Как настроить IPSec в Windows

Существует множество приложений, которые будут реализовывать аутентификацию и шифрование сетевого трафика через отдельную стороннюю программу.

Тем не менее, операционная система Microsoft может также реализовать это через конфигурацию IPSEC. В этой статье мы рассмотрим, что такое IPSEC, и простой пример реализации.

Что такое IPSEC?

Internet Protocol Security или IPSEC — это протокол, используемый для аутентификации и шифрования IP-коммуникаций. Это достигается путем взаимной аутентификации между агентами, а также обмена криптографическими ключами в начале сеанса.

IPSEC также позволит добавлять ограничения IP и шифрование на уровне TCP / UDP к приложениям, которые иначе не могут его поддерживать. IPSEC использует IP-протокол 50 (ESP), IP-протокол 51 (AH) и UDP-порт 500.

Внедрение IPSEC

В этом примере мы настроим IPSEC для шифрования связи между двумя компьютерами Windows. Первый компьютер, сервер Windows 2012 будет выступать в качестве сервера VPN.

Второй компьютер, клиент Windows 10, будет действовать как клиент VPN. LT2P IPSEC VPN может обмениваться либо предварительным общим ключом, либо сертификатом. В этом примере мы будем обмениваться предварительным общим ключом.

Настройка VPN-сервера

На компьютере с Windows 2012 нам потребуется установить функции маршрутизации и удаленного доступа. Для этого перейдите в диспетчер серверов и добавьте роли и компоненты . Выберите установку на основе ролей или функций . Выберите локальный сервер. Выберите для установки следующие роли сервера.

Сетевая политика и службы доступа

Сервер сетевой политики

Удаленный доступ

Прямой доступ и VPN (RAS)

После установки этих новых функций вам потребуется оснастка для управления ими. Откройте mmc.exe с правами администратора. Перейти к файлу | Добавить / удалить оснастку. Добавьте оснастку маршрутизации и удаленного доступа .

Эта оснастка позволяет настраивать многопротокольные службы маршрутизации LAN-to-LAN, LAN-to-WAN, виртуальная частная сеть (VPN) и трансляция сетевых адресов (NAT).

В консоли MMC щелкните правой кнопкой мыши на маршрутизации и удаленного доступа и выберите, чтобы добавить сервер. Выберите локальную машину. Затем щелкните правой кнопкой мыши на только что созданном компьютере и выберите «Настроить и включить маршрутизацию и удаленный доступ» . Выберите Удаленный доступ (Dial Up или VPN).

Затем проверьте параметр VPN . У вас должно быть как минимум две сетевые карты, чтобы это работало. Одним из них может быть петля. Укажите диапазон адресов, которые будут предоставлены для входящего соединения. Убедитесь, что они не конфликтуют с другими адресами, выделенными в вашей существующей сети. В этом примере мы не будем использовать радиус-сервер.

Далее попытайтесь запустить службу маршрутизации и удаленного доступа. Следующий ключ реестра может потребоваться удалить, чтобы запустить службу.

В консоли mmc.exe щелкните правой кнопкой мыши на имени компьютера и перейдите в Свойства. Измените эти свойства на вкладке безопасности.

Выберите методы аутентификации, как показано ниже.

Установите флажок, чтобы разрешить настраиваемую политику IPSEC для соединения L2TP / IKEv2. Добавьте предварительный общий ключ.

Наконец, вам нужно будет изменить пользователя, чтобы получить доступ к VPN. Откройте compmgmt.msc, перейдите в раздел «Локальные пользователи и группы» и выберите свойства пользователя, которого вы хотите использовать для VPN.

Перейдите на вкладку Dial Up. Выберите Разрешить доступ и нажмите Применить . На вашем компьютере потребуется перезагрузка. После перезагрузки вы будете готовы протестировать свой первый клиент.

Настройка машины с Windows 10

На компьютере с Windows 10 откройте «Настройки сети и Интернета». Выберите VPN на левой панели и добавьте VPN-соединение. Отредактируйте дополнительные параметры.

Разместите IP-адрес вашего VPN-сервера под именем или адресом сервера. Выберите L2TP/IPSEC с параметром предварительного общего ключа в разделе Тип VPN. Добавьте предварительно общий ключ и имя пользователя и пароль.

Свойства безопасности для VPN должны быть изменены под сетевым адаптером. На адаптере VPN выберите «Свойства» и перейдите на вкладку «Безопасность». Установите переключатель EAP и выберите Microsoft: защищенный пароль (EAP-MSCHAPv2) (шифрование включено).

Наконец, снова щелкните правой кнопкой на адаптере для подключения. Поздравляем! Вы создали VPN-туннель IPSEC.

Службы windows службы ipsec

Службы (Services) — это приложения, запускаемые в фоновом режиме во время загрузки системы или при возникновении определенных событий и обеспечивающие основные функциональные возможности ОС. Как правило, службы не имеют графического интерфейса, поэтому их работа в большинстве своем не заметна для пользователя.
При стандартной установке Windows XP Professional в систему инсталлируется порядка 80-ти разнообразных служб. И несмотря на то, что не все из них запускаются автоматически, количество работающих по умолчанию всё равно кажется слишком завышенным, если учесть, что значительная часть от общего числа уязвимостей, когда-либо обнаруженных в этой ОС, приходится именно на системные службы. К тому же, в домашних условиях во многих работающих по умолчанию службах просто нет никакой необходимости.
По этим и ряду других причин, связанных с оптимизацией работы компьютера, все неиспользуемые вами службы рекомендуется отключить. Более того, отключение ненужных служб и функций — один из эффективнейших способов защиты от возможных нападений.

Просмотреть список всех служб, установленных на компьютере, можно следующим образом:

Пуск (Start) > Панель Управления (Control Panel) > Администрирование (Administrative Tools) > Службы (Services)

Либо запустив из командной строки services.msc:

Пуск (Start) > Выполнить (Run) > копируем в строку: services.msc > нажимаем ОК или клавишу ENTER

Список установленных на компьютере служб

Эта консоль, помимо просмотра текущего состояния и описания всех служб, позволяет остановить, возобновить или отключить каждую из них, задать действия по восстановлению на случай сбоя, выполнить настройку для конкретного профиля оборудования, изменить тип запуска и многое другое. Но нас, в первую очередь, будет интересовать последняя из перечисленных возможностей.
Итак, для каждой службы существует три варианта запуска:

• Авто (Automatic) — служба запускается автоматически во время загрузки ОС;
• Вручную (Manual) — служба запускается автоматически, в том случае, когда какой-либо процесс вызывает функцию StartService;
• Отключено (Disabled) — служба не может быть запущена — попытки запустить службу закончатся неудачей.

Чтобы изменить значение типа запуска, установленное по умолчанию, кликните по нужной службе двойным нажатием мыши и в открывшемся окне свойств в первой закладке — «Общие» («General») — выберите желаемый «Тип Запуска» («StartUp Type»):

Изменение «Типа Запуска» службы.

Ниже приведен основной список служб в алфавитном порядке, для которых «Тип Запуска» рекомендуется установить в положение «Отключено» (однако в качестве общего правила нужно принять, что необходимо отключить все неиспользуемое!):

• Беспроводная настройка (Wireless Zero Configuration) — отключаем за полной ненадобностью в том случае, если вы не используете беспроводной интернет, и у вас нет адаптеров беспроводной связи, и вы не собираетесь использовать «нулевую» конфигурацию беспроводной сети (WZCS key handling).
• Веб-клиент (WebClient) — позволяет приложениям Windows создавать, сохранять и изменять файлы, находящиеся на серверах WebDAV* (использование Web Publishing Wizard для публикации данных в Интернет).

Web Publishing Wizard

На просмотр ресурсов в Интернете отключение этой службы никак не влияет, поскольку она используется только для WebDAV-подключений, к тому же программы, которым этот сетевой протокол необходим, как правило, имеют встроенные перенаправители WebDAV, работающие независимо от службы «Веб-клиент» (MS06-008).

Диспетчер очереди печати (Print Spooler) — отвечает за обработку, планирование и распределение документов, предназначенных для печати. Обязательно отключаем в том случае, если у вас нет принтера (MS05-043, US-CERT VU#914617).

Диспетчер сеанса справки для удаленного рабочего стола (Remote Desktop Help Session Manager) — управляет возможностями удаленного помощника. Отключите, если не используете эту функцию (MS05-041).

Диспетчер сетевого DDE** (Network DDE DSDM) — управляет общими ресурсами сетевого динамического обмена данными (DDE). По сути, DDE — это давно устаревшая и редко где используемая технология.

Маршрутизация и удаленный доступ (Routing and Remote Access) — обеспечивает многопротокольные функции маршрутизации, подключения удаленного доступа и удаленного доступа по сети VPN (MS06-025).

Модуль поддержки NetBIOS через TCP/IP (TCP/IP NetBIOS Helper Service) — данная служба необходима при совместном использовании ресурсов (между несколькими компьютерами) и для сетевой печати. Отключите, если у вас нет необходимости в этих функциях.

Обозреватель компьютера (Computer Browser) — обеспечивает функционирование списка Windows-доменов, компьютеров в масштабе всей сети и других аппаратных устройств, совместимых с протоколом NetBIOS. Для обычных пользователей и домашних компьютеров эта служба полностью бесполезна (MS05-007).

Оповещатель (Alerter) — посылает выбранным пользователям и компьютерам административные оповещения. В домашних условиях служба не нужна (CVE-1999-0630).

Планировщик заданий (Task Scheduler) — позволяет составлять расписание и автоматически запускать различные приложения, программы, скрипты, функцию резервного копирования и пр. в запланированное вами время (по умолчанию эти задания находятся здесь: WINDOWS\Tasks. Либо: Пуск/Start > Программы/Programs > Стандартные/Accessories > Служебные/System Tools > Назначенные задания/Scheduled Tasks):

Использование планировщика заданий Windows

Если вы не используете эту функцию (.job-файлы), отключите эту службу (MS04-022; используется некоторыми вирусами для автозагрузки, пример: Trojan.Bookmarker.C).
Но также имейте в виду, что если у вас установлен ативирус Symantec или McAfee, то отключать эту службу не стоит. Так как эти программы используют её для обновления в определенное время и запланированных сканирований системы.

Сервер (Server) — выполняет основные функции сервера: обеспечивает совместное использование файлов, принтеров, именованных каналов в сети. Если у вас нет необходимости открывать доступ к вашим файлам и принтерам, обязательно отключаем (MS06-035, MS06-040, MS06-063).

Сервер папки обмена (ClipBook) — позволяет просматривать содержимое папки буфера обмена удаленным пользователям.
Просмоторщик буфера обмена*** (ClipBook Viewer) открывается следующим образом: Пуск (Start) > Программы (Programs) > Стандартные (Accessories) > Окно папки обмена (ClipBook Viewer); либо в верхнем меню программы Acrobat Reader: Window > Clipboard Viewer. Если вы не хотите ни с кем обмениваться этой информацией, то отключите данную службу.

Сетевой вход в систему (Net Logon) — данная служба обеспечивает безопасность проверки подлинности пользователя при подключении его компьютера к домену. Если ваш компьютер не входит в домен, отключите её.

Служба индексирования (Indexing Service) — индексирует содержимое и свойства файлов на локальном и удаленных компьютерах, что позволяет производить поиск любого слова или фразы, которые содержатся в документах пользователя. Обычный поиск файлов после отключения этой службы не замедляется (MS06-053).

Служба обнаружения SSDP (SSDP Discovery Service) — выполняет поиск устройств UPnP**** в домашней сети. Обязательно отключаем в случае, если вы не работаете с сетевыми устройствами (MS01-059).

Служба сообщений (Messenger) — отправляет и получает сообщения, переданные администратором или службой оповещений. При отсутствии сети (и соответственно администратора) абсолютно бесполезна (никакого отношения к программе Windows/MSN Messenger, эта служба не имеет). Также желательно отключить для того, чтобы запретить net send сообщения для скрытия вашего компьютера от автоматизированных спам рассылок (MS03-043).

Служба сетевого DDE (Network DDE) — обеспечивает сетевой транспорт и безопасность для динамического обмена данными (DDE) для программ, выполняющихся на локальном или удаленных компьютерах. Аналогично службе «Диспетчер сетевого DDE» («Network DDE DSDM»).

Конфигурации DDE (%WINDIR%\system32\ddeshare.exe)

Службы терминалов (Terminal Services) — предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру, является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей и удаленного помощника (MS05-041, MS07-006).

Службы IPSEC (IPSEC Services) — данная служба обычно используется для шифрования IP-трафика между рабочей станцией и доменом, а также для VPN-соединений. Если вы не входите в домен и у вас нет VPN-сети, данную службу можно отключить.

Удаленный реестр (Remote Registry Service) — позволяет удаленным пользователям изменять параметры реестра на вашем компьютере (regedit > File > Connect Network Registry). Очень опасная служба.

Узел универсальных PnP-устройств (Universal Plug and Play Device Host) — обеспечивает поддержку и управление UPnP-устройствами. Предоставляет большие возможности удаленного поиска, но использует широковещательные пакеты. Отключите, если вы не подключаете к своей сети какие-либо UPnP-устройства (MS01-059).

NetMeeting Remote Desktop Sharing (NetMeeting Remote Desktop Sharing) — обеспечивает удаленный доступ соответствующим пользователям к рабочему столу Windows с других компьютеров с помощью программы Windows NetMeeting (программа NetMeeting предназначена для проведения аудио и видеоконференций в сети). Отключаем, если не используется (MS05-041, MS04-011).

Telnet (Telnet) — обеспечивает возможность соединения и удалённой работы в системе по протоколу Telnet (Teletype Network) с помощью командного интерпретатора. Не использует шифрование и поэтому очень уязвим для атак при применении его в сети (MS05-003).

И в заключении несколько советов по данной теме:

Одним из способов определить, какие службы должны запускаться в вашей системе автоматически, может быть временное изменение типа запуска каждой из них на положение «Вручную» (единственное исключением из всего списка будет служба «Удаленный вызов процедур (RPC)»/»Remote Procedure Call (RPC)», так как тип её запуска не может быть изменен пользователем через консоль services.msc). После перезагрузки запустятся только те службы, в которых действительно есть обязательная необходимость.

Некоторые службы могут зависеть друг от друга. Об этом важно знать по причине того, что любая остановка или перезапуск службы всегда оказывает влияние и на службы, зависящие от нее. Поэтому перед тем как отключить какую-либо службу, желательно убедиться, что её работа не требуется для функционирования каких-либо нужных вам служб и приложений.

Для просмотра зависимостей нужно, открыв свойства службы, перейти в последнюю закладку — «Зависимости» («Dependencies»). Верхний список будет показывать службы, от работы которых зависит функционирование выбранной. И нижний список, наоборот, содержит службы, которые находятся в зависимости от данной.

Список всех запущенных служб и соответствующих им процессов можно получить с помощью команды tasklist /svc:

Пуск (Start) > Выполнить (Run)
Вписываем: cmd
Нажимаем ОК или клавишу ENTER.
В появившемся приложении вводим команду: tasklist /svc
И нажимаем на клавишу ENTER.

Результат будет получен примерно в следующем виде:

В качестве удобных инструментов для работы со службами можно использовать следующие бесплатные утилиты:

_________________________
* WebDAV (Web Distributed Authoring and Versioning) — это современный и защищённый сетевой протокол высокого уровня, расширяющий и работающий поверх HTTP (Hypertext Transfer Protocol) для управления и более удобной работы с файлами и документами между компьютерами в Интернет.
** Динамический обмен данными (DDE) был одной из первых технологий, с помощью которой оказался возможным обмен информацией между приложениями. Позднее механизм DDE был заменен на автоматизацию OLE; тем не менее, DDE все еще поддерживается для совместимости с устаревшими приложениями.
*** Буфер обмена находится в активном состоянии в течение всего времени вашей работы в Windows. К примеру, когда вы выделяете текст или какие-то графические элементы внутри программы и затем даете команду «Копировать» («Copy») или «Вырезать» («Cut»), вы перемещаете всю выбранную информацию в буфер обмена (Clipboard). По команде «Вставить» («Paste») содержимое буфера обмена копируется в приложение.
**** UPnP (Universal Plug and Play) — это универсальная автоматическая настройка и подключение сетевых устройств друг к другу, в результате чего сеть (например, домашняя) может стать доступной большему числу людей.