ویندوزهای ۲۰۰۰، XP و ۲۰۰۳ دارای یک مکانیزم امنیتی درونی می باشند که IP Security یا IPSec نامید می شود. IPSec پروتکلی است که برای محافظت از تک تک پاکتهای TCP/IP در حال انتقال در شبکه طراحی شده است که از Public Key Encryption یا کلید رمزنگاری عمومی استفاده میکند. در کامپیوتر مبدا پاکت IP عادی در داخل یک پاکت IPSec رمزنگاری شده بسته بندی می شود (encapsulate). سپس این پاکت تا زمانی که به کامپیوتر مقصد برسد، رمزنگاری شده باقی میماند.
در ادامه مقاله خواهید دید که به شیوه ای ساده از طریقه ایجاد یک policy که به کامپیوتر می گوید که فقط ترافیکهای تعیین شده را ببندد، می توان این سناریو را پیاده سازی کرد.
بستن Ping بر روی یک کامپیوتر
برای بستن تمامی ترافیکهای Ping ورودی و خروجی یک کامپیوتر شما باید یک IPSec Policy ایجاد نمائید که تمامی ترافیکهای ICMP را ببندد. برای این منظور مراحل زیر را دنبال نمائید:
1. یک پنجره MMC را از طریق تایپ MMC در Run باز کنید.
2. از منو File گزینه …Add/Remove Snap-in را انتخاب نمائید، حال در پنجره باز شده بر روی Add کلیک کرده و گزینه IP Security Policy Management را انتخاب کنید. اکنون پنجره ای به نام Select Computer or Domain باز می شود که بنا به سناریو خود می توانید Local Computer و یا سایر گزینه ها را انتخاب نمائید.
3. در قسمت سمت چپ کنسول بر روی IP Security Policies رایت کلیک کرده و گزینه Manage IP filter lists and filter actions را انتخاب کنید.
4. توجه داشته باشید که نیازی به پیکربندی یک IP Filter خاص برای ICMP (پروتکل مورد استفاده در ping) نیست زیرا چنین فیلتری از قبل به صورت پیش فرض وجود دارد که تمامی ترفیک های ICMP را بسته است. با این حال شما ممکن است بخواهید برای ICMP فیلترهای خاص دیگری تعریف نمایید. برای مثال، ممکن است شما بخواهید که یک سرور مشخص به درخواست ping هیچ کامپیوتری بجز یک کامپیوتر خاص در بخش پشتیبانی پاسخ ندهد. در این صورت شما باید یک IP Filter جدید اضافه کرده و IP منبع و مقصد مورد نظر و نیز پروتکل ICMP را تعیین نمایید.
5. حال در پنجره Manage IP filter lists and filter actions به تب Manage Filter Actions رفته و روی …Add کلیک کنید.
6. در پنجره باز شده Next را انتخاب کرده و سپس در قسمت Name هر نام دلخواهی مانند Block را نوشته و بر روی Next کلیک کنید و در ادامه در Filter Action General Options گزینه Block را انتخاب کرده و سپس روی Next کلیک کنید و در پایان Finish را کلیک نمائید.
7. به پنجره Manage IP filter lists and filter actions باز گردید و فیلترهایتان را بررسی کنید و در صورتی که همگی اعمال شده اند روی OKکلیک کنید. البته در هر زمان دیگری هم که بخواهید می توانیدهر Filter و یا Filter Action دلخواهی را اضافه کنید.
در ادامه باید یک IPSec Policy را ایجاد کرده و آنرا اعمال نمائیم.
پیکربندی IPSec Policy
1. در همان کنسول MMC روی IP Security Policies رایت کلیک کرده واین بار گزینه Create IP Security Policy را انتخاب نمائید.
2. در پنجره باز شده روی Next کلیک کرده و در ادامه در قسمت Name نام مناسبی مانند Block Ping را به آن اختصاص داده و Next را کلیک کنید. در قسمت بعدی تیک کنار عبارت Active the Default Response Rule را برداشته و Next را زده و در نهایت Finish را کلیک کنید.
3. اکنون نیاز داریم تا IP Filterها و Filter Actionهای گوناگونی را به IPSec Policy جدید اضافه نمائیم. در پنجره جدید IPSec Policy بر روی Add کلیک کرده و در پنجره باز شده Next را کلیک کنید. در پنجره Tunnel Endpoint همان تنظیمات پیشفرض را انتخاب کرده و بر روی Next کلیک کنید.
4. در ادامه در پنجره Network Type عبارت All network connections را انتخاب کرده و Next را کلیک کنید.
5. در پنجره IP Filter List عبارت All ICMP Traffic را انتخاب کنید و بر روی Next کلیک نمائید.
6. در قسمت Filter Action گزینه Block را انتخاب و Next را کلیک کنید و در پایان Finish را کلیک نمائید. اگر در قبل IP Filter و یا Filter Action دیگری که مورد نظرتان بوده است را Add نکرده اید، هنوز امکان اضافه کردن و یا تغییر آنها می باشد.
توجه داشته باشید که در اینجا برخلاف اکثر Firewallها نمی توانید ترتیب Ruleها را تغییر دهید.
Assign کردن IPSec Policy
در سمت راست همان کنسول MMC، بر روی New IP Security Policy رایت کلیک کرده و گزینه Assign را انتخاب نمائید.
اکنون می توانید ببینید که سیستمی که این سناریو بر روی آن اعمال شده است را نمی توان با سایر کامپیوتر های شبکه Ping کرد.
نویسنده: امین کنعانی
در ادامه مقاله خواهید دید که به شیوه ای ساده از طریقه ایجاد یک policy که به کامپیوتر می گوید که فقط ترافیکهای تعیین شده را ببندد، می توان این سناریو را پیاده سازی کرد.
بستن Ping بر روی یک کامپیوتر
برای بستن تمامی ترافیکهای Ping ورودی و خروجی یک کامپیوتر شما باید یک IPSec Policy ایجاد نمائید که تمامی ترافیکهای ICMP را ببندد. برای این منظور مراحل زیر را دنبال نمائید:
1. یک پنجره MMC را از طریق تایپ MMC در Run باز کنید.
2. از منو File گزینه …Add/Remove Snap-in را انتخاب نمائید، حال در پنجره باز شده بر روی Add کلیک کرده و گزینه IP Security Policy Management را انتخاب کنید. اکنون پنجره ای به نام Select Computer or Domain باز می شود که بنا به سناریو خود می توانید Local Computer و یا سایر گزینه ها را انتخاب نمائید.
5. حال در پنجره Manage IP filter lists and filter actions به تب Manage Filter Actions رفته و روی …Add کلیک کنید.
در ادامه باید یک IPSec Policy را ایجاد کرده و آنرا اعمال نمائیم.
پیکربندی IPSec Policy
1. در همان کنسول MMC روی IP Security Policies رایت کلیک کرده واین بار گزینه Create IP Security Policy را انتخاب نمائید.
Assign کردن IPSec Policy
در سمت راست همان کنسول MMC، بر روی New IP Security Policy رایت کلیک کرده و گزینه Assign را انتخاب نمائید.
نویسنده: امین کنعانی