Раздел: Документация

0 ... 43 44 45 46 47 48 49 ... 136

IPSec

5

разом настроить политику. Иначе IPSec не сможет преобразовывать DNS-имена компьютеров в действительные IP-адреса. Фильтр требуется настроить так, чтобы трафик между компьютером и сервером DNS не шифровался с использованием IPSec.

Добавьте спецификацию филмра к соответствующей политике и правилу.

►На вкладке Addressing

1.В списке Source address выберите My IP Address.

2.С помощью списка Destination address укажите IP-адрес сервера DNS. Пометьте флажок Mirrored для автоматического создания фильтра выхода.

►На вкладке Protocol

I. В полях From This Port и То This Port введите 53 (это стандартный порт, используемый большинством серверов DNS для связи; укажите здесь любой порт, который служба DNS использует для пересылки трафика).

Кроме тою, для данного правила политику согласования следует задать как Do Not Allow Secure Communication: No security methods be configured. Это гарантирует, что DNS-трафик не будет шифроваться с использованием IPSec.

Параметры TCP/IP

Если компьютер, инаяюпшйси членом точена, отключится от домена, копия параметров IPSec домена считывается из реестра ючпыогерл. Если компьютер не является членом мена, в системном реестре будет храниться локальная политика fPScc. Параметры TCP/IP позволяют компьютеру, не входящему в:юь-:дн использовать IPSec всегда, использовать IPSec по возможности и вообще не использовать IPSec.

Примечание Если компьютер подключен к домену, настройка параметров TCP/IP можна.

Практикум: создание пользовательской политики IPSec

Windows 2000 предоставляет вам для изучения несколько встроенных политик. Тем I - не менее в большинстве случаев при развертывании IPSec требуется создать собственную политику. Сейчас вы сформируете собственную политику IPSec. Данное упражнение следует выполнять на компьютерах.

► Задание 1: создайте собственную политику IPSec

1.Раскройте меню Start\Programs\Ad iiinisuative Tools и щелкните ярлык Local Security Policy.

2.В левой панели щелкните правой кнопкой значок IP Security Policy On Local Machine.

3.В контекстном меню выберите команду Create IP Security Policy (Создать политику

безопасности IP).

4.После запуска мастера щелкните кнопку Next, чтобы продолжить.

5.Введите имя политики. Two Computer Policy, и щелкните Next.

6.В окне Requests For Secure Connection (Запросы безопасного соединения) . снимайте флажок Default Response Rule (Использовать правило по умолчанию) и щелкните Next.

7.Оставьте способ проверки подлинности по умолчанию для .о ich i пфпкдили по протоколу Kerberos и щелкните Next.

«. Убедитесь, что помечен флажок Edit Properties (Изменить свойства». 9. Щелкните кнопку Finish, чтобы завершить начальную настройку.

---

Заняше Л

и

109

10.Откроется окно свойств: неего!

На данным момент вы еше не создали собегнешюе прилило, а лишь настроили свойстваответа, пснольsyeverc по умолчанию. Опишите назначение правила ответа по умолчанию.

Далее вы будете настраивать политики IPSec вручную, с помошью диалоговых- окон и вкладок, использования мастеров.

►Чаланис 2: добавьте новое нраип и>

1.В нижней части диалогового окна свойств сбросьте флажок Use Add Wizard (Исп >льзо-вать

2.На вкладке Rules окна свойств щелкните кнопку Add (Добавить).

3.Откроется окно свойств нового правила.

Выфильтры для обмена данными между компьютерами. Сейчас вы ссат-

дите фильтр выхода, указав i Р-ллрес своего компьютера в качестве исходного адреса и IР-адрес второго компьютера в качестве конечного адреса. Функции отражения лвтома гичес-ки создаст вчедщщш фплмр. по iciaaaa соответствующие алрееа компьютеров.

" Задание 3: добавьте новый фильтр

I. Щелкните кнопку Add. Откроется диалоговое окно llJ Filter List (Список фильтров IP). .2. В поле Name (Имя) введите имя фильтра - Host A-Host В Filter.

3.Сбросьте флажок Use Add Wizard (Использова i ь мастер).

4.Щелкните кнопку Add.

5.Откроется окно свойств фильтра.

6.В поле Source Address введите конкретный IP-адрес.

7.Добавьте IP-адрес своего компьютера.

