Проверка проверки подлинности сетевого трафика Verify That Network Traffic Is Authenticated

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

После настройки правила изоляции домена для запроса проверки подлинности, а не обязательной проверки подлинности, необходимо подтвердить, что сетевой трафик, отправленный устройствами в сети, защищен проверкой подлинности IPsec правильно. After you have configured your domain isolation rule to request, rather than require, authentication, you must confirm that the network traffic sent by the devices on the network is being protected by IPsec authentication as expected. Если вы переключите правила, чтобы требовать проверку подлинности до того, как все устройства получили и применили правильные GOS, или если в правилах есть ошибки, связь в сети может не удаться. If you switch your rules to require authentication before all of the devices have received and applied the correct GPOs, or if there are any errors in your rules, then communications on the network can fail. При первом настройке правил для запроса проверки подлинности все сетевые подключения, которые не удалось проверить подлинность, могут продолжать работать в текстовом виде во время диагностики и устранения неполадок. By first setting the rules to request authentication, any network connections that fail authentication can continue in clear text while you diagnose and troubleshoot.

В этих процедурах вы подтверждаете, что развернутые правила работают правильно. In these procedures, you confirm that the rules you deployed are working correctly. Дальнейшие действия зависят от зоны, над которой вы работаете: Your next steps depend on which zone you are working on:

Зона изоляции основного домена. Main domain isolation zone. Перед преобразованием основного правила изоляции домена IPsec из режима запроса в режим обязательного, необходимо убедиться, что сетевой трафик защищен в соответствии с вашим дизайном. Before you convert your main domain isolation IPsec rule from request mode to require mode, you must make sure that the network traffic is protected according to your design. Настраивая правила для запроса и не требуя проверки подлинности в начале операций, устройства в сети могут продолжать взаимодействовать, даже если проверка подлинности основного режима или целостность быстрого режима и правила шифрования работают неправильно. By configuring your rules to request and not require authentication at the beginning of operations, devices on the network can continue to communicate even when the main mode authentication or quick mode integrity and encryption rules are not working correctly. Например, если зона шифрования содержит правила, которые требуют определенного алгоритма шифрования, но этот алгоритм не включен в сочетание методов безопасности на клиентах, эти клиенты не могут успешно согласовать связь безопасности быстрого режима, и сервер не принимает сетевой трафик от клиента. For example, if your encryption zone contains rules that require a certain encryption algorithm, but that algorithm is not included in a security method combination on the clients, then those clients cannot successfully negotiate a quick mode security association, and the server refuses to accept network traffic from the client. Сначала вы можете развернуть правила только в режиме запроса, а затем проверить сетевой трафик, чтобы проверить, работают ли они в нужном режиме, не рискуя потерей связи. By first using request mode only, you have the opportunity to deploy your rules and then examine the network traffic to see if they are working as expected without risking a loss of communications.

Граница зоны. Boundary zone. Подтверждение правильной работы IPsec является последним шагом при работе с GPO граничной зоны. Confirming correct operation of IPsec is the last step if you are working on the boundary zone GPO. Вы не преобразуете GPO в режим обязательного режима в любое время. You do not convert the GPO to require mode at any time.

Зона шифрования. Encryption zone. Как и в основной зоне изоляции, после проверки правильности проверки подлинности и шифрования сетевого трафика, передав сетевой трафик участникам зоны, необходимо преобразовать правила зоны из режима запроса в режим обязательного. Similar to the main isolation zone, after you confirm that the network traffic to zone members is properly authenticated and encrypted, you must convert your zone rules from request mode to require mode.

Примечание. В дополнение к шагам, показанным в этой процедуре, вы также можете использовать средства захвата сетевого трафика, такие как Microsoft Network Monitor, которые можно скачать из https://go.microsoft.com/fwlink/?linkid=94770 . Note: In addition to the steps shown in this procedure, you can also use network traffic capture tools such as Microsoft Network Monitor, which can be downloaded from https://go.microsoft.com/fwlink/?linkid=94770. Сетевой монитор и подобные средства позволяют захватывать, анализировать и отображать сетевые пакеты, полученные сетевым адаптером на вашем устройстве. Network Monitor and similar tools allow you to capture, parse, and display the network packets received by the network adapter on your device. Текущие версии этих средств включают полную поддержку IPsec. Current versions of these tools include full support for IPsec. Они могут определять зашифрованные сетевые пакеты, но не могут расшифровывать их. They can identify encrypted network packets, but they cannot decrypt them.

Учетные данные администратора Administrative credentials

Для выполнения этих процедур необходимо быть членом группы «Администраторы домена» или получить другие делегирование разрешений на изменение таких групп. To complete these procedures, you must be a member of the Domain Administrators group, or otherwise be delegated permissions to modify the GPOs.

