127 018, Москва, Сущевский Вал д.16 495) 780 4820 E-mail ... · PDF file5.7 Включение подробной трассировки согласования

127 018, Москва, Сущевский Вал, д.16/5 Телефон: (495) 780 4820 Факс: (495) 780 4820 http://www.CryptoPro.ru E-mail: [email protected]

Средство

Криптографической

Защиты

Информации

КриптоПро IPsec

Версия 0.1

Windows 2003

Инструкция по

использованию

Предварительная версия

ЖТЯИ.00000-00 00 00

Листов ??

2010 г.

http://www.cryptopro.ru/

mailto:[email protected]

ЖТЯИ.00000-00 00 00. КриптоПро IPsec. Windows 2003. Инструкция по использованию

- 2 -

© OOO "Крипто-Про", 2000-2010. Все права защищены.

Авторские права на средство криптографической защиты информации КриптоПро CSP и эксплуатационную документацию зарегистрированы в

Российском агентстве по патентам и товарным знакам (Роспатент).

Документ входит в комплект поставки программного обеспечения СКЗИ КриптоПро CSP, на него распространяются все условия лицензионного соглашения. Без специального письменного разрешения OOO "КРИПТО-ПРО" документ или его часть в электронном или печатном виде не могут быть скопированы и переданы третьим лицам с коммерческой целью.


- 3 -

Содержание

1 Введение 5

2 Документация............................................................................................. 5

3 Сценарии разворачивания сетей на основе PSK ............................................ 6

3.1 Генерация и управление PSK ...................................................................................................... 6

3.2 Настройка виртуальных частных сетей (VPN) на основе PSK ...................................................... 7 3.2.1 Настройка сервера удалѐнного доступа (RRAS) в MMC .........................................................................7 3.2.2 Настройка удаленного доступа с помощью профиля соединения, созданного при помощи Пакета

администрирования диспетчера подключений(CMAK). .........................................................................9 3.2.3 Настройка удалѐнного доступа (RRAS) МЭ IAS 2006 .......................................................................... 14 3.2.4 Настройка удалѐнного доступа (RRAS) утилитой Netsh ...................................................................... 19 3.2.5 Настройка клиента VPN утилитой Ipseccmd ....................................................................................... 19 3.2.6 Настройка шлюзов VPN (узел-узел) .................................................................................................. 19 3.2.7 Настройка шлюзов VPN МЭ IAS 2006 ................................................................................................ 22 3.2.8 Настройка шлюза утилитой Netsh ..................................................................................................... 29 3.2.9 Настройка встречной работы со шлюзом CheckPoint VPN-1 ................................................................. 29 3.2.10 Настройка защиты взаимодействия с RADIUS сервером ..................................................................... 33 3.2.11 Порядок плановой смены PSK для VPN ............................................................................................. 33 3.2.12 Порядок действий при компрометации PSK для VPN .......................................................................... 33 3.2.13 Возможные ошибки и методы их устранения ..................................................................................... 34 3.3 Настройка домена Windows 2003 на основе PSK ........................................................................34 3.3.1 Настройка контроллеров домена ...................................................................................................... 34 3.3.2 Настройка контроллеров домена утилитой Netsh ............................................................................... 34 3.3.3 Настройка политики домена ............................................................................................................. 34 3.3.4 Подключение компьютера к домену ................................................................................................. 34 3.3.5 Настройка компьютера утилитой Ipseccmd ........................................................................................ 35 3.3.6 Настройка компьютера утилитой Netsh ............................................................................................. 35 3.3.7 Порядок плановой смены PSK .......................................................................................................... 35 3.3.8 Возможные ошибки и методы их устранения ..................................................................................... 35

4 Сценарии разворачивания сетей на основе сертификатов ........................... 35

4.1 Получение ключей и сертификатов ............................................................................................35 В случае автоматической подачи заявки пользователем .......................................... 41 В случае автоматической подачи заявки компьютером ............................................ 41

4.2 Настройка удалѐнного доступа на основе X.509.........................................................................43 4.2.1 Настройка сервера удалѐнного доступа (RRAS) в MMC ....................................................................... 43 4.2.2 Настройка удалѐнного доступа (RRAS) МЭ IAS 2006 .......................................................................... 45 4.2.3 Настройка удалѐнного доступа (RRAS) утилитой Netsh ...................................................................... 50 4.2.4 Настройка клиента VPN мастером подключения и в MMC ................................................................... 52 4.2.5 Настройка клиента VPN утилитой Ipseccmd ....................................................................................... 54 4.2.6 Настройка шлюзов VPN (узел-узел) .................................................................................................. 54 4.2.7 Настройка шлюзов VPN МЭ IAS 2006 ................................................................................................ 57 4.2.8 Настройка шлюза утилитой Netsh ..................................................................................................... 64 4.2.9 Настройка встречной работы со шлюзом CheckPoint VPN-1 ................................................................. 64 4.2.10 Настройка защиты взаимодействия с RADIUS сервером ..................................................................... 66 4.2.11 Порядок плановой смены ключей и сертификатов ............................................................................. 66 4.2.12 Возможные ошибки и методы их устранения ..................................................................................... 66 4.3 Настройка домена Windows 2003 на основе X.509 .....................................................................66 4.3.1 Настройка контроллеров домена ...................................................................................................... 67 4.3.2 Настройка контроллеров домена утилитой Netsh ............................................................................... 67 4.3.3 Настройка политики домена ............................................................................................................. 67 4.3.4 Подключение компьютера к домену ................................................................................................. 67 4.3.5 Настройка компьютера утилитой Ipseccmd ........................................................................................ 67


- 4 -

4.3.6 Настройка компьютера утилитой Netsh ............................................................................................. 67 4.3.7 Порядок плановой смены ключей и сертификатов ............................................................................. 67 4.3.8 Возможные ошибки и методы их устранения ..................................................................................... 67

5 Сценарии разворачивания сетей на основе смарт-карт ............................... 68

5.1 Средства устранения неполадок ................................................................................................68

5.2 Просмотр сведений о назначении политики IPSec ......................................................................69 5.2.1 69 5.3 Просмотр подробных сведений об активной политике IPSec и о статистике IPSec .....................70 5.3.1 70 5.4 Просмотр подробных сведений об активной политике IPSec и о статистике IPSec в мониторе IP-

безопасности .................................................................................................................71

5.5 Проверка включения аудита безопасности ................................................................................72

5.6 Просмотр связанных с IPSec событий в окне просмотра событий ...............................................72 5.6.1 74 5.7 Включение подробной трассировки согласования обмена ключами в Интернете (IKE, Internet

Key Exchange) ...............................................................................................................74

5.8 Просмотр IPSec и других сетевых подключений с помощью сетевого монитора .........................76

5.9 Использование команды Netsh для изменения конфигурации IPSec на компьютерах, работающих под управлением операционных систем семейства Windows Server 2003 .76

Отключить проверку списка отзыва сертификатов (certificate revocation list, CRL) для обмена ключами в Интернете (IKE) ........................................................................ 76 Включить ведение журнала событий драйвера IPSec ............................................... 77 Разрешить входящий и исходящий трафик во время запуска компьютера ................. 77 Исключить из фильтрации IPSec весь широковещательный и многоадресный трафик, а также трафик IKE, Kerberos и RSVP ........................................................................ 77

5.10 Использование Ipseccmd.exe для управления и мониторинга IPSec на компьютерах, работающих

под управлением Windows XP ........................................................................................78

5.11 Использование программы Netdiag.exe для отображения сведений IPSec и для проверки и просмотра конфигурации сети ......................................................................................78

5.11.1 78 5.12 Отключение аппаратного ускорения для TCP/IP и IPSec ............................................................80 5.12.1 Отладка и протоколирование ........................................................................................................... 81

5.13 Отладка процесса обработки политик и профилей .....................................................................82


- 5 -

1 Введение

Данный документ описывает использование предварительной версии "КриптоПро IPsec" в сетях Микрософт на основе:

Windows 2003 SP2 (IA64 не поддерживается предварительной версией); Windows 2003 R2 SP2 (IA64 не поддерживается предварительной версией).

В качестве клиентов рассматривается:

Windows XP SP3; Windows XP 64-бит SP2.

Для организации VPN применяется МЭ:

ISA 2006 SP1; ISA 2004 SP3.

"КриптоПро IPsec" поддерживает следующие ключевые системы:

PSK, ключи распространяемые в текстовом виде; Ключи и сертификаты X.509, хранимые на жѐстком диске компьютера (в реестре); Ключи и сертификаты X.509, хранимые на смарт-картах и USB-токенах.

"КриптоПро IPsec" поддерживает следующие основные варианты использования:

Защита виртуальных частных сетей (VPN); Защита локальных вычислительных сетей (ЛВС) входящих в состав домена Windows.

"КриптоПро IPsec", в случае обеспечения соответствующих организационно технических мер, может использовать аутентификацию компьютеров домена Windows по протоколу Kerberos.

2 Документация

Микрософт VPN

1. "Step-by-Step Guide for Setting Up VPN-based Remote Access in a Test Lab"

<http://technet.microsoft.com/ru-ru/library/cc757206(WS.10).aspx>; 2. "Site-to-site VPN in ISA Server 2006, ISA Server 2004, Microsoft Forefront Threat

Management Gateway Medium Business Edition, or Windows Essential Business Server 2008"

<http://support.microsoft.com/kb/888711>; 3. "Site-to-Site VPN in ISA Server 2004" <http://technet.microsoft.com/en-

us/library/cc302474.aspx>; 4. "Creating a Site-to-Site L2TP/IPSec VPN Between ISA 2004 VPN Gateways: How to Configure

the Pre-shared Key" <http://download.microsoft.com/download/c/3/c/c3c121ad-2c3f-49b8-ad47-aacecc174d6e/Creating%20a%20Site%20to%20Site%20L2TP-IP%20with%20Pre-

shared%20key%20-%20MDW.doc>; 5. "Реализация IPSec Site-to-Site VPN для Брандмауэров Checkpoint NG R55 и Microsoft ISA

2004" <http://www.redline-software.com/rus/support/articles/isaserver/general/implementing_checkpoint_ng_r55_firewall_and_microsoft_isa_2004.php>;

6. "Implementing Checkpoint NG R55 Firewall and Microsoft ISA 2004 Firewall IPSec Site-to-Site

VPN" <http://www.isaserver.org/articles/2004sitetositecpv2.html>;

7. "Configuring IPSec Site-to-Site Connections Between ISA Server 2004 and Third-Party Gateways" <http://technet.microsoft.com/en-us/library/cc302490.aspx>;

8. "Защита RADIUS-трафика с помощью протокола IPsec" <http://technet.microsoft.com/ru-ru/library/cc725908(WS.10).aspx>;

9. ISA Server 2004 VPN Deployment Kit: http://download.microsoft.com/download/3/7/b/37b0cbc4-e578-4082-a779-de4fbe876f06/ISA2004SE_vpnkit-Rev%201%2004.doc

10. http://technet.microsoft.com/ru-ru/library/cc739464(WS.10).aspx

11. http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx 12. http://technet.microsoft.com/ru-ru/library/cc757905(WS.10).aspx

13. http://technet.microsoft.com/ru-ru/library/cc781869(WS.10).aspx 14. http://technet.microsoft.com/ru-ru/library/cc757207(WS.10).aspx 15. http://blogs.msdn.com/b/james_morey/archive/2005/04/21/410590.aspx

16. http://technet.microsoft.com/en-us/library/bb794765.aspx?ppud=4 17. http://support.microsoft.com/kb/816514

http://technet.microsoft.com/ru-ru/library/cc757206(WS.10).aspx

http://support.microsoft.com/kb/888711

http://technet.microsoft.com/en-us/library/cc302474.aspx


http://download.microsoft.com/download/c/3/c/c3c121ad-2c3f-49b8-ad47-aacecc174d6e/Creating%20a%20Site%20to%20Site%20L2TP-IP%20with%20Pre-shared%20key%20-%20MDW.doc



http://www.redline-software.com/rus/support/articles/isaserver/general/implementing_checkpoint_ng_r55_firewall_and_microsoft_isa_2004.php



http://www.isaserver.org/articles/2004sitetositecpv2.html




http://download.microsoft.com/download/3/7/b/37b0cbc4-e578-4082-a779-de4fbe876f06/ISA2004SE_vpnkit-Rev%201%2004.doc

http://download.microsoft.com/download/3/7/b/37b0cbc4-e578-4082-a779-de4fbe876f06/ISA2004SE_vpnkit-Rev%201%2004.doc






http://blogs.msdn.com/b/james_morey/archive/2005/04/21/410590.aspx

http://technet.microsoft.com/en-us/library/bb794765.aspx?ppud=4



- 6 -

18. http://technet.microsoft.com/en-us/library/cc787207(WS.10).aspx

19. http://technet.microsoft.com/ru-ru/library/cc302474(en-us).aspx 20. http://technet.microsoft.com/en-us/library/cc787237(WS.10).aspx 21. http://technet.microsoft.com/en-us/library/cc778954(WS.10).aspx?ppud=4

22. http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx 23. http://technet.microsoft.com/ru-ru/library/cc757467(WS.10).aspx 24. http://technet.microsoft.com/ru-ru/library/cc302474(en-us).aspx

Микрософт ЛВС

25. "Server and Domain Isolation Using IPsec and Group Policy"

<http://www.microsoft.com/downloads/details.aspx?familyid=404FB62F-7CF7-48B5-A820-B881F63BC005&displaylang=en>;

26. "Server and Domain Isolation Demo" <http://www.microsoft.com/downloads/details.aspx?FamilyID=13a0ab69-2113-482e-a6d1-

911aff9e9e2d&displaylang=en>; 27. "IPSec support for client-to-domain controller traffic and domain controller-to-domain

controller traffic" <http://support.microsoft.com/kb/254949>;

28. "Using ISA Server 2006 to Extend Server and Domain Isolation Interoperability" <http://technet.microsoft.com/en-us/library/dd835480.aspx>;

Микрософт смарт-карты и USB-токены

29. "The Secure Access Using Smart Cards Planning Guide" <http://www.microsoft.com/downloads/details.aspx?FamilyId=AD196BCE-876B-44E0-9E90-2A0C34446826&displaylang=en>;

Микрософт сроки поддержки

30. Windows Server 2003 до 14.07.2015 <http://support.microsoft.com/lifecycle/?p1=3198>; 31. Windows Server 2003 R2 до 14.07.2015

<http://support.microsoft.com/lifecycle/?p1=10394>; 32. Windows XP Professional <http://support.microsoft.com/lifecycle/?p1=3223>,

<http://support.microsoft.com/lifecycle/?p1=12757>;

33. Windows XP Professional x64 Edition до 08.04.2014

<http://support.microsoft.com/lifecycle/?p1=8599>; 34. Internet Security and Acceleration Server 2004 до 14.04.2015

<http://support.microsoft.com/lifecycle/?p1=11928>; 35. Internet Security and Acceleration Server 2006 до 10.01.2017

<http://support.microsoft.com/lifecycle/?p1=11928>;

КриптоПро VPN

36. "GOSTCA Installation guide" <"\\CP.RU\dfs\release\CSP IPSEC для CheckPoint

SecurePlatform UTM-1\GOSTCA Installation Guide.doc">; 37. "Утилита выработки PSK" <???>; 38. "КриптоПро EAP-TLS - Использование"

<https://www.cryptopro.ru:9443/cryptopro/products/eap-tls/usage.htm>;

3 Сценарии разворачивания сетей на основе PSK

Пересказать ограничения PSK от Микрософт. Область применения – защита от нарушителя Н1 (уровень защиты КС1), защита от нарушителей Н2 и выше должна осуществляться

организационными мерами.

