网络安全方案设计服务器模块概要

在WindowsServer2003环境中规划IPSec谢立靖littlegale@qq.com导入为什么TCP/IP是不安全的？漏洞＋威胁＝风险漏洞：硬件漏洞，操作系统漏洞，应用程序漏洞，管理漏洞威胁1）窃听2）数据篡改3）身份欺骗（IP地址欺骗）4）盗用口令攻击（Password-BasedAttacks）5）拒绝服务攻击（Denial-of-ServiceAttack）6）中间人攻击（Man-in-the-MiddleAttack）7）盗取密钥攻击（Compromised-KeyAttack）8）Sniffer攻击（SnifferAttack）9）应用层攻击（Application-LayerAttack）提要默认IPSec策略规划IPSecIPSec故障排除Lesson:默认IPSec策略默认IPSec策略客户端（仅响应）服务器（请求安全）安全服务器（需要安全）IPSec连接规则对所有IP通讯总是使用Kerberos信任请求安全。允许与不响应请求的客户端的不安全通讯正常通讯(不安全的)。使用默认的响应规则与请示安全的服务器协商。只有与服务器的请求协议和端口通讯是安全的对所有IP通讯总是使用Kerberos信任请求安全。不允许与不被信任的客户端的不安全通讯IPSec连接规则规则描述IP筛选器列表通过出站和入站筛选器来指定安全通信类型筛选器操作指定处理通信的方式（允许、阻止、加密等）身份验证方法Kerberos、预共享密钥、CA练习：使用策略练习中使用到的拓扑图客户端（VMware虚拟机，OS为XP）IPAddress:192.168.1.1/24网关：192.168.1.254虚拟网卡：VMnet4虚拟内存：128M服务器端（VMware虚拟机，OS为Windowsserver2003企业版）IPAddress:192.168.1.254/24虚拟网卡：VMnet4虚拟内存：256M以“客户端（仅响应）”为例，测试默认策略开始－＞管理工具－＞本地安全策略服务器端的操作右键单击“客户端（仅响应）”－＞指派服务器端的操作客户端的操作控制面板－＞管理工具－＞本地安全策略客户端的操作右键单击“客户端（仅响应）”－＞指派在客户端的测试使用Ping命令进行测试自定义策略。可以完全自定义策略，也可在默认策略基础上自定义，以下练习中使用完全自定义策略服务器端的操作打开“本地安全设置”－＞右键单击“IP安全策略，在本地计算机”－＞创建IP安全策略服务器端的操作单击“下一步”在“名称”栏内填写恰当的策略名，在“描述栏内填写能够说明该策略功能的说明性文字，然后单击“下一步”服务器端的操作服务器端的操作单击“下一步”单击“下一步”服务器端的操作服务器端的操作单击“是”服务器端的操作单击“完成”服务器端的操作单击“添加”服务器端的操作单击“下一步”单击“下一步”服务器端的操作服务器端的操作单击“下一步”服务器端的操作选中“控制139端口的访问”，然后单击“编辑”在“描述”栏内填写能恰当描述筛选器功能的说明性文字，然后单击“编辑”服务器端的操作服务器端的操作源地址：一个特定的IP地址，192.168.1.1目标地址：我的IP地址单击“协议”选项卡服务器端的操作选择协议类型：TCP设置IP协议端口：从任意端口、到此端口（139）单击“确定”服务器端的操作单击“确定”服务器端的操作单击“下一步”服务器端的操作然后单击“下一步”服务器端的操作选择“使用此字符串保护密钥交换（预共享密钥）”，在文本框中填入“123”，然后单击“下一步”单击“完成”服务器端的操作服务器端的操作将“动态”前的勾去掉，然后单击“确定”客户端的操作控制面板－＞管理工具－＞本地安全策略客户端的操作右键单击“IP安全策略，在本地计算机”－＞创建IP安全策略客户端的操作单击“下一步”客户端的操作在“名称”栏内填写适当的策略名称，在“描述”栏内填写可以说明该策略功能的文字，然后单击“下一步”客户端的操作单击“下一步”客户端的操作单击“下一步”客户端的操作单击“是”客户端的操作去掉“编辑属性”前的勾，然后单击“完成”客户端的操作双击“访问139端口”客户端的操作去掉“动态”前的勾，然后单击“添加”客户端的操作单击“添加”客户端的操作按图所示填写，去掉“使用‘添加向导’”前面的勾，然后单击“添加”客户端的操作选择“协议”选项卡客户端的操作按图所示选择、填写，然后“确定”客户端的操作单击“确定”客户端的操作选中“访问139端口”，然后选择“筛选器操作”客户端的操作选中“需要安全”，然后选择“身份验证方法”选项卡客户端的操作单击“编辑”客户端的操作按图所示选择、填写，然后“确定”客户端的操作单击“应用”，然后“确定”单击“应用”，然后“确定”客户端的操作客户端的操作右键单击“访问139端口”，然后单击“指派”测试在命令提示符中输入命令：netstat-an，红框部分表示服务器在139端口侦听传入的连接服务器端的操作客户端的操作在命令提示符中输入命令：telnet192.168.1.254139，然后回车客户端的操作如果如图显示，表示此时客户端已经通过139端口与服务器相连服务器端的操作在命令提示符中输入命令：netstat-an，红框部分表示服务器此时已经与192.168.1.1建立了连接Lesson:规划IPSec确定IPSec策略部署方式确定验证模式确定IPSec策略必要性规划IPSec最佳方案本地策略部署IPSec指导方针确定IPSec策略部署方式在一个异构环境中ActiveDirectoryActiveDirectory使用本地策略使用ActiveDirectory确定验证模式认证方式环境KerberosV5安全协议客户端和服务器端是Windows2000版本以上，并且做为AD域的一部分证书Internet访问远程访问资源外部业务合作伙伴未运行KerberosV5安全协议的计算机需要证书授权中心预共享密钥通信双方的计算机必须手动配置IPSec密钥以明文方式存储，因此安全性较差确定IPSec策略必要性确定企业的需要评估潜在的安全风险以确定IPSec是否可以减轻这些风险确定规则和策略创建一个新策略或者修改一个已经存在的策略规划IPSec最佳方案最佳实践评估发往网络上的信息类型确定信息的存储地评估网络攻击的弱点设计企业网络安全规划在安全规划下测试IPSec策略本地策略部署IPSec指导方针确定组策略是否是最佳的部署方式确定需要安全的一组计算机确定认证基础架构是否需要评估安全风险确定IPSec是否能够减少风险确定策略如何被部署Lesson:IPSec故障排除IPSec排错工具事件查看器