Сети
<<  Единый урок по безопасности в сети Корпоративные коммуникации и корпоративная культура  >>
Управление безопасностью сети
Управление безопасностью сети
Для выполнения лабораторной необходимо:
Для выполнения лабораторной необходимо:
Общие сведения о протоколах безопасности сети
Общие сведения о протоколах безопасности сети
Протоколы безопасности сети
Протоколы безопасности сети
Создание и использование консоли «Анализ и настройка безопасности»
Создание и использование консоли «Анализ и настройка безопасности»
Создание консоли
Создание консоли
1. Выберите Пуск (Start)\Выполнить (Run), в открывшемся окне введите
1. Выберите Пуск (Start)\Выполнить (Run), в открывшемся окне введите
Подготовка места для нестандартных шаблонов безопасности и добавление
Подготовка места для нестандартных шаблонов безопасности и добавление
Создание собственных шаблонов
Создание собственных шаблонов
4. Найдите в правой панели разделы Сетевой доступ (Network Access) и
4. Найдите в правой панели разделы Сетевой доступ (Network Access) и
Модификация шаблона путем редактирования М-файла 1. В окне Проводника
Модификация шаблона путем редактирования М-файла 1. В окне Проводника
3. Введите имя базы данных в текстовое поле Имя файла (File Name) и
3. Введите имя базы данных в текстовое поле Имя файла (File Name) и
Восстановление (откат) после применения шаблона
Восстановление (откат) после применения шаблона
Восстановление конфигурации параметров безопасности путем применения
Восстановление конфигурации параметров безопасности путем применения
Анализ соответствия политике безопасности
Анализ соответствия политике безопасности
1. В консоли Security Configuration Management щелкните узел Анализ и
1. В консоли Security Configuration Management щелкните узел Анализ и
5. Поочередно раскройте каждый из узлов и внимательно ознакомьтесь с
5. Поочередно раскройте каждый из узлов и внимательно ознакомьтесь с
Использование протоколов сетевой безопасности
Использование протоколов сетевой безопасности
Создание запрещающей политики
Создание запрещающей политики
Создание пустой консоли 1. Выберите Пуск(Start)\Выполнить (Run), в
Создание пустой консоли 1. Выберите Пуск(Start)\Выполнить (Run), в
6. Щелкните ОК
6. Щелкните ОК
4. Сбросьте флажок Использовать правило по умолчанию (Activate the
4. Сбросьте флажок Использовать правило по умолчанию (Activate the
9. Сбросьте флажок Использовать мастер (Use Add Wizard) и щелкните
9. Сбросьте флажок Использовать мастер (Use Add Wizard) и щелкните
14
14
Создание политики согласования
Создание политики согласования
1. В консоли Security Configuration Management щелкните правой кнопкой
1. В консоли Security Configuration Management щелкните правой кнопкой
6. В окне Параметры обмена ключами (Key Exchange Settings) щелкните
6. В окне Параметры обмена ключами (Key Exchange Settings) щелкните
8. Выберите один из оставшихся методов защиты и щелкните Изменить
8. Выберите один из оставшихся методов защиты и щелкните Изменить
10
10
17
17
23
23
Экспорт и последующий импорт политики на другой компьютер
Экспорт и последующий импорт политики на другой компьютер
1. В консоли Управление политикой безопасности IP (IP Security Policy
1. В консоли Управление политикой безопасности IP (IP Security Policy
Управление IPSec с помощью Netsh
Управление IPSec с помощью Netsh
1. Выполните команду входа в Netsh, а затем переведите утилиту в
1. Выполните команду входа в Netsh, а затем переведите утилиту в
3. Создайте список с одним фильтром, который реагирует на telnet, а в
3. Создайте список с одним фильтром, который реагирует на telnet, а в
5. Добавьте правило, управляющее согласованием telnet: Add rule
5. Добавьте правило, управляющее согласованием telnet: Add rule
7. Добавьте действие фильтра — блокировка telnet-трафика: Add
7. Добавьте действие фильтра — блокировка telnet-трафика: Add
11
11
13
13
Применение Netsh для мониторинга IPSec
Применение Netsh для мониторинга IPSec
5. Установите интервал IPSec в 60 сек
5. Установите интервал IPSec в 60 сек
Применение Монитора IP-безопасности для мониторинга IPSec-подключения
Применение Монитора IP-безопасности для мониторинга IPSec-подключения
Использование Netcap для записи сетевой информации протокола IPSec
Использование Netcap для записи сетевой информации протокола IPSec
4. Измените содержимое файла и попытайтесь сохранить его
4. Измените содержимое файла и попытайтесь сохранить его
Вопросы
Вопросы

