Топалов

Лабораторна робота № 5

Вивчення з’єднання за транспортного режиму IPSec тунеля. Організація підключення за допомогою OpenVPN з боку клієнта на базі операційної системи Windows

Мета роботи. Дослідження шифрованого з'єднання на базі OpenVPN і налаштування клієнта OpenVPN на базі операційній системі Windows.

Ключові положення

1. OpenVPN

OpenVPN – це система, що дозволяє створювати шифровані тунелі між комп'ютерами за технологією VPN (Virtual Private Network, віртуальна приватна мережа) [1].

Принцип роботи OpenVPN полягає в тому, що дані, які передаються через публічні мережі, надійно шифруються і можуть бути розшифровані тільки тим, хто володіє потрібним для цього ключем шифрування. Таким чином, навіть перехоплений кимось трафік становить дуже сумнівну користь, звичайно, за умови, що ключ шифрування надійно захищений від стороннього доступу. На сьогодні OpenVPN активно використовується багатьма організаціями для з'єднання воєдино безлічі розподілених мереж їх філій. Використання Інтернет, як середовища передачі даних дозволяє в даному випадку істотно скоротити витрати за рахунок дешевизни послуг провайдерів доступу в Інтернет в порівнянні з наданням виділених каналів передачі даних.

Основні плюси цієї системи:

–просте налаштування займає менше години і не вимагає спеціальних

знань;

–економія трафіка за допомогою бібліотеки компресії lzo (Lempel - Ziv - Oberhumer);

–безпечне шифрування трафіка ключами завдовжки 1024 біта і вище, а клієнти розділені між собою в окремі підмережі.

OpenVPN проводить усі мережні операції через TCP (Transmission Control Protocol), або UDP(прийнятніше) порт. Також можлива робота через велику частину проксі серверів, включаючи HTTP (HyperText Transfer Protocol), через NAT (Network Address Translation) і мережні фільтри. Сервер може бути налаштований на призначення мережних налаштувань клієнтові. Наприклад, IP адреса, налаштування маршрутизації і параметри з'єднання. OpenVPN пропонує два різні варіанти мережних інтерфейсів, використовуючи драйвер TUN/TAP. Можливо створити Layer 3 – based IP тунель, званий TUN, і Layer 2 – based Ethernet

–TAP, здатний передавати Ethernet трафік. Також можливе використання бібліотеки компресії lzo (Lempel – Ziv – Oberhumer), для стискування потоку даних. Використовується порт 1194, виділений Internet Assigned Numbers

151

Authority, для роботи цієї програми. Версія 2.0 дозволяє контролювати декілька одночасних тунелів, на відміну від версії 1.0, що дозволяла створювати тільки 1 тунель на 1 процес.

Для забезпечення безпеки каналу, що управляє, і потоку даних, OpenVPN використовує бібліотеку рівня захищених сокетів OpenSSL (Open Secure Sockets Layer). Завдяки цьому, задіюється увесь набір шифрів, доступних в цій бібліотеці. Також може використовуватися пакетна авторизація HMAC (hash – based message authentication code), для забезпечення більшої безпеки, і апаратне прискорення для поліпшення продуктивності шифрування. Ця бібліотека вико-

ристовує OpenSSL (Open Secure Sockets Layer), а точніше протоколи SSLv3/TLSv1. OpenVPN використовується на Solaris, BSD системах, GNU/Linux, Apple Mac OS X, QNX і Microsoft Windows.

OpenSSL – криптографічний пакет з відкритим початковим кодом для ро-

боти з SSL/TLS [2]. Дозволяє створювати ключі RSA (Rivest, Shamir, Adleman), DH, DSA (Digital Signature Algorithm) і сертифікати X.509, підписувати їх, фор-

мувати CSR і CRT [3]. Також є можливість шифрування даних і тестування

SSL/TLS з'єднань.

RSA (буквена абревіатура від прізвищ Rivest, Shamir і Adleman) – криптографічний алгоритм з відкритим ключем.

RSA став першим алгоритмом такого типу, придатним і для шифрування, і для цифрового підпису. Алгоритм використовується у великому числі криптографічних застосувань.

На 2009 рік система шифрування на основі RSA вважається надійною, починаючи з розміру в 1024 біта.

Групі учених зі Швейцарії, Японії, Франції, Нідерландів, Німеччини і США вдалося успішно обчислюти дані, зашифровані за допомогою криптографічного ключа стандарту RSA завдовжки 768 біт. За словами дослідників, після їх роботи в якості надійної системи шифрування можна розглядати тільки RSA - ключі довжиною 1024 біта і більше. Причому, від шифрування ключем завдовжки в 1024 біта варто відмовитися в найближчі три-чотири роки.