3.1 Генерация и управление PSK

Создание PSK осуществляется утилитой командной строки:

genpsk <pair_name> <net_id> <expiry> <SiteID_1> … <SiteID_N>

Аргументы:

<pair_name> - ключевой контейнер для хранения состояния ДСЧ, произвольная строка;

<net_id> - идентификатор сети, рекомендуется использовать L2TP, TUN или DOM в зависимости от варианта использования "КриптоПро IPsec";

http://technet.microsoft.com/en-us/library/cc787207(WS.10).aspx

http://technet.microsoft.com/ru-ru/library/cc302474(en-us).aspx

http://technet.microsoft.com/en-us/library/cc787237(WS.10).aspx

http://technet.microsoft.com/en-us/library/cc778954(WS.10).aspx?ppud=4

http://www.microsoft.com/windowsserver2003/technologies/pki/default.mspx


http://technet.microsoft.com/ru-ru/library/cc302474(en-us).aspx

http://www.microsoft.com/downloads/details.aspx?familyid=404FB62F-7CF7-48B5-A820-B881F63BC005&displaylang=en

http://www.microsoft.com/downloads/details.aspx?familyid=404FB62F-7CF7-48B5-A820-B881F63BC005&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=13a0ab69-2113-482e-a6d1-911aff9e9e2d&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=13a0ab69-2113-482e-a6d1-911aff9e9e2d&displaylang=en


http://technet.microsoft.com/en-us/library/dd835480.aspx

http://www.microsoft.com/downloads/details.aspx?FamilyId=AD196BCE-876B-44E0-9E90-2A0C34446826&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyId=AD196BCE-876B-44E0-9E90-2A0C34446826&displaylang=en

http://support.microsoft.com/lifecycle/?p1=3198







https://www.cryptopro.ru:9443/cryptopro/products/eap-tls/usage.htm


- 7 -

<expiry> - срок действия PSK в месяцах;

<SiteID_x> - идентификаторы узлов сети, рекомендуется использовать имена NetBIOS компьютеров.

При настройке "КриптоПро IPsec" PSK вводится в следующем виде:

[[<net_id>,]<SiteID_x>,]<PSK_part1><PSK_part2>

Если <net_id> или <SiteID_x> не указаны, то "КриптоПро IPsec" использует соответствующее значение по умолчанию.

PS:PSK для тестов Net,5E7D981C2AC5CA04DC5C8CDD14C2945564339DA2,ZDZZR2YRQ4MY8T342F0UY3F8L3R64M50E8P8L673CTHTXAB6ZX963TR6 поддерживается только в последней версии ipsec для виндовс новый тоже: Net,Windows,6QU8B602DA6T3RH4KCYN5ADD7N24DG51YHH4HM112RYW4U4R0X24T1F4 для R65: DG51YHH4HM112RYW4U4R0X24T1F4

DG51YHH4HM112RYW4U4R0X24T1F46QU8B602DA6T3RH4KCYN5ADD7N24

3.2 Настройка виртуальных частных сетей (VPN) на основе PSK

Предварительно.

Для организации VPN используется один или несколько серверов удалѐнного доступа, возможно объединѐнных в "кластеры".

Каждый сервер VPN имеет один PSK для взаимодействия всех своих клиентов и

"подчинѐнных" шлюзов типа "узел-узел".

Сервер VPN может иметь несколько PSK для "вышестоящего" шлюза типа "узел-узел".

Разграничение доступа между клиентами удалѐнного доступа, а так же между

"подчинѐнными" шлюзами осуществляется на основе пар ("имя пользователя" и "пароль") передаваемых по защищѐнному с помощью PSK каналу IPsec. База клиентов может храниться:

Пользователи Windows VPN сервера; Пользователи домена Windows, в который входит VPN сервер;

Пользователи зарегистрированные на RADIUS сервере (Windows Internet Authentication Service (IAS)).

3.2.1 Настройка сервера удалѐнного доступа (RRAS) в MMC

Имеется удаленный клиент, требуется организовать безопасное соединение с помощью

Крипто Про IPSEC(PSK) – L2TP/IPSEC между сервером доступа и клиентом.

Сервер доступа

Сеть предприятия

Клиент

После установки и предварительной настройки сервера RRAS откроем оснастку управления Routing and Remote Access - Свойства.


- 8 -

На закладке Безопасность(Security)Выбираем Windows Authentication, добавляем PSK .

На закладке IP добавляем диапазон адресов для VPN клиентов(или воспользуемся DHCP сервером):

Для отладки процесса подключения клиента можно на время отладки подключить процесс ведения лога для отладки:


- 9 -

Все остальное оставляем по умолчанию.

Открываем свойства портов:

Деактивируем все протоколы, кроме L2TP(PPTP можно оставить на время тестирования).

Необходимо определиться с аутентификацией и создать соответствующего пользователя:



На этом настройку можно считать законченной, можно тестировать соединение клиента.

[1], п. 2.

3.2.2 Настройка удаленного доступа с помощью профиля соединения,

созданного при помощи Пакета администрирования диспетчера подключений(CMAK).

Использование пакета администрирования диспетчера подключений (Connection Manager Administration Kit {CMAK}) для упрощения конфигурирования VPN клиента.


- 10 -

Пакета администрирования диспетчера подключений (CMAK) позволяет Вам создавать настраиваемое сетевое подключение для Ваших VPN пользователей. Используя CMAK, это дает преимущество при создании VPN соединений:

Отпадает необходимость в ручном конфигурировании профиля VPN соединения;

Профилю VPN соединения могут быть ограничены возможности так, чтобы пользователи не могли осуществить опасные конфигурации безопасности

Вы можете предварительно сконфигурировать параметры настройки Прокси-сервера так, чтобы политика системы сетевой защиты ISA сервера была применена на клиентах VPN;

С помощью Сервиса Телефонной книги Вы можете автоматически обновить профиль VPN соединения обновленными номерами телефонов и адресами VPN серверов

В профиль CMAK включены параметры скрипта, позволяющие Вам усилить особенности Карантина Маршрутизации и Удаленного доступа(RRAS).

Установка пакета администрирования диспетчера подключений (CMAK) компютер с ОС Windows Server 2003 .

Следующие шаги позволяют осуществить эту установку:

Нажмем Пуск(Start) и выберем Панель управления(Control Panel). Запуститм настройку Установку и удаление программ(Add or Remove Programs).

В окне Установку и удаление программ (Add or Remove Programs), выберем Add/Remove Windows Components.

В Мастере компонентов Windows(Windows Components Wizard), выберем Средства управления и наблюдения(Management and Monitoring Tools) и нажмем кнопку Состав(Details).

В диалоговом окне Средства управления и наблюдения(Management and Monitoring Tools), отметим для установки Пакет администрирования диспетчера подключений (Connection Manager Administration Kit), нажимаем OK.

Нажмите Далее( Next) в диалоговом окне Компоненты Wndows. Возможно потребуются файлы с установочного диска Windows Server 2003.

Использование CMAK для создания профиля VPN соединения.


- 11 -

Запустим Мастер Пакет администрирования диспетчера подключений (CMAK Wizard) для создания нового профиля соединений. Следующая последовательность действий создает простой профиль VPN соединений, который Вы можете распространять среди пользователей:

Нажмите Пуск(Start) выберем пункт меню Администрирование(Administrative Tools). Запустите Пакет администрирования диспетчера подключений(Connection (Manager Administration Kit CMAK).

На странице приглашения Мастер Пакета администрирования диспетчера подключений Welcome to the Connection Manager Administration Kit Wizard Вы можете получить помощь о создании, настройке и распространении профиля Пакета администрирования диспетчера подключений (СМАК connectoids) нажав на кнопку Помощь(Help). Нажмите кнопку Далее (Next) для продолжения.

Вы можете создать новый профиль или отредактировать существующий профиль на странице Выбор профиля службы (Service Profile Selection). Мы создаем новый профиль VPN соединения, поэтому выберем Новый профиль(New profile). Нажмите Далее(Next).

Введите имя профиля соединения в поле Имя службы(Service name) на странице Имена службы и файла(Service and File Names). Это имя присвоится профилю соединения в окне Сеть и Dial-up соединения(Network and Dial-up Connections). Пусть это будет Имя файла e vpn1. Нажимаем Далее(Next).

Страница Имя сферы(Realm Name) позволяет Вам добавить имя сферы к имени пользователяю. Мы выберем опцию не Добавлять Имя сферы к имени пользователя(Do not add a realm name to the user name), и нажмем Далее(Next).

На странице Слияние профилей(Merging Profile Information) Вы можете объединить создаваемый профиль соединения с существующими, которые несут корпоративную информацию. Поскольку мы не будем объединять существующими профилями то выбираем Далее(Next).

Страница Поддержка VPN(VPN Support) позволяет Вам сконфигурировать необходимую информацию для Вашего профиля соединения. Используем опцию Телефонной книги из этого профиля(Phone book from this profile) . Телефонная книга содержит адреса VPN серверов, которые используют пользователи.

Имеются две опции во фрейме Имя или IP адрес VPN сервера(VPN Server name or IP Address):

Всегда использовать один и тот же VPN сервер (Always use the same VPN server)

Пользователь выберет VPN сервер перед подключением(Allow the user to choose a VPN server before connecting)- когда у пользователя несколько подключений.

Выберем опцию Всегда использовать один и тот же VPN сервер (Allow the user to choose a VPN server before connecting).Нажимаем Далее(Next).

Вы можете сконфигурировать TCP/IP и установки безопасности Вашего профиля соединения на странице VPN записи(VPN Entries). Выберем запись OFFICE1 VPN Tunnel (Default) из списка Записи виртуальной частной сети(Virtual Private Network entries) и выберем кнопку Изменить(Edit).

Закладка Общие(General) в диалоговом окне Изменить запись виртуальной частной сети(Edit Virtual Private Network Entry) имеет следующие опции:

Отключить общий доступ к файлам и принтерам (Disable file and printer sharing) Вы можете отключить общий доступ к принтеру и ресурсам на VPN клиенте.

Разрешить клиентам входить в сеть (Enable clients to log on to the network).

Вход только для устаревших клиентов, таких как: Windows 95, Windows 98 and Windows ME.

Выберем закладку TCP/IP Settings в диалоговом окне Записи виртуальной частной сети(Virtual Private Network entries). В большинстве случаев, VPN сервер присваивает IP информацию VPN клиенту, так работает опция Адреса назначаются сервером(Server assigns addresses) во фрейме Настройка служб DNS и WINS клиента(Client DNS and WINS configuration) – наиболее подходящее во всех случаях.


- 12 -

Критическая установка - Сделать это подключение основным шлюзом клиента(Make this connection the client’s default gateway). Эта опция заставляет VPN клиента использовать VPN соединение для всех нелокальных сетей . Это препятствует VPN клиенту иметь подключение к Интернет, не настроив Web Proxy и/или Firewall клиент. Требование к VPN клиенту использовать интерфейс VPN в качестве шлюза по умолчанию не позволяет

ему обойти политики брандмауэра, при подключении к сети.. Выключенная опция позволяет обойти политику брандмауэр .

Опция Использовать сжатие IP заголовков(Use IP header compression) позволяет получить наивысшую производительность.

Выберем закладку Безопасность(Security) в диалоговом окне Записи виртуальной частной сети(Virtual Private Network entries). В выпадающем списке Параметры безопасности(Security settings) доступны следующие опции для профиля:

Опция Использовать основные параметры безопасности(Use basic security settings only) позволяет старым клиентам и Windows 2000, Windows XP и Windows Server 2003 VPN клиентам подключатся ISA Server firewall/VPN server используя этот профиль соединения.

Опция Использовать дополнительные параметры(Use advanced security settings) option позволяют только Windows 2000, Windows XP and Windows Server 2003 VPN клиентам подключатся, потому что устаревшие клиенты не поддерживают расширеннее настройки безопасности.

Опция Использовать основные и дополнительные параметры(Use both basic and advanced) если Вы хотите чтобы подключались и старые клиенты и Windows 2000. Windows XP и Windows Server 2003 VPN клиенты с этим профилем подключения.

Мы выберем опцию Использовать дополнительные параметры(Use advanced security settings) и нажмем кнопку Настроить(Configure).

Вам предлагается большое количество опций в диалоговом окне Дополнительных параметров безопасности(Advanced Security Settings. - по умолчанию доступны следующие:

Require encryption, Microsoft CHAP (MS-CHAP)

Microsoft CHAP Version 2 (MS-CHAP v2)

Try point to Point Tunneling Protocol First

Для реализации Крипто Про IPSEC необходимо использовать VPN strategy as Only use Layer Two Tunneling Protocol (L2TP) и затем сконфигурировать сертификат или pre-shared key для IPSec безопасности.


- 13 -

Последовательно нажимаем OK, Далее( Next). В этом окне мы можем специфицировать использование Адресной книги и ее последующего

обновления. Нажимаем Далее(Next). Окно Записи удаленного доступа к сети(Dial-up Network Entries позволяет Вам определить

параметры, если Вы используете адресную книгу для этого профиля соединения. Нажимаем Далее(Next).

Позволяет создать собственные записи для таблицы маршрутизации, если VPN соединение не используется в качестве шлюза по умолчанию. Поскольку мы не будем описывать такую таблицу - то выберем опцию Не изменять таблицы маршрутизации(Do not change the routing tables) и нажимаем Далее(Next).

Выберите опцию Автоматически настраивать параметры(Automatically configure proxy settings) и укажите пут к конфигурационному файлу указанному в окошке Файл параметров прокси(Proxy settings file). Нажав Помощь(Help) на этой странице увидим как конфигурировать этот файл.

Опция Восстанавливать предыдущие параметры прокси после отключения(Restore the users’ previous proxy settings after disconnecting) позволяет Вам восстановить установки прокси, которые были до подключения.

Выберем Не настраивать параметры прокси(Do not configure proxy settings)

Нажмем Далее(Next)

Вы можете указать дополнительную программу, мы выберем Далее(Next). Вы можете выбрать графическое изображение(330x140 pixels) Для своего VPN профиля соединения. Поскольку мы не имеем такой картинки Рисунок по умолчанию(Default graphic) и нажимаем Далее(Next).

Аналогично рисунок для телефонной книги и иконка для запуска Менеджера соединений.

Страница Меню ярлыка области уведомления(Notification Area Shortcut Menu) добавляет подсказку к ярлыку , нажмем Далее(Next).

Файл Справки Help File page (figure 24) позволяет Вам создать дополнительный фал помощи для пользователя, нажимаем Далее(Next).

Страница Сведения о поддержке(Support Information) позволяет ввести телефон технической поддержки, нажимаем Далее(Next).

На странице Программное обеспечение диспетчера подключенийConnection(Manager Software) Вы можете дополнить свой профиль инсталляцией менеджера соединений, нажимаем Далее(Next).

Вы можете дополнить свой профиль соединения лицензионным соглашением, если необходимо. Нажимаем Далее(Next).

Вы можете включить дополнительные файлы в профиль менеджера соединений, нажимаем Next


- 14 -

На следующей странице при отметке Дополнительная настройка(Advanced Customization), мы получим доступ к дополнительным настройкам в профиле , нажимаем Далее(Next).

На странице Дополнительная настройка(Advanced Customization), убедитесь что открыт файл *.cms с именем соединения. В поле Имя секции(Section name), выберем запись Connect Manager. В поле Имя ключа(Key name) выберем запись Dialup. Введем 0 в поле Значение(Value. Выполняемый фал будет скомпилирован, нажимаем Далее(Next).

Запомните местоположение исполняемого файла и нажмите кнопку Готово(Finish. Откроем Проводник и откроем директорию, которую запомнили на последней странице мастера,

напомним файл должен называться vpn1.exe. Вы можете его записать на CD-ROM или другой носитель, установка его не отличается от установки других программ у пользователя.

