使用IPSec进行主机加固


使用IPSec进行主机加固Internet的美妙之处在于你和每个人都能互相连接Internet的可怕之处在于每个人都能和你互相连接? 网络监听? 数据篡改? 欺骗? 中间人***? 密码破解? 缓冲区溢出//你看到的文档来自大郭讲堂? 数据保密性? 数据完整性? 认证? 不可否认性Ipsec是网络安全业内的一个标准,并不是Windows特带的一个工具或功能,其他众多例如Unix、Linux、MAC系统等都支持(Windows2000就已经将Ipsec内置到系统内核中);//你看到的文档来自使用IPSec进行主机加固? IPSec使用策略和规则提升网络安全性? 规则包含筛选器筛选器动作身份验证方法? 默认策略(存在于早期的系统中)Client(RespondOnly)Server(RequestSecurity)SecureServer(RequireSecurity)? 禁用协议? 加密数据? 关闭端口? 身份验证? ….在” 开始>运行”中输入Secpol.msc(本地安全策略) ;在” 开始>运行”中输入MMC,在控制台中依次单击”文件>添加/删除管理单元>IP安全策略管理”,并单击“添加”选项,在弹出的确认对话框中选择“本地计算机”确定;在“IP安全策略”右侧窗口的空白位置,单击右键,选择“创建IP安全策略>下一步>输入自定义名称后单击下一步>下一步>完成”;取消“使用添加向导”,单击“添加”;单击“添加”在筛选器列表中输入自定义名称,取消“使用添加向导”单击“添加”;在地址选项下选择源地址为“任何IP地址”,目标地址为“我的IP地址”;//镜像:完成IPSEC策略后,此处设定为别人不能PING自己,勾选镜像后则自己也不能PING别人(ICMP协议时来回的,就算不勾选镜像,也不能互相ping);切换到“协议”表情中,选择ICMP协议,选择完成后单击“确定>确定”;//可以先设置一条只允许特定IP主机PING自己,在加一条不允许任何IP主机PING自己,最终结果即为只允许特定IP主机PING,其他主机都不能PING;勾选上步中建好的数据流”PING”,切换到“筛选器操作”标签中,取消“使用添加向导”,单击“添加”;在安全方法标签下选择“组织”;//许可 :允许通过;阻止:拒绝通过;协商安全:加密后通过;在常规标签下填写自定义名称,此处为NO,填写完成后单击“应用>确定”;在”筛选器操作“下面勾选新建好的”NO“并单击”应用>确定>确定;“此时策略创建完成后暂为生效,选择策略右键选择 “分配”即可;在CMD命令行下执行netstat –na;在“IP安全策略”右侧窗口的空白位置,单击右键,选择“创建IP安全策略>下一步>输入自定义名称后单击下一步>下一步>完成”;取消“使用添加向导”,单击“添加”;单击“添加”在筛选器列表中输入自定义名称,取消“使用添加向导”单击“添加”;在地址选项下选择源地址为“任何IP地址”,目标地址为“我的IP地址”;切换到“协议”表情中,选择TCP协议,端口为,从任意端口,到80端口,选择完成后单击“确定>确定”;勾选上步中建好的数据流”Deny80”,切换到“筛选器操作”标签中,勾选上步骤建好的”NO“,单击”应用>确定“;此时策略创建完成后暂为生效,选择策略右键选择 “分配”即可;此处安装Windows的抓包工具Nwtmon,下载地址:http://blogs.technet.com/b/netmon/p/downloads.aspxhttp://www.microsoft.com/en-us/download/details.aspx?id=4865勾选需要抓包的网卡,然后新建捕获;点击开始抓包;使用另一台服务器192.168.202.24ping本机192.168.202.23;点击菜单栏中的“Stop”按钮,在左侧栏目中选择需要分析的目标IP地址“192.168.202.24”,在右侧窗格中任意单击8个包中一个(ping了4次,每个包都有来回,故有8条记录),在右下角可以看到一些英文字母,则证明这个包是没有加密的;//IPSec加密数据策略,需要互相通信的俩台主机都配置IPSec策略,并且使用相同的加密解密算法;1. IP筛选器列表2. 筛选器操作//相关选项说明;仅保持完整性该选项不会将数据加密只通过has算法,保证数据不被篡改,一旦数据找到篡改后则数据就不被接收;加密病保证完整性既保证数据完整性,也进行数据加密;数据和地址簿加密的完整性(自定义选项)仅保证完整性;数据完整性和加密(自定义选项)仅保证数据(不包括地址)的完整性,并将数据加密;会话密钥设置(自定义选项)生成密钥的频率,数值越小越安全,速度越慢;3. 身份验证方法配置数据加密需要配置身份验证方法;//相关选项说明;ActiveDirectory默认值该选项需要有AD域环境存在,通过其Kerberos协议进行认证;使用由此证书机构颁发的证书需要有证书服务器存在,通过证书进行认证;使用预共享密钥没有AD域环境,也没有证书服务器的情况下通过共享密钥进行认证(通信双方主机的配置需要相同);使用上述同样方法在B主机进行IPSec策略配置;勾选需要抓包的网卡,然后新建捕获;点击开始抓包;使用另一台服务器192.168.202.24ping本机192.168.202.23;此次在查看具体数据包的时候发现已经不再是可识别的字符,而是“乱码”表示数据是经过加密的;//协议名称为ESP的即是加密后的通信数据;//你看到的文档来自使用IPSec进行主机加固https://msevents.microsoft.com/CUI/EventDe免费云主机域名tail.aspx?EventID=1032320936&Culture=zh-CNhttp://blogs.technet.com/b/netmon/p/downloads.aspxhttp://www.microsoft.com/en-us/download/details.aspx?id=4865

相关推荐: 解决公司无线AP故障的一起案例

公司仓库因为WMS系统上线,将原来的无线网络进行改造,绝大部分AP换成了华为的4050DN,AC使用6005-8,新上的POE交换机是S2700-26TP-PWR-EI。 由于WMS使用的是无线打印机,并且连接方式是无线网络连接,默认在华为的AC上开启了三层漫…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 01/31 10:07
下一篇 01/31 10:07