Сурков Л.В. - Защита сетевого трафика с использованием IPsec и сертификатов (1075630), страница 5
Текст из файла (страница 5)
Уровень шифрования задается в настройках действия фильтрадля правила туннеля, поэтому, если содержимое туннельного трафика не требуетсекретности, шифрование можно не использовать.На приведенной иллюстрации исходный пакет между первичным источником иместом назначения инкапсулируется новыми заголовками IP и ESP. Область Подписануказывает часть пакета, защищенную проверкой целостности. Область Зашифровануказывает, что зашифрован может быть весь исходный пакет.Сведения в новом заголовке IP используются для маршрутизации пакета отисходной точки до конечной точки туннеля, обычно шлюза безопасности.
Новыйзаголовок IP не защищен подписью проверки целостности. Данная структура, описанная вдокументе RFC рабочей группы IETF, разрешает изменение заголовка пакетакомпонентами сети при необходимости обеспечения дополнительных служб, таких какизменениеIP-адресовисточникаилиназначенияилиповышениеприоритетаотносительно других пакетов.Рисунок 12 - Туннельный режим ESPПри использовании протокола ESP в туннельном режиме каждый исходный IPпакет в криптозащищенном виде помещается целиком в конверт IPSec, a тот, в своюочередь, инкапсулируется в другой IP-пакет (Рисунок 13). В защищенном IP-пакетеМГТУ им. БауманаКафедра ИУ-622Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11внутренний (исходный) IP-заголовок, располагаемый в зашифрованной части, содержитцелевой адрес пакета, а внешний IP-заголовок содержит адрес конца туннеля.Рисунок 13 - IP-пакет до и после применения протокола ESPКогда ESP используется в транспортном режиме, в конверт IPSec в криптозащищенномвиде помещается только содержимое исходного IP-пакета и к полученному конвертудобавляется исходный IP-заголовок.Транспортный режим AH и ESPТранспортный режим используется для шифрования поля данных IP пакета,содержащего протоколы транспортного уровня (TCP, UDP, ICMP), поля которых, в своюочередь, содержат информацию прикладных служб.
Примером применения транспортногорежима является передача электронной почты. Все промежуточные хосты на маршрутепакета от отправителя к получателю используют только открытую информацию сетевогоуровня и, возможно, некоторые опциональные заголовки пакета (в IPv6).Недостатком транспортного режима является отсутствие механизмов скрытияконкретных отправителя и получателя пакета, и как следствие возможность проведенияанализа трафика. Результатом такого анализа может стать информация об объемах инаправлениях передачи информации, области интересов абонентов, расположениеруководителей.МГТУ им.
БауманаКафедра ИУ-623Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рисунок 14 - Транспортный режим AHРисунок 15 - Транспортный режим ESPПротоколы АН и ESP могут комбинироваться разными способами. Еслииспользуетсятранспортныйрежим,тоаналогичнотому,какврамкахESPаутентификация идет следом за шифрованием, протокол АН должен применяться послепротокола ESP. В туннельном режиме протоколы АН и ESP применяются к разнымвложенным пакетам и, кроме того, в данном режиме допускается многократнаявложенность туннелей с различными начальными и/или конечными точками. Поэтому вслучаетуннельногорежимачисловозможныхкомбинацийпосовместномуиспользованию протоколов АН и ESP существенно больше.МГТУ им. БауманаКафедра ИУ-624Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Фильтры IPsec и их действияДля идентификации протоколов, которые необходимо защитить, надо определитьIPsec-фильтры.
Из оснастки «IP Security Policies on Local Computer» (доступна через Start>Administrative Tools->Local Security Policy) выбираем «Manage IP filter lists and filteractions…».Рисунок 16Рисунок 17 - Управление списками IP-фильтровМГТУ им. БауманаКафедра ИУ-625Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Далее нажимаем «Add…» и появляется следующее окно «IP filter list», показанное нарисунке 18.Рисунок 18 - Список IP-фильтровДля идентификации протокола используются следующие характеристики:IP-адрес источника. Может быть конкретным IP-адресом, IP-адресом определеннойподсети или любым адресом.IP-адресназначения.МожетбытьконкретнымIP-адресом,IP-адресомопределенной подсети или любым адресом.Тип протокола.
Это идентификатор протокола или используемый транспортныйпротокол. Например, РРТР использует пакеты GRE, которые определяются по ихидентификатору протокола(47).Порт источника. Если используются протоколы TCP или UDP для защищенногосоединения можно определить порт источника. Большинство протоколов вкачестве порта источника используют случайный порт.Порт назначения.