Для генерации большого количества профилей пользователей(соответственно ключа

PSK) предлагается следующие действия:

- Откорректировать файл профиля vpn1.sed, чтобы путь до cmstp.exe был актуальным (файл cmstp.exe содержится в пакете cmbins.exe (C:\Program Files\Cmak\Support))

- Скопировать файлы builder.exe, CMAK.packer.exe, genpskv2.exe в директорию профиля vpn1 (C:\Program Files\Cmak\Profiles\vpn1) - Создать файл со списком пользователей (каждый на новой строке), первая строка в этом файле

должна соответствовать следующим 4 сущностям разделенным пробелами: ИмяОфисаИлиДомена ИмяСети ИмяКонтейнера ПинКонтейнера Пример:

crypt main cont_PSK1 123456

client1

client2 client3

- Запустить builder.exe c параметром пути до файла - Процесс заканчивается созданием исполняемых и текстовых файлов с пинами для каждого пользователя

3.2.3 Настройка удалѐнного доступа (RRAS) МЭ IAS 2006


Клиент

ISA сервер

Имеется удаленный клиент, требуется организовать сертифицированное безопасное

соединение с помощью Крипто Про IPSEC(PSK) – L2TP/IPSEC между ISA Server и клиентом.

После установки и настройки ISA Server 2006, откроем оснастку управления ISA Server Management. Описанные здесь настройки применительно к конфигурации Edge Firewall, могут быть использованы для других конфигураций с незначительными изменениями


- 15 -

В левой панели выберем пункт менюVirtual Private Networks(VPN), в центральном окне окне появится целый ряд настроек относящихся в VPN.

Configure Address Assignment Method:

Последовательно выбираем закладки и устанавливаем нужные параметры: внешний

интерфейс, диапазон адресов для VPN клиентов, метод аутентификации, если используется Radius

сервер, то описываем соединение.


- 16 -

Configure VPN Client:

Необходимо настроить доступ VPN-клиентов. Достаточно задать три дополнительных параметра: группы безопасности Windows, которым разрешен доступ, протоколы, доступные клиентам и сопоставление пользователей.(Не забываем что пользователь, работающий с VPN должен иметь соответствующее разрешение! Remote Access Permission – Allow Access).


- 17 -

Описываем правило, по которому будет происходить обновление списка отозванных сертификатов (CRL): выбираем адрес, имя ресурса, пользователи использующие это правило.

На этом основные настройки закончены, можно сохранить изменения, и активизировать VPN

Client Access. Для упрощения тестирования клиента VPN нужно сначала настроить PPTP, а уже затем использовать L2TP.


- 18 -

Пример настройки правил файервола:


- 19 -

3.2.4 Настройка удалѐнного доступа (RRAS) утилитой Netsh

В предварительной версии "КриптоПро IPsec" не поддерживается.

3.2.5 Настройка клиента VPN утилитой Ipseccmd


3.2.6 Настройка шлюзов VPN (узел-узел)

Требуется создать защищенное соединение между двумя разнесенными территориально подсетками распределенной сети, используя КриптоПро IPSEC - IP Security protocol (IPSec) tunnel mode.

Офис1 Офис 2

Подсеть

10.10.0.0

Подсеть

192.168.200.0

Интернет

IP:10.10.0.1

IP:212.176.30.10

IP:192.168.200.1

Офис 3

IP:212.176.30.30

ISA10 ISA30

DC2

DC3

IP:10.10.0.5 IP:192.168.200.5

Маршрутизатор создает соединение VPN по схеме site-to-site между двумя и более выделенными подсетями.ISA-сервер работает как шлюз VPN, соединяя две(или более) сети по Интернету.

Существуют три типа VPN протоколов для соединения site-to-site:


- 20 -

Point-to-Point Tunneling Protocol (PPTP) (PPTP (англ. Point-to-point tunneling protocol) — туннельный протокол

типа точка-точка, позволяющий компьютеру устанавливать защищѐнное соединение с сервером за счѐт

создания специального туннеля в стандартной, незащищѐнной сети. PPTP помещает (инкапсулирует) кадры

PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться

для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение

для обслуживания туннеля. В данной реализации Крипто Про IPSEC(GOST) не используется и не

документируется.)

Layer Two Tunneling Protocol (L2TP) over Internet Protocol security (IPSec)

Internet Protocol security (IPSec) tunnel mode

Конфигурирование site-to-site VPN соединения, при использовании Internet Security and Acceleration (ISA) Server 2006(2004) и Крипто Про IPSec, состоит из следующих основных шагов:.

Установка Крипто Про СSP на все ISA сервера участвующие в соединении;

Установка Крипто Про IPSec на все ISA сервера участвующие в соединении;

Если используются сертификаты для установки соединения L2TP/IPSec , необходимо прописать

соответствующие правила в ISA серверах, для получения списка отозванных сертификатов;

Конфигурирование локального VPN сервера, входящего в состав ISA Server. Эта настройка включает в

себя выбор протокола для VPN соединения;

Конфигурирование в ISA Server network rules и access policy. Для L2TP over IPSec и for PPTP, Вы

должны также сконфигурировать общие VPN настройки для инициализации соединения с удаленным

VPN узлом, поскольку ISA Server использует узлы как VPN клиенты;

Конфигурирование автоматического соединения через;

Конфигурирование удаленного VPN сервера;

В открытой консоли управления Microsoft Internet Security and Acceleration Server 2006: — в левой колонке - Virtual Private Networks (VPN). — во вкладке Remote Sites (Удаленные узлы) панели Details (Подробно),в панели задач выбираем вкладку Tasks (Задачи) и нажимаем Create Remote Site Network (Добавить сеть удаленного узла).

Укажем имя создаваемого подключения и затем нажмите кнопку Next (Далее).

На окне ввода VPN Protocol(Протокол VPN) установим режим IP Security protocol (IPSec) tunnel mode и затем нажмите кнопку Next(Далее).

На окне ввода Connection Settings(Установки соединения) в поле Remote VPN gateway IP address(IP адрес удаленного VPN шлюза) укажем WAN IP-адрес удаленного VPN-шлюза ISA40 и в поле Local VPN gateway IP address(IP адрес локального VPN шлюза) введем WAN IP-адрес локального VPN-шлюза (IP-адрес ISA10). Нажмите кнопку Next(Далее) для продолжения.

На следующем шаге необходимо указать метод аутентификации. В данном примере мы используем метод с предварительно согласованным ключом (Pre-shared Key). На окне ввода IPSec Authentication(Аутентификация IPSec) выберем пункт Use pre-shared key for authentication(Использование pre-shared key для аутентификации) и введем в поле ключ. Затем нажимаем кнопку Next(Далее).


- 21 -


На следующем шаге необходимо указать метод аутентификации. В данном примере мы используем сертификат полученный из центар сертификации . На окне ввода IPSec Authentication(Аутентификация IPSec) выберите пункт Use a certificate from this certificate authority (CA) и выберите в всплывающем окне центр

сертификации . Затем нажмите кнопку Ok , Next(Далее).

На окне ввода Network Addresses (Сетевые адреса) нажмем кнопку нажимаем Add Range (Добавить диапазон) для определения диапазона IP-адресов удаленной сети (локальной сети за ISA10). В нашей

настройке у нас уже установлен WAN IP-адрес ISA10. Ни в коем случае не удаляйте его. Добавим локальную подсеть (например: 10.10.0.0-10.10.0.255) и нажимаем Next(Далее).

В окне ввода Site to Site Network Rule (Сетевое правило для схемы site-to-site) выберем пункт Create a Network Rule specifying a route relationship (Создать сетевое правило, указав отношения маршрутизации), если мы выбираем установки по умолчанию – то разрешаем маршрутизацию между сетями офисов. Опция I’ll create a Network Rule later (Я создам сетевое правило позже)). – позволяет прописать правило после создания соединения. Нажимаем Next(Далее).

В окне ввода Site to Site Network Access Rule (Сетевое правило доступа для схемы site-to-site):

— выбрав параметр I’ll change the Access Policy later (Я изменю политики доступа позже), есть возможность создать правило доступа позже;


- 22 -

— выбрав параметр Create an allow Access Rule. This rule will allow traffic between the Internal Network and the new site to site Network for all users (Создать разрешающее правило доступа. Это правило будет разрешать трафик между внутренней и новой сетями для всех пользователей) имеем возможность выбора вариантов из выпадающего списка Apply the rule to these protocols (Применить правило к этим протоколам).

All outbound traffic (Весь исходящий трафик): - разрешает весь трафик из Офиса1 в Офис3. Selected protocols (Выбранные протоколы): - позволяет контролировать трафик между узлами, для ограничения соединения. Если вы хотите ограничить соединения выберите этот параметр и нажмите Add (Добавить) для разрешения протоколов. Заблокировать использование протоколов конкретным

пользователем/группой можно сделать после окончания работы мастера в политиках брандмауэра. All outbound traffic except selected (Весь исходящий трафик, кроме выбранного): - разрешает весь трафик, за исключением нескольких протоколов. Для выбора протоколов нажмите Add (Добавить). Для нашего случая мы выберем All outbound traffic (Весь исходящий трафик). Нажимаем Next(Далее).

Аналогично произведем настройку ISA сервера в офисе 3







В окне ввода Site to Site Network Rule (Сетевое правило для схемы site-to-site) выберем пункт Create a Network Rule specifying a route relationship (Создать сетевое правило, указав отношения маршрутизации), если мы выбираем установки по умолчанию – то разрешаем маршрутизацию между сетями офисов. Опция I’ll create a Network Rule later (Я создам сетевое правило позже)). – позволяет прописать правило после создания соединения. Нажимаем Next(Далее). В окне ввода Site to Site Network Access Rule (Сетевое правило доступа для схемы site-to-site):





3.2.7 Настройка шлюзов VPN МЭ IAS 2006

Требуется создать защищенное соединение между двумя разнесенными территориально подсетками распределенной сети, используя КриптоПро IPSEC - Layer Two Tunneling Protocol (L2TP) over IPSec (Протокол L2TP поверх IPSec).


- 23 -


Подсеть

10.10.0.0

Подсеть

192.168.200.0

Интернет

IP:10.10.0.1

IP:212.176.30.10

IP:192.168.200.1

Офис 3

IP:212.176.30.30

ISA10 ISA30

DC2

DC3

IP:10.10.0.5 IP:192.168.200.5



Point-to-Point Tunneling Protocol (PPTP) (PPTP (англ. Point-to-point tunneling protocol) — туннельный протокол

типа точка-точка, позволяющий компьютеру устанавливать защищѐнное соединение с сервером за счѐт

создания специального туннеля в стандартной, незащищѐнной сети. PPTP помещает (инкапсулирует) кадры

PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться

для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение

для обслуживания туннеля. В данной реализации Крипто Про IPSEC(GOST) не используется и не

документируется.)















.

Создание удаленного узла на ISA-сервере Офиса 1.


- 24 -

Установка КриптоПро CSP , Крипто Про IPSec, сертификатов подробно описана в соответствующих документах на эти продукты, поэтому здесь рассматривать их установку не будем.

Следующие шаги необходимы для создания удаленного узла на ISA-сервере в Офисе 1:


В окне ввода Welcome to the Create VPN Site to Site Connection Wizard (Начало работы мастера создания VPN-соединения по схеме Site-to-Site) вводим в поле Site to site network name (Имя сети) имя удаленной сети, в нашем случае OFFICE2 и нажимаем Next(Далее):

В окне ввода VPN Protocol (Протокол VPN) выбираем Layer Two Tunneling Protocol (L2TP) over IPSec (Протокол L2TP поверх IPSec) (для проверки можно создать сединение Point-to-Point Tunneling Protocol (Протокол PPTP)) и нажимаем Next(Далее).

Всплывающее диалоговое окно, сообщает, о необходимости создания пользователя на этом сервере(ISA10). Учетная запись должна быть создана с именем, как и создаваемое подключение (OFFICE2) и иметь права на удаленный коммутируемый доступ. Нажмите OK. Эта запись будет использоваться при настройке соединения с Офисом1, для аутентификации на Microsoft Internet Security and Acceleration Server(ISA10), при попытке Офиса 2 создать VPN-соединение с Офисом1.

Создадим такую учетную запись, с такими правами:


- 25 -

В окне ввода Remote Site Gateway (Шлюз удаленного узла) необходимо ввести IP-адрес или

полностью определенное доменное имя FQDN внешнего интерфейса удаленного ISA-сервера(Новшество ISA2006, актуально при использовании DDNS). Вводим IP адрес 212.176.30.30 и нажимаем Next(Далее).

Аутентификация будет происходить на сервере ISA30 Офиса2, с прописанной на нем учетной записью OFFICE1, в качестве имени домена будет использовать имя сервера ISA30, или имя домена Офиса 2. Вводим имя пользователя, домен, пароль и нажимаем Next(Далее).

В окне ввода L2TP/IPSec Outgoing Authentication (Аутентификация L2TP/IPSec) используем метод аутентификации Pre-shared key authentication (Аутентификация с помощью общего ключа). В поле Pre-shared key (Общий ключ) введем общий ключ (Генераци и управление PSK п.3.1, он должен совпадать во всех устанавливаемых соединениях) и нажимаем Next(Далее).

В окне ввода Network Addresses (Сетевые адреса) выбираем Add Range (Добавить диапазон), далее в диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) вводим диапазон адресов подсети Офиса 2:Starting address (Начальный адрес) -192.168.200.0; Ending address (Конечный адрес) - 192.168.200.255. Нажимаем OK и далее Next(Далее)





All outbound traffic (Весь исходящий трафик): - разрешает весь трафик из Офиса1 в Офис2. Selected protocols (Выбранные протоколы): - позволяет контролировать трафик между узлами, для

ограничения соединения. Если вы хотите ограничить соединения выберите этот параметр и нажмите Add (Добавить) для разрешения протоколов. Заблокировать использование протоколов конкретным



- 26 -

На этом настройка соединения OFFICE2 можно считать законченной.

Можно пройтись и просмотреть firewall policy, свойства соединения узлов, network rules. Необходимо сохранить внесенные изменения.


Шаги конфигурирования в Оффисе 2 во многом похожи на предыдущую настройку.







- 27 -




В окне ввода L2TP/IPSec Outgoing Authentication (Аутентификация L2TP/IPSec) используем метод аутентификации Pre-shared key authentication (Аутентификация с помощью общего ключа). В поле Pre-shared key (Общий ключ) введем общий ключ (Генерация и управление PSK п.3.1, он должен совпадать во всех устанавливаемых соединениях) и нажимаем Next(Далее).

В окне ввода Network Addresses (Сетевые адреса) выбираем Add Range (Добавить диапазон), далее в диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) вводим диапазон адресов подсети Офиса 2:Starting address (Начальный адрес) -10.10. 0.0; Ending address (Конечный адрес) - 10.10. 0.255. Нажмите OK и далее Next(Далее).

В окне ввода Site to Site Network Rule (Сетевое правило для схемы site-to-site) выберем пункт Create a Network Rule specifying a route relationship (Создать сетевое правило, указав отношения


- 28 -

маршрутизации), если мы выбираем установки по умолчанию – то разрешаем маршрутизацию между сетями офисов. Опция I’ll create a Network Rule later (Я создам сетевое правило позже)). – позволяет прописать правило после создания соединения. Нажимаем Next(Далее).




All outbound traffic (Весь исходящий трафик): - разрешает весь трафик из Офиса2 в Офис1 . Selected protocols (Выбранные протоколы): - позволяет контролировать трафик между узлами, для




Активизация соединения Офис1-Офис2

Для тестирования соединения достаточно выполнить команду ping с любого компьтера находящего за

ISA сервером, пусть это будет DC2 и пинговать мы будем DC3:

в командной строке введите ping –t 192.168.200.5 и нажмите ENTER

Аналогично можно запустить ping с DC3 на DC2

При открытие вкладки Sessions (Сессии) ISA-сервера , Вы увидите активную сессию,

представляющую VPN-соединением.

http://faqman.ru/tag/vpn


- 29 -

Site-to-Site VPN in ISA Server 2004:

3.2.8 Настройка шлюза утилитой Netsh


3.2.9 Настройка встречной работы со шлюзом CheckPoint VPN-1

Требуется создать защищенное соединение между двумя разнесенными территориально подсетками распределенной сети, используя КриптоПро IPSEC - IP Security protocol (IPSec) tunnel mode

ISA Server 2006 и Check Point Firewall-1/VPN-1 версии R65 HFA50 GOST.

