совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-9

12 НАЖИМАЕШЬ ADD...

13 В SOURCE ADDRESS УКАЗЫВАЕШЬ MY IP ADDRESS, В DESTINATION ADDRESS УКАЗЫВАЕШЬ IP_ФАЙЛ.СЕРВЕРА. ОСТАВЛЯЕШЬ ОПЦИЮ MIRRORED. ALSO MATCH PACKETS WITH THE EXACT OPPOSITE SOURCE AND DESTINATION ADDRESSES.

14 НА ЗАКЛАДКЕ PROTOCOL ВЫБИРАЕШЬ ТИП ПРОТОКОЛА TCP С ЛЮБОГО ПОРТА НА 445 И ЖМЕШЬ ОК.

15 ЗАКРЫВАЕШЬ IP FILTER LIST, НАЖИМАЯ CLOSE.

16 НА ЗАКЛАДКЕ IP FILTER LIST ВЫБИРАЕШЬ ТОЛЬКО ЧТО СОЗДАННЫЙ OUTBOUND SMB.

17 НА ЗАКЛАДКЕ AUTHENTICATION METHOD ДОБАВЛЯЕШЬ ВЫБРАННЫЙ РАНЕЕ МЕТОД АУТЕНТИФИКАЦИИ.

18 НА ЗАКЛАДКЕ FILTER ACTION ВЫБИРАЕШЬ REQUEST SECURITY (OPTIONAL).

19 ЗАКРЫВАЕШЬ ВСЕ ОКОШКИ, НАЗНАЧАЕШЬ ОТРЕДАКТИРОВАННУЮ ПОЛИТИКУ И ПЕРЕЗАПУСКАЕШЬ СЛУЖБУ IPSEC.

Для проверки правильности конфигурации пускаешь ping до сервера (он должен пройти), затем открываешь через меню Start—> Run—> \\ip_файл.сервера, - должны отобразиться общие папки и принтеры. Можно воспользоваться утилитой ipsecmon и анализатором трафика для контроля того, что нужные пакеты шифруются. Никакой другой трафик ни на сервер, ни с сервера проходить не должен.

Предполагаем, что файловый сервер не предоставляет других сервисов, например, сервиса разрешения имен, так как в этом случае нужно было разрешать больше типов входящего трафика.

[L2TP/IPSec.]

Можно ли использовать IPSec в туннельном режиме для схемы, когда требуется соединить не сеть с сетью, а компьютер, имеющий динамический адрес, с компьютером или компьютер с сетью? Такая ситуация возникает, когда необходимо обеспечить защищенный доступ пользователей, например, из дома или от сотрудника с ноутбуком в командировке в офисную сеть.

[сценарий 3]

Возникают вопросы:

1 ОТКУДА ВЗЯТЬ КОМПЬЮТЕРАМ ИЗ ЛОКАЛЬНОЙ СЕТИ ДВА IP-АДРЕСА?

2 ЧТОБЫ ИСХОДЯЩИЙ ПАКЕТ ПОПАЛ ПОД ДЕЙСТВИЕ IPSEC-ПОЛИТИКИ, ОН ДОЛЖЕН ИМЕТЬ АДРЕС ИСТОЧНИКА IP_А_ВНУТР. А ЕСЛИ ТРАФИК ГЕНЕРИРУЕТСЯ КОМПЬЮТЕРОМ С ДВУМЯ IP-АДРЕСАМИ, ПРИНАДЛЕЖАЩИМИ РАЗНЫМ СЕТЯМ, КАКОЙ АДРЕС ПОДСТАВИТСЯ В КАЧЕСТВЕ ИСТОЧНИКА?

На первый вопрос ответ простой. Во-первых, можно установить дополнительный ip–адрес к существующему сетевому интерфейсу. Во-вторых, установить Microsoft Loopback Adapter (эмулятор сетевой карты) и настроить адреса на нем.

А на второй вопрос нет простого ответа, так как решение о выборе ip-адреса источника принимает либо система, либо приложение, но никак не пользователь. Причем, если приложение при вызове функции bind() указывает адрес источника, то он используется для исходящих пакетов. Если приложение не указывает его, система сама выбирает ip-адрес (по таблице маршрутизации смотрит, через какой интерфейс достижим ip-адрес получателя и выбирает ip-адрес источника, связанный с этим интерфейсом). Если к интерфейсу привязано несколько адресов, видимо, выбирается тот, который принадлежит той же сети, что и шлюз (подробнее смотри на http://support.microsoft.com/kb/175396/en-us).

Вывод следующий: настроить IPSec-туннель в сценарии 3 так, чтобы весь трафик проходил через него, проблематично даже для статических адресов (по крайней мере, пользуясь встроенными средствами системы Windows).