2011年11月19日 星期六

ipsec 相關工具與指令研究

IPsec 主要可提供兩種功能:認證功能(Authentication)和保密功能(Confidentiality), IPsec 功能之一也可以拿來當作主機的防火牆, 避免主機中毒或被攻擊, 或在中毒後, 避免去攻擊別人. 聽說, ipsec 的設定值在 Windows 裡不能直接匯入/匯出, 所以如果我們用指令, 似乎會比較方便一點, 主機重灌後, 也可以直接套用到之前的設定值. 可以研究了一下下, 這些相關文章:


 ● IP Security(IPsec)是針對位於網路層的Internet Protocol所提出的安全性協定。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄http://structedtext.appspot.com/csec/ipsec.html



 ● 建立 IPsec 原則以限制連接埠
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
http://technet.microsoft.com/zh-tw/library/cc736995(WS.10).aspx

 step 1.從 [開始] 選單,先依序指向 [所有程式] 和 [ 系統管理工具],然後選取 [本機安全性設定值]。
 step 2.在 [本機安全性設定] 對話方塊中,按一下 [在本機電腦的 IP 安全性原則]。右邊的窗格會顯示預設的 Windows Server 2003 原則。
 step 3.在右邊的窗格上按一下滑鼠右鍵,然後按一下 [管理 IP 篩選器清單和篩選器動作]。
 step 4.於 [管理 IP 篩選器清單和篩選器動作] 對話方塊中,在 [管理 IP 篩選器清單] 索引標籤上,按一下 [新增]。
 step 5.在 [IP 篩選器清單] 對話方塊中的 [名稱] 方塊內,輸入您的篩選器清單名稱 (例如:輸入 HTTP)。若您想要的話,也可輸入相關的描述。此為套用到所有的輸入 HTTP 連線的篩選器清單。
 step 6.按一下 [新增]。出現 [IP 篩選器精靈]。建立篩選器清單...





 ● 如何設定 RPC 使用特定連接埠,以及如何使用 IPsec 以協助保護這些連接埠
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
http://support.microsoft.com/kb/908472/zh-tw

指派 IPsec 原則常用的3個參數 -x, -y, -o
*注意 本節中的命令會立即生效。

使用下列命令指派原則:
%IPSECTOOL% -w REG -p "Block RPC Ports" –x

注意 如果要立即取消指派原則,請使用下列命令:
%IPSECTOOL% -w REG -p "Block RPC Ports" –y

注意 如果要從登錄中刪除原則,請使用下列命令:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o

* 您必須重新啟動主機,變更才會生效。



 ● ipseccmd 的用法….這東西蠻好用的耶^^
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
http://blog.pigbaby.com/?p=180


 ● ipseccmd 範例
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
http://forum.slime.com.tw/thread88684.html


 ● 加固基於Windows 2003平臺的WEB伺服器
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
http://forum.icst.org.tw/phpbb/viewtopic.php?t=8239


 ● 使用批处理启用或禁用端口
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
http://oce.blog.163.com/blog/static/1141177200802145013597/



 ● 如何使用 IPSec 來封鎖特定網路通訊協定和連接埠
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
http://support.microsoft.com/kb/813878/zh-tw


 ● 利用IPSec建立內部防火牆以提升資料庫安全
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
http://adalf0722.blogspot.com/2011/10/ipsec.html


 ● Internet Protocol Security (IPSec) policies 說明/用法
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/ipsecmd.mspx?mfr=true




一般公司都會有外部防火牆來防止駭客直接入侵,應該還需要內部防火牆,來防內賊的,一般無內部防火牆的情況下,只要知道資料庫的IP、帳號及密碼,在內網就能夠去取得資料庫的資料,如果使用IPSec來建立內部防火牆,就能設定IP白名單,僅允許白名單上的伺服器可連接資料庫,也可以減少主機被內部的PC(或NB) 攻破的機率,也可以減少中毒(或被入侵)後對別台主機的影響.

沒有留言:

張貼留言

Facebook 留言板