Implementace IPsec a L2TP v systému Windows 2000

Překlady článku Překlady článku
ID článku: 265112 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Tento článek popisuje zabezpečení protokolu IP (IPsec) a jeho implementace v systému Windows 2000 a Windows Server 2003. Také popisuje IPsec a Layer 2 Tunneling Protocol (L2TP) interoperation s produkty jiných výrobců.

Další informace

Popis IPsec

IPsec je určen k šifrování dat, jako jsou přenášena mezi dvěma počítači Ochrana dat před změny a interpretaci. IPsec je klíčovou součástí ochrany proti útokům externí a interní, privátní sítě. Ačkoli většina Strategie síťového zabezpečení mají zaměřený na zabránění útokům z mimo síť organizace, značnou citlivé informace může dojít ke ztrátě vnitřní útoky interpretaci dat v síti. Většina dat není chráněný, když bude přenášena po síti, takže zaměstnanci podpůrné členy zaměstnanci nebo návštěvníci pravděpodobně moci připojte do sítě a zkopírování dat pro pozdější analýzu. Jejich můžete připojit také úrovni sítě útoky proti jiných počítačů. Brány firewall nabízejí žádná ochrana před hrozbami například interní tak IPSec nabízí výrazně vyšší zabezpečení podnikových dat.

IPsec je zabezpečení služby umožňuje správcům sledovat provoz, zkontrolujte adresy a použít různé metody zabezpečení dat paketu IP bez ohledu na program, který generuje data.

Pomocí filtrování IP IPsec kontroluje všechny pakety IP adresy, porty a protokoly přenosu. Pravidel obsažených v zásadách místního nebo skupiny sdělte ignorovat nebo zabezpečit určité pakety v závislosti na informace o adresování a protokol IPsec.

Implementace IPsec v systému Windows 2000 a Windows Server 2003

Pouze IPsec a Internet Key Exchange (IKE) je zahrnuta v systému Windows 2000 a Windows Server 2003. Tyto operační systémy dodržovat suite IPsec RFC (2401 +) jako stejně jako první vydání můžete--stále jsou některé aspekty RFC není implementována. Pevně je integrována s mnoha jiných aspektů těchto operačních systémů (jako je například zásobník TCP/IP zařízení Plug and Play certifikát služby a kryptografické moduly (CAPIv2) a do jisté míry Zásady skupiny doručení directory-based zásady IPsec.

Pouze L2TP používá k zabezpečení paketů UDP 1701 IP, které jsou tunelového propojení IPsec ve výchozím nastavení. IPsec není zahrnuta v systému Microsoft Windows 98. IPsec a související služby v systému Windows 2000 a Windows Server 2003 byly vyvinuty ve spolupráci se společností Microsoft a Cisco Systems, Inc. Implementace L2TP samotný byla provedena společností Microsoft a integrována s IPsec po Beta 2.

Server

  • Ovladač IPsec, který sleduje, filtry a zabezpečuje přenos.
  • Internet Security Association Key Management Protocol (ISAKMP/Oakley) klíče výměnu a správu služby, které dohlížejí vyjednávání zabezpečení mezi hostiteli a poskytují klíče pro použití s algoritmy zabezpečení.
  • Agent zásad, které vyhledá zásady a doručí do ovladače IPsec a ISAKMP.
  • Přidružení zabezpečení a zásad zabezpečení protokolu IP odvozené z tyto zásady definují zabezpečení prostředí, ve kterém se dva hostitelé komunikovat.
  • API přidružení zabezpečení, které poskytuje rozhraní mezi ovladače IPsec, ISAKMP a agenta zásad.
  • Nástroje pro správu, vytvořit zásady, sledování IP statistiky zabezpečení a událostí protokolu zabezpečení IP.

Interakce součásti

  • Paketu IP odpovídá filtru IP, která je součástí IP zásad zabezpečení.
  • Zásady zabezpečení IP může mít několik metod zabezpečení volitelné. Ovladač IPsec potřebuje vědět, kterou metodu použít k zabezpečení paketu. Ovladač IPsec požadavků, ISAKMP vyjednat metodu zabezpečení a klíč zabezpečení.
  • ISAKMP vyjedná metodu zabezpečení a odešle s klíčem zabezpečení do ovladače IPsec.
  • Metoda a klíč stanou přidružení zabezpečení IPsec (SA). Ovladač IPsec ukládá toto přidružení zabezpečení v jeho databázi.
  • Obou komunikujících hostitelů je nutné zabezpečit nebo nezabezpečené IP přenos dat, takže oba nutné znát a uložení přidružení zabezpečení.

Metody zabezpečení IP

Metody zabezpečení IP jsou vyrovnány paket IP IPsec ovladač. Existují dvě metody zabezpečení, lze samostatně nebo v unison. Jsou dvě metody:
  • Integrita dat a adres prostřednictvím s klíčem hash (HMAC)
  • Integrita dat plus důvěrnost prostřednictvím šifrování

Konfigurace zásad IPsec

Použít konzola Microsoft Management Console (MMC) lze zvýšit ochranu komunikace Unicast IP pomocí konfigurace 'zásad', která je integrována na klienta a serveru nebo směrovače. Tuto zásadu můžete konfigurovat buď místně (pomocí zásady zabezpečení protokolu IP v modulu snap-in Místní počítač) nebo Active Directory (Active Directory pomocí zásady zabezpečení protokolu IP nástroje). Při použití zásady IPsec používá filtry paketů zjistit, který přenos zabezpečené, blokovat nebo povolit. Při zabezpečuje přenos, IKE používá vyjednat nastavení zabezpečení a provádět kryptografické výměny klíčů a navazování přidružení zabezpečení IPsec a automatické obnovení klíče. IPsec funguje jako transparentně co nejvíce vrstvy nad IP.

Pokud zásada IPsec Určuje IKE Windows Kerberos 5 protokol zabezpečení pro ověřování počítače můžete předejít požadavek certifikátu nasazení. Implementace systému Windows 2000 a Windows Server 2003 je podle konceptu Derrell Piper (popsané dále v tomto článku). Kerberos není používán pouze pro IKE klíčů IPsec ověřování hlavního režimu počítače. Žádná rozšíření Kerberos jsou používány v lístek, protože není uživatel nebo lístek služby--je lístek počítače--, takže by měly fungovat při konfiguraci buď operačního systému pro MIT kompatibilitu režimu Kerberos 5 s ostatními počítači, které jsou členy sférách Kerberos 5. Další informace naleznete na následujících webech:
http://technet.microsoft.com/en-us/windowsserver/2000/bb735396.aspx
http://technet.microsoft.com/en-us/library/bb742432.aspx
http://www.ietf.org/
Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft neručí za správnost těchto informací o kontaktech.

IPsec API a zásady

Windows 2000 a Windows Server 2003 IPsec APIs a zásady schématu nebyly dosud publikovány. IPsec a IKE identity chránit režimu (hlavního režimu a rychlého režimu) není půjčit samotné k API založen program orientované na připojení. IPsec není určen jako náhrada pro metody orientovaný na připojení SSL/TLS obvykle používají k zabezpečené webové komunikace.

Windows 2000 a Windows Server 2003 definice 'zásad je sada nastavení specifických IPsec, které mohou být doručovány a potom použita na hostitele. 'Zásad implikuje statická nastavení/data, která mají vyhodnocena není na bod vynucení end počítač, který přijímá těchto nastavení. Typické zavedení IPsec je pro správce domény pro klienty, servery a jiných počítačů speciální potřeby konfigurovat zásady IPsec služby Active Directory a přiřadit ji a doručení pomocí systému Zásady skupiny. Můžete také plně konfigurovat zásady IPsec.

Microsoft uvede změnit formáty úložiště zásad v příštích verzích systému Windows. Proto formáty úložiště místního registru a zásady adresáře Windows IPsec jsou považovány za soukromé, nepublikované datové struktury Microsoft.

Můžete stále dávkový skript vytváření zásad IPsec. Je nástroj příkazového řádku v Microsoft Windows 2000 Resource Kit, které můžete použít skript zásady stavby Ipsecpol.exe (dokumentace je součástí nástroje). Ve složce Support Tools na disku CD-ROM pomocí příkazu netdiag.exe/test: IPSec /v/debug zobrazíte podrobnosti zásady IPsec, filtrování, a tak dále (Pokud jste přihlášeni s stejná oprávnění jako uživatel, který přiřazen zásady).

