Предварительные условия
Это руководство организовано в форме пособия к лабораторной работе, с помощью которого сетевые и системные администраторы смогут получить знания и понимание того, как работает IPSec в среде Windows 2000. Вы можете сконфигурировать политику IPSec локально на каждом компьютере, а затем внедрить и протестировать эту политику в сети, чтобы убедиться в защите сетевых коммуникаций. Для выполнения процедур, описанных в данном руководстве, Вам потребуется следующее:
- Два компьютера, работающих под управлением ОС Windows 2000. Вы будете использовать два компьютера, принадлежащих домену и работающих под управлением ОС Windows 2000 Professional, один из них будет выступать в роли клиента, а другой в качестве сервера с точки зрения IPSec, при этом компьютеры могут входить в состав одного домена, либо в разные домены, между которыми установлены доверительные междоменные отношения.
- Контроллер домена под управлением Windows 2000 Server.
- Локальная или глобальная сеть, соединяющая эти три компьютера.
Инфраструктура, принятая в качестве основной, описана в Пошаговом руководстве по развертыванию базовой инфраструктуры Windows 2000 Server (Step-by-Step Guide to a Common Infrastructure for Windows 2000 Server Deployment) http://www.microsoft.com/technet/prodtechnol/windows2000serv/default.mspx (EN).
Если Вы не используете основную инфраструктуру, Вам необходимо выполнить соответствующие изменения процедур, описанных в данном руководстве. Для выполнения действий описанных в разделе "Использование сертификатов при проверке подлинности" потребуется возможность подключения к серверу, работающему в качестве центра сертификации (ЦС). Если Вам понадобится установить сервер ЦС в Вашей сети, Вы можете воспользоваться Пошаговым руководством по настройке центра сертификации (Step by Step Guide to Setting Up a Certificate Authority) http://www.microsoft.com/windows2000/techinfo/planning/security/casetupsteps.aspю (EN).
Если у Вас есть сервер Kerberos v5, совместимый с MIT, и Вам необходимо проверить IPSec Windows 2000 при использовании Kerberos, Вы можете воспользоваться Пошаговым руководством по взаимодействию с Kerberos v5 (Step-by-Step Guide to Kerberos 5 Interoperability) http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.asp (EN).
В этом случае в Вашем распоряжении должны быть два компьютера, принадлежащих домену, поскольку аутентификация Kerberos обеспечивается контроллером домена. Также Вы можете использовать IPSec и на компьютерах, не принадлежащих домену. Для этого обратитесь к разделу, посвященному созданию пользовательской политики.
После выполнения процедур, описанных в данном руководстве, Вы будете иметь возможность:
- Использовать встроенную политику IPSec.
- Создать свою собственную политику IPSec.
- Определить состояние безопасности IP.
Необходимая информация
Вам потребуется следующая информация о компьютерах участвующих в тесте:
- Имя компьютера (щелкните правой кнопкой мышки на значке Мой компьютер (My Computer), выберите Свойства (Properties) и перейдите на вкладку Сетевая Идентификация (Network Identification)).
- IP-адреса Ваших компьютеров (нажмите кнопку Пуск (Start), затем нажмите Выполнить (Run), введите cmd и нажмите OK. Введите в командной строке ipconfig и нажмите Enter. После определения IP-адресов введите exit и нажмите Enter).