- Настройка ISA Server 2006

- Настройка Check Point NGX R65 VPN-1(Крипто Про)

- Мониторинг VPN Tunnel ISA Server 2006

- Мониторинг VPN Tunnel Check Point NGX R65 VPN-1(Крипто Про)

ISA10

212.176.30.10

10.10.0.1

Check Point Firewall

212.176.30.100

172.16.10.2

10.10.1.1

Клиент

10.10.0.5

Клиент

172.16.10.10

Настройка ISA Server 2006 аналогично п. 3.2.6 - Настройка шлюзов VPN (узел-узел):

Запускаем мастер настройки, вводим наименование VPN сети, выбираем IP Security protocol (IPSec) tunnel mode, вводим удаленный IP адрес Check Point NGX R65 (212.176.30.100), вводим PSK.

В окне Network address в дополнение к адресу удаленного VPN узла(Check Point NGX R65)

вводим IP адрес сети расположенной за ним, в нашем случае 172.16.10.0 – 172.16.10.255.

Настройка Check Point Firewall-1/VPN-1 версии R65 HFA50 GOST:

Необходимо убедится что установлено программное обеспечение Крипто Про CSP, в соответствии с документом GOSTCA Installation guide.

Все настройки производятся из панели Check Point Smart Dash Board.


- 30 -

VPN соединение на Check Point Firewall-1/VPN-1 версии R65 HFA50 GOST создается используя Simplified Mode – Policy \ Global Properties.

Создадим сетевой (Network) объект (New Network) Net_10.10.1.0 для сети 10.10.1.0, используя закладку NAT

добавим трансляцию адресов.

Аналогично создадим сетевой (Network) объект (New Network) Net_172.16.10.0 для сети 172.16.10.0.

Выбираем панель NAT, должно добавится четыре правила два из них поддерживают трансляцию адресов, два

разрешают доступ из соответствующей сети к интерфейсам.

Создадим сетевой (Network) объект (New Network) для сети 212.176.30.0 (внешнего интерфейса), без

добавления трансляции адресов(Net_212.176.30.0).

Создадим сетевой (Network) объект (New Network) для сети 10.10.0.0, которая расположена за ISA

сервером(Net_behind_ISA10) .

Из SmartDashboard интерфейса нажмем Manage меню, и выберем Network Object. В окне Network Object выберем объект Net_behind_ISA10, нажмем кнопку New и выбираем Interoperable Device...

Interoperable Device описывает наш ISA VPN шлюз. В General Properties этого Interoperable Device вводим его имя(Name) - ISA10_VPN и IP адрес шлюза ISA - 212.176.30.10.

В Topology - в таблице вручную описываем интерфейсы ISA: 212.176.30.10(ext_212.176.30.10) объявляем как external, 10.10.0.1(int_10.10.0.1) объявляем как internal – specific и привязываем к Net_behind_ISA10. В VPN Domain выберем опцию All IP address behind Gateway…

Нажимаем OK для того чтобы добавить новую Interoperable Device и закрываем Network Object.


- 31 -

Используя SmartDashboard - выбираем VPN manager панель и на пустом поле правым щелчком выбираем New Community – Meshed

В General вводим удобное нам имя, цвет, если помечаем Accept all encrypted traffic то правило безопасности

создаются автоматически, поскольку мы будем создавать вручную мы его не активизируем.

В Participating Gateways добавляем(Add) Interoperable Device ISA10_VPN и Check Point gateway SC.

В VPN Properties помечаем This community uses GOST standard for both IPSEC and IKE.

В Advanced Settings – Shared Secret помечаем галочкой Use only Shared Secret for all External members и используя кнопку Edit вводим PSK (DG51YHH4HM112RYW4U4R0X24T1F46QU8B602DA6T3RH4KCYN5ADD7N24).

В Advanced Settings – Advansed VPN Properties помечаем Disable NAT inside the VPN community. Use Perfect Forward Secrecy на время тестирования можно отключить, а в дальнейшем включить.

Нажимаем OK.

Перейдем к редактированию Check Point gateway network object.

В General Properties: Name – наименование(SC), IP Address внешний IP адрес интерфейса(212.176.30.100);

В Topology:нажмем кнопку Get – Interfaces with Topology, должны в таблице появится интерфейсы устройства, VPN Domain выберем опцию All IP address behind Gateway…;

В VPN нажимаем кнопку Traditional mode configuration, в появившемся окне Traditional mode configuration убеждаемся что помечен Pre-Shared Secret .

В VPN – VPN Advansed помечаем Support NUT traversal… и с помощью кнопки Pre-Shared Secret вводим PSK

(DG51YHH4HM112RYW4U4R0X24T1F4).

Создаем два правила безопасности одно исходящее и входящее:

Теперь необходимо сохранить и инсталлировать все введенные правила. Из SmartDashboard интерфейса нажмем Policy меню и выберем Install:

Закроем SmartDashboard.

Подготовим Check Point Firewall-1/VPN-1 версии R65 HFA50 GOST для работы с PSK, для этого необходимо

открыть утилиту из директории …\CheckPoint\SmartConsole\R65\PROGRAM\GuiDBedit.exe:


- 32 -

- в нашем тестовом VPN соединении ISA10_CP - переменную use_gost_ike_cert выставить в false.

Далее переходим к тестированию соединения:

На клиенте 172.16.10.10 в командной строке введем start ftp://10.10.0.5 в консоли ISA server - Monitoring можем увидеть соединение VPN Remote Site – cp.

Аналогично можно попробовать открыть ресурс: \\10.10.0.5

ftp://10.10.0.5/


- 33 -

Откроем SmartView Tracker R65

На этом процедуру установки считаем законченной.

[5], п. 2.

3.2.10 Настройка защиты взаимодействия с RADIUS сервером Протокол IPsec позволяет обеспечить защиту RADIUS-серверов от нежелательного трафика путем

фильтрации в сетевых платах (разрешение или блокировка указанных протоколов) и предоставления возможности выбирать IP-адреса источника, с которых допускается трафик. Для организационных подразделений можно создавать IPsec-политики, которые хранятся в доменных службах Active Directory®. Можно также создать локальные политики на RADIUS-серверах и применить эти политики к указанным компьютерам. При создании IPsec-политики для организационного подразделения данная политика применяется с помощью групповой политики.

Перед созданием IPsec-фильтров определите тип трафика, который следует разрешить для каждого из RADIUS-серверов. Слишком строгие фильтры могут блокировать благонадежный сетевой трафик. Например, если сервер сетевой политики установлен на контроллере домена и на всех портах блокируется весь IP-трафик за исключением RADIUS-трафика, пользовательские запросы объектов Active Directory на установленный по умолчанию порт глобального каталога 3268 будут завершаться неудачей. Напротив, излишне размытые параметры IP-фильтров делают RADIUS-сервер подверженным для нежелательного трафика.

Сообщения RADIUS отправляются с использованием протокола UDP. Для RADIUS-сообщений проверки подлинности используется UDP-порт 1812, а для RADIUS-сообщений учета – UDP-порт 1813. При создании фильтров входа и выхода по протоколу IPsec для указанных портов должен быть разрешен трафик UDP. Однако некоторые серверы доступа к сети могут использовать для RADIUS-сообщений проверки подлинности UDP-порт 1645, а для RADIUS-сообщений учета – UDP-порт 1646. По умолчанию сервер политики сети поддерживает оба набора портов. Если серверы доступа к сети используют UDP-порты 1645 и 1646, можно создать IPsec-фильтры, разрешающие трафик для этих портов.

[8], п. 2.

3.2.11 Порядок плановой смены PSK для VPN


Если для организации VPN используется один сервер, то PSK меняются одновременно для всех клиентов VPN.

Если для организации VPN используется два или более серверов, то PSK могут меняться последовательно...

3.2.12 Порядок действий при компрометации PSK для VPN

При компрометации любого клиента или шлюза (по причинам: увольнения владельца, утеря и т.п.) все PSK выводятся из действия.


- 34 -

3.2.13 Возможные ошибки и методы их устранения

3.3 Настройка домена Windows 2003 на основе PSK

Client1 10.10.0.17(DHCP) Client3 10.10.0.12(DHCP)

Подключаемый компьютер IP По DHCP

Client 2 10.10.0.10(DHCP)

DC2 10.10.0.5FS1 10.10.0.13(DHCP)

DC = Crypt.net

Encryption IPSEC-

GOST


Для организации ЛВС используется один или несколько контроллеров домена.

Защите подлежит весь трафик, кроме многоадресного, DHCP и ICMP.

В предварительной версии должен быть запрещѐн протокол IPv6.

Компьютеры, на которые не установлен "КриптоПро IPsec", должны находится на контролируемой территории и должны быть защищены МЭ ISA 2006.

Пользователи ЛВС аутентифицируются по протоколам Kerberos или NTLMv2, трафик которых передаѐтся между аутентифицированными узлами сети защищѐнным IPsec образом.

Дать определение открытому трафику в адрес МЭ ???

3.3.1 Настройка контроллеров домена

3.3.2 Настройка контроллеров домена утилитой Netsh


3.3.3 Настройка политики домена

3.3.4 Подключение компьютера к домену

Первый вариант:

Определяем IP адрес компьютера, который будет подключен к домену.

В политике применяемым к контролеру домена(в нашем случае IPSEC_DC), необходимо прописать правило разрешающее весь трафик между контроллером домена и данным IP адресом.

Правило Список фильтров Действие фильтра Метод проверки


- 35 -

подлинности

DC Exemption list

DC to Exemption list

10.10.0.5 <-> 10.10.0.13 (Отраженный V)

Протокол: Любой

IPSEC-Permit

Разрешить действие фильтра

Не обязательно

На подключаемом компьютере правим реестр:

HKEY_LOCAL_MASHINE\SYSTEM\CurrentControlSet\Services\IPSEC

Создаем переменную NoDefaultExempt значением 1 и типа DWORD

Включаем компьютер в домен, перегружаем, входим пользователем в домен.

Включаем данный компьютер в группу IPSEC_comp(на данную группу распространяется политика IPSEC_comp).

Перегружаем компьютер

Входим в домен, в командной строке запускаем команду gpresult и убеждаемся - что к

данному компьютеру применилась политика IPSEC_comp.

Убираем ранее созданное правило в п.2, перегружаем компьютер.

Недостатки: Открытый трафик между подключаемым компьютером и DC.

Второй вариант:

На подключаемом компьютере правим реестр:

HKEY_LOCAL_MASHINE\SYSTEM\CurrentControlSet\Services\IPSEC

Создаем переменную NoDefaultExempt значением 1 и типа DWORD

Создаем локальную политику IPSEC:

Правило Список фильтров Действие фильтра Метод проверки подлинности

DC Exemption list

DC to Exemption list

10.10.0.5 <-> 10.10.0.13

(Отраженный V)

Протокол: Любой

IPSEC-Permit

Разрешить действие

фильтра

Не обязательно

Не работает?

3.3.5 Настройка компьютера утилитой Ipseccmd


3.3.6 Настройка компьютера утилитой Netsh


3.3.7 Порядок плановой смены PSK


4 Сценарии разворачивания сетей на основе сертификатов

Использование ключей и сертификатов X.509 позволяет упростить организационные меры по плановой смене ключей и действий при компрометации.

4.1 Получение ключей и сертификатов


- 36 -

Авторизованный центр

КриптоПро

Подчиненный центр

организации

Подчиненный центр

филиала организации

При установке Центра Сертификации выбираем Подчиненный УЦ и сохраняем запрос в файл,

для дальнейшей генерации сертификата УЦ на УЦ Крипто Про( В нашем случае мы используем Тестовый УЦ Крипто Про)

Чтобы сертификаты, выпускаемые УЦ, могли использоваться для аутентификации в домене , домен должен явно доверять этому УЦ. Для этого в Active Directory в хранилище NTAuthдолжен быть прописан сертификат этого УЦ.

Чтобы поместить сертификат УЦ в это хранилище, сохраните его в файл и выполните

следующую команду:

certutil –dspublish –f <filename> NTAuthCA

Здесь <filename> – имя файла с сертификатом.

Следующие действия позволяют нам получить шаблоны на СА, позволяющие выпускать

сертификаты IPSEC с ГОСТ алгоритмом шифрования и подписывания:

Меню Действие – Управление – Шаблоны Сертификатов:


- 37 -

Далее мы копируем шаблон сертификата IPSEC, выбирая длину ключа 512, алгоритм ГОСТ,

публикацию в Active Directory:

Возвращаемся к панели Центра Сертификации: Меню – Действие – Создать- Выдаваемый шаблон сертификата и выбираем наш подкорректированный шаблон GOST_IPSEC. После совершенных действий он будет доступен в общем списке шаблонов Центра Сертификации.


- 38 -

Исправьте Const nMaxProvType с 25 на 99 в файле certsgcl.inc (system32\certsrv). КриптоПро CSP

имеют типы 71 и 75, а в стандартом скрипте провайдеры перечисляются только до 25. В свойствах

шаблона на закладке безопасность добавьте Все и проставьте все галочки для выпуска сертификата через ВЕБ интерфейс.

Для коpректного выпуска сертификатов в составе MS Enterprise CA в составе КриптоПро CSP должен быть один носитель реестр и датчик случайных чисел либо аппаратный, либо установить

КриптоПро Исходный материал.


- 39 -

Файлы для КриптоПро Исходный материал генерируются согласно ЖТЯИ.00050-

01 90 04. КриптоПро CSP. АРМ выработки внешней гаммы и располагаются в директории

cpsd\db1 и cpsd\db2/


- 40 -

Поскольку сертификат IPSEC используется для компьютера, мы его можем выпустить только

через MMC Сертификаты(локальный компьютер):

Последовательность действий по выпуску сертификата:


- 41 -

Настройка точек распространения сертификата ЦС При настройке точек распространения сертификата ЦС необходимо занести URL в список

на вкладке Расширения окна свойств службы сертификации ЦС.ЖТЯИ.00067-01 90 03.

КриптоПро УЦ. Центр сертификации. Руководство по эксплуатации на платформе MS

Windows Server 2003. 23

При протоколе доступа требуется определить параметры включения для каждой точки

распределения.

После задания точек распространения требуется перезапустить службу сертификации ЦС.

После создания списка точек распространения сертификата ЦС на вкладке Расширения

окна свойств службы сертификации ЦС

В случае автоматической подачи заявки пользователем

В разделе: HKEY_CURRENT_USER\Software\Microsoft\Cryptography\Autoenrollment создайте новый параметр DWORD с названием “AEEventLogLevel" и установите его значение в 0.

В случае автоматической подачи заявки компьютером

В разделе: HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Autoenrollment создайте новый параметр DWORD с названием "AEEventLogLevel" и установите его значение в 0.

Примечание. Все сбои и ошибки регистрируются автоматически. Для регистрации ошибок не нужно изменять значение ключа реестра.


- 42 -

Для того, чтобы включить принудительную проверку списков CRL и блокировать использование

сертификата при недоступности списка CRL можно пойти двумя путями:

netsh ipsec dynamic set config strongcrlcheck value=2

данная команда включит принудительную проверку списков CRL только на момент текущей сесси.

После перезагрузки компьютера вновь будет использоваться дефолтное значение. Чтобы

использовать строгую проверку постоянно нужно отредактировать (или создать, если не

существует) следующее значение реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Oakley

необходимо изменить (или создать, если отсутствует) параметр типа DWORD с именем

StrongCRLCheck. Значение этого параметра может принимать 3 значения:

0 - списки CRL не проверяются. Решение о принятии/отклонении сертификата

принимается на основе только самого сертификата.

1- списки CRL проверяются. Если же список CRL недоступен, то решение о

принятии/отклонении сертификата принимается на основе только самого сертификата.

2 - списки CRL проверяются. Если список CRL будет недоступен на момент проверки

сертификата - сертификат будет отклонѐн и признан как недействительный.

Следует использовать, либо MS Enterprise CA, либо внешний УЦ.

Должно быть предусмотрено столько подчинѐнных УЦ, сколько будет использовано зон разграничения доступа в ЛВС.

Описать ограничения связанные с использованием ключей в реестре. Область применения – защита от нарушителя Н1 (уровень защиты КС1), защита от нарушителей Н2 и выше может быть осуществлена с помощью дополнительного ПО (нет в предварительной версии).

Н1 - внешний нарушитель (из числа лиц, не имеющих права доступа в

контролируемую зону), не являющийся пользователем, самостоятельно осуществляющий


- 43 -

создание методов и средств реализации атак, а также самостоятельно реализующий

атаки;

Н2 - внутренний нарушитель, не имеющий доступ к средствам вычислительной

техники, на которых реализованы компоненты УЦ, за пределами контролируемой зоны

являющийся пользователем, имеющим доступ к программно-аппаратным средствам

взаимодействия с УЦ, самостоятельно осуществляющий создание методов и средств

реализации атак, а также самостоятельно реализующий атаки;

Н3 - внутренний нарушитель, являющийся пользователем средств вычислительной

техники, на которых реализованы компоненты УЦ, самостоятельно осуществляющий

создание методов и средств реализации атак, а также самостоятельно реализующий

атаки.

4.2 Настройка удалѐнного доступа на основе X.509

[TODO:XXX] Предварительно.

Для организации VPN используется один или несколько серверов удалѐнного доступа, возможно объединѐнных в "кластеры".

Разграничение доступа между клиентами удалѐнного доступа, а так же между

"подчинѐнными" шлюзами осуществляется на основе сертификатов EAP-TLS.

Таким образом, каждый компьютер имеет два ключа и сертификата, возможно совпадающие:

ключ и сертификат IPsec, принадлежащие администратору компьютера; ключ и сертификат EAP-TLS, принадлежащие пользователю;

База сертификатов клиентов может храниться:



Должна быть организована публично доступная точка доступа (CDP) по протоколам "http" или "ftp" к списку отозванных сертификатов (СОС).

Для IPSEC должна быть настроена политика следующим образом:

КриптоПро IPSec – инструкция по эксплуатации ____________________________

4.2.1 Настройка сервера удалѐнного доступа (RRAS) в MMC

Имеется удаленный клиент, требуется организовать безопасное соединение с помощью Крипто Про IPSEC(Сертификат) – L2TP/IPSEC между сервером доступа и клиентом.

Сервер доступа


Клиент

После установки и предварительной настройки сервера RRAS откроем оснастку управления Routing and Remote Access.


- 44 -

На закладке Безопасность(Security)Выбираем Windows Authentication, PSK не выбираем.

На закладке IP добавляем диапазон адресов для VPN клиентов(или воспользуемся DHCP сервером):

Для отладки процесса подключения клиента можно на время отладки подключить процесс

ведения лога для отладки:


- 45 -

Все остальное оставляем по умолчанию.

Открываем свойства портов:

Деактивируем все протоколы, кроме L2TP(PPTP можно оставить на время тестирования)

Необходимо определиться с аутентификацией и создать соответствующего пользователя:



На этом настройку можно считать законченной.

[1], п. 2.

4.2.2 Настройка удалѐнного доступа (RRAS) МЭ IAS 2006

После установки и настройки ISA Server 2006, откроем оснастку управления ISA Server Management. Описанные здесь настройки применительно к конфигурации Edge Firewall, могут быть использованы для других конфигураций с незначительными изменениями


- 46 -

В левой панели выберем пункт менюVirtual Private Networks(VPN), в центральном окне окне появится целый ряд настроек относящихся в VPN.

Configure Address Assignment Method:

Последовательно выбираем закладки и устанавливаем нужные параметры: внешний

интерфейс, диапазон адресов для VPN клиентов, метод аутентификации, если используется Radius

сервер, то описываем соединение.


- 47 -

Configure VPN Client:

Необходимо настроить доступ VPN-клиентов. Достаточно задать три дополнительных параметра: группы безопасности Windows, которым разрешен доступ, протоколы, доступные клиентам и сопоставление пользователей.(Не забываем что пользователь, работающий с VPN должен иметь соответствующее разрешение! Remote Access Permission – Allow Access).


- 48 -

Описываем правило, по которому будет происходить обновление списка отозванных сертификатов (CRL): выбираем адрес, имя ресурса, пользователи использующие это правило.


- 49 -

На этом основные настройки закончены, можно сохранить изменения, и активизировать VPN Client Access. Для упрощения тестирования клиента VPN нужно сначала настроить PPTP, а уже затем использовать L2TP.

Пример настройки правил файервола:


- 50 -

4.2.3 Настройка удалѐнного доступа (RRAS) утилитой Netsh

Пример дампа работающего сервера RRAS(netsh ras dump), этих команд необходимо и достаточно для конфигурирования сервера + настроенная политика для IPSec(В нашем случае для

тестирования – GOST)

# -----------------------------------------

# Remote Access Configuration

# -----------------------------------------

pushd ras

set authmode mode = standard

delete authtype type = PAP

delete authtype type = SPAP

delete authtype type = MD5CHAP

delete authtype type = MSCHAP

delete authtype type = MSCHAPv2

delete authtype type = EAP

add authtype type = MSCHAP

add authtype type = MSCHAPv2

add authtype type = EAP

delete link type = SWC

delete link type = LCP

add link type = SWC

add link type = LCP

delete multilink type = MULTI

delete multilink type = BACP

add multilink type = BACP

set user name = Administrator dialin = permit cbpolicy = none

popd


- 51 -

# End of Remote Access configuration.

# -----------------------------------------

# Remote Access AppleTalk Configuration

# -----------------------------------------

pushd ras appletalk

set negotiation mode = allow

popd

# End of Remote Access AppleTalk Configuration.

# -----------------------------------------

# Remote Access Diagnostics Configuration

# -----------------------------------------

pushd ras diagnostics

set rastracing component = * state = disabled

set modemtracing state = disabled

set cmtracing state = disabled

set securityeventlogs state = enabled

popd

# End of Remote Access Diagnostics Configuration.

# -----------------------------------------

# Remote Access IP Configuration

# -----------------------------------------

pushd ras ip

delete pool


set access mode = all

set addrreq mode = deny

set broadcastnameresolution mode = enabled

add range from = 192.168.150.1 to = 192.168.150.20

set addrassign method = pool

popd

# End of Remote Access IP configuration.

# -----------------------------------------

# Remote Access IPX Configuration

# -----------------------------------------

pushd ras ipx



- 52 -


set nodereq mode = allow

set netassign method = autosame

popd

# End of Remote Access IPX configuration.

# -----------------------------------------

# Remote Access NBF Configuration

# -----------------------------------------

pushd ras netbeui



popd

# End of Remote Access NBF configuration.

# -----------------------------------------

# Remote Access AAAA Configuration

# -----------------------------------------

pushd ras aaaa

set authentication provider = windows

set accounting provider = windows

delete authserver name = *

delete acctserver name = *

popd

# End of Remote Access AAAA configuration.

Полезно воспользоваться командой - netsh ras show authmode/ tracing/ user/ activeservers.

Для выполнения скрипта: в командной строке Netsh следует ввести Exec Scriptfile для выполнения файла сценария, содержащего последовательность команд Netsh

Команды Netsh для удаленного доступа (ras):

4.2.4 Настройка клиента VPN мастером подключения и в MMC

Откроем оснастку Network Connection(Сетевые подключения), в левом поле выберем пункт Create a new connection (Создание нового подключения):

- Далее;

- Выбираем пункт Connect to the network at my workplace(Подключить к сети на рабочем

месте);

- Выбираем пункт Virtual Private Network connection (Подключение к виртуальной частной сети);

- Вводим удобное для нас наименование соединения (В нашем варианте - CP);


- 53 -

- Выбираем пункт Do not dial the initial connection ;

- Вводим IP адрес ISA сервера или сервера RRAS (В нашем варианте 212.176.20.1);

На этом конфигурирование соединения окончено.

Далее мы запускаем наше соединение, вводим логин(с учетом домена) и пароль, при необходимости можем сохранить авторизацию либо в текущий профиль, либо для всех пользователей. При необходимости изменения параметров соединения, необходимо нажать кнопку свойства и подкорректировать.

! Для работы по протоколу L2TP/IPSec необходима активизация IP Security Policies как на

рабочей станции клиента, так и на сервере.


- 54 -

[1], п. 2.

4.2.5 Настройка клиента VPN утилитой Ipseccmd

Пока не работает с GOST

Ipseccmd for Windows XP:

WindowsXP-KB838079-SupportTools-ENU.exe


4.2.6 Настройка шлюзов VPN (узел-узел)

Требуется создать защищенное соединение между двумя разнесенными территориально подсетками распределенной сети, используя КриптоПро IPSEC - IP Security protocol (IPSec) tunnel mode.


Подсеть

10.10.0.0

Подсеть

192.168.200.0

Интернет

IP:10.10.0.1

IP:212.176.30.10

IP:192.168.200.1

Офис 3

IP:212.176.30.30

ISA10 ISA30

DC2

DC3

IP:10.10.0.5 IP:192.168.200.5



- 55 -



Point-to-Point Tunneling Protocol (PPTP)



















На следующем шаге необходимо указать метод аутентификации. В данном примере мы используем сертификат полученный из центар сертификации . На окне ввода IPSec Authentication(Аутентификация IPSec)


- 56 -

выберите пункт Use a certificate from this certificate authority (CA) и выберите в всплывающем окне центр

сертификации . Затем нажмите кнопку Ok , Next(Далее). На окне ввода Network Addresses (Сетевые адреса) нажмем кнопку нажимаем Add Range (Добавить диапазон) для определения диапазона IP-адресов удаленной

сети (локальной сети за ISA10). В нашей настройке у нас уже установлен WAN IP-адрес ISA10. Ни в коем случае не удаляйте его. Добавим локальную подсеть (например: 10.10.0.0-10.10.0.255) и нажимаем Next(Далее).






пользователем/группой можно сделать после окончания работы мастера в политиках брандмауэра. All outbound traffic except selected (Весь исходящий трафик, кроме выбранного): - разрешает весь трафик, за исключением нескольких протоколов. Для выбора протоколов нажмите Add (Добавить). Для нашего случая мы выберем All outbound traffic (Весь исходящий трафик). Нажимаем Next(Далее). Аналогично произведем настройку ISA сервера в офисе 3


На окне ввода VPN Protocol(Протокол VPN) установим режим IP Security protocol (IPSec) tunnel mode и затем нажмите кнопку Next(Далее). На окне ввода Connection Settings(Установки соединения) в поле Remote VPN gateway IP address(IP адрес удаленного VPN шлюза) укажем WAN IP-адрес удаленного VPN-шлюза ISA10 и в поле Local VPN gateway IP address(IP адрес локального VPN шлюза) введем WAN IP-адрес локального VPN-шлюза (IP-адрес ISA40). Нажмите кнопку Next(Далее) для продолжения.



На следующем шаге необходимо указать метод аутентификации. В данном примере мы используем сертификат полученный из центар сертификации . На окне ввода IPSec Authentication(Аутентификация IPSec) выберите пункт Use a certificate from this certificate authority (CA) и выберите в всплывающем окне центр

сертификации . Затем нажмите кнопку Ok , Next(Далее).


- 57 -





— выбрав параметр I’ll change the Access Policy later (Я изменю политики доступа позже), есть возможность

создать правило доступа позже;




4.2.7 Настройка шлюзов VPN МЭ IAS 2006

Требуется создать защищенное соединение между двумя разнесенными территориально подсетками распределенной сети, используя КриптоПро IPSEC - Layer Two Tunneling Protocol (L2TP) over IPSec (Протокол L2TP поверх IPSec).


- 58 -


Подсеть

10.10.0.0

Подсеть

192.168.200.0

Интернет

IP:10.10.0.1

IP:212.176.30.10

IP:192.168.200.1

Офис 3

IP:212.176.30.30

ISA10 ISA30

DC2

DC3

IP:10.10.0.5 IP:192.168.200.5



Point-to-Point Tunneling Protocol (PPTP)















.


Следующие шаги необходимы для создания удаленного узла на ISA-сервере в Офисе 1:



- 59 -








- 60 -


В окне ввода L2TP/IPSec Outgoing Authentication (Аутентификация L2TP/IPSec) используем метод аутентификации Certificate authentication (Аутентификация с помощью сертификатов).

Сертификаты должны быть изготовлены и установлены на компьютере, согласно п.4.1 - настоящего документа. Нажимаем Next(Далее).

В окне ввода Network Addresses (Сетевые адреса) выбираем Add Range (Добавить диапазон), далее в диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) вводим диапазон адресов подсети Офиса 2:Starting address (Начальный адрес) -192.168.200.0; Ending address (Конечный адрес) - 192.168.200.255. Нажмите OK.





All outbound traffic (Весь исходящий трафик): - разрешает весь трафик из Офиса1 в Офис2. Selected protocols (Выбранные протоколы): - позволяет контролировать трафик между узлами, для




Можно пройтись и просмотреть firewall policy, свойства соединения узлов, network rules. Необходимо сохранить внесенные изменения.


- 61 -


Шаги конфигурирования в Оффисе 2 во многом похожи на предыдущую настройку.







- 62 -




В окне ввода L2TP/IPSec Outgoing Authentication (Аутентификация L2TP/IPSec) используем метод аутентификации Certificate authentication (Аутентификация с помощью сертификатов).

Сертификаты должны быть изготовлены и установлены на компьютере, согласно п.4.1 - настоящего документа. Нажимаем Next(Далее).

В окне ввода Network Addresses (Сетевые адреса) выбираем Add Range (Добавить диапазон), далее в диалоговом окне IP Address Range Properties (Свойства диапазона IP-адресов) вводим диапазон адресов подсети Офиса 2:Starting address (Начальный адрес) -10.10. 0.0; Ending address (Конечный адрес) - 10.10. 0.255. Нажмите OK и далее Next(Далее).

В окне ввода Site to Site Network Rule (Сетевое правило для схемы site-to-site) выберем пункт Create a Network Rule specifying a route relationship (Создать сетевое правило, указав отношения


- 63 -

маршрутизации), если мы выбираем установки по умолчанию – то разрешаем маршрутизацию между сетями офисов. Опция I’ll create a Network Rule later (Я создам сетевое правило позже)). – позволяет прописать правило после создания соединения. Нажимаем Next(Далее).




All outbound traffic (Весь исходящий трафик): - разрешает весь трафик из Офиса2 в Офис1 . Selected protocols (Выбранные протоколы): - позволяет контролировать трафик между узлами, для




Активизация соединения Офис1-Офис2

Для тестирования соединения достаточно выполнить команду ping с любого компьтера

находящего за ISA сервером, пусть это будет DC2 и пинговать мы будем DC3:

в командной строке введите ping –t 192.168.200.5 и нажмите ENTER

Аналогично можно запустить ping с DC3 на DC2

При открытие вкладки Sessions (Сессии) ISA-сервера , Вы увидите активную сессию,

представляющую VPN-соединением.

http://faqman.ru/tag/vpn


- 64 -

[4], п. 2.

4.2.8 Настройка шлюза утилитой Netsh


4.2.9 Настройка встречной работы со шлюзом CheckPoint VPN-1


- 65 -

[5], п. 2.


- 66 -

4.2.10 Настройка защиты взаимодействия с RADIUS сервером Чтобы установить IAS

1. На панели управления откройте компонент «Установка и удаление программ».

2. Нажмите кнопку Установка компонентов Windows.

3. В диалоговом окне Мастер компонентов Windows установите флажок Сетевые службы и нажмите

кнопку Состав.

