Вход на хостинг
IT-новости
20.04.2016 iPhone 2017 года поместят в водонепроницаемый корпус из стекла
Линейка iPhone в новом году серьезно поменяется. В этом уверен аналитический исследователь Мин Чи Ку......
30.07.2015 Ищем уникальный контент для сайта
Ищем уникальный контент для сайта Без уникального контента Ваш сайт обречен на то, что его страницы......
Назначение и отключение IPSec-соединения с использованием стандартных настроек Windows
Для организации аутентифицированного и закрытого обмена данными между двумя компьютерами по протоколу IPSec необходимо активизировать на одной стороне политику «Безопасность сервера (Secure Server)», на другой – «Клиент (Client)» в разделе «Политики безопасности IP на Локальный компьютер (IP Security Policies on Local Machine)». Это можно сделать, выбрав пункт локального меню (вызываемого по правой кнопке «мыши») «Назначить (Assign)», предварительно выбрав строку с нужной политикой. Приложение «Локальные параметры безопасности (Local Security Settings)» можно активизировать, выбрав одноименный подпункт меню «Пуск –> Настройка –> Панель управления –> Администрирование (Start –> Setting –> Control Panel –> Administrative Tools)».
Обратите внимание на то, что стандартные политики предназначены для использования в рамках одного домена. В противном случае защищенное соединение не будет установлено.
Отметим, что связывающиеся стороны должны быть уверены, что настройки используемых политик остались неизменными с момента установки операционной системы. Вместе с тем теоретически существует ненулевая вероятность, что после выполнения согласования поддерживаемых криптографических алгоритмов и ключевых данных, соединение будет организовано только с использованием протокола аутентификации (Authentication Header – АН), которое предполагает активизацию механизмов только авторства и целостности передаваемых пакетов, в то время как само содержимое пакетов будет передаваться по сети в открытом виде. Это создает предпосылки к тому, что все данные, которыми обмениваются компьютеры, организовавшие «защищенный» канал, будут перехвачены.
Чтобы удалить назначение политики IPSec, щелкните на активной политике правой кнопкой «мыши» и выберите команду «Снять (Un-assign)». Кроме того, можно отключить на компьютере службу «Агент политики IPSEC (IPSEC Policy Agent)». Это позволит обеспечить гарантированное отключение использования политики безопасности IPSec, которая может управляться на уровне контроллера домена.
Тестирование установления IPSec-соединения
Для проверки правильности настроек политики безопасности, активизируйте установку защищенного соединения, выполнив следующие шаги на одном из тестируемых компьютеров:
n Вызовите командную строку, выполнив запуск программы cmd.exe, выбрав меню «Пуск –> Выполнить… (Start –> Run...)» или выбрав подпункт «Командная строка (Command Promt)» меню «Пуск –> Программы –> Стандартные (Start –> Program –> Accessories)».
n Запустите команду ping с IP-адресом другого тестируемого компьютера. Установка защищенного соединения требует времени, поэтому при первой попытке отзыв от сервера не будет получен.
n Повторите команду ping.
На рис. 2 показан протокол работы двух последовательных вызовов команды ping.
Рисунок 2. Выполнение команды ping при согласовании политики безопасности
Мониторинг IPSec-соединения
В состав Windows 2003 стандартное средство IPSecMon не входит, потому все изложенное ниже в данном пункте может быть применено только для Windows 2000/XP.
Для опытных пользователей для варианта Windows 200x Server для использования может быть предложена стандартная Windows-компонента «Средства сетевого монитора», позволяющая просмотреть все нюансы установки защищенного соединения на уровне данных IP-пакетов, а также 100% удостовериться, что в закрытости содержимого IP-пакета после установки защищенного соединения.
В данной статье описание работы с сетевым монитором в разрезе применения IPSec-протокола не приводится.
Для выполнения контроля защищенного обмена можно использовать утилиту Монитор IP-безопасности (IP Security Monitor), активизируемую при вызове приложения IPSecMon.exe. Эта утилита показывает наличие и, самое главное, параметры установленных с использованием протокола IPSec защищенных IP-каналов (см. рис.3).
С помощью кнопки «Параметры... (Options...)» уменьшите время обновления с 15 до 1 секунды, чтобы получать в каждый момент актуальную информацию о состоянии IPSec-соединения.