Настройка шифрованного IPSec соединения между узлами

Что такое IPSec?

IPSec (IP Security) – набор протоколов для защиты информации, передаваемой в локальной сети, позволяющее осуществлять проверку подлинности (контрольные суммы MD5) и/или шифрование (DES, 3DES) IP-пакетов. В этом комплексе протоколов есть также средства для безопасного обмена ключами в глобальной сети.

Поскольку протоколы IPSec являются как бы дополнением протокола IP и расположены на 3 уровне модели OSI (сетевом) они могут использоваться для обеспечения безопасности любых других протоколах, основанных на UDP и TCP. По защищённому каналу может происходить обмен как между двумя хостами, так и между шлюзами безопасности.

Состав IPSec.

  • AH (Authentication Header) – обеспечивает аутентификацию источника информации;
  • ESP (Encapsulating Security Payload) – обеспечивает шифрование трафика;
  • SA (Security Association) – обеспечивает связку алгоритмов, необходимых для работы двух предыдущих протоколов.
  • ISAKMP (Internet Security Association and Key Managemen Protocol) – обеспечивает процедуру атуентификации и обмена ключами, а также осуществялет проверку подлинности ключей.

Настраиваются параметры IPSec в оснастке редактора групповых политик gpedit.msc. В общем-то на базе IPSec можно даже поднять своеобразный межсетевой экран, так как у него для этого есть все возможности:

  • создание правил для разных узлов, портов и протоколов;
  • создание различных действий для правила (принять, отклонить);
  • фильтрация пакетов;

Ну, кто скажет, что этого недостаточно для созданий Firewall? Вполне хватит.

Специально для Вас я подготовил демонстрацию работы IPSec, которая покажет, как можно организовать защищённый обмен пакетами между двумя узлами.

Практикум по настройке IPSec

Итак, начнём с того, что запускаем редактор групповых политик GPEDIT.MSC

Переходим в ветку Computer Configuration / Security Settings / IP Security

Создаём новую политику. Учитывая то, что политик может быть создано несколько и использоваться они могут поочерёдно, желательно их правильно подписать, чтобы не запутаться.

Вот так я назову демонстрационную политику.

Галочку о применении правил по умолчанию лучше убрать. Вообще, мы будем настраивать IP Security ОТ и ДО сами, поэтому все мастера и автоприменения будем снимать.

Появился список правил. Создаём новое правило IPSec. Обратите внимание, снимаем внизу галочку “Мастер”.

И здесь тоже “Мастер”, всё снимаем. Придумываем название нашему правилу и добавляем новый фильтр. Вот так всё запутанно: Политика – Правило – Фильтр – Действия. Ничего, повторите за мной, а дальше сами легко будете создавать. Тем более, что я чувствую, будто это явно не последний урок по IPSec.

Здесь в адресах нового фильтра мы указываем в адресе источника наш адрес (My IP), а в адресе назначения укажем конкретный IP. Вообще, там много вариантов, и диапазон и подсеть. Но мы сейчас сделаем Point-to-point соединение.

На вкладочке “Протокол” выберем ICMP. Проверять будем командой ping.

С правилом покончили. Жмём OK и идём на вкладку Фильтр. Не забудьте снять галочку “Мастер”, я вот на скриншоте забыл.

Можно задать конкретно “Permit” и “Block”. Но нет! Мы выпендримся. Выбираем “Согласовать безопасность”. Ручная работа! Жмём Add.

Разумеется выбираем Custom и настраиваем всё сами.

Вот уже знакомые аббревиатуры (AH и ESP) – об этом писал выше в теоретической части. Итак, предлагаю подписывать пакеты SHA1, а шифровать 3DES. Генерируем новый ключ каждые 20 мегабайт

Готово. Теперь переходим снова в окно настройки правила и в способах аутентификации видим это:

Керберос удаляем, добавляем свой метод. Используем строку-ключ.

Всё готово! Теперь применяем нашу политику, клик правой кнопкой мыши и Assign.

Проверяем просто. Посылаем пинг на вторую систему. Видим, что пакеты не проходят по причине несогласования IPSec. Потому что на нашем узле всё настроено, а на целевом – нет! Повторяем все шаги на целевой системе, только адрес назначения – на нашу первую систему. И не забудем указать ту же самую ключевую фразу!

Проверяем. Первый пакет – согласование политик. А дальше пинги проходят свободно! В обе стороны.

Я тут запустил сниффер на первом узле, чтобы показать, какие пакеты проходят. Вы видите, что сначала идёт ISAKMP – это согласование политик. А дальше ESP – это уже зашифрованный трафик. Просмотреть, что там именно ECHO запрос – не получится. Так же можно оборачивать любой трафик в IPSec.

Ссылка на видео (Ютуб)

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply