实验4使用IPSec提升网络安全Word文档下载推荐.docx
《实验4使用IPSec提升网络安全Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《实验4使用IPSec提升网络安全Word文档下载推荐.docx(13页珍藏版)》请在冰豆网上搜索。
在网络层上执行的IPSec保护TCP/IP协议簇中所有IP和更高层的协议,如TCP、UDP、ICMP,甚至保护在IP层上发送通信的自定义协议。
保护此层信息的主要好处是所有使用IP传输数据的应用程序和服务均可以使用IPSec保护,而不必修改这些应用程序和服务。
旧版的Windows(Windowsserver2003之前)在安装完毕后,系统会有默认策略:
1、Client(RespondOnly)
2、Server(RequestSecurity)
3、SecureServer(RequireSecurity)
你可以指派这些策略,但更多时候需要自己去创建策略,来实现IP的安全。
自Windowsserver2008/vista之后,微软在防火墙中集成了IPSec,借以大幅度提升Windows主机的网络功能安全性。
但在与旧版Windows操作系统混合的环境中使用IPSec,其IP安全策略必须要通过“IP安全策略”工具进行设置,“IP安全策略”工具的使用必须要经过启用微软管理控制台(MicrosoftManagementConsole,MMC),或者通过“本地安全策略”,来设置“IP安全策略”来完成。
在“IP安全策略”工具中同时可以建立多个IP安全策略,不过在同一时间中,仅能有一个IP安全策略被启用。
因此在设置IP安全策略时,大多会将所需的功能集中在同一个原则中,并且借助建立不同的规则来完成。
4实验任务
1、配置“ping策略”,内容为不允许任何计算机ping服务器本机,在命令行下进行测试,比较指派策略和不指派策略的结果。
2、配置“端口策略”,内容为阻止139端口,互相访问对方的默认共享,比较指派策略和不指派策略的结果。
3、配置“加密数据策略”,内容为对ping的数据包进行加密,比较指派策略和不指派策略的结果。
5实验步骤
以下设置假定是包含Windows的旧版本之间的IPSec设置。
1、配置“ping策略”
(1)WindowsServer2008R2上没有指派防止ping策略,同时防火墙也是关闭的。
验证客户机XP可以ping通WindowsServer2008R2主机。
(2)通过“管理工具”的“本地安全策略”,设置防止ping策略。
步骤为:
第一步:
进入“管理IP筛选器表和筛选器操作”,如图1所示。
图1配置管理IP筛选器和筛选器操作
第二步,在“管理IP筛选器列表”中选择“添加”,给IP筛选器命名为AboutPing,设置源IP地址为“任意IP地址”和目的IP地址为“我的IP地址”,协议为ICMP,完成后如图2所示。
图2设置“管理IP筛选器列表”对话框示意图
第三步,设置“管理筛选器操作”,通过“添加”设置“筛选器操作”,命名为“no”,安全方法选择“阻止”,完成后点击“确定”,如图3所示。
图3设置IP筛选器操作示意图
第四步,在“创建IP安全策略”中,设置安全策略名称为“阻止ping”,将第二步和第三步设置的IP筛选器列表和筛选器操作选择进来,完成后点击确定。
如图4所示。
图4创建“阻止ping”策略
第五步,将设置的策略指派,测试效果(自己验证ping的效果)。
2、配置“端口策略”阻止139端口
(1)由于NetBIOS网络协议的使用,WindowsServer2008R2默认开放TCP的139端口,用于访问网络上计算机共享资源的访问。
但139端口的开放,有时候会造成安全隐患,例如使用Telnet,可以匿名登录服务器,从139端口建立连接,如图5所示。
接下来可以使用一些工具软件来破解管理员的密码。
图5用Telnet利用139端口建立连接
(2)在WindowsServer2008R2上创建IP安全策略,命名为“封闭139端口”。
(3)创建“IP筛选器列表”,命名为“139”,分别设置源IP地址为“任意IP地址”和目的IP地址为“我的IP地址”,协议为TCP,端口号为139,如图6所示。
图6设置IP筛选器封闭139端口示意图
(4)设置“筛选器操作”,可以选取1中创建的“no”策略,完成后点击“关闭”,最后点击“确定”按钮,退出设置。
(5)将设置的策略指派,验证Telnet不再能够建立连接。
如图7所示。
图7telnet连接失败示意图
3、配置“加密数据策略”对ping的数据包进行加密
(1)在WindowsServer2008R2上创建创建IP安全策略,命名为“加密ping”,然后在“IP筛选器列表”中使用1中创建的AboutPing策略。
(2)在“筛选器操作”中“添加”命名为“协商ping”的策略,选择“协商安全”->
“不允许不安全的通信”->
“完整性和加密”,如图8所示。
图8设置协商安全示意图
(3)设置“身份验证方法”,选取“使用此字符串保护密钥交换(预共享密钥)”作为验证时的密钥,密钥可以自己给定。
如图9所示。
图9设置身份验证方法及预设共享密钥
(4)使用抓包器捕捉网络数据包。
这里可以使用微软的NetworkMonitor:
NetworkMonitor是一个由Microsoft免费提供的具有分析复杂网络通讯能力的工具,它可以通过MicrosoftDownload下载。
该工具是一个具有“捕捉(Capturing)”WindowsServer2008计算机所接收或发送封包的每一个字节的通信协议分析工具。
有经验的管理员可以使用NetworkMonitor针对“网络性能问题”、“TCP连接问题”、“IP通信协议堆栈配置问题”、“因设置网络过滤器所导致的问题”、“以文字为基础的通信协议,例如,HTTP、POP3、SMTP等在应用层所遇到的问题”等等。
NetworkMonitor通过识别在网络上的不同通信协议,对大量捕捉到的信息执行解析,甚至可以解释大部分应用层的通信协议。
可以在Monitor。
这里下载的是3.4的版本。
(5)安装成功后,启用“网络监视器”进行ping数据包的捕捉,通过分析没有加密的ping数据包可以看到里面的数据,如图10所示。
图10没有加密的ping数据包示意图
(6)在一台主机XP上也设置IPSec。
注意:
要求验证的两台主机必须使用相同的协议,即两台主机必须设置的一样,否则验证不会成功。
(7)再次从XP主机ping主机WindowsServer2008,通过捕捉数据包ping包,打开后是乱码,不具备可读性。
如图11所示。
图11IPSec加密ping数据包后的效果示意图
如果主机之间均是Windows2008、Vista、7以上的系统,IPSec的设置可以通过“高级安全Windows防火墙”中的“连接安全规则”来完成。
这里以设置加密的ICMP规则为例,来说明设置步骤。
假定使用的是Windows2008R2和Win7,注意不要关闭Windows防火墙,否则连接安全规则没有作用。
第一步,启用两台计算机中的“高级安全Windows防火墙”中的“入站规则”中的“文件和打印机共享(回显请求-ICMPv4-In)”并测试连通性(双方可以ping通,如果没有启用将不能ping通)。
设置效果如图12所示。
图12开启“文件和打印机共享”示意图
第二步,在WindowsServer2008R2上,在“高级安全Windows防火墙”中,单击“连接安全规则”->
“新建规则”->
使用默认“隔离”。
如图13所示。
图13新建规则
第三步,在要求设置画面中选择“入站和出站连接要求身份验证”,即第三项,表示入、出站都必须采用IPSec,如图14所示。
图14设置验证要求
第四步,设置身份验证方法,这里选择“高级”,同时“自定义”,进入如图15所示画面。
单击下面的“添加”,设置“预共享密钥”,如图16所示。
图15设置身份验证方法
图16设置预共享密钥
第五步,单击“确定”,回到“自定义高级身份验证方法”画面,然后单击“下一步”,选择“何时应用该规则”,最后给规则命名,单击“确定”便完成了在服务器上的设置。
第六步,在Win7上也进行同样的设置,否则两台主机之间将不能连通。
设置完成后可以测试两台主机之间的连通性。
第七步,可以通过“监视”->
“安全关联”->
“主模式”|“快速模式”来查看主模式SA或者快速模式SA的相关数据。
如图17所示。
图17查看主模式或快速模式
最后,可以设置IPSec的属性(右击“本地计算机上的高级安全Windows防火墙”->
属性->
IPSec设置标签下),使新建的“连接安全规则”都使用该默认值。
如图18所示。
图18设置IPSec属性默认值
6实验总结
谈谈如何使用IPSec加强网络安全性。