Шифрование трафика с использованием протокола IPSec.

Лабораторна робота №3 (4 години)
Тема: Використання протоколу IPsec для криптографічного захисту
мережевого трафіку
Мета: отримати навики налаштування протоколу IPSec для безпечного
обміну інформацією між користувачами у локальній мережі
Вимоги до оформлення. Робота оформляється згідно державного стандарту
ДСТУ 3008-95 «Звіти у сфері науки і техніки»
Програмне забезпечення та мережеві налаштування. Для виконання
лабораторної роботи потрібні дві віртуальні машини з Windows XP і одна із
Windows Server 2003. На сервері потрібно встановити програму Wireshark.
Комп’ютери під управлінням Windows XP (далее – ХР_1 и ХР_2) знаходяться
у різних підмережах. При цьому вони підключені до Windows Server 2003,
який
виконує
функції
маршрутизатора
(додаткові
відомості
про
налаштування маршрутизації у Windows Server 2003 ви можете знайти у
відповідній лабораторній роботі з дисципліни «Комп’ютерні мережі»).
Сценарій. В роботі моделюється ситуація, коли зловмисник отримує
контроль над сервером компанії, завдяки чому він може повністю
контролювати трафік. Зловмисник використовує Wireshark для перехоплення
пакетів та пошуку конфіденційної інформації. При цьому в першому випадку
трафік у мережі передається у відкритому вигляді, а другому випадку – у
зашифрованому.
1
Методичні вказівки
Протокол IPSec позволяет осуществлять две важнейшие функции
сетевой защиты – осуществлять криптографическую защиту трафика и
выполнять фильтрацию входящих/исходящих пакетов. Протокол реализован
в ОС Windows 2000/XP и более поздних версиях. Протокол обеспечивает
аутентификацию участников сетевого обмена (протокол IKE – Internet Key
Exchange),
защиту
целостности
(заголовок
аутентификации
AH
–
Authentication Header) и шифрование (ESP – Encapsulating Security Payload)
Аутентифицирующий заголовок (AH) выполняет защиту от атак,
связанных с несанкционированным изменением содержимого пакета. Для
этого особым образом применяется алгоритм MD5: в процессе формирования
AH последовательно вычисляется хэш-функция от объединения самого
пакета и некоторого предварительно согласованного ключа, затем от
объединения полученного результата и преобразованного ключа.
Заголовок ESP служит для обеспечения конфиденциальности данных,
предполагает возможность использования любого симметричного алгоритма
шифрования.
Протокол обмена ключами IKE отвечает за первоначальный этап
установки
соединения,
способ
инициализации
защищенного
канала,
процедуры обмена секретными ключами, выбор метода шифрования.
Предполагает три различных способа аутентификации: технологию «вызовответ» с использованием хэш-функции с общим секретным ключом,
применение сертификатов открытых ключей и использование протокола
Керберос.
Шифрование трафика с использованием протокола IPSec.
1. Проверьте возможность анализа сетевого трафика при отключенном
протоколе IPSec. Запустите анализатор сетевого трафика Wireshark на
Windows
2003
Server.
Скопируйте
текстовый
файл,
содержащий
2
произвольный текст, набранный латинскими буквами, с ХР_1 на ХР_2.
Просмотрите захваченные пакеты. Убедитесь, что файл передается по
протоколу SMB, текст файла передается в открытом виде.
2. Осуществите настройку протокола IPsec. Администрирование ⇒
Локальная политика безопасности ⇒ Политики безопасности IP на ХР_1 и
ХР_2.
3. Обратите внимание на существование трех шаблонов:
- «Безопасность сервера». При использовании данного шаблона не
допускается нешифрованный трафик;
- «Клиент (Только ответ)». При использовании данного шаблона
возможен нешифрованный трафик, если сервер его не требует;
- «Сервер (Запрос безопасности)». При использовании данного
шаблона возможен нешифрованный трафик, если клиент не поддерживает
шифрование.
4. Выполните настройку шаблона «Безопасность сервера». Измените
настройку фильтра «Весь IP-трафик» (рис. 1).
3
Рис. 1 – Окно настройки шаблона «Безопасность сервера»
5. В разделе «Методы проверки подлинности» измените метод Kerberos
(рис. 2).
4
Рис. 2 – Окно раздела «Методы проверки подлинности»
6. Выберите пункт «Использовать данную строку для защиты обмена
ключами» и введите произвольную текстовую строку (рис. 3).
5
Рис. 3 – Окно ввода ключевой строки
7. Примените внесенные изменения и активизируйте политику, выбрав
из контекстного меню данного шаблона пункт «Назначить».
8. Аналогичные действия осуществите на соседнем компьютере.
Убедитесь, что ключ шифрования (текстовая строка) совпадает.
Проверка защиты трафика.
1. Убедитесь, выполняя команду PING, что для проверки присутствия в
сети вашего компьютера возможны ICMP-пакеты как от соседнего
компьютера (на котором также включено шифрование), так и от любого
другого.
