使用IPSec进行主机加固

使用IPSec进行主机加固

1 引言

Internet的美妙之处在于你和每个人都能互相连接

Internet的可怕之处在于每个人都能和你互相连接

2 ***常用的***手段

? 网络监听

? 数据篡改

? 欺骗

? 中间人***

? 密码破解

? 缓冲区溢出

//你看到的文档来自大郭讲堂

3 网络安全范畴中的四大标准

? 数据保密性

? 数据完整性

? 认证

? 不可否认性

4 什么是IPSec

Ipsec是网络安全业内的一个标准，并不是Windows特带的一个工具或功能，其他众多例如Unix、Linux、MAC系统等都支持（Windows2000就已经将Ipsec内置到系统内核中）；

//你看到的文档来自使用IPSec进行主机加固

5 什么是IPSec策略

? IPSec使用策略和规则提升网络安全性

? 规则包含

筛选器

筛选器动作

身份验证方法

? 默认策略（存在于早期的系统中）

Client(RespondOnly)

Server(RequestSecurity)

SecureServer(RequireSecurity)

6 IPSEC能做什么

? 禁用协议

? 加密数据

? 关闭端口

? 身份验证

? ….

6.1 打开IPSec

6.1.1 通过开始运行命令打开

在” 开始>运行”中输入Secpol.msc（本地安全策略） ；

6.1.2 通过MMC打开

在” 开始>运行”中输入MMC，在控制台中依次单击”文件>添加/删除管理单元>IP安全策略管理”，并单击“添加”选项，在弹出的确认对话框中选择“本地计算机”确定；

6.2 禁用协议

6.2.1 例：禁止PING协议

6.2.2 创建策略

在“IP安全策略”右侧窗口的空白位置，单击右键，选择“创建IP安全策略>下一步>输入自定义名称后单击下一步>下一步>完成”；

6.2.3 新建安全规则

取消“使用添加向导”，单击“添加”；

6.2.4 添加筛选器（定义数据类型：从哪到哪的什么流量）

单击“添加”在筛选器列表中输入自定义名称，取消“使用添加向导”单击“添加”；

在地址选项下选择源地址为“任何IP地址”，目标地址为“我的IP地址”；

//镜像：完成IPSEC策略后，此处设定为别人不能PING自己，勾选镜像后则自己也不能PING别人（ICMP协议时来回的，就算不勾选镜像，也不能互相ping）；

切换到“协议”表情中，选择ICMP协议，选择完成后单击“确定>确定”；

//可以先设置一条只允许特定IP主机PING自己，在加一条不允许任何IP主机PING自己，最终结果即为只允许特定IP主机PING，其他主机都不能PING；

6.2.5 选择筛选器操作

勾选上步中建好的数据流”PING”，切换到“筛选器操作”标签中，取消“使用添加向导”，单击“添加”；

在安全方法标签下选择“组织”；

//许可 ：允许通过；阻止：拒绝通过；协商安全：加密后通过；

在常规标签下填写自定义名称，此处为NO，填写完成后单击“应用>确定”；

在”筛选器操作“下面勾选新建好的”NO“并单击”应用>确定>确定；“

6.2.6 启用策略

此时策略创建完成后暂为生效，选择策略右键选择 “分配”即可；

6.3 关闭端口

6.3.1 例：关闭80端口

6.3.2 查看本机开放端口

在CMD命令行下执行netstat –na；

6.3.3 创建策略

在“IP安全策略”右侧窗口的空白位置，单击右键，选择“创建IP安全策略>下一步>输入自定义名称后单击下一步>下一步>完成”；

6.3.4 新建安全规则

取消“使用添加向导”，单击“添加”；

6.3.5 添加筛选器（定义数据类型：从哪到哪的什么流量）

单击“添加”在筛选器列表中输入自定义名称，取消“使用添加向导”单击“添加”；

在地址选项下选择源地址为“任何IP地址”，目标地址为“我的IP地址”；

切换到“协议”表情中，选择TCP协议，端口为，从任意端口，到80端口，选择完成后单击“确定>确定”；

6.3.6 选择筛选器操作

勾选上步中建好的数据流”Deny80”，切换到“筛选器操作”标签中，勾选上步骤建好的”NO“，单击”应用>确定“；

6.3.7 启用策略

此时策略创建完成后暂为生效，选择策略右键选择 “分配”即可；

6.4 加密数据/身份验证

6.4.1 安装配置抓包软件

此处安装Windows的抓包工具Nwtmon，下载地址：

http://blogs.technet.com/b/netmon/p/downloads.aspx

http://www.microsoft.com/en-us/download/details.aspx?id=4865

6.4.2 抓包（明文）

勾选需要抓包的网卡，然后新建捕获；

点击开始抓包；

使用另一台服务器192.168.202.24ping本机192.168.202.23；

6.4.3 查看结果

点击菜单栏中的“Stop”按钮，在左侧栏目中选择需要分析的目标IP地址“192.168.202.24”，在右侧窗格中任意单击8个包中一个（ping了4次，每个包都有来回，故有8条记录），在右下角可以看到一些英文字母，则证明这个包是没有加密的；

6.4.4 A主机配置IPSec加密策略

//IPSec加密数据策略，需要互相通信的俩台主机都配置IPSec策略，并且使用相同的加密解密算法；

1. IP筛选器列表

2. 筛选器操作

//相关选项说明；

仅保持完整性

该选项不会将数据加密只通过has算法，保证数据不被篡改，一旦数据找到篡改后则数据就不被接收；

加密病保证完整性

既保证数据完整性，也进行数据加密；

数据和地址簿加密的完整性（自定义选项）

仅保证完整性；

数据完整性和加密（自定义选项）

仅保证数据（不包括地址）的完整性，并将数据加密；

会话密钥设置（自定义选项）

生成密钥的频率，数值越小越安全，速度越慢；

3. 身份验证方法

配置数据加密需要配置身份验证方法；

//相关选项说明；

ActiveDirectory默认值

该选项需要有AD域环境存在，通过其Kerberos协议进行认证；

使用由此证书机构颁发的证书

需要有证书服务器存在，通过证书进行认证；

使用预共享密钥

没有AD域环境，也没有证书服务器的情况下通过共享密钥进行认证（通信双方主机的配置需要相同）；

6.4.5 B主机配置IPSec加密策略

使用上述同样方法在B主机进行IPSec策略配置；

6.4.6 抓包（密文）

勾选需要抓包的网卡，然后新建捕获；

点击开始抓包；

使用另一台服务器192.168.202.24ping本机192.168.202.23；

6.4.7 查看结果

此次在查看具体数据包的时候发现已经不再是可识别的字符，而是“乱码”表示数据是经过加密的；

//协议名称为ESP的即是加密后的通信数据；

//你看到的文档来自使用IPSec进行主机加固

7 参考链接

7.1 课程下载地址

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032320936&Culture=zh-CN

7.2 软件下载地址

http://blogs.technet.com/b/netmon/p/downloads.aspx

http://www.microsoft.com/en-us/download/details.aspx?id=4865