Pakettisuodin IPSecin avulla

IPSecin rakenne Windows 2000:ssa
Missäs ne politiikat asuvat?
Suodinlistan rakentaminen
Suodintoiminnon rakentaminen
Uuden politiikan luonti
Politiikan aktivointi ja sananen sääntöjen järjestyksestä
Esimerkkisuotimen lataus

Windows 2000:n IPSec-toiminnallisuutta voidan käyttää yksinkertaisen pakettisuotimen (Packet Filter) tekoon. Pakettisuodinta kannattaa käyttää tapauksissa, jossa palvelimen tehtävä on tarkoin rajattu (esim. HTTP-palvelin).

Pakettisuodin EI ole palomuuri. IPSecillä toteutettu suodin hylkää tai hyväksyy verkkoliitäntään saapuvat paketit ennen kuin ne koskaan saavuttavat TCP/IP-pinoa, eikä ns. stateful inspection ole mahdollista IPSec-suotimen avulla. Ulkoisen verkon alueelle näkyvät palvelimet tulee aina erikseen suojata kunnollisen palomuurin avulla, IPSec yksin ei riitä.

IPSecin käyttämistä pakettien suodattamiseen Windowsin oman TCP/IP -filtering -ominaisuuden sijasta puoltaa parikin seikkaa: suotimen käyttöönottoon ei tarvita uudelleenkäynnistystä, ja IPSec-suodin voidaan liittää osaksi AD:n politiikaa - suuremmissa konekokonaisuuksissa pakettisuotimen käyttöönotto on äärimmäisen helppoa.

IPSecin rakenne W2K:ssa

IPSec-polittikkojen rakentaminen on W2K:ssa toteutettu lyhyesti sanottuna seuraavasti:

Käytössä on suodinlistoja (IP Filter Lists), jotka määrittelevät osoitteet ja protokollat. Näiden lisäksi on olemassa suodintoimintoja (IP Filter Actions) jotka puolestaan kuvaavat, no, toiminnon, kuten esimerkiksi Permit (sallittu) ja Block (estetty). Katso kuva 1.

Kuva 1 - IPSecin perusrakenne

Suodinlista ja suodintoiminnot ovat ERILLISIÄ. Varsinainen suodin rakennetaan lopulta yhdistelemällä listoja ja toimintoja yhdeksi kokonaisuudeksi - tämä on sitten se joka on varsinainen IPSec-politiikka. Politiikkoja voi olla useita, niitä voidaan rakentaa valmiiksi etukäteen ja ottaa käyttöön toisistaan riippumatta. AD voi jaella politiikkoja osana ryhmäpolitiikkoja.

Suodinlistoja on valmiina, samoin kuin toimintojakin. Mikään ei kuitenkaan estä tekemästi niitä lisää, tai korvaamasta valmiita uusilla ikiomanimetyillä listoilla ja toiminnoilla. Mielenkiintoista on, ettei Windows 2000 sisällä valmiina block-toimintoa - joten tässä dokumentissa läpikäytävässä esimerkissä sellainen pitää tehdä.

Kuten tavallista, dialogit ovat epäintuitiivisia, mutta kun prosessin kerran kävelee läpi, ei yksinkertaisen IPSec-suotimen rakentamisessa ole mitään vaikeaa.

Missäs ne politiikat asuvat?

IPSec-politiikka voidaan rakentaa joko toimialueen tasolle (Domain Policy) toimialueen DC:ssä (josta sitä voidaan sitten jaella toimialueen muille koneille), itse toimialueen kontrolleriin (Domain Controller Policy) tai paikallisesti palvelimeen (Local Security Policy). Esimerkissämme IPSec-politiikka rakennetaan yhden web-palvelimen paikalliseen politiikkaan.

Joten käyttöliittymä auki ja ihastelemaan.

Start - Programs - Administrative Tools - Local Security Policy:

Kuva 2 - Palvelimen paikallisen turvapolitiikan asetukset

Kuten ylläolevasta kuvasta voidaan nähdä, perusasennetussa Windows 2000-koneessa tulee mukana kolme valmiiksirakennettua politiikkaa. Yksikään näistä politiikoista ei ole "päällä" - Policy Assigned - sarakkeessa lukee tomerasti "No".

Hiiri kohtaan "IP Security Policies on Local Machine", ja hiiren oikea näppäin. Valinta "Manage IP Filter Lists and Filter Actions". Täällä siis luomme tahikka muuttelemme niitä suodinlistoja ja suodintoimintoja.

Sivuhuomio: Hoksaavimmat mahdollisesti huomasivat kontekstivalikossa kohdan "Create IP Security Policy" - sen avulla lopulta yhdistetään lista ja toiminto varsinaiseksi politiikaksi.

Kuva 3 - Suodinlistat ja suodintoiminnot - dialogi

Valmiina tarjotaan kahta suodinlistaa - mutta emme ole kiinnostuneita niistä. Esimerkkimme kone on puhtoinen webbiserveri ilman etähallintaa. Pikaisella miettimisellä tulemme siihen lopputulokseen että koneen tarvitsee vastata vain ja ainoastaan HTTP-liikenteeseen - aiomme sulkea pois kaiken muun.

HUOMIO! IPSec-suotimet todellakin vaikuttavat varsinaisen TCP/IP- pinon alla. Jos kone on osa AD-toimialuetta, toimii tiedosto- tai sähköpostipalvelimena tai sitä etäkäytetään Terminal Servicesin avulla, pitää näiden palvelujen käyttämät portit lisätä sallittujen suotimien listaan. Tässä esimerkissä luomme suotimen VAIN HTTP-porttia varten - politiikan käyttöönoton jälkeen tämä kone ei vastaa pingiin eikä se näy windows-verkossa, EIKÄ SEN DNS-NIMENSELVITYS ENÄÄ TOIMI! Referenssin takia: DNS on UDP-protokolla, portti 53.

Suodinlistan rakentaminen

Ja sitten suodinlistaa rakentamaan. Teemme kaksi suodinta: Ensin listan joka tulee HTTP-protokollan käyttöön (aiomme sitten varsinaisessa politiikassa liittää tähän suotimeen Permit -toiminnon). Toiseksi rakennamme "Kaikki liikenne" - suodinlistan, jonka sitten blokkaamme.

Tökkäämme siis "Add", annamme dialogin yläosassa nimen tälle listalle (Vaikkapa "Inbound Web Protocols", painamme tämän dialogin "Add" -painiketta ja vastailemme kysymyksiin seuraavasti:

Source Address on "Any IP Address". Siis kaikki tännepäin tulevat IP:t kuuluvat tämän suodinlistan piiriin.
Destination Address on "My IP Address", sikäli kun koneessa on vain yksi verkkokortti jolla on vain yksi osoite. Multihomed-koneissa on yleensä tarve säätää arvot eri osoitteille eri tavalla, jolloin valittaisiin "A Specific IP Address".
Valitaan protokolla - tässä tapauksessa kyse on TCP-protokollasta.
Valitaan portti - Source Port on "Any", sillä veppipalvelinta voidaan lähestyä mistä tahansa portista käsin. HTTP käyttää porttia 80, joten se sitten kohtaan Destination.

Ja siinä se. Sama hässäkkä toistetaan kaikkea liikennettä koskevaa suodinlistaa varten seuraavin muutoksin: Listan nimeksi annetaan vaikkapa "All Inbound Traffic" ja velhon Protocol - kohtaan arvoksi "All". Tällöin porttinumeroita ei kysellä.

Suodintoiminnon rakentaminen

Seuraavaksi rakennamme sen tuikitarpeellisen Block-toiminnon. Näpäytys kohdasta "Manage Filter Actions", ja näkymän pitäisi olla seuraavanlainen:

Kuva 4- Suodintoiminnot

Toimintoja on valmiina kolme, mutta se tuikitärkeä Block-toiminto puuttuu. Joten sellaista ensin rakentamaan. Määrätietoinen tökkäys "Add" -painikkeesta avaa velhon jonka avulla uusi toiminto luodaan (kunhan "Use Add Wizard" on rastitettuna).

Tökätään "Add", annetaan nimeksi vaikkapa mielikuvituksellisesti "Block" ja valitaan toiminnoksi - arvasitte oikein, "Block".

Rakennuspalikat uutta hienoa politiikkaa varten ovat nyt hallussa. Eipä muuta kuin itse politiikkaa luomaan.

Uuden politiikan luonti

Ja kuten aiemmin mainittiinkin, valitaan siitä alkuperäisestä kontekstivalikosta siis "Create IP Security Policy". Uusi velho aukeaa. Vastailemme seuraavanlaisesti:

Tästä piti pakettifiltteri tulla, joten annamme politiikan nimenksi "Packet filter".
Seuraavassa dialogissa otamme POIS kohdan "Activate Default Response Rule". Itseasiassa tällä ei ole mitään väliä - IPSecissä ei ole default deny -toimintoa, mutta listamme näyttää siistimmältä.
Jätetään "Edit properties" -kohta valituksi, ja Finish.

Nyt pääsemme editoimaan varsinaisia politiikan asetuksia. Näkymän pitäisi olla kuvan 5 mukainen.

Kuva 5 - "Packet filter" - nimisen IPSec-politiikan ominaisuudet

Hiljaista on, joten ei muuta kuin lisäilemään aiemmin rakentamamme pulikat itse politiikkaan. "Add"- painikkeella velho kyselee mikä lista liimataan mihinkin toimintoon, yksi lista/toiminto kerrallaan.

Tunnel Endpoint: "This rule does not specify a tunnel"
Network Type: "All network connections" - jos koneessa on RAS, halutaan tälle ehkä eri asetus. Tuskinpa kuitenkaan.
Authentication Method: "Windows Default (Kerberos V5)" HUOMIO! Tällä valinnalla ei tässä ole MITÄÄN MERKITYSTÄ - emme aio neuvotella autentikaatiosta, vaan kylmästi suodattaa.
Valitse aiemmin luotu suodinlista ("Inbound web protocols") ja asiaankuuluva suodintoiminto ("Permit").
Toista koko hässäkkä "All Inbound traffic" - suodinlistaa varten, toimintona "Block".

Kun "Inbound web protocols" on liimattu "Permit"-toimintoon, ja "All inbound traffic" puolestaan "Block"-toimintoon, pitäisi politiikassa näyttää kuvan 6 mukaiselta.

Kuva 6 - Lopputilanne politiikassa

Politiikan aktivointi ja sananen sääntöjen järjestyksestä

Ja sehän on siinä. Nyt uusi säihkyvä politiikkamme pitää enää aktivoida käyttöön. Kun edellinen dialogi suljetaan, valitaan nyt luotu "Packet Filter" - politiikka Local Security Policyn listasta, hiiren oikealla "Assingn" - ja lo and behold, se on päällä ja toiminnassa.

Pakettifiltterin toiminnan voi varmistaa koettamalla pingata konetta - kun suodin on päällä, ei ping enää vastaa (ICMP-protokolla tulee blokattua "All Inbound Traffic" - listan avulla).

Huomasitko muuten - suodinlistoja ei järjestelty missään. Tämä johtuu siitä, ettei IPSecissä se ole mahdollista. Säännöt astuvat voimaan tarkemmasta epätarkempaan - toisinsanoen spesifisempi sääntö voittaa. Näin ollen vaikka blokkaamme toisella säännöllä KAIKEN liikenteen, voittaa tarkempi sääntö HTTP:n osalta edellisen.

Esimerkkisuotimen lataus

Alkuunpääsemistä varten tämän linkin takana on importattava IPSec-politiikka, joka sisältää seuraavat säännöt:

- Perussääntönä kaiken liikenteen esto
- HTTP sisään sallittu (veppiserveri)
- HTTP ulos sallittu (veppiselain)
- FTP sisään sallittu (FTP-palvelin)
- DNS molempiin suuntiin (sekä DNS-palvelin että klientti)
- Terminal Services sallittu
- IMAP ja SMTP sallittu (mailipalvelin)

Näistä voi sitten karsia sopivan tahi lisäillä edellämainituilla tavoilla kunnes suodin on sopiva. Käyttöönotto tapahtuu Local Policies / Action / All Tasks / Import Policy - toiminnolla.

Pakettisuodin IPSecin avulla

IPSecin rakenne W2K:ssa

Missäs ne politiikat asuvat?

Suodinlistan rakentaminen

Suodintoiminnon rakentaminen

Uuden politiikan luonti

Politiikan aktivointi ja sananen sääntöjen järjestyksestä

Esimerkkisuotimen lataus

Tekstit

BootCD

Pakettisuodin IPSecillä

Adaptec 1200A RAID ja XP

MS SQL - klusteri

MS SQL Server

SQL ja Sharepoint-indeksointi

AD-vapaa SQL-klusteri

Core DNS

Domain Time ja NTP

Pieniä SQL-skriptejä

SQL:n replikaatio

Brocade ICX-kytkin

Valheim Servercore