Управление безопасностью сети презентация

монитор (Network Monitor)

и защиты аутентификации, авторизации, конфиденциальности, целостности данных и невозможности отрицания авторства (nonrepudiation).
К основным протоколам безопасности в сетях относятся: Kerberos, NTLM (New Technology Local Area Network Manager), IPSec (Internet Protocol Security) и их подвиды

инструмент управления сетевой безопасностью. Проще всего использовать его и анализировать политики безопасности с помощью в консоли с оснастками Шаблоны безопасности (Security Templates) и Анализ и настройка безопасности (Security Configuration and Analysis).

или копировать шаблоны безопасности, добавлять новые папки для хранения шаблонов, а также применять шаблоны к компьютеру
Работа с шаблонами в консоли никак не повлияет на безопасность компьютера

щелкните ОК.
2. В меню Консоль (Console) выберите Добавить или удалить оснастку (Add/Remove Snap-In).
3. В одноименном окне щелкните кнопку Добавить (Add).
4. В окне Добавить изолированную оснастку (Add Standalone Snap-In) выберите Шаблоны безопасности (Security Templates) и щелкните кнопку Добавить (Add).
5. Выберите оснастку Анализ и настройка безопасности (Security Configuration and Analysis), щелкните Добавить, а затем Закрыть (Close).
6. Щелкните ОК, чтобы добавить выбранные оснастки в консоль.
7. Сохраните консоль, выбрав в меню Консоль пункт Сохранить как (Save As). В поле имени файла введите Security Configuration Management и щелкните Сохранить (Save).

В окне Проводника создайте новую папку с именем Custom Templates.
2. Откройте консоль Security Configuration Management.
3. Щелкните Шаблоны безопасности (Security Templates) правой кнопкой и выберите Новый путь для поиска шаблонов (New Template Search Path).
4. Выберите папку Custom Templates и щелкните ОК. В консоли Security Configuration Management появится новая папка.
Рекомендуется никогда не изменять шаблоны по умолчанию, а новые (или существующие, которые надо изменить) шаблоны размещать в отдельном месте.

Templates) щелкните файл Securews.inf правой кнопкой и выберите Сохранить как (Save As).
2. В качестве места хранения выберите созданную ранее папку Custom Templates, а в качестве имени файла — Test1. Щелкните Сохранить (Save).
Изменение шаблона
1. Раскройте папку Custom Templates в консоли Security Configuration Management. Чтобы увидеть шаблон Test1, возможно придется обновить консоль.
2. Раскройте разделы шаблона Test1.
3. Раскройте узел Локальные политики (Local Policies) и выберите Параметры безопасности (Security Options).

Сетевая безопасность (Network Security) и изучите их значения. Обратите внимание, что значение политики — Не определено (Not defined);
5. Дважды щелкните политику Завершение работы: разрешить завершение работы системы без выполнения входа в систему (Shutdown: Allow System to Be Shut Down Without Having to Log on). Откроется окно свойств политики.
6. Установите флажок Определить следующий параметр политики в шаблоне (Define This Policy Setting in The Template) (если он еще не установлен) и отметьте переключатель Отключен (Disabled).
7. Щелкните ОК.
8. Сохраните внесенные изменения, щелкнув правой кнопкой имя шаблона и выбрав в контекстном меню Сохранить (Save).

папку Custom Template.
2. Дважды щелкните шаблон Test1, чтобы открыть его в окне Блокнот (Notepad).
3. Изучите раздел [Registry Values]. Здесь изменяют или добавляют разделы реестра, на которые подействует шаблон в случае его применения.
Применение шаблона
1. Создайте шаблон отката командой:
secedit /generaterollback /cfg testl.inf /rbk testlrollback.inf /log test1rollback.log
2. В консоли Security Configuration Management щелкните узел Анализ и настройка безопасности (Security Configuration And Analysis) правой кнопкой и выберите Открыть базу данных (Open Database). База данных не образуется автоматически, поэтому сначала надо ее создать.

Name) и щелкните кнопку Открыть (Open). Поскольку в п. 1 создан шаблон отката, то можно без опаски применять созданный нами шаблон.
4. В окне Импорт шаблона (Import Template) выберите шаблон Testl.inf и щелкните кнопку Открыть (Open).
5. Щелкните узел Анализ и настройка безопасности правой кнопкой и выберите Настроить компьютер (Configure Computer Now).
6. На запрос подтверждения местоположения журнала ошибок щелкните ОК. Журнал ошибок позволяет узнать, когда и какие шаблоны применялись к компьютеру.
7. Дождитесь окончания процесса конфигурирования и закройте консоль, не сохраняя ее.

безопасности обнаруживается, что компьютер стал недоступен из сети или наоборот степень его защиты стала ниже требуемой.
Если перед применением шаблона был создан шаблон отката, систему можно вернуть в исходное состояние.
Если также надо вернуть разрешения файловой системы и реестра в состояние, в котором они находились после установки, можно применить один из установочных шаблонов по умолчанию.
Если этого не нужно, достаточно применить шаблон отката.

Security Configuration Management щелкните узел Анализ и настройка безопасности (Security Configuration And Analysis) правой кнопкой и выберите Импорт шаблона (Import Template).
2. В одноименном окне выберите шаблон TestlroIIback.inf.
3. Установите флажок Очистить эту базу данных перед импортом (Clear This Database Before Importing) и щелкните кнопку Открыть. Если флажок не установить, будет применена информация из обоих шаблонов.
4. Щелкните узел Анализ и настройка безопасности правой кнопкой и выберите Настроить компьютер (Configure Computer Now).
5. Щелчком ОК подтвердите местоположение файла журнала ошибок.
6. Закройте консоль Security Configuration Management.

затем о них благополучно забывают и при возникновении неполадок оказывается, что никто не помнит, какие значения параметров задавались.
С помощью оснастки Анализ и настройка безопасности (Security Configuration and Analysis) можно сравните текущие значения параметров с эталонным шаблоном.

безопасности (Security Configuration And Analysis) правой кнопкой и выберите Импорт шаблона (Import Template).
2. Выберите шаблон Test1.inf и щелкните кнопку Открыть (Open).
3. Щелкните узел Анализ и настройка безопасности правой кнопкой и выберите Анализ компьютера (Analyze Computer Now).
4. Щелчком OK подтвердите местоположение файла журнала ошибок. По завершении анализа вы сможете исследовать в консоли параметры базы данных и отличия от политики.

которые представлены в правой панели. Изменения помечены красным крестом. Обратите внимание на столбцы Параметр базы данных (Database Setting) и Параметр компьютера (Computer Setting) — по ним вы сможете точно определить различия, а также обратите внимание на не проанализированные элементы — возможно, придется изучать их вручную.
6. Закройте консоль.

трафика между двумя компьютерами;
блокирования определенного входящего и исходящего трафика;
разрешения определенного входящего и исходящего трафика.
Политики IPSec (IPSec policies) можно рассматривать как набор фильтров пакетов, реализующих политику безопасности IP-трафика. Каждый фильтр (filter) описывает определенное действие сетевого протокола. Если входящий или исходящий трафик устройства (компьютера или иного оборудования IP-сети), на котором есть активная политика, удовлетворяет условиям одного из фильтров, соответствующие пакеты блокируются, пропускаются или перед дальнейшей пересылкой между источником и приемником устанавливается IPSec-подключение.

Использование протоколов сетевой безопасности

Professional доступ к IP-безопасности можно получить через объект групповой политики (GPO) или в оснастке Управление политикой безопасности IP (IP Security Policy Management).

mmc и щелкните ОК.
2. В меню Консоль (Console) выберите Добавить или удалить оснастку (Add/Remove Snap-In).
3. В одноименном окне щелкните кнопку Добавить (Add).
4. В окне Добавить изолированную оснастку (Add Standalone Snap-In) выберите Управление политикой безопасности IP (IP Security Policy Management) и щелкните кнопку Добавить (Add).
5. В окне Выбор компьютера или домена (Select Computer or Domain) щелкните Готово (Finish), оставив вариант по умолчанию Локальный компьютер (Local Computer). Щелкните Готово (Close). В окне Добавить или удалить оснастку указана выбранная оснастка Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer).

Сохранить как (Save As), введите имя файла IP Security Policy Management и щелкните Сохранить (Save).
Создание запрещающей политики
1. В консоли Политики безопасности щелкните узел Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) правой кнопкой и выберите Создать политику безопасности IP (Create IP Security Policy).
2. В окне Мастер политики IP-безопасности (IP Security Policy Wizard) щелкните Далее (Next).
3. В поле Имя (Name) введите block web server access. В поле Описание (Description) введите описательный текст и щелкните Далее.

rule) и щелкните Далее. Это правило разрешает небезопасную связь. В большинстве случаев это надо предотвратить, и правило удаляется. Его всегда можно при необходимости восстановить.
5. Щелкните Готово (Finish).
6. В окне свойств новой политики сбросьте флажок Использовать мастер (Use Add Wizard). Мастер позволяет создавать сложные политики, а при создании простых лишь усложняет дело. Щелкните кнопку Добавить (Add).
7. На вкладке Список фильтров IP (IP Filter List) щелкните Добавить (Add).
8. В поле Имя (Name) введите blocking, а в поле Описание (Description)— blocking protocols.

Добавить (Add), чтобы добавить фильтр.
10. В списке Адрес назначения пакетов (Source Address) выберите Любой IP-адрес (Any IP Address), а в списке Адрес источника пакетов (Source Address) выберите Мой IP-адрес (My IP Address).
11. На вкладке Протокол (Protocol) в поле со списком Выберите тип протокола (Select a protocol type) выберите TCP.
12. В области Установка порта для протокола IP (Set The IP Protocol Port) выберите Пакеты на этот порт (to this port), введите 80 и щелкните OK.
13. Выберите запись Blocking в списке IP-фильтры и перейдите на вкладку Действие фильтра (Filter Action).

Добавить (Add), чтобы определить действие фильтра, то есть то, что происходит, когда фильтр активизируется. В данном случае фильтр блокирует любой входящий трафик через порт 80.
15. На вкладке Методы безопасности (Security Methods) выберите вариант Блокировать (Block).
16. На вкладке Общие (General) и в поле Имя (Name) введите block и щелкните ОК.
17. На вкладке Действие фильтра (Filter Action) выберите действие Блокировать (Block), щелкните Закрыть (Close), а затем — ОК.
Создание политики не изменяет поведение компьютера — для этого надо применить политику: щелкнуть значок политики правой кнопкой и выбрать Назначить (Assign). На машине разрешается только одна активная политика.

должны практически совпадать на обоих компьютерах. Политику, которую определите, надо экспортировать, а затем импортировать на Computer2.
Если в домене Windows многие компьютеры используют одну политику, ее можно создать как часть объекта групповой политики (GPO).

IP на «Локальный компьютер» (IP Security Policies On Local Computer) и выберите Создать политику безопасности IP (Create IP Security Policy).
2. В окне Мастер политики IP-безопасности (IP Security Policy Wizard) щелкните Далее (Next).
3. В поле Имя (Name) введите encrypt telnet traffic. В поле Описание (Description) введите описательный текст и щелкните Далее.
4. Сбросьте флажок Использовать правило по умолчанию (Activate the default response rule) и щелкните Далее, а затем — Готово (Finish).
5. В окне свойств политики перейдите на вкладку Общие (General) и щелкните кнопку Параметры (Settings), чтобы просмотреть и скорректировать параметры обмена ключами.

Методы (Methods). В окне Методы безопасности при обмене ключами (Key Exchange Settings) определяют особенности создания основного ключа. Хотя частое обновление ключей обеспечивает повышенную безопасности связи, оно часто отрицательно сказывается на производительности.
7. В окне Методы безопасности при обмене ключами выберите четвертый (последний) заданный по умолчанию метод защиты и щелкните кнопку Удалить (Remove). Затем удалите третий метод защиты. Должны остаться два первых метода.
Удаление двух методов и изменение группы Диффи-Хеллмана оставшихся методов защиты укрепляет безопасность основного ключа, но может отрицательно сказаться на производительности. Компьютер, пытающийся создать подключение, должен поддерживать по крайней мере один из двух оставшихся методов, иначе подключение создать не удастся.

9. В окне Алгоритмы безопасности IKE (IKE Security Algorithms) в поле со списком Группа Диффи-Хелмана (Diffie-Hellman Group) выберите Высокая (2048) [High (2048)]. Щелкните ОК. Повторите аналогичную операцию со вторым методом защиты.
Изменение группы Диффи-Хелмана способствует укреплению безопасности по двум причинам. Во-первых, для вычисления основного ключа используются большие простые числа; во-вторых, связь возможна только с другими компьютерами под управлением Windows Server 2003, потому что только они поддерживают этот параметр. Выбор самой надежной группы Диффи-Хелмана часто вызывает проблемы, так как пользователи с «устаревшими» ОС утрачивают способность создавать подключения. Это также может отрицательно сказаться на производительности, ведь ключ длиннее и ресурсов на шифрование затрачивается больше.

перейдите на вкладку Правила (Rules).
11. Установите флажок Использовать мастер (Use Add Wizard) и щелкните Добавить (Add), чтобы добавить правило.
12. В окне Мастер создания новых правил IP-безопасности (Create IP Security Rule Wizard) щелкните Далее.
13. На странице Конечная точка туннеля (Tunnel Endpoint) щелкните Далее. В этой политике туннель не нужен.
14. На странице Тип сети (Network Type) щелкните Далее, приняв значение по умолчанию — Все сетевые подключения (All network connections). Эта политика действует независимо от того, где инициируется подключение.
15. На странице Список фильтров IP (IP Filter List) щелкните Добавить (Add), чтобы создать список фильтров.
16. В поле Имя (Name) введите negotiate, а в поле Описание (Description) — описательный текст.

Добавить (Add), чтобы добавить фильтр.
18. В окне Мастер IP-фильтра (IP Filter Wizard) щелкните Далее (Next).
19. В поле Описание (Description) введите описание фильтра и щелкните Далее.
20. В поле со списком Адрес источника пакетов (IP traffic source) выберите Определенный IP-адрес (A Specific IP Address).
21. В поле IP-адрес (IP Address) введите IP-адрес компьютера Computer1 и щелкните Далее.
22. На странице Назначение IP-трафика (IP Traffic Destination) в поле со списком Адрес назначения (Destination Address) выберите Определенный IP-адрес (A Specific IP Address) и введите IP-адрес Computer2. Щелкните Далее.

щелкните Далее.
24. В поле Пакеты на этот порт (to this port), введите 23, щелкните Далее, а затем — Готово (Finish).
25. Щелкните ОК, чтобы возвратиться в окно Мастер правил безопасности.
26. Выберите фильтр Negotiate и щелкните Далее.
27. Выберите Требуется безопасность (Require Security) и щелкните Далее.
28. В качестве метода аутентификации выберите Kerberos и щелкните Далее, а затем — Готово (Finish).
29. Щелкните ОК, чтобы завершить создание правила. Щелкните ОК еще раз, чтобы закончить процедуру.

надо позаботиться, чтобы на другом компьютере конфигурация политики совпадала.
Один способ решения этой задачи — создать политику на другом компьютере вручную, но можно экспортировать политику с одного компьютера и импортировать на другой компьютер.

на Computer1 щелкните Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) правой кнопкой и выберите Все задачи (All Таsks)\Экспортировать политики (Export Policies).
2. Перейдите к общей папке на Computer1, введите имя файла и щелкните Сохранить (Save).
3. На Computer2 создайте консоль Управление политикой безопасности IP (IP Security Policy Management).
4. Щелкните правой кнопкой Политики безопасности IP на «Локальный компьютер» (IP Security Policies On Local Computer) и выберите Все задачи (All аsks)\Импортировать политики (Import Policies).
5. Выберите файл политики и щелкните Открыть (Open). Политика безопасности успешно скопирована на компьютер. Закройте все консоли и выйдите из системы обоих компьютеров.

безопасности IP (IP Security Policy Management), можно выполнить с помощью команды Netsh.
Эта утилита позволяет делать то, что невозможно в оснастке, например: применение безопасности компьютера при запуске, определение ограничения трафика при загрузке, определение уровня диагностика, соблюдение ограничений трафика по умолчанию, выполнение строгой проверки CRL, журналирование IKE (Oakley), изменение интервалов записи в журналы и создание постоянной политики.

статический контекст:
Netsh
NetshMpsec static
2. Создайте политику на Computer1 командой:
Add policy name="telnet“ description="only allow negotiated telnet from computer2 to computerl“ activatedefaultrule=no mmsecroethods="3D ES-MD5-3”
В этой политике надо задать два правила. Одно блокирует весь telnet-трафик, а второе организует согласование telnet между Computer2 и Computer1. Перед созданием правил надо задать список фильтров, сами фильтры и действие фильтра. Если создать фильтр для несуществующего списка фильтра, список фильтров создается автоматически.

