Что такое IPSec?
IPSec (IP Security) – набор протоколов для защиты информации, передаваемой в локальной сети, позволяющее осуществлять проверку подлинности (контрольные суммы MD5) и/или шифрование (DES, 3DES) IP-пакетов. В этом комплексе протоколов есть также средства для безопасного обмена ключами в глобальной сети.
Поскольку протоколы IPSec являются как бы дополнением протокола IP и расположены на 3 уровне модели OSI (сетевом) они могут использоваться для обеспечения безопасности любых других протоколах, основанных на UDP и TCP. По защищённому каналу может происходить обмен как между двумя хостами, так и между шлюзами безопасности.
Состав IPSec.
- AH (Authentication Header) – обеспечивает аутентификацию источника информации;
- ESP (Encapsulating Security Payload) – обеспечивает шифрование трафика;
- SA (Security Association) – обеспечивает связку алгоритмов, необходимых для работы двух предыдущих протоколов.
- ISAKMP (Internet Security Association and Key Managemen Protocol) – обеспечивает процедуру атуентификации и обмена ключами, а также осуществялет проверку подлинности ключей.
Настраиваются параметры IPSec в оснастке редактора групповых политик gpedit.msc. В общем-то на базе IPSec можно даже поднять своеобразный межсетевой экран, так как у него для этого есть все возможности:
- создание правил для разных узлов, портов и протоколов;
- создание различных действий для правила (принять, отклонить);
- фильтрация пакетов;
Ну, кто скажет, что этого недостаточно для созданий Firewall? Вполне хватит.
Специально для Вас я подготовил демонстрацию работы IPSec, которая покажет, как можно организовать защищённый обмен пакетами между двумя узлами.
Практикум по настройке IPSec
Итак, начнём с того, что запускаем редактор групповых политик GPEDIT.MSC
Переходим в ветку Computer Configuration / Security Settings / IP Security
Создаём новую политику. Учитывая то, что политик может быть создано несколько и использоваться они могут поочерёдно, желательно их правильно подписать, чтобы не запутаться.
Вот так я назову демонстрационную политику.
Галочку о применении правил по умолчанию лучше убрать. Вообще, мы будем настраивать IP Security ОТ и ДО сами, поэтому все мастера и автоприменения будем снимать.
Появился список правил. Создаём новое правило IPSec. Обратите внимание, снимаем внизу галочку “Мастер”.
И здесь тоже “Мастер”, всё снимаем. Придумываем название нашему правилу и добавляем новый фильтр. Вот так всё запутанно: Политика – Правило – Фильтр – Действия. Ничего, повторите за мной, а дальше сами легко будете создавать. Тем более, что я чувствую, будто это явно не последний урок по IPSec.
Здесь в адресах нового фильтра мы указываем в адресе источника наш адрес (My IP), а в адресе назначения укажем конкретный IP. Вообще, там много вариантов, и диапазон и подсеть. Но мы сейчас сделаем Point-to-point соединение.
На вкладочке “Протокол” выберем ICMP. Проверять будем командой ping.
С правилом покончили. Жмём OK и идём на вкладку Фильтр. Не забудьте снять галочку “Мастер”, я вот на скриншоте забыл.
Можно задать конкретно “Permit” и “Block”. Но нет! Мы выпендримся. Выбираем “Согласовать безопасность”. Ручная работа! Жмём Add.
Разумеется выбираем Custom и настраиваем всё сами.
Вот уже знакомые аббревиатуры (AH и ESP) – об этом писал выше в теоретической части. Итак, предлагаю подписывать пакеты SHA1, а шифровать 3DES. Генерируем новый ключ каждые 20 мегабайт
Готово. Теперь переходим снова в окно настройки правила и в способах аутентификации видим это:
Керберос удаляем, добавляем свой метод. Используем строку-ключ.
Всё готово! Теперь применяем нашу политику, клик правой кнопкой мыши и Assign.
Проверяем просто. Посылаем пинг на вторую систему. Видим, что пакеты не проходят по причине несогласования IPSec. Потому что на нашем узле всё настроено, а на целевом – нет! Повторяем все шаги на целевой системе, только адрес назначения – на нашу первую систему. И не забудем указать ту же самую ключевую фразу!
Проверяем. Первый пакет – согласование политик. А дальше пинги проходят свободно! В обе стороны.
Я тут запустил сниффер на первом узле, чтобы показать, какие пакеты проходят. Вы видите, что сначала идёт ISAKMP – это согласование политик. А дальше ESP – это уже зашифрованный трафик. Просмотреть, что там именно ECHO запрос – не получится. Так же можно оборачивать любой трафик в IPSec.
Comments: