ВЫПОЛНИТЬ!
1.Проверьте возможность анализа сетевого трафика при отключенном протоколеIPSec. Запустите анализатор сетевого трафика. Отправьте текстовый файл (набранный латинскими буквами) на виртуальный компьютер. Просмотрите захваченные пакеты. Убедитесь, что файл передается по протоколу SMB, текст файла передается в открытом виде.
2.Осуществите настройку протокола IPsec. Администрирование Локаль-
ная политика безопасности Политики безопасности IP.
3.Обратите внимание на существование трех шаблонов: «Безопасность сервера» (при использовании данного шаблона не допускается нешифрованный трафик), «Клиент (Только ответ)» (при использовании данного шаблона возможен нешифрованный трафик, если сервер его не требует) и «Сервер (Запрос безопасности)» (при использовании данного шаблона возможен нешифрованный трафик, если клиент не поддерживает шифрование).
4.Выполните настройку шаблона «Безопасность сервера». Измените настройку фильтра «Весь IP-трафик»
5. В разделе «Методы проверки подлинности» измените метод Kerberos
6.Выберите пункт «Использовать данную строку для защиты обмена ключами» и введите произвольную текстовую строку.
7.Примените внесенные изменения и активизируйте политику, выбрав из контекстного меню данного шаблона пункт «Назначить».
8.Аналогичные действия осуществите на соседнем компьютере. Убедитесь, что ключ шифрования (текстовая строка) совпадает.
5.8.2. Проверка защиты трафика
9.Убедитесь, выполняя команду PING, что для проверки присутствия в сети вашего компьютера возможны ICMP-пакетыкак от соседнего компьютера (на котором также включено шифрование), так и от любого другого.
10.Убедитесь, что в сетевом окружении вам доступен только соседний компьютер. При обращении к другим системам появляется ошибка.
11.Убедитесь путем анализа сетевого трафика при отправке на соседний компьютер текстового файла, что весь IP-трафикидет в зашифрованном виде.
12.Проверьте функционирование IPSec при использовании шаблонов «Клиент (Только ответ)» и «Сервер (Запрос безопасности)».
13.По окончании отключите шифрование трафика.
Настройка политики межсетевого экранирования с использованием протокола IPSec
Задача. Разработать политику дляweb-сервера,на котором разрешен только трафик через порты TCP/80 и TCP/443 из любой точки.
ВЫПОЛНИТЬ!
14.Запустите на своем узле web-сервер.Проверьте его функционирование, обратившись с другого узла.
15.Запустите утилиту настройки протокола IPSec: Администрирование Локальная политика безопасности Политики безопасности IP.
16.Из контекстного меню выберите «Управление списками IP-фильтраи действиями фильтра». Создайте два действия (сначала сбросьте флажок «Использовать мастер»): «Разрешение» (определяющее допустимый метод безопасности) и «Блокировка» (заблокированный метод безопасности)
17.Создайте список фильтров под названием «Любой», имеющий настройки по умолчанию, которые соответствуют всему трафику.
18.Создайте список фильтров под названием «web-доступ» дляweb-сервера,разрешающего трафик на портах TCP/80 и TCP/443 из любой точки, основываясь на правилах:
Правило 1. Источник – ЛюбойIP-адрес.Назначение – МойIP-адрес.Отображаемый – Да. Протокол – TCP. Порт источника – Любой (ANY). Порт назначения – 80.
Правило 2. Источник – ЛюбойIP-адрес.Назначение – МойIP-адрес.Отображаемый – Да. Протокол – TCP. Порт источника – Любой (ANY). Порт назначения – 443.
19. Создайте новую политику под названием «Web-доступ».Из контекстного меню окна «Политики безопасности IP» выберите «Создание политики безопасности IP». Воспользуйтесь мастером. Не активизируйте пункт «Использовать правило по умолчанию».
20.Добавьте в созданную политику правило доступа«Web-доступ»,использующее список фильтров«Web-доступ»и действие «Разрешение».
21.Добавьте в созданную политику правило доступа «Любой», использующее список фильтров «Любой» и действие «Блокировка»). Обратите внимание на последовательность правил.
22.Примените политику «Web-доступ»(из контекстного меню политики«Web-доступ»выберите пункт «Применить»,
23.Проверьте политику «Web-доступ»,осуществив подключение к80-омупорту с другого узла.