Система RSA використовується для захисту програмного забезпечення і в схемах цифрового підпису.

Також вона використовується у відкритій системі шифрування PGP (Pretty Good Privacy) і інших системах шифрування (приміром, DarkCryptTC і формат xdc) у поєднанні з симетричними алгоритмами.

Із-за низької швидкості шифрування (близько 30 кбіт/с при 512 бітовому ключі на процесорі 2 ГГц), повідомлення шифрують за допомогою продуктивніших симетричних алгоритмів з випадковим ключем (сеансовий ключ), а за допомогою RSA шифрують лише цей ключ, таким чином, реалізується гібридна криптосистема. Такий механізм має потенційні уразливості, зважаючи на необхідність використовувати криптостійкий генератор випадкових чисел для формування випадкового сеансового ключа симетричного шифрування і ефективно супротивний атакам симетричний криптоалгоритм (зараз широке застосування

152

знаходять AES (Advanced Encryption Standard) [4], IDEA (International Data Encryption Algorithm), Serpent, Twofish).

Перший крок конфігурації OpenVPN 2.0 – установка PKI (public key infrastructure).

PKI складається з: роздільні сертифікати (публічний ключ – a public key) і приватний ключ (private key) для сервера і кожного клієнта головний Certificate Authority (CA) сертифікат і ключ, використовуваний для підпиcу кожного сертифікату сервера і клієнта.

OpenVPN підтримує двонаправлену автентифікацію, що засновану на сертифікатах, означає, що клієнт повинен автентифікувати сертифікат сервера і навпаки перед встановленням взаємної довіри.

І сервер і клієнт спочатку перевіряють, що сертифікат підписаний головним CA, а потім тестують інформацію в заголовку сертифікату, таку як публічне ім'я сертифікату і його тип (сервер або клієнт).

У цю модель безпеки в перспективі можуть бути додані й інші бажані можливості:

Сервер повинен володіти сертифікатом/ключем – не треба знати індивідуальних сертифікатів кожного клієнта, які будуть підключатися до сервера.

Якщо приватний ключ скомпроментований, він може бути заборонений додаванням в CRL (certificate revocation list). CRL містить скомпроментовані сертифікати для вибіркового відбракування сертифікатів без необхідності повного перестроювання PKI.

Сервер може встановити клієнтозалежні права доступу, грунтуючись на вбудованих полях сертифікату, таких як публічне ім'я (Common Name).

Послідовність дій.

Створення основного Certificate Authority (CA) сертифікату і ключа. Створення сертифікату і ключа сервера.

Створення сертифікатів і ключів для 3-х клієнтів. Створення параметрів Diffie Hellman.

Файли ключів і сертифікатів.

2.Хід роботи

2.1.Налаштування клієнта OpenVPN на Windows XP.

Перевіряємо, чи встановлений OpenVPN на Windows XP. У разі, якщо не встановлений – завантажуємо пакет OpenVPN під Windows звідси: http://openvpn.net/index.php/open-source/downloads.html.

Після завантаження запускаємо на виконання - скрізь натискаємо далі, далі, далі (Next, I agree, Next, Next, галочка на TUN - все одно продовжити, Next, зняти галочку, Finish).

Необхідно створити файл з files.ovpn, якщо він не створений. Якщо користуватися FARом, за допомогою FAR заходимо в c:\program

153

files\openvpn\config\ і створюємо там файл client.ovpn для клієнта (комбінація клавіш Shift+F4). У самому файлі прописуємо:

client # Кліент

tls–client # застосовуваємо tls verb 3 # рівень відладки

dev tun # пристрій

proto tcp # застосовуємо tcp-протокол

remote 192.168.0.122 1194 # віддалений сервер та порт nobind

persist - key # постійний ключ persist - tun # постійний пристрій ca ca.crt # кореневий сертифікат

cert client01.crt # клієнтський сертифікат key client01.key # клієнтський ключ

Перевірити, чи є файли-сертифікати сервера - ca.crt, клієнта - client01.crt і

ключ клієнта - client01.key.

Запустити Wireshark, включити захоплення пакетів.

На клієнтові Windows в треї натискаємо праву кнопку миші на OpenVPN GUI і натискаємо Connect, якщо ніде не помилилися, то емблема стане жовтою.

