Сурков Л.В. - Защита сетевого трафика с использованием IPsec и сертификатов, страница 6
Описание файла
PDF-файл из архива "Сурков Л.В. - Защита сетевого трафика с использованием IPsec и сертификатов", который расположен в категории "". Всё это находится в предмете "языки интернет-программирования" из 5 семестр, которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "книги и методические указания", в предмете "языки интернет-программирования" в общих файлах.
Просмотр PDF-файла онлайн
Текст 6 страницы из PDF
He поддерживающим IPsec клиентам будет разрешеносоединяться, используя незащищенные потоки данных.Session Key Perfect Forward SecrecyСеансовые циклы безопасной пересылки.Шифрование данных для пакетов IPsec осуществляется с помощью сеансовыхключей. Этот параметр запрещает использовать существующий ключ для созданиянового ключа, что уменьшает риск компрометации данных, поскольку предыдущийключ не может быть использован для определения следующего ключа.МГТУ им.
БауманаКафедра ИУ-630Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рисунок 22В случае положительного результата на установление безопасного соединения(рассматривается случай Negotiate security), то метод защиты выбирается из спискаметодов защиты. Рекомендуется выстраивать методы защиты в убывающем монотонномпорядке: от сильной (верхняя строчка) к слабой (нижняя строчка) защите.Шифрование и проверка целостности в IPsecДобавим метод безопасности.
Для этого нажмем кнопку Add… из предыдущего окна,показанного на рисунке 22. Результат показан на рисунке 23.МГТУ им. БауманаКафедра ИУ-631Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рисунок 23Методы безопасности:Integrity and encryption (целостность и шифрование данных);Integrity only (целостность данных);Custom (выборочно).Настройка метода безопасности вручную позволяет обеспечить целостность не толькоданных, но и ip-адресов.
Это означает, что подмена ip-адреса в пакете злоумышленникомбудет определена.Для обеспечения целостности доступны два алгоритма Message Digest v5 (MD5) и SecureHash Algorithm (SHA1).Для обеспечения конфиденциальности доступны два алгоритма Data Encryption Standard(DES) и Triple DES (3DES).Считается, что SHA1 сильнее MD5, а 3DES сильнее DES.Обеспечить большую надежность позволяет установка параметров смены ключа сессии.Ключ сессии может изменяться каждый определенный промежуток времени или черезопределенный объем информации обмена.МГТУ им. БауманаКафедра ИУ-632Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рисунок 24Аутентификация IPsecМетоды проверки подлинности (или иначе методы аутентификации) задаюттребования по выполнению проверки подлинности для безопасных подключений.Независимо от числа настроенных методов проверки подлинности для пары компьютеровможет быть задан только один.Рисунок 25 - Выбор Метода АутентификацииСтандартные методы проверки подлинности следующие:МГТУ им.
БауманаКафедра ИУ-633Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11протокол безопасности Kerberos V5.Клиенты должны быть включены в доверенный домен Windows 2008;сертификаты открытого ключаОграничений на членство в домене не накладывается – возможна аутентификациямежду лесами;Требуется наличие общего корневого Центра Сертификации;Требуется наличие сертификата у каждого компьютера (предполагающегоустановку безопасного соединения IPsec);общий ключ.Это текстовая строка, используемая двумя пользователями по предварительнойдоговоренности. Обе стороны должны вручную настроить IPSEC на использованиеобщего ключа. Рекомендован к применению, если нет возможности использоватьKerberos V5 или сертификаты, а так же в случае тестирования IPsec фильтров.Предназначен только для защиты проверки подлинности.Выбор между протоколом Kerberos и открытыми ключами определяется простотойнастройки.
В лесу Windows Server 2008 протокол Kerberos — самый простой виспользовании механизм, поскольку он уже внедрен на все компьютеры в данном лесу.Открытый ключ чаще применяют, когда существует инфраструктура РКI или для связимежду организациями требуется IPsec.Внедрение политики IPsec в средах рабочей группы идоменаВ Windows 2008 отсутствую стандартные политики IPsec в отличие от предыдущихсерверных операционных систем Windows.В среде рабочей группы политики IPsec можно настроить, только корректируяпараметры безопасности локального компьютера. Согласованные параметры IPsec насхожих компьютерах можно получить путем экспорта правильно настроенныхпараметров IPsec в IPsec-файл и их последующего импорта на все необходимыекомпьютеры.Active Directory позволяет стандартизировать настройку IPsec за счет примененияполитик IPsec в составе объектов групповой политики (ОГП). Вы можете определитьполитики IPsec для сайта, домена или ОП, чтобы согласованные политики применялись коМГТУ им.
