Лабораторная работа 1.5 Шифрование трафика при помощи IPSec

IPSec в Windows, создание и активация политики IPSec, проверка шифрования данных

Примечание: эта лабораторная работа выполняется в паре. Перед ее выполнением найдите партнера, с которым вы будете ее выполнять.

Ситуация: в связи с особенностями сетевого приложения между двумя компьютерами под управлением Windows 2003 Server в вашей сети открытым текстом передается важная информация. Вы должны сделать невозможным перехват всего трафика между этими двумя компьютерами. Весь трафик с другими компьютерами может передаваться в обычном режиме .

Задание:

1) Установите на оба компьютера в паре Internet Information Server в конфигурации по умолчанию и убедитесь, что вы видите на компьютере партнера страницу Under Construction.

2) Настройте на обоих компьютерах принудительное шифрование всего IP-трафика между этими двумя компьютерами с использованием Preshared key.

3) Настройте получение информации о статистике передачи пакетов IPSec.

4) Еще раз обратитесь на Web-сайт на компьютере партнера и убедитесь при помощи IRIS и Network Monitor, что данные сеанса теперь просмотреть невозможно. Сравните данные, представляемые IRIS и Network Monitor.

5) Отключите применение IPSec на обоих компьютерах в паре.

Решение:

1) Откройте Панель управления -> консоль Add/Remove Programs -> Add/Remove Windows Components и установите флажок напротив Application Server (флажок должен быть затененным - выбранным частично). Если компьютер не сможет найти путь к дистрибутиву Windows 2003 Server самостоятельно, обратитесь за дистрибутивом к преподавателю.

2) После окончания установки у партнера обратитесь на его компьютер из Internet Explorer. Вы должны увидеть страницу "Under construction".

3) В командной строке выполните команду MMC. Откроется оболочка Microsot Management Console. В меню File выберите Add/Remove Snap-In и добавьте две консоли: IP Security Policy Managenet (для локального компьютера) и IP Security Monitor. Нажмите на кнопку Add, а затем OK, чтобы вернуться в основное окно консоли. Для удобства созданную вами консоль можно сохранить, например, на рабочем столе под именем IPSec.msc.

4) В созданной вами консоли раскройте узел IP Security Policies on Local Computer, щелкните по этому узлу правой кнопкой мыши и в контекстном меню выберите Create IP Security Policy. Запустится мастер создания политики IP Security.

5) На первом экране мастера введите имя политики (например, TestPolicy) и нажмите Next.

6) На втором экране (Requests for Secure Communication) снимите флажок Activate the default response rule и нажмите Next.

7) На последнем экране мастера убедитесь, что флажок Edit Properties установлен и нажмите Finish. Откроется экран свойств вашей политики. Нажмите в нем на кнопку Add, чтобы добавить новое правило для вашей политики. На первом экране мастера создания правил нажмите Next.

8) На втором экране мастера (Tunnel Endpoint) убедитесь, что переключатель стоит в положении This rule does not specify a tunnel и нажмите Next.

9) На экране Network Type оставьте переключатель в положении All network connections и нажмите Next.

10) На экране IP Filter list нажмите на кнопку Add. Откроется окно создания нового фильтра. В этом окне введите название фильтра (например, имя компьютера партнера_filter) и нажмите Add. Откроется еще один мастер - создания фильтров. На его первых двух экранах нажмите Next.

11) На экране IP Traffic Source оставьте в качестве адреса источника My IP Address и нажмите Next.

12) На экране IP Traffic Destination выберите в списке адресов назначения A specific IP address и укажите IP-адрес вашего партнера. На остальных экранах этого мастера оставьте значения по умолчанию. Вы опять вернетесь в окно IP Filter List, в котором будет присутствовать созданный вами фильтр. Нажмите в нем OK и в окне Security Rule Wizard на экране IP Filter List установите переключатель напротив созданного вами фильтра. Нажмите Next.

13) На следующем экране (Filter Action) установите переключатель в положение Require Security и нажмите Next.

14) На следующем экране (Authentification Method) установите переключатель в положение Use this string to protect the key exchange (preshared key) и в поле внизу введите текстовое значение, например, TEST. Это значение должно совпадать с тем значением, которое ввел у себя партнер. Нажмите Next, на последнем экране снимите флажок Edit Properties и нажмите Finish. Затем в окне консоли MMC щелкните правой кнопкой мыши по созданной вами политике и в контекстном меню выберите Assign. Дождитесь, пока партнер завершит выполнение аналогичных действий на своем компьютере.

15) Раскройте узел IP Security Monitor -> имя вашего компьютера -> Active Policy и просмотрите информацию о назначенной вами политике и о статистике взаимодействия по IPSec (под Main Mode).

16) Запустите Iris и в меню Filters выберите команду Clear Filters. Запустите IRIS на перехват сетевого трафика и обратитесь к Web-сайту вашего партнера. Затем остановите перехват, в меню Decode выполните команду Send buffer to Decode и просмотрите трафик сеанса вашего компьютера. IRIS не сможет расшифровать никакие данные выше протокола IP.

17) Запустите Network Monitor и настройте в нем фильтр для перехвата трафика только между ваши компьютером и компьютером партнера (аналогично тому, как это делалось в перовой лабораторной). Network Monitor покажет служебную информацию протокола ESP.

18) Вернитесь в созданную вами консоль IPSec, щелкните правой кнопкой мыши по созданной вами политике и в контекстном меню выберите Un-assign. Дождитесь пока, ту же операцию выполнит ваш партнер, и убедитесь, что вы опять можете обратиться на его Web-сервер.

Получить учебные материалы по этому курсу