Добавил:

Vasa Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Тернопольский национальный технический университет им. И. Пулюя

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

ЛР_2_Налаштування протоколу IPSec

.pdf

Скачиваний:

Добавлен:

23.10.2019

Размер:

610.44 Кб

Скачать

☆

Лабораторна робота 2. Налаштування протоколу IPSec

У даній лабораторній роботі ми розглянемо порядок налаштування захищеного за допомогою протоколу IPSec з'єднання між клієнтом і сервером.

Отже, у нас є домен test.domain, в який входить сервер Server1, що працює під управлінням операційної системи Windows Server 2008. У домен також входить робоча станція Vista1, яка працює під управлінням ОС Windows Vista. В домені розгорнуть центр сертифікації.

Метою роботи є настройка протоколу IPSec для шифрування всіх даних, переданих між вказаним сервером і робочою станцією.

Для роботи з політиками IPSec існує оснащення IPSecurity Policy Management. Якщо запустити консоль mmc і додати цей інструмент, з'явиться запит, для якого об'єкта використовуватиметься оснащення (рис. 1)

Рис. 1. Вибираємо об'єкт для роботи

Настройку будемо робити за допомогою доменної політики, яку вибираємо.

У ній існують вже три задані політики (рис. 2). Але нам потрібна буде нова, що керує роботою конкретного сервера і клієнта. Тому в контекстному меню вибираємо пункт Create new security policy. І за запитом майстра призначаємо їй ім'я Server1_Vista1.

Налаштування в наступне вікні знадобиться у разі, якщо використовуються попередні (у порівнянні з Windows Server 2008 / Windows Vista) версії операційних систем.

Вибравши у вікні (рис. 4) пункт Edit Properties переходимо безпосередньо до створення налаштувань.

Рис. 2. Задані політики IPSec

Рис. 3. Вікно майстра IP Security Policy

Рис. 4. Вікно майстра IP Security Policy

Рис. 5. Додаємо правило

Нам знадобиться нове правило, тому у вікні, представленому на рис. 5 натискаємо кнопку Add. У наступному вікні вказуємо, чи треба визначати тунель. Так як ми плануємо використовувати IPSec в транспортному режимі, це не знадобиться.

Рис. 6. Вибір типу з'єднання

Наступний запит стосується того, для яких підключень діє правило - для всіх, підключений з локальної мережі або ззовні. Нас влаштує варіант "для всіх" (All network connections). Після цього, буде запропоновано визначити, щодо якого типу трафіку діє створювана політика (рис. 7).

Рис. 7. Фільтри дозволяють визначити, які пакети будуть захищатися IPSec

Попередні правила нас не влаштовують, тому нам потрібно захищене з'єднання між двома конкретними вузлами. Натискаємо кнопку Add, щоб додати новий список фільтрів (рис. 8). Задаємо йому ім'я і натискаємо кнопку Add, що призводить до запуску чергового майстра.

Рис. 8. Додаємо новий список фільтрів

Працюючи з майстром, визначимо джерело (source) пакетів (в випадаючому списку виберемо A specific DNS name і вкажемо ім'я Vista1.test.domain, для простоти будемо вважати, що IP-адресу цього хоста незмінний), одержувач server1.test.domain. Далі можна вибрати захищається протокол. У нашому прикладі - будь-який (Any).

Таким чином, ми створили фільтр і тепер потрібно відзначити його, як використовується (рис. 9).

Рис. 9. Вибираємо створений фільтр

У наступному вікні запитується дія, якщо приходить незахищений пакет. Його можна прийняти, при цьому відповідаючи захищеної посилкою, а можна заблокувати (для цього спеціального правила немає, потрібно створити нове, натиснувши кнопку Add). Обраний на рис. 10 варіант Require Security припускає, що сервер може приймати незахищені пакети, але у відповідь пропонує установку захищеного з'єднання.

Далі пропонується вибрати метод аутентифікації (рис. 11). Вибір робиться між Kerberos, сертифікацією на основі цифрових сертифікатів і попередньо встановленим ключем. Останній варіант найменш надійний. Що ж стосується перших двох, то якщо підключення проводяться всередині домену, можна вибрати Kerberos. Якщо вузол зовнішній, але наприклад, для нього нашим корпоративним центром сертифікації випущений сертифікат, можна застосувати другий метод аутентифікації.

Таким чином, ми створили нову політику. Тепер її треба призначити (Assign). Зробити це можна в редакторі доменної політики (Start-> Administrative Tools-> Group Policy

Management знайти Default Domain Policy і в контекстному меню вибрати Edit, після чого в розділі Computer Configuration -> Policies-> Windows Settings-> Security Settings знайти політики IPSec, вибрати потрібну і в контекстному меню вибрати Assign - рис. 12).

Рис. 10. Дії при отриманні незахищеного пакету

Рис. 11. Вибір методу аутентіфкаціі

Рис. 12. Призначення політики

Завдання

1.Створіть політику IPSec.

2.Застосувавши політику, перевірте з'єднання між комп'ютерами.

3.Цілком можливо, що відразу встановити з'єднання не вийде. Проблеми може викликати використання міжмережевих екранів (як вбудованих в Windows, так і окремих рішень), трансляція адрес (NAT), якщо вона застосовується. Можливі й інші причини.

4.При з'ясуванні причин неправильної роботи може використовуватися оснащення MMC IPSec Monitor (за замовчуванням вона не встановлюється, її треба додавати) - рис. 13.

5.Допомогти може також використання утиліти Network Monitor і аналіз журналів міжмережевих екранів (для вбудованого МЕ Windows порядок роботи описано в попередній лабораторній).

Рис. 13. Оснащення IPSec Monitor

Соседние файлы в папке 7 семестр

#
23.10.2019724.04 Кб102III_ЛР_1_Мiжмережевий_екран.pdf
#
23.10.2019300.18 Кб116III_ЛР_3_Сканування мереж NMap.pdf
#
23.10.2019134.99 Кб99III_ЛР_GNS3_Атаки на TCP.pdf
#
23.10.2019411.14 Кб130iptables.doc
#
23.10.2019681.32 Кб94ЛР_1_Мiжмережевий_екран.pdf
#
23.10.2019610.44 Кб97ЛР_2_Налаштування протоколу IPSec.pdf