安全系列之二:如何利用IPSec(證書)保證遠端桌面的安全性!(下)
各位好!通過上期的學習,我們實現了對遠端桌面的加密和身份驗證的連線,而在身份驗證過程中我們採用的是Kerberos這種方式,這種身份驗證方式只能應用在域環境裡,但如果兩端有一邊沒有加入域,那我們如何來保證身份驗證呢?好,今天我們就來學習一下,如何通過另外兩種身份驗證的方式來保證安全性。
身份驗證的三種方式:
1.Kerberos (適合於域環境)
2.證書(需要搭建證書伺服器)
3.預共享金鑰
我們今天的環境如下圖所示:N1還是DC,但Client並沒有加入域。
我們今天實驗的操作思路:(注意我並沒改3389–>6689,若想改可參考上篇)
1.先在DC上建立一個IPSec策略,允許任何客戶端(或一段子網或主機均可)來訪問DC的3389埠,並要求保證資料完整性和加密,身份驗證我們依次選擇預共享金鑰和證書。
2.開啟DC的遠端桌面功能。
3.在相應的客戶端,如Client上建立同樣的一個IPSec策略,可以訪問DC的3389埠,並選擇相對應的加密與身份驗證方式。
4.分別指派這兩個策略,測試即可。
一、身份驗證方式:預共享金鑰
注意:要求DC和Client兩邊必須採用相同的金鑰。
1.伺服器端配置如下:
單擊上圖中的編輯,如下圖所示:並選擇“使用此字串(預共享金鑰)”中輸入共享金鑰如haha!,單擊確定,依次關掉所有對話方塊,最後,並指派該策略。
2.客戶端的配置同於伺服器端,此處就省了吧,呵呵~~
3.測試:
抓包後,如下圖所示:加密傳輸
二、身份驗證方式:證書
在這個環境裡,我們需要搭建證書伺服器(CA),併為兩臺計算機都要申請一個計算機證書,我們選擇DC同時做CA伺服器,但要在客戶端安裝CA的根證書。這樣兩臺計算機上的計算機證書都是由同一個證書頒發機構頒發的,它們就會相互信任,我們就可以用該證書進行身份驗證了。
下面我們一步步來操作:
(一)DC伺服器上的操作:
步驟:
1.在DC上先安裝IIS(因為我們要通過web方式允許客戶端申請證書)
2.再安裝CA(我們安裝企業根CA)
3.為DC申請計算機證書,並安裝。
好,我們開始吧!
開啟DC的新增/刪除程式(appwiz.cpl)–新增和刪除Windows元件,如下圖所示:
在“應用程式伺服器”打勾,然後單擊“下一步”,完成安裝。然後再次執行appwiz.cpl,選擇“證書服務”,再次單擊“詳細資訊”,如下圖所示:有WEB方式申請證書一項。注意,安裝完證書服務後,這臺計算機就不能再改名了。
單擊上圖中的確定,再單擊下一步,如下圖:我們選擇“企業根CA”。
輸入CA的公用名稱,my root.其它可以不用修改。
有關證書資料庫等位置,可以不用修改!
單擊下一步,如下正在安裝。
最後安裝結束。
下面我們來為DC申請一個計算機證書。
開啟IE,輸入[url]http://10.1.1.5/certsrv[/url],如下所示:
出現如下圖,單擊“申請一個證書”。
如下圖,我們選擇“高階證書申請”。
再次選擇“建立並向此CA提交一個申請”。
在下圖中選擇“系統管理員”,但一定要儲存在計算機儲存中,這樣就是一個計算機證書了!
如下,提交即可。
由於我們是企業根CA,所以在預設下,會自動頒發證書,故,我們提交後稍等一會,就會出現如下所示,並“安裝此證書”,這樣DC的計算機證書就申請完了。
(二)客戶端的操作:
在Client上的操作:
1.開啟[url]http://10.1.1.5/certsrv[/url],下載並安裝CA根證書。
2.利用WEB方式,申請計算機證書。
具體操作如下:
注意在出現使用者名稱登入的對話方塊內,一定要輸入一個域使用者帳戶資訊。
選擇“下載一個CA證書..”後,出現如下圖所示:
單擊“下載CA證書”,稍等一會,出來證書的下載介面,選擇“儲存”,並把該證書儲存在桌面上。
接下來,我們要安裝該CA的根證書了,你需要開啟MMC,新增元件–證書(必須選擇計算機帳戶),如下圖所示:
注意:選擇“匯入”後,找到剛才儲存的證書,然後根據提示一路安裝下去,就不用圖示了吧~~,最後如下圖所示:
好了,接下來,我們為客戶端申請“計算機證書”,這個操作過程和剛才在DC上申請計算機證書一樣。安完成最後的安裝!
