Utilitatea Netsh completează linia de comandă cu puterea fundamentală a IPsec
Introducere în IPsec
Având în vedere faptul că, datorită complexității sale, IPsec poate depăși sarcinile pe care majoritatea administratorilor le îndeplinesc zilnic, începem cu funcțiile de bază. După cum sugerează și numele, IPsec servește la asigurarea unei protecții suplimentare la un nivel relativ scăzut al protocolului IP. Cu IPsec, nu puteți schimba numai configurația IP pentru a transmite blocuri de informații de la un sistem la altul (funcție de IP tipic), dar, de asemenea, pentru a transmite pachete numai atunci când expeditorul și destinatarul criptați aceste pachete; Puteți, de asemenea, să blocați trimiterea pachetelor. Marele avantaj al IPsec este că vorbim despre IP din nou, nu despre protocoale de nivel superior. Cu IPsec, puteți proteja comunicațiile de pe Internet la fel de ușor ca securizarea tranzacțiilor prin poștă electronică sau Microsoft SQL Server, deoarece aceste aplicații rulează pe straturile superioare ale IP-ului.
Trebuie să spun că IPsec este un mediu în care munca necesită cunoașterea unor concepte speciale. Competența în IPsec presupune înțelegerea unor termeni precum politica, regulile, lista de filtre, filtrul, acțiunea de filtrare și autentificarea.
Politica și regulile. Administratorul protejează toate sau unele dintre conexiunile IP din acest sistem (sau mai multe sisteme) prin crearea unei așa-numite politici IPsec. Politica - un container pentru una sau mai multe reguli, și nimic altceva, deci este mult mai eficientă decât stabilirea descrierii, cum ar fi Proteja System SQL Server sau port bloc 80. De exemplu, în politica SQL Server poate consta din două reguli, cum ar fi : "Permiteți comunicațiilor criptate numai pe portul TCP 1433 cu subnet local" și Blocați orice comunicații către TCP 1433 din orice altă parte ("Blocați toate conexiunile TCP primite la portul 1433 din alte locații" ). TCP este interfața de rețea pentru serverul SQL implicit. Fiecare regulă cuprinde două părți obligatorii și una opțională. Componentele obligatorii includ o listă de filtre și acțiunea de filtrare, iar cele suplimentare includ autentificarea.
Filtrați acțiunea. Când filtrul este definit, apare faza de acțiune a filtrului. Filtrul de acțiune IPsec poate permite conectarea și transmiterea pachetelor (comportamentul implicit al liniei care se întâmplă în majoritatea rețelelor), conexiunile bloc (doar pentru a picătură pachete IP), pentru a cripta sau semna fluxul de informații. De exemplu, a doua regulă din politica noastră, Blocați orice comunicație de intrare către portul 1433, setează acțiunea de filtrare cu funcția de blocare.
Autentificarea. În cazul în care efectul filtrului nu blochează sau permisul, și criptează și semne în format digital, trebuie să existe o a treia componentă a unei reguli: criptare sau algoritm de semnătură digitală și mijloace pentru schimbul de coduri criptografice pentru o astfel de criptare și semnare - cu alte cuvinte, mecanismul de autentificare. Standardul IPsec permite două părți să se autentifice dacă cunosc parola partajată, certificate de schimb sau sunt membri ai aceleiași păduri Active Directory - o opțiune pe care Kerberos o implementează în IPsec.
Exemplu de blocare a porturilor
O sarcină simplă care poate fi efectuată cu IPsec este blocarea unui port TCP sau UDP separat. Deși blocarea porturilor și nu pare a fi deosebit de util, am folosit IPsec, astfel încât să se utilizeze un fișier batch simplu pentru a crea un firewall, în acest caz, chiar și după debutul Windows Firewall. Spre deosebire de paravanul de protecție Windows, IPsec poate bloca pachetele de ieșire.
Să presupunem că sa dovedit că unii angajați folosesc în secret servere Web cu conținut dubios. Ar trebui să opriți această activitate creând un set de comenzi care nu permit trimiterea și primirea nici unui pachet prin portul 80. Pentru aceasta, creați o politică care conține o regulă. Dacă pachetul este trimis către un anumit sistem prin TCP la portul 80 sau este pe calea de la portul 80 al acestui sistem, protocolul IPsec trebuie să blocheze acest pachet.
Crearea unei politici
Să începem procesul prin crearea unei politici IPsec, care poate fi numită Blocare Web. Sintaxa comenzii Netsh este destul de simplă:
Toate comenzile noastre legate de IPsec ar trebui să înceapă cu Netsh Ipsec Static. Apoi, vor exista opțiuni pentru a adăuga, șterge sau Set Show, însoțit de unul dintre cele cinci chei: politica, de regulă, filterlist, filtru sau filteraction. Necesar pentru majoritatea acestor cinci parametri sunt name = and description =. Dacă încă rămân neclare cu privire la sintaxa - o problemă comună cu netsh, pur și simplu tastați comanda fără nici un parametru, de ex
Dezvoltarea unui filtru
Parametrul filterlist = nume specifică în IPsec care listă de filtre pentru a pune un filtru pe. Dar când a fost creată această listă de filtre? Netsh au o echipă pentru a crea o listă de filtre, dar în acest exemplu, atunci când componenta Add Filter constată că noul filtru face parte dintr-o listă de filtre inexistent, echipa începe să creeze această listă de filtre. Cuvintele "orice" și "mine" sunt cuvinte cheie integrate cu valori care nu necesită o explicație. Valoarea parametrului dstport este, de asemenea, de înțeles (numărul portului de destinație), iar parametrul srcport = 0 înseamnă orice port sursă.
