совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-5

[второй способ]

Используешь службу Routing and Remote Access

1 МЕНЮ START–> PROGRAMS—> ADMINISTRATIVE TOOLS–> ROUTING AND REMOTE ACCESS.

2 НА НАЗВАНИИ КОМПЬЮТЕРА ПРАВЫЙ КЛИК, CONFIGURE AND ENABLE ROUTING AND REMOTE ACCESS.

3 В СЛЕДУЮЩЕМ ОКОШКЕ НАЖИМАЕШЬ NEXT.

4 ДАЛЕЕ ВЫБИРАЕШЬ MANUALLY CONFIGURED SERVER, КЛИКАЕШЬ NEXT.

5 КЛИКАЕШЬ FINISH.

6 КЛИКАЕШЬ YES.

7 ОТКРЫВАЕШЬ ДЕРЕВО НА ЛЕВОЙ ПАНЕЛИ, НАЖИМАЯ ПЛЮСИК НАПРОТИВ НАЗВАНИЯ СЕРВЕРА.

8 ОТКРЫВАЕШЬ IP ROUTING.

9 ПРАВЫЙ КЛИК НА STATIC ROUTES, ДАЛЕЕ NEW STATIC ROUTE.

10 В ПОЛЕ INTERFACE ВЫБИРАЕШЬ IP_W2KS_ВНЕШ.

11 В ПОЛЕ DESTINATION IP ВВОДИШЬ АДРЕС СЕТИ «Б».

12 В ПОЛЕ NETWORK MASK ВВОДИШЬ МАСКУ СЕТИ «Б».

13 В ПОЛЕ GATEWAY ВВОДИШЬ IP_W2K3_ВНЕШ И ЖМЕШЬ OK.

Если уж задействовал службу RRAS, можно воспользоваться ее возможностью фильтрации трафика, чтобы сервер пропускал только IPSec-трафик. Для этого:

1 В КОНСОЛИ ROUTING AND REMOTE ACCESS ОТКРЫВАЕШЬ ДЕРЕВО НА ЛЕВОЙ ПАНЕЛИ, НАЖИМАЯ ПЛЮСИК НАПРОТИВ НАЗВАНИЯ СЕРВЕРА.

2 КЛИКАЕШЬ GENERAL В ПОДДЕРЕВЕ IP ROUTING.

3 В ПРАВОЙ ПАНЕЛИ ПРАВЫЙ КЛИК НА ВНЕШНЕМ СЕТЕВОМ ИНТЕРФЕЙСЕ (НА КОТОРОМ НАСТРОЕН АДРЕС IP_W2KS_ВНЕШ), В КОНТЕКСТНОМ МЕНЮ ВЫБИРАЕШЬ PROPERTIES.

4 ВЫБИРАЕШЬ INPUT FILTERS... И ADD...

5 ПОМЕЧАЕШЬ SOURCE NETWORK, ПИШЕШЬ IP_W2K3_ВНЕШ И МАСКУ 255.255.255.255.

6 ПОМЕЧАЕШЬ DESTINATION NETWORK, ПИШЕШЬ IP_W2K_ВНЕШ И МАСКУ 255.255.255.255.

7 ВЫБРАЕШЬ PROTOCOL: OTHER, В НОМЕРЕ ПРОТОКОЛА ПИШЕШЬ 50 ДЛЯ ESP И 51 ДЛЯ AH (В ТВОЕМ СЛУЧАЕ ИСПОЛЬЗУЕТСЯ ESP, ТАК КАК ПАРАМЕТРЫ IPSEC ПО УМОЛЧАНИЮ НЕ МЕНЯЛ).

8 ДОБАВЛЯЕШЬ ЕЩЕ ОДИН ФИЛЬТР ДЛЯ ВХОДЯЩИХ ПАКЕТОВ. НАЖИМАЕШЬ ADD...

9 ПОМЕЧАЕШЬ SOURCE NETWORK, ПИШЕШЬ IP_W2K3_ВНЕШ И МАСКУ 255.255.255.255.

10 ПОМЕЧАЕШЬ DESTINATION NETWORK, ПИШЕШЬ IP_W2K_ВНЕШ И МАСКУ 255.255.255.255.

11 ВЫБИРАЕШЬ ПРОТОКОЛ UDP И НОМЕРА SOURCE PORT И DESTINATION PORT — 500 (ПОРТЫ ИСПОЛЬЗУЮТСЯ ПРОТОКОЛОМ IKE).

12 ВЫБИРАЕШЬ ОПЦИЮ DROP ALL PACKETS EXCEPT THOSE THAT MEET THE CRITERIA BELOW.

13 ЗАКРЫВАЕШЬ ОКНА КНОПКОЙ OK.

Теперь никакой входящий трафик, кроме требуемого для установки и прохождения IPSec-соединения с адресом IP_w2k3_внеш, пропускаться не будет (более правильный способ — использовать в качестве firewall’а ISA-сервер).

Осталось симметричным образом (то есть поменяв «А» и «Б») повторить все настройки со стороны сети «Б» и проверить работу IPSec-туннеля. Для этого можно выполнить команду ping с компьютера из сети «А» до компьютера из сети «Б». Пинговаться удаленный узел будет не сразу, так как нужно время на согласование параметров IPSec-соединения, поэтому потеря первого пакета является нормальной. После удачного прохождения пинга можно воспользоваться утилитой ipsecmon.exe, входящей в состав Windows 2000 server, или анализатором трафика (родным - от Microsoft Network Monitor Tools или сторонним Wireshark) для контроля того, что трафик шифруется.

[IPSec и сертификаты.]

Теперь внедрим аутентификацию с использованием сертификатов. Для этого, во-первых, нужно поднять свой удостоверяющий центр, а во-вторых, запросить и установить сертификаты на обе взаимодействующие стороны. Сертификат должен быть установлен в хранилище сертификатов компьютера, так как IPSec поддерживает аутентификацию узлов, а не пользователей.