Раздел: Документация

0 ... 45 46 47 48 49 50 51 ... 136

6.Вам, вероятно, придется повтори i в это действие, поскольку у ping очень короткое время ожидания, а для определения сопоставления безопасности IP Sec между двумя компьютерами требуется определенное время.

7.Остановите и просмотрите записи Network Monitor. 8. Просмотрите ipsecmon.

9.Дважды щелкните первый пакет КМР.

10.Обратите внимание, что отображаются строки, содержащие заголовки кадра, Ethernet, IP и АН.

I I. В области подробных сведений разверните запись IP.

12. Запишите номер протокола IP.

Прокрутите окно подробностей IP вниз и щелкните IP Data: Number Of Data Bytes Remaining = 64 (0x0040). Обратите внимание, что полезные данные IP приведены открытым текстом.

IPSec создал ICV на основе полей IP, ICMP и Data кадра.

Это позволяет IPSec предотвратит:) перехват данных, их изменение и вторичную отправку плохих данных. Посмотрев на панель Hex, вы увидите еше 32 символа, посланных ping. Используя метод зашиты АН, вы гарантируете аутентификацию, но не обеспечиваете шифрование данных пакета. АН лишь предотвращает изменения данных пакета и большей части заголовка IP, например исходного и конечного IP-адресов. В следующем практикуме вы просмотрите пакеты,метод защиты ESP, который шифрует содержимое пакета

Вы воспользуетесь Network Monitor, чтобы настроить шифрование ESP и просмотретьпакеты.

► Задание I: настройте шифрование ESP

1.Отмените политику Two Computer Policy.

2.Переключитесь в режим редактирования, щелкнув значок политики Two Computer

Policy правой кнопкой и выбрав в контекстном меню команду Properties.

3.Перейдите вкладку Filter Action.

4.Измените активное действие филы ра.

5.Щелкните кнопку Edit, чтобы скорректировать метод безопасности. 6.Выберите High (ESP).

7.Закройте все диалоговые окна.

8.Назначьте политику Two Computer Policy.

- "Падание 2: просмотрите зашифрованные < ISP) пакеты IPSec

перехват пакетов с помощью Network Monitor.

2.Запустите утилиту ipsecmon.

3.Запустите утилиту ping, указав IP-адрес второго компьютера.

4.Вам, вероятно, придется повторить это действие, поскольку у ping очень короткое время ожидания, для определениябезопасности IPSec между двумя компьютерами требуется определенное время.

5.Остановите и просмотрите записи Network Monitor.

6.Просмотрите ipsecmon.

7.Дважды щелкните кадр ESP.

S. В правой панели отобразятся четыре записи — Frame, Ethernet, IP и ESP. IPSec создал хеш полей ICMP и Data кадра.

Практикум: просмотр зашифрованного трафика с помощью Network Monitor

---

9.Разверните раздел IP и запишите протокол IP.

10.Прокрутите окно подробностей IP вниз и щелкните IP Data: Number Of Data Bytes Remaining - 76 (Ox004C). Взглянув на панель Hex, вы увидите, что данные зашифрованы.

Практи кум: использование диагностических утилит

Вы воспользуетесь диагностической утилитой IPSec Monitor, чтобы проверить, ак-Мг%* тивен ли протокол IPSec, и просмотреть активные SA.

Использование IPSec Monitor

В Windows 2000 Server имеется утилита мониторинга протокола IPSec под названием IPSecnton. Она позволяет просматривать «мщ кие- и «жесткие*- SAлокальных и удаленных компьютеров. IPSecmon не отображает отказавшие SA и другие фильтры.

В меню Start выберите команду Run и затем наберите ipsecraon [имя колшьютера] Для каждой мягкой или жесткой SA в окне отображается одна строка. Столбец слева, озаглавленный Policy Name (Имя политики), — это имя политики, которая была назначена и выполняется на компьютере. В столбце Negotiation Policy указывается метод един ты. выбранный в процессе согласования параметров связи. Сделана попытка разрешить исходный и конечный IP-адреса в имена DNS.

Кроме того, здесь приведена полная статистическая информация, собираемая с момента последнего запуска компьютера. Обязательно обратите на нее внимание,

•Успешные сопоставления безопасности IPSec первоначально вызовут один главный и один быстрый режимы Oakley. Операции обновления ключей обычно отражаютсл как дополнительные быстрые режимы.

•Слева отображаетсяобщее число принятых/переданных конфиденциальных! ESP) или аутентифицированных (ESP и АН) байт для всех «жестких» SA. Поскольку ESP юее-печивает и конфиденциальность, иданных, увеличиваются

на обоих счетчиках. Так как АН обеспечивает лишь аутентификацию данных, увеличивается только значение на счетчике переданных аутентифицированных байт.

•Справа отображается общее число «мягких» SA.

* Задание: убедитесь, активен ли IPSec, и просмотрите активные SA

1.В Control Pane] щелкните значок Network and Dial-Up Connections (Сеть и удаленный доступ к сети).

2.Щелкните значок Local Area Connection (Подключение по локальной сети) правой кнопкой и выберите в контекстном меню команду

3.Выберите Internet Protocol (TCP/IP), затем щелкните кнопку Properties.

4.Щелкните кнопку Advanced (Дополнительно).

5.Перейдите на вкладку Options (Параметры), выберите IP Security (IP-безопасность) и щелкните кнопку Properties.

Если компьютер использует локальную политику, ее имя отобразится в поле This IP Security Policy. Если используется политика, назначенная через механизмы групповой политики из Active Directory, поля будут недоступны, а имя назначенной политики

отобразится в том же поле. Резюме

Вы научились просматривать используемые в сети политики и правила IPSec средствами таких утилит, как IPSECMON.EXE и Network Monitor. Данные утилиты позволяют вести мониторинг и разрешать проблемы со связью IPSec в сети.

---

} ) g Внедрение IPSec

Закрепление материала

<> I Приведенные ниже вопросы помогут нам лучше усвоить оанжоые темы данной глины. Если г-ы не сумеете «т.мтить на вопрос, повторите материал

шегочлннши. npimii.iiiiibicoii.eiij см. в приложении «Вопросы и отвепди- в коште книги.

1.Какая организация стандартизовала про юкол IPSec?

2.Опишите отличия криптографии си открытым ключом.

3.Назовите функции службы JSAKMP/Oakie\.

4.Что включает в себя правило1

5.Когда надо исполыовать сертификат открытого ключа?

6. Для чспо применяется IP-фильтр?

0 ... 45 46 47 48 49 50 51 ... 136