На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Пошаговое создание политики IPSec

Чтобы проиллюстрировать удобство использования политики IPSec, мы рассмотрим пример создания политики для фильтрации пакетов для всех портов, кроме ТСР-порта 80 (служба World Wide Web). Такая политика обычно используется для Web-сервера, чтобы за­блокировать внешний доступ к другим запущенным в системе службам. Ниже перечислены основные действия.
1. Создать политику IPSec.
2. Задать правила.
3. Создать списки фильтров IP.
4. Определить параметры списка фильтров:
■ IP-адреса;
■ протоколы;
■ описания.
5. Задать действие фильтра: Permit (Пропустить), Block (Заблокировать) или Negotiate (Установить соединение).
6. Назначить политику и Проверить ее действие.
Сначала открываем оснастку IPSec Policy. Чтобы изменить политики IPSec локального компьютера, откроем приложение Local Security Policy (Локальная политика безопасности) Start^Run^secpol .msc {Пуск За пустить seep о 1 .msc). Для управления политиками IPSec домена или другого компьютера необходимо открыть пустое окно ММС Start1 Run mmc msc (Пуск Запустить mmo) и затем добавить в него оснастку IPSec Policy management. После этого будет предложено выбрать, хотите ли вы изменить политику IPSec локального компьютера, домена или другого компьютера. Помните, что политиками IPSec можно также управлять с помощью групповых политик (как описано выше). В нашем примере будем использовать метод изменения политики с помощью оснастки Local Security Policy, как показано на 13.
1. Щелкните правой кнопкой мыши на ветви IP Security Policies on Local Machine (Политика безопасности IP на "Локальный компьютер") на левой панели и выберите команду меню Create IP Security Policy (Создать политику безопасности IP).
2. Появится окно мастера создания политики с предложением ввести имя новой политики, назовем се WebServerOnly — вполне подходит для нашего случая.
3. На вопрос о необходимости активации правила Default Response (Правипо ответа по умолчанию) выбираем ответ No, так как мы не будем использовать политику для защиты взаимодействия сдругими системами.
4. После того как мастер завершит работу, свойства новой политики можно будет отредактировать, для этого нужно щелкнуть правой кнопкой мыши на ее названии и выбрать пункт меню Properties (Свойства).
5. На вкладке Rules (Правила) свойств политики добавляем необходимые списки фильтров (filter lists) и действия фильтров (filter actions) для обеспечения блокирования всего IP-трафика, кроме пакетов для ТСР-порта 80. Начнем с создания правила, которое блокирует передачу данных на локальную машину.
на заметку
Исходя из собственных предпочтений, для дапьнейшей работы мы откпючипи опцию управления фильтрами IPSec Use Add Wi2ard (Использовать мастер). Читатели, менее знакомые с интерфейсом настройки, могут продолжать ис-попьзовать мастер добавления фильтров
6. Щелкните на кнопке Add (Добавить), откроется окно New Rule Properties (Новое правило— свойства), которое позволяет связать с данным правилом списки IP-фильтров и действий фильтров с помощью соответствующих вкладок.
7. Выберите вкладку IP Filter List (Список фильтров IP) и щелкните на кнопке Add (Добавить) в левой нижней части окна, чтобы создать первый список 1Р-фильтров.
8. Так как первый список будет использован для указания всего входящего трафика, назовем его All Incoming. Добавим соответствующее описание и затем щелкнем на кнопке Add (Добавить), чтобы добавить новый фильтр в список.
9. В окне свойств фильтра Filler Properties (Фильтр— свойства) перейдите на вкладку Addressing (Адресация) и укажите в поле адрес источника пакетов значение Any IP Address (Любой iP-адрес), а в поле адрес назначения пакетов — My IP Address (Мой IP-адрес). Снимите флажок Mirrored (Отраженный), как показано на иллюстрации.
НА ЗАМЕТКУ
Везде в данном примере мы в качестве адреса назначения указывали значение My IP Address. Если сервер имеет несколько IP-адресов, то для фильтра нужно будет указать один из них.
10. Щелкните на вкладке Protocol (Протокол) и проверьте, чтобы в поле типа протокола было значение Any (Любой), которое используется по умолчанию, как показано ниже.
И. После завершения всех действий щелкните на кнопке ОК, чтобы вернуться назад к окну IP Filter List Properties {Список фильтров IP — свойства), затем щелкните на кнопке ОК еще раз, чтобы сохранить параметры созданного списка All Incoming.
12. Теперь нужно вернуться к окну New Rule Properties (Новое правило — свойства). Проверьте, чтобы был отмечен переключатель All Incoming.
13. Укажите действие фильтра для этого списка фильтров. Перейдите на вкладку Filter Action (Действие фипьтра) и щелкните на кнопке Add (Добавить) в левой нижней части окна.
14. Б открывшемся окне New Filter Action Properties (Создания действия фильтра — свойства) откройте вкладку Security Methods (Методы безопасности) и выберите переключатель Block (Блокировать), как показано на рисунке.
15. Откройте вкладку General (Общие), введите имя и описание для этого действия. Назовем его Block, а в описании введем Блокирует весь трафик, указанный в списке фильтров.
16. Щелкните на кнопке ОК, чтобы вернуться в окно Rule Properties (Правило — свойства). Затем щелкните на кнопке Close (Закрыть) в окне Rule Properties, чтобы вернуться к свойствам нашей политики WebServerOnly.Ну что, вы еще следите за пояснениями? Конечно, в Microsoft могли бы сделать интерфейс и чуть более понятным. Чтобы закончить настройку политики WebServerOnly, нужно добавить еще одно правило, делается это практически так же, как добавлялось первое правило. В политике WebServerOnly создайте новое правило с названием PermitHTTP. Затем добавьте новый список tP-фильтров под названием HTTP, для которого укажите следующие параметры.
т Addressing (Адресация): Source (Адрес источника пакетов) = Any IP Address (Любой IP-адрес), Destination (Адрес назначения пакетов) = My IP Address (Мой IP-адрес), функция Mirrored (Отраженный) отключена.
■ Protocol (Протокол): TCP, From any port (Пакеты из любого порта). То this port (Пакеты на этот порт) - 80.
■ Description (Описание): весь трафик, направленный на ТСР-порт 80 локальной машины. * Filter Action (Действие фильтра): Permit (Разрешить).
Часть V. Защита
и проверьте ее
Когда политика WebServerOnly создана, применить ее легко: шелкните правой кнопкой мыши на правой панели окна IPSec Policy Manager и выберите команду Assign (Применить). Политика начинает действовать немедленно, блокируется весь входящий трафик, кроме направленного на ТСР-порт 80 и разрешенных по умолчанию пакетов протоколов Kerberos и 1КЕ (исключения по умолчанию описаны в предыдущем разделе). Чтобы продемонстрировать работу этой политики, мы два раза проведем сканирование портов тестовой системы с помощью программы ScanLine (см. главу 3, "Предварительный сбор данных и сканирование") — до и после применения политики.
Результат сканирования системы до применения политики IPSec WebServerOnly (для краткости отредактирован).
С:\>*1 -р -t 1-65535 192.168.234.244
ScanLine (ТМ) 1.01
Copyright (с) Foundstone, Inc. 2002 http://www.foundstone.com
дп ft fiu <j WtjHfiCnO
Scan of 1 IP started at Moil Jul 28 17:17:22. 2003 192.168.234.244
Responds with ICMP unreachable: No
TCP ports: 53 80 88 135 139 389 445 464 593 636 1025 1026 1028 1047 Ь 10-48 3268 32 69 3389
___________________________________________________________________
Scan finished at Mon Jul 2S 17:34:28 2003
1 IP and 65535 ports scanned in 0 hours П mins 5.62 sees
Результаты сканирования того же сервера после применения политики WebServerOnly.
С:\>в1 -р -Ь 1-65535 192.168.234.244
ScanLine (ТМ) 1.01