Презентация на тему: «Управление безопасностью сети». Автор: Sergey. Файл: «Управление безопасностью сети.ppt». Размер zip-архива: 219 КБ.

Управление безопасностью сети

содержание презентации «Управление безопасностью сети.ppt»
СлайдТекст
1 Управление безопасностью сети

Управление безопасностью сети

2 Для выполнения лабораторной необходимо:

Для выполнения лабораторной необходимо:

Контроллер домена (Computer1) и рядовой член домена (Computer2) Сетевой монитор (Network Monitor)

3 Общие сведения о протоколах безопасности сети

Общие сведения о протоколах безопасности сети

Протоколы безопасности сети используются для управления и защиты аутентификации, авторизации, конфиденциальности, целостности данных и невозможности отрицания авторства (nonrepudiation). К основным протоколам безопасности в сетях относятся: Kerberos, NTLM (New Technology Local Area Network Manager), IPSec (Internet Protocol Security) и их подвиды

4 Протоколы безопасности сети

Протоколы безопасности сети

5 Создание и использование консоли «Анализ и настройка безопасности»

Создание и использование консоли «Анализ и настройка безопасности»

Шаблоны безопасности — мощный инструмент управления сетевой безопасностью. Проще всего использовать его и анализировать политики безопасности с помощью в консоли с оснастками Шаблоны безопасности (Security Templates) и Анализ и настройка безопасности (Security Configuration and Analysis).

6 Создание консоли

Создание консоли

Применение шаблонов по умолчанию

Создадите консоль, которая позволит просматривать, настраивать или копировать шаблоны безопасности, добавлять новые папки для хранения шаблонов, а также применять шаблоны к компьютеру Работа с шаблонами в консоли никак не повлияет на безопасность компьютера

7 1. Выберите Пуск (Start)\Выполнить (Run), в открывшемся окне введите

1. Выберите Пуск (Start)\Выполнить (Run), в открывшемся окне введите

mmс и щелкните ОК. 2. В меню Консоль (Console) выберите Добавить или удалить оснастку (Add/Remove Snap-In). 3. В одноименном окне щелкните кнопку Добавить (Add). 4. В окне Добавить изолированную оснастку (Add Standalone Snap-In) выберите Шаблоны безопасности (Security Templates) и щелкните кнопку Добавить (Add). 5. Выберите оснастку Анализ и настройка безопасности (Security Configuration and Analysis), щелкните Добавить, а затем Закрыть (Close). 6. Щелкните ОК, чтобы добавить выбранные оснастки в консоль. 7. Сохраните консоль, выбрав в меню Консоль пункт Сохранить как (Save As). В поле имени файла введите Security Configuration Management и щелкните Сохранить (Save).

8 Подготовка места для нестандартных шаблонов безопасности и добавление

Подготовка места для нестандартных шаблонов безопасности и добавление

их в консоль

1. В окне Проводника создайте новую папку с именем Custom Templates. 2. Откройте консоль Security Configuration Management. 3. Щелкните Шаблоны безопасности (Security Templates) правой кнопкой и выберите Новый путь для поиска шаблонов (New Template Search Path). 4. Выберите папку Custom Templates и щелкните ОК. В консоли Security Configuration Management появится новая папка. Рекомендуется никогда не изменять шаблоны по умолчанию, а новые (или существующие, которые надо изменить) шаблоны размещать в отдельном месте.