4. В диалоговом окне Сетевые службы выберите Служба проверки подлинности в Интернете, нажмите

кнопку ОК и затем нажмите кнопку Далее.

5. При необходимости вставьте компакт-диск Windows Server 2003, Standard Edition, Windows Server 2003,

Enterprise Edition или Windows Server 2003, Datacenter Edition.

6. После установки службы IAS нажмите кнопку Готово, затем нажмите кнопку Закрыть.

Примечания

Для выполнения этой процедуры необходимо войти в систему с учетной записью «Администратор» или

члена группы «Администраторы». Если компьютер подключен к сети, параметры сетевой политики могут

запретить выполнение данной процедуры.

Чтобы открыть компонент на панели управления, нажмите кнопку Пуск, выберите пункт Панель

управления и дважды щелкните соответствующий значок.

В Windows Server 2003 Standard Edition службу IAS можно настроить не более чем с 50 клиентами

RADIUS и двумя группами внешних RADIUS-серверов. Для определения клиентов RADIUS можно

использовать полные доменные имена или IP-адреса узлов, но определять группы клиентов RADIUS

диапазонами IP-адресов нельзя. Если полное доменное имя клиента RADIUS разрешается в несколько

IP-адресов, IAS-сервер использует первый IP-адрес, возвращаемый в ответе на запрос DNS. С помощью

службы проверки подлинности в Интернете (IAS) в Windows Server 2003 Enterprise Edition и Windows

Server 2003 Datacenter Edition можно настроить неограниченное число клиентов RADIUS и групп

внешних RADIUS-серверов. Кроме того, для настройки клиентов RADIUS можно указывать диапазоны

IP-адресов.

[8], п. 2.

4.2.11 Порядок плановой смены ключей и сертификатов


Плановая смена ключей на клиентах и шлюзах осуществляется независимо. Сроки действия

ключей и сертификатов перекрываются.


4.3 Настройка домена Windows 2003 на основе X.509


Для организации ЛВС используется один или несколько контроллеров домена.

Защите подлежит весь трафик, кроме многоадресного, DHCP и ICMP, а так же трафика необходимого для доступа к CDP ("http", "ldap", "ftp", возможно DNS).

В предварительной версии должен быть запрещѐн протокол IPv6.

Компьютеры, на которые не установлен "КриптоПро IPsec", должны находится на контролируемой территории и должны быть защищены МЭ ISA 2006.

Пользователи ЛВС аутентифицируются по протоколам Kerberos или NTLMv2, трафик которых

передаѐтся между аутентифицированными узлами сети защищѐнным IPsec образом.

??? Дать определение открытому трафику в адрес МЭ ???


- 67 -

4.3.1 Настройка контроллеров домена

4.3.2 Настройка контроллеров домена утилитой Netsh


4.3.3 Настройка политики домена

4.3.4 Подключение компьютера к домену

Предварительно:

1. Установить компьютер; 2. Настроить локальную политику на доступ к DNS, контроллеру домена с помощью:

a. Ключа и сертификата на отделяемом носителе администратора домена; b. Специального PSK для подключения в домен;

3. Включить компьютер в домен; 4. Применить политику домена;

4.3.5 Настройка компьютера утилитой Ipseccmd


4.3.6 Настройка компьютера утилитой Netsh


4.3.7 Порядок плановой смены ключей и сертификатов


Плановая смена ключей на компьютерах ЛВС осуществляется независимо. Сроки действия ключей и сертификатов перекрываются.


В виртуальных частных сетях устранение неполадок также начинается с упрощения сетевой

конфигурации, как описано выше. Если вы уже установили VPN с помощью мастеров,

первым делом проверьте, работает ли служба Routing and Remote Access (Маршрутизация и

удаленный доступ). Далее позаботьтесь, чтобы клиентский компьютер работал как клиент

SecureNAT, а не как клиент брандмауэра.

Также необходимо проверить, корректно ли мастер конфигурировал VPN локального ISA-

сервера и создал интерфейс вызова по требованию службы Routing and Remote Access в узле

Routing Interfaces (Интерфейсы маршрутизации).

После этого выясните, созданы ли два фильтра IP-пакетов для каждого выбранного

протокола аутентификации VPN-подключений. Например, при использовании в VPN-

подключении протоколов L2TP и РРТР мастер VPN-конфигурации локального ISA-сервера

должен создать и активизировать четыре фильтра IP-пакетов. [Для L2TP мастер создает

специальные фильтры на портах 500 и 1701, а для РРТР — предопределенные фильтры

вызова (РРТР Call) и приема (РРТР Receive).)

Если при правильно созданных интерфейсах и фильтрах IP-пакетов после перезагрузки

компьютера нормальная работа невозможна, рекомендуется удалить все созданные

мастерами фильтры IP-пакетов, отключить службу RRAS и снова выполнить мастер.


- 68 -

5 Сценарии разворачивания сетей на основе смарт-карт

Описать возможность отказа от использования ключей в реестре.

Средства устранения неполадок IPSec

5.1 Средства устранения неполадок

В этом разделе представлены сведения о следующих задачах по устранению неполадок IPSec и средствах решения этих задач.

Просмотр сведений о назначении политики IPSec

Просмотр подробных сведений об активной политике IPSec и о статистике IPSec

Просмотр подробных сведений об активной политике IPSec и о статистике IPSec в мониторе IP-

безопасности

Проверка включения аудита безопасности

Просмотр связанных с IPSec событий в окне просмотра событий

Включение подробной трассировки согласования обмена ключами в Интернете (IKE, Internet Key

Exchange)

Просмотр IPSec и других сетевых подключений с помощью сетевого монитора

Использование команды Netsh для изменения конфигурации IPSec на компьютерах, работающих под

управлением операционных систем семейства Windows Server 2003

Использование Ipseccmd.exe для управления и мониторинга IPSec на компьютерах, работающих под

управлением Windows XP

Использование программы Netdiag.exe для отображения сведений IPSec и для проверки и просмотра

конфигурации сети

Отключение аппаратного ускорения для TCP/IP и IPSec

Сведения по этим темам содержатся в представленных ниже разделах.


Общие советы и рекомендации по повышению уровня безопасности и снижению вероятности

возникновения неполадок при внедрении IPSec см. в разделе Советы и рекомендации по использованию

IPSec.

Команды Netsh для IPSec в семействе Windows Server 2003 заменяют и расширяют возможности,

предоставляемые командами Netdiag.exe и Ipseccmd.exe. Сведения об использовании Netsh для

написания сценариев создания политики IPSec и для наблюдения за активностью IPSec см. в разделе

Команды Netsh для IP-безопасности.

Средство поддержки Ipseccmd.exe находится только на компакт-диске системы Windows XP;. Для

установки этого средства запустите файл Setup.exe из папки Support\Tools. Использовать данное

средство для управления и наблюдения за политиками IPSec можно только на компьютерах под

управлением Windows XP;. Дополнительные сведения о программе Ipseccmd.exe см. на веб-узле

Microsoft TechNet.

Программа Netdiag.exe доступна в системах семейства Windows Server 2003, Windows XP;, а также Windows 2000 и вызывается следующим образом:

В операционных системах семества Windows Server 2003 запустите файл Suptools.msi из папки

\Support\Tools на компакт диске Windows Server 2003 (при установке следует выбрать параметр

Полная). С помощью данной версии программы Netdiag.exe можно получить основные сведения о сети,

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#Polprec_snapins

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#view_stats

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#IPSec_monitor

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#IPSec_monitor

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#security_enable

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#view_events

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#IKEtrace_enable

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#IKEtrace_enable

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#NetMon

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#control_netsh

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#control_netsh

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#ipseccmd

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#ipseccmd

http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#Netdiag


http://technet.microsoft.com/ru-ru/library/cc784300(WS.10).aspx#disable_tcpip




http://go.microsoft.com/fwlink/?LinkId=86



- 69 -

не относящиеся к IPSec, однако все функциональные возможности, относящиеся к IPSec, заменены

командами Netsh для IPSec.

В операционной системе Windows XP; запустите файл Setup.exe, находящийся в папке \Support\Tools на

компакт-диске Windows XP; (при установке следует выбрать параметрПолная).

В Windows 2000 обновленная версия Netdiag.exe доступна для загрузки из Интернета. Дополнительные

сведения (на английском языке) см. в разделе "Windows 2000 Resource Kits" на Веб-узле Microsoft

Windows Resource Kits.

Дополнительные сведения о программе Netdiag.exe см. в разделе Использование программы Netdiag.exe для отображения сведений IPSec и для проверки и просмотра конфигурации сети.

5.2 Просмотр сведений о назначении политики IPSec

При устранении неполадок, связанных с приоритетами политик, может оказаться полезным просмотр имени активной политики IPSec и имени объекта групповой политики, которому она назначена. В следующей таблице перечислены все средства, предназначенные для просмотра данных сведений в операционных системах семейства Windows Server 2003, Windows XP; и Windows 2000.

5.2.1

Операционная система

Средства просмотра имени активной политики IPSec

Средства для просмотра имени объекта групповой политики, которому назначена активная политика IPSec

Семейство Windows Server 2003

Консоль монитора IP-безопасности.

Дополнительные сведения см. в разделе Просмотр

подробных сведений об активных политиках IPSec.

Команда Netsh netsh ipsec static show

gpoassignedpolicy.

Дополнительные сведения см. в разделе Команды

Netsh для IP-безопасности.

Консоль результирующего

набора политики (RSoP,

Resultant Set of Policy).

Дополнительные сведения

см. в разделе Использование

результирующей политики

(Resultant Set of Policy,

RSoP) для просмотра

назначений политики IPSec.

Команда Netsh netsh ipsec

static show

gpoassignedpolicy.

Windows XP;

Консоль управления политикой безопасности IP

(только для локальных политик).

Команда netdiag /test:ipsec тестера сетевого

подключения (Netdiag.exe).

Дополнительные сведения см. в разделе

Использование программы Netdiag.exe для

отображения сведений IPSec и для проверки и

просмотра конфигурации сети этой темы.

Команда netdiag

/test:ipsec тестера сетевого


Windows 2000

Команда netdiag /test:ipsec тестера сетевого


В окне Свойства

TCP/IP/Дополнительно/Параметры/IPSec

соответствующего сетевого подключения.

Назначенная политика IPSec, отображаемая в окне


/test:ipsec тестера сетевого


Программа Gpresult.exe

(Group Policy Results,

результаты групповой


















- 70 -

Свойства TCP/IP, является глобальной. Она не

зависит от конкретного подключения.

политики).

Программа Gpotool.exe

(Group Policy Verification

Tool, средство проверки

групповой политики).

Программы Gpresult.exe и

Gpotool.exe доступны для

загрузки из Интернета.

Дополнительные сведения

(на английском языке) см. в

разделе "Windows 2000

Resource Kits" на Веб-узле

Microsoft Windows Resource

Kits.


Чтобы просмотреть все доступные (не обязательно назначенные или примененные) политики IPSec,

используйте консоль управления политикой безопасности IP. Сведения о приоритетах политик и режиме

работы политик IPSec в среде Active Directory см. в подразделе «Политика на основе Active Directory»

раздела Создание, изменение и назначение политик IPSec.

В операционной системе семейства Windows Server 2003 для выявления назначенных, но не

применяющихся для клиентов IPSec политик IPSec, используется консоль RSoP.

Консоль RSoP, реализованная в Windows XP;, не поддерживает отображение политик IPSec. Кроме того,

по команде gpresult /scope computer не отображается объект групповой политики, содержащий

назначение политики IPSec. Поэтому для просмотра сведений о назначении политики IPSec на

компьютерах под управлением Windows 2000 или Windows XP; следует использовать программу

Netdiag.exe. По команде netdiag /test:ipsec отображается объект групповой политики, содержащий

назначение политики IPSec, и подразделение, которому назначен этот объект групповой политики.

Прогамма Gpotool.exe позволяет наблюдать за состоянием объектов групповой политики на

контроллерах домена. Это средство используется для проверки согласованности и репликации объектов

групповой политики и для отображения их свойств. Программа Gpotool.exe доступна только на

компьютерах, работающих под управлением Windows 2000.

5.3 Просмотр подробных сведений об активной политике IPSec и о статистике IPSec

Консоль управления политикой безопасности IP и программы Netdiag.exe, Gpresult.exe и Gpotool.exe позволяют определить, какие политики IPSec назначены объектам групповой политики. После проверки этих сведений может потребоваться просмотр подробных сведений о назначенных политиках IPSec и о статистике IPSec (например, о фильтрах, действиях фильтров и об активных сопоставлениях безопасности). В следующей таблице собраны средства просмотра активной политики IPSec и статистики IPSec в семействе Windows Server 2003, Windows XP; и Windows 2000.

5.3.1

Операционная система

Средства для отображения активной политики IPSec и (или) статистики IPSec. Примечания


Консоль монитора IP-

безопасности.

Дополнительные

Для просмотра подробных сведений об активной

политике IPSec, а также статистики IPSec для

локального или удаленного компьютера необходимо






- 71 -

сведения см. в

разделе Просмотр

статистики

безопасности IP.

Команда Netsh netsh

ipsec dynamic show

all.

быть участником группы «Администраторы» на этом

компьютере.

Windows XP;

Консоль монитора IP-

безопасности.

Программа

IPseccmd.exe, команда

ipseccmd show all.

Для просмотра подробных сведений об активной

политике IPSec, а также статистики IPSec для

локального или удаленного компьютера необходимо

быть участником группы «Администраторы» на данном

компьютере.

Windows 2000


/test:ipsec /v

/debug тестера

сетевого подключения

(Netdiag.exe).

Программа

Ipsecmon.exe.

Для применения параметра /debug требуется войти на

данный компьютер с правами группы

«Администраторы». Кроме того, чтобы просматривать

подробные сведения о политиках IPSec на основе

Active Directory, необходимо быть членом группы

«Администраторы» домена в Active Directory.

Программа Ipsecmon.exe отображает только активные

исходящие сопоставления безопасности быстрого

режима.

Примечание

Для удаленного наблюдения безопасности IPSec на компьютере под управлением другой версии

Windows используйте подключение к удаленному рабочему столу. Например, если с компьютера под

управлением операционной системы семейства Windows Server 2003 планируется выполнить удаленное

наблюдение IPSec на компьютерах под управлением ОС Windows 2000 или Windows XP;, для получения

доступа к этим компьютерам следует использовать подключение к удаленному рабочему столу.

Сведения о подключении к удаленному рабочему столу см. в разделе Подключение к удаленному

рабочему столу.

5.4 Просмотр подробных сведений об активной политике IPSec и о статистике IPSec в мониторе IP-безопасности

В Windows XP; и в семействе Windows Server 2003 монитор IP-безопасности реализован в виде оснастки консоли управления MMC (Microsoft Management Console) и содержит усовершенствования, позволяющие просматривать подробные сведения об активной политике IPSec, применяемой на уровне домена или локально, а также статистику основного и быстрого режимов и активные сопоставления безопасности IPSec. Монитор IP-безопасности позволяет также выполнять поиск конкретных фильтров основного или быстрого режима. Для устранения неполадок разработки сложной политики IPSec можно использовать монитор IP-безопасности для поиска всех фильтров с определенным типом трафика.

Описание процедур по использованию монитора IP-безопасности см. в разделе Наблюдение за

действиями политики IPSec.

Подобные сведения о статистике безопасности IP см. в разделе Просмотр статистики основного режима

и статистики быстрого режима в мониторе IP-безопасности.












- 72 -

С помощью монитора IP-безопасности можно наблюдать только за компьютерами, работающими под

управлением Windows XP; или семейства Windows Server 2003. Кроме того, наблюдаемый компьютер

должен иметь ту же версию операционной системы Windows, что и компьютер, на котором запущен

монитор IP-безопасности. Для наблюдения за IPSec на компьютере под управлением Windows 2000

следует использовать команду ipsecmon в командной строке Windows 2000 на этом компьютере.