БауманаКафедра ИУ-634Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11всем объектам компьютеров в соответствующем контейнере. Групповая политика непозволяет локальному администратору изменять параметры IPsec на своем компьютере,посколькунаследованныепараметрыгрупповойполитикивсегдаприоритетнеепараметров локальной. Для определения политик IPsec необходимо создать политику наотдельномкомпьютере,экспортироватьеепараметрывIPsec-файл,азатемимпортировать его в ОГП, где нужно внедрить эту политику.МГТУ им.
БауманаКафедра ИУ-635Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Практическая частьПри выполнении лабораторной работы на виртуальной машине, следует знать«физическую» связь между виртуальными машинами, которая представлена на рис.Рис. 26 - Физическая коммутацияДобавление оснасткиНа каждом из компьютеров нажмите кнопку Start (Пуск) и выберите команду Run(Выполнить).
Введите mmc. В появившемся окне выберите Add/Remove Snap-in(Добавить или удалить оснастку) в меню Console (Консоль) (рис. 22). В окнеAdd/Remove Snap-in(Добавление и удаление оснастки) выберите IP Security PolicyManagement (Управление политикой IP-безопасности)нажмите кнопку Add(Добавить) (рис. 23). После этого будет предложено выбрать компьютер или домен длякоторого будет производиться управление политикой IPsec (рис. 24). Выберите Localcomputer (Локальный компьютер) и нажмите Finish (Готово). Закройте окноAdd/Remove Snap-in (Добавление и удаление оснастки) кнопкой OK. После этого закройтеокно оснастки и, в ответ на предложение сохранить получившуюся оснастку, сохраните еепод любым именем (например, IPsec).МГТУ им.
БауманаКафедра ИУ-636Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 27.Рис. 28.МГТУ им. БауманаКафедра ИУ-637Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис.
29.Также до оснастки «IP Security Policy Management (Управление политикой IPбезопасности)» можно было бы добраться более простым способом: Start (Пуск)>Administrative Tools (Администрирование)->Local Security Policy (Локальная политикабезопасности).Создание политики безопасностиВообразим гипотетическую задачу, в которой имеется сервер и ряд рабочихстанций. Все РС находятся в одной сети 172.16.0.0/16. Задачей сервера являетсясекретный сбор однотипных данных с разных РС. Данные РС отправляют на порт 5555сервера 172.16.7.15. У сервера существует необходимость открыто общаться с любым IPпо telnet (порт 23).Процесс создания политики безопасности начнем с создания фильтров и действийк фильтрам, и завершим непосредственным созданием политики.
Хотя возможно создатьвсе необходимые фильтры и действия к фильтрам уже в поцессе создания самой политикибезопасности. Для этого необходимо выбрать «Manage IP filter lists and filter actions…(Управление списками IP-фильтра и действиями фильтра…)»:МГТУ им. БауманаКафедра ИУ-638Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 30.Порядок действий:Добавляем новый список фильтров EssentialProtocolДобавляем новый фильтр (устанавливаем параметры: source address (адресисточника пакетов) – A specific IP subnet (Определенный IP-адрес или подсеть),172.16.0.0/255.255.0.0; destination address (адрес назначения) – My IP address (МойIP-адрес); Select protocol type (Выберите тип протокола) – TCP; to this port (пакетына этот порт) - 5555)Добавляем новый список фильтров TelnetДобавляем новый фильтр (устанавливаем параметры: source address (адресисточника пакетов) – My IP address (Мой IP-адрес); destination address (адресназначения) – Any IP address (Любой IP-адрес); Select protocol type (Выберите типпротокола) – TCP; to this port (пакеты на этот порт) - 23)Ниже все действия проиллюстрированы.МГТУ им.
БауманаКафедра ИУ-639Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 31.Рис. 32.МГТУ им. БауманаКафедра ИУ-640Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рис. 33.Рис. 34.МГТУ им. БауманаКафедра ИУ-641Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11В WS2003 для использования пригодны встроенные действия к фильтрам.