125

5.8. Использование протокола IPSec для защиты сетей

5.8.1. Шифрование трафика с использованием протокола IPSec

ВЫПОЛНИТЬ!

1.Проверьте возможность анализа сетевого трафика при отключенном протоколеIPSec. Запустите анализатор сетевого трафика. Отправьте текстовый файл (набранный латинскими буквами) на виртуальный компьютер. Просмотрите захваченные пакеты. Убедитесь, что файл передается по протоколу SMB, текст файла передается в открытом виде.

2.Осуществите настройку протокола IPsec. Администрирование Локаль-

ная политика безопасности Политики безопасности IP.

3.Обратите внимание на существование трех шаблонов: «Безопасность сервера» (при использовании данного шаблона не допускается нешифрованный трафик), «Клиент (Только ответ)» (при использовании данного шаблона возможен нешифрованный трафик, если сервер его не требует) и «Сервер (Запрос безопасности)» (при использовании данного шаблона возможен нешифрованный трафик, если клиент не поддерживает шифрование).

4.Выполните настройку шаблона «Безопасность сервера». Измените настройку фильтра «Весь IP-трафик» (рис. 5.23).

Рис. 5.23. Окно настройки шаблона «Безопасность сервера»

5. В разделе «Методы проверки подлинности» измените метод Kerberos.

126

6.Выберите пункт «Использовать данную строку для защиты обмена ключами» и введите произвольную текстовую строку.

7.Примените внесенные изменения и активизируйте политику, выбрав из контекстного меню данного шаблона пункт «Назначить».

8.Аналогичные действия осуществите на соседнем компьютере. Убедитесь, что ключ шифрования (текстовая строка) совпадает.

5.8.2. Проверка защиты трафика

9.Убедитесь, выполняя команду PING, что для проверки присутствия в сети вашего компьютера возможны ICMP-пакеты как от соседнего компьютера (на котором также включено шифрование), так и от любого другого.

10.Убедитесь, что в сетевом окружении вам доступен только соседний компьютер. При обращении к другим системам появляется ошибка.

11.Убедитесь путем анализа сетевого трафика при отправке на соседний компьютер текстового файла, что весь IP-трафик идет в зашифрованном виде.

12.Проверьте функционирование IPSec при использовании шаблонов «Клиент (Только ответ)» и «Сервер (Запрос безопасности)».

13.По окончании отключите шифрование трафика.

Рис. 5.24. Окно раздела «Методы проверки подлинности»

127

Рис. 5.25. Окно ввода ключевой строки

5.8.3.Настройка политики межсетевого экранирования с использованием протокола IPSec

Задача. Разработать политику для web-сервера, на котором разрешен только трафик через порты TCP/80 и TCP/443 из любой точки.

ВЫПОЛНИТЬ!

14.Запустите на своем узле web-сервер. Проверьте его функционирование, обратившись с другого узла.

15.Запустите утилиту настройки протокола IPSec: Администрирование Локальная политика безопасности Политики безопасности IP.

16.Из контекстного меню выберите «Управление списками IP-фильтра и действиями фильтра». Создайте два действия (сначала сбросьте флажок «Использовать мастер»): «Разрешение» (определяющее допустимый метод безопасности) и «Блокировка» (заблокированный метод безопасности) (рис. 5.26).

17.Создайте список фильтров под названием «Любой», имеющий настройки по умолчанию, которые соответствуют всему трафику (рис. 5.27).

18.Создайте список фильтров под названием «web-доступ» (рис. 5.28) для web-сервера, разрешающего трафик на портах TCP/80 и TCP/443 из любой точки, основываясь на правилах:

Правило 1. Источник – Любой IP-адрес. Назначение – Мой IP-адрес. Отображаемый – Да. Протокол – TCP. Порт источника – Любой (ANY). Порт назначения – 80.

128

Правило 2. Источник – Любой IP-адрес. Назначение – Мой IP-адрес. Отображаемый – Да. Протокол – TCP. Порт источника – Любой (ANY). Порт назначения – 443.

Рис. 5.26. Окно создания действий

Рис. 5.27. Окно создания списка фильтров «Любой»

19. Создайте новую политику под названием «Web-доступ». Из контекстного меню окна «Политики безопасности IP» выберите «Создание политики безопасности IP». Воспользуйтесь мастером. Не активизируйте пункт «Использовать правило по умолчанию».

129

Рис. 5.28. Окно создания списка фильтров «Web-доступ»

20.Добавьте в созданную политику правило доступа «Web-доступ», использующее список фильтров «Web-доступ» и действие «Разрешение».

21.Добавьте в созданную политику правило доступа «Любой», использующее список фильтров «Любой» и действие «Блокировка» (рис. 5.29). Обратите внимание на последовательность правил.

Рис. 5.29. Окно создания правила доступа

22.Примените политику «Web-доступ» (из контекстного меню политики «Web-доступ» выберите пункт «Применить», рис. 5.30).

23.Проверьте политику «Web-доступ», осуществив подключение к 80-ому порту с другого узла.