Parametrul oglindit = da confirmă intenția noastră de a menține acest filtru a devenit regula în vigoare pentru pachetele care vin în portul 80 al sistemului, și, dimpotrivă, portul de ieșire 80. Ai putea crea două filtre separate în lista de filtrare, dar multe filtre IPsec necesită pur și simplu o pereche în același mod ca perechea de mai sus, care poate fi numită "oglindită".
Setarea acțiunii de filtrare
Acum vom dezvolta acțiunea de filtrare. Tot ce trebuie să faceți este să definiți o acțiune care va bloca informațiile, după cum se arată mai jos:
Această comandă creează o acțiune de filtrare cu blocul de nume, și este clar că esența ei este în blocarea informațiilor.
Aspect politic
Acum, avem o politică, o listă de filtre și o acțiune de filtrare, rămâne să asociați lista de filtrare și acțiunea de filtrare într-o singură regulă, ca în următoarea comandă:
E o echipă lungă, dar e destul de simplă. Permiteți-mi să vă reamintesc că, de obicei, este format din cel puțin două părți - lista de filtre și acțiuni de filtrare - și este o componentă a politicii. Parametrii de comandă da regula un nume (bloc 80), lista de filtru pentru a fi utilizat (80 în sau în afara), acțiunea de a efectua (blockit) și descrierea. Deci, politica este aranjată.
Implementarea politicii
Acum rămâne politica noastră de a implementa. Pentru a face acest lucru, puteți utiliza comanda
Apoi, trecând la un alt sistem, trebuie să porniți Microsoft Internet Explorer (IE) și să încercați să deschideți o pagină de pornire pe serverul dvs. Web. Internet Explorer de mai multe ori va încerca să efectueze operațiunea și, eventual, să refuze. Încercați din nou, reveniți la serverul Web și tastați
și veți vedea pagina de pornire.
Mai mult - mai mult
Exemplul cu IPsec dat în articol este cel mai simplu pe care îl puteți încerca, însă operațiile mai complexe nu sunt mult mai laborioase și sunt capabile să rezolve sarcini foarte importante. Blocarea și rezolvarea traficului sunt două dintre cele mai simple, dar nu și singurele modalități de utilizare a standardului IPsec. Cu IPsec, puteți, de asemenea, să semnați sau să criptați traficul, iar aceste proceduri nu necesită mult mai multe cunoștințe. Deci, acum avem de a modifica problema discutată mai sus: a crea o regulă IPsec, care permite web-server pentru a permite traficul pe portul TCP 80, dar numai în cazul în care este criptat DES triplu (3DES) și a semnat cu Secure Hash Algoritm-1 algoritm (SHA-1).
Crearea unei politici. Ca și înainte, vom crea o politică IPsec care este utilizată pe serverul Web sau într-un grup de servere Web. Această politică va consta într-o singură regulă, în care ar trebui să existe o listă de filtre și acțiunea de filtrare (precum și metoda de autentificare, dar mai multe despre aceasta mai târziu). filtrul va activa o regulă, în cazul în care informațiile sunt furnizate într-un sistem specific prin portul TCP 80, sau dacă informațiile din sistem în orice direcție, prin TCP-portul 80. Pentru a activa lista de filtre, acțiunea pe care regula - de a solicita criptare 3DEC și semnătura SHA-1.
Toate comenzile legate de standardul IPsec încep cu Netsh IPsec Static. Tasta Adăugare politică creează o politică și echipa trece la numele și descrierea politicii.
Creați un filtru și o listă de filtre. Filtrul pe care dorim să îl dezvoltăm va da comenzii IP să activeze o anumită regulă dacă informația sosește sau iese din portul TCP 80, deci acest filtru seamănă cu cel care a fost creat mai sus:
Specifică acțiunea filtrului. În loc de filtrul descris ultima dată și blocând transmiterea informațiilor atunci când condiția filtrului a fost îndeplinită, acum această acțiune va fi criptarea și semnătura transferului dacă condiția filtrului este îndeplinită. Această intrare arată astfel:
Tasta Adăugați filtrarea adaugă o acțiune de filtrare și comanda trece la numele și descrierea acestei acțiuni. Ar trebui să acordați atenție includerii parametrului action = negotiate în loc de action = block or action = permit. Acest parametru este utilizat atât pentru semnăturile digitale, cât și pentru criptare și semnare. Dar ce se întâmplă aici?
