headermask image

Блокируем ICMP трафик с помощью IPSec

Каким образом можно сконфигурировать компьютеры под управлением Windows 2000/XP/2003 на блокирование Ping пакетов? Windows 2000/XP/2003 имеет встроенный механизм безопастности IP, называемых IPSec (IP Security). IPSec это протокол разработанный для защиты индивидуальных TCP/IP пакетов при передачи их через сеть.

Однако мы не будем вдаваться в подробности функционирования и устройства IPsec, ибо помимо шифрования, IPSec может также защищать ваш сервер или рабочую станцию механизмом, похожим на файерволл.

Блокируем PING на одиночном компьютере

Для блокирования всех PING пакетов с компьютера и на него нам необходимо создать полититку IPSec, которая будет блокировать весь ICMP трафик. Для начала проверьте отвечает ли ваш компьютер на ICMP запросы:

ipsec_ping24.jpg

Для настройки одиночного компьютера нам необходимо выполнить следующие шаги:

Сконфигурируем список IP Filter Lists и Filter Actions

  1. Откройте окно MMC (Start > Run > MMC).
  2. Добавьте оснастку IP Security and Policy Management.

add_snapin.gif

ipsec_snapin.gif

  1. Выберите какой компьютер будет управляться этой политикой – в нашем случае это локальный компьтер. Нажмите Close, потом нажмитеOk.

ipsec_snapin1.gif

  1.  Правой кнопкой нажмите на IP Security Policies в левой половине консоле MMC. Выберите  Manage IP Filter Lists and Filter Actions.

ipsec_filters.gif

  1. Вам не нужно настраивать или создавать IP фильтр для ICMP (протокол в котором работает PING), так как такой фильтр уже существует по умолчанию – All ICMP Traffic.

ipsec_filters1.gif

Однако вы можете сконфигурировать сколь угодно сложный IP фильтр, к примеру запретить пинговать ваш компьютер со всех IP, кроме нескольких определенных. В одной из следующих статей посвященных IPSec мы подробно рассмотрим создание IP фильтров, следите за обновлениями.

  1. В окне Manage IP Filter Lists and Filter actions просмотрите ваши фильтры и если все в порядке нажмите на вкладку Manage Filter Actions. Теперь нам нужно добавить действие для фильтра, которое будет блокировать определенный трафик, нажмем Add.

ipsec_filters17.gif

  1. В первом окне приветствия нажимаем Next.
  2.  В поле Filter Action Name вводим Block и нажимаем Next.

ipsec_filters19.gif

  1. В Filter Action General Options выбираем Block, после чего жмем Next.

ipsec_filters20.gif

  1. Вернитесь в окно Manage IP Filter Lists and Filter actions и просмотрите ваши фильтры и если все в порядке, нажмите Close. Вы можете добавить фильтры и действия для фильтров в любое время.

ipsec_filters21.gif

Следующим шагом будет конфигурирование политики IPSec и её применение.

Конфигурируем политику  IPSe

  1. В той же MMC консоле нажмите правой кнопкой по IP Security Policies  и выберите Create IP Security Policy.

ipsec_policy.gif

  1. Пропустите приветствие мастера нажав Next.
  2. В поле  IP Security Policy Name введите соответствующее случаю имя, например “Block PING”. Нажмите Next

ipsec_policy21.gif

  1. В окне Запросов безопасного соединения сними галочку с чекбокса Active the Default Response Rule. НажмитеNext

ipsec_policy3.gif

  1. Отметьте чекбокс изменить свойства и нажмите Finish.

ipsec_policy4.gif

  1.  Нам нужно добавить IP фильтры и действия фильтров в новую политику IPSec. В окне новый политике IPSec нажмите Add

ipsec_policy22.gif

  1. Нажмите Next.
  2. В окне Tunnel Endpoint убедитесь что выбрано значение по умолчанию и нажмите Next.

ipsec_policy7.gif

  1. В окне  Network Type выберите All Network Connections и нажмите Next.

ipsec_policy8.gif

  1. В списке IP фильтров выберите “All ICMP Traffic” (или любой другой IP фильтр сконфигурированный в шаге #5 в начале этой статьи). Если, по каким то причинам вы не сконфигурировали IP фильтр прежде, вы можете сделать это сейчас, нажав Add. Итак, отмечаем нужный фильтр и нажимаем Next.

ipsec_policy23.gif

  1.   В окне действия фильтра выбираем “Block”.

ipsec_policy10.gif

Применяем политику IPSec

  1. В той же самой MMC консоли, нажмите правой кнопкой на новую политику и выберите Assign.

ipsec_policy25.gif

Все, политика работает, попробуйте пропинговать какой либо узел. В следующих статьях мы посмотрим что есть ещё в политиках IPSec, каким образом можно распространять политики на большое количество компьютеров.

Автор: Daniel Petri

Постовой

Компания ООО “Такелажник” один из лидеров в области перевозки спецтехники. Наша компания может предоставить вам в аренду спецтехнику, выполнить любые такелажные работы.

vtoroy
Похожие посты
  • Exchange 2010: Настройка IP Block List Providers на сервере Edge
  • Подключаем и извлекаем CD-rom в гостевом домене Windows под управлением Xen
  • Экспорт и импорт политик IPSec
  • Настройка запрета отправки почты внешним адресатам в Exchange 2007…
  • Три провайдера и сервера внутри сети
  • Распространяем политику IPSec через GPO
  • Настройка Site-to-Site VPN между Forefront TMG и Cisco PIX/ASA, часть 2
  • Создание IPSEC VPN туннеля между Linux и Cisco PIX
  • Настройка Site-to-Site VPN между Forefront TMG и Cisco PIX/ASA, часть 1
  • Как мониторить свитчи и их активные порты с помощью Nagios
  • One Comment

    1. Отлично разжеванное пошаговое руководство.
      Огромное спасибо.

      1. Владимир aka slimmer on October 2nd, 2012 at 7:18 pm