совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-3

- ИСПОЛЬЗУЕМОЙ ТЕХНОЛОГИИ NAT (ЛИБО ЭТО ТРАНСЛЯЦИЯ IP-АДРЕСОВ ОДИН В ОДИН, ЛИБО ЭТО NAPT – ТРАНСЛЯЦИЯ И IP-АДРЕСОВ, И ПОРТОВ).

- ИСПОЛЬЗУЕМОГО МЕТОДА ИНКАПСУЛЯЦИИ В IPSEC (С AH-ИНКАПСУЛЯЦИЕЙ НИ ЧЕРЕЗ КАКОЙ NAT IPSEC-ТРАФИК НЕ ПРОЙДЕТ, ТАК КАК IP-АДРЕСА В ПАКЕТАХ НЕИЗБЕЖНО БУДУТ ИЗМЕНЕНЫ И ОТБРОШЕНЫ ПРИНИМАЮЩЕЙ СТОРОНОЙ, КАК НЕ ПРОШЕДШИЕ ПРОВЕРКУ ЦИФРОВОЙ ПОДПИСИ).

- КОЛИЧЕСТВА NAT’ОВ МЕЖДУ ВЗАИМОДЕЙСТВУЮЩИМИ СТОРОНАМИ.

- КОЛИЧЕСТВА КЛИЕНТОВ, НАХОДЯЩИХСЯ ЗА NAT’ОМ, КОТОРЫЕ ХОТЯТ УСТАНОВИТЬ IPSEC-СОЕДИНЕНИЕ.

- СТЕПЕНИ ПОДДЕРЖКИ IPSEC, РЕАЛИЗОВАННОГО В ДАННОЙ РЕАЛИЗАЦИИ NAT’А.

Для поддержки IPSec через NAT часто используется инкапсуляция IPSec в UDP (IPSec NAT-T, UDP/4500). NAT-T поддерживается в Windows 2003 и Windows XP SP2, для Windows 2000/XP необходимо доставить обновление (L2TP/IPSec NAT-T update).

IPSec в операционных системах линейки Microsoft реализуется с помощью политики. Политика состоит из правил. В состав правила входит фильтр, который определяет, на какой тип трафика распространяется данное правило, и действие, которое система выполняет над данным трафиком. Действия могут быть следующими: заблокировать трафик, разрешить трафик или установить безопасное соединение.

ПОЛИТИКА IPSEC

ПОЛИТИКА IPSEC МОЖЕТ БЫТЬ РЕАЛИЗОВАНА КАК ЛОКАЛЬНО, ТАК И ЧЕРЕЗ ДОМЕННЫЕ ПОЛИТИКИ. ПРИЧЕМ НАЛИЧИЕ ПРАВИЛ «РАЗРЕШИТЬ» И «ЗАБЛОКИРОВАТЬ» ПОЗВОЛЯЕТ ПРИМЕНЯТЬ ПОЛИТИКИ IPSEC (ПОЛИТИКИ БЕЗОПАСНОСТИ IP) НЕ ТОЛЬКО ДЛЯ ЗАЩИТЫ IP-ТРАФИКА НО И ДЛЯ ОРГАНИЗАЦИИ ОБЫЧНОЙ IP-ФИЛЬТРАЦИИ С ЦЕНТРАЛИЗОВАННЫМ УПРАВЛЕНИЕМ.

[практические решения.]

[сценарий 1]

Соединим два офиса, используя IPSec в туннельном режиме.

[пошаговая инструкция (для английских версий серверных платформ)]

Создаешь политику IPSec в Windows 2000 Server:

1 МЕНЮ START—> RUN, НАБИРАЕШЬ SECPOL.MSC И НАЖИМАЕШЬ ENTER.

2 ПРАВЫЙ КЛИК НА IP SECURITY POLICIES ON LOCAL MACHINE, ДАЛЕЕ КЛИК CREATE IP SECURITY POLICY.

3 КЛИКАЕШЬ NEXT.

4 ЗАДАЕШЬ ИМЯ НОВОЙ ПОЛИТИКИ, НАПРИМЕР «IPSEC BETWEEN NETA AND NETB», КЛИКАЕШЬ NEXT.

5 УБИРАЕШЬ ОПЦИЮ ACTIVATE THE DEFAULT RESPONSE RULE, КЛИКАЕШЬ NEXT.

6 ОСТАВЛЯЕШЬ ОПЦИЮ EDIT PROPERTIES, КЛИКАЕШЬ FINISH.

Создается политика IPSec с настройками по умолчанию для IKE. Посмотреть и изменить параметры IKE можно в закладке General. Для туннеля нужно создать два правила IPSec, так как каждое правило определяет свой удаленный конец туннеля. Для этого создавай два фильтра, один для трафика из сети «А» в сеть «Б», другой — для трафика в обратном направлении.

Теперь создавай фильтр для трафика из сети «А» в сеть «Б»:

1 УБИРАЕШЬ ОПЦИЮ USE ADD WIZARD, ТАК КАК СИЛЬНО НАПРЯГАЕТ.

2 НАЖИМАЕШЬ ADD...

3 ДАЕШЬ НАЗВАНИЕ ФИЛЬТРУ, НАПРИМЕР, NETA=>NETB.

4 УБИРАЕШЬ ОПЦИЮ USE ADD WIZARD.

5 НАЖИМАЕШЬ ADD...

6 В SOURCE ADDRESS ВЫБИРАЕШЬ A SPECIFIC IP SUBNET И УКАЗЫВАЕШЬ СЕТЬ И МАСКУ ДЛЯ СЕТИ «А».

7 В DESTINATION ADDRESS ВЫБИРАЕШЬ A SPECIFIC IP SUBNET И УКАЗЫВАЕШЬ СЕТЬ И МАСКУ ДЛЯ СЕТИ «Б».

8 УБИРАЕШЬ ОПЦИЮ MIRRORED. ALSO MATCH PACKETS WITH THE EXACT OPPOSITE SOURCE AND DESTINATION ADDRESSES И НАЖИМАЕШЬ OK.