Иллюстрированный самоучитель по настройке Windows 2000/2003

Создание пользовательской политики IPSec

В предыдущем разделе мы использовали одну из встроенных политик IPSec для защиты передачи данных между двумя компьютерами, принадлежащих домену. Если Вам необходимо защитить передачу данных между компьютерами, которые не входят в домен, то Вам понадобится создать собственную политику, поскольку встроенные политики требуют проверку подлинности Kerberos, предоставляемую контроллером домена. Имеются и другие причины необходимости создания пользовательской политики, например, если Вам необходимо защитить передаваемые данные на основе сетевых адресов. В этом разделе мы будем создавать пользовательские политики, вначале определяя правила безопасности, затем – список фильтров, а в конце – действия фильтров.

Конфигурирование политики IPSec

Перед конфигурированием метода проверки подлинности IPSec (IPSec Authentication Method) списка фильтров (Filter List) или метода согласования (Negotiation method) Вы сначала должны создать новую политику.

Чтобы создать политику IPSec:

  1. На компьютере HQ-RES-WRK-01 в консоли MMC щелкните правой кнопкой мыши по узлу Политики безопасности IP на "Локальный компьютер" (IP Security Policies on Local Machine), затем нажмите Создать политику безопасности IP (Create IP Security Policy). Отобразится Мастер политики IP-безопасности (IP Security Policy Wizard).
  2. Нажмите кнопку Далее (Next).
  3. Введите Partner в качестве названия Вашей политики и нажмите кнопку Далее (Next).
  4. Снимите флажок Использовать правило по умолчанию (Activate the default response rule) и нажмите кнопку Далее (Next).
  5. Убедитесь, что установлен флажок по умолчанию Изменить свойства (Edit Properties), и нажмите кнопку Готово (Finish).
  6. В диалоговом окне созданной Вами политики убедитесь, что установлен флажок Использовать мастер (Use Add Wizard), расположенный в нижнем правом углу, и затем нажмите кнопку Добавить (Add) для запуска Мастера правил безопасности (Security Rule Wizard).
  7. Нажмите кнопку Далее (Next) для продолжения работы Мастера правил безопасности (Security Rule Wizard), запущенного на предыдущем шаге.
  8. Убедитесь, что переключатель установлен в положение по умолчанию Это правило не определяет туннель (This rule does not specify a tunnel). Нажмите Далее (Next).
  9. Убедитесь, что переключатель установлен в положение Все сетевые подключения (All network connections). В это положение переключатель установлен по умолчанию. Нажмите кнопку Далее (Next).

Конфигурирование Метода проверки подлинности IKE (IKE Authentication Method)

Далее Вы должны указать, каким образом будет организовано доверие между компьютерами, определив, как они будут подтверждать свою подлинность, и как они будут проверять подлинность другого компьютера при попытке установить сопоставление безопасности. В Windows 2000 обеспечивается три метода проверки подлинности IKE для установления доверительных отношений между компьютерами:

  • Аутентификация Kerberos v5 обеспечивается доменом Windows 2000, который выступает в качестве центра распространения ключей Kerberos v5 (Key Distribution Center). Kerberos обеспечивает безопасные взаимодействия между компьютерами, работающими под управлением Windows 2000 и принадлежащими домену, а также доменам, с которыми установлены доверительные отношения. IKE использует только свойства проверки подлинности Kerberos. Генерация ключей для сопоставления безопасности IPSec выполняется с использованием методов, описанных в RFC 2409. Эти методы также описаны в документе draft-ietf-ipsec-isakmp-gss-auth-02.txt.
  • Подписи открытого/закрытого ключа, используют сертификаты, совместимые с системами сертификатов различных производителей, таких как Microsoft, Entrust, VeriSign и Netscape.
  • Предварительные ключи проверки подлинности (которые являются паролями) используются только для установления доверительных отношений между компьютерами.

В этом упражнении Вы будете использовать предварительные ключи проверки подлинности. Два компьютера, участвующие в коммуникациях в ролях отправителя и получателя, должны знать кодовое слово, которое используется для установки доверительных отношений. Этот пароль не используется для шифрования передаваемых данных. Этот пароль используется только при согласовании, чтобы установить, доверяют ли компьютеры друг другу. Согласование IKE использует этот пароль, но не передает его через сеть. Однако ключи проверки подлинности хранятся открытым текстом в политике IPSec. Любой пользователь с достаточными правами доступа к компьютеру (или любой обладающий корректным идентификатором пользователя для компьютера, принадлежащего домену, в котором политика IPSec хранится в службе каталогов Active Directory) может узнать этот ключ проверки подлинности. Администратор домена должен настроить контроль доступа к каталогу политики IPSec таким образом, чтобы предотвратить возможность просмотра политики IPSec. Вследствие этого корпорацией Microsoft не рекомендуется использовать предварительные ключи при проверке подлинности IPSec, за исключением либо тестирования, либо в случаях, необходимых для обеспечения взаимодействия с реализациями IPSec сторонних производителей. Корпорацией Microsoft рекомендуется использовать либо Kerberos, либо проверку подлинности с использованием сертификатов вместо применения предварительных ключей.

Для конфигурирования метода проверки подлинности по правилу:

  1. Выберите Использовать данную строку для защиты обмена ключами (Use this string to protect this key exchange) и введите ABC123. Вы не должны использовать пустую строку. Нажмите кнопку Далее (Next).

Примечание
 Если Вам потребуется при проверке подлинности использовать сертификаты, изучите соответствующие инструкции о получении сертификатов с публичных серверов сертификатов корпорации Microsoft, доступных в Интернет.

Если Вы заметили ошибку, выделите, пожалуйста, необходимый текст и нажмите CTRL + Enter, чтобы сообщить об этом редактору.