Проверка проверки подлинности сетевых подключений с помощью брандмауэра Защитник Windows с консолью «Advanced Security» To verify that network connections are authenticated by using the Windows Defender Firewall with Advanced Security console

Откройте брандмауэр Защитник Windows с помощью консоли «Advanced Security». Open the Windows Defender Firewall with Advanced Security console.

В области навигации разйдите «Мониторинг» и выберите «Правила безопасности подключений». In the navigation pane, expand Monitoring, and then click Connection Security Rules.

В области сведений отображаются правила, которые в настоящее время работают на устройстве. The details pane displays the rules currently in effect on the device.

Отображение столбца «Источник правил» To display the Rule Source column

В области действий щелкните «Вид» и выберите «Добавить/удалить столбцы». In the Actions pane, click View, and then click Add/Remove Columns.

В списке «Доступные столбцы» выберите «Источник правил» и нажмите кнопку «Добавить». In the Available columns list, select Rule Source, and then click Add.

Используйте кнопки «Вверх» и «Вниз» для переупорядочения порядка. Use the Move up and Move down buttons to rearrange the order. После завершения нажмите кнопку «ОК». Click OK when you are finished.

Обновление списка с помощью добавленного столбца может занять несколько секунд. It can take a few moments for the list to be refreshed with the newly added column.

Изучите список правил из GOS, которые вы ожидаете применить к этому устройству. Examine the list for the rules from GPOs that you expect to be applied to this device.

Примечание. Если правила не отображаются в списке, устраняет неполадки с группой безопасности GPO и фильтрами WMI, которые применяются к GPO. Note: If the rules do not appear in the list, then troubleshoot the GPO security group and the WMI filters that are applied to the GPO. Убедитесь, что локальное устройство входит в соответствующие группы и соответствует требованиям фильтров WMI. Make sure that the local device is a member of the appropriate groups and meets the requirements of the WMI filters.

В области навигации разйдите по ссылке «Связи безопасности» и выберите «Главный режим». In the navigation pane, expand Security Associations, and then click Main Mode.

В столбце сведений отображается текущий список ассоциаций основного режима, согласованных с другими устройствами. The current list of main mode associations that have been negotiated with other devices appears in the details column.

Изучите список ассоциаций безопасности основного режима для сеансов между локальным и удаленным устройством. Examine the list of main mode security associations for sessions between the local device and the remote device. Убедитесь, что столбцы 1-го и 2-го методов проверки подлинности содержат ожидаемые значения. Make sure that the 1st Authentication Method and 2nd Authentication Method columns contain expected values. Если в правилах указан только первый метод проверки подлинности, то в столбце «2nd Authentication Method» не отображается проверка подлинности. If your rules specify only a first authentication method, then the 2nd Authentication Method column displays No authentication. Если дважды щелкнуть строку, появится диалоговое окно «Свойства» с дополнительными сведениями о связи безопасности. If you double-click the row, then the Properties dialog box appears with additional details about the security association.

В области навигации щелкните «Быстрый режим». In the navigation pane, click Quick mode.

Изучите список ассоциаций безопасности быстрого режима для сеансов между локальным и удаленным устройством. Examine the list of quick mode security associations for sessions between the local device and the remote device. Убедитесь, что столбцы integrity, ESP и ESP Confidentiality содержат ожидаемые значения. Make sure that the AH Integrity, ESP integrity, and ESP Confidentiality columns contain expected values.

Диагностика компьютерных сетей штатными средствами операционной системы

Данная статья специально для тех, кто понимает, что такое IP-адрес, DNS и основной шлюз сети, а также знаком с терминами провайдер, сетевая карта и т.д. Обзор этих терминов, возможно, будет опубликован отдельно.

Поскольку статья написана для большой аудитории от простого пользователя Windows до начинающего администратора UNIX или пользователя MacOS, я решил выделить 2 части. В первой части статьи я расскажу о методах обнаружения и устранения сетевых ошибок средствами операционной системы Windows, во второй части – средствами UNIX-подобных ОС, таких, как Linux, FreeBSD, MacOS. И так, у Вас не работает Интернет, в отличии от Ваших коллег, соседей, жены, которые работают через один и тот же роутер/сервер и т.д. Что делать?

Диагностика и устранение ошибок сети штатными средствами ОС Windows

Для начала нам потребуется рабочий инструмент. Повторюсь, никаких сторонних программ устанавливать мы не будем, используем только то, что есть в составе ОС. Итак, запускаем Командную строку. Для тех, кто не знает, это черное окошко с белыми буковками. Находится она в меню Пуск->Все программы->Стандартные-> Командная строка. Быстро вызвать ее также можно через поиск в Windows7/Windows8 по фразе cmd или Пуск->Выполнить->cmd в WindowsXP.

Мигающий курсор говорит нам о том, что программа готова к вводу команд. Все эти команды мы будем вбивать не обращая внимания на то, что написано до этого курсора.

Шаг 1: проверяем состояние оборудования, наличия подключения(кабеля)

За все это отвечает команда ipconfig. Набираем ipconfig /all и нажимаем Enter. Таким же образом мы будем набирать и остальные команды. Обращаю внимание, что сама команда ipconfig запускается с параметром all, который обязательно отделяется пробелом и знаком косой черты /. Отреагировав на команду ipconfig, система нам вывела несколько экранов информации, в которые нам предстоит вникнуть, чтобы правильно диагностировать и устранить проблему сети.

Как видно на скриншоте, для каждого сетевого адаптера система вернула настройки. Если у Вас выведена только фраза Настройка протокола IP для Windows , значит в системе вообще не обнаружены сетевые адаптеры: здесь возможны варианты выхода из строя оборудования, отсутствия драйверов или аппаратное выключение, например кнопка на ноутбуке, которая выключает беспроводные сети.

Поскольку у меня ноутбук, были обнаружено несколько доступных сетевых адаптеров. Особо я выделю

• Адаптер беспроводной локальной сети [дальше идет название сети в системе] и
• Ethernet adapter [дальше идет название сети в системе] .

Если у Вас, как, например, в моем случае, применимо к выделенной проводной сети в строке Состояние среды значится фраза Среда передачи недоступна значит налицо неподключенный или испорченный кабель/розетка/порт коммутатора и т.п. В случае наличия физического подключения, как например у меня в Wi-Fi сети, будут выведены основные настройки (мы рассмотрим только некоторые из них):

• Описание : здесь, как правило, указывается сетевой адаптер, определенный системой (виртуальные адаптеры, типа Microsoft Virtual и т.п. не имеет смысла рассматривать вообще, нам нужны только физические);
• DHCP включен : важный параметр, который указывает, как был получен адрес: автоматически через DHCP(будет значение Да ) или установлен вручную(будет значение Нет );
• IPv4-адрес : IP-адрес в TCP/IP сети – один из трех самых важных параметров, который понадобится нам в дальнейшем;
• Маска подсети : Еще один важный параметр;
• Основной шлюз : 3-й важный параметр – адрес маршрутизатора/шлюза провайдера, как правило совпадает с DHCP-сервером, если настройки получены автоматически;
• DNS-серверы : адреса серверов, которые преобразуют имена хостов в IP-адреса.

Шаг2: проверяем правильность IP-адреса

В случае, если у Вас настройки получаются автоматически (опция DHCP включен — Да), но не заполнен параметр Основной шлюз и DNS-серверы , служба DHCP не работает на роутере или сервере. В этом случае нужно убедиться, что роутер включен (возможно попробовать его перезагрузить), в случае сервера, что служба DHCP работает и назначает адреса.

После перезагрузки роутера, необходимо, обновить настройки. Для этого можно перезагрузить компьютер или просто выполнить 2 команды:

• ipconfig /release – для сброса всех автоматических настроек
• ipconfig /renew – чтобы получить автоматические настройки

В результате обеих команд мы получим вывод, аналогичный выводу команде ipconfig /all. Наша задача добиться того, чтобы были заполнены IPv4-адрес, Маска подсети, Основной шлюз, DNS-серверы. Если настройки назначаются вручную – проверяем, чтобы были заполнены IPv4-адрес, Маска подсети, Основной шлюз, DNS-серверы. В случае домашнего интернета эти настройки могут быть указаны в договоре с провайдером.

Шаг 3: проверяем доступность своего оборудования и оборудования провайдера

После того, как все настройки получены, необходимо проверить работоспособность оборудования. К слову сказать, вся сеть представляет собой цепочку шлюзов. Первый из них и есть тот Основной шлюз , который выдала нам команда ipconfig, следующий – шлюз, являющийся основным для провайдера и так далее до достижения нужного узла в сети Интернет.

И так, для проверки сетевых устройств в Windows служит команда ping и для того, чтобы правильно диагностировать проблему в работе сети необходимо выполнить пинг для следующих адресов в последовательности:

1. Свой компьютер (IPv4-адрес). Наличие отклика свидетельствует о работоспособности сетевой карты;
2. Роутер или сервер, выполняющий роль Интернет-шлюза (Основной шлюз). Наличие отклика свидетельствует о правильной настройки компьютера для работы в локальной сети и доступности шлюза, отсутствие отклика свидетельствует либо о неверных настройках, либо о неработающем роутере/сервере.
3. Ваш IP у провайдера (обычно указан в договоре с провайдером – настройки, IP-адрес). Наличие отклика свидетельствует о правильной настройки Вашего компьютера, роутера/сервера, отсутствие отклика – либо о неверной настройки роутера, либо о недоступном шлюзе провайдера/ неполадках на стороне провайдера.
4. DNS (DNS-серверы). Наличие отклика свидетельствует о корректной работе сетевого протокола – если в этом случае не работает Интернет, скорее всего дело в самой операционной системе, вирусном заражении, программных блокировках, как со стороны провайдера, так и самого компьютера/шлюза.
5. IP-адрес любого рабочего хоста в сети, например я использую DNS-сервер Google – 8.8.8.8. Отклик свидетельствует о правильной работе сетевого оборудования как с Вашей стороны, так и со стороны провайдера. Отсутствие отклика свидетельствует об ошибках, которые дополнительно диагностируются трассировкой.
6. URL любого сайта, например yandex.ru. Отсутствие отклика может свидетельствовать о неработающей службе распознавания адресов, если не удалось преобразовать url в IP-адрес. Это проблема скорее всего службы DNS-клиент, которая отключена в Windows на Вашем ПК, либо работает не правильно.

Для рассматриваемого примера будут выполнены следующие команды.

При положительном тесте будет выведено количество отправленных и полученных пакетов, а также время прохождения пакета до узла сети.

Характерные ошибки выглядят подобным образом.

Шаг 4: Тестирование трассировкой

Также общую картину можно получить, если воспользоваться трассировкой. Суть теста в том, что пакет проходит по всем шлюзам от тестируемого компьютера до узла сети. В качестве узла сети может быть шлюз провайдера, какой-либо сервер или просто url сайта.

Для запуска необходимо применить команду tracert. В примере, я буду тестировать сайт yandex.ru:

На первом шаге хост преобразуется в IP-адрес, что свидетельствует о правильной работе DNS-служб и верной настройке сети. Далее по порядку пакет проходит по всем шлюзам сети до назначения:

• 1-Основной шлюз
• 2,3-Шлюзы провайдера (может быть 1 или несколько)
• 4,6-Промежуточный шлюзы
• 5-Один из шлюзов не доступен
• 7-Нужный нам сайт yandex.ru

Диагностика неисправности сети в этом тесте помогает определить на каком именно узле имеется неисправность. Так, например, если пакет не уходит дальше 1-й строки (Основной шлюз), значит существует проблема с роутером или ограничения на стороне провайдера. 2-я строка – проблема на стороне провайдера и т.д.

Шаг 5: Тестирование отдельных протоколов

При успешном прохождении всех вышеперечисленных тестов можно утверждать о правильной настройке сети и работе провайдера. Однако и в этом случае могут некорректно работать некоторые клиентские программы, например электронная почта или браузер.

Связано это может быть как с проблемами на самом компьютере (например, вирусное заражение или неправильные настройки программы или вовсе ее неработоспособность), так и с ограничительными мерами, применяемыми провайдером (блокирование 25-го порта для отправки почты).

Для диагностики этих проблем применяется программа telnet. По умолчанию в ОС Windows 7 и выше, данный компонент не установлен. Для установки необходимо перейти в Пуск-Панель-Управления->Программы(Программы и компоненты, Установка и удаление программ в зависимости от версии ОС), перейти в Включение и отключение компонентов Windows (для этого требуются права администратора) и установив галочку напротив Клиент Telnet нажать OK.

Теперь мы можем приступать к тестированию сетевых портов. Для примера, проверим работоспособность почтового протокола.

У меня есть корпоративный почтовый ящик, который располагается на хостинге RU-CENTER. Адрес сервера: mail.nic.ru, сообщения перестали поступать по протоколу POP3, стало быть порт 110 (адрес сервера и номер порта я взял из настроек Outlook). Таким образом для того, чтобы проверить, имеет ли мой компьютер доступ к серверу mail.nic.ru по порту 110 в командной строке я запишу:

telnet mail.nic.ru 110

Далее сервер выдал мне статус моего обращения +ОК , что свидетельствует о корректной работе как сети в целом, так и почтовой службы в частности и в неработающей почте скорее всего виноват почтовый клиент.

Убедившись в этом, я набираю команду quit, на что сервер снова ответил мне +ОК и тем самым завершил сеанс работы команды telnet.

Таким образом, с помощью штатных средств операционной системы Windows мы можем диагностировать и устранить проблему сети. В следующей части статьи, я расскажу о штатных средствах диагностики в UNIX-подобных ОС, таких, как Linux, FreeBSD и MacOS.