Nazwa Windows 2 laboratorium
przedmiotu:
Prowadzący: mgr in\
. Radosław Michalski (rmichalski@wsiz.wroc.pl)
mgr in\
. Jerzy śemła (jzemla@wsiz.wroc.pl)
Temat Zabezpieczenie protokołu IP za pomocą IPsec i certyfikatów.
laboratorium:
Czas trwania: 1h
Uwagi: Jeden kontroler domeny na dwa komputery, kable krosowane,
koniecznie obejrzyjcie demonstracje pod adresem (pójdzie nam
sprawniej):
ftp://ftp.wsiz.wroc.pl/materialy/Radoslaw_Michalski/Windows2/Multimedia/
(IPSec1.avi, IPSec2.avi, IPSec3.avi)
I Wprowadzenie do zajęć
Przede wszystkim nale\
y powiedzieć, \
e nie jest to produkt firmy Microsoft. To, co
potocznie określamy mianem IPSec, to tak naprawdę zbiór kilku protokołów, opartych o otwarte
standardy. Istnieją więc narzędzia obsługi tego protokołu w innych systemach operacyjnych,
takich jak na przykład Linux. Otwiera to mo\
liwość bezpiecznego łączenia sieci opartych o ró\
ne
architektury i ró\
ne systemy operacyjne. Pozwala na tworzenie sieci VPN, dzięki którym
pracownicy mogą w dowolnej chwili, bezpiecznie korzystać z zasobów firmowych. Umo\
liwia to
nie tylko zdalne pobieranie dokumentów, ale tak\
e nadzór nad serwerami czy ich konfigurację.
Jako \
e połączenia VPN są zestawiane poprzez sieć Internet, nie ma ju\
mowy o dodatkowych
kosztach utrzymania dedykowanych linii. Protokół IPSec pozwala zapobiegać atakom DOS,
poprzez odpowiednie blokowanie niechcianego ruchu.
Protokół ten pozwala na zabezpieczanie ruchu zarówno pomiędzy pojedynczymi komputerami
jak i całymi sieciami. Mo\
liwe jest na przykład stworzenie bezpiecznego kanału
komunikacyjnego pomiędzy dwoma oddziałami firmowymi. Chroniona jest poufność danych, ich
integralność a tak\
e autentyczność. Mamy więc gwarancję, \
e nikt informacji tych nie
przeczytał, \
e nie zostały one zmienione i pochodzą od zaufanego nadawcy. Rysują się więc
dwa główne scenariusze u\
ycia IPSec a. Jeden, gdy zabezpieczamy ruch pomiędzy zdalnym,
pojedynczym u\
ytkownikiem i drugi, gdzie komunikacja odbywa się pomiędzy całymi sieciami.
Warto prześledzić jak protokół IPSec dostosowuje się do obu tych sytuacji.
1. Wdra\
anie protokołu IPSec.
Filtry
Filtry, jak nietrudno się domyślić, opisują ruch sieciowy. Mogą analizować ruch ze względu
na wiele aspektów, takich jak na przykład port z
ródłowy, port docelowy, adres IP z
ródłowy
czy docelowy. Co ciekawe, mo\
liwe jest skonfigurowanie dynamicznych wpisów. Funkcja ta
jest bardzo przydatna w sytuacji, gdy chcemy zaszyfrować ruch w kilku sieciach, gdzie dla
ka\
dej z nich inny jest adres serwera, z którym ruch chcemy szyfrować (np. serwer dns,
brama domyślna). Filtry umo\
liwiają dodanie dynamicznego wpisu, pod który póz
niej
podstawiane są odpowiednie adresy IP. Dodanie mianowicie wpisu dotyczącego nazwy DNS,
wpisuje tak naprawdę nie nazwę do filtra, ale adres IP jej odpowiadający w momencie
dodawania.
Listy filtrów
Listy filtrów grupują poszczególne filtry razem i przypisują do określonych reguł. Domyślnie w
systemie istnieją dwie takie listy : Cały ruch IP oraz Cały ruch ICMP.
Akcje
Określają one sposób postępowania z dopasowanymi pakietami. Istnieją trzy typy akcji :
Zezwalaj, Zablokuj i Negocjuj. Co ciekawe, z jakiegoś powodu nie jest domyślnie dostępna w
systemie akcja Zablokuj i trzeba ją ręcznie zdefiniować. Jest to o tyle dziwne, \
e przecie\
jest to
jedna z częściej u\
ywanych akcji. Działanie pierwszych dwóch typów mo\
na intuicyjnie
wywnioskować z ich nazwy. Dlatego przyjrzyjmy się trzeciej akcji, Negocjowaniu. Wymusza ona
negocjację zabezpieczeń pomiędzy komputerami. Mo\
liwe jest zdefiniowanie kilku zestawów
zabezpieczeń, ale nale\
y wtedy pamiętać, \
eby uło\
yć je w kolejności od najlepszych do
najgorszych. Bowiem to klient wybiera który zestaw zostanie u\
yty przeglądając listę z góry na
dół. Definiujemy w tej akcji, czy ruch ma być szyfrowany, czy mo\
e zapewniana tylko jego
integralność. Określamy jakie algorytmy mają zostać u\
yte podczas komunikacji. Choć z pozoru
konfiguracja mo\
e się wydać skomplikowana, to jest ona ułatwiona dzięki kreatorom zawartym
w systemie.