При удаленном наблюдении монитор IP-безопасности можно использовать только для наблюдения за

компьютерами с той же версией операционной системы Windows. Для удаленного наблюдения

безопасности IPSec на компьютере под управлением другой версии Windows используйте подключение к

удаленному рабочему столу. Сведения о подключении к удаленному рабочему столу см. в разделе

Подключение к удаленному рабочему столу.

Если с компьютера под управлением ОС из семейства Windows Server 2003 планируется вести

наблюдение IPSec на компьютерах, также работающих под управлением ОС семейства Windows

Server 2003, для этого можно использовать монитор IP-безопасности или команду Netsh в удаленном

режиме.

5.5 Проверка включения аудита безопасности

Параметры локальной политики безопасности (для локального компьютера) или редактор объектов групповой политики (для домена) можно использовать для того, чтобы убедиться в том, что аудит безопасности включен и тем самым обеспечена регистрация успеха или отказа при согласованиях IKE. Аудит IKE поддерживается в ОС Windows 2000, Windows XP; и семействе Windows Server 2003 (IKE использует категорию «События входа в систему»). В ОС семейства Windows Server 2003 также возможен аудит базы данных политики безопасности SPD. SPD использует категорию событий изменения политики. Дополнительные сведения см. в разделе Определение и изменение параметров политики аудита для категории события.

5.6 Просмотр связанных с IPSec событий в окне просмотра событий

Средство «Просмотр событий» применяется для просмотра следующих событий IPSec:

События IKE (успех или отказ согласования) в журнале безопасности.

Для просмотра этих событий включите аудит успехов или отказов для политики Аудит входа в систему для домена или локального компьютера. Категория событий IKE используется также для аудита событий регистрации пользователя в службах, отличных от IPSec. Дополнительные сведения см. в разделе Определение и изменение параметров политики аудита для категории события.

При включении аудита успехов или отказов для политики Аудит входа в систему для каждого согласования основного и быстрого режимов IPSec записывает успех или отказ и установление или окончание согласования как различные события. Однако результатом включения такого типа аудита может стать заполнение журнала безопасности событиями IKE. Например, для серверов, подключенных к Интернету, интенсивное использование протокола IKE может вызвать заполнение журнала безопасности событиями IKE. Заполнение событиями IKE возможно также для серверов, использующих IPSec для защиты трафика большого числа клиентов. Чтобы избежать этого, можно отключить аудит для событий IKE в журнале безопасности путем изменения реестра.

Чтобы отключить аудит событий IKE в журнале безопасности, выполните следующие действия.

1. Установите для параметра реестра

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Audit\DisableIKEAudits

значение 1.

Параметр DisableIKEAudits по умолчанию не существует; его необходимо создать.

Внимание!

Некорректное редактирование реестра может серьезно повредить операционную систему. Перед

внесением изменений в реестр следует создать резервные копии важных данных.

3. Перезагрузите компьютер или остановите и заново запустите службу IPSec, выполнив из

командной строки команды net stop policyagent и net start policyagent.






- 73 -


Остановка и перезапуск службы IPSec на компьютере может отключить от него все компьютеры,

использующие IPSec, что повлечет за собой прекращение связи с этим компьютером. Если перезапуск

службы IPSec осуществляется немедленно, то благодаря предусмотренной в TCP возможности

повторной передачи связь по протоколу TCP может возобновиться после установления новых

соответствий безопасности IKE и IPSec. Дополнительные сведения см. ниже в разделе «Остановка и

перезапуск службы IPSec».

События изменения политики IPSec в журнале безопасности.

Для просмотра этих событий включите аудит успехов или отказов для политики Аудит изменения политики для домена или локального компьютера. Дополнительные сведения см. в разделе Определение и изменение параметров политики аудита для категории события.

События отклонения пакетов драйвера IPSec в журнале системы.

В ОС Windows 2000, Windows XP; и семействе Windows Server 2003 с помощью внесения изменений в реестр можно включить ведение журнала событий пакетов для драйвера IPSec. Драйвер IPSec выполняет чтение реестра во время загрузки компьютера. В семействе Windows Server 2003 можно включить ведение журнала событий пакетов для драйвера IPSec с помощью средства командной строки Netsh ipsec. Чтобы включить запись отклоненных входящих и исходящих пакетов, задайте значение 7. Сведения о других уровнях ведения журнала событий драйвера IPSec см. в разделе «Примечания».

Чтобы включить ведение журнала событий отклонения входящих и исходящих пакетов для драйвера

IPSec путем изменения реестра, выполните следующие действия.


HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\EnableDiagnostics

DWORD значение 7.

Внимание!



3. Перезагрузите компьютер.

Чтобы включить ведение журнала событий отклонения входящих и исходящих пакетов для драйвера

IPSec с помощью средства командной строки Netsh IPSec в семействе Windows Server 2003, выполните

следующие действия.

0. В командной строке введите: netsh ipsec dynamic set config ipsecdiagnostics 7.


Можно также изменить интервал записи событий пакетов драйвера IPSec в журнал системы. По умолчанию драйвер IPSec записывает события в журнал системы один раз в час после достижения порогового числа событий. Для устранения неполадок необходимо установить минимальное значение этого интервала, равное 60 секундам.

Чтобы изменить интервал записи событий пакетов драйвера IPSec путем изменения реестра, выполните

следующие действия.


HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\LogInterval DWORD

десятичное значение 60.

Внимание!







- 74 -

Чтобы изменить интервал записи событий пакетов драйвера IPSec с помощью средства командной

строки Netsh ipsec в семействе Windows Server 2003, выполните следующие действия.

0. В командной строке введите: netsh ipsec dynamic set config ipsecloginterval 60.


Драйвер IPSec выполняет чтение реестра во время загрузки компьютера.

Ведение журнала событий пакетов для драйвера IPSec по умолчанию отключено (установлено значение 0). При включении ведения журнала событий пакетов для драйвера IPSec можно указать любое из следующих значений, задающих различные уровни ведения журнала.

5.6.1

Уровень ведения журнала Описание

1 При задании значения 1 в журнал системы записываются сбойные пакеты SPI (общее число пакетов с неправильным индексом параметров безопасности (Security Parameters Index, SPI)), сбои согласования IKE, сбои обработки политики IPSec, полученные пакеты с неверным синтаксисом и другие ошибки. Кроме того, записываются хеш-коды без проверки подлинности (кроме события «Получен незашифрованный текст, который должен был быть зашифрован»).

2 При задании значения 2 в журнал системы записываются события отклонения входящих пакетов.

3 Если задано значение 3, ведется запись в журналы уровней 1 и 2. Кроме того, записываются события неожидаемого незашифрованного текста (пакетов, отправленных или полученных в открытом виде).

4 При задании значения 4 в журнал системы записываются события отклонения исходящих пакетов.

5 Если задано значение 5, ведется запись в журналы уровней 1 и 4.

6 Если задано значение 6, ведется запись в журналы уровней 2 и 4.

7 Если задано значение 7, ведется запись в журналы всех уровней.

Дополнительные сведения о ведении журнала событий драйвера IPSec см. на веб-узле Microsoft Windows Resource Kits.

На компьютере под управлением Windows XP Home Edition настроить политики аудита невозможно. Однако аудит успехов и отказов для политик Аудит входа в систему и Аудит изменения политики для локального компьютера включен по умолчанию.

Включение аудита в журнале безопасности или диагностики драйвера IPSec в журнале системы может вызвать быстрое заполнение этих журналов событиями. Перед выполнением любой из этих задач необходимо:

убедиться, что размер журнала составляет как минимум 10 МБ;

сохранить существующий журнал в файле;

очистить журнал, удалив все события;

рекомендуется отключить аудит для событий IKE в журнале безопасности путем изменения реестра,

если компьютер поддерживает большое число одновременных сетевых подключений.

5.7 Включение подробной трассировки согласования обмена ключами в Интернете (IKE, Internet Key Exchange)

Включение ведения журнала аудита для событий IKE и просмотр событий в оснастке «Просмотр событий» является самым быстрым и простым способом устранения неполадок при сбоях согласования для основного или быстрого режима. Однако некоторые сценарии требуют более подробного анализа согласований




- 75 -

IKE основного и быстрого режимов для устранения неполадок. Если аудит событий отказов не предоставляет достаточно сведений, можно включить трассировку согласования IKE. Журнал трассировки IKE является очень подробным и предназначен для устранения неполадок взаимодействия IKE при управляемых обстоятельствах. Для обработки данных этого журнала необходимы глубокие знания ISAKMP RFC 2408 и IKE RFC 2409.

Журнал трассировки IKE отображается как файл корневая_системная_папка\Debug\Oakley.log. Размер журнала фиксирован и равен 50 000 строк, при необходимости происходит перезапись журнала. Каждый раз при запуске службы IPSec создается новый файл Oakley.log, а предыдущая версия файла сохраняется в файле Oakley.log.sav. После заполнения файла Oakley.log он сохраняется как Oakley.log.bak и создается новый файл Oakley.log.

Поскольку одновременно может происходить несколько согласований IKE, необходимо минимизировать число согласований и записывать данные в журнал как можно более короткое время, чтобы журнал сохранял удобный для анализа вид.

Включение и выключение журнала трассировки IKE в ОС семейства Windows Server 2003 .

Чтобы динамически включать или отключать в ОС семейства Windows Server 2003 журнал трассировки IKE в процессе выполнения службы IPSec, выполните следующие действия:

Чтобы включить журнал трассировки IKE, в командной строке введите следующую команду:

netsh ipsec dynamic set config ikelogging 1

Эта команда создает журнал трассировки IKE, если он еще не существует. В противном случае она

добавляет данные журнала к существующему файлу журнала.

Чтобы отключить журнал трассировки IKE, в командную строке введите следующую команду:

netsh ipsec dynamic set config ikelogging 0

Включение журнала трассировки IKE в Windows 2000 и в Windows XP;

В ОС Windows 2000 и Windows XP; для включения трассировки IKE необходимо внести изменения в реестр. Чтобы изменения вступили в действие, необходимо остановить и перезапустить службу IPSec.

Чтобы включить журнал трассировки IKE в Windows XP; и в Windows 2000, выполните следующие

действия:


HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\PolicyAgent\Oakley\Enable

LoggingDWOR значение 1.

Этот параметр по умолчанию не существует; его необходимо создать.

Внимание!



3. Остановите и запустите службы IPSec с помощью команд net stop policyagent и net start

policyagent в командной строке.

Остановка и перезапуск службы IPSec

Остановка и перезапуск службы IPSec на компьютере может отключить от него все компьютеры, использующие IPSec, что повлечет за собой прекращение связи с этим компьютером. Если перезапуск службы IPSec выполняется немедленно, то благодаря предусмотренной в TCP возможности повторной передачи связь по протоколу TCP может возобновиться после установления новых соответствий безопасности IKE и IPSec. Если служба IPSec остановлена, клиенты, использующие для задания параметров безопасности правило отклика по умолчанию, не смогут обмениваться данными с компьютером в течение двух часов.

Чтобы избежать потери подключения служб терминалов для компьютеров, использующих IPSec во время сеанса сервера терминалов, необходимо остановить и перезапустить службу IPSec с помощью одной командной строки.

Чтобы остановить и перезапустить службу IPSec во время сеанса сервера терминалов

В командной строке введите:

net stop policyagent & net start policyagent


- 76 -

Если во время перезапуска службы IPSec туннель L2TP/IPSec VPN подключен, то он теряет подключение и его необходимо подключить снова после запуска службы IPSec. Туннель PPTP не использует службу IPSec и поэтому остается подключенным при ее остановке.

При возобновлении работы службы IPSec на компьютере под управлением ОС семейства Windows Server 2003, на котором выполняется служба маршрутизации и удаленного доступа, конфигурации IPSec для L2TP будут утрачены и туннели L2TP будут отключены. Поэтому службу маршрутизации и удаленного доступа необходимо остановить и перезапустить, как и службу IPSec.

Чтобы остановить и перезапустить службу IPSec и службу маршрутизации и удаленного доступа,

выполните следующие действия.

1. Остановите службу маршрутизации и удаленного доступа с помощью команды net stop

remoteaccess.

2. Остановите службу IPSec с помощью команды net stop policyagent.

3. Запустите службу IPSec с помощью команды net start policyagent.

4. Запустите службу маршрутизации и удаленного доступа с помощью команды net start

remoteaccess.

5.8 Просмотр IPSec и других сетевых подключений с помощью сетевого монитора

Сетевой монитор можно установить и использовать для просмотра IPSec и других сетевых подключений. Обратите внимание на то, что поставляемый с ОС семейства Windows Server 2003 сетевой монитор может использоваться только для просмотра входящего и исходящего трафика компьютера, на котором он установлен. Чтобы просматривать трафик другого компьютера, проходящий (с помощью службы маршрутизации и удаленного доступа) через компьютер, необходимо использовать компонент «Сетевой монитор» сервера управления системой (Microsoft Systems Management Server).

Поставляемый в составе ОС семейства Windows Server 2003 компонент «Сетевой монитор» содержит парсеры для протоколов ISAKMP (IKE), AH и ESP. Парсеры сетевого монитора для ESP способны анализировать пакет ESP, только если используется нулевое шифрование и пакет ESP записан полностью. Сетевой монитор не анализирует зашифрованные части трафика ESP с защитой IPSec, если шифрование осуществляется

программным способом. Однако если шифрование осуществляется разгружающим сетевым адаптером IPSec, пакеты ESP расшифровываются при их записи сетевым монитором и в результате могут быть проанализированы и преобразованы в протоколы верхнего уровня. Если требуется диагностировать зашифрованное программой соединение ESP, необходимо отключить шифрование ESP и использовать нулевое шифрование ESP, изменив политики IPSec на обоих компьютерах.


Дополнительные сведения об установке версии сетевого монитора, поставляемой в составе ОС

семейства Windows Server 2003, см. в разделе Установка сетевого монитора.

Сведения о Systems Management Server (на английском языке) см. на веб-узле корпорации Майкрософт.

5.9 Использование команды Netsh для изменения конфигурации IPSec на компьютерах, работающих под управлением операционных систем семейства Windows Server 2003

На компьютерах под управлением ОС семейства Windows Server 2003 команды Netsh для IPSec можно использовать для написания сценариев создания политики IPSec, отображения подробных сведений о политиках IPSec, а также для изменения конфигурации IPSec при устранении неполадок.

При устранении неполадок можно использовать команды Netsh для IPSec, чтобы изменить следующие параметры.

Отключить проверку списка отзыва сертификатов (certificate revocation list, CRL) для обмена ключами в Интернете (IKE)

В Windows 2000 в процессе проверки подлинности IKE на основе сертификата списки CRL по умолчанию не проверяются. В Windows XP; и в семействе Windows Server 2003 списки CRL проверяются в процессе




- 77 -

проверки подлинности сертификата IKE, но для принятия сертификата не требуется полностью успешной проверки. В некоторых случаях неудачи в процессе обработки списков CRL могут привести к тому, что сертификат не будет принят IKE. Кроме того, задержка, вызванная проверкой CRL, может вызвать задержку согласования IKE, достаточную для окончания времени ожидания подключения. Чтобы определить, будет ли проверка подлинности успешной без проверки CRL, последнюю можно отключить. Для этого в командной строке введите следующую команду:

netsh ipsec dynamic set config strongcrlcheck 0

Новые параметры вступят в силу немедленно. Перезапускать компьютер не требуется.

Включить ведение журнала событий драйвера IPSec

Для записи всех отклоненных входящих и исходящих пакетов, а также пакетов, при обработке которых в журнале системы окна просмотра событий появилась запись об ошибке, можно задать для уровня ведения журнала событий драйвера IPSec значение 7. Для этого в командной строке введите следующую команду:

netsh ipsec dynamic set config ipsecdiagnostics 7

Новые параметры вступят в силу после перезапуска компьютера.


