совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-12

4 СЛЕВА ВЫБИРАЕШЬ VPN WIZARD И ЖМЕШЬ NEXT.

5 ЗАДАЕШЬ ИМЯ СОЕДИНЕНИЯ И ПРЕДОПРЕДЕЛЕННЫЙ КЛЮЧ (PRE-SHARED KEY).

6 ОСТАВЛЯЕШЬ ОПЦИЮ A REMOTE VPN GATEWAY И НАЖИМАЕШЬ NEXT.

7 УКАЗЫВАЕШЬ IP-АДРЕС УДАЛЕННОГО КОНЦА ТУННЕЛЯ IP_W2KS_ВНЕШ И ЖМЕШЬ NEXT.

8 УКАЗЫВАЕШЬ IP-АДРЕС И МАСКУ УДАЛЕННОЙ СЕТИ («А») И ЖМЕШЬ NEXT.

9 В СЛЕДУЮЩЕМ ОКНЕ НАЖИМАЕШЬ DONE.

Теперь в пунктах меню IKE Policies и VPN Policies появились политики, созданные на основе данных, введенных нами в мастере создания VPN.

Все, пробуй установить соединение, например, выполнив ping с узла в сети «A» до узла в сети «Б». Пинг идет. ipsecmon подтверждает, что IPSec-соединение установилось. В пункте меню VPN Status на FVS114 видно установленные ассоциации безопасности. Их три для одного VPN-соединения (по одной для IPSec-трафика в каждом направлении и одна - для IKE).

[D-Link DI-804HV.]

Теперь в этом же сценарии заменим FVS114 на DI-804HV.

У модели 804HV нет мастера создания VPN-соединения, как в FVS114, и нет предопределенных групп настроек, как в Windows-ситемах. Параметры IPSec- и IKE-соединения нужно вводить вручную. Подготовимся к этому и посмотрим, какие методы безопасности настроены в Windows 2000 Server.

Чтобы посмотреть и отредактировать параметры для IKE, в системах Windows нужно:

1 МЕНЮ START, ДАЛЕЕ RUN, НАБИРАЕШЬ SECPOL.MSC И НАЖИМАЕШЬ ENTER.

2 ВЫБИРАЕШЬ IP SECURITY POLICIES ON LOCAL MACHINE, ДАЛЕЕ ДВОЙНОЙ КЛИК НА НУЖНОЙ ПОЛИТИКЕ И ПЕРЕХОДИШЬ НА ЗАКЛАДКУ GENERAL, ДАЛЕЕ ADVANCED... И METHODS...

Отмечаешь первый метод безопасности, который предлагается для IKE-соединения:

1 АЛГОРИТМ ШИФРОВАНИЯ 3DES.

2 АЛГОРИТМ ЦЕЛОСТНОСТИ SHA1.

3 ГРУППА ДИФФИ-ХЕЛМАНА СРЕДНЯЯ (2).

4 СРОК ЖИЗНИ КЛЮЧА — 480 МИНУТ.

Чтобы посмотреть и отредактировать параметры для IPSec, нужно:

1 МЕНЮ START, ДАЛЕЕ RUN, НАБИРАЕШЬ SECPOL.MSC И НАЖИМАЕШЬ ENTER.

2 ВЫБИРАЕШЬ IP SECURITY POLICIES ON LOCAL MACHINE, ДАЛЕЕ ДВОЙНОЙ КЛИК НА ПОЛИТИКЕ, В СПИСКЕ ПРАВИЛ НА НУЖНОМ - ДВОЙНОЙ КЛИК.

3 НА ЗАКЛАДКЕ FILTER ACTION ДВОЙНОЙ КЛИК НА ТРЕБУЕМОМ, И РЕДАКТИРУЕШЬ.

Отмечаешь первый метод безопасности, который предлагается для IPSec-соединения:

1 ИНКАПСУЛЯЦИЯ AH - НЕТ.

2 ИНКАПСУЛЯЦИЯ ESP - ЕСТЬ.

A ШИФРОВАНИЕ 3DES

Б ЦЕЛОСТНОСТЬ SHA1

3 ГЕНЕРИРОВАТЬ НОВЫЙ КЛЮЧ ЧЕРЕЗ КАЖДЫЕ 100000 КБ ИЛИ 900 СЕКУНД.

Мы обратили внимание на методы, находящиеся на первых позициях и в IKE, и в IPSec, так как они более безопасные (3DES сильнее DES, а SHA1 — сильнее MD5). Если важнее производительность, можно выбрать другие методы.

Теперь приступай к настройке DI-804HV (со стороны Windows 2000 Server никаких изменений не производишь):

1 МЕНЮ START–> RUN И ПИШЕШЬ HTTP://192.168.0.1/ (ЧТОБЫ ЗАЙТИ НА ЭТОТ ИНТЕРФЕЙС, ТЫ ДОЛЖЕН ПРИНАДЛЕЖАТЬ СЕТИ 192.168.0.0/24). ИМЯ ПОЛЬЗОВАТЕЛЯ — ADMIN, ПАРОЛЬ — ПУСТОЙ (НАДО ТУТ ЖЕ УСТАНОВИТЬ ЕГО).