в качестве IP-адреса источника задайте 192.168.92.x2 (Computer2):
Add filter filterlist="telnet computer2"
srcaddr=192.168.x.2 dstaddr=Me description="computer2 telnet to computerl“ protocol=TCP mirrored=yes srcmask=32 dstmask=32 srcport=0 dstport=23
4. Следующая команда определяет действие фильтра, согласующего telnet между Computer2 и Computerl:
Add filteraction name="negotiate computer2 telnet"
qmpfs=no inpass=no soft=no action=negotiate qmsecmethods="ESP[3DES,MD5]“

filteraction="negotiate computer2 telnet"
Kerberos=yes description="this rule negotiates telnet if the source computer is computer2“
6. Подготовьте список фильтров и действие фильтра для второго правила: создайте список с одним фильтром, который реагирует на telnet и запрещает telnet-трафик с любых компьютеров:
Add filter filterlist="blocktelnet"
srcaddr=Any dstaddr=Me description="all telnet to computerl“
protocol=TCP mirrored=yes srcmask=24 dstmask=24 srcport=0 dstport=23

telnet" inpass=yes action=block
8. Создайте правило, управляющее согласованием telnet:
Add rule name="telnetN" policy="telnet"filterlist="blocktelnet"
filteraction="block all telnet“
Kerberos=yes description="this rule negotiates telnet if the source computer is computer2"
9. Назначьте политику:
set policy name=telnet assign=yes
10. Войдите в систему Computer2 как Администратор (Administrator) и откройте окно командной строки.

с одним фильтром и действием. Это позволит согласовать telnet-подключение с Computed. Сначала создайте политику командой:
Add policy name="telnet"
description="only allow negotiated telnet to computeri from computer2"
activatedefaultrule=no mmsecrnethods="3D ES-MD5-3"
12. Затем создайте список фильтров:
Add filter filterlist="telnet computeri"
srcaddr=Me dstaddr=192.168.x.2 description="computer2 telnet to computeri"
protocol=TCP mirrored=yes srcmask=32 dstmask=32 srcport=0 dstport=23

inpass=no soft=no action=negotiate
14. Теперь добавьте правило, управляющее согласованием telnet:
Add rule name="telnetN" policy="telnet"filterlist = "telnet computeri"
filteraction="negotiate computer2 telnet"
Kerberos=yes description="this rule negotiates telnet to computeri"
15. Назначите политику. Помните, что в каждый момент времени активна только одна политика. Эту команду надо выполнить на обоих компьютерах.
set policy name=telnet assign=yes
16. Закройте Netsh.

Netsh
Netsh>ipsec static
2. Командой Show проверьте активную политику, чтобы убедиться в успешности применения политики:
show policy name=telnet level=verbose
3. Перейдите в динамический режим:
Dynamic
4. Включите диагностику и запись всех событий (по умолчанию определено значение 0, то есть запись отключена):
set config property=ipsecdiagnostics value=7

6. Отобразите информацию об основном и быстром режиме сопоставления командами Show Mmsas All и Show Qmsas All соответственно.
7. Введите quit, чтобы выйти из Netsh

на обоих компьютерах.
2. Убедитесь, что активна назначенная вами политика IPSec. Ознакомьтесь с параметрами активной политики. Совпадают ли они с теми, что были заданы?
3. Последовательно дважды щелкните подузлы Сопоставления безопасности (Security Associations) узлов Основной режим (Main Mode) и Быстрый режим (Quick Mode) . Этот позволит узнать, какой метод шифрования используется.
4. Закройте окна.

создайте файл Test1.txt, щелкнув правой кнопкой общую папку Shared Captures в Проводнике (Windows Explorer), выбрав Создать (New) и Текстовый документ (Text Document). Затем укажите имя файла — Test1. txt — и щелкните ОК.
2. На Computer2 откройте окно командной строки и выполните Netcap с буфером 1 Мб и сохраните записанные данные в файл C:\Authentication.cap :
netcap /с:c:\authentication.cap /n:0
3. При включенной записи данных подключитесь к общей папке \\Computer1\Captures\ на контроллере домена и дважды щелкните файл Testl.txt, чтобы открыть его в Блокноте (Notepad).

запрещении доступа, так как по умолчанию группе Все (All) предоставлено разрешение только на чтение.
5. В другом окне командной строки подключитесь по telnet к контроллеру домена командой:
telnet computer1
6. Вернитесь в окно командной строки для Netcap и нажмите клавишу «пробел», чтобы остановить сбор данных. В окне отобразится информация о названии файла с записанными данными.
7. Откройте файл с записями в Network Monitor и найдите информацию, подтверждающую чтение файла. Текст в файле должен отображаться открытым текстом.
8. Найдите согласование ISAKMP и кадры ESP.
9. Закройте файл записи данных и окно сетевого монитора.