совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-13

2 ВЫБИРАЕШЬ НАСТРОЙКУ WAN И ВВОДИШЬ IP-АДРЕС (IP_DLINK_ВНЕШ), МАСКУ, ШЛЮЗ И DNS СЕРВЕРА ДЛЯ ВНЕШНЕГО ИНТЕРФЕЙСА И НАЖИМАЕШЬ НА APPLY.

3 ВЫБИРАЕШЬ НАСТРОЙКУ LAN И НАСТРАИВАЕШЬ IP-АДРЕС (IP_DLINK_ВНУТ) И МАСКУ НА ЛОКАЛЬНОМ ИНТЕРФЕЙСЕ. ЕСЛИ ИЗМЕНИШЬ ЛОКАЛЬНЫЙ АДРЕС, ТО ДОСТУП К WEB-ИНТЕРФЕЙСУ ПРОПАДЕТ, И НУЖНО БУДЕТ ИЗМЕНИТЬ URL НА НОВЫЙ (HTTP://IP_DLINK_ВНУТ), ПРИ ЭТОМ ДОЛЖЕН БЫТЬ НАСТРОЕН IP-АДРЕС, ВХОДЯЩИЙ В НОВУЮ ЛОГИЧЕСКУЮ СЕТЬ.

4 ВЫБИРАЕШЬ НАСТРОЙКУ VPN.

5 ВКЛЮЧАЕШЬ ВОЗМОЖНОСТЬ VPN, ВЫБИРАЯ ОПЦИЮ VPN ENABLE.

6 ДАЕШЬ НАЗВАНИЕ ТУННЕЛЮ, НАПРИМЕР, DI804-W2KAS.

7 МЕТОД ОСТАВЛЯЕШЬ IKE, НАЖИМАЕШЬ MORE.

8 ВВОДИШЬ:

А LOCAL SUBNET – АДРЕС СЕТИ «Б», LOCAL NETMASK – МАСКА СЕТИ «Б»

Б REMOTE SUBNET – АДРЕС СЕТИ «A», REMOTE NETMASK – МАСКА СЕТИ «A»

В REMOTE GATEWAY — IP_W2KS_ВНЕШ

Г IKE KEEP ALIVE – ПРОИЗВОЛЬНЫЙ АДРЕС ИЗ СЕТИ «А»

Д PRESHARED KEY – PASSWORD

9 НАЖИМАЕШЬ APPLY И ПОСЛЕ РЕСТАРТА ОБОРУДОВАНИЯ ВЫБИРАЕШЬ SELECT IKE PROPOSAL.

10 ВВОДИШЬ:

А PROPOSAL NAME – METHOD1

Б DH GROUP – GROUP2

В ENCRYPT ALGORITHM – 3DES

Г AUTH ALGORITHM – SHA1

Д LIFE TIME – 28800 (480, УМНОЖЕННОЕ НА 60)

11 ПРИМЕНЯЕШЬ ИЗМЕНЕНИЕ, НАЖИМАЯ APPLY.

12 ВЫБИРАЕШЬ PROPOSAL ID 1, НАЖИМАЕШЬ ADD TO, ДАЛЕЕ APPLY, ЗАТЕМ BACK.

13 ВЫБИРАЕШЬ SELECT IPSEC PROPOSAL.

14 ВВОДИШЬ:

A PROPOSAL NAME – METHOD1

Б DH GROUP – NONE

В ENCAP PROTOCOL – ESP

Г ENCRYPT ALGORITHM – 3DES

Д AUTH ALGORITHM – SHA1

Е LIFE TIME – 900

15 ПРИМЕНЯЕШЬ ИЗМЕНЕНИЕ, НАЖИМАЯ APPLY.

16 ВЫБИРАЕШЬ PROPOSAL ID 1, НАЖИМАЕШЬ ADD TO, ДАЛЕЕ APPLY, ЗАТЕМ BACK.

Проверяешь установку соединения стандартным способом через пинг.

Чтобы проверить состояние IPSec-туннеля на DI804, можно посмотреть лог–файлы, на закладке Status меню Logs и VPN Status.

[приведенных примеров]

должно быть достаточно для того, чтобы настроить IPSec на любом другом аппаратном маршрутизаторе. Так что можно приступать к скрещиванию :).

WWW.WIRESHARK.ORG

ДИСТРИБУТИВ WIRESHARK (БЫВШИЙ ETHEREAL)

КНИГА

Политики информационной безопасности. — М.: Компания АйТи, 2006 / Петренко С.А. / 400 страниц

Разумная цена: 475 рублей

Уровень: MEDIUM

Практическое руководство по вопросам разработки политик информационной безопасности в компаниях и организациях. Последовательно изложены основные идеи, методы и способы практического решения вопросов разработки, внедрения и поддержки политик безопасности. Причем упор сделан на различные российские государственные и коммерческие структуры. Разработка адекватных и актуальных политик информационной безопасности повысит уровень доверия к компании. Книга адресована CIO, CISO, CISA и другим топам, которым приходится разрабатывать и внедрять политики безопасности в компании, администраторам безопасности, системным и сетевым администраторам. Да просто тем, кому это интересно :).

МНЕНИЕ ЭКСПЕРТА

иллюзия защиты

Ничего не имея против IP Security, хотел бы обратить внимание на иллюзию защиты, которую создает это семейство протоколов. Обеспечить же настоящую защиту оно не в состоянии. Особенно на беспроводных устройствах, драйвера которых содержат множество ошибок, приводящих к возможности удаленного вторжения на атакуемую машину. Критичный к перехвату трафик лучше всего пускать по физически защищенным каналам связи, где IPSec не нужен. Установка IPSec на незащищенные каналы связи решает проблему методом «страуса», неявно постулируя, что ни операционная система, ни входящие в ее состав драйвера, ни прочее оборудование не содержат дыр, что вовсе не факт, и многочисленные хакерские атаки это наглядно подтверждают. Во многих случаях IPSec даже стимулирует атаку, поскольку сам факт его применения указывает на значимость передаваемой информации.

Крис Касперски