Брандмауер Windows 7 в режимі підвищеної безпеки. Частина 5, Windows, Операційні системи, статті

У цій частині статті буде докладно розказано про роботу з контекстом Netsh Advfirewall MainMode. Основний режим з’явився в операційній системі Windows 7 і Windows Server 2008 R2. Цей функціонал погоджує обмін ключами в Інтернеті (IKE) і встановлює захищений канал між двома комп’ютерами шляхом визначення набору криптографічних комплектів захисту, обміну матеріалом ключа для створення загального секретного ключа та перевірки облікових даних комп’ютерів і користувачів. Зіставлення безпеки (SA) по протоколу ISAKMP – це інформація про захищеному каналі, зберігається на локальному комп’ютері і дозволяє йому здійснювати обмін даними з віддаленим комп’ютером. Можна здійснювати спостереження за зіставленнями безпеки основного режиму для отримання інформації про поточні встановлених тимчасових підключеннях до вашого комп’ютера і комплект захисту, використаний для створення зіставлення безпеки.

Основний режим функціонує за умови дотримань режиму Common Criteria (для вивчення цього режиму та роботи з групою криптографічних операторів ви можете ознайомитися з наступним ресурсом: Description of the Crypto Operators security group that was added to Windows Vista Service Pack 1 to configure Windows Firewall for IPsec in Common Criteria mode). Якщо на комп’ютері цей режим включений, то адміністратори комп’ютера можуть створювати і керувати правилами основного режиму. Для того щоб можна було використовувати всі команди для основного режиму, ваша адміністративна обліковий запис також повинна полягати в групі “Криптографічні оператори”. Створені правила можна експортувати і застосовувати на інших комп’ютерах. Контекст Netsh advfirewall MainMode підтримує чотири команди, які описані в наступних розділах.



Add


Подібно контексту Netsh Advfirewall Consec, Команда Add також призначена тільки для створення правил основного режиму за допомогою команди Add rule. Ці правила визначають, як IPSec встановлює захищений канал між двома комп’ютерами шляхом визначення набору криптографічних комплектів захисту, обміну матеріалом ключа для створення загального секретного ключа та перевірки облікових даних комп’ютерів і користувачів. Синтаксис команди наступний:


Netsh Advfirewall MainMode Add rule name = ІмяПравіла


де:


name = ІмяПравіла. За допомогою цього параметра ви можете вказати ім’я нового правила основного режиму. Ім’я правила повинно бути унікальним і не може мати значення “all”.


mmsecmethods = { KeyExch:Encryption-Integrity [ ,… ] / default }. За допомогою цього параметра ви можете вказати схему обміну ключами Діффі – Хеллмана, що дозволяє двом сторонам отримати загальний секретний ключ, використовуючи незахищений від прослуховування, але захищений від підміни, канал зв’язку. Синтаксис частини команди в цьому випадку буде наступний:


keyexch:enc-integrity,keyexch:enc-integrity[,…]


де keyexch це dhgroup1 / dhgroup2 / dhgroup14 / ecdhp256 / ecdhp384, enc – des / 3des / aes128 / aes192 / aes256, а integrity – md5 / sha1 / sha256 / sha384.


Також ви можете вводити кілька комбінацій enc-алгоритмів цілісності в тому випадку, якщо вони використовують той же механізм, що і у першої пари enc-цілісності, розділені комами. Значення, вказане за замовчуванням – dhgroup2:aes128-sha1,dhgroup2:3des-sha1


mmforcedh = { yes / no }. Цей параметр призначений для використання DH у захисті обміну ключами основного режиму IPSec при використанні AuthIP. Доступні значення: yes, no.


mmkeylifetime = Lifemin,Numsess. За допомогою цього параметра ви можете налаштовувати час життя ключа основного режиму в хвилинах або сеансах, або ж обома способами. Хвилини можуть варіюватися від 1 до 2880, а сеанси від 0 до 2147483647. Також доступно значення notconfigured.


description = Опис правила. За допомогою цього параметра ви можете вказати докладний опис для створеного правила.


enable = { yes /no }. За допомогою цього параметра можна вказати, чи повинно бути включено правило після його створення. Значення за замовчуванням – yes.


profile = { public / private / domain / any / [ ,… ] }. За допомогою цього параметра ви можете вказати профілі, на які буде поширюватися поточне правило. Правило буде застосовуватися тільки в тому випадку, якщо зазначений в правилі профіль буде активним. Профіль домену застосовується до мережі, якщо для домену, в який входить локальний комп’ютер, виявлений контролер домена. Приватний профіль застосовується до мережі, якщо вона позначена адміністратором комп’ютера як приватна і не є доменної мережею. Загальний профіль застосовується до мережі, якщо комп’ютер безпосередньо підключений до публічної мережі, наприклад в аеропорту чи кафе.


endpoint1 = Адреси. За допомогою цього параметра ви можете вказати комп’ютери, на які поширюються умови поточного правила. Комп’ютери, зазначені в endpoint1 можуть зв’язуватися з комп’ютерами, зазначеними в endpoint2 тільки в тому випадку, коли виконуються вимоги поточного правила. При вказівці конкретних IP-адрес вони повинні ставитися до однієї і тієї ж версії протоколу IP. Крім цього, при налаштуванні динамічних тунелів кінцеві точки тунелів можуть задаватися як any. Локальну тунельну кінцеву точку задавати для клієнтської політики необов’язково (тобто any). Також необов’язково вказувати видалені кінцеві точки тунелів для політики шлюзу (тобто any). Для параметрів endpoint1 і endpoint2 доступні наступні значення:



auth1 = { computerkerb / computercert / computercertecdsap256 / computercertecdsap384 / computerpsk / computerntlm / anonymous / [ , …] }. Цей параметр відповідає за використання перевірки автентичності комп’ютера IPSec для основного режиму на основі сертифікату комп’ютера. Можна вказувати декілька значень, розділених комами без пробілів. Для того щоб за допомогою створеного правила комп’ютери могли між собою спілкуватися, перевірка справжності повинна пройти успішно. Обов’язково повинен бути вказаний як мінімум один метод перевірки автентичності. Для цього параметра доступні наступні значення:



auth1psk = PreSharedKey. Даний параметр можна використовувати тільки в тому випадку, якщо в значеннях параметра auth1 присутній computerpsk. За допомогою цього параметра можна поставити додаткові значення ключа, який використовується для перевірки автентичності. Це значення зберігається в незашифрованому вигляді.


auth1ca = “CAName [ certmapping: { yes / no } ] [ excludecaname: { yes / no } ] [ catype: { root / intermediate } ] [ / … ]”. За допомогою цього параметра ви можете вказати сертифікат, підписаний за допомогою алгоритму шифрування з відкритим ключем RSA. Цей параметр може бути активним тільки в тому випадку, якщо у параметра auth1 було встановлено значення computercert. Ви можете вказати декілька сертифікатів, розділивши їх символом /. Всі значення параметра повинні бути укладені в лапки. Для цього параметра є кілька необхідних значень:



auth1healthcert = { yes / no }. Цей параметр обмежує використовувані сертифікати комп’ютерів тими, які позначені як сертифікати працездатності. Сертифікати працездатності публікуються центром сертифікації для підтримки розгортання захисту доступу до мережі (NAP). Служба захисту доступу до мережі (NAP) допомагає визначати і застосовувати політики працездатності, щоб забезпечити мінімальну ймовірність доступу в мережу комп’ютерів, що не відповідає мережевим вимогам (наприклад, комп’ютерів без антивірусних програм або на яких не встановлені останні оновлення програмного забезпечення). Цей параметр може бути активним тільки в тому випадку, якщо у параметра auth1 було встановлено значення computercert.


auth1ecdsap256ca = “CAName [ certmapping: { yes / no } ] [ excludecaname: { yes / no } ] [ catype: { root / intermediate } [ / … ]”. За допомогою цього параметра ви можете вказати сертифікат, підписаний за допомогою алгоритму цифрового підпису на еліптичних кривих з 256-бітовим рівнем криптостійкості ключа. Цей параметр може бути активним тільки в тому випадку, якщо у параметра auth1 було встановлено значення computercertecdsap256.


auth1ecdsap256healthcert = { yes / no }. Цей параметр за своїм призначенням і значенням ідентичний параметру auth1healthcert.


auth1ecdsap384ca = “CAName [ certmapping: { yes / no } ] [ excludecaname: { yes / no } ] [ catype: { root / intermediate } [ / … ]”. За допомогою цього параметра ви можете вказати сертифікат, підписаний за допомогою алгоритму цифрового підпису на еліптичних кривих з 384-бітовим рівнем криптостійкості ключа. Цей параметр може бути активним тільки в тому випадку, якщо у параметра auth1 було встановлено значення computercertecdsap384.


auth1ecdsap384healthcert = { yes / no }. Цей параметр за своїм призначенням і значенням ідентичний параметру auth1healthcert.


type = { dynamic / static }. За допомогою цього параметра ви можете вказати, як буде застосовуватися правило для поточної сесії, і де воно буде зберігатися. Для цього параметра є два значення:



За замовчуванням встановлено параметр static


Приклад використання:


add rule name = “Приклад використання” description = “Це приклад створення правила для основного режиму” Mmsecmethods = dhgroup2: 3des-sha256, ecdhp384: 3des-sha384 auth1 = computercert, computercertecdsap256 auth1ca = “C = US, O=MSFT, CN=”Microsoft North, South, East, and West Root Authority”” auth1healthcert=no auth1ecdsap256ca=”C=US, O=MSFT, CN=”Microsoft North, South, East, and West Root Authority”” auth1ecdsap256healthcert=yes mmkeylifetime=2min profile=domain



Delete


За допомогою команди Delete контексту Netsh Advfirewall MainMode ви можете видалити всі правила або окремі їх параметри. При вказівці команди без параметрів, команда delete видалить всі створені раніше правила основного режиму. При виявленні кількох збігів видаляються всі правила, що задовольняють умові. Синтаксис команди наступний:


Netsh Advfirewall MainMode Rule Параметр Значення


Всі параметри, які доступні для цієї команди, ідентичні деякими параметрами команди Add. Для цієї команди доступні наступні параметри:


name = { all / RuleName }, profile = { public / private / domain / any / [ ,… ] }, type = { dynamic / static }


Для того щоб видалити створене правило основного режиму, виконайте наступні дії:


delete rule name = “Приклад використання”



Set


За допомогою команди Set контексту Netsh Advfirewall MainMode ви можете змінювати і додавати будь-які параметри і значення в заздалегідь створені правила. Для того щоб в існуюче правило основного режиму можна було додати новий параметр, перед зазначенням параметрів, введіть set rule new. Якщо таких значень немає, або ж ключове слово new відсутня, зміни не вносяться. Якщо правила не існує, команда завершується помилкою. Для створення правил використовується команда add, Яка детально описувалася в розділі Add. Синтаксис команди наступний:


set rule name = ІмяПравіла Параметр Значення


У тому випадку, якщо умовою відповідають декілька правил, всі відповідні правила будуть оновлені. У наступному списку відображено всі параметри, які ви можете задавати без параметра new:



Разом з параметром new можна використовувати всі параметри, які розглядалися в розділі Add.


Для зміни імені правила і його описи, виконайте наступні дії:


set rule name = “Приклад використання” new name = “Основний режим” description = “Нове опис”



Для того щоб змінити параметри mmescmethods і mmkeylifetime, виконайте наступне:


set rule name = “Основний режим” new Mmsecmethods = dhgroup2: 3des-sha256, ecdhp384: 3des-sha384 auth1 = computerntlm mmkeylifetime = 15min



Show


За допомогою команди Show контексту Netsh Advfirewall MainMode ви можете відобразити всі примірники правил основного режиму, відповідних вказаному імені і, при необхідності, профілями і типу. При бажанні ви можете зробити вибірку правил по імені, використовуючи параметр name = {all / ІмяПравіла}; За профілями, використовуючи параметр profile = { public / private / domain / any } [ ,… ]; По типу: type = { dynamic / static }, А також відобразити детальну інформацію, використовуючи параметр verbose.


Наприклад:


show rule name = “Основний режим”



Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*