使用IPSec进行主机加固
使用IPSec进行主机加固
1 引言
Internet的美妙之处在于你和每个人都能互相连接
Internet的可怕之处在于每个人都能和你互相连接
2 ***常用的***手段
? 网络监听
? 数据篡改
? 欺骗
? 中间人***
? 密码破解
? 缓冲区溢出
//你看到的文档来自大郭讲堂
3 网络安全范畴中的四大标准
? 数据保密性
? 数据完整性
? 认证
? 不可否认性
4 什么是IPSec
Ipsec是网络安全业内的一个标准,并不是Windows特带的一个工具或功能,其他众多例如Unix、Linux、MAC系统等都支持(Windows2000就已经将Ipsec内置到系统内核中);
//你看到的文档来自使用IPSec进行主机加固
5 什么是IPSec策略
? IPSec使用策略和规则提升网络安全性
? 规则包含
筛选器
筛选器动作
身份验证方法
? 默认策略(存在于早期的系统中)
Client(RespondOnly)
Server(RequestSecurity)
SecureServer(RequireSecurity)
6 IPSEC能做什么
? 禁用协议
? 加密数据
? 关闭端口
? 身份验证
? ….
6.1 打开IPSec
6.1.1 通过开始运行命令打开
在" 开始>运行"中输入Secpol.msc(本地安全策略) ;
6.1.2 通过MMC打开
在" 开始>运行"中输入MMC,在控制台中依次单击"文件>添加/删除管理单元>IP安全策略管理",并单击"添加"选项,在弹出的确认对话框中选择"本地计算机"确定;
6.2 禁用协议
6.2.1 例:禁止PING协议
6.2.2 创建策略
在"IP安全策略"右侧窗口的空白位置,单击右键,选择"创建IP安全策略>下一步>输入自定义名称后单击下一步>下一步>完成";
6.2.3 新建安全规则
取消"使用添加向导",单击"添加";
6.2.4 添加筛选器(定义数据类型:从哪到哪的什么流量)
单击"添加"在筛选器列表中输入自定义名称,取消"使用添加向导"单击"添加";
在地址选项下选择源地址为"任何IP地址",目标地址为"我的IP地址";
//镜像:完成IPSEC策略后,此处设定为别人不能PING自己,勾选镜像后则自己也不能PING别人(ICMP协议时来回的,就算不勾选镜像,也不能互相ping);
切换到"协议"表情中,选择ICMP协议,选择完成后单击"确定>确定";
//可以先设置一条只允许特定IP主机PING自己,在加一条不允许任何IP主机PING自己,最终结果即为只允许特定IP主机PING,其他主机都不能PING;
6.2.5 选择筛选器操作
勾选上步中建好的数据流"PING",切换到"筛选器操作"标签中,取消"使用添加向导",单击"添加";
在安全方法标签下选择"组织";
//许可 :允许通过;阻止:拒绝通过;协商安全:加密后通过;
在常规标签下填写自定义名称,此处为NO,填写完成后单击"应用>确定";
在"筛选器操作"下面勾选新建好的"NO"并单击"应用>确定>确定;"
6.2.6 启用策略
此时策略创建完成后暂为生效,选择策略右键选择 "分配"即可;
6.3 关闭端口
6.3.1 例:关闭80端口
6.3.2 查看本机开放端口
在CMD命令行下执行netstat -na;
6.3.3 创建策略
在"IP安全策略"右侧窗口的空白位置,单击右键,选择"创建IP安全策略>下一步>输入自定义名称后单击下一步>下一步>完成";
6.3.4 新建安全规则
取消"使用添加向导",单击"添加";
6.3.5 添加筛选器(定义数据类型:从哪到哪的什么流量)
单击"添加"在筛选器列表中输入自定义名称,取消"使用添加向导"单击"添加";
在地址选项下选择源地址为"任何IP地址",目标地址为"我的IP地址";
切换到"协议"表情中,选择TCP协议,端口为,从任意端口,到80端口,选择完成后单击"确定>确定";
6.3.6 选择筛选器操作
勾选上步中建好的数据流"Deny80",切换到"筛选器操作"标签中,勾选上步骤建好的"NO",单击"应用>确定";
6.3.7 启用策略
此时策略创建完成后暂为生效,选择策略右键选择 "分配"即可;
6.4 加密数据/身份验证
6.4.1 安装配置抓包软件
此处安装Windows的抓包工具Nwtmon,下载地址:
http://blogs.technet.com/b/netmon/p/downloads.aspx
http://www.microsoft.com/en-us/download/details.aspx?id=4865
6.4.2 抓包(明文)
勾选需要抓包的网卡,然后新建捕获;
点击开始抓包;
使用另一台服务器192.168.202.24ping本机192.168.202.23;
6.4.3 查看结果
点击菜单栏中的"Stop"按钮,在左侧栏目中选择需要分析的目标IP地址"192.168.202.24",在右侧窗格中任意单击8个包中一个(ping了4次,每个包都有来回,故有8条记录),在右下角可以看到一些英文字母,则证明这个包是没有加密的;
6.4.4 A主机配置IPSec加密策略
//IPSec加密数据策略,需要互相通信的俩台主机都配置IPSec策略,并且使用相同的加密解密算法;
1. IP筛选器列表
2. 筛选器操作
//相关选项说明;
仅保持完整性
该选项不会将数据加密只通过has算法,保证数据不被篡改,一旦数据找到篡改后则数据就不被接收;
加密病保证完整性
既保证数据完整性,也进行数据加密;
数据和地址簿加密的完整性(自定义选项)
仅保证完整性;
数据完整性和加密(自定义选项)
仅保证数据(不包括地址)的完整性,并将数据加密;
会话密钥设置(自定义选项)
生成密钥的频率,数值越小越安全,速度越慢;
3. 身份验证方法
配置数据加密需要配置身份验证方法;
//相关选项说明;
ActiveDirectory默认值
该选项需要有AD域环境存在,通过其Kerberos协议进行认证;
使用由此证书机构颁发的证书
需要有证书服务器存在,通过证书进行认证;
使用预共享密钥
没有AD域环境,也没有证书服务器的情况下通过共享密钥进行认证(通信双方主机的配置需要相同);
6.4.5 B主机配置IPSec加密策略
使用上述同样方法在B主机进行IPSec策略配置;
6.4.6 抓包(密文)
勾选需要抓包的网卡,然后新建捕获;
点击开始抓包;
使用另一台服务器192.168.202.24ping本机192.168.202.23;
6.4.7 查看结果
此次在查看具体数据包的时候发现已经不再是可识别的字符,而是"乱码"表示数据是经过加密的;
//协议名称为ESP的即是加密后的通信数据;
//你看到的文档来自使用IPSec进行主机加固
7 参考链接
7.1 课程下载地址
https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032320936&Culture=zh-CN
7.2 软件下载地址
http://blogs.technet.com/b/netmon/p/downloads.aspx
http://www.microsoft.com/en-us/download/details.aspx?id=4865