Цитата |
---|
Алексей пишет: Судя по поиску в инете она загнулась уже... Хотя может ия и ошибаюсь |
Теперь это называется Proventia Desktop.
23.03.2006 09:03:54
У IKE есть два основных метода аутентификации: общий ключ (PSK) и сертификаты (Certs)
При аутентификации PSK используется запрос-отклик, т.е. две стороны обменимваются случаными числами, и аутентифицируемая отсылает в ответ хэш от случайного числа (открытого ключа Диффи-Хэлмана в основном режиме). Вторая сторона и PSK. Таким образом ключ аутентификации в открытом виде не передается и обмен по ДХ аутентифицирован (иначе был бы "человек-по-середине"). |
|
|
23.03.2006 08:57:00
Это тебя кто-то обманул. ISA это межсетевой экран у которого есть несколько модулей (в том числе и скан портом) по обнаружению атак. Их штук десять, все написаны ISS в 2000м году (сейчас 2006, это так - навсякий случай).
Политику примени Attacks & Audits и будешь приятно удивлен. По умолчанию сенсор не обнаруживает никаких событий. |
|||||
|
20.03.2006 18:41:24
Прокся в поставку Windows не входит. Но если не слушаешь умных людей и хочешь по№"?:?"№ться, вот тебе два варианта: Аутентификация компьютеров: На роутере поднимаешь туннельный правила IPSec требующие аутентификации по Kerberos. По два правила на каждого клиента (одно для исходящего трафа - на клиента, второе - для входящего трафа - с клиента). Средствами RRAS запрещаешь прохождение пакетов из локалки в Internet и настраиваешь трансляцию адресов. Через групповую политику спускаешь на клиентов туннельные правила IPSec (весь траф в Internet пускать в туннель на роутер, аутентификация Kerberos). Вуаля - прямой трафик не пройдет, заблокировано RRAS. Если кому надо - пожалуйста, проходи аутентификацию на контроллере домена, строй IPSec до сервера. Сервер вытащит трафик из туннеля и передаст в Inet. Таким образом выход в сеть будет возможен только с компьютеров того же леса, что и роутер. Аутентификация пользователей: Заводишь на роутере ещё один интерфейс (можно Microsoft Loopback Adapter) и присваеваешь ему адрес RFC 1918, но другой чем в локалке (например 10.1.1.0/24 если в локалке 192.168.1.0/24). Поднимаешь RRAS в режиме VPN, блокируешь прямой траф из локальки в интернет , настраиваешь трасляцию из 10.1.1.0/24 в Internet. Настраиваешь на клиентах VPN-соединение. Вуаля - когда клиенту надо в Inet, он коннектится к серверу VPN используя доменное имя пользователя\пароль, получает адрес из 10.1.1.0/24, которой можно в Internet и браузит в своё удовольствие. |
|||
|
17.03.2006 10:13:47
Гы, как я угадал :-)) |
|||
|
28.02.2006 13:31:41
НЕЛЬЗЯ! Максимум, что можно - перевести на Kerberos+NTLMv2. Можно конечно отключить NTLM LSA провайдра на серверах и DC, но за результаты не ручаюсь. По крайней меру - будет куча сбоев церьбера, а подминить будет нечем. |
|||
|