最後特別關鍵的一步:為DC和Client分別選擇利用證書做身份驗證。
如下圖所示:
選擇第二項,再單擊“瀏覽”,如下所示,你就能看到my root這個根證書。
選擇中,並單擊“確定”,如下所示:
兩邊都做完以後,可以重新指派一下,然後在client上做一下測試,OK,如下所示:
哈哈,測試成功了!!!!
你還可以抓包來看一下,如下所示:
好了,終於把這個技術點講完了,希望能給各位一些幫助。
小結:通過兩次講座,無非告訴各位,IPSec可以幫我們完成很多事情,我這個例項只不過是一個引子而已。那IPSec到底可以做那些事呢?
1.可以關機器的埠。
2.可以禁用機器的協議。
3.可以對資料的傳輸進行加密和保證其完整性。
4.可以對計算機身份進行驗證。如可以實現網路的隔離。
總而言之,IPSec功能特別強大,在域內你可以對客戶端統一部署,來達到網路的隔離的目的,我會在後期繼續給各位對IPSec做更深入的介紹。
身份驗證的三種方式:
1.Kerberos (適合於域環境)
2.證書(需要搭建證書伺服器)
3.預共享金鑰
我們今天的環境如下圖所示:N1還是DC,但Client並沒有加入域。
我們今天實驗的操作思路:(注意我並沒改3389–>6689,若想改可參考上篇)
1.先在DC上建立一個IPSec策略,允許任何客戶端(或一段子網或主機均可)來訪問DC的3389埠,並要求保證資料完整性和加密,身份驗證我們依次選擇預共享金鑰和證書。
2.開啟DC的遠端桌面功能。
3.在相應的客戶端,如Client上建立同樣的一個IPSec策略,可以訪問DC的3389埠,並選擇相對應的加密與身份驗證方式。
4.分別指派這兩個策略,測試即可。
一、身份驗證方式:預共享金鑰
注意:要求DC和Client兩邊必須採用相同的金鑰。
1.伺服器端配置如下:
單擊上圖中的編輯,如下圖所示:並選擇“使用此字串(預共享金鑰)”中輸入共享金鑰如haha!,單擊確定,依次關掉所有對話方塊,最後,並指派該策略。
2.客戶端的配置同於伺服器端,此處就省了吧,呵呵~~
3.測試:
抓包後,如下圖所示:加密傳輸
二、身份驗證方式:證書
在這個環境裡,我們需要搭建證書伺服器(CA),併為兩臺計算機都要申請一個計算機證書,我們選擇DC同時做CA伺服器,但要在客戶端安裝CA的根證書。這樣兩臺計算機上的計算機證書都是由同一個證書頒發機構頒發的,它們就會相互信任,我們就可以用該證書進行身份驗證了。
下面我們一步步來操作:
(一)DC伺服器上的操作:
步驟:
1.在DC上先安裝IIS(因為我們要通過web方式允許客戶端申請證書)
2.再安裝CA(我們安裝企業根CA)
3.為DC申請計算機證書,並安裝。
好,我們開始吧!
開啟DC的新增/刪除程式(appwiz.cpl)–新增和刪除Windows元件,如下圖所示:
在“應用程式伺服器”打勾,然後單擊“下一步”,完成安裝。然後再次執行appwiz.cpl,選擇“證書服務”,再次單擊“詳細資訊”,如下圖所示:有WEB方式申請證書一項。注意,安裝完證書服務後,這臺計算機就不能再改名了。
單擊上圖中的確定,再單擊下一步,如下圖:我們選擇“企業根CA”。
輸入CA的公用名稱,my root.其它可以不用修改。
有關證書資料庫等位置,可以不用修改!
單擊下一步,如下正在安裝。
最後安裝結束。
下面我們來為DC申請一個計算機證書。
開啟IE,輸入[url]http://10.1.1.5/certsrv[/url],如下所示:
出現如下圖,單擊“申請一個證書”。
如下圖,我們選擇“高階證書申請”。
再次選擇“建立並向此CA提交一個申請”。
在下圖中選擇“系統管理員”,但一定要儲存在計算機儲存中,這樣就是一個計算機證書了!