Если в качестве действия фильтра IPSec указано блокирование трафика, то задание для уровня ведения

журнала событий драйвера IPSec значения 7 может вызвать поток событий, которые очень быстро

заполнят журнал системы. Поэтому задавать для уровня ведения журнала событий драйвера IPSec

значение 7 следует только для тестирования.

Все отклоненные IPSec пакеты учитываются счетчиками системного монитора Отброшено полученных

датаграмм и Отброшено исходящих датаграмм для объекта IP. Сама служба IPSec не предоставляет

объект счетчика. Наблюдать за счетчиками производительности IPSec можно вручную с помощью

монитора IP-безопасности.

Разрешить входящий и исходящий трафик во время запуска компьютера

Чтобы разрешить входящий и исходящий трафик во время запуска компьютера (до запуска службы IPSec), можно использовать следующую команду Netsh:

netsh ipsec dynamic set config bootmode permit



При запуске компьютера в безопасном режиме с загрузкой сетевых драйверов служба IPSec не

запускается и не может загрузить параметры политики IPSec из Active Directory или из локального

реестра; постоянная политика также не может быть применена. Таким образом, входящий и исходящий

трафик обрабатывается до тех пор, пока компьютер не начинает работать в безопасном режиме.

Исключить из фильтрации IPSec весь широковещательный и многоадресный трафик, а также трафик IKE, Kerberos и RSVP

В ОС Windows 2000 и Windows XP; весь широковещательный и многоадресный трафик, а также трафик IKE, Kerberos и RSVP по умолчанию исключается драйвером IPSec из фильтрации IPSec. В семействе Windows

Server 2003 из фильтрации IPSec исключается только трафик IKE и можно настроить, запретить и разрешить действия фильтра для многоадресного и широковещательного трафика (IPSec не выполняет согласование сопоставлений безопасности для многоадресного и широковещательного трафика). Чтобы восстановить параметры по умолчанию для фильтров в Windows 2000 и в Windows XP;, можно использовать следующую команду Netsh:

netsh ipsec dynamic set config ipsecexempt 0


Внимание!

Заданные по умолчанию параметры исключений для IPSec в Windows 2000 и в Windows XP; разработаны

для среды корпоративной локальной сети с низким риском несанкционированного доступа. По этой

причине для устранения неполадок, в среде с низким риском и в случае, когда путем настройки явных

фильтров в политиках IPSec не удается решить задачи совместимости программ, необходимо

использовать только параметры исключений по умолчанию в Windows 2000 и в Windows XP;.


- 78 -

Исключить весь широковещательный, многоадресный, IKE-, Kerberos-, и RSVP-трафик из фильтрации IPSec с помощью изменения реестра можно следующим образом:


HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt DWORD

значение 0.

2. Параметр NoDefaultExempt по умолчанию не существует; его необходимо создать.

Внимание!

Неверные действия при изменении реестра могут серьезно повредить систему. Перед внесением

изменений в реестр следует создать резервные копии важных данных


5.10 Использование Ipseccmd.exe для управления и мониторинга IPSec на компьютерах, работающих под управлением Windows XP

На компьютерах под управлением Windows XP; можно использовать средство командной строки Ipseccmd.exe для написания сценариев создания политики IPSec и для отображения назначений политики IPSec, активных сопоставлений безопасности и подробных сведений о параметрах политики IPSec, включая сведения о фильтрах, действиях фильтров и методах проверки подлинности. Программа Ipseccmd.exe заменяет и расширяет возможности программы Ipsecpol.exe (используемой в Windows 2000 для написания сценариев создания политики IPSec) и команды /test:ipsec /v /debug средства Netdiag.exe (используемой в Windows 2000 для отображения сведений о конфигурации и сопоставлений безопасности для активной политики IPSec).

Чтобы установить Ipseccmd.exe на компьютер под управлением Windows XP;, запустите файл Setup.exe из папки \Support\Tools на компакт-диске Windows XP;.


Программа Ipseccmd.exe доступна только в операционных системах Windows XP; и предназначена для

управления и наблюдения за политиками IPSec только на компьютерах под управлением Windows XP;.

Чтобы отобразить все параметры политики IPSec и статистику для диагностики, используйте команду

ipseccmd show all.

5.11 Использование программы Netdiag.exe для отображения сведений IPSec и для проверки и просмотра конфигурации сети

Средство Netdiag.exe командной строки используется для отображения сведений о политиках IPSec и статистике, выдачи сообщений о конфигурации сети и для тестирования основных возможностей сети и функциональности домена. В следующей таблице описан процесс установки средства Netdiag.exe и предоставлены сведения о связанных с IPSec функциональных различиях разных версий этого средства.

5.11.1

Операционная система Способ установки Примечания


Для установки средства Netdiag.exe в операционных системах семейства Windows Server 2003 запустите файл Suptools.msi из папки \Support\Tools на компакт-диске Windows Server 2003 (при установке следует выбрать параметр Полная).

Несмотря на то, что с помощью средства

Netdiag.exe все еще можно получать не

относящиеся к IPSec основные сведения о

сети, в системах семейства Windows

Server 2003 параметр netdiag /test:ipsec

удален, и все функции по работе с IPSec

перешли к командам Netsh для IPSec. Чтобы

просмотреть подробные сведения о политиках


- 79 -

IPSec, используйте команду netsh ipsec static

show или команду netsh ipsec dynamic

show.

Windows XP;

В семействе Windows XP; программа Netdiag.exe доступна для загрузки с компакт-диска семейства Windows XP; (запустите файл Setup.exe из папки \Support\Tools и выберите вариант установки Полная).

Отображает сведения о назначениях политики

IPSec, включая имя активной политики IPSec,

имя объекта групповой политики, которому

назначена политика, и путь политики.

Вывод подробных сведений о политике IPSec и

статистики IPSec (выполняется в системе

Windows 2000 с помощью параметров /debug

и /v) в системе Windows XP; не

поддерживается. Вместо этого для просмотра

подробных сведений о политиках IPSec

следует использовать команду show средства

Ipseccmd.exe.

Windows 2000

В Windows 2000 обновленная версия Netdiag.exe доступна для загрузки из Интернета. Дополнительные сведения (на английском языке) см. в разделе «Windows 2000 Resource Kits» на веб-узле ресурсов Microsoft Windows Resource Kits.

В пакете обновления Windows 2000 Service

Pack 1 средство Netdiag.exe

усовершенствовано для отображения числа

разгруженных драйвером IPSec байтов для

сетевого адаптера, поддерживающего

аппаратную разгрузку IPSec. Статистическими

показателями аппаратной разгрузки являются

число отправленных и число полученных

разгруженных байтов.

Чтобы использовать параметр /debug для

просмотра подробных сведений о политиках

IPSec на основе Active Directory, необходимо

быть членом группы «Администраторы

домена» в Active Directory.

Команду netdiag /v /l можно использовать для получения сведений о сети, не относящихся к IPSec, для любой платформы. Обычно эти параметры используются для того, чтобы:

сообщать сведения о конфигурации IP и о маршрутизации компьютера с помощью одной команды;

проверять разрешения и совместимость имен с помощью DNS и WINS;

сообщать версию сборки компьютера и установленные исправления;

проверять подлинность членства в домене, возможность успешного соединения членов домена с

контроллерами домена и доверительные отношения.

Параметр /l создает файл Netdiag.log. Файл записывается в папку, в которой находится Netdiag.exe.


Для выполнения любой из команд Netdiag.exe необходимо быть участником группы «Администраторы»

на локальном компьютере.

Каждая версия Netdiag.exe предназначена для работы с определенной версией операционной системы

Windows (Windows 2000, Windows XP; или семейством Windows Server 2003). Средство Netdiag.exe может

использоваться только на компьютере с той операционной системой Windows, для которой оно было

специально разработано.

При работе с версией Netdiag.exe, предназначенной для Windows 2000 или Windows XP;, в домене

Windows Server 2003 Netdiag.exe может сообщать неверную версию операционной системы домена.




- 80 -

При запуске программы Netdiag.exe на компьютере с назначенной политикой IPSec, которая влияет на

большую часть входящего и исходящего IP-трафика, Netdiag.exe может выдавать неверные результаты

во время первого запуска. Это вызвано тем, что формирование сопоставлений безопасности для многих

удаленных компьютеров, с которыми программа Netdiag.exe проверила связь, может занять несколько

секунд у службы IPSec. В этом случае подождите пять секунд и запустите Netdiag.exe снова.

5.12 Отключение аппаратного ускорения для TCP/IP и IPSec

Сетевые адаптеры могут ускорить работу IPSec за счет аппаратной разгрузки криптографических функций IPSec (разгрузки IPSec) и вычисления контрольной суммы (разгрузка контрольной суммы). Такие адаптеры могут также выполнять высокоскоростную передачу TCP-сегментов (разгрузка отправляемых больших пакетов). Когда драйвер сетевого адаптера, который осуществляет аппаратную разгрузку, включается во время процесса инициализации Plug and Play, он по умолчанию объявляет для TCP/IP и IPSec об этой возможности. После этого TCP/IP и IPSec разгружают задачи драйверу сетевого адаптера.

Если сетевые адаптеры используются для осуществления аппаратной разгрузки криптографических функций IPSec, иногда необходимо убедиться в том, что аппаратное ускорение не вызывает проблем с обработкой пакетов, производимой сетевым адаптером. Такая проверка выполняется следующи образом.

Отключите функции аппаратной разгрузки в драйвере сетевого адаптера (если они поддерживаются

драйвером). Для этого не нужно перезапускать компьютер.

Отключите аппаратное ускорение для TCP/IP и IPSec. Для этого необходимо перезапустить компьютер.

Включите аппаратное ускорение только для IPSec. Для этого необходимо перезапустить компьютер.

Отключение функций аппаратной разгрузки в драйвере сетевого адаптера

Чтобы проверить, возможно ли отключить функции аппаратной разгрузки в драйвере сетевого адаптера, выполните следующие действия.

Откройте диспетчер устройств, выделите узел Сетевые адаптеры, щелкните правой кнопкой сетевой

адаптер, свойства которого требуется просмотреть, и выберите команду Свойства. Дополнительные

сведения см. в разделе Изменение параметров сетевого адаптера.

Откройте компонент «Сетевые подключения», щелкните правой кнопкой значок нужного сетевого

адаптера, выделите команду Свойства и на вкладке Общие выберите команду Настройка.

Отключение аппаратного ускорения для TCP/IP и IPSec

Чтобы отключить аппаратное ускорение для TCP/IP и IPSec путем изменения реестра, выполните следующие действия.


HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSec\EnableDiagnostics типа

DWORD значение 1.

Внимание!

Неверные действия при изменении реестра могут серьезно повредить систему. Перед

изменением реестра создайте резервную копию всех важных данных.


Если для параметра реестра DisableTaskOffload типа DWORD установлено значение 0 и сетевой адаптер объявляет возможность аппаратной разгрузки, IPSec и TCP/IP попытаются разгрузить соответствующие функции сетевому адаптеру.

Отключение аппаратной разгрузки только для IPSec

Чтобы отключить аппаратное ускорение только для IPSec путем изменения реестра, выполните следующие действия.


HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\EnableOffload типа DWORD

значение 0.

Внимание!



- 81 -

Неверные действия при изменении реестра могут серьезно повредить систему. Перед

изменением реестра создайте резервную копию всех важных данных.



Чтобы снизить риск возникновения проблем с обработкой пакетов, производимой сетевым адаптером, в

результате аппаратного ускорения, убедитесь в

том, что вы используете драйвер сетевого адаптера последней версии, доступной через поставщика.

5.12.1 Отладка и протоколирование

При настройке IPSec часто возникают ситуации, когда защищенное соединение по

той или иной причине не может быть установлено. В связи с большим количеством

возможных причин подобные проблемы устранить довольно трудно. Для локализации

причины сбоя можно воспользоваться системными журналами Windows.

Включение категории Audit logon events приводит к появлению в журнале Security

событий 541, в случае успешного согласования параметров соединения, и 547, в случае

сбоя. Данная возможность очень полезна на этапе отладки политик, однако в рабочей

среде протоколирование процесса установления всех защищенных соединений может

привести к переполнению журналов аудита. Для отключения протоколирования процесса

IKE в Windows 2003 необходимо выполнить команду

netsh ipsec dynamic set

config ikelogging 0

В Windows 2000/XP отключение данной функции осуществляется путем присвоения

значения 1 параметру реестра HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\

PolicyAgent\Oakley\EnableLogging и перезапуска системной службы IPSec Policy Agent.

Для отслеживания работы фильтров можно воспользоваться возможностями

протоколирования драйвера IPSec. Для этого параметру реестра

HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\IPSec\EnableDiagnostics

присваивается значение от нуля до семи. После перезагрузки компьютера драйвер IPSec

начнет фиксировать события в журнале System. В Windows Server 2003 можно

воспользоваться командой

netsh ipsec dynamic set

config ipsecdiagnostics

По умолчанию драйвер сохраняет события в журнале раз в час, что очень неудобно

при отладке политик. В параметре реестра

HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\IPSec\LogInterval интервал

сохранения событий устанавливается в секундах. В Windows Server 2003 для изменения

этого параметра можно воспользоваться командой

netsh ipsec dynamic set config

ipsecloginterval

Подробнее о настройке и отладке политик IPSec рассказано в разделе

Troubleshooting tools документа «Designing and planning IPSec policies»

http://www.microsoft.com/technet/prodtechnol/ windowsserver2003/proddocs/entserver/

sag_IPSECimplemntg.asp.

Реализация IPSec в Windows 2000/2003 основана на отраслевых стандартах и

совместима с решениями других производителей. Политики IPSec, в сочетании с Active

Directory и PKI, позволяют построить высокозащищенную, централизованную сетевую

инфраструктуру предприятия. Однако в связи с богатой функциональностью и изрядной

сложностью его использование требует от администратора ясного понимания процесса

работы сетевых служб и возможных последствий того или иного варианта использования

данного протокола.

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_IPSECimplemntg.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/sag_IPSECimplemntg.asp


- 82 -

5.13 Отладка процесса обработки политик и профилей

Чтобы задокументировать в журнале последовательность, в которой применяются

политики и профили, следует при помощи редактора реестра добавить в ключ

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon значение

UserEnvDebugLevel типа REG_DWORD, которое должно быть равно 0x10002. После этого

перезапустите компьютер. Журнал применения политик и профилей будет записан в

файл %SystemRoot%\Debug\Usermode\Userenv.log. Помимо объектов GPO, существующих

в каталоге Active Directory, в каждой системе Windows 2000 существует также локальная

политика (local policy). Локальная политика определяет параметры, в соответствии с

которыми настраивается рабочая станция. Система применяет политики в определенном

порядке. Сначала применяется локальная политика (Local policy), затем политика узла

(Site policy), затем доменная политика (Domain policy) и, наконец, политика контейнера

OU (Organizational Unit policy). Порядок применения политик часто обозначают

последовательностью символов (L, S, D, OU). Если локальная политика конфликтует с

политикой узла, домена или контейнера OU, она всегда проигрывает. Другими словами, в

процессе применения политик локальная политика обладает наименьшим приоритетом.

Все параметры, за исключением сценариев подключения/начала работы системы и

отключения/завершения работы системы, а также установки программного обеспечения

(либо назначенного, либо опубликованного) обновляются каждые 90 минут с переменным

смещением плюс-минус 30 минут. Обновление осуществляется по инициативе механизма

обновления групповых политик, работающего на стороне клиента, который следит за тем,

когда клиент последний раз выполнял обновление. В начале процесса обновления

порядковые номера версий всех действующих политик сравниваются с локальными

номерами версий. Если локальный и удаленный номера версий не совпадают, заново

применяется вся политика. В противном случае никакого обновления не происходит.

Обновление политик, действующих в отношении контроллеров доменов, выполняется

каждые пять минут.

http://ru.wikipedia.org/wiki/Active_Directory

Documents

127 018, Москва, Сущевский Вал д.16 495) 780 4820 E-mail ... · PDF file5.7 Включение подробной трассировки согласования