Copyright (с) Foundstone, Inc. 2002 http://www.foundstone.com
Scan of 1 IP started at Mon Jul 28 17:37:22 2003
1Э2.168.234.244
Responds with ICMP unreachable: Ко TCP ports: 80
Scan finished at Mon Jul 28 17:54:28 2003
1 IP and 65535 ports scanned in 0 hours 17 mins 5.62 sees
Отметим, что мы сканировали только ТСР-порты— полное сканирование всех 65535 UDP портов дает ложные результаты, поскольку при сканировании UDP-портов программа ScanLine делает вывод о том, что порт закрыт, после получения ICMP-сообщения о недостижи­мости пункта назначения. Фильтры IPSec блокируют все порты, поэтому ответ о недостижимости не приходит и программа делает вывод, что порт открыт. После применения политики WebServerOnly все остальные порты исчезли. Также система не отвечает на ping-запросы. Эта система становится полностью невидимой, за исключением ТСР-порта 80. Это касается даже исключений по умолчанию, кроме UDP-порта 500, поскольку в Windows Server 2003 по умолчанию установлено значение параметра NoDefaultExsanpt-З. Прекрасно!
Политики IPSec можно применять для узлов, доменов или организационных единиц.

Значение 3 определяет, что единственным исключением для фильтров IPSec остается трафик протокола ISAKMP, это значение используется по умолчанию в системах Windows Server 2003.
Для того чтобы изменения значения этого параметра вступили в силу, необходимо перезагрузить компьютер.

Значение 3 определяет, что единственным исключением для фильтров IPSec остается трафик протокола ISAKMP, это значение используется по умолчанию в системах Windows Server 2003.
Для того чтобы изменения значения этого параметра вступили в силу, необходимо перезагрузить компьютер.

Значение 3 определяет, что единственным исключением для фильтров IPSec остается трафик протокола ISAKMP, это значение используется по умолчанию в системах Windows Server 2003.
Для того чтобы изменения значения этого параметра вступили в силу, необходимо перезагрузить компьютер.

Значение 3 определяет, что единственным исключением для фильтров IPSec остается трафик протокола ISAKMP, это значение используется по умолчанию в системах Windows Server 2003.
Для того чтобы изменения значения этого параметра вступили в силу, необходимо перезагрузить компьютер.

Значение 3 определяет, что единственным исключением для фильтров IPSec остается трафик протокола ISAKMP, это значение используется по умолчанию в системах Windows Server 2003.
Для того чтобы изменения значения этого параметра вступили в силу, необходимо перезагрузить компьютер.

Значение 3 определяет, что единственным исключением для фильтров IPSec остается трафик протокола ISAKMP, это значение используется по умолчанию в системах Windows Server 2003.
Для того чтобы изменения значения этого параметра вступили в силу, необходимо перезагрузить компьютер.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика