню «Администрирование» «Панели управления», или с помощью команды «Выполнить» «secpol.msc». При работе с IPSec есть возможность использования созданных по умолчанию политик, либо создания новой. Настройка политики безопасности IPSec для работы в качестве межсетевого экрана Протокол IPsec используется, в основном, для организации VPN- туннелей. В этом случае протоколы ESP и АН работают в режиме туннелирования. Кроме того, настраивая политики безопасности определенным образом, протокол можно использовать для создания межсетевого экрана. Основным назначением межсетевого экрана является осуществление контроля и фильтрация проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. В общем случае, устанавливается набор правил (формируется фильтр), используя которые, экран просматривает все передаваемые и принятые системой пакеты. С пакетами, которые подпадают под критерии отбора, заданные в фильтре, экран производит необходимые действия. Существует возможность использования IPSec, позволяющая реализовать подобие межсетевого экрана. Использование IPSec не является полноценной заменой файервола, однако позволяет реализовать множество сходных задач с использованием штатных средств ОС Windows. Рассмотрим пример, в котором IPSec используется для того, чтобы запретить весь Интернет-трафик на локальной машине. Для того, чтобы запретить весь обмен Интернет-трафиком на компьютере, необходимо настроить политику IPSec, запрещающую весь обмен данными по протоколам HTTP и HTTPS. Изображения диалоговых окон и последовательность действий будет показана ниже на примере использования ОС Windows ХР. Создать новую политику IPSec также возможно, используя консоль ММС (Пуск - Выполнить - mmc). Задание к работе Задание 1. Создание новой политики безопасности Для создания новой политики безопасности IP необходимо выбрать из списка пункт «Политики безопасности 1Р» и в меню при нажатии правой кнопки мыши выбрать действие «Создать политику безопасности IР» или в меню «Действие» выбрать «Создать политику безопасности IР» (рис. 1). р ис. 1. П осле этого откроется «Мастер политики IP-безопасности». Для продолжения следует нажать кнопку «Далее», в результате чего откроется окно, где нужно ввести имя новой политики, и нажать кнопку «Далее» (рис..2). Рис.2. В следующем окне «Мастер» предложит принять решение об использовании правила по умолчанию. Использование правила по умолчанию можно отменить после создания политики, если возникнет такая необходимость (рис. 3). Р ис. 3. Далее «Мастер» предлагает несколько способов проверки подлинности пользователя, которые поддерживает IPsec: посредством протокола Kerberos (стандартный протокол аутентификации в доменах Windows 2000 и Windows 2003), с помощью сертификата пользователя, либо на основании строки защиты (предварительного ключа). Если в сети нет контроллеров домена, и пользователи сети не обладают действительными сертификатами, следует выбрать проверку подлинности с помощью предварительного ключа (рис. 4.4). Рис.4. Таким образом, создание политики практически завершено (рис. 5). Изменить свойства можно при завершении работы мастера (окно свойств откроется автоматически), либо позже, выделив нужную политику и выбрав из контекстного меню пункт «Свойства». Р ис. 5 Далее необходимо изменить свойства политики таким образом, чтобы они соответствовали требованиям, а следовательно необходимо создать правила безопасности IP, фильтр и определить действие фильтра. Задание 2. Добавление правила безопасности для созданной политики Для создания правила безопасности следует открыть свойства созданной политики безопасности IP и на вкладке «Правила» нажать кнопку «Добавить», предварительно сняв флажок «Использовать мастер» (рис. 6). Рис. 6. Так как соединение IPSec настраивается для транспортного режима, на закладке «Параметры туннеля» нет необходимости что-либо изменять. На закладке «Тип подключения» можно выбрать сетевые подключения, для которых будет применяться создаваемое правило - все подключения, только локальные подключения, только удаленные подключения. Таким образом, предоставляется возможность создания различных правил для сетевых подключений с различной скоростью передачи данных, что позволяет для более медленных и, как правило, менее защищенных удаленных подключений установить другие параметры аутентификации, проверки целостности и шифрования (рис. 7). Рис. 7. На закладке «Методы проверки подлинности» есть возможность добавить несколько методов проверки и изменить порядок их предпочтения, что позволяет более гибко настроить правило для связи с различными узлами, поддерживающими различные способы аутентификации (рис. 8). Рис. 8. Задание 3. Добавление фильтра Далее на закладке «Список фильтров IР» необходимо выбрать фильтр IP и действие фильтра, либо создать новый (рис. 9). Фильтры, созданные по умолчанию: Полный IP-трафик, который применяется ко всему IР-трафику, независимо от используемого протокола более высокого уровня; Полный ICMP-трафик, который применяется ко всему ICMP-трафику. Р ис. 9 Для создания нового фильтра необходимо нажать кнопку «Добавить», в результате чего откроется окно «Список фильтров IР», где необходимо снять галочку «Использовать мастер» и, после ввода имени списка фильтров, нажать кнопку «Добавить» (рис. 4.10). Рис. 10. Д алее откроется окно «Свойства: Фильтр», где необходимо указать адреса источника и получателя пакетов, к которым будет применяться фильтр, а также, при необходимости, протокол и порты источника и получателя (рис.11). Рис.11. Задание 4. Определение действия фильтра Далее необходимо определить действие фильтра. На закладке «Действие фильтра» можно выбрать действия по умолчанию или создать новое. Созданные по умолчанию действия (рис. 12): Запрос безопасности - принимать небезопасную связь, но требовать от клиентов применения методов доверия и безопасности. Будет поддерживаться небезопасная связь с ненадежными клиентами, если клиенты выполнят требования безопасности. Разрешить - разрешает прохождение небезопасных IP-пакетов (без использования IPsec). Требуется безопасность, что определяет разрыв связи с клиентами, не поддерживающими IPsec, а с клиентами, поддерживающими IPsec будет производиться обмен данными с применением проверки целостности ESP, но без АН и без шифрования данных. Рис. 12. Н овое действие можно создать, сняв флажок «Использовать мастер» и нажав на кнопку «Добавить». На вкладке «Методы безопасности» открывшегося окна «Свойства: создание действия фильтра», необходимо выбрать: нужно ли разрешить прохождение данных, заблокировать их, либо согласовать безопасность (рис. 13). Рис. 13. При выборе пункта «Согласовать безопасность», можно добавить методы безопасности и изменить порядок их предпочтения. При добавлении методов безопасности следует выбрать, будет ли использоваться AH, ESP, либо настроить безопасность вручную, выбрав пункт «Настраиваемая безопасность» (рис. 14). Р ис. 14. В параметрах настраиваемой безопасности устанавливаются требуемые протоколы (АН и ESP), а также предоставлена возможность вручную выбрать алгоритмы проверки целостности и шифрования, параметры смены ключей сеанса (рис. 15). По умолчанию ключи изменяются каждый час либо через каждые 100Мb переданной информации. Р ис. 15. Задание 5. Заключительная настройка IPSec После выбора действий фильтров настройку политики безопасности IP можно считать завершенной. С помощью нажатия кнопок «ОК» и «Применить» необходимо завершить работу с «Мастером настройки». Далее необходимо назначить созданную политику безопасности (рис.16). Рис.16. Если настройка производилась в Windows ХР, для транспортного режима IPsec, то такую же операцию следует произвести на каждом компьютере. Средства автоматизации в Windows Server позволяют централизовано развернуть политику IP на всех рабочих станциях домена. Задание 6. Запуск и проверка IPSec соединения Проверить, установилось ли соединение IPSec, можно с помощью утилиты ping в командной строке. Строки «Согласование используемого уровня безопасности IР» означают, что системы выбирают общие типы шифрования (рис. 17). Р ис. 17. Задание 7. Настройка политики безопасности IPSec для работы в качестве межсетевого экрана. Создать новую политику IPSec также возможно, используя консоль ММС (Пуск - Выполнить - mmc). В меню открывшегося окна консоли необходимо выбрать команду Консоль, затем пункт Добавить или удалить оснастку (рис. 18). Рис. 18 Для управления IPSEC соединениями в Windows ХР необходимо добавить оснастку «Управление политикой безопасности IР» (рис. 19). После нажатия кнопки «Добавить», нужно указать, что политика безопасности применяется на локальном компьютере (рис. 20). Далее необходимо последовательно закрыть окна, нажимая кнопки Готово, Закрыть, ОК. После чего на появившемся узле Политики безопасности IP на «Локальный компьютер» в левой панели консоли необходимо сделать щелчок правой кнопкой мыши и выбрать команду Управление списками IP-фильтра (рис. 21). Рис. 19 Рис. 20 Рис. 21 В открывшемся диалоге при нажатии кнопки Добавить откроется окно Список фильтров. Необходимо задать название для нового фильтра, например, HTTP, HTTPS, и приступить к созданию фильтра, нажав кнопку Добавить (рис. 22). Рис. 22 Далее нужно указать адрес источника IP-пакетов, в данном примере необходимо указать Мой IP-адрес и нажать кнопку Далее (рис. 23). Рис. 23 В следующем окне также нужно задать адрес назначения, выбрав Любой IP-адрес (рис. 24). Рис. 24. Далее следует указать тип протокола. Для данной задачи необходимо выбрать протокол TCP (рис. 25) и далее задать номера портов (рис. 26). Рис. 25 Верхний переключатель следует оставить в положении Пакеты из любого порта, а нижний переключить в положение Пакеты на этот порт иввести значение HTTP-порта - 80 (рис. 26). Рис. 26 После нажатия кнопки Готово, в нижнем окне списка появится созданный фильтр. Далее, нажав кнопку Добавить, следует проделать все предыдущие операции еще раз, но уже указав значение порта 443 (для HTTPS). В списке нижнего окна должны находиться оба созданных правила фильтрации пакетов (рис. 27). Рис. 27 Теперь необходимо определить действия, которые будет производить созданный фильтр. Для этого необходимо переключиться на закладку Управление действиями фильтра и нажать кнопку Добавить (рис. 28). Рис. 28. После этого следует указать название действия, например, Block, и нажать кнопку Далее (рис. 29). Рис. 29 В качестве действия нужно выбрать переключатель Блокировать, нажать Далее и Готово (рис. 30). Рис. 30. Таким образом, фильтр создан, действие для него определено, осталось создать политику и назначить ее. В окне консоли ММС, нажать правой кнопкой мыши на узел Политики безопасности IP и выбрать команду Создать политику безопасности IP (рис. 31). Рис 31. В открывшемся окне мастера нужно указать политики, например, Block Web и нажать Далее (рис. 32). Рис. 32 В окне свойств политики необходимо нажать кнопку Добавить (рис 33) Рис. 33 После этого следует нажать Далее, оставив переключатель в положении Это правило не определяет туннель. Тип сети - следует указать Все сетевые подключения, нажать Далее. Теперь нужно выбрать созданный фильтр из списка (рис. 34). Рис. 34. Таким же образом следует выбрать созданное действие для фильтра - BLOCK_WEB'>BLOCK WEB, нажать Далее и Готово (рис. 35). Рис. 35. Теперь в правой панели консоли ММС появится созданная политика с именем BLOCK WEB. Все, что осталось сделать - назначить ее. Для этого правый кнопкой мыши нужно вызвать меню и выбрать команду Назначить (рис. 36) Рис. 36 Для проверки работы созданной политики IPSec следует запустить браузер. Если политика работает правильно, то страница браузера должна выглядеть следующим образом (рис. 37): Рис. 37 Также можно добавить фильтр, который будет разрешать подключение только к определенным узлам Интернет. Для этого в консоли ММС необходимо дважды щелкнуть на название политики BLOCK WEB. В окне свойств нажать кнопку Добавить, затем двойным щелчком выбрать фильтр HTTP, HTTPS На вкладке Список фильтров добавить новый фильтр, указав для него имя, нажать Добавить, Далее, в качестве источника пакетов выбрать вариант Мой IP-адрес, а в качестве адреса назначения выбрать строку Определенное DNS-имя, а в поле Имя узла указать имя определенного узла, к которому будет разрешено подключение. Теперь фильтр будет содержать два фильтра, один из которых запрещает весь http- трафик, а другой разрешает соединения с определенным IP-адресом. Теперь, при переходе на разрешенный узел браузер должен отобразить содержание этого узла, ресурсы, расположенные на другом хосте (например, рекламные баннеры), не будут отображаться - они также будут фильтроваться примененной политикой IPSec. Контрольные вопросы. На каком уровне модели OSI работает протокол IPSec? Какие алгоритмы IPSec использует для шифрования трафика? Какие алгоритмы IPSec использует для проверки целостности передаваемых данных? Какой тип соединения поддерживает применение и транспортного, и туннельного режима? Ассоциация безопасности однозначно задается тремя параметрами. Какой из параметров не определяет SA? Какую из служб безопасности не обеспечивает протокол АН? Какой из протоколов IPSec определяет процедуры обмена и управления секретными ключами соединения? Что происходит во время первой фазы согласования IKE? Что происходит в результате второй фазы согласования IKE? В каком режиме может происходить согласование параметров во время первой фазы согласования IKE? В каком режиме происходит согласование параметров во время второй фазы согласования IKE? Где располагаются заголовки протоколов безопасности АН или ESP при защите данных с помощью IPSec в транспортном режиме? Где располагаются заголовки протоколов безопасности при защите данных с помощью IPSec в туннельном режиме? |