Архив спецвыпуска журнала Хакер на www.wisesoft.ru, номер #072, стр. 072-010-8, совершенно секретно

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #72, НОЯБРЬ 2006 г.

совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-8

11 НА ЗАКЛАДКЕ PROTOCOL ВЫБИРАЕШЬ ТИП ПРОТОКОЛА TCP С ЛЮБОГО ПОРТА НА 139 И ЖМЕШЬ ОК

12 НАЖИМАЕШЬ ADD...

13 В SOURCE ADDRESS ВЫБИРАЕШЬ A SPECIFIC IP SUBNET И ПИШЕШЬ АДРЕС И МАСКУ ДЛЯ СЕТИ «А», В DESTINATION ADDRESS УКАЗЫВАЕШЬ MY IP ADDRESS. ОСТАВЛЯЕШЬ ОПЦИЮ MIRRORED. ALSO MATCH PACKETS WITH THE EXACT OPPOSITE SOURCE AND DESTINATION ADDRESSES.

14 НА ЗАКЛАДКЕ PROTOCOL ВЫБИРАЕШЬ ТИП ПРОТОКОЛА TCP С ЛЮБОГО ПОРТА НА 445 И ЖМЕШЬ ОК.

15 ЗАКРЫВАЕШЬ IP FILTER LIST, НАЖИМАЯ CLOSE.

16 НА ЗАКЛАДКЕ IP FILTER LIST ВЫБИРАЕШЬ ТОЛЬКО ЧТО СОЗДАННЫЙ INBOUND SMB.

17 НА ЗАКЛАДКЕ AUTHENTICATION METHOD ВЫБИРАЕШЬ МЕТОД АУТЕНТИФИКАЦИИ (ЕСЛИ КОМПЬЮТЕРЫ ИЗ ОДНОГО ДОМЕНА, ЕСТЕСТВЕННО, ОСТАВЛЯЕШЬ KERBEROS, ЕСЛИ ЕСТЬ УДОСТОВЕРЯЮЩИЙ ЦЕНТР И СООТВЕТСТВУЮЩИЕ СЕРТИФИКАТЫ IPSEC, ВЫБИРАЕШЬ USE CERTIFICATE, В ПРОТИВНОМ СЛУЧАЕ ПОЛЬЗУЕШЬСЯ PRESHARED KEY).

18 НА ЗАКЛАДКЕ FILTER ACTION ВЫБИРАЕШЬ REQUIRE SECURITY, НАЖИМАЕШЬ EDIT...

19 УБИРАЕШЬ (ЕСЛИ УСТАНОВЛЕНА) ОПЦИЮ ACCEPT UNSECURED COMMUNICATION, BUT ALWAYS RESPOND USING IPSEC И НАЖИМАЕШЬ OK, ДАЛЕЕ CLOSE.

20 В СПИСКЕ ПРАВИЛ НАЖИМАЕШЬ ADD... И ВЫБИРАЕШЬ ALL ICMP TRAFFIC.

21 НА ЗАКЛАДКЕ AUTHENTICATION METHOD ВЫБИРАЕШЬ ТАКОЙ ЖЕ МЕТОД, КАК В ПУНКТЕ 17.

22 НА ЗАКЛАДКЕ FILTER ACTION ВЫБИРАЕШЬ PERMIT И НАЖИМАЕШЬ OK.

23 В СПИСКЕ ПРАВИЛ ОПЯТЬ НАЖИМАЕШЬ ADD..., ВЫБИРАЕШЬ ALL IP TRAFFIC.

24 НА ЗАКЛАДКЕ AUTHENTICATION METHOD ВЫБИРАЕШЬ ТАКОЙ ЖЕ МЕТОД, КАК В ПУНКТЕ 17.

25 НА ЗАКЛАДКЕ FILTER ACTION НАЖИМАЕШЬ ADD...

26 В SECURITY METHOD ВЫБИРАЕШЬ BLOCK, ПЕРЕХОДИШЬ НА ЗАКЛАДКУ GENERAL И ПИШЕШЬ ТАМ BLOCK TRAFFIC, НАЖИМАЕШЬ НА OK.

27 В ОКОШКЕ FILTER ACTION ВЫБИРАЕШЬ BLOCK TRAFFIC И CLOSE.

В итоге получилось три правила. Порядок их не меняется, и применяются они по специфичности. То есть если пойдут входящие ICMP-пакеты, сработает правило Allow ICMP traffic и т.д.

Закрываешь окна и назначаешь созданную политику. Для этого на имени политики IPSec for File Server правый клик, в контекстном меню — Assign.

Для применения изменений перезапускаешь службу IPSec:

ЛИСТИНГ

net stop policyagent

net start policyagent

Настраиваешь IPSec-политику на клиентском компьютере (распространить политику на другие машины можно либо через групповую политику, если есть домен, либо через оснастку Security Templates и экспорт политик):

1 МЕНЮ START, ДАЛЕЕ RUN, НАБИРАЕШЬ SECPOL.MSC И НАЖИМАЕШЬ ENTER.

2 ПРАВЫЙ КЛИК НА IP SECURITY POLICIES ON LOCAL MACHINE, ДАЛЕЕ КЛИК CREATE IP SECURITY POLICY.

3 КЛИКАЕШЬ NEXT.

4 ПИШЕШЬ ИМЯ НОВОЙ ПОЛИТИКИ, НАПРИМЕР, «IPSEC FOR FILE SERVER», КЛИКАЕШЬ NEXT.

5 УБИРАЕШЬ ОПЦИЮ ACTIVATE THE DEFAULT RESPONSE RULE, КЛИКАЕШЬ NEXT.

6 ОСТАВЛЯЕШЬ ОПЦИЮ EDIT PROPERTIES, КЛИКАЕШЬ FINISH.

7 ДОБАВЛЯЕШЬ ПРАВИЛО IPSEC, КЛИКАЯ ADD...

8 ДОБАВЛЯЕШЬ IP FILTER, КЛИКАЯ ADD...

9 НАЗЫВАЕШЬ ФИЛЬТР OUTBOUND SMB И НАЖИМАЕШЬ ADD...

10 В SOURCE ADDRESS УКАЗЫВАЕШЬ MY IP ADDRESS, В DESTINATION ADDRESS УКАЗЫВАЕШЬ IP_ФАЙЛ.СЕРВЕРА. ОСТАВЛЯЕШЬ ОПЦИЮ MIRRORED. ALSO MATCH PACKETS WITH THE EXACT OPPOSITE SOURCE AND DESTINATION ADDRESSES.

11 НА ЗАКЛАДКЕ PROTOCOL ВЫБИРАЕШЬ ТИП ПРОТОКОЛА TCP С ЛЮБОГО ПОРТА НА 139 И ЖМЕШЬ ОК.

Назад на стр. 072-010-7 Содержание Вперед на стр. 072-010-9