Următorul parametru corespunde acestei întrebări: qmsecmethods = »ESP [3DES, SHA1]. Acest parametru are multe opțiuni posibile, însă, în esență, definiți modul ESP [] sau AH [] și specificați algoritmul de criptare ales sau algoritmul hash în parantezele pătrate. De exemplu, "AH [SHA1] va folosi funcția hash SHA-1 pentru a semna digital traficul. Modul ESP necesită numele a doi algoritmi criptografici - pentru criptare și hashing, deoarece criptează și semnează traficul. Astfel, modul "ESP [3DES, SHA1]" criptează folosind algoritmul triple DES și semnează cu funcția hash SHA-1.
Ultimii trei parametri se referă la cele trei steaguri din interfața grafică de utilizator când configurați filtrul IPsec. Prima casetă de selectare este Acceptare comunicare nesecurizată, dar întotdeauna răspundeți folosind Ipsec ("Acceptați o conexiune nesecurizată, dar răspundeți întotdeauna folosind Ipsec"). Să presupunem că există un computer care rulează Windows XP cu o regulă de bază Ipsec existentă. Acest computer trimite răspunsuri criptate la primirea unei cereri, dar nu inițiază niciodată criptarea. Dacă acest sistem XP încearcă să recupereze conținutul unui server Web securizat, acest server Web va accepta solicitarea HTTP, dar va răspunde cu IPsec criptat.
În acest stadiu, clientul nu înțelege nici IPsec și va termina pur și simplu conexiunea sau va putea să înțeleagă și să înceapă transmiterea prin IPsec. Selectarea acestei casete de validare nu este neapărat o eroare și dacă trebuie doar să configurați sistemele client cu politica IPsec încorporată în modul Client (Numai Răspuns), va trebui să o selectați, dar personal nu-mi place.
Multe dintre aplicațiile Web plasează detalii de autentificare în cererea HTTP originală, dar este inconfortabil să înțeleagă că chiar și prima transmisie a unui pachet către un server Web securizat poate merge în text simplu.
Parametrul inpass = nu elimină această casetă de selectare și exclude posibilitatea penetrării plaintext-ului în conexiunile preliminare.
Verificarea căsuței "Permiteți comunicațiilor neasigurate cu calculatoare non-IPsec-aware" este o idee foarte proastă. În esență, aceasta necesită comunicări criptate de la clienți, dar în cazul în care aceștia nu sunt în măsură să îndeplinească aceste cerințe, comunicările neprotejate sunt, în orice caz, rezolvate. Este important să rețineți însă că atacatorii nu vor avea nevoie de toate parolele, ci doar unul. Opțiunea soft = no elimină această casetă de selectare.
În cele din urmă, parametrul qmpfs = yes specifică modul în care standardul IPsec își modifică codurile de criptare / semnătură. Pentru a frustra planurile criminalilor cibernetici, IPsec modifică în mod regulat codurile criptografice. Puteți configura IPsec să modifice codurile ori de câte ori este necesar.
Noile coduri sunt matematic legate de cele precedente; Prin urmare, dacă un anumit cod este compromis, atacatorul poate calcula cele ulterioare.
Care este regula?
Pentru a crea o regulă, ar trebui să combinați lista de filtrare, acțiunea de filtru, și un al treilea component, care nu au nevoie de noi ultima dată: autentificarea. standardul IPsec acceptă următoarele abordări: parola generală (nu este o opțiune, o oportunitate de a dezvolta în situații de testare), built-in infrastructura Kerberos care face legătura între fiecare sistem în pădure Active Directory (AD) sau certificat X.509 schimburi. Windows standard IPsec utilizează implicit Kerberos, iar acest lucru este prezentat în exemplul de mai jos. Comanda Netsh pentru crearea unei reguli arată astfel:
Tasta Adăugare regulă este prezentă, adăugând regula. Apoi, comanda numește regula și politica care conține această regulă. Nu puteți folosi reguli în mai multe politici. Apoi, comanda specifică lista de filtre și acțiunea de filtrare. Parametrul Kerberos = da specifică autentificarea Kerberos, iar comanda se termină cu o descriere. Acum este necesar doar pentru a efectua politica, așa cum am făcut ultima dată, sau să-l pună în aplicare folosind interfața grafică cu utilizatorul.
Distribuiți materialul împreună cu colegii și prietenii
Tehnologie puternică și flexibilă, spre deosebire de oricare dintre limbile de scripting Windows PowerShell (fostă numită Monad) - unul dintre instrumentele pentru gestionarea Windows Server, lansat de Microsoft încă de la apariția VBScript. PowerShell
Exemplu real-world În timp ce Microsoft este ocupat cu promovarea Windows PowerShell, următoarea generație de limbaj de scripting pentru Windows, administratorii de sistem și de rețea și managerii IT se concentrează mai mult pe implementarea actualului
Ultimele lacune în capacitățile procesului de scripting administrativ din Windows a fost mult timp un subiect de ridiculizare din partea administratorilor UNIX. Motivul principal a fost că Windows nu are multe funcții care ar putea.
Îmbunătățiți scripturile Scripturile din linia de comandă sunt fișiere text simple care sunt interpretate de procesorul de comandă ca un set de comenzi care trebuie executate secvențial. Istoria scripturilor de linie de comandă a început în zori
Trimiteți-le prietenilor: