ПредишенСледващото

Netsh полезност добавя командния ред фундаментална сила IPsec

Познаването IPsec

Като се има предвид, че поради тяхната сложност, IPsec може да излиза извън рамките на задачите, които изпълняват администратори голямата част от деня, нека започнем с основните функции. Както подсказва името, IPsec се използват за осигуряване на допълнителна защита на сравнително ниско ниво на протокола IP. С IPsec, можете не само да се промени IP конфигурация за предаване на блокове на информация от една система към друга (типичен IP функция), но също така и за предаване на пакети, само когато изпращача и получателя криптиране тези пакети; Можете също така да изключите изпращането на пакети. Голямо предимство на IPsec е, че ние сме пак говорим за IP, а не на протоколите за по-високо ниво. С IPsec може да защити комуникацията в интернет е толкова лесно, колкото сигурна електронна поща, или на сделки Microsoft SQL Server, защото тези приложения се изпълняват върху горната част на IP слой.

Аз трябва да кажа, че IPsec - сряда, работа, която изисква познания относно специфични понятия. Компетентност в IPsec изисква разбиране на термини като политика, право, списъкът на филтри, филтър, филтър за действие, както и за удостоверяване.

Политики и наредби. Администратор защитава всички или някои IP-връзки в системата (или няколко системи), чрез създаването на т.нар IPsec политика. Политика - контейнер за едно или повече правила, и нищо друго, така че това е много по-ефективен, отколкото създаването на описанието, като например защитата на моя система SQL Server или Блок порт 80. Така например, в политиката на SQL Server може да се състои от две правила, като например : Позволете криптирана комуникация само на порт TCP 1433 с местен подмрежа ( «Позволете криптирана комуникация само чрез порт TCP1433 до локалната подмрежа") и Блок всякакви съобщения до TCP 1433 от никъде другаде ( «Блокиране на всички входящи TCP връзки на порт 1433 от други места" ). TCP - уеб-базиран интерфейс за основния сървър SQL Server. Всяко правило се състои от две задължителни части и един по избор. Задължителни компоненти включват в списъка на филтъра и филтър за действие, допълнително - удостоверяване.

филтър. Когато е определен филтър, има етап на действието филтър. IPsec филтър действие може да разреши връзката и предаване на пакети (стандартното поведение на линията, която се случва в повечето мрежи), блок връзки (само за да пуснете IP пакети), за криптиране или регистрации на потока от информация. Например, второто правило в нашата политика, Блок входящи съобщения до порт 1433 ( "групово всички входящи връзки на порт 1433"), определя действието на филтъра с функцията за блокиране.

Удостоверяване. Ако ефектът от филтъра не спира или разрешителното, и криптира и цифрово признаци, че трябва да има трети компонент на едно правило: криптиране или цифров алгоритъм и средства за обмен на криптографски кодове за такова криптиране и подписване - с други думи, механизъм за удостоверяване. IPsec стандарт позволява на двете страни в удостовери, ако знаят, общ парола, акции, или са членове на една и съща Active Directory гората - опция, която Kerberos се реализира в IPsec.

Пример порт блокиране

А просто задача, която може да се извърши с помощта на IPsec, - да се заобиколят индивидуален TCP или UDP порт. Въпреки, че блокирането на пристанищата и не изглежда особено полезно, аз използвах IPsec, така че да се използва прост партида файл, за да се създаде защитна стена в този случай, дори и след дебюта на защитната стена на Windows. За разлика от защитната стена на Windows, IPsec може да блокира изходящите пакети.

Да предположим, че се оказа, че част от персонала тайно използвате уеб сървъри съмнително съдържание. Необходимо е да се спрат тези дейности чрез създаване на набор от команди, които не позволяват изпращането и получаването на всяка опаковка, през пристанището 80. За да направите това, създайте политика, която съдържа едно правило. Ако пакетът се изпраща на специфична система на TCP порт 80, или е на път от пристанището 80 на системата, е необходимо протоколът IPsec да блокира пакета.

Създаване на политика

Започнете процеса, създаване на политика IPsec, което може да се нарече Блок Уеб сервиране. Netsh команда синтаксис е доста проста:

Всички наши инструкции, свързани с IPSec, трябва да започнат с Netsh IPSec Static. Тогава няма да има възможности за добавяне, изтриване, Set или Show, придружен от един от петте клавиши: политика, правило, filterlist, филтър или filteraction. Изисква се за повечето от пет параметъра - името = и описание =. Ако все още остават неясни за синтаксиса - често срещан проблем с Netsh, просто напишете командата без никакви параметри, например

филтър за развитие

Параметър filterlist = име определя IPsec, в който филтърните списъци, за да се сложи филтър. Но когато списъка с филтри е бил създаден? В Netsh разполагаме с екип да създадете списък с филтър, но в този случай, когато компонент добавяне на филтър за отбелязва, че новия филтър и е част от несъществуващ списък филтър, екипът започва да се създаде този списък филтър. всяка дума и ми са вградени ключови думи със стойности, които не изискват обяснение. Стойността на параметъра се разбира също dstport (брой дестинация порт) и srcport параметър = 0 означава всеки източник порт (или изходния порт).

Параметърът отразява = да потвърждава намерението ни да се запази този филтър се превърна в правило е в сила за пакети, които влизат в пристанището 80 на системата, а, напротив, завареното порт 80. Можете да създадете две отделни филтри в списъка с филтри, но много филтри IPsec просто изискват един чифт, както и чифт по-горе, който може да бъде наречен "огледало".

Създаване на действието на филтъра

Сега ние работим филтъра. Всичко, което трябва да се направи - е да се определи действието, което ще блокира информацията, както е показано по-долу:

Тази команда създава филтър действие с blockit името, и е ясно, че същността на блокирането му информация.

Политиката на оформление

Сега имаме една политика, списък филтър и филтър за действие, остават обвързани със списък филтър и филтър действия в едно правило, както е в следната команда:

Това е дълга команда, но тя е достатъчно ясна. Позволете ми да ви напомня, че обикновено се състои от най-малко две части - в списъка на филтри и филтърни действия - и е компонент на политиката. Параметри на командата дават правилото име (блок 80), списъкът с филтър, за да се използва (80 навътре или навън), действието да се извърши (blockit) и описание. Така че, политиката е конфигуриран.

прилагането на политиката

Сега остава да изпълни нашата политика. Можете да използвате командата

На следващо място, преместване в друга система, трябва да стартирате Microsoft Internet Explorer (IE) и се опитайте да откриете на вашия уеб-сървър на началната страница. Internet Explorer ще се опита на няколко пъти да се извърши операцията, и в крайна сметка да се откаже. Опитайте отново, върнете се към сървъра и PR-тип

и ще видите на началната страница.

Освен това - по-

Примерът на IPSec, дадени в статията - това е най-простото нещо, можете да опитате, но на по-сложните операции е не много по-отнема време и са в състояние да реши много важни проблеми. Заключване и да позволи на трафик - две от най-простите, но не е единственият начин да се използва IPsec стандарт. С IPsec да се регистрирате или криптиране на трафика, както и тези процедури изискват малко повече знания. Така че сега ние трябва да се промени на проблема обсъдено по-горе: създадете правило на IPSec, което позволява на уеб-сървър, за да се даде възможност на трафика на TCP порт 80, но само ако е криптирана Triple DES (3DES) и подписан с Secure Hash Algoritm-1 алгоритъм (SHA-1).

Създаване на политика. Точно както преди, ще създадем политика IPsec, който се използва за уеб-сървър или група от уеб сървъри. Тази политика ще се състои от едно правило, което трябва да бъде списък филтър и филтър за действие (както и метод за удостоверяване, но повече за това по-късно). филтърът ще се активира правило, ако информацията се подава към специфична система чрез TCP порт 80, или ако информацията от системата във всяка посока чрез TCP-порт 80. За да се даде възможност на списъка с филтри, действието, че правилото - да поиска криптиране 3DEC и подпис SHA-1.

Всички команди, свързани с IPsec стандарт, като се започне с Netsh IPsec Static. Добави политика Key създава политика, а екипът отива при именуването и описание на политиката.

Създаване на филтър и филтър списък. Филтър, който ние искаме да се развива, ще осигури IP-команда, за да активирате конкретно правило, ако информацията е или минава през TCP порт-80, така че този филтър е подобен на този, който е създаден по-горе:

Създаване на действието филтър. Вместо филтър стъпки в последно време и се състои в блокиране на предаването на информация, когато един филтър е съчетана, сега е действие ще представлява подпис криптиране и предаване в случай, че състоянието на филтъра е изпълнено. Този пост е както следва:

Ключови Add Филтрация добавя действие филтър, а екипът отива на името и описанието на действието. Обърнете внимание на включването на действието на параметъра = преговаря вместо действие = блок или действие = разрешително. Този параметър се използва както в цифровия подпис и за криптиране и подписи. Но какво се случва тук?