8.В поле Destination Address введите конкретный IP-адрес. 9. Добавьте IP-адрес второго компьютера.

1(1. Щелкните ОК и проверьте, добавлен ли ваш фильтр в список Filters (Фильтры) л налогового окна IP Filter List.

11.Щелкните кнопку Close (Закрыть).

12.На вкладке IP Filter List (Список фильтров I Р> активизируйте новый фильтр, щелкнув переключаteai,, расположенный ралом с только что добавленным списком фал т?эк.

В предыдущем задании вы создали входящий и исходящий фильтры для пакетов связи. Л теперь вы определите дет: мши. предпринимаемые вошошении фильтруемых макета,.

►Задание 4: задайте действие фильтра

1.Перейдите на вкладку Filter Action (Действие фильтра) и сбросьте флажок Use Add Wizard.

2.Щелкните кнопку Add, чтобы задать действие фильтра.

3.Убедитесь, что на вкладке Security Methods (Методы безопасности) помечен флажок Negotiate Security (Согласовать безопасность).

4.Убедитесь, что флажок Allow Unsecured Communication With Non IPSEC Aware Computer tliHpeiiiati.cmi «ь с компьютерами, не поддерживающими IPSEC) сброшен.

5.Щелкните кнопку Add, чтобы выбрать метод защиты.

6.Выберите Medium (АН) (Средняя безопасность) и щелкните ОК.

7.Щелкните ОК. чтобы закрыть диалоговое окно задания действия фильтра.

8.Щелкните переключатель, рлепо.ны.епш.т рядом с созданным фильтром, чтобь активизировать

Далее вы зададите порядокдоверительных взаимоотношенийдвумя

компьютерами. указав метод аутентификации, который будет использоваться при г опыт-

---

ке определения соглашения безопасности. Вы воспользуетесь готовым ключом — словом или фразой, которую должны знать оба компьютера для реализации доверительных взаимоотношений. Данный ключ не применяется для шифрования данных и в процессе согласования параметров связи длячтобы определить, установят компьютеры доверительные отношения или нет.

►Задание 5: выберите метод аутентификации

1.Перейдите на вкладку Authentication Methods (Методы проверки подлинности).

2.Щелкните кнопку Add.

3.Щелкните переключатель Pre-Shared Key (Использовать данную строку для зашиты

обмена ключами).

4.Введите в текстовом поле готовый ключ или пароль и щелкните ОК.

,5. Выберите в списке Pre-Shared Key (Общий ключ) и щелкните кнопку Move Up (Вверх), чтобы данный элемент стал первым.

Задание 6: проверьте параметры туннеля

1.Перейдите на вкладку Tunnel Setting (Параметры туннеля).

2.Убедитесь, что выбран переключатель This Rule Does Not Specify An IPSEC Tunnel (Это правило не указывает туннель IPSEC).

Задание 7: проверьте параметры типа подключения

1.Перейдите на вкладку Connection Type (Тип подключения).

2.Убедитесь, что выбран переключатель All Network Connections (Все сетевые подключения).

►Задание 8: завершите создание правила

Щелкните кнопкучтобы вернуться к окну свойств политики и завершить созда-

ние правила.

2.Убедитесь, что в списке помечено ваше новое правило.

3.Закройте окно свойств политики..

1 Задание 9: активизируйте новую политику

В правой панели консоли управления щелкните значок политики Two Computer Policy

правой кнопкой.

2.Щелкните кнопку Assign (Назначьте).

3.В столбце Policy Assigned (Назначенная политика) теперь должно значиться Yes (Да),

►Задание 10: протестируйте 1 PSec

Включите политику на обоих компьютерах.

2.Запустите утилиту Ping, указав адрес второго компьютера.

3.Первый опрос обычно проходит неудачно, поскольку на согласование политик требуется время.

4.После того как на компьютерах активируются идентичные политики, вы сможете успешно выполнять тестовые опросы.

5.Включите и отключите политику на одном из компьютеров, чтобы посмотреть, что происходит, если политики не одинаковы,

Резюме

IPSec очень просто настроить с помощьюи правил. Вы научились защищать сеть

их средствами, принимая во внимание прокси-серверы, NAT, протоколы SNMP и DHCP, службы DNS, WINS, контроллеры домена и т. д.

0 ... 43 44 45 46 47 48 49 ... 136