使用IPSec进行主机加固

使用IPSec进行主机加固

公司主营业务:网站建设、做网站、移动网站开发等业务。帮助企业客户真正实现互联网宣传,提高企业的竞争能力。创新互联建站是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化,感谢他们对我们的高要求,感谢他们从不同领域给我们带来的挑战,让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。创新互联建站推出城区免费做网站回馈大家。

1 引言

Internet的美妙之处在于你和每个人都能互相连接

Internet的可怕之处在于每个人都能和你互相连接

2 ***常用的***手段

? 网络监听

? 数据篡改

? 欺骗

? 中间人***

? 密码破解

? 缓冲区溢出

//你看到的文档来自大郭讲堂

3 网络安全范畴中的四大标准

? 数据保密性

? 数据完整性

? 认证

? 不可否认性

4 什么是IPSec

Ipsec是网络安全业内的一个标准,并不是Windows特带的一个工具或功能,其他众多例如Unix、Linux、MAC系统等都支持(Windows2000就已经将Ipsec内置到系统内核中);

//你看到的文档来自使用IPSec进行主机加固

5 什么是IPSec策略

? IPSec使用策略和规则提升网络安全性

? 规则包含

筛选器

筛选器动作

身份验证方法

? 默认策略(存在于早期的系统中)

Client(RespondOnly)

Server(RequestSecurity)

SecureServer(RequireSecurity)

6 IPSEC能做什么

? 禁用协议

? 加密数据

? 关闭端口

? 身份验证

? ….

6.1 打开IPSec
6.1.1 通过开始运行命令打开

在” 开始>运行”中输入Secpol.msc(本地安全策略) ;

使用IPSec进行主机加固

6.1.2 通过MMC打开

在” 开始>运行”中输入MMC,在控制台中依次单击”文件>添加/删除管理单元>IP安全策略管理”,并单击“添加”选项,在弹出的确认对话框中选择“本地计算机”确定;

使用IPSec进行主机加固

6.2 禁用协议
6.2.1 例:禁止PING协议
6.2.2 创建策略

在“IP安全策略”右侧窗口的空白位置,单击右键,选择“创建IP安全策略>下一步>输入自定义名称后单击下一步>下一步>完成”;

使用IPSec进行主机加固

6.2.3 新建安全规则

取消“使用添加向导”,单击“添加”;

使用IPSec进行主机加固

6.2.4 添加筛选器(定义数据类型:从哪到哪的什么流量)

单击“添加”在筛选器列表中输入自定义名称,取消“使用添加向导”单击“添加”;

使用IPSec进行主机加固

在地址选项下选择源地址为“任何IP地址”,目标地址为“我的IP地址”;

//镜像:完成IPSEC策略后,此处设定为别人不能PING自己,勾选镜像后则自己也不能PING别人(ICMP协议时来回的,就算不勾选镜像,也不能互相ping);

切换到“协议”表情中,选择ICMP协议,选择完成后单击“确定>确定”;

使用IPSec进行主机加固

//可以先设置一条只允许特定IP主机PING自己,在加一条不允许任何IP主机PING自己,最终结果即为只允许特定IP主机PING,其他主机都不能PING;

6.2.5 选择筛选器操作

勾选上步中建好的数据流”PING”,切换到“筛选器操作”标签中,取消“使用添加向导”,单击“添加”;

使用IPSec进行主机加固

在安全方法标签下选择“组织”;

//许可 :允许通过;阻止:拒绝通过;协商安全:加密后通过;

在常规标签下填写自定义名称,此处为NO,填写完成后单击“应用>确定”;

在”筛选器操作“下面勾选新建好的”NO“并单击”应用>确定>确定;“

使用IPSec进行主机加固

6.2.6 启用策略

此时策略创建完成后暂为生效,选择策略右键选择 “分配”即可;

使用IPSec进行主机加固

6.3 关闭端口
6.3.1 例:关闭80端口
6.3.2 查看本机开放端口

在CMD命令行下执行netstat –na;

使用IPSec进行主机加固

6.3.3 创建策略

在“IP安全策略”右侧窗口的空白位置,单击右键,选择“创建IP安全策略>下一步>输入自定义名称后单击下一步>下一步>完成”;

