Защита передачи данных внутри сети

Лабораторная работа 9. Создание постоянных политик. Выбор режима запуска IPSec

Вводное:Использовать сеть, созданную в "лабораторной работе №8" . Данную лабораторную работу выполнять на сервере, на котором установлен DNS, используя привилегии администратора предприятия.

1. В консоль MMC добавьте оснастку Управление IP безопасностью с фокусом на локальный компьютер.
2. Сохраните созданную консоль.
3. В оснастке Политика безопасности IP выберите команду Создать политику безопасности IP.
4. Введите имя политики.
5. Снимите флажок напротив параметра Использовать правило по умолчанию.
6. Не используйте мастер создания правил.
7. В окне Список фильтров IP добавьте новый фильтр. Назовите его и дайте описание.
8. В свойствах фильтра в качестве адреса источника пакетов выберите Любой IP-адрес.
9. В качестве адреса назначения пакетов выберите Мой IP-адрес.
10. В качестве протокола выберите TCP/IP.
11. В качестве порта протокола используйте порт 135 и активируйте параметр Пакеты на этот порт.
12. Повторите предыдущие шаги для портов 136 – 139 TCP и UDP.
13. В окне Список фильтров IP выберите Блокировать.
14. Для добавления не используйте Мастер.
15. В качестве действия фильтра на вкладке Методы безопасности используйте Блокировать.
16. Закройте все диалоговые окна.

Вы создали блокирующую трафик политику IPSec. Какой из режимов запуска выбрать, если ее планируется применить на DNS-сервере?

Лабораторная работа 13. Создание межсайтовой VPN

Вводное:Необходимо использовать сеть с двумя доменами, созданную в "лабораторной работе №10" . Домен, в котором есть ISA Server 2004, оставить без изменения. В домен, в котором ISA Server нет, необходимо ввести еще один рядовой сервер под управлением WS 2003 и установить на него ISA Server 2004. Оба домена должны быть подключены к разным концентраторам. Необходим третий концентратор, к которому нужно подключить ISA Server обоих доменов. Выполнять лабораторную работу (производить настройку граничных точек VPN) необходимо на этих ISA Server.

1. Установите по одной дополнительной сетевой карте на двух компьютерах в разных доменах в тестовой сети.
2. Одну из сетевых карт на каждом компьютере настройте как внутренний интерфейс, а другую – как внешний.
3. Внешние интерфейсы подключите к концентратору (эмуляция внешнего Интернета).
4. На одном из компьютеров в меню Администрирование выберите Маршрутизацию и удаленный доступ.
5. Включите маршрутизацию.
6. Выберите Удаленный доступ (VPN или модем).
7. В качестве типа доступа выберите VPN.
8. Укажите адрес внешнего интерфейса в качестве подключения к Интернет.
9. Укажите какой-нибудь диапазон свободных адресов из подсети в домене.
10. В обоих доменах создайте разные учетные записи пользователей с правами на удаленный доступ.
11. Повторите все вышеперечисленные действия на сервере в другом домене, в конце указав другой диапазон свободных адресов.
12. На сервере в первом домене в консоли Маршрутизация и удаленный доступ перейдите на панель Сетевые интерфейсы и выберите внешний интерфейс.
13. Создайте новый интерфейс вызова по требованию.
14. В качестве имени интерфейса используйте сокращенное имя сетевого адаптера плюс имя домена.
15. Выберите параметр Подключаться с использованием VPN.
16. Выберите протокол PPTP.
17. Введите IP-адрес внешнего интерфейса.
18. Добавьте информацию о созданной в пункте 10 учетной записи.
19. Добавьте статический маршрут в сеть другого домена в соответствии с принятой схемой адресации.
20. В качестве учетных данных входящего подключения введите имя внешнего интерфейса и стойкий пароль.
21. В качестве учетных данных исходящего подключения используйте название внешнего сетевого интерфейса и пароль, созданные в другом домене.
22. В Свойствах созданного подключения убедитесь, что в качестве адреса маршрутизатора используется внешний IP-адрес сервера в другом домене.
23. В качестве Дополнительных параметров безопасности выберите MSCHAPv2.
24. Повторите шаги с 12 по 23 на сервере в другом домене, изменяя параметры учетной записи пользователя и сетевого интерфейса на заданные в первом домене.
25. Установите подключение VPN.

Лабораторная работа 14. Проектирование политики удаленного доступа

Вводное:Для выполнения этой и последующих лабораторных работ физических компьютеров и вмешательства в сеть как таковую не требуется. Необходимо предложить методы защиты в зависимости от данных задачи и в конце обсудить их на брифинге с другими учащимися.

В организации установлено рабочее время с 8.00 до 17.00. Некоторые служащие организации часто ездят в командировки и подключаются к сети с помощью удаленного доступа. Их учетные записи выделены в отдельную группу безопасности с ограниченным членством Sgroup. В соответствии с Политикой безопасности в организации не используются протоколы MSCHAP и PAP. В корпоративном домене управление удаленным доступом для всех учетных записей пользователей осуществляется через групповую политику. Спроектируйте одну или несколько групповых политик удаленного доступа для реализации данных задач. Опишите условия применения политики, ее разрешение, профиль и фильтрацию по группам Windows.