使用IPSec進行主機加固

使用IPSec進行主機加固

1 引言

Internet的美妙之處在于你和每個人都能互相連接

Internet的可怕之處在于每個人都能和你互相連接

2 ***常用的***手段

? 網(wǎng)絡(luò)監(jiān)聽

? 數(shù)據(jù)篡改

? 欺騙

? 中間人***

? 密碼破解

? 緩沖區(qū)溢出

//你看到的文檔來自大郭講堂

3 網(wǎng)絡(luò)安全范疇中的四大標準

? 數(shù)據(jù)保密性

? 數(shù)據(jù)完整性

? 認證

? 不可否認性

4 什么是IPSec

Ipsec是網(wǎng)絡(luò)安全業(yè)內(nèi)的一個標準，并不是Windows特帶的一個工具或功能，其他眾多例如Unix、Linux、MAC系統(tǒng)等都支持（Windows2000就已經(jīng)將Ipsec內(nèi)置到系統(tǒng)內(nèi)核中）；

//你看到的文檔來自使用IPSec進行主機加固

5 什么是IPSec策略

? IPSec使用策略和規(guī)則提升網(wǎng)絡(luò)安全性

? 規(guī)則包含

篩選器

篩選器動作

身份驗證方法

? 默認策略（存在于早期的系統(tǒng)中）

Client(RespondOnly)

Server(RequestSecurity)

SecureServer(RequireSecurity)

6 IPSEC能做什么

? 禁用協(xié)議

? 加密數(shù)據(jù)

? 關(guān)閉端口

? 身份驗證

? ….

6.1 打開IPSec

6.1.1 通過開始運行命令打開

在” 開始>運行”中輸入Secpol.msc（本地安全策略） ；

6.1.2 通過MMC打開

在” 開始>運行”中輸入MMC，在控制臺中依次單擊”文件>添加/刪除管理單元>IP安全策略管理”，并單擊“添加”選項，在彈出的確認對話框中選擇“本地計算機”確定；

6.2 禁用協(xié)議

6.2.1 例：禁止PING協(xié)議

6.2.2 創(chuàng)建策略

在“IP安全策略”右側(cè)窗口的空白位置，單擊右鍵，選擇“創(chuàng)建IP安全策略>下一步>輸入自定義名稱后單擊下一步>下一步>完成”；

6.2.3 新建安全規(guī)則

取消“使用添加向?qū)А?，單擊“添加”?/p>

6.2.4 添加篩選器（定義數(shù)據(jù)類型：從哪到哪的什么流量）

單擊“添加”在篩選器列表中輸入自定義名稱，取消“使用添加向?qū)А眴螕簟疤砑印保?/p>

在地址選項下選擇源地址為“任何IP地址”，目標地址為“我的IP地址”；

//鏡像：完成IPSEC策略后，此處設(shè)定為別人不能PING自己，勾選鏡像后則自己也不能PING別人（ICMP協(xié)議時來回的，就算不勾選鏡像，也不能互相ping）；

切換到“協(xié)議”表情中，選擇ICMP協(xié)議，選擇完成后單擊“確定>確定”；

//可以先設(shè)置一條只允許特定IP主機PING自己，在加一條不允許任何IP主機PING自己，最終結(jié)果即為只允許特定IP主機PING，其他主機都不能PING；

