Gyümölcsöző unió és netsh IPSec, ablakok IT Pro

előzőa következő
Netsh segédprogram hozzáadja a parancssorba alapvető erő IPsec

Ismerete IPsec

Figyelembe véve, hogy mivel azok komplexitása, IPsec túlmutatnak a feladatokat, amelyeket a rendszergazdák végre a nap legnagyobb részében, kezdjük az alapvető funkciókat. Ahogy a neve is sugallja, IPsec használják további védelmet nyújtanak viszonylag alacsony szinten az IP protokollt. Az IPsec, akkor nem csak változtatni az IP konfiguráció továbbítja blokk információt egyik rendszerből a másikba (tipikus IP funkció), hanem továbbítja a csomagokat csak akkor, ha a küldő és a címzett titkosítani ezeket a csomagokat; Azt is letilthatja a csomagok küldését. A nagy előnye, IPsec, hogy mi ismét beszélünk IP, és nem a magasabb szintű protokollok. Az IPsec védi a kommunikáció az interneten olyan egyszerű, mint a biztonságos e-mail, vagy a Microsoft SQL Server tranzakciókat, hiszen ezek az alkalmazások futnak a felső réteg IP.

Azt kell mondanom, hogy az IPsec - szerda, amely munkákat ismereteket igényel fogalmakat. A kompetencia IPsec megköveteli annak megértését, kifejezések, mint a politika, a jog, a lista, szűrő, szűrés, és a hitelesítést.

Politikák és szabályozás. Administrator védi az összes vagy néhány IP-kapcsolatok a rendszer (vagy több rendszer) létrehozásával egy úgynevezett IPsec politikát. Irányelvek - egy tárolót egy vagy több szabályt, és semmi mást, ezért sokkal hatékonyabb, mint amelyben a leírás, mint például a Protect My SQL Server System vagy port blokkolása 80. Például az SQL Server politika állhat két szabályokat, mint például : Hagyjuk titkosított kommunikáció csak TCP port 1433 helyi alhálózatban ( «engedélyezése a titkosított kommunikáció csak TCP1433 port a helyi alhálózat") és a blokk minden kommunikáció TCP 1433 máshonnan ( «blokk minden bejövő TCP kapcsolatokat 1433-as portra más helyeken” ). TCP - egy web-alapú felület az alapértelmezett SQL Server kiszolgálón. Minden szabály két kötelező és egy választható részei. Kötelező elemek közé szűrőlistára és szűrőművelet további - hitelesítést.

szűrőt. Ha egy szűrő van meghatározva, van egy szakasza a szűrőművelet. IPsec szűrőművelet engedélyezhetik a kapcsolatot, és továbbítja a csomagokat (alapértelmezett a sor, hogy folyik a legtöbb hálózat), blokk kapcsolat (csak csepp IP csomagok), hogy titkosítja vagy aláírja az információáramlás. Például a második szabály a politikánkat, Panel bejövő kommunikációs port 1433 ( „Az összes bejövő kapcsolatot port 1433”) meghatározza az intézkedés a szűrőt a blokkoló funkció.

Hitelesítés. Ha a hatása a szűrő nem blokkolja vagy engedély, és titkosítja és digitálisan jelek, ott kell lennie egy harmadik komponenst egy szabály: a titkosítás és a digitális aláírás algoritmus és eszköz cseréje kriptográfiai kód ilyen titkosítás és aláírás - más szóval, a hitelesítési mechanizmus. IPsec szabvány lehetővé teszi a két fél hitelesíti, ha tudják, hogy egy közös jelszót, befektetési jegyek, vagy tagjai ugyanazon Active Directory erdő - egy lehetőség, hogy a Kerberos hajtják végre IPsec.

Példa port blokkolás

Egy egyszerű feladat, hogy el lehet végezni az IPsec használatával, - hogy megkerülje az egyes TCP vagy UDP port. Bár a blokkoló kikötők és nem tűnik különösebben hasznos, szoktam IPsec úgy, hogy egy egyszerű batch fájlt a tűzfal ebben az esetben, még azután is debütált a Windows tűzfal. Ellentétben a Windows tűzfal, IPsec blokkolhatja a kimenő csomagokat.

Tegyük fel, hogy kiderült, hogy néhány, a személyzet titokban használja Web-szerverek kérdéses tartalmat. Meg kell állítani az ilyen tevékenységek létrehozása révén egy sor parancs, hogy nem teszik lehetővé a küldő és a fogadó bármely csomagot át a 80-as portot Ehhez hozzon létre egy olyan politika, amely egy szabályt. Ha a csomagot küld egy speciális rendszer a 80-as TCP, vagy úton van a 80-as port a rendszer, az IPsec protokoll szükséges, hogy blokkolja a csomagot.

Létrehozása politika

A folyamat megkezdéséhez létrehozásával egy IPsec politika, amelyet nevezhetünk blokk webkiszolgálási. Netsh parancsszintaxishoz meglehetősen egyszerű:

Minden utasítást kapcsolatos IPsec kell kezdeni Netsh IPSec statikus. Akkor nem lesz lehetőség hozzáadása, törlése, Set vagy megjelenítése kíséretében az egyik az öt kulcs: politika, szabály, filterlist, szűrő, vagy filteraction. Kötelező a legtöbb öt paraméter - name = és leírás =. Ha továbbra is világos, hogy a szintaxis - a gyakori probléma a Netsh, egyszerűen írja be a parancsot paraméterek nélkül, pl

Fejlesztési szűrő

Paraméter filterlist = név meghatározza IPsec, amelyben szűrőlistákat hogy egy szűrőt. De amikor a szűrő lista jött létre? A Netsh van egy csapat, hogy hozzon létre egy szűrőt listán, de ebben a példában, amikor az alkatrész Szűrő hozzáadása megjegyzi, hogy az új szűrő része egy nem létező szűrési listában, a csapat kezd létre ezt a szűrő listát. minden szót, és nekem vannak beágyazva kulcsszavak értékek, amelyek nem igényelnek magyarázatot. A paraméter értékét is nyilvánvaló dstport (cél port szám), és srcport paraméter = 0 azt jelenti, bármilyen forrásból port (akár a forrás port).

Paraméter tükrözött = yes megerősíti a szándék, hogy ez a szűrő lett a szabály érvényben csomagok érkeznek az 80-as port a rendszer, és éppen ellenkezőleg, a kimenő 80-as port létrehozhat két különböző szűrőket a szűrő lista, de sok szűrő IPsec csak szükség egy pár, valamint egy pár a fenti, amelyet nevezhetünk „tükör”.

Beállítása szűrőművelet

Most dolgozunk ki a szűrőt. Mindössze annyit kell tennie -, hogy meghatározza az intézkedés, amely blokkolja az információkat az alábbiak szerint:

Ez a parancs létrehoz egy szűrőt akció neve blockit, és egyértelmű, hogy a lényeg a saját blokkoló információkat.

Az elrendezés politika

Most van egy politikai, szűrőlistára, szűrés, továbbra is kötik szűrőlistát és szűrőművelet egyetlen szabály, mint a következő parancsot:

Ez egy hosszú parancsot, de ez elég világos. Hadd emlékeztessem önöket, hogy általában áll legalább két részből áll - a listát a szűrők és szűrő akciók - és egyik összetevője a politika. Parancsparaméterek ad nevet a szabálynak (80-as blokk), a szűrő listát kell használni (80, vagy ki), a végrehajtandó intézkedések (blockit) és leírását. Tehát a politika van konfigurálva.

politika végrehajtása

Most már csak végre a mi politikánk. Akkor használd ezt a parancsot

Ezután költözés rendszert használ, akkor elindítja a Microsoft Internet Explorer (IE) és próbálja felfedezni a Web-szerver honlapján. Internet Explorer megpróbálja többször elvégezni a műveletet, és végül feladja. Próbálja újra, menj vissza a szerver és a PR-típusú

és látni fogja a honlapon.

További - több

A példa az IPsec, mivel a cikkben - ez a legegyszerűbb dolog, amit megpróbál, de a bonyolultabb műveleteket nem sokkal több időt vesz igénybe, és képesek megoldani nagyon fontos problémát. Lock és lehetővé teszi a forgalom - két legegyszerűbb, de nem az egyetlen módja, hogy használja az IPsec szabványnak. Az IPsec is aláírni vagy titkosítani a forgalmat, és ezekhez az eljárásokhoz kicsit több tudást. Tehát most már, hogy módosítsa a fent említett probléma: hozzon létre egy szabályt az IPsec, amely lehetővé teszi a Web-szervert, hogy a forgalom a 80-as TCP, de csak akkor, ha titkosított Triple DES (3DES), és aláírt a Secure Hash Algoritm-1 algoritmussal (SHA-1).

Létrehozása politikát. Ahogyan korábban, akkor létre IPsec politikát, amely használható a Web-szerver, vagy egy csoport, Web-szerverek. Ez a politika áll egy szabály, ami kell egy szűrő listát és szűrőművelet (valamint a hitelesítés módját, de erről bővebben később). A szűrő aktiválja a szabály, hogy ha az információ olyan egy adott rendszer TCP port 80 vagy ha az információ ki a rendszer bármely irányba a TCP-port 80. Annak érdekében, hogy a szűrő listát, az akció, hogy a szabály - kérni titkosítás 3DEC és aláírás SHA-1.

Minden parancs kapcsolatos IPsec szabvány, kezdve Netsh IPSec statikus. Add Policy Key megteremti a politikai, és a csapat megy az elnevezési és leíró politikát.

Hozzon létre egy szűrőt és a szűrő listát. Szűrő, amely szeretnénk fejleszteni, biztosítja az IP-parancsot a konkrét szabályt, ha olyan információ jut, vagy átmegy a TCP-port 80, így ez a szűrő hasonló az egyik, hogy jött létre a fenti:

Beállítása szűrőművelet. Ahelyett szűrőlépések az utolsó időben, és abból áll, hogy blokkolja az információ átadását, ha a szűrő illeszkedik, most egy akció lenne egy aláírás titkosítást és továbbítása az esetben, ha a szűrő feltétel teljesül. Ez a bejegyzés a következő:

Kulcs hozzáadása Szűrés hozzáad egy szűrés, és a csapat megy a nevét és leírását a cselekvés. Megjegyzés felvétele a paraméter action = tárgyalni helyett akció = blokk vagy action = engedélyt. Ezt a paramétert használjuk a digitális aláírás és a titkosítás és aláírás. De mi történik itt?

Ez a kérdés a válasz a következő paraméter qmsecmethods = »ESP [3DES, SHA1]. Ez a lehetőség számos lehetséges alternatívák, de lényegében megad ESP mód [] vagy AH [], és adja meg a kiválasztott titkosítási algoritmus vagy algoritmus hash függvény a zárójelbe. Például «AH [SHA1] fogja használni az SHA1 hash függvény a digitális aláírások forgalmat. ESP mód megköveteli a nevét két kriptográfiai algoritmusok - titkosítás és tördelő, mert ő és titkosítja, jelek és a forgalom. Így «ESP [3DES, SHA1]» módban titkosítja Triple DES algoritmussal és aláírt egy hash függvény SHA1.

Az utolsó három paraméter kapcsolódnak három doboz a grafikus felhasználói felület, ha az IPSec szűrő. Az első doboz - Accept biztonságos kommunikációt, de mindig reagál az IPSec használatával ( «A nem védett vegyületet, de mindig reagál az IPSec használatával»). Tegyük fel, hogy a számítógépen a Windows XP és a meglévő alapvető szabályt Ipsec. Ez a számítógép küldi a titkosított választ, ha egy kérés érkezik, de nem kezdeményezi a titkosítás. Ha az XP rendszert megpróbál a tartalmát egy biztonságos web-szerver, a Web-kiszolgáló elfogadja HTTP kérés, de válaszolni fog egy titkosított IPsec.

Ebben a szakaszban az ügyfél nem érti, vagy az IPsec kapcsolat, és egyszerűen leáll, vagy nem érti, és kezdjük átvitel IPsec. Ha bejelöli ezt az opciót - nem feltétlenül hiba, és ha kell, hogy felkészítse a kliens rendszer csak a beágyazott IPsec politika a kliens módban (Válasz Only), meg kell választani, de én személy szerint nem tetszik.

Sok web-alapú alkalmazások tegye a hitelesítési adatokat az eredeti HTTP kérés, de nagyon kellemetlen, hogy észre, hogy még az első csomagot továbbítjuk a biztonságos web-szerver lehet egy egyszerű szöveg.

Paraméter inpass = nincs eltávolítja ezt a zászlót, és kizárja a penetráció a nyílt szöveg be előzetes vegyületet.

Jelölje be a négyzetet engedélyezése nem biztonságos kommunikáció nem IPsec-aware számítógépek ( «engedélyezése nem biztonságos kommunikációt számítógépekkel, amelyek nem támogatják a szabványos IPSec») - rendkívül rossz ötlet. Lényegében ez megköveteli a titkosított kommunikációt az ügyfelek, de ha nem tudnak megfelelni ezeknek a követelményeknek, védett kommunikációs megengedett minden esetben. Fontos azonban megjegyezni, hogy a támadók nem kell az összes jelszó, egy is elég. Soft = nincs lehetőség eltávolítja ezt a négyzetet.

Végül a paraméter qmpfs = yes határozza meg, hogy az IPsec szabvány megváltozik a titkosítási kód / aláírásokat. Hogy kiküszöböljék a rosszindulatú terveket, IPsec rendszeresen változó titkosítási kódokat. Beállítható, IPsec kell változtatni a kódot, ahányszor szükséges.

Új kódok matematikailag kapcsolódó, az előző; Ezért, ha egy kódot veszélybe kerül, a támadó ki tudja számítani a következő.

Mi a szabály?

Ahhoz, hogy hozzon létre egy szabályt, akkor kombinálni kell a szűrő listát, szűrés, és a harmadik komponens, amely nem követeli meg tőlünk, utoljára: hitelesítést. IPsec szabvány támogatja a következő megközelítések: az általános jelszó (nem opció, egy lehetőség, hogy dolgozzon teszt helyzetekben), beépített Kerberos infrastruktúra, amely összeköti minden rendszerben az erdő Active Directory (AD) vagy csere bizonyítvány X.509. A Windows IPsec szabvány az alapértelmezett Kerberos, és ez látható az alábbi példát. Netsh paranccsal hozzon létre a szabály a következő:

Key Add Rule van jelen, így állunk hozzá egy szabályt. Ezután a csapat kéri a szabály és a politika, amely tartalmazza ezt a szabályt. Nem tudja használni a szabályokat több politikát. A csapat ezután meghatározza a szűrő listát és szűrőművelet. Paraméter Kerberos = yes meghatározza a Kerberos hitelesítési és a csapat végén egy leírást. Most csak arra van szükség, hogy végezzen a politika, ahogy múltkor, vagy annak végrehajtására a grafikus felhasználói felület.

Ossza meg képeit barátaival és kollégáival

Az erős és rugalmas technológia, mint senki a Windows PowerShell script nyelv (korábbi neve - Monád) - egy eszköz a Windows Server Management, a Microsoft által kiadott, mivel az Advent VBScript. PowerShell

Egy példa a valós életben Bár a Microsoft elfoglalt támogatása Windows PowerShell egy új generációs programozási nyelv a Windows rendszer és a hálózati rendszergazdák és informatikai vezetők nagyobb hangsúlyt a végrehajtás a jelenlegi

Az utolsó hiányosságok a képességeit a Windows felügyeleti scripting folyamatot Windows régóta tárgya nevetségessé részéről UNIX rendszergazdák. Ennek fő oka az volt, hogy a Windows nem olyan funkciót, hogy lehetne.

Javítani kell a szkriptek Scripts parancssor - ezek a fájlok egy egyszerű szöveget, amely értelmezi a héj, mint egy sor parancs futtatása sorrendben. History szkriptek parancssori kezdődött hajnalán

előzőa következő