使用IPSec進行主機加固

使用IPSec進行主機加固

1 引言

Internet的美妙之處在于你和每個人都能互相連接

Internet的可怕之處在于每個人都能和你互相連接

2 ***常用的***手段

? 網絡監聽

? 數據篡改

? 欺騙

? 中間人***

? 密碼破解

? 緩沖區溢出

//你看到的文檔來自大郭講堂

3 網絡安全范疇中的四大標準

? 數據保密性

? 數據完整性

? 認證

? 不可否認性

4 什么是IPSec

Ipsec是網絡安全業內的一個標準，并不是Windows特帶的一個工具或功能，其他眾多例如Unix、Linux、MAC系統等都支持（Windows2000就已經將Ipsec內置到系統內核中）；

//你看到的文檔來自使用IPSec進行主機加固

5 什么是IPSec策略

? IPSec使用策略和規則提升網絡安全性

? 規則包含

篩選器

篩選器動作

身份驗證方法

? 默認策略（存在于早期的系統中）

Client(RespondOnly)

Server(RequestSecurity)

SecureServer(RequireSecurity)

6 IPSEC能做什么

? 禁用協議

? 加密數據

? 關閉端口

? 身份驗證

? ….

6.1 打開IPSec

6.1.1 通過開始運行命令打開

在” 開始>運行”中輸入Secpol.msc（本地安全策略） ；

6.1.2 通過MMC打開

在” 開始>運行”中輸入MMC，在控制臺中依次單擊”文件>添加/刪除管理單元>IP安全策略管理”，并單擊“添加”選項，在彈出的確認對話框中選擇“本地計算機”確定；

6.2 禁用協議

6.2.1 例：禁止PING協議

6.2.2 創建策略

在“IP安全策略”右側窗口的空白位置，單擊右鍵，選擇“創建IP安全策略>下一步>輸入自定義名稱后單擊下一步>下一步>完成”；

6.2.3 新建安全規則

取消“使用添加向導”，單擊“添加”；

6.2.4 添加篩選器（定義數據類型：從哪到哪的什么流量）

單擊“添加”在篩選器列表中輸入自定義名稱，取消“使用添加向導”單擊“添加”；

在地址選項下選擇源地址為“任何IP地址”，目標地址為“我的IP地址”；

//鏡像：完成IPSEC策略后，此處設定為別人不能PING自己，勾選鏡像后則自己也不能PING別人（ICMP協議時來回的，就算不勾選鏡像，也不能互相ping）；

切換到“協議”表情中，選擇ICMP協議，選擇完成后單擊“確定>確定”；

//可以先設置一條只允許特定IP主機PING自己，在加一條不允許任何IP主機PING自己，最終結果即為只允許特定IP主機PING，其他主機都不能PING；

6.2.5 選擇篩選器操作

勾選上步中建好的數據流”PING”，切換到“篩選器操作”標簽中，取消“使用添加向導”，單擊“添加”；

在安全方法標簽下選擇“組織”；

//許可 ：允許通過；阻止：拒絕通過；協商安全：加密后通過；

在常規標簽下填寫自定義名稱，此處為NO，填寫完成后單擊“應用>確定”；

在”篩選器操作“下面勾選新建好的”NO“并單擊”應用>確定>確定；“

6.2.6 啟用策略

此時策略創建完成后暫為生效，選擇策略右鍵選擇 “分配”即可；

6.3 關閉端口

6.3.1 例：關閉80端口

6.3.2 查看本機開放端口

在CMD命令行下執行netstat –na；

6.3.3 創建策略

在“IP安全策略”右側窗口的空白位置，單擊右鍵，選擇“創建IP安全策略>下一步>輸入自定義名稱后單擊下一步>下一步>完成”；

6.3.4 新建安全規則

取消“使用添加向導”，單擊“添加”；

6.3.5 添加篩選器（定義數據類型：從哪到哪的什么流量）

單擊“添加”在篩選器列表中輸入自定義名稱，取消“使用添加向導”單擊“添加”；

在地址選項下選擇源地址為“任何IP地址”，目標地址為“我的IP地址”；

切換到“協議”表情中，選擇TCP協議，端口為，從任意端口，到80端口，選擇完成后單擊“確定>確定”；

6.3.6 選擇篩選器操作

勾選上步中建好的數據流”Deny80”，切換到“篩選器操作”標簽中，勾選上步驟建好的”NO“，單擊”應用>確定“；

6.3.7 啟用策略

此時策略創建完成后暫為生效，選擇策略右鍵選擇 “分配”即可；

6.4 加密數據/身份驗證

6.4.1 安裝配置抓包軟件

此處安裝Windows的抓包工具Nwtmon，下載地址：

http://blogs.technet.com/b/netmon/p/downloads.aspx

http://www.microsoft.com/en-us/download/details.aspx?id=4865

6.4.2 抓包（明文）

勾選需要抓包的網卡，然后新建捕獲；

點擊開始抓包；

使用另一臺服務器192.168.202.24ping本機192.168.202.23；

6.4.3 查看結果

點擊菜單欄中的“Stop”按鈕，在左側欄目中選擇需要分析的目標IP地址“192.168.202.24”，在右側窗格中任意單擊8個包中一個（ping了4次，每個包都有來回，故有8條記錄），在右下角可以看到一些英文字母，則證明這個包是沒有加密的；

6.4.4 A主機配置IPSec加密策略

//IPSec加密數據策略，需要互相通信的倆臺主機都配置IPSec策略，并且使用相同的加密解密算法；

1. IP篩選器列表

2. 篩選器操作

//相關選項說明；

僅保持完整性

該選項不會將數據加密只通過has算法，保證數據不被篡改，一旦數據找到篡改后則數據就不被接收；

加密病保證完整性

既保證數據完整性，也進行數據加密；

數據和地址簿加密的完整性（自定義選項）

僅保證完整性；

數據完整性和加密（自定義選項）

僅保證數據（不包括地址）的完整性，并將數據加密；

會話密鑰設置（自定義選項）

生成密鑰的頻率，數值越小越安全，速度越慢；

3. 身份驗證方法

配置數據加密需要配置身份驗證方法；

//相關選項說明；

ActiveDirectory默認值

該選項需要有AD域環境存在，通過其Kerberos協議進行認證；

使用由此證書機構頒發的證書

需要有證書服務器存在，通過證書進行認證；

使用預共享密鑰

沒有AD域環境，也沒有證書服務器的情況下通過共享密鑰進行認證（通信雙方主機的配置需要相同）；

6.4.5 B主機配置IPSec加密策略

使用上述同樣方法在B主機進行IPSec策略配置；

6.4.6 抓包（密文）

勾選需要抓包的網卡，然后新建捕獲；

點擊開始抓包；

使用另一臺服務器192.168.202.24ping本機192.168.202.23；

6.4.7 查看結果

此次在查看具體數據包的時候發現已經不再是可識別的字符，而是“亂碼”表示數據是經過加密的；

//協議名稱為ESP的即是加密后的通信數據；

//你看到的文檔來自使用IPSec進行主機加固

7 參考鏈接

7.1 課程下載地址

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032320936&Culture=zh-CN

7.2 軟件下載地址

http://blogs.technet.com/b/netmon/p/downloads.aspx

http://www.microsoft.com/en-us/download/details.aspx?id=4865