Завдання до лабораторної роботи. Організація шифрування трафіка при використанні утиліти IPSec

Ключові положення

Організація шифрування трафіка при використанні утиліти IPSec

Лабораторна робота № 8

Мета роботи

Вивчити методи захисту й безпеки даних у мережі, використовуючи шифрування даних, за допомогою утиліти IPSec. Навчитися створювати й активувати політики утиліти IPSec. Уміти перевіряти шифрування даних.

Internet Protocol Security (IPSec) – це набір протоколів шифрування, аутентифікації й забезпечення захисту при транспортуванні IP-пакетів. IP Security надає можливість шифрування всього мережного трафіка на третьому рівні, що дає можливість використання небезпечних протоколів, таких, наприклад, як telnet, оскільки всі дані будуть інкапсульовані утилітою IPSec і зашифровані при передачі за мережею.

Використання шифрування, за допомогою протоколу IPSec, дозволяє адміністраторові безпеки спростити процедуру виявлення програм прослуховування портів, тому що такі програми стають безглуздими.

Ключові питання

1. Поясніть, у чому полягає метод захищеної передачі даних з використанням IPSec?

2. Яким чином реалізовано метод захищеної передачі даних з використанням IPSec?

3. Поясніть призначення протоколу ESP.

4. Поясніть призначення й принцип роботи транспортного й тунельного режиму роботи IPSec:

5. Опишіть функції IPSec.

6. Опишіть функціональне призначення політик, які IPSec використовує за замовчуванням.

7. Які порти використовуються при передачі за протоколом ESP?

8. Опишіть можливості фільтра IPSec.

1. Запустіть консоль керування IPSec на вашому комп'ютері. Виберіть одну з політик IPSec, використовувану за замовчуванням, для цього відкрийте меню «Локальна політика безпеки» (Local Security Policy) у директорії «Адміністрування» (Administrative Tools) і виберіть розділ «Політики безпеки IP на локальному комп'ютері» (IP Security Policies on Local Computer). Ознайомтесь з принципами даної політики безпеки.

2. Створіть свій список фільтрів, зазначений, залежно від варіанта, у табл.8.1. Для цього виберіть у вікні «Локальні настроювання безпеки» (Local Security Settings) і виберіть у контекстному меню «Дія» пункт «Керування списками IP-Фільтра й діями фільтра» (Manage IP filter lists and filter actions). На закладці «Керування списками фільтрів IP» (Manage IP Filter Lists) натисніть кнопку «Додати» (Add). Введіть у поле ім'я назву списку. У стартовому вікні майстра фільтрів IP натисніть кнопку « Додати», а потім кнопку « Далі» ( Next). Виберіть один із пропонованих варіантів в якості джерела призначення і протокол, що задовольняє вимогам вашого завдання. Виберіть пункт «Пакети на цей порт» (To this port) і введіть у поле значення, що задовольняє вимогам вашого завдання. Для завершення роботи майстра натисніть кнопку «Готове» (Finish).

Як джерело ви можете вибрати:

– «Мій IP-Адреса» (My IP Address);

– «Любою IP-Адреса» (Any IP Address);

– «Певне DNS-Ім'я» (DNS name);

– «Певний IP-Адреса» (IP Address);

– «Певна підмережа IP» (IP network).

Як призначення ви можете вибрати:

– «Мій IP-Адреса» (My IP Address);

– «Любою IP-Адреса» (Any IP Address);

– «Певне DNS-Ім'я» (DNS name)4

– «Певний IP-Адреса» (IP Address);

– «Певна підмережа IP» (IP network).

Як протокол ви можете вибрати:

– EGP;

– HMP;

– ICMP;

– RAW;

– RDP;

– RVD;

– TCP;

– UDP;

– XNS-IDP;

– інші, із вказівкою номера порту;

– кожний.

3. Створіть власну дію фільтра, зазначену, залежно від варіанта, у табл.8.1. Для цього в діалоговому вікні «Керування списками IP-Фільтра й діями фільтра» (Manage IP filter lists and filter actions) перейдіть на закладку «Керування діями фільтра» (Manage Filter Actions) і натисніть кнопку «Додати». У стартовому вікні майстра настроювання дій фільтрів IPSec натисніть кнопку « Далі». У вікні настроювання загальних параметрів дії фільтра виберіть один із пропонованих варіантів, що задовольняє вимогам вашого завдання. Для завершення роботи майстра натисніть кнопку «Готово». Для завершення настроювання списку і дій фільтрів, натисніть кнопку «Закрити» (Close).

У вікні настроювання загальних параметрів дії фільтра ви можете вибрати одну з наступних дій:

– «погодити» (Negotiate);

– «б локувати» (Block);

– «д озволити» (Permit).

4. Створіть свою політику IPSec. Для цього у вікні «Локальні настроювання безпеки» виберіть із контекстного меню пункт «Створити політикові безпеки IP» (Create IP Security Policy) і у вікні майстра політики IP- Безпеки натисніть кнопку « Далі». Уведіть у поле ім'я, назву вашої політики. Відмовтеся від використання пункту «Використовувати правило за замовчуванням» (Activate the default response rule) і натисніть «Далі». Залишіть пункт «Змінити властивості» (Edit properties) і натисніть кнопку «Готово» для завершення роботи майстра.

5. Додайте до створеної вами політики правило за зазначеними критеріями, залежно від варіанта. Для цього в діалоговому вікні властивостей політики натисніть кнопку «Додати», потім кнопку «Далі». З переліку списків фільтрів виберіть назву вашої політики. Зі списку дій фільтрів виберіть одну з дій. Для завершення роботи майстра натисніть кнопку «Готове».

6. Призначте обрану політику, для цього виберіть пункт «Призначити» (Assign) політики «Назва вашої політики».

Варіанти завдань для виконання лабораторної роботи (Настроювання параметрів фільтра й політики IPSec):

1. Установлюючи політики на сервері вашої організації, створіть для комп'ютерів, які повинні використовувати безпечні з'єднання, політику, яка допускає небезпечні з'єднання з комп'ютерами не підтримуючими IPSec. Передбачте, щоб комп'ютер приймав незахищений трафік, але завжди виконував спробу захистити додаткові зв'язки, посилаючи відправникові запит безпеки. Включіть в політику правило запиту безпеки для всього IP-трафіка, метод перевірки дійсності Kerberos, без параметрів тунелюваня, для типу підключення – всіх мережних підключень.

2. Установлюючи політики на сервері вашої організації, створіть для комп'ютерів політику, яка дозволяє пересилати весь ICMP-трафік, не перевіряючи дійсність, без параметрів тунелюваня, для типу підключення – всіх мережних підключень.

3. Установлюючи політики на сервері вашої організації, створіть для комп'ютерів політики відгуку за замовчуванням для відповіді на запити безпеки від інших комп'ютерів. Включіть в політику динамічний список фільтрів, для дії фільтра – відгук за замовчуванням, з методом перевірки Kerberos, без тунелюваня, для типу підключення – всіх мережних підключень.

4. Сервер вашої організації передає секретні дані. Установіть політики на сервері, для комп'ютерів таким чином, щоб вони завжди вимагали захист усього вихідного трафіка, допускаючи відсутність захисту тільки для початкового вхідного запиту на з'єднання. Для цього включіть правило запиту безпеки для всього IP-трафіка, не перевіряючи дійсність, без тунелюваня, для типу підключення – всіх мережних підключень.

5. Установіть політики на сервері вашої організації, для комп'ютерів, таким чином, щоб дозволити пересилати весь ICMP-трафік, перевіряючи дійсність методом Kerberos, без тунелюваня, для типу підключення – всіх мережних підключень.

6. Установіть політики на сервері вашої організації, для комп'ютерів, забезпечивши правило відгуку за замовчуванням для відповіді на запити безпеки від інших комп'ютерів. Для цього включіть в правило динамічний список фільтрів IP, з дією фільтра за замовчуванням, методом перевірки дійсності Kerberos, без тунелюваня, для типу підключення – всіх мережних підключень.

7. Створіть політики для комп'ютерів, які захищають дані за запитом, для рішення задачі, коли клієнти інтрамережі можуть не вимагати використання IPSec, крім випадків, коли запит виходить із іншого комп'ютера, щоб забезпечити комп'ютеру, на якому активізована політика, відповідати на запити безпечного зв'язку. Включіть в політику правило відгуку за замовчуванням, що створює динамічні фільтри IP для вхідного і вихідного трафіка на основі методу перевірки дійсності Kerberos, без тунелюваня, для типу підключення – всіх мережних підключень.

8. Дозвольте дію, задавши, у фільтрі IP, політику для взаємодії з DNS сервером таким чином, щоб дані передавалися з адреси вашого комп'ютера, на будь-яку адресу й з будь-якої адреси на адресу вашого комп'ютера, за 53 порт tcp і udp протоколів. Включіть в політику правило зв'язку списку з дією; для всіх мережних інтерфейсів; на основі методу перевірки дійсності Kerberos, без тунелюваня, для типу підключення – всіх мережних підключень.

9. Дозвольте дію, задавши, у фільтрі IP, політики для взаємодії з SQL сервером таким чином, щоб дані передавалися з адреси вашого комп'ютера на будь-яку адресу й з будь-якої адреси на адресу вашого комп'ютера, за порт 1433 порту tcp і udp протоколами. Включіть в політику правило зв'язку списку з дією; для всіх мережних інтерфейсів; на основі методу перевірки дійсності кожної з них, без тунелюваня, для типу підключення – всіх мережних підключень.

10. Дозвольте дію, задавши, у фільтрі IP, політики для Web- Сервера таким чином, щоб з будь-якої адреси й будь-якого порту передавалися дані на адресу вашого комп'ютера, за 80 / tcp портом й з будь-якої адреси, будь-якого порту, передавалися дані на адресу вашого комп'ютера за портом 443 / tcp.

11. Створіть політики для комп'ютерів, створивши правило для фільтрації вихідного трафіка, тобто від адреси комп'ютера, на будь-яку адресу, за портом 1434 / udp. За допомогою даного правила заблокуйте будь-який вихідний трафік через порти UDP 1434 інших комп'ютерів мережі.

12. Настройте політики ізолювання доменів використовуючи наступні правила. Використовуйте настроювання для всього трафіка IP, дія фільтра: тільки Encapsulating Security Payload (ESP), нульове шифрування (null encryption), перевірка цілісності SHA - 1 (SHA - 1 integrity), обов'язковий захист (require security), заборона взаємодії між комп'ютерами без використання протоколу IPSec. При цьому дозволивши дії фільтрів, що містять адреси або діапазон адрес контролерів домена.

Зміст протоколу

Опишіть у протоколі настроювання, які ви зробили для рішення поставленого перед вами завдання, аргументуючи кожний пункт настроювання. Опишіть, яким чином можна створити з'єднання між двома вузлами, з передачею зашифрованого трафіка, переданого за протоколом IPSec.

Дата добавления: 2014-10-15; Просмотров: 551; Нарушение авторских прав?; Мы поможем в написании вашей работы!