9 Создание собственных шаблонов

Создание собственных шаблонов

Копирование существующего шаблона 1. В консоли Шаблоны безопасности (Security Templates) щелкните файл Securews.inf правой кнопкой и выберите Сохранить как (Save As). 2. В качестве места хранения выберите созданную ранее папку Custom Templates, а в качестве имени файла — Test1. Щелкните Сохранить (Save). Изменение шаблона 1. Раскройте папку Custom Templates в консоли Security Configuration Management. Чтобы увидеть шаблон Test1, возможно придется обновить консоль. 2. Раскройте разделы шаблона Test1. 3. Раскройте узел Локальные политики (Local Policies) и выберите Параметры безопасности (Security Options).

10 4. Найдите в правой панели разделы Сетевой доступ (Network Access) и

4. Найдите в правой панели разделы Сетевой доступ (Network Access) и

Сетевая безопасность (Network Security) и изучите их значения. Обратите внимание, что значение политики — Не определено (Not defined); 5. Дважды щелкните политику Завершение работы: разрешить завершение работы системы без выполнения входа в систему (Shutdown: Allow System to Be Shut Down Without Having to Log on). Откроется окно свойств политики. 6. Установите флажок Определить следующий параметр политики в шаблоне (Define This Policy Setting in The Template) (если он еще не установлен) и отметьте переключатель Отключен (Disabled). 7. Щелкните ОК. 8. Сохраните внесенные изменения, щелкнув правой кнопкой имя шаблона и выбрав в контекстном меню Сохранить (Save).

11 Модификация шаблона путем редактирования М-файла 1. В окне Проводника

Модификация шаблона путем редактирования М-файла 1. В окне Проводника

перейдите в папку Custom Template. 2. Дважды щелкните шаблон Test1, чтобы открыть его в окне Блокнот (Notepad). 3. Изучите раздел [Registry Values]. Здесь изменяют или добавляют разделы реестра, на которые подействует шаблон в случае его применения. Применение шаблона 1. Создайте шаблон отката командой: secedit /generaterollback /cfg testl.inf /rbk testlrollback.inf /log test1rollback.log 2. В консоли Security Configuration Management щелкните узел Анализ и настройка безопасности (Security Configuration And Analysis) правой кнопкой и выберите Открыть базу данных (Open Database). База данных не образуется автоматически, поэтому сначала надо ее создать.

12 3. Введите имя базы данных в текстовое поле Имя файла (File Name) и

3. Введите имя базы данных в текстовое поле Имя файла (File Name) и

щелкните кнопку Открыть (Open). Поскольку в п. 1 создан шаблон отката, то можно без опаски применять созданный нами шаблон. 4. В окне Импорт шаблона (Import Template) выберите шаблон Testl.inf и щелкните кнопку Открыть (Open). 5. Щелкните узел Анализ и настройка безопасности правой кнопкой и выберите Настроить компьютер (Configure Computer Now). 6. На запрос подтверждения местоположения журнала ошибок щелкните ОК. Журнал ошибок позволяет узнать, когда и какие шаблоны применялись к компьютеру. 7. Дождитесь окончания процесса конфигурирования и закройте консоль, не сохраняя ее.

13 Восстановление (откат) после применения шаблона

Восстановление (откат) после применения шаблона

Может случиться так, что после изменения параметров безопасности обнаруживается, что компьютер стал недоступен из сети или наоборот степень его защиты стала ниже требуемой. Если перед применением шаблона был создан шаблон отката, систему можно вернуть в исходное состояние. Если также надо вернуть разрешения файловой системы и реестра в состояние, в котором они находились после установки, можно применить один из установочных шаблонов по умолчанию. Если этого не нужно, достаточно применить шаблон отката.

14 Восстановление конфигурации параметров безопасности путем применения

Восстановление конфигурации параметров безопасности путем применения

шаблона отката 1. В консоли Security Configuration Management щелкните узел Анализ и настройка безопасности (Security Configuration And Analysis) правой кнопкой и выберите Импорт шаблона (Import Template). 2. В одноименном окне выберите шаблон TestlroIIback.inf. 3. Установите флажок Очистить эту базу данных перед импортом (Clear This Database Before Importing) и щелкните кнопку Открыть. Если флажок не установить, будет применена информация из обоих шаблонов. 4. Щелкните узел Анализ и настройка безопасности правой кнопкой и выберите Настроить компьютер (Configure Computer Now). 5. Щелчком ОК подтвердите местоположение файла журнала ошибок. 6. Закройте консоль Security Configuration Management.

