Предположим, нам необходимо организовать защищенный обмен почтовой информацией между двумя пользователями. В процессе организации воспользуемся двумя узлами. Один узел под управлением OC Windows 2000 Professional будет выполнять роль почтового сервера, реализуемого сервером Eserv, этот же узел будет являться рабочим местом первого пользователя (u1) для отправки почтовой корреспонденции с использованием программы Outlook Express. Второй узел под управлением ОС Windows Server 2003 будет рабочим местом второго пользователя (u2), дополнительно этот узел будет решать задачу по выдаче сертификатов открытых ключей. Шифрование почтовых сообщений будет осуществляться с помощью алгоритма ГОСТ 28147-89,реализуемого средствами СКЗИ КриптоПро CSP.
Поставленная задача разбивается на несколько этапов: организация почтового обмена без применения шифрования, активизация Web-сервераInternet Information Services (IIS) в ОС Windows Server 2003, установка СКЗИ Крип-
тоПро CSP, установка Центра сертификации в ОС Windows Server 2003, получение сертификатов открытых ключей, организация защищенного обмена электронной почтой.
Для работы потребуются виртуальные образы систем Windows 2000 Professional (с установленным почтовым сервером Eserv) и Windows Server 2003,
а также диски с дистрибутивами ОС Windows Server 2003 и СКЗИ КриптоПро CSP. Дополнительно требуется чистая дискета (может быть использована виртуальная дискета).
Предварительной операцией является настройка сетевого соединения виртуальных машин, имитирующих оба сетевых узла. Рекомендуется установить виртуальные сетевые адаптеры в режим Bridged и назначить сетевым узлам уникальные сетевые адреса, например, 192.168.х.1 и 192.168.х.2, гдех — номер компьютера в учебном классе.
ВЫПОЛНИТЬ!
1.Открыть и запустить виртуальные образы, назначить IP-адреса,проверить установку связи с использованием команды ping.
2.С целью анализа сетевого трафика добавить в ОС Windows Server 2003
компонент Network Monitor (Control Panel Add or Remove Programs Add/Remove Windows Components Management and Monitoring Tools Network Monitor Tools).
3.Запустить установленную программу Network Monitor, убедиться в возможности захвата и анализа сетевого трафика.
Организация почтового обмена
Данный этап предусматривает настройку почтовых программ Outlook Express на двух узлах для отправки и получения электронной почты по протоколам SMTP и POP3 с сервера Eserv, установленного на узле с ОС Windows 2000.
4.Запустить сервер Eserv на узле с ОС Windows 2000, для чего выполнить командный файл Run.bat, находящийся на диске C: образа.
146
5.Проверить настройки сервера Eserv и убедиться в наличии учетных записей u1 и u2 (меню Общие настройки Пользователи), установить пароли для указанных пользователей (задав и применив значение поля Password), убедиться в наличии настроек, указывающих в качестве локального домена адрес mail.ru (меню Почтовый сервер SMTPсервер Локальные домены).
6.Настроить почтовые программы Outlook Express на обоих узлах, создав учетные записи электронной почты для пользователей u1 (на ОС Windows 2000) и u2 (на ОС Windows Server 2003). В настройках указать адреса электронной почты, соответственно u1@mail.ru и u2@mail.ru, в качестве адресов SMTP- и POP3-серверовуказатьIP-адресузла с ОС Windows 2000 (192.168.х.1).
7.Проверить функционирование почтового обмена путем отправки и получения почтовых сообщений. В процессе обмена в ОС Windows Server 2003 выполнить захват сетевого трафика, убедиться, что текст отправляемых и получаемых сообщений передается в открытом виде.
8.Убедиться в настройках учетных записей почты программы Outlook Express (Сервис Учетные записи Почта Свойства Безопасность) в наличии возможности шифрования с использованием алгоритмов DES, 3DES, RC2, а также в отсутствии сертификатов открытого ключа для подписи и шифрования.
Активизация IIS
Процесс активизации IIS подробно рассмотрен в разделе «Организация VPN средствами протокола SSL в ОС Windows Server 2003» учебного пособия. Приведем лишь перечень требуемых для выполнения команд.
ВЫПОЛНИТЬ!
9.Установить компонент Internet Information Services (Control Panel Administrative Tools Manage Your Server Add or remove a role Custom
Configuration Application servers (IIS, ASP.NET)).
10.Проверить функционирование Web-сервера,обратившись в ОС Windows 2000 с помощью программы Internet Explorer по адресу http://192.168.x.2.
Установка СКЗИ КриптоПро CSP
Установка СКЗИ КриптоПро CSP выполняется на обоих узлах с дистрибутивного диска. Применяется полнофункциональная версия СКЗИ без регистрации, что позволяет использовать ее в течение 30 дней. Инсталляция СКЗИ осуществляется стандартным образом. Настройки СКЗИ КриптоПро CSP доступны через Панель управления.
147
ВЫПОЛНИТЬ!
11.Установить СКЗИ КриптоПро CSP в ОС Windows 2000 и Windows Server 2003. Выполнить требуемую перезагрузку. После перезагрузки ОС Windows 2000 запустить сервер Eserv.
12.Проанализировать настройки учетных записей почты программы Outlook Express, выяснить изменения в разделе «Безопасность» свойств учетных записей, произошедшие после установки СКЗИ КриптоПро CSP.
13.Выполнить настройку считывателей программы КриптоПро CSP (Панель управления КриптоПро CSP Настроить считыватели). В ОС Windows 2000 в качестве считывателя использовать дисковод А:. В ОС Windows Server 2003 в качестве считывателя добавить реестр пользователя (User registry).
Установка Центра сертификации в ОС Windows Server 2003
Впроцессе выполнения данного пункта необходимо установить Службу сертификации отдельно стоящего корневого Центра сертификации. Установка Службы сертификации (Certificate Services) в ОС Windows Server 2003 под-
робно описана в разделе «Организация VPN средствами протокола SSL в ОС
Windows Server 2003» учебного пособия.
ВЫПОЛНИТЬ!
14.Установить компонент Certificate Services (Control Panel Add or Remove Programs Add/Remove Windows Components). В процессе установки ука-
зать имя Центра сертификации (например, «Mycompany»), остальные настройки можно оставить по умолчанию.
Получение сертификатов открытых ключей
Одним из доступных способов получения сертификатов открытых ключей является обращение от имени каждого из пользователей к Центру сертификации через Web-интерфейс.Получение сертификата осуществляется в два этапа – сначала Пользователь обращается к Центру сертификации с запросом, а затем получает готовый сертификат и его инсталлирует в своей ОС. Между этими этапами администратор Центра сертификации должен осуществить обработку полученных запросов (издание сертификатов). Особенностью данного этапа будет получение сертификата, позволяющего работать с СКЗИ КриптоПро CSP. Сертификат должен быть сгенерирован для алгоритма ГОСТ Р
34.11-94.