使用IPSec进行主机加固

6.3.4 新建安全规则

取消“使用添加向导”,单击“添加”;

使用IPSec进行主机加固

6.3.5 添加筛选器(定义数据类型:从哪到哪的什么流量)

单击“添加”在筛选器列表中输入自定义名称,取消“使用添加向导”单击“添加”;

使用IPSec进行主机加固

在地址选项下选择源地址为“任何IP地址”,目标地址为“我的IP地址”;

切换到“协议”表情中,选择TCP协议,端口为,从任意端口,到80端口,选择完成后单击“确定>确定”;

使用IPSec进行主机加固

6.3.6 选择筛选器操作

勾选上步中建好的数据流”Deny80”,切换到“筛选器操作”标签中,勾选上步骤建好的”NO“,单击”应用>确定“;

使用IPSec进行主机加固

6.3.7 启用策略

此时策略创建完成后暂为生效,选择策略右键选择 “分配”即可;

使用IPSec进行主机加固

6.4 加密数据/身份验证
6.4.1 安装配置抓包软件

此处安装Windows的抓包工具Nwtmon,下载地址:

http://blogs.technet.com/b/netmon/p/downloads.aspx

http://www.microsoft.com/en-us/download/details.aspx?id=4865

使用IPSec进行主机加固

6.4.2 抓包(明文)

勾选需要抓包的网卡,然后新建捕获;

使用IPSec进行主机加固

点击开始抓包;

使用IPSec进行主机加固

使用另一台服务器192.168.202.24ping本机192.168.202.23;

使用IPSec进行主机加固

6.4.3 查看结果

点击菜单栏中的“Stop”按钮,在左侧栏目中选择需要分析的目标IP地址“192.168.202.24”,在右侧窗格中任意单击8个包中一个(ping了4次,每个包都有来回,故有8条记录),在右下角可以看到一些英文字母,则证明这个包是没有加密的;

使用IPSec进行主机加固

6.4.4 A主机配置IPSec加密策略

//IPSec加密数据策略,需要互相通信的俩台主机都配置IPSec策略,并且使用相同的加密解密算法;

1.IP筛选器列表

使用IPSec进行主机加固

2.筛选器操作

使用IPSec进行主机加固

//相关选项说明;

仅保持完整性

该选项不会将数据加密只通过has算法,保证数据不被篡改,一旦数据找到篡改后则数据就不被接收;

加密病保证完整性

既保证数据完整性,也进行数据加密;

数据和地址簿加密的完整性(自定义选项)

仅保证完整性;

数据完整性和加密(自定义选项)

仅保证数据(不包括地址)的完整性,并将数据加密;

会话密钥设置(自定义选项)

生成密钥的频率,数值越小越安全,速度越慢;

3.身份验证方法

配置数据加密需要配置身份验证方法;

使用IPSec进行主机加固

//相关选项说明;

ActiveDirectory默认值

该选项需要有AD域环境存在,通过其Kerberos协议进行认证;

使用由此证书机构颁发的证书

需要有证书服务器存在,通过证书进行认证;

使用预共享密钥

没有AD域环境,也没有证书服务器的情况下通过共享密钥进行认证(通信双方主机的配置需要相同);

6.4.5 B主机配置IPSec加密策略

使用上述同样方法在B主机进行IPSec策略配置;

使用IPSec进行主机加固

6.4.6 抓包(密文)

勾选需要抓包的网卡,然后新建捕获;

使用IPSec进行主机加固

点击开始抓包;

使用IPSec进行主机加固

使用另一台服务器192.168.202.24ping本机192.168.202.23;

使用IPSec进行主机加固

6.4.7 查看结果

此次在查看具体数据包的时候发现已经不再是可识别的字符,而是“乱码”表示数据是经过加密的;

//协议名称为ESP的即是加密后的通信数据;

 

//你看到的文档来自使用IPSec进行主机加固

 

使用IPSec进行主机加固

7 参考链接

7.1 课程下载地址

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032320936&Culture=zh-CN

7.2 软件下载地址

http://blogs.technet.com/b/netmon/p/downloads.aspx

http://www.microsoft.com/en-us/download/details.aspx?id=4865


网页名称:使用IPSec进行主机加固
文章位置:http://hbruida.cn/article/ggeooh.html