如下,提交即可。
由於我們是企業根CA,所以在預設下,會自動頒發證書,故,我們提交後稍等一會,就會出現如下所示,並“安裝此證書”,這樣DC的計算機證書就申請完了。
(二)客戶端的操作:
在Client上的操作:
1.開啟[url]http://10.1.1.5/certsrv[/url],下載並安裝CA根證書。
2.利用WEB方式,申請計算機證書。
具體操作如下:
注意在出現使用者名稱登入的對話方塊內,一定要輸入一個域使用者帳戶資訊。
選擇“下載一個CA證書..”後,出現如下圖所示:
單擊“下載CA證書”,稍等一會,出來證書的下載介面,選擇“儲存”,並把該證書儲存在桌面上。
接下來,我們要安裝該CA的根證書了,你需要開啟MMC,新增元件–證書(必須選擇計算機帳戶),如下圖所示:
注意:選擇“匯入”後,找到剛才儲存的證書,然後根據提示一路安裝下去,就不用圖示了吧~~,最後如下圖所示:
好了,接下來,我們為客戶端申請“計算機證書”,這個操作過程和剛才在DC上申請計算機證書一樣。安完成最後的安裝!
最後特別關鍵的一步:為DC和Client分別選擇利用證書做身份驗證。
如下圖所示:
選擇第二項,再單擊“瀏覽”,如下所示,你就能看到my root這個根證書。
選擇中,並單擊“確定”,如下所示:
兩邊都做完以後,可以重新指派一下,然後在client上做一下測試,OK,如下所示:
哈哈,測試成功了!!!!
你還可以抓包來看一下,如下所示:
好了,終於把這個技術點講完了,希望能給各位一些幫助。
小結:通過兩次講座,無非告訴各位,IPSec可以幫我們完成很多事情,我這個例項只不過是一個引子而已。那IPSec到底可以做那些事呢?
1.可以關機器的埠。
2.可以禁用機器的協議。
3.可以對資料的傳輸進行加密和保證其完整性。
4.可以對計算機身份進行驗證。如可以實現網路的隔離。
總而言之,IPSec功能特別強大,在域內你可以對客戶端統一部署,來達到網路的隔離的目的,我會在後期繼續給各位對IPSec做更深入的介紹。
本文轉自 jary3000 51CTO部落格,原文連結:http://blog.51cto.com/jary3000/125317,如需轉載請自行聯絡原作者
相關文章
- 遠端辦公如何保證資料安全?
- 如何保證MongoDB的安全性?MongoDB
- 前後端API互動如何保證資料安全性?後端API
- 利用IPsec實現網路安全之四(CA證書實現身份驗證)
- 如何利用Linux伺服器提高Web介面的身份認證安全性Linux伺服器Web
- 如何保護SSL證書私鑰安全
- 如何保證介面的冪等性?
- 高併發下如何保證介面的冪等性?
- Java下如何保證多執行緒安全Java執行緒
- 雲端計算時代前端如何保證開原始碼的安全性前端原始碼
- 執行緒安全性保證---JMM特性詳解執行緒
- 計算機網路——如何保證網路傳輸的安全性計算機網路
- 如果呼叫遠端遠端url介面為https,且存在客戶端證書驗證,如何在客戶端處理HTTP客戶端
- CA證書伺服器(6)利用CA證書配置安全Web站點伺服器Web
- 實時搜尋:如何用Javascript客戶端保證安全JavaScript客戶端
- 企業WiFi認證,如何保證企業WiFi安全?WiFi
- Java核心知識體系8:Java如何保證執行緒安全性Java執行緒
- 如何保證Web伺服器安全Web伺服器
- 如何保證無線網路安全
- ssl證書下載與安裝 – 如何下載ssl證書
- 利用IPsec實現網路安全之五(Kerveros實現身份驗證)ROS
- win10遠端桌面提示由於安全證書存在問題所以遠端無法繼續如何解決Win10
- IPSec的安全性如何?——微雲專線
- Java 併發程式設計(四):如何保證物件的執行緒安全性Java程式設計物件執行緒
- 一文看懂https如何保證資料傳輸的安全性的HTTP
- Spring Cloud中如何保證各個微服務之間呼叫的安全性SpringCloud微服務
- 基於CFSSL工具建立CA證書,服務端證書,客戶端證書服務端客戶端
- elastic學習-本地kibana透過安全證書連線遠端elasticsearchElasticsearch
- gorm是如何保證協程安全的GoORM
- 比特幣是如何保證安全的?比特幣
- 如何驗證獲取S/MIME郵件安全證書
- 客戶端如何刪除根證書客戶端
- HTTP有哪些保證冪等性和安全性的方法? - mscharhagHTTP
- Spring Cloud中如何保證各個微服務之間呼叫的安全性(下篇)SpringCloud微服務
- 一文讓你看懂,https如何保證資料傳輸的安全性HTTP
- “軟體定義汽車”的背後,海量程式碼安全性該如何保證?
- 自簽名證書安全性問題研究https(ssl)HTTP
- WEBAPI怎麼保證安全WebAPI