Если применяется TCP или UDP, то для получения данныхслужит конкретный порт на сервере.Все характеристики доступны для настройки при редактировании/добавлении (Add/Edit)фильтра. Свойства IP-фильтра показаны на рисунке 19.МГТУ им. БауманаКафедра ИУ-626Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рисунок 19 - Свойства IP-фильтраПри добавлении нового фильтра также можно использовать мастер для этогонужно поставить галочку «Use add wizard» в окне «IP filter list».
Работа мастерапроиллюстрирована на рисунке 20.Рисунок 20 – Мастер добавления фильтраДля зашиты ответных пакетов средствами IPsec нужно настроить все фильтрыIPsec как отраженные (галка mirrored на вкладке addresses). Такой фильтр обращаетинформацию источника и назначения, так что ответные пакеты, отправляемые серверомобратно клиенту, также будут защищены IPsec. Не следует применять правила отраженияпри определении фильтров для туннельного режима IPsec. В этом случае следует создатьМГТУ им.
БауманаКафедра ИУ-627Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11отдельные фильтры для отражения конечной точки туннеля, используемые на обоихконцах туннеля.Случаи, когда применение фильтров нецелесообразно:Layer Two Tunneling Protocol (L2TP защищен средствами ESP автоматически)Широковещательные и групповые адреса (т.к. SA может быть установлен междупарой компьютеров)Resource ReSerVation Protocol (для запроса части пропускной способности сетикомпьютер использует протокол RSVP, идентификатор протокола 46.
Можнозащитить протокол, для которого RSVP запрашивает качество обслуживания, но несами RSVP-пакеты этого запроса)Протокол Kerberos (т.к. используется для аутентификации перед IPsec)Протокол Internet Key Exchange (т.к. IKE применяется для согласования SA междудвумя компьютерами – процессом, используемым перед безопасной передачейданных)Списокпортов,используемыхтипичнымислужбамиможнонайтипоадресуhttp://www.iana.org/assignments/port-numbers.Каждому списку фильтров необходимо поставить в соответствие действие (разрешить,блокировать или иное)МГТУ им. БауманаКафедра ИУ-628Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Рисунок 21 - Управление списками действий фильтровСписок действий можно редактировать на вкладке «Manage Filter Actions», доступной изменю «Manage IP filter lists and filter actions…» оснастки «IP Security Policies on LocalComputer» (Start->Administrative Tools->Local Security Policy)Действия фильтра IPsec могут быть следующие:Permit (Разрешить) передачу пакетов без защиты IPsec.
Например: протокол SNMPвключает поддержку устройств, не совместимых с IPsec. Включение IPsec дляпротокола SNMP может помешать этим устройствам управлять сетью. Дляразрешения передачи пакетов SNMP без защиты IPsec в сетях с высокойбезопасностью можно создать специальный фильтр IPsec для SNMP.Block(Блокировать)запрещаетсуществованиевсетипротокола,соответствующего IPsec-фильтру. Все пакеты, подпадающие под условия этогофильтра, отбрасываются. Данный фильтр используется на имеющих доступ вИнтернет компьютерах с Windows Server 2008 для предотвращения типичных атак,например средствами протокола Finger.NegotiateSecurity(Согласоватьбезопасность)позволяетадминистраторуопределить уровень шифрования и алгоритм хеширования для защиты трафика,соответствующего фильтру IPsec.МГТУ им.
БауманаКафедра ИУ-629Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Кроме трех основных, можно определить действия компьютера с Windows 2008 в случаеполучения не защищенных IPsec данных и частоту определения новых сеансовых ключейдля защиты данных IPsec. Имеются следующие параметры.Accept Unsecured Communication, But Always Respond Using IPsecПринимать небезопасную связь, но отвечать с помощью IPsecИспользуется, когда защита IPsec принудительно устанавливается на серверах, а нена клиентских компьютерах. В типичной среде IPsec клиентские компьютерынастраиваются для применения IPsec, если это требуется сервером, но никогда неинициируют SA. Этот параметр разрешает получение исходного пакета сервером,который затем начинает процесс IKE для согласования SA между клиентом исервером.
Хотя довольно рискованно использовать открытый текст для исходногопакета данных, ответный пакет не передается с сервера, пока не будет установленоSA.Allow Unsecured Communication With Non-IPsec-Aware ComputersРазрешать связь с компьютерами, не поддерживающими IPSEC.В смешанной сети этот параметр разрешает подключаться к серверу клиентскимкомпьютерам, не поддерживающим IPsec. Клиенты с IPsec соединятся с серверомпо защищенному каналу.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