2. Убедитесь, что в сетевом окружении вам доступен только соседний
компьютер. При обращении к другим системам появляется ошибка.
6
3. Убедитесь путем анализа сетевого трафика при отправке на соседний
компьютер текстового файла, что весь IP-трафик идет в зашифрованном
виде.
4. Проверьте функционирование IPSec при использовании шаблонов
«Клиент (Только ответ)» и «Сервер (Запрос безопасности)».
5. По окончании отключите шифрование трафика.
Настройка политики межсетевого экранирования с использованием
протокола IPSec
Необходимо разработать политику для web-сервера, на котором
разрешен только трафик через порты TCP/80 и TCP/443 из любой точки.
1. Установите на одной из рабочих станций (ХР_1 или ХР_2) webсервер (Панель управления / Установка и удаление программ / Установка
компонентов Windows / Internet Information Services (IIS)).
Далее откройте вкладку Администрирование / Internet Information
Service / свойства веб-узла и выполните следующие настройки (рис. 4).
Рис. 4 – Настройка свойств веб-узла
7
Запустите веб-сервер и удостоверьтесь в его работоспособности. Если
сервер
не
запустился,
перезапустите
Windows.
Проверьте
его
функционирование, обратившись с другого узла.
2. Запустите утилиту настройки протокола IPSec: Администрирование /
Локальная политика безопасности / Политики безопасности IP.
3. Из контекстного меню выберите «Управление списками IP-фильтра
и действиями фильтра». Создайте два действия (сначала сбросьте флажок
«Использовать мастер»): «Разрешение» (определяющее допустимый метод
безопасности) и «Блокировка» (заблокированный метод безопасности)
(рис. 5).
Рис. 5 – Окно создания действий
8
4. Создайте список фильтров под названием «Любой», имеющий
настройки по умолчанию, которые соответствуют всему трафику (рис. 6).
Рис. 6 – Окно создания списка фильтров «Любой»
5. Создайте список фильтров под названием «web-доступ» (рис. 7) для
web-сервера, разрешающего трафик на портах TCP/80 и TCP/443 из любой
точки, основываясь на правилах:
Правило 1. Источник – Любой IP-адрес. Назначение – Мой IP-адрес.
Отображаемый – Да. Протокол – TCP. Порт источника – Любой (ANY). Порт
назначения – 80.
Правило 2. Источник – Любой IP-адрес. Назначение – Мой IP-адрес.
Отображаемый – Да. Протокол – TCP. Порт источника – Любой (ANY). Порт
назначения – 443.
9
Рис. 7 – Окно создания списка фильтров «Web-доступ»
6. Создайте новую политику под названием «Web-доступ». Из
контекстного меню окна «Политики безопасности IP» выберите «Создание
политики безопасности IP». Воспользуйтесь мастером. Не активизируйте
пункт «Использовать правило по умолчанию».
7. Добавьте в созданную политику правило доступа «Web-доступ»,
использующее список фильтров «Web-доступ» и действие «Разрешение».
8. Добавьте в созданную политику правило доступа «Любой»,
использующее список фильтров «Любой» и действие «Блокировка» (рис. 8).
Обратите внимание на последовательность правил.
10
Рис. 8 – Окно создания правил доступа
9. Примените политику «Web-доступ» (из контекстного меню политики
«Web-доступ» выберите пункт «Применить», рис. 9).
11
Рис. 9 – Окно применения политики
10. Проверьте политику «Web-доступ», осуществив подключение к 80ому порту с другого узла. Для этого в поле адресной строки Internet Explorer
введите адрес компьютера, на котором запущен веб-сервер.
11. Установите Good_Toll или другую программу для сканирования
портов и проведите сканирования допустимых портов на машине с
включенной и выключенной политикой (ссылка для скачивания программы
Good_Toll - http://depositfiles.com/files/p1hr1p7qp)
12
Список використаних джерел
1. How To
Configure IPSec Tunneling
in
Windows
Server 2003
-
http://support.microsoft.com/kb/816514/en-us
2. Using
IPsec
for
Network
Protection:
Part
1
of
2.
–
http://technet.microsoft.com/library/cc512617.aspx
3. Защита информации в компьютерных сетях. Практический курс: учебное
пособие / А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С.
Коллеров, Н. И. Синадский, Д. А. Хорьков, М. Ю. Щербаков; под ред. Н.
И. Синадского. – Екатеринбург : УГТУ-УПИ, 2008. – 248 с.
4. Настройка туннелирования IPSec в Windows 2000. – Режим доступа:
http://support.microsoft.com/kb/252735/ru
Подяка
Висловлюємо
щиру
вдячність
наступним
студентам
спеціальності
«Економічна кібернетика» за допомогу у розробці даної лабораторної
роботи: Глазуну Володимиру Сергійовичу та Веретільнику
Віталію
Вікторовичу.
13