15 Анализ соответствия политике безопасности

Анализ соответствия политике безопасности

При конфигурировании систем часто используют политики безопасности, но затем о них благополучно забывают и при возникновении неполадок оказывается, что никто не помнит, какие значения параметров задавались. С помощью оснастки Анализ и настройка безопасности (Security Configuration and Analysis) можно сравните текущие значения параметров с эталонным шаблоном.

16 1. В консоли Security Configuration Management щелкните узел Анализ и

1. В консоли Security Configuration Management щелкните узел Анализ и

настройка безопасности (Security Configuration And Analysis) правой кнопкой и выберите Импорт шаблона (Import Template). 2. Выберите шаблон Test1.inf и щелкните кнопку Открыть (Open). 3. Щелкните узел Анализ и настройка безопасности правой кнопкой и выберите Анализ компьютера (Analyze Computer Now). 4. Щелчком OK подтвердите местоположение файла журнала ошибок. По завершении анализа вы сможете исследовать в консоли параметры базы данных и отличия от политики.

17 5. Поочередно раскройте каждый из узлов и внимательно ознакомьтесь с

5. Поочередно раскройте каждый из узлов и внимательно ознакомьтесь с

изменениями, которые представлены в правой панели. Изменения помечены красным крестом. Обратите внимание на столбцы Параметр базы данных (Database Setting) и Параметр компьютера (Computer Setting) — по ним вы сможете точно определить различия, а также обратите внимание на не проанализированные элементы — возможно, придется изучать их вручную. 6. Закройте консоль.

18 Использование протоколов сетевой безопасности

Использование протоколов сетевой безопасности

IPSec — это сложный протокол, который служит для: аутентификации и шифрования трафика между двумя компьютерами; блокирования определенного входящего и исходящего трафика; разрешения определенного входящего и исходящего трафика. Политики IPSec (IPSec policies) можно рассматривать как набор фильтров пакетов, реализующих политику безопасности IP-трафика. Каждый фильтр (filter) описывает определенное действие сетевого протокола. Если входящий или исходящий трафик устройства (компьютера или иного оборудования IP-сети), на котором есть активная политика, удовлетворяет условиям одного из фильтров, соответствующие пакеты блокируются, пропускаются или перед дальнейшей пересылкой между источником и приемником устанавливается IPSec-подключение.

19 Создание запрещающей политики

Создание запрещающей политики

В Windows Server 2003, Windows 2000 и Windows XP Professional доступ к IP-безопасности можно получить через объект групповой политики (GPO) или в оснастке Управление политикой безопасности IP (IP Security Policy Management).

20 Создание пустой консоли 1. Выберите Пуск(Start)\Выполнить (Run), в

Создание пустой консоли 1. Выберите Пуск(Start)\Выполнить (Run), в

открывшемся окне введите mmc и щелкните ОК. 2. В меню Консоль (Console) выберите Добавить или удалить оснастку (Add/Remove Snap-In). 3. В одноименном окне щелкните кнопку Добавить (Add). 4. В окне Добавить изолированную оснастку (Add Standalone Snap-In) выберите Управление политикой безопасности IP (IP Security Policy Management) и щелкните кнопку Добавить (Add). 5. В окне Выбор компьютера или домена (Select Computer or Domain) щелкните Готово (Finish), оставив вариант по умолчанию Локальный компьютер (Local Computer). Щелкните Готово (Close). В окне Добавить или удалить оснастку указана выбранная оснастка Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer).

21 6. Щелкните ОК

6. Щелкните ОК

7. Сохраните консоль, выбрав в меню Консоль пункт Сохранить как (Save As), введите имя файла IP Security Policy Management и щелкните Сохранить (Save). Создание запрещающей политики 1. В консоли Политики безопасности щелкните узел Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) правой кнопкой и выберите Создать политику безопасности IP (Create IP Security Policy). 2. В окне Мастер политики IP-безопасности (IP Security Policy Wizard) щелкните Далее (Next). 3. В поле Имя (Name) введите block web server access. В поле Описание (Description) введите описательный текст и щелкните Далее.

22 4. Сбросьте флажок Использовать правило по умолчанию (Activate the

4. Сбросьте флажок Использовать правило по умолчанию (Activate the

default response rule) и щелкните Далее. Это правило разрешает небезопасную связь. В большинстве случаев это надо предотвратить, и правило удаляется. Его всегда можно при необходимости восстановить. 5. Щелкните Готово (Finish). 6. В окне свойств новой политики сбросьте флажок Использовать мастер (Use Add Wizard). Мастер позволяет создавать сложные политики, а при создании простых лишь усложняет дело. Щелкните кнопку Добавить (Add). 7. На вкладке Список фильтров IP (IP Filter List) щелкните Добавить (Add). 8. В поле Имя (Name) введите blocking, а в поле Описание (Description)— blocking protocols.

23 9. Сбросьте флажок Использовать мастер (Use Add Wizard) и щелкните

9. Сбросьте флажок Использовать мастер (Use Add Wizard) и щелкните

кнопку Добавить (Add), чтобы добавить фильтр. 10. В списке Адрес назначения пакетов (Source Address) выберите Любой IP-адрес (Any IP Address), а в списке Адрес источника пакетов (Source Address) выберите Мой IP-адрес (My IP Address). 11. На вкладке Протокол (Protocol) в поле со списком Выберите тип протокола (Select a protocol type) выберите TCP. 12. В области Установка порта для протокола IP (Set The IP Protocol Port) выберите Пакеты на этот порт (to this port), введите 80 и щелкните OK. 13. Выберите запись Blocking в списке IP-фильтры и перейдите на вкладку Действие фильтра (Filter Action).

24 14

14

Сбросьте флажок Использовать мастер (Use Add Wizard) и щелкните кнопку Добавить (Add), чтобы определить действие фильтра, то есть то, что происходит, когда фильтр активизируется. В данном случае фильтр блокирует любой входящий трафик через порт 80. 15. На вкладке Методы безопасности (Security Methods) выберите вариант Блокировать (Block). 16. На вкладке Общие (General) и в поле Имя (Name) введите block и щелкните ОК. 17. На вкладке Действие фильтра (Filter Action) выберите действие Блокировать (Block), щелкните Закрыть (Close), а затем — ОК. Создание политики не изменяет поведение компьютера — для этого надо применить политику: щелкнуть значок политики правой кнопкой и выбрать Назначить (Assign). На машине разрешается только одна активная политика.

25 Создание политики согласования

Создание политики согласования

Создание политики шифрования связи между двумя компьютерами Политики согласования должны практически совпадать на обоих компьютерах. Политику, которую определите, надо экспортировать, а затем импортировать на Computer2. Если в домене Windows многие компьютеры используют одну политику, ее можно создать как часть объекта групповой политики (GPO).

26 1. В консоли Security Configuration Management щелкните правой кнопкой

1. В консоли Security Configuration Management щелкните правой кнопкой

Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) и выберите Создать политику безопасности IP (Create IP Security Policy). 2. В окне Мастер политики IP-безопасности (IP Security Policy Wizard) щелкните Далее (Next). 3. В поле Имя (Name) введите encrypt telnet traffic. В поле Описание (Description) введите описательный текст и щелкните Далее. 4. Сбросьте флажок Использовать правило по умолчанию (Activate the default response rule) и щелкните Далее, а затем — Готово (Finish). 5. В окне свойств политики перейдите на вкладку Общие (General) и щелкните кнопку Параметры (Settings), чтобы просмотреть и скорректировать параметры обмена ключами.

27 6. В окне Параметры обмена ключами (Key Exchange Settings) щелкните

6. В окне Параметры обмена ключами (Key Exchange Settings) щелкните

кнопку Методы (Methods). В окне Методы безопасности при обмене ключами (Key Exchange Settings) определяют особенности создания основного ключа. Хотя частое обновление ключей обеспечивает повышенную безопасности связи, оно часто отрицательно сказывается на производительности. 7. В окне Методы безопасности при обмене ключами выберите четвертый (последний) заданный по умолчанию метод защиты и щелкните кнопку Удалить (Remove). Затем удалите третий метод защиты. Должны остаться два первых метода. Удаление двух методов и изменение группы Диффи-Хеллмана оставшихся методов защиты укрепляет безопасность основного ключа, но может отрицательно сказаться на производительности. Компьютер, пытающийся создать подключение, должен поддерживать по крайней мере один из двух оставшихся методов, иначе подключение создать не удастся.

28 8. Выберите один из оставшихся методов защиты и щелкните Изменить

8. Выберите один из оставшихся методов защиты и щелкните Изменить

(Edit). 9. В окне Алгоритмы безопасности IKE (IKE Security Algorithms) в поле со списком Группа Диффи-Хелмана (Diffie-Hellman Group) выберите Высокая (2048) [High (2048)]. Щелкните ОК. Повторите аналогичную операцию со вторым методом защиты. Изменение группы Диффи-Хелмана способствует укреплению безопасности по двум причинам. Во-первых, для вычисления основного ключа используются большие простые числа; во-вторых, связь возможна только с другими компьютерами под управлением Windows Server 2003, потому что только они поддерживают этот параметр. Выбор самой надежной группы Диффи-Хелмана часто вызывает проблемы, так как пользователи с «устаревшими» ОС утрачивают способность создавать подключения. Это также может отрицательно сказаться на производительности, ведь ключ длиннее и ресурсов на шифрование затрачивается больше.

29 10

10

Два раза щелкните ОК, чтобы возвратиться к вкладке Общие. Затем перейдите на вкладку Правила (Rules). 11. Установите флажок Использовать мастер (Use Add Wizard) и щелкните Добавить (Add), чтобы добавить правило. 12. В окне Мастер создания новых правил IP-безопасности (Create IP Security Rule Wizard) щелкните Далее. 13. На странице Конечная точка туннеля (Tunnel Endpoint) щелкните Далее. В этой политике туннель не нужен. 14. На странице Тип сети (Network Type) щелкните Далее, приняв значение по умолчанию — Все сетевые подключения (All network connections). Эта политика действует независимо от того, где инициируется подключение. 15. На странице Список фильтров IP (IP Filter List) щелкните Добавить (Add), чтобы создать список фильтров. 16. В поле Имя (Name) введите negotiate, а в поле Описание (Description) — описательный текст.

30 17

17

Установите флажок Использовать мастер (Use Add Wizard) и щелкните кнопку Добавить (Add), чтобы добавить фильтр. 18. В окне Мастер IP-фильтра (IP Filter Wizard) щелкните Далее (Next). 19. В поле Описание (Description) введите описание фильтра и щелкните Далее. 20. В поле со списком Адрес источника пакетов (IP traffic source) выберите Определенный IP-адрес (A Specific IP Address). 21. В поле IP-адрес (IP Address) введите IP-адрес компьютера Computer1 и щелкните Далее. 22. На странице Назначение IP-трафика (IP Traffic Destination) в поле со списком Адрес назначения (Destination Address) выберите Определенный IP-адрес (A Specific IP Address) и введите IP-адрес Computer2. Щелкните Далее.

31 23

23

На странице Тип IP-протокола (IP Protocol Type) выберите TCP и щелкните Далее. 24. В поле Пакеты на этот порт (to this port), введите , щелкните Далее, а затем — Готово (Finish). 25. Щелкните ОК, чтобы возвратиться в окно Мастер правил безопасности. 26. Выберите фильтр Negotiate и щелкните Далее. 27. Выберите Требуется безопасность (Require Security) и щелкните Далее. 28. В качестве метода аутентификации выберите Kerberos и щелкните Далее, а затем — Готово (Finish). 29. Щелкните ОК, чтобы завершить создание правила. Щелкните ОК еще раз, чтобы закончить процедуру.

32 Экспорт и последующий импорт политики на другой компьютер

Экспорт и последующий импорт политики на другой компьютер

До назначения политики согласования надо позаботиться, чтобы на другом компьютере конфигурация политики совпадала. Один способ решения этой задачи — создать политику на другом компьютере вручную, но можно экспортировать политику с одного компьютера и импортировать на другой компьютер.

33 1. В консоли Управление политикой безопасности IP (IP Security Policy

1. В консоли Управление политикой безопасности IP (IP Security Policy

Management) на Computer1 щелкните Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) правой кнопкой и выберите Все задачи (All Таsks)\Экспортировать политики (Export Policies). 2. Перейдите к общей папке на Computer1, введите имя файла и щелкните Сохранить (Save). 3. На Computer2 создайте консоль Управление политикой безопасности IP (IP Security Policy Management). 4. Щелкните правой кнопкой Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) и выберите Все задачи (All аsks)\Импортировать политики (Import Policies). 5. Выберите файл политики и щелкните Открыть (Open). Политика безопасности успешно скопирована на компьютер. Закройте все консоли и выйдите из системы обоих компьютеров.

34 Управление IPSec с помощью Netsh

Управление IPSec с помощью Netsh

Любую задачу, доступную в оснастке Управление политикой безопасности IP (IP Security Policy Management), можно выполнить с помощью команды Netsh. Эта утилита позволяет делать то, что невозможно в оснастке, например: применение безопасности компьютера при запуске, определение ограничения трафика при загрузке, определение уровня диагностика, соблюдение ограничений трафика по умолчанию, выполнение строгой проверки CRL, журналирование IKE (Oakley), изменение интервалов записи в журналы и создание постоянной политики.

35 1. Выполните команду входа в Netsh, а затем переведите утилиту в

1. Выполните команду входа в Netsh, а затем переведите утилиту в

статический контекст: Netsh NetshMpsec static 2. Создайте политику на Computer1 командой: Add policy name="telnet“ description="only allow negotiated telnet from computer2 to computerl“ activatedefaultrule=no mmsecroethods="3D ES-MD5-3” В этой политике надо задать два правила. Одно блокирует весь telnet-трафик, а второе организует согласование telnet между Computer2 и Computer1. Перед созданием правил надо задать список фильтров, сами фильтры и действие фильтра. Если создать фильтр для несуществующего списка фильтра, список фильтров создается автоматически.

36 3. Создайте список с одним фильтром, который реагирует на telnet, а в

3. Создайте список с одним фильтром, который реагирует на telnet, а в

качестве IP-адреса источника задайте 192.168.92.x2 (Computer2): Add filter filterlist="telnet computer2" srcaddr=192.168.x.2 dstaddr=Me description="computer2 telnet to computerl“ protocol=TCP mirrored=yes srcmask=32 dstmask=32 srcport=0 dstport=23 4. Следующая команда определяет действие фильтра, согласующего telnet между Computer2 и Computerl: Add filteraction name="negotiate computer2 telnet" qmpfs=no inpass=no soft=no action=negotiate qmsecmethods="ESP[3DES,MD5]“

37 5. Добавьте правило, управляющее согласованием telnet: Add rule

5. Добавьте правило, управляющее согласованием telnet: Add rule

name="telnetN" policy="telnet"filterlist="telnet computer2“ filteraction="negotiate computer2 telnet" Kerberos=yes description="this rule negotiates telnet if the source computer is computer2“ 6. Подготовьте список фильтров и действие фильтра для второго правила: создайте список с одним фильтром, который реагирует на telnet и запрещает telnet-трафик с любых компьютеров: Add filter filterlist="blocktelnet" srcaddr=Any dstaddr=Me description="all telnet to computerl“ protocol=TCP mirrored=yes srcmask=24 dstmask=24 srcport=0 dstport=23

38 7. Добавьте действие фильтра — блокировка telnet-трафика: Add

7. Добавьте действие фильтра — блокировка telnet-трафика: Add

filteraction name="block all telnet" inpass=yes action=block 8. Создайте правило, управляющее согласованием telnet: Add rule name="telnetN" policy="telnet"filterlist="blocktelnet" filteraction="block all telnet“ Kerberos=yes description="this rule negotiates telnet if the source computer is computer2" 9. Назначьте политику: set policy name=telnet assign=yes 10. Войдите в систему Computer2 как Администратор (Administrator) и откройте окно командной строки.

39 11

11

Откройте контекст Netsh. На Computer2 надо задать один список фильтров, с одним фильтром и действием. Это позволит согласовать telnet-подключение с Computed. Сначала создайте политику командой: Add policy name="telnet" description="only allow negotiated telnet to computeri from computer2" activatedefaultrule=no mmsecrnethods="3D ES-MD5-3" 12. Затем создайте список фильтров: Add filter filterlist="telnet computeri" srcaddr=Me dstaddr=192.168.x.2 description="computer2 telnet to computeri" protocol=TCP mirrored=yes srcmask=32 dstmask=32 srcport=0 dstport=23

40 13

13

Далее создайте действие фильтра: Add filteraction name="negotiate computer2 telnet" qmpfs=no inpass=no soft=no action=negotiate 14. Теперь добавьте правило, управляющее согласованием telnet: Add rule name="telnetN" policy="telnet"filterlist = "telnet computeri" filteraction="negotiate computer2 telnet" Kerberos=yes description="this rule negotiates telnet to computeri" 15. Назначите политику. Помните, что в каждый момент времени активна только одна политика. Эту команду надо выполнить на обоих компьютерах. set policy name=telnet assign=yes 16. Закройте Netsh.

41 Применение Netsh для мониторинга IPSec

Применение Netsh для мониторинга IPSec

1. На любом из компьютеров запустите Netsh: Netsh Netsh>ipsec static 2. Командой Show проверьте активную политику, чтобы убедиться в успешности применения политики: show policy name=telnet level=verbose 3. Перейдите в динамический режим: Dynamic 4. Включите диагностику и запись всех событий (по умолчанию определено значение 0, то есть запись отключена): set config property=ipsecdiagnostics value=7

42 5. Установите интервал IPSec в 60 сек

5. Установите интервал IPSec в 60 сек

: set config property=ipsecloginterval value=60 6. Отобразите информацию об основном и быстром режиме сопоставления командами Show Mmsas All и Show Qmsas All соответственно. 7. Введите quit, чтобы выйти из Netsh

43 Применение Монитора IP-безопасности для мониторинга IPSec-подключения

Применение Монитора IP-безопасности для мониторинга IPSec-подключения

1. Откройте оснастку Монитор IP-безопасности на обоих компьютерах. 2. Убедитесь, что активна назначенная вами политика IPSec. Ознакомьтесь с параметрами активной политики. Совпадают ли они с теми, что были заданы? 3. Последовательно дважды щелкните подузлы Сопоставления безопасности (Security Associations) узлов Основной режим (Main Mode) и Быстрый режим (Quick Mode) . Этот позволит узнать, какой метод шифрования используется. 4. Закройте окна.

44 Использование Netcap для записи сетевой информации протокола IPSec

Использование Netcap для записи сетевой информации протокола IPSec

1. На Computerl создайте файл Test1.txt, щелкнув правой кнопкой общую папку Shared Captures в Проводнике (Windows Explorer), выбрав Создать (New) и Текстовый документ (Text Document). Затем укажите имя файла — Test1. txt — и щелкните ОК. 2. На Computer2 откройте окно командной строки и выполните Netcap с буфером 1 Мб и сохраните записанные данные в файл C:\Authentication.cap : netcap /с:c:\authentication.cap /n:0 3. При включенной записи данных подключитесь к общей папке \\Computer1\Captures\ на контроллере домена и дважды щелкните файл Testl.txt, чтобы открыть его в Блокноте (Notepad).

45 4. Измените содержимое файла и попытайтесь сохранить его

4. Измените содержимое файла и попытайтесь сохранить его

Появится сообщение о запрещении доступа, так как по умолчанию группе Все (All) предоставлено разрешение только на чтение. 5. В другом окне командной строки подключитесь по telnet к контроллеру домена командой: telnet computer1 6. Вернитесь в окно командной строки для Netcap и нажмите клавишу «пробел», чтобы остановить сбор данных. В окне отобразится информация о названии файла с записанными данными. 7. Откройте файл с записями в Network Monitor и найдите информацию, подтверждающую чтение файла. Текст в файле должен отображаться открытым текстом. 8. Найдите согласование ISAKMP и кадры ESP. 9. Закройте файл записи данных и окно сетевого монитора.

46 Вопросы

Вопросы

«Управление безопасностью сети»
http://900igr.net/prezentacija/informatika/upravlenie-bezopasnostju-seti-107830.html
cсылка на страницу
Урок

Информатика

130 тем
Слайды
900igr.net > Презентации по информатике > Сети > Управление безопасностью сети