II Realizowane scenariusze
1. Konfiguracja szyfrowania ruchu w oparciu o protokół IPSec.
Opis sytuacji:
Jeden z serwerów Windows 2003 powinien być kontrolerem domeny:
echelon.local oraz posiadać prawidłowo skonfigurowaną usługę DNS. Konfiguracja ta
powinna zawierać stały adres IP serwera: 192.168.1.1 wraz z maską 255.255.255.0.
Drugi serwer powinien być członkiem tej domeny oraz posiadać stały adres IP:
192.168.1.2.
Nale\
y skonfigurować odpowiednie polisy grupowe na serwerze będącym
kontrolerem domeny oraz przypisać je do odpowiednich jednostek organizacyjnych (czyli
drugiego serwera).
1. Stwórz jednostkę organizacyjną w AD serwera będącego kontrolerem domeny o
nazwie: Serwery IPSec oraz dodaj do niej serwer będący członkiem domeny.
2. Nale\
y do serwera  przypiąć polisę grupową  o nazwie IPSec serwery  we
właściwościach wybrać zasadę Server (request security)
3. Nale\
y ponownie uruchomić serwer będący członkiem domeny  w celu
zastosowania wprowadzonych ustawień.
Nale\
y przetestować komunikację  czy jest szyfrowana. Wykorzystać narzędzie
Network monitor  na serwerze członkowskim domeny. Włączyć je w tryb nasłuchiwania.
1. Najpierw zwykły ruch ICMP  polecenie ping do kontrolera. Czy ruch jest
szyfrowany? Je\
eli nie to dlaczego?
2. Wygenerować ruch innego rodzaju  np. dostając się do serwera WWW 
wykorzystać przeglądarkę. Czy ruch jest szyfrowany?
Po\
ądany rezultat operacji
Serwer został skonfigurowany zgodnie z powy\
szymi wymaganiami,
wykorzystanie Network monitora wykazuje zaszyfrowane pakiety.
2. Konfiguracja szyfrowania ruchu w oparciu o certyfikaty.
Opis sytuacji:
Jeden z serwerów Windows 2003 powinien być kontrolerem domeny:
echelon.local oraz posiadać prawidłowo skonfigurowaną usługę DNS. Konfiguracja ta
powinna zawierać stały adres IP serwera: 192.168.1.1 wraz z maską 255.255.255. Drugi
serwer powinien być członkiem tej domeny oraz posiadać stały adres IP: 192.168.1.2.
Certyfikaty będą generowane ręcznie.
Nale\
y wygenerować certyfikat dla serwera będącego członkiem domeny:
echelon.local.
Nale\
y skonfigurować odpowiednie polisy grupowe na serwerze będącym
kontrolerem domeny oraz przypisać je do odpowiednich jednostek organizacyjnych (czyli
drugiego serwera).
1. Na kontrolerze domeny zainstalować usługę urzędu certyfikującego.
Administrative Tools -> Certification Athority -> Certyficate Template -> prawy przycisk
New Template -> IPSec.
2. Stwórz jednostkę organizacyjną w AD serwera będącego kontrolerem domeny o
nazwie: Serwery IPSec oraz dodaj do niej serwer będący członkiem domeny.
3. Nale\
y na serwerze członkowskim przy u\
yciu MMC oraz przystawki Certyficates
wygenerować certyfikat dla tego serwera.
4. Nale\
y skonfigurować polisę GPO. Tworzymy nową zasadę IPSec  nazywamy ją
Certyfikaty. Dodajemy równie\
regułę która dla wszystkich połączeń będzie
szyfrowała cały ruch pomiędzy serwerami. Przypisujemy tą zasadę w polisie
GPO.
5. Odświe\
amy polisę GPO na stacjach członkowskich domeny (gpupdate /force)
Nale\
y przetestować komunikację  czy jest szyfrowana. Wykorzystać narzędzie
Network monitor  na serwerze członkowskim domeny. Włączyć je w tryb nasłuchiwania.
6. Generujemy ruch ICMP  polecenie ping do kontrolera. Czy ruch jest
szyfrowany? Jakie ró\
nice w porównaniu do poprzedniego przypadku?
Po\
ądany rezultat operacji
Serwer został skonfigurowany zgodnie z powy\
szymi wymaganiami,
wykorzystanie Network monitora wykazuje zaszyfrowane pakiety.
III Materiały pomocnicze
1. Protokół IPSec  planowanie, wdra\
anie, monitorowanie
http://wss.pl/WindowsServer/Articles/7467.aspx
2. IPSec najwa\
niejsze wskazówki
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pl/library/Server
Help/be7540ff-2a1d-47b4-8e7f-501ec692ad11.mspx?mfr=true
3. Konfiguracja IPsec  certyfikaty (materiał video)
http://atos.wmid.amu.edu.pl/~horhe/wss/IPSec3.wmv
4. Konfiguracja IPsec  certyfikaty (materiał video)
http://atos.wmid.amu.edu.pl/~horhe/wss/IPSec1.wmv