Windows - Gyakorlati megvalósítás, tesztelés

IPSecurity 3. rész

Sorozatunk utolsó részében befejezzük az IP biztonsági házirendek tárgyalását és megnézzük milyen eszközökkel tudjuk tesztelni a kapcsolatot.
Új IP biztonsági házirend létrehozása:

Kattintsunk a csoportházirend beépülő modul "IP-biztonsági házirendek" elemére, utána pedig a Művelet > IP-biztonsági házirend létrehozása menüpontra. Egy varázsló segítségével lehet elkészíteni az új házirendet, de mint ahogy a varázsló első oldalán értesülünk is erről, később nekünk kell kézzel befejezni a konfigurálást.
A második oldalon nevet és leírást adhatunk a házirendhez.
A harmadik "Kérelmek biztonságos kommunikációra" című oldalon előírható az alapértelmezett válaszszabály aktiválása. Cikksorozatunk előző részében az IP biztonsági szabályok tárgyalásánál említettük a "<Dinamikus>" bejegyzéssel ellátott szűrőt, amely az alapvető kommunikáció létrejöttéhez szükséges. Egy ilyen szűrő minden házirendben jelen van, a varázslóval csak annyit tudunk állítani, hogy az előtte lévő jelölőnégyzet - és ezzel együtt a szűrő is - legyen-e aktív.
A következő oldalon hitelesítési módszert kell rendelnünk a házirendhez. Alapértelmezés szerint a Windows 2000 fő hitelesítő eljárását, a Kerberos hitelesítést használhatjuk.
Ezzel véget ért a varázsló közreműködése, létrejött egy új házirend objektum. Megkérdezhetnénk, hogy ez a varázsló mire volt jó, hiszen rengeteg állítási lehetőséget kihagyott, de ha mindenhol elfogadtuk a felajánlott beállításokat és figyelmesen megnézzük és összehasonlítjuk az "előregyártott" házirendekkel, láthatjuk, hogy az Ügyfél (Client) házirenddel megegyező házirendet kaptunk.

Szűrőlisták és szűrőműveletek kezelése:

Kattintsunk a csoportházirend beépülő modul "IP-biztonsági házirendek" elemére, utána pedig a Művelet > IP-szűrőlisták és szűrőműveletek kezelése menüpontra. A házirendek tárgyalásánál megismert ablakokkal találkozhatunk, ezzel a menüponttal különállóan szerkeszthetjük a szűrőlistákat. Célja, hogy ehhez a funkcióhoz rövidebb úton férjünk hozzá.

Házirend integritásának ellenőrzése:

Kattintsunk a csoportházirend beépülő modul "IP-biztonsági házirendek" elemére, utána pedig a Művelet > Az összes feladat > Házirend integritásának ellenőrzése menüpontra. Leellenőrzi a házirend épségét, ha valamilyen sérülést talál, amely akadályozza a kommunikációt, egy figyelmeztetést fogunk kapni.

Házirend alapértékek visszaállítása:

Ez csak a rendszerhez kapott házirendekre érvényes. Kattintsunk a csoportházirend beépülő modul "IP-biztonsági házirendek" elemére, utána pedig a Művelet > Az összes feladat > Alapértelmezés szerinti házirendek visszaállítása menüpontra. Az általunk létrehozott házirendek érintetlenül maradnak, de a rendszerrel szállítottak ismét felveszik az eredeti állapotukat, ha ezekben bármilyen változtatás eszközöltünk, akkor azok elvesznek.
További hasznát vehetjük akkor is, ha letöröltünk egy eredeti házirendet, mert újra létrejön.

Házirendek importálása/exportálása:

A házirend beállítások fájlba menthetők és átvihetők egy másik számítógépre vagy akár biztonsági mentés céljából el lehet őket tárolni. Mentsük el a házirendet (mindig a teljeset menti) a Művelet > Az összes feladat > Házirend exportálása menü segítségével. Fájlunk kiterjesztése .IPSEC lesz, egyedi formátumban.
Visszatöltése a Művelet > Az összes feladat > Házirend importálása menüvel lehetséges. Rákattintás után a megnyitás párbeszédablakban megjelenik egy jelölőnégyzet a következő felirattal: "Minden létező házirend-információ törlése". Ha ezt bekapcsoljuk, akkor a teljes IP biztonsági házirend törlődik és az importálandó fájlban tároltak fogják alkotni az új házirendet. Ha nem kapcsoljuk be, akkor a fájl tartalma betöltődik a jelenlegi házirend mellé, amennyiben a rendszerben és a fájlban van két azonos nevű házirend, a fájl felülírja a rendszerben lévőt.

Az IP biztonsági házirendek beállítására van még egy lehetőség, amikor közvetlenül a kapcsolat protokollját állítjuk. Ehhez kattintsunk a Vezérlőpult > Hálózati és telefonos kapcsolatok ikonra, válasszunk ki egy kapcsolatot, kattintsunk rá a jobb oldali egérgombbal, majd válasszuk a Tulajdonságok > Hálózat (ha telefonos kapcsolatról van szó) > TCP/IP protokoll > Tulajdonságok > Speciális > Beállítások > IP-biztonság > Tulajdonságok gombot. "A következő IP-biztonsági házirend használata" legördülő menüben választhatunk a meglévő házirendek közül, de nem szerkeszthetjük őket. Ha nem tudunk semmit kiválasztani (minden elem szürke ezen az oldalon), annak az az oka, hogy a csoportházirend írja elő az IP biztonságot és csak ott engedélyezett a változtatások végrehajtása.


Az IPSec kapcsolatok tesztelése:

A TCP/IP kapcsolatok tesztelésének legalapvetőbb és egyben a leghasznosabb eszköze a parancssorból kiadható PING utasítás. Nincs ez másként a titkosított IP kapcsolatnál sem.
A PING csomagokat küld egy célállomásnak és ha az válaszol rá ezt jelzi, mérve a reakció időt. Próbáljuk egy IP biztonságot nem ismerő állomásról kiadni a következő parancsot:
PING 192.168.0.2
Ahol az IP cím az IP biztonság használatát megkövetelő gép címe. A válasz, amit kapunk: "A kérésre nem érkezett válasz a határidőn belül" - olyan mintha nem is létezne a célgép. Próbáljuk ki fordítva is, ekkor a válasz: "IP-biztonság egyeztetése". Ha ugyanezt két IP biztonságot ismerő gép között adjuk ki - amelyek házirendje nem zárja ki az egymással való kommunikációt - akkor érkezik válasz a kérésünkre.

Windows 2000-ben található egy IPSec statisztika megjelenítő program "IP-biztonságfigyelő" néven. Elindításához írjuk be a Start > Futtatás menübe: ipsecmon. Azonnal ellenőrizhetjük, hogy a gépen, amelyen elindítottuk engedélyezve van-e az IPSec, ha rátekintünk a program ablakának jobb alsó sarkára. A keresendő felirat egy keretben a következő: "Az IP-biztonság a számítógépen engedélyezett".
Egyetlen állítási lehetőségünk a megjelenő statisztika frissítési gyakorisága másodpercben kifejezve, ezt a "Beállítás" gombbal tudjuk elérni. Alapértelmezett értéke 15 másodperc, azonban tesztelésnél állítsuk 1 másodpercre, különben könnyen megtréfálhat minket: Ha létrejön egy kapcsolat a "Biztonsági hozzárendelések" listában ez megjelenik, ha véget ért a kommunikáció akkor pedig eltűnik. A gond akkor van, ha ez 15 másodpercen belül történik meg - ilyenkor nem látunk semmit. Az 1 másodpercre való átállítással ezen segíthetünk.

Harmadik univerzális tesztelési eljárás az Eseménynapló használata, azonban erre előtte fel kell készíteni. Abban a csoportházirend konzolban, ahol az IP biztonsági házirendet is állítottuk, tallózzunk el a Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Helyi házirend > Naplórend pontig. A konzol jobb oldalán megjelenő listában a "Bejelentkezések naplózása" és "Objektum-hozzáférések naplózása" naplórendeket kell engedélyezni. Ezt úgy tehetjük meg, hogy kétszer rákattintunk és a felbukkanó ablakban mindhárom jelölőnégyzetet bekapcsoljuk (1. A következő házirend-beállítás megadása, 2. Sikeres, 3. Sikertelen). Ezután az IP biztonsággal kapcsolatos bejegyzések megjelennek a Felügyeleti eszközök > Eseménynapló konzolban (IPSECPolicyStorage, Oakley forrással).



IPSecurity cikksorozat