Раздел: Документация

0 ... 44 45 46 47 48 49 50 ... 136

Занятие Мониторинг IPSec

Выяснить, как политики и правила протокола IPSec применяются в вашей сети, можно путем мониторинга IPSec. Нй этом занятии описаны различные утилиты, предназначенные для этого, — IPSECMON.EXE, Event Viewer. Performance Monitor, Network Monitor и др.

Изучив материал этого занятия, вы сможете:

устранить проблемы с IPSec средствами IPSECMON.EXE. Event Viewer, Network Monitor или файлов IPSECPA.LOG и OAKLEY.LOG.

Продолжительность занятия — около 30 минут.

Средства управления и устранения проблем IPSec

Здесь описываются утилиты ynpnivici и in и устранения проблем IPSec, доступные в Windows 2000.

Утилиты управления IPSec

•Оснастка IP Security Policy Management применяется для создания и редактирования

политик (кроме того, можно воспользоваться утилитой Group Policy Editor).

•Утилита IPSecurity Management по умолчанию доступна в MeHroStart\Programs\Admi-nistrative Tools.

Средства мониторинга и устранения проблем

Утилита I Р Security Monitor (IPSECMON.EXE, рис.запускаемая из командной стро-

ки, выполняет мониторинг сопоставлений безопасности IP, интервалов смены ключей, ошибок согласования и прочей статистики протокола IP Security.

Статистика IPSec

IP Security Monitor позволяет фиксировать следующую статистику IPSec:

•Active Associations (Активные сопоставления) - счетчик активных сопоставлений дезо-пасности;

Confidential Bytes Sent/Received [Послано/получено байт (секретных)! - общее число байт,

по протоколу ESP;

•Authenticated Bytes Sent/Received [Послано/получено байт (проверенных)] - общее число байт, переданных/полученных по протоколу АН;

•Bad Packets (Сбойных пакетов SPI) — общее число пакетов с неверным SPI. Как мы уже говорили. SPI позволяет сравнивать входящие пакеты с SA. Если SPI неверен, это может означать, что входящее SA истекло, но прибылиспользующий

SPI. Значение данного счетчика может увеличиваться, если интервалы смены ключей слишком малы и имеется большое количество SA. Поскольку срок действия SA в большинстве случаев истекает, пакет с неверным SPI необязательно указывает на ошибки

работы IPSec;

---

P*»N«f4 5«си*у Ftarlww Swjct.4)d«3l lis: A**n= Pictoral Sn Роя. ГОД

• к — К J* , • л.!-.

1

Рис. 5-13. Утилита Security Monitor (Монитор IP-безопасности)

•Packets Not Decrypted (Незашифрор-анных пакетов) — обшее число пакетов, которые не удалось пасанпфропа! I,. Как и в случае с пакетами, имеющими неверные SPI. невозможность дешифровки пакета может указывать, что прибыл паке:, для которого истек срок действия SA. При этом также истекает срок действия ключа сеанса, используемого для расшифровки пакета. Невозможность дешифровки не обязательно указывает на ошибки работы IPSec;

•Packets Not Authenticated (Непроверенных пакетов) -обшее число пакетов, содержащих данные, которые не удалось проверить. Наиболее вероятная причина этого — истечение срокаSA;

•Key Additions (Дополнения по ключам) - обшее число ключей, переданных службой ISAKMP драйверу IPSec. Значение данного счетчика отражает обшее количество успешных согласований на втором этапе.

Статистика ISAKMP/Oakley

IP Security Monitor позволяет фмкепроааia, следующую статистику ISAKMP/Oakley:

•Oakley Main Modes (Главные режимы Oakley) - обшее число SA службы ISAKMP, созданных в промессе согласований на первом этапе;

•Oakley Quick Modes (Быстрые режимы Oakley) — обшее число SA протокола IPSec, созданных в процессе согласований на первом этапе. Поскольку срок окончания дей-

этих SA может быть разным, значение данного счетчика не обязательно соответствует значению счетчика Oakley Main Modes;

•SoftAssoeiations («Мягкие» сопоставления) - обшее число согласований на втором этапе, результате которых данные передавались открытым текстом. Обычно значение данного счетчика отражает число согласований, определенных с участием компьютеров, не поддерживающих IPSec;

•Authentication Failures (Сбой проверки подлинности) - общее число ошибок аутенти-

сущностейпо протоколу Kerberos спользователь-

ских сертификатов и определяемых вручную паролей). Значение данного счетчика не аналогично значению счетчикаNotкоторый отображает сведе-

ния об аутентификациипосредством хеширования.

---

4iPSee

Примечание Чтобы обнулить значение антнетнческнх данных IP Security Monitor, перезапустите агент IP Security Policy Agent.

Performance Monitor вьдюаас! объекты и счетчики IPVe Ниже перечислены события, которые можно атешегрировлть и затемс помошмо Event Viewer:

•события агента политики и драм вера I PScv в системном журнале;

•события Oakley в журнале приложений;

•события ISAKMP (сведения о SA) в журнале зашиты (если включен аудит входа в систему).

Использование Network Monitor

Network Monitor — полезная утилита для устранения проблем IPSec. И ограниченная версия, поставляющаяся с Windows 2000 Server, и полная версия, входящая в состав Microsoft Systems Management Server версии 2.0, включают синтаксические анализаторы для службы ISAKMP и протоколов AH/ESP. Network Monitor перехватывает всю информацию, пересылаемую по сетевому интерфейсу в данный момент времени.

Network Monitor версии 2.0 включает анализаторы ; пакетов IPSec. Если протокол IPSec шифрует пакеты, виден только сам ibikci . но не его содержимое. Если используется лишьпакетов, будути пакет и его содержимое. ESP отображается

как протокол IP с номером 50 (десятичное число), а АН - как протокол IP с номером 51 (десятичное число). Служба ISAKM P/Oakley отображается как порт протокола UDP номер 500 (десятичное число).

Примечание Поскольку данные протокола ESP зашифрованы, прочитать их непо шс жно

Практикум: просмотр незашифрованного трафика с помощью Network Monitor

Вы перехватите и просмотрите данные, пересылаемые по кабелю между ючш.ю ора-ми- Network Monitor версии 2.0 включает анализаторы для пакетов IPSec и ISAKMP. Network Monitor получает пакет после протокола IPSec, так что, если протокол зашифрует пакет, содержимое последнего не будет видно.

Данный практикумвыполнять на обоих компьютерах. Выполняйте

задание на них поочередно.

► Задание: просмотрите пакеты целое sнос ш IPSec (в формате АН)

: Запустите Network Monitor и установите сеть перехвата на MAG-адрес сетевой платы, соединяющей компьютер со второй системой.

Для просмотра МЛС-лдреса сетевого адаптера запустите утилиту ipt anlie с параметром /all.

2.В оснастке Local Security Settings назначьте политику Two Computet Policy (сама тут

практикуме занятия

3.Начните перехват пакетов с помощью Network Monitor.

4.Запустите утилиту ipsecmon.

5.Запустите утилиту ping, указав I Р-алрес ыорого компьютера.

0 ... 44 45 46 47 48 49 50 ... 136