Този въпрос е отговорено със следните параметри qmsecmethods = »ESP [3DES, SHA1]. Този вариант има редица възможни алтернативи, но по същество укажете ESP режим [] или AH [] и посочете избрания алгоритъм за криптиране или алгоритъм хеш функция в скобите. Например, «AH [SHA1] ще използваме SHA1 хеш функция за цифрови подписи на трафика. режим ESP изисква имената на две криптографски алгоритми - за криптиране и хеширане, защото той и криптира, знаци и трафик. По този начин, «ESP [3DES, SHA1]» режим криптира с помощта на троен DES алгоритъм и подписа с хеш функция SHA1 а.

Последните три параметри се отнасят до три кутии в графичния потребителски интерфейс при конфигуриране на IPsec филтър. Първият прозорец - Приемане необезпечени комуникация, но винаги реагира с помощта на IPSec ( «За незащитен съединение но винаги реагира с помощта на IPSec»). Да предположим, че имате компютър с Windows XP и със съществуващата основното правило IPSec. Този компютър изпраща криптирани отговорите, когато постъпи заявка, но никога не инициира криптиране. Ако системата за XP се опитва да получи съдържанието на защитена уеб-сървър, уеб-сървър приема искането HTTP, но ще отговори с криптиран IPsec.

На този етап, клиентът не разбира или IPsec връзка и просто спира или не успее да се разбере и да започне предаване от IPsec. Ако изберете тази опция - не е задължително да е грешка, и ако трябва да се снабди клиентската система само вградени IPsec политика в режим Client (отговаря само), ще трябва да го изберете, но аз лично не ми харесва.

Много уеб-базирани приложения, поставени данните за удостоверяване в първоначалното искане на HTTP, но това е много неприятно да осъзнаем, че дори и първия пакет се предава към защитена уеб-сървър може да бъде обикновен текст.

Параметър inpass = не премахва този флаг и изключва възможността за проникване на прав текст в предварителния съединение.

Поставете отметка в квадратчето Разреши необезпечени комуникации с нестопанска IPsec-наясно компютри ( «Позволете необезпечени комуникация с компютри, които не поддържат стандарт IPSec») - изключително лоша идея. По същество, тя изисква криптирана комуникация клиенти, но ако те не са в състояние да отговорят на тези изисквания, без предпазни средства за комуникация е разрешено във всички случаи. Важно е да се помни обаче, че нападателите не се нуждаят от всички пароли, един е достатъчен. Мека = няма опция премахва това квадратче.

И накрая, qmpfs на параметрите = да определя как стандарта IPsec променя криптиране кодове / подписите. За да осуети плановете злонамерени, IPsec редовно обновяван криптографски кодове. Можете да конфигурирате IPsec да промените кода толкова често, колкото е необходимо.

Нови кодове са математически свързани с предходните; Ето защо, ако част от кода се компрометира, нападателят може да се изчисли на следващия.

Какво е правилото?

За да създадете правило, трябва да се съчетаят списъка с филтри, филтър действието, и трети компонент, който не изисква от нас за последен път: удостоверяване. IPsec стандарт поддържа следните подходи: обща парола (не е опция, възможност за развитие в тестовите ситуации), вградени в Kerberos инфраструктура, която свързва всяка система в горския Active Directory (AD) или обмен на X.509 сертификата. Windows IPsec стандарт се използва по подразбиране Kerberos на, и това е показано в примера по-долу. Netsh команда за създаване на правилото, както следва:

Ключови Добавяне на правило е налице, тъй като ние добавяме правило. На следващо място, екипът призовава правилото и политиката, която съдържа това правило. Не можете да използвате правилата в повече от една политика. След това екипът определя списъка с филтри и филтър действие. Параметър Kerberos = да определя удостоверяване Kerberos и екипът завършва с описание. Сега е необходимо да се извършат само на политиката, както направихме миналия път, или да го приложат с помощта на графичен потребителски интерфейс.

Сподели снимки с приятели и колеги

Най-мощна и гъвкава технология, като никой от скриптов език за Windows PowerShell (предишното име - Монада) - инструмент за управление на Windows Server, издаден от Microsoft, тъй като появата на VBScript. PowerShell

Един пример от реалния живот Докато Microsoft е зает насърчаване на Windows PowerShell, следващото поколение скриптов език за Windows, системни и мрежови администратори и ИТ мениджъри са по-фокусирани върху изпълнението на тока

Последните пропуски в способностите на Windows административен процес на скриптове в Windows отдавна е обект на подигравки от страна на UNIX администратори. Основната причина е фактът, че Windows не е набор от функции, които биха могли да бъдат.

Подобряване на скриптове скриптове за командния ред - това са файлове с обикновен текст, който се тълкуват от черупката като набор от команди, за да бъдат изпълнени последователност. История скриптове за командния ред започват в зората

Подкрепете проекта - споделете линка, благодаря!