Якщо немає кнопки підключити, то необхідно скористатися командним рядком і запустити оpenvpn з додатковими параметрами.

Наприклад, оpenvpn --config client.opvn.

Перевірити з’єднання - командою пінг на адресу сервера.

Якщо відповідає, то усе - OpenVPN в найпростішій конфігурації працює. Відключити захоплення пакетів в Wireshark. Записати основні пакети, що

відносяться до встановлення і роз'єднання цього з'єднання.

3. Ключові питання

1)Що таке PKI ?

2)Чи можлива робота без PKI ?

3)Що таке сертифікат ?

4)Що дозволяє зробити криптографічний пакет OpenSSL ?

5)Як називається третій рівень в моделі OSI і які основні його функції ?

6)Якими алгоритмами згенеровані ключі ?

7)Що таке RSA ?

4.Домашнє завдання

1.Вивчити формування OpenVPN тунелю. Основні можливості

OpenVPN.

2.Визначити, які основні алгоритми авторизації та шифрування застосовуються у OpenVPN протоколі.

3.З’ясувати, які основні програмні продукти будуть застосовуватися у лабораторній роботі.

154

4.Відповісти на ключові питання.

5.Лабораторне завдання

1.Наслідуючи хід роботи в лабораторній роботі та використовуючи довідкове керівництво [1], настроїти OpenVPN тунель з боку клієнта з ОС Windows. (2.1, 2.2)

2.Включити Wireshark - зняти трасування встановлення з'єднання та роз'єднання OpenVPN тунелю.

3.Проаналізувати застосовані методи авторизації та шифрування.

Варіанти завдань для виконання лабораторної роботи:

1.Замість порта 1194 у OpenVPN застосувати 2000.

2.Застосувати компресію у OpenVPN -тунелі.

3.Замість пристрою tun застосувати tap.

4.Підвищити рівень інформації з відладки OpenVPN -тунеля.

5.Задати новий файл клієнтського сертифіката.

6.Знайти у дампі пакетів роз'єднання OpenVPN -тунелю.

7.Підкреслити пакети етапу авторизації OpenVPN-тунелю у аналізаторі

Tcpdump або Wireshark.

8.Пропінгувати 192.168.0.222 та знайти ці icmp пакети у аналізаторі

Tcpdump або Wireshark.

6.Зміст протоколу

1.Назва роботи.

2.Мета роботи.

3.Виконане домашнє завдання.

4.Результати виконання лабораторного завдання.

5.Висновки.

Звіт повинен містити дамп пакетів.

7.Список посилань

1.Feilner M. Beginning OpenVPN 2.0.9 // Packt Publishing. – 2009. – 356 c.

2.http://www.madboa.com/geek/openssl/

3. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си // М.: Триумф. – 2002. – 816 с.

4. Toli I. An Algebraic Interpretation of AES-128 / I. Toli, A. Zanoni // Proc. of AES Conference. – 2005. – PP. 84-97 .

155

Лабораторна робота № 6

Налаштування клієнта для з'єднання за протоколом IPSec між ОС Linux на основі сервера доступу racoon і ОС Windows XP/Windows – 2000

з використанням сертифікатів X.509 і протоколу обміну ключами ISAKMP на стороні ОС Windows XP/Windows – 2000

Мета роботи. Конфігурація та установка з'єднання за протоколом IPSec з боку клієнта під операційної системою Windows XP/Windows з використанням сертифікатів X.509 і протоколу обміну ключами ISAKMP.

Ключові положення

1. IPSec

IP безпека (IP seсurity – IPSec), в загальному випадку, служить для підтримки безпечних з'єднань між вузлами і мережами в глобальній мережі Інтернет. Він може працювати в конфігурації «вузол-вузол» (один комп'ютер з'єднується з іншим) або «мережа-мережа» (одна локальна/глобальна мережа з'єднується з іншою). Реалізація IPSec використовує протокол обміну ключами в Інтернеті (Internet Key Exchange, IKE), розроблений комітетом з технічного роз-

витку Інтернету (Internet Engineering Task Force, IETF) [1] для взаємної перевір-

ки достовірності і відповідності параметрів безпеці між системами, що підключаються, або мережами.

Процес з'єднання IPSec розділяється на два логічні етапи. На першому етапі вузол IPSec встановлює підключення до видаленого вузла або мережі. Видалений вузол/мережа перевіряє облікові дані віддаленого вузла і обидві сторони погоджують спосіб перевірки достовірності, застосовуваний в з'єднанні. Зазвичай для перевірки достовірності вузла IPSec використовується алгоритм з попереднім загальним ключем. У випадку з IPSec – з'єднання із застосуванням попереднього загального ключа, обидва вузли повинні використовувати один ключ, і тоді вони зможуть перейти до другого етапу установки з'єднання.

На другому етапі з'єднання між вузлами створюється IPSec з'єднання з умовним порівнянням безпеки (security association, SA). При цьому у базу даних SA вноситься інформація про конфігурацію – метод шифрування, способи обміну секретними ключами сеансу і деякі інші параметри. Цей етап і управляє з'єднанням IPSec між вузлами і мережами, рознесеними в просторі глобальної мережі.

1. Архітектура IPSec

1.1. Заголовки IPSec

У операційних системах Windows протокол IPSec захищає дані, які передаються по мережі, інкапсулюючи оригінальні корисні дані із заголовком IPSec

режиму транспорту (Authentication Header, AH або Encapsulating Security Payload, ESP) або заголовка IPSec і додаткового заголовка IP у режимі тунелювання. Як ви вже знаєте, протокол IPSec зазвичай використовується для перетворення UDP і TCP портів, які використовуються додатками і службами опера-

156

ційної системи в один потік безпечного трафіку в обхід незахищеної мережі. Кожна політика безпеки IPSec складається з одного або декількох правил IPSec, що визначають захист трафіку IP. У свою чергу, кожне правило IPSec пов'язане з одним списком фільтрів IP і однією дією фільтру. Список фільтрів IP містить набір з одного або декількох фільтрів IP, які відфільтровують трафік загально політики IPSec. Фільтри IP визначають початкові і кінцеві адреси, діапазон адрес, ім'я комп'ютера, TCP або UDP порт, або тип сервера. Якщо трафік, що додається на комп'ютер з призначеною політикою, відповідає фільтру в одному із заданих правил політики, то виконується дія фільтру, яка призначена для поточного правила. Залежно від того, який протокол використовується, ви можете шифрувати увесь початковий пакет або тільки інкапсульовані корисні дані, або пакет та дані.

1.2. AH протокол

Заголовок AH забезпечує перевірку достовірності, цілісність даних і захист від повторів для усього пакету, за винятком полів в заголовку IP, для яких дозволена зміна за допомогою обчислення хеша з ключем для кожного пакету. При використанні AH в хеш включається увесь пакет і заголовок. Деякі поля, для яких дозволена зміна на шляху дотримання, виключаються. Робота служби захисту повторення пакетів забезпечується включенням порядкового номера кожного пакету.

1.3. ESP протокол

Заголовок Encapsulating Security Payload (ESP) є комбінацією заголовка і індексу завершення, який забезпечує перевірку достовірності, цілісності, захист від повторів і параметри конфіденційності тільки корисних даних IP за допомогою обчислення і включення хеша з ключем для кожного пакету. При використанні ESP в хеш включаються тільки заголовок, трейлер і корисні дані ESP, причому хешування не застосовується для захисту заголовка IP.

1.4. Обмін ключами в Інтернеті

Перед початком безпечного обміну даними, між двома комп'ютерами має бути усиновлене безпечне підключення. Для створення угоди між двома ком- п'ютерами існує метод зіставлення безпеки і дозволу обміну ключами, який називається обміном ключами в Інтернеті (Internet Key Exchange, IKE). Цей метод централізує управління зіставленням безпеки, тим самим скорочуючи час підключення, а також створює загальні секретні ключі, які використовуються для захисту і управління даними. Зіставлення безпеки є поєднанням погодженого ключа, протоколу безпеки, а також індексу параметрів безпеки, що в сукупності визначають механізми безпеки, які використовуються для захисту даних, що передаються між сторонами з'єднання. Цей процес не лише захищає обмін да-

157

ними між двома комп'ютерами, але також захищає і видалені комп'ютери, які потребують безпечний доступ до внутрішньої мережі організації. Індекс параметра безпеки (Security Parameters Index, SPI) є унікальним визначальним значенням в зіставленні безпеки, яке використовується для декількох зіставлень безпеки на приймаючому комп'ютері.

Для забезпечення успішного і безпечного зв'язку IKE виконує операцію в два етапи. На першому етапі два комп'ютери створюють безпечний канал з перевіркою достовірності, який називається зіставленням безпечного режиму. Під час цього етапу спочатку виконується узгодження політики безпеки основного режиму за допомогою алгоритму шифрування (DES або 3DES), алгоритму перевірки цілісності (MD5 або SHA1), групи Діффі-Хеллмана або методу перевірки достовірності (Kerberos, сертифікат або попередній ключ). Після цього на першому етапі здійснюється обмін відомостями, які потрібні алгоритму визначення ключа Діффі-Хеллмана для створення загального секретного ключа. Після обміну на кожному комп'ютері створюється основний ключ, використовуваний для захисту перевірки достовірності. Останнім кроком на цьому етапі є перевірка достовірності. У цей момент комп'ютери виконують перевірку достовірності при обміні ключами Діффі-Хеллмана. Усі відомості облікового запису хешируются і шифруються за допомогою ключів, створених за результатами обміну відомостями про групу Діффі-Хеллмана на попередньому кроці.

На другому етапі обміну ключами в Інтернеті зіставлення безпеки узгоджуються від імені драйвера IPSec. Під час цього етапу виконуються наступні кроки: йде узгодження політики, під час якого комп'ютери IPSec обмінюються такими вимогами до захисту передачі даних, як протокол IPSec, а саме AH або ESP, алгоритм хешування для перевірки достовірності (MD5 або SHA1), а також, якщо запрошується, алгоритм шифрування (DES або 3DES). Далі відбувається оновлення або обмін матеріалом для створення ключа сеансу. В цей час IKE оновлює відомості про ключ, після чого відбувається створення нових загальних ключів для перевірки достовірності і шифрування пакетів. І, наостанок, йде процес зіставлення безпеки, після чого ключі передаються в драйвер IPSec разом з SPI.

2. Хід роботи

Налаштування для робочої станції Windows XP/Windows 2000.

Спершу, збережете файли сертифікату і ключа (ipsec-client.p12 і ca.crt) денебудь на диску. Потім, запустите консоль управління MMC (―Пуск‖ -> ―Виконати ‖ -> mmc -> натисніть "OK"), і додайте оснащення управління сертифікатами (Консоль -> ―Додати або видалити оснащення ‖ -> виберіть Додати "Добавить" -> виберіть ―Сертифікати‖ -> виберіть ―Додати‖ -> виберіть ―Облікового запису комп'ютера‖ -> виберіть ―Локальний комп'ютер‖ -> виберіть "Готово" - > виберіть ―Закрити‖ -> виберіть "ОК").

Розкрийте дерево сертифікатів, що відображається в оснащенні, клацніть правою кнопкою на контейнер – ―Довірені кореневі центри сертифікації‖, і ви-

158

беріть – ―Усі завдання‖ -> ―Додати‖. Запуститься майстер додавання сертифікатів. Натисніть ―Далі‖, в наступному вікні натисніть кнопку ―Огляд‖, вкажіть на файл кореневого сертифікату ЦС ca.crt, який ви зберегли на диску, і натисніть кнопку ―Далі‖. У наступному вікні виберіть ―Помістити всі сертифікати в наступне сховище‖, виберіть ―Довірені кореневі центри сертифікації‖ і натисніть Далі ―Далее‖. Виберіть "Готово".

Це дозволило Windows з довірою відноситися до сертифікату сервера і до персонального сертифікату клієнта, який ми зараз будемо встановлювати.

Уцій же консолі MMC клацніть правою кнопкою на контейнер Приватні "Личные", і виберіть Усі завдання "Все задачи" -> "Додати …". Запуститься майстер додавання сертифікатів. Натисніть "Далі", в наступному вікні натисніть кнопку "Огляд", вкажіть на файл персонального сертифікату ipsec – client.p12, який ви зберегли на диску, і натисніть кнопку "Далі".

Унаступному вікні введіть пароль до цього сертифікату ("test"), і натисніть кнопку "Далі". Не позначайте цей ключ як експортований, якщо у вас немає для цього достатных причин - це знижує безпеку сертифікату, оскільки в цьому випадку він може бути викрадений.

Унаступному вікні виберіть "Автоматично вибрать сховище на основі типу сертифіката" і натисніть "Далі". Виберіть "Готово".

Перевірте – сертифікат повинен опинитися в субконтейнері "Сертифікати контейнера", "Особисті".

Після успішної установки сертифікатів необхідно настроїти політикові IPSec (передбачається, що на робочій станції запущений сервіс "Служба IPSec", втім, він запущений там за замовчуванням). Для цього в запущеній консолі MMC додайте оснащення управління політиками IPSec (Консоль -> "Додати або видалити оснащення" -> виберіть "Додати" -> виберіть "Управління політикою безпеки IP" -> виберіть "Додати" -> виберіть "Локальний комп'ютер" -> виберіть "Готово" -> виберіть "Закрити" -> виберіть "OK").

Передбачається, що на робочій станції не встановлені ніякі політики IPSec, окрім встановлених за замовчуванням ("Клієнт", "Сервер Безпеки" і "Сервер"). Ці політики не активовані за замовчуванням, такими вони і залишаться. Якщо ж на комп'ютері вже є діюча політика IPSec, просто додайте в неї описуване нижче правило.

Для створення нової політики, клацніть правою кнопкою миші на "Політика безпеки IP на локальному комп'ютері" і виберіть "Створити політику безпеки IP". Запуститься майстер налаштування політики. Натисніть кнопку "Далі", і в наступному вікні вкажіть яке-небудь осмислене ім'я для створюваної політики, наприклад "Моя IPSec політика 192.168.0.122".

Унаступному вікні залиште поміченим чекбокс "Використовувати за замовчуванням" і натисніть кнопку "Далі".

Унаступному вікні залиште вибір за замовчуванням "Стандарт служб каталогів (протокол Kerberos V5) " і натисніть кнопку " Далі ". Не звертайте уваги, якщо отримаєте картку з попередженням про те, що протокол Kerberos може використовуватися тільки на комп'ютерах-членах домена - натисніть "Так".

159

Унаступному вікні потрібно очистити чекбокс "Змінити властивості" і натисніть кнопку "Готово".

В результаті повинне вийти вікно властивостей нової, створеної політики. Натисніть кнопку "Додати", і запуститься майстер додавання правил. Натисніть кнопку "Далі", в наступному вікні залиште вибір за замовчуванням "Це правило не визначає тунель" і натисніть кнопку "Далі". У наступному вікні також залиште "Всі мережні підключення", і натисніть кнопку "Далі". У вікні – "Метод перевірки автентичності", що йде за ним, виберіть – "Використовувати сертифікат даного центру сертифікації (CA) ", натисніть кнопку – "Огляд" і виберіть кореневий сертифікат вашого CA. (Якщо ви не можете його знайти, це означає, що ви помилилися, і встановили його не в те сховище сертифікатів). Натисніть кнопку " Далі " і перейдіть до наступного вікна.

Унаступному вікні вам треба створити новий фільтр. Натисніть кнопку "Додати", присвойте створюваному фільтру яке-небудь осмислене ім'я, і натисніть кнопку "Додати". Запуститься майстер створення фільтра. В якості "Адреси джерела пакетів" залиште "Моя IP адреса", в якості "Адреса призначення" вкажіть "Певний IP адреса" і введіть IP -адресу вашого сервера (192.168.0.122),

зяким ви плануєте з'єднуватися з використанням IPSec. У наступному вікні виберіть "Виберіть тип протоколу", "Будь-який", і в наступному вікні натисніть "Готово".

Майстер створення фільтрів закриється, і в попередньому вікні (створення фільтра) ви побачите його таким, що з'явився в списку фільтрів. Натисніть "OK", вікно закриється, і в попередньому вікні, в самому низу списку ви побачите новий фільтр. Помітьте його, і натисніть "Далі".

Тепер треба вибрати дію нового фільтра ("Дія фільтра"). Виберіть "Потрібно безпека". Це означає, що усі пакети, які направляються на хост з вказаною адресою, повинні шифруватися. Якщо ви хочете посилити безпеку ще більше, натисніть кнопку "Змінити", і у вікні очистьте чекбокс "Приймати небезпечний зв'язок, але відповідати за допомогою IPSec" і помітьте чекбокс "Сеансові цикли безпечної пересилки (PFS)".

Примітка. Як вже говорилося раніше, у демона racoon існує проблема з регенерацією SPD. Для того, щоб ослабити наслідки, можна спробувати зменшити час життя SPD до мінімуму - 300 секунд.

Крім того, це підвищує міру захисту з'єднання (хоча і злегка збільшує об'єм трафіка і навантаження на процесори клієнта і сервера).

Для цього змініть властивості усіх пропонованих Методів Безпеки (натисніть "Змінити", натисніть "Загальні", і поставте значення 300 у полі "Створювати новий ключ").

І звернете увагу ось на що. У підручнику по 216 курсу Microsoft (Windows

2000 Network Infrastructure Administration) [2] сказано:

―Узгодження включає підтримку тільки достовірності і цілісності даних з використанням протоколу заголовка автентифікації (AH) або підтримку цілісності і конфіденційності даних з використанням протоколу ESP.‖

160