Budoucnosti verzi (ne nutně další vydání), Microsoft pracuje na API povolit API klientů zavedení filtry a nabízí modul. Microsoft bude zpřístupnit API po kontrole návrhu podrobné jiného dodavatele. Správa zásad řešení bude moci návrh vlastní formáty zásadu a potom jejich zavedení systému IPsec pomocí rozhraní API.

Práce se právě provádí v návrhu IPsec zásad modelu/schématu jako první koncept co správy API orientovaný zásad mohou podporovat. Dodavatelé a zákazníci zájem o by však nutné zkontrolovat tento koncept podstatně chcete zobrazit, pokud by pracovat modelu. Další informace naleznete na následujícím webu:
http://www.ietf.org/proceedings/01aug/slides/ipsp-3/
Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft neručí za správnost těchto informací o kontaktech.

IPsec interoperation

Scénáře virtuální privátní sítě (VPN) doporučuje společnost Microsoft IPsec propojení pouze pro scénáře brána brány v kterém L2TP/IPsec fungovat a pro scénáře end brány (nikoli VPN vzdáleného přístupu klientů, protože je implementace tunelového propojení RFC kompatibilní a proto nepodporuje IKECFG nebo XAUTH) kde každý bod má statickou adresu IP a proto statické pravidla IPsec s filtry povolení tunelového propojení. Další informace o konfiguraci tunelového propojení IPSec v systému Windows 2000 klepněte na následující číslo článku databáze Microsoft Knowledge Base:
252735Jak konfigurovat tunelového propojení IPsec v systému Windows 2000
Ačkoli se technicky konfigurovat zásady filtry poskytují tunelových propojení IPsec protokoly a porty (protože nástroj Konfigurace zásad je velmi obecné), tyto typ tunelová propojení nejsou podporovány společností Microsoft. Spolupráce IPsec není jasně definován. Někteří dodavatelé rozhodli spustit vlastní program. Oba následující weby jsou vedení spolupráce testování programy:
http://www.icsa.net
http://www.vpnc.org
Windows 2000 a Windows Server 2003 byla neodeslaly buď tyto ještě. Zákazníka poptávky a revizi interoperation kritéria použitá v těchto aplikacích testování versus jak chcete pomocí protokolu IPsec lze určit, zda Microsoft bude použito pro certifikační tyto programy.

Navrhované spolupráce úrovně

  • Protokol kompatibilní:
    Lze určit kontrolou technické specifikace podporované možnosti jako například funkce IKE a režimy operace, metod ověřování (například podpory dodavatele certifikátů, hierarchie, velikosti klíčů) a metod zabezpečení (například DES, 3DES, MD5 a PFS).
  • Protokol interoperabilní:
    Pracovníci mohou konfigurovat určitých verzí dva produkty odesílat a přijímat data. Co je testovány na cvičení spolupráce dodavatele je nejnižší verze tohoto a nejvyšší verze tohoto je co by proveďte test týmy produktu.
    Všimněte si, že Interoperation cvičení často není test maloobchodní kód. Konečné verze systému Windows 2000 sestavení 2195, byl použit na poslední seminář. Seminář interoperation výsledky nejsou veřejné, protože jejich jsou Strojírenství cvičení pro testování produkty vývoje. Výsledky jsou pouze smysluplné Technici, testování jejich kódu.
  • Produkt interoperabilní:
    Funguje způsobem zákazník chce konfigurovat v konkrétním scénáři (způsobem skutečné práce) a "operationally ověřena" (splňuje požadavky spolehlivost a možnosti správy a nese načte reálný přenosy). Testování dodavatele je možné pouze pro několik scénářů s několika produktů a Zákazníci musí ověřit testování, protože jsou často jedinečné provozní požadavky a zabezpečení.

Interoperation L2TP/IPsec

Windows 2000 a Windows Server 2003 jsou kompatibilní s RFC 2661 ("protokol L2tp"). RFC 2661 označuje, že přenos protokolu L2TP lze zabezpečené protokolem IPsec, ale neposkytuje podrobnosti o implementaci této zabezpečení. Internetovém konceptu dokumentu je aktuálně právě pracovali, zadejte podrobnosti zabezpečení L2TP přenos protokolem IPsec. Dokumenty v internetovém konceptu pracujete dokumenty IETF (Internet Engineering Task Force), jeho oblastí a jeho pracovní skupiny.

