ИБиЗИ ЛР / ПЗ ИБ 11.12.08
.pdfОтчет о выполнении в письменном виде сдается преподавателю. При защите работы студент отвечает на контрольные вопросы и предоставляет отчет преподавателю.
Содержание отчета и его форма
Отчет должен иметь форму согласно оформлению реферата.
Титульный лист должен включать название дисциплины, название лабораторной работы, фамилию и инициалы сдающего студента, номер группы, фамилию и инициалы принимающего преподавателя. Основная часть лабораторной работы должна содержать следующие элементы.
1.Название лабораторной работы.
2.Цель и содержание лабораторной работы.
3. Описание операций настройки центра сертификации
4. Выводы по проделанной работе
Вопросы для защиты работы
1.Что такое цифровой сертификат?
2.Какие три главные составляющие имеет цифровой сертификат?
3.Какие типы сертификатов подразумевает PKI?
4.Опишите процесс проверки ЭЦП электронного документа с точки зрения PKI.
5.Какие поля должны быть в цифровом сертификате по стандарту
X.509?
6.В каких случаях сертификат может быть отозван?
7.Как создать новый шаблона для автоматической подачи заявки на сертификат?
8.Как настроить центр сертификации предприятия?
9.Как настроить групповую политику?
10.С какой целью производится настройка групповой политики?
241
Лабораторная работа 20
Настройка средств криптографической защиты сетевого
трафика стандартного протокола IPSec в операционной системе
Microsoft Windows
Цель работы и содержание: научиться защищать сетевой трафик средствами шифрования данных стандартного сетевого протокола IPSec
(internet protocol security).
1.Общая информация о наборе протоколов IPsec
2.Управление политикой безопасности IPsec
3.Разрешение связи по протоколу http.
Теоретическая часть
20.1. Общая информация о наборе протоколов IPsec
IPsec (сокращение от IP Security) – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP,
позволяет осуществлять подтверждение подлинности и/или шифрование IP-
пакетов. IPsec также включает в себя протоколы для защищѐнного обмена ключами в сети Интернет. Протоколы IPsec работают на сетевом уровне
(уровень 3 модели OSI).
IPsec-протоколы можно разделить на два класса: протоколы отвечающие за защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. На настоящий момент определѐн только один протокол обмена криптографическими ключами – IKE (Internet Key Exchange) – и два протокола, обеспечивающих защиту передаваемого потока: ESP (Encapsulating Security Payload – инкапсуляция зашифрованных данных) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как AH (Authentication Header –
аутентифицирующий заголовок) гарантирует только целостность потока
242
(передаваемые данные не шифруются).
Протоколы защиты передаваемого потока могут работать в двух режимах – в транспортном режиме и в режиме туннелирования.
В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета. Маршрутизация не затрагивается, так как заголовок IP пакета не изменяется (не шифруется). Транспортный режим как правило используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей,
организованных каким-нибудь другим способом (IP tunnel, GRE и др.).
В туннельном режиме IP-пакет шифруется целиком. Для того, чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищѐнный IP-туннель. Туннельный режим может использоваться для подключения удалѐнных компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.
Режимы IPsec не являются взаимоисключающими.
20.2. Управление политикой безопасности IPsec
Для управления политикой безопасности IPSec с консоли управления
Microsoft, выполните следующие действия.
1. Нажмите кнопку Пуск, выберите команду Выполнить, введите
MMC и нажмите кнопку OK. (рисунок 20.1).
Рисунок 20.1 – Запуск консоли управления
243
2. В меню Консоль выберите команду Добавить или удалить оснастку, затем нажмите кнопку Добавить (рисунок 20.2).
Рисунок 20.2 – Добавление оснастки
3. Выберите Управление политикой безопасности IP и нажмите кнопку Добавить (рисунок 20.3).
Рисунок 20.3 – Выбор оснастки
244
4. Выберите компьютер (таблица 20.1), политиками IPSec которого требуется управлять (рисунок 20.4).
Рисунок 20.4 – Выбор компьютера или домена
Таблица 20.1 – Действия, необходимые для управления
Сферы управления |
Действия |
|
|
|
|
Управлять только компьютером, на котором |
Выберите Локальный |
|
выполняется консоль |
компьютер |
|
|
|
|
Управлять политиками IPSec для любого |
Выберите Домен с Active |
|
Directory, членом которого |
||
члена домена |
||
является этот компьютер |
||
|
||
|
|
|
Управлять политиками IPSec для домена, |
Выберите Другой домен с |
|
членом которого компьютер, на котором |
||
Active Directory |
||
выполняется консоль, не является |
||
|
||
|
|
|
Управлять удаленным компьютером |
Выберите Другой компьютер |
|
|
|
|
5. Нажмите ОК (рисунок 20.5) |
|
245
Рисунок 20.5 – Добавление оснастки Политики безопасности IP
6. Сделать двойной клик на Политики безопасности на «Локальный компьютер» (рисунок 20.6).
Рисунок 20.6 – Выбор оснастки в консоли управления
7. Выбрать свойства «Сервер безопасности» (рисунок 20.7).
246
Рисунок 20.7 – Выбор свойств Сервера безопасности
8. Во вкладке Общие указать настройки (рисунок 20.8)
Рисунок 20.8 – Вкладка Общие
9. Указать используемые методы шифрования данных (рисунок 20.9)
247
Рисунок 20.9 – Методы шифрования данных
После этого необходимо определить правила и фильтры ipSec
Для создания новых правил или изменения старых необходимо выбрать вкладку Правила → Список фильтров IP (рисунок 20.10).
Рисунок 20.10 – Список фильтров IP
Полный IP трафик – отфильтровывать весь трафик
248
Вкладка Действие фильтра (рисунок 20.11). Выбрать один из
предлагаемых действий фильтра:
–Запрос безопасности – принимать небезопасную связь, но требовать от клиентов применения методов доверия и безопасности. Будет поддерживаться небезопасная связь с ненадежными клиентами, если клиенты не выполнят требование безопасности;
–Разрешить – разрешение прохождения небезопасных ip-пакетов;
–Требуется безопасность – принимать небезопасную связь, но всегда требовать от клиентов применение методов доверия и безопасности.
Не будет поддерживаться связь с ненадежными клиентами.
Рисунок 20.11 – Действие фильтра
Тип подключения – вкладка, на которой указывается тип сетевого подключения, на которое распространяется данное правило (рисунок 20.12).
249
Рисунок 20.12 – Тип подключения
Вкладка Методы проверки подлинности (рисунок 20.13).
Для пары компьютеров необходимо установить одинаковый способ проверки подлинности, чтобы избежать конфликтов.
Рисунок 20.13 – Методы проверки подлинности
250