Архив спецвыпуска журнала Хакер на www.wisesoft.ru, номер #072, стр. 072-010-4, совершенно секретно

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #72, НОЯБРЬ 2006 г.

совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-4

9 ЗАКРЫВАЕШЬ ОКОШКО IP FILTER LIST, НАЖИМАЯ CLOSE.

Для фильтра трафика из сети «Б» в сеть «А» все делается по аналогии.

IPSEC ПОЗВОЛЯЕТ ШИФРОВАТЬ ДАННЫЕ ТОЛЬКО В ОДНОМ НАПРАВЛЕНИИ. ЕСЛИ НЕОБХОДИМО ШИФРОВАНИЕ ДАННЫХ В ОДНУ СТОРОНУ, ТО НАДО СОЗДАТЬ ПО ОДНОМУ ФИЛЬТРУ С КАЖДОГО КОНЦА IPSEC-ТУННЕЛЯ

Теперь создавай правила на основе созданных фильтров:

1 В IP FILTER LIST ВЫБИРАЕШЬ ФИЛЬТР NETA=>NETB.

2 НА ЗАКЛАДКЕ AUTHENTICATION METHOD НАЖИМАЕШЬ ADD..., ВЫБИРАЕШЬ ОПЦИЮ USE THIS STRING TO PROTECT THE KEY EXCHANGE (PRESHARED KEY) И ПИШЕШЬ КЛЮЧЕВУЮ ФРАЗУ (ДЛЯ ТЕСТОВЫХ ЦЕЛЕЙ ПОДОЙДЕТ И СЛОВО «PASSWORD», НО ПОСЛЕ ТОГО, КАК ТУННЕЛЬ ЗАРАБОТАЕТ, ЛУЧШЕ СОЗДАТЬ СЛОЖНЫЙ И ДЛИННЫЙ ПРЕДОПРЕДЕЛЕННЫЙ КЛЮЧ).

3 НАЖИМАЕШЬ OK.

4 В ОКОШКЕ AUTHENTICATION METHODS ПОМЕЧАЕШЬ PRESHARED KEY И НАЖИМАЕШЬ MOVE UP, ЧТОБЫ ВНОВЬ СОЗДАННЫЙ МЕТОД АУТЕНТИФИКАЦИИ ПРИМЕНЯЛСЯ ПЕРВЫМ.

5 ВЫБИРАЕШЬ ЗАКЛАДКУ TUNNEL SETTING, ВЫБИРАЕШЬ THE TUNNEL ENDPOINT IS SPECIFIED BY THIS IP ADDRESS И ПИШЕШЬ ТУДА IP_W2K3_ВНЕШ (ВНЕШНИЙ IP-АДРЕС ДАЛЬНЕГО КОНЦА ТУННЕЛЯ).

6 НА ЗАКЛАДКЕ FILTER ACTION ВЫБИРАЕШЬ REQUIRE SECURITY, ДАЛЕЕ EDIT...

7 СНИМАЕШЬ ГАЛОЧКУ НАПРОТИВ ACCEPT UNSECURED COMMUNICATION, BUT ALWAYS RESPOND USING IPSEC И НАЖИМАЕШЬ OK.

8 ЗАКРЫВАЕШЬ ОКОШКО EDIT RULE PROPERTIES, НАЖИМАЯ НА OK.

Созданную политику нужно применить. Для этого на имени политики IPSec between NetA and NetB делаешь правый клик и в контекстном меню выбираешь Assign.

Чтобы изменения сразу вступили в силу, необходимо перезапустить службу IPSec, либо из оснастки Computer Management, либо дав команды:

ЛИСТИНГ

net stop policyagent

net start policyagent

ОСТАНОВИТЬ СЛУЖБУ IPSEC БЫВАЕТ ПОЛЕЗНО, КОГДА ЕСТЬ ПРОБЛЕМЫ С ДОСТУПОМ КОМПЬЮТЕРА К СЕТИ И НЕПОНЯТНО, «ЗАМЕШАНА» ЛИ В ЭТОМ IPSEC-ПОЛИТИКА

Теперь нужно направить пакеты, следующие из сети «А» в сеть «Б», на внешний интерфейс шлюзового компьютера сети «Б» (в нашем случае Windows 2003 Server). Для этого на каждом компьютере в локальной сети нужно прописать в качестве шлюза для сети «Б» адрес IP_w2ks_внутр, а на сервере в качестве шлюза для сети «Б» внешний адрес шлюзового компьютера сети «Б», то есть IP_w2k3_внеш.

КОМПЬЮТЕРЫ В ЛОКАЛЬНОЙ СЕТИ НЕ НУЖДАЮТСЯ НИ В КАКОЙ ДОПОЛНИТЕЛЬНОЙ КОНФИГУРАЦИИ (КРОМЕ УКАЗАНИЯ ПУТИ ДО УДАЛЕННОЙ СЕТИ) ДЛЯ ПОДДЕРЖКИ IPSEC-ТУННЕЛЯ, ТРАФИК ОТ СТАНЦИЙ ДО СЕРВЕРА ИДЕТ НЕЗАШИФРОВАННЫМ.

Шлюзовой компьютер в режиме IPSec-туннеля должен функционировать как роутер, то есть пересылать пакеты с одного сетевого интерфейса на другой (отсюда вытекает, что не серверные платформы Windows не могут быть IPSec-шлюзом для локальной сети, так как не поддерживают роутинг). Рассмотрим два способа реализации.

[первый способ]

1 НА СЕРВЕРЕ ДОБАВЛЯЕШЬ ПОСТОЯННЫЙ СТАТИЧЕСКИЙ МАРШРУТ К СЕТИ «Б», ВЫПОЛНИВ В КОМАНДНОЙ СТРОКЕ: ROUTE ADD –P АДРЕС_СЕТИ_Б MASK МАСКА_СЕТИ_Б IP_W2K3_ВНЕШ.

2 ВКЛЮЧАЕШЬ ВОЗМОЖНОСТЬ РОУТИНГА, ПРАВЯ В РЕЕСТРЕ. ДЛЯ ЭТОГО ОТКРЫВАЕШЬ ВЕТКУ РЕЕСТРА HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\TCPIP\PARAMETERS И ИЗМЕНЯЕШЬ ЗНАЧЕНИЕ ПАРАМЕТРА IPENABLEROUTER НА 1 (ПО УМОЛЧАНИЮ 0). ДЛЯ ВСТУПЛЕНИЯ ИЗМЕНЕНИЙ В СИЛУ ТРЕБУЕТСЯ ПЕРЕЗАГРУЗКА СИСТЕМЫ.

Назад на стр. 072-010-3 Содержание Вперед на стр. 072-010-5