Protože ochrana L2TP provoz s IPsec není dosud standard (je pro něj žádné RFC), musí být testován interoperation tyto operační systémy Windows pomocí L2TP/IPsec.

Použít následující základní informace o ochranu přenos protokolu L2TP pomocí IPsec v systému Windows 2000 a Windows Server 2003 jako návod při testování s dodavateli třetích stran:
  • Certifikáty jsou používány pro ověřování počítače--je možné použít předsdílený klíč pro testování.
  • Transportní režim IPsec se používá k ochraně L2TP přenosy.
  • UDP port 1701 se používá pro zdrojové a cílové porty. Toto je bez smluvní.
Microsoft pokračováním otestovat pouze IPsec a L2TP/IPsec s jinými dodavateli na základě poptávky zákazníka. Články znalostní báze Knowledge Base bude publikován, pokud jsou nalezeny problémy. Navštivte následující web společnosti Microsoft pro nejnovější na interoperation informace:
http://support.microsoft.com
Je běžné u některých dodavatelů nárokovat interoperation se systémem Windows 2000 a Windows Server 2003, i když Microsoft pravděpodobně není měla příležitost k ověření s tímto dodavatelem.

Zabezpečení

Microsoft voláními počet kroků zajištění kvality návrh a implementace, má zahrnuty interní a externí (soukromé) návrh a kód zkontroluje. Microsoft bude dále poskytovat dokumentaci a rady pro zákazníky na správné použití. S jakýkoli nástroj zabezpečení je důležité uživatelé číst důkladně porozumět IPsec a jeho použití online nápovědy a Resource Kit dokumentaci. IPsec a IKE jsou implementovány standardů IETF RFC, ale jsou stále nové technologie v průmyslu, což znamená, že budou pocházet pod silná kontrola a útoku uživatelů se zlými úmysly.

Společnost Microsoft doporučuje zachovat zabezpečené prostředí následující akce:
  • Nainstalujte aktualizaci silné Cryptography získat možnosti šifrování 3DES pro všechny počítače očekáváte pomocí IPsec. Můžete to stáhnout z následujícího webu společnosti Microsoft:
    http://windowsupdate.microsoft.com/
    .
  • Zásady IPsec vyžadují 3DES pouze kde soukromí komunikace IPsec je nutné zajistit. Šifrování DES má byly zobrazeny být nedostatečně silné proti kryptografických útoků. Použít hardwarovou akceleraci 3DES s povolen protokol IPsec síťové adaptéry pro počítače vyžadující vysokou propustnost přenosů chráněných IPsec.
  • Povolit auditování protokolu zabezpečení přihlášení a odhlášení problémy a sledovat tyto problémy události související s protokolem IPsec 541 a 542.
  • Sledování systémového protokolu událostí z IPsec zdroj.
  • Upgrade na nejnovější aktualizaci service pack (když je vydána) získat nejnovější opravy a aktualizace zabezpečení pro součásti počítače Použít k dispozici nejnovější aktualizací service Pack (ve zkušebním prostředí) pro provozní ověření před vydáním konečné verze Release candidate vydání. Okamžitě kontaktujte pracovníka odborné o problémech.
  • Při navrhování nasazení IPsec nejnovější podrobnosti konfigurace, známé problémy a řešení naleznete Microsoft Knowledge Base (http://support.microsoft.com/search ).
  • Monitor webu Microsoft Security (http://www.microsoft.com/technet/security) zůstat informovaná příspěvků zabezpečení a opravy.
  • Pokud se domníváte, že zjištěné chybu zabezpečení reprodukovatelný obraťte secure@microsoft.com. Chcete-li urychlit jejich přezkoumání poskytnout tolik podrobností jako možné.

Microsoft body kontaktu

Média dotazů obraťte Waggener Edstrom na 425-637-9097. Určit, které jsou inquiring o zabezpečení IPsec a sítě. Budou moci kontaktovat správu příslušný produkt a technických zdrojů nápovědy.

Pro IPsec jako technologie platformu Windows odