Использование встроенной политики IPSec
В этом упражнении Вы будете активировать одну из встроенных политик IPSec для защиты трафика между двумя компьютерами. В качестве базового метода аутентификации политики по умолчанию используют проверку подлинности Kerberos. Поскольку оба компьютера являются членами домена Windows 2000, потребуется минимальные конфигурационные изменения.
Для активации политики на компьютере HQ-RES-WRK-01:
- В созданной Вами ранее консоли MMC выберите на левой панели Политики безопасности IP на "Локальный компьютер" (IP Security Policies on Local Machine). На правой панели будут отображены три элемента: Клиент (Только ответ) (Client), Безопасность сервера (Требовать безопасность) (Secure Server) и Сервер (Запрос безопасности) (Server).
- Щелкните правой кнопкой мыши на элементе Безопасность сервера (Требовать безопасность) (Secure Server) и выберите Назначить (Assign). Состояние в колонке Назначенная Политика (Policy Assigned) должно измениться с Нет (No) на Да (Yes).
- Повторите этап 1 на компьютере HQ-RES-WRK-02. Щелкните правой кнопкой мыши на элементе Клиент (Только ответ) Client и затем выберите Назначить (Assign). Состояние в колонке Назначенная политика (Policy Assigned) изменится с Нет (No) к Да (Yes).
Теперь первый компьютер (HQ-RES-WRK-01) выступает в качестве сервера безопасности, а второй (HQ-RES-WRK-02) – в качестве клиента. Если клиент первым попытается отправить открытым текстом (незащищенные) эхо-пакеты ICMP (используя утилиту ping) на сервер, то сервер потребует безопасности от клиента, и после ее установления последующие соединения будут защищенными. Если бы сервер выступил инициатором команды ping, то отправленные эхо-пакеты были бы защищены перед их отсылкой сервером. Если бы клиентский компьютер также использовал политику сервера безопасности, то он бы не отправил незащищенные эхо-пакеты, как, впрочем, и любой другой трафик. Все же желательно, установить защиту IPSec, до начала передачи данных приложениями. Если же оба компьютера используют политики клиента, то данные не будут защищены, поскольку ни одна из сторон не потребует безопасности.
- На компьютере HQ-RES-WRK-02 нажмите Пуск (Start), нажмите Выполнить (Run), введите cmd в текстовом поле и нажмите OK. Напечатайте ping IP1 (IP-адрес компьютера HQ-RES-WRK-01). В этом примере IP1 равен 10.10.1.5. Как изображено ниже на Рисунке 2, результаты команды ping указывают, что выполняется согласование IPSec.
Рисунок 2 – Результаты команды ping указывают на установление IPSec - Восстановите свернутое ранее окно монитора IP-безопасности (IP Security Monitor). Вы должны увидеть детали сопоставления безопасности (Security Association), которое используется между двумя компьютерами, а также статистику о полученных и отправленных проверенных (Authenticated) и секретных (Confidential) байтов.
- Повторите команду ping. Теперь между этими двумя компьютерами установлено сопоставление безопасности IPSec, и Вы должны будете успешно получить ответы команды ping, как показано на Рисунке 3. В этом примере IP1 равен 10.10.1.5.
Рисунок 3- Успешные ответы команды ping - Продолжая работать на компьютере HQ-RES-WRK-02, на левой панели MMC раскройте узел Управление компьютером (Computer Management), щелкнув соответствующий значок [+], затем раскройте узел Служебные программы (System Tools), раскройте узел Просмотр событий (Event Viewer) и щелкните по журналу Безопасность (Security Log). Щелкните дважды по наиболее свежей записи в журнале, имеющей тип Аудит успехов (Success Audit), расположенной на правой панели.
- Вы должны увидеть информацию о событии установленного сопоставления безопасности IPSec. Используйте полосу прокрутки для просмотра описания. Содержание этой записи должно быть аналогично изображенной ниже (имя компьютера и IP-адрес конечно будут отличаться в зависимости от конфигурации Вашей сети):
Установлено сопоставление безопасности IKE Режим: Режим защиты данных (быстрый режим) Идентификация: Kerberos: hq-res-wrk-01$@RESKIT.COM IP-адрес узла: 10.10.1.5 Фильтр: Исходный IP-адрес 10.10.1.6 Исходная маска IP-адреса 255.255.255.255 Конечный IP-адрес 10.10.1.5 Конечная маска IP-адреса 255.255.255.255 Протокол 0 Исходный порт 0 Конечный порт 0 Параметры: ESP алгоритм DES CBC HMAC алгоритм SHA AH алгоритм Нет Инкапсуляция Режим транспорта Входящий SPI <a large number>1128617882 Исходящий SPI <a large number>865899841 Срок жизни (sec) 900 Срок жизни (kb) 100000
Итак, Вы успешно установили и сконфигурировали протокол IPSec между двумя компьютерами.