Безопасность функционирования информационных систем. Лекции для студентов.

1. Лекция 2.9. Защита сетевого трафика с использованием протокола IPSec в ОС MS Windows 2000-XP
   1. Протокол IPSec

Протокол IPSec позволяет осуществлять две важнейшие функции сетевой защиты — осуществлять криптографическую защиту трафика и выполнять фильтрацию входящих/исходящих пакетов. Протокол реализован в ОС Windows 2000/XP. Протокол обеспечивает аутентификацию участников сетевого обмена (протокол IKE — Internet Key Exchange), защиту целостности (заголовок аутентификации AH — Authentication Header) и шифрование (ESP — Encapsulating Security Payload)

Аутентифицирующий заголовок (AH) выполняет защиту от атак, связанных с несанкционированным изменением содержимого пакета. Для этого особым образом применяется алгоритм MD5: в процессе формирования AH последовательно вычисляется хэш-функция от объединения самого пакета и некоторого предварительно согласованного ключа, затем от объединения полученного результата и преобразованного ключа.

Заголовок ESP служит для обеспечения конфиденциальности данных, предполагает возможность использования любого симметричного алгоритма шифрования.

Протокол обмена ключами IKE отвечает за первоначальный этап установки соединения, способ инициализации защищенного канала, процедуры обмена секретными ключами, выбор метода шифрования. Предполагает три различных способа аутентификации: технологию «вызов-ответ» с использованием хэш-функции с общим секретным ключом, применение сертификатов открытых ключей и использование протокола Керберос.

1. Использование протокола IPSec для защиты сетей
   1. Шифрование трафика с использованием протокола IPSec

ВЫПОЛНИТЬ!

1. Проверьте возможность анализа сетевого трафика при отключенном протоколе IPSec. Запустите анализатор сетевого трафика. Отправьте текстовый файл (набранный латинскими буквами) на виртуальный компьютер. Просмотрите захваченные пакеты. Убедитесь, что файл передается по протоколу SMB, текст файла передается в открытом виде.

2. Осуществите настройку протокола IPsec. «Администрирование  Локальная политика безопасности  Политики безопасности IP».

3. Обратите внимание на существование трех шаблонов: «Безопасность сервера» (при использовании данного шаблона не допускается нешифрованный трафик), «Клиент (Только ответ)» (при использовании данного шаблона возможен нешифрованный трафик, если сервер его не требует) и «Сервер (Запрос безопасности)» (при использовании данного шаблона возможен нешифрованный трафик, если клиент не поддерживает шифрование).

4. Выполните настройку шаблона «Безопасность сервера». Измените настройку фильтра «Весь IP-трафик» (Рис. 1 .1).

5. В разделе «Методы проверки подлинности» измените метод Kerberos.

6. Выберите пункт «Использовать данную строку для защиты обмена ключами» и введите произвольную текстовую строку.

7. Примените внесенные изменения и активизируйте политику, выбрав из контекстного меню данного шаблона пункт «Назначить».

8. Аналогичные действия осуществите на соседнем компьютере. Убедитесь, что ключ шифрования (текстовая строка) совпадает.

Рис. 1.1. Окно настройки шаблона «Безопасность сервера»

1. Проверка защиты трафика

1. Убедитесь, выполняя команду PING, что для проверки присутствия в сети вашего компьютера возможны ICMP-пакеты как от соседнего компьютера (на котором также включено шифрование), так и от любого другого.

2. Убедитесь, что в сетевом окружении Вам доступен только соседний компьютер. При обращении к другим системам появляется ошибка.

3. Убедитесь путем анализа сетевого трафика при отправке на соседний компьютер текстового файла, что весь IP-трафик идет в зашифрованном виде.

4. Проверьте функционирование IPSec при использовании шаблонов «Клиент (Только ответ)» и «Сервер (Запрос безопасности)».

5. По окончании отключите шифрование трафика.

Рис. 1.2. Окно раздела «Методы проверки подлинности»

Рис. 1.3. Окно ввода ключевой строки

1. Настройка политики межсетевого экранирования с использованием протокола IPSec

Задача: разработать политику для Web-сервера, на котором разрешен только трафик через порты TCP/80 и TCP/443 из любой точки.

ВЫПОЛНИТЬ!

1. Запустите на своем узле Web-сервер. Проверьте его функционирование, обратившись с другого узла.

2. Запустите утилиту настройки протокола IPSec: «Администрирование  Локальная политика безопасности  Политики безопасности IP».

3. Из контекстного меню выберите «Управление списками IP-фильтра и действиями фильтра». Создайте два действия (сначала сбросьте флажок «Использовать мастер»): «Разрешение» (определяющее допустимый метод безопасности) и «Блокировка» (заблокированный метод безопасности) (Рис. 1 .4).

Рис. 1.4. Окно создания действий

1. Создайте список фильтров под названием «Любой», имеющий настройки по умолчанию, которые соответствуют всему трафику (Рис. 1 .5).

2. Создайте список фильтров под названием «Web-доступ» (Рис. 1 .6) для Web-сервера, разрешающего трафик на портах TCP/80 и TCP/443 из любой точки, основываясь на правилах:

Правило 1. Источник – Любой IP-адрес. Назначение – Мой IP-адрес. Отображаемый – Да. Протокол – TCP. Порт источника – Любой (ANY). Порт назначения – 80.

Правило 2. Источник – Любой IP-адрес. Назначение – Мой IP-адрес. Отображаемый – Да. Протокол – TCP. Порт источника – Любой (ANY). Порт назначения – 443.

Рис. 1.5. Окно создания списка фильтров «Любой»

Рис. 1.6. Окно создания списка фильтров «Web-доступ»

1. Создайте новую политику под названием «Web-доступ». Из контекстного меню окна «Политики безопасности IP» выберите «Создание политики безопасности IP». Воспользуйтесь мастером. Не активизируйте пункт «Использовать правило по умолчанию».

2. Добавьте в созданную политику правило доступа «Web-доступ», использующее список фильтров «Web-доступ» и действие «Разрешение».

3. Добавьте в созданную политику правило доступа «Любой», использующее список фильтров «Любой» и действие «Блокировка» (Рис. 1 .7). Обратите внимание на последовательность правил.

Рис. 1.7. Окно создания правила доступа

1. Примените политику «Web-доступ» (из контекстного меню политики «Web-доступ» выберите пункт «Применить», Рис. 1 .8).

Рис. 1.8. Окно применения политики

1. Проверьте политику «Web-доступ», осуществив подключение к 80-ому порту с другого узла.

6