6.2.5 選擇篩選器操作

勾選上步中建好的數(shù)據(jù)流”PING”，切換到“篩選器操作”標簽中，取消“使用添加向?qū)А保瑔螕簟疤砑印保?/p>

在安全方法標簽下選擇“組織”；

//許可 ：允許通過；阻止：拒絕通過；協(xié)商安全：加密后通過；

在常規(guī)標簽下填寫自定義名稱，此處為NO，填寫完成后單擊“應用>確定”；

在”篩選器操作“下面勾選新建好的”NO“并單擊”應用>確定>確定；“

6.2.6 啟用策略

此時策略創(chuàng)建完成后暫為生效，選擇策略右鍵選擇 “分配”即可；

6.3 關(guān)閉端口

6.3.1 例：關(guān)閉80端口

6.3.2 查看本機開放端口

在CMD命令行下執(zhí)行netstat –na；

6.3.3 創(chuàng)建策略

在“IP安全策略”右側(cè)窗口的空白位置，單擊右鍵，選擇“創(chuàng)建IP安全策略>下一步>輸入自定義名稱后單擊下一步>下一步>完成”；

6.3.4 新建安全規(guī)則

取消“使用添加向?qū)А?，單擊“添加”?/p>

6.3.5 添加篩選器（定義數(shù)據(jù)類型：從哪到哪的什么流量）

單擊“添加”在篩選器列表中輸入自定義名稱，取消“使用添加向?qū)А眴螕簟疤砑印保?/p>

在地址選項下選擇源地址為“任何IP地址”，目標地址為“我的IP地址”；

切換到“協(xié)議”表情中，選擇TCP協(xié)議，端口為，從任意端口，到80端口，選擇完成后單擊“確定>確定”；

6.3.6 選擇篩選器操作

勾選上步中建好的數(shù)據(jù)流”Deny80”，切換到“篩選器操作”標簽中，勾選上步驟建好的”NO“，單擊”應用>確定“；

6.3.7 啟用策略

此時策略創(chuàng)建完成后暫為生效，選擇策略右鍵選擇 “分配”即可；

6.4 加密數(shù)據(jù)/身份驗證

6.4.1 安裝配置抓包軟件

此處安裝Windows的抓包工具Nwtmon，下載地址：

http://blogs.technet.com/b/netmon/p/downloads.aspx

http://www.microsoft.com/en-us/download/details.aspx?id=4865

6.4.2 抓包（明文）

勾選需要抓包的網(wǎng)卡，然后新建捕獲；

點擊開始抓包；

使用另一臺服務(wù)器192.168.202.24ping本機192.168.202.23；

6.4.3 查看結(jié)果

點擊菜單欄中的“Stop”按鈕，在左側(cè)欄目中選擇需要分析的目標IP地址“192.168.202.24”，在右側(cè)窗格中任意單擊8個包中一個（ping了4次，每個包都有來回，故有8條記錄），在右下角可以看到一些英文字母，則證明這個包是沒有加密的；

6.4.4 A主機配置IPSec加密策略

//IPSec加密數(shù)據(jù)策略，需要互相通信的倆臺主機都配置IPSec策略，并且使用相同的加密解密算法；

1. IP篩選器列表

2. 篩選器操作

//相關(guān)選項說明；

僅保持完整性

該選項不會將數(shù)據(jù)加密只通過has算法，保證數(shù)據(jù)不被篡改，一旦數(shù)據(jù)找到篡改后則數(shù)據(jù)就不被接收；

加密病保證完整性

既保證數(shù)據(jù)完整性，也進行數(shù)據(jù)加密；

數(shù)據(jù)和地址簿加密的完整性（自定義選項）

僅保證完整性；

數(shù)據(jù)完整性和加密（自定義選項）

僅保證數(shù)據(jù)（不包括地址）的完整性，并將數(shù)據(jù)加密；

會話密鑰設(shè)置（自定義選項）

生成密鑰的頻率，數(shù)值越小越安全，速度越慢；

3. 身份驗證方法

配置數(shù)據(jù)加密需要配置身份驗證方法；

//相關(guān)選項說明；

ActiveDirectory默認值

該選項需要有AD域環(huán)境存在，通過其Kerberos協(xié)議進行認證；

使用由此證書機構(gòu)頒發(fā)的證書

需要有證書服務(wù)器存在，通過證書進行認證；

使用預共享密鑰

沒有AD域環(huán)境，也沒有證書服務(wù)器的情況下通過共享密鑰進行認證（通信雙方主機的配置需要相同）；

6.4.5 B主機配置IPSec加密策略

使用上述同樣方法在B主機進行IPSec策略配置；

6.4.6 抓包（密文）

勾選需要抓包的網(wǎng)卡，然后新建捕獲；

點擊開始抓包；

使用另一臺服務(wù)器192.168.202.24ping本機192.168.202.23；

6.4.7 查看結(jié)果

此次在查看具體數(shù)據(jù)包的時候發(fā)現(xiàn)已經(jīng)不再是可識別的字符，而是“亂碼”表示數(shù)據(jù)是經(jīng)過加密的；

//協(xié)議名稱為ESP的即是加密后的通信數(shù)據(jù)；

//你看到的文檔來自使用IPSec進行主機加固

7 參考鏈接

7.1 課程下載地址

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032320936&Culture=zh-CN

7.2 軟件下載地址

http://blogs.technet.com/b/netmon/p/downloads.aspx

http://www.microsoft.com/en-us/download/details.aspx?id=4865