Что нового в Windows Server 2003 IPSec (часть 1)

Опубликовано: 14 Апреля, 2023



В современном деловом мире, который все больше и больше заботится о безопасности, все больше и больше организаций заботятся о защите конфиденциальности своих данных при их передаче по сети и внедряют для этого стандартный протокол IP-безопасности IPSec. Начиная с Windows 2000, операционные системы Microsoft включают встроенную поддержку связи IPSec, что упрощает ее реализацию в вашей сети.


Еще в феврале я написал статью, в которой содержится обзор истории IPSec, его функций, основных концепций, лежащих в его основе, и того, как он работает в Windows. В этой статье показано, как настроить компьютер под управлением Windows 2000 для использования IPSec. Теперь, с выпуском Windows Server 2003, Microsoft улучшила ряд функций безопасности своей операционной системы, включая несколько новых функций для IPSec. В этой статье, состоящей из двух частей, мы сосредоточимся на новых возможностях IPSec в Windows Server 2003 и покажем вам, как использовать его новые функции, чтобы еще проще обеспечить безопасный обмен данными в вашей сети. Первая часть посвящена монитору IP-безопасности, который имеет совершенно новый внешний вид и дополнительные функции.


Монитор IP-безопасности


Администраторы Windows 2000 знакомы с инструментом IP Security Monitor, используемым для просмотра и анализа статистики IPSec, ISAKMP и Oakley, а также для подтверждения успешности передачи IPSec. Хотя монитор предоставлял некоторую полезную информацию, его функциональность была ограничена. Чтобы вызвать его, вы использовали команду ipsecmon.exe (вы также можете использовать команду с именем компьютера для мониторинга удаленной системы), и интерфейс выглядел так, как показано ниже на рисунке A.



Рисунок А


Изображение 26204


В Windows Server 2003 значительно улучшен монитор IP Sec. Во-первых, они изменили интерфейс на стандартную консоль управления Microsoft (MMC) и добавили ряд расширенных функций, повышающих функциональность.


Чтобы использовать монитор IPSec, вам необходимо выполнить следующие шаги:




  1. Создайте пустую MMC, нажав Start | Запустите и введите mmc, затем нажмите OK.


  2. В меню «Файл» консоли выберите «Добавить/удалить оснастку», нажмите «Добавить» и выберите «Монитор IP-безопасности» из списка доступных оснасток.


  3. Нажмите кнопку «Добавить», затем нажмите «Закрыть», затем нажмите «ОК».

Консоль откроется, как показано на рисунке B.



Рисунок Б


Изображение 26205


Как и прежде, вы можете отслеживать трафик IP Sec как на удаленных компьютерах, так и на локальном. Для наблюдения за удаленной системой щелкните правой кнопкой мыши узел Монитор IP-безопасности на левой панели консоли и выберите Добавить компьютер в контекстном меню. Затем вы можете ввести или найти компьютер, который хотите добавить в консоль, и этот компьютер отобразится как еще один узел в консоли, как показано на рисунке C.



Рисунок С


Изображение 26206


Вы можете просмотреть информацию об активных политиках, которая включает такие данные, как описание политики, дату последнего изменения политики, хранилище политик, в котором она находится, путь LDAP к политике и организационной единице, а также имя GPO, к которому применяется политика, как показано на рисунке D.



Рисунок D


Изображение 26207


Теперь вы также можете просматривать информацию об общих и специальных фильтрах основного режима и быстрого режима, а также отдельные статистические данные для согласования IPSec основного режима и быстрого режима.


ПРИМЕЧАНИЕ . Согласование основного режима также называется согласованием фазы I; это часть процесса, во время которого два компьютера с поддержкой IPSec устанавливают аутентифицированный канал через ассоциацию безопасности основного режима (SA), предоставляемую IKE. Фаза II называется быстрым режимом, в котором согласовываются SA драйвера IPSec. Это этап, на котором компьютеры согласовывают первичные протоколы (AH и/или ESP), алгоритм хэширования и алгоритм шифрования для использования при передаче данных. В основном режиме используется один SA; в быстром режиме используются две SA, одна для входящей связи, а другая для исходящей связи.


Несмотря на то, что на самом деле для быстрого режима установлены две отдельные SA, монитор показывает их только как одну. Вы можете просмотреть информацию о каждой SA, установленной для любого режима, включая IP-адреса обоих участвующих компьютеров (обозначенных как «Я» для локального компьютера и «Первый» для компьютера, с которым он взаимодействует с использованием IPSec), протоколы, порты, политику согласования и алгоритмы, используемые для конфиденциальности и целостности AH и ESP, как показано на рисунке E.



Цифры Е


Изображение 26208


Вы можете выбрать, должен ли Монитор автоматически обновлять информацию, и настроить интервал автоматического обновления (по умолчанию обновление включено, а интервал составляет каждые 45 секунд). Кроме того, вы можете указать, следует ли использовать разрешение DNS-имен (по умолчанию это не так; вы увидите только IP-адреса для идентификации компьютеров). Чтобы настроить эти параметры, щелкните правой кнопкой мыши имя компьютера в левой панели консоли монитора IP Sec и выберите «Свойства». Появится диалоговое окно, показанное на рисунке F.



Рисунок F


Изображение 26209


С помощью IP Sec Monitor вы можете искать определенные фильтры основного или быстрого режима по различным критериям (исходный или целевой IP-адрес). Для этого дважды щелкните Основной режим или Быстрый режим на левой панели консоли, в зависимости от того, какой тип фильтра вы хотите найти. Это расширит узел и позволит вам щелкнуть правой кнопкой мыши либо «Специальные фильтры», либо «Общие фильтры», в зависимости от типа, который вы хотите найти. Затем вы можете выбрать «Найти подходящие фильтры», чтобы вызвать диалоговое окно, показанное на рисунке G.



Рисунок G


Изображение 26210


Как видите, критерии поиска могут быть довольно конкретными. Вы можете назвать исходный адрес для поиска (любой IP-адрес, «я» (компьютер, за которым вы следите) или конкретный адрес, который вы вводите. Вы можете сделать то же самое с адресом назначения.


Вы можете указать, какие протоколы фильтровать, включая EGP, GGP, HMP, ICMP, PUP, RDP, RVD, TCP, UDP или XNS-IDP. Вы также можете выбрать «Любой», чтобы отфильтровать все протоколы, или вы можете выбрать «Другое» и указать число от 0 до 255.


Вы можете указать исходный и/или конечный порт и выбрать, следует ли фильтровать только входящий трафик, только исходящий трафик или и то, и другое. Наконец, вы можете настроить отображение всех совпадений или только наилучшего совпадения.


Фильтры, соответствующие вашим критериям, будут показаны в поле результатов в нижней части диалогового окна.


Резюме


Усовершенствованный монитор IP-безопасности — одно из наиболее полезных и существенных улучшений IP Sec в Windows Server 2003, но не единственное. Во второй части этой статьи мы обсудим новый контекст ipsec для утилиты командной строки netsh, более надежную криптографию для Diffie-Hellman, новую функцию безопасности при запуске и другие улучшения безопасности, которые делают IP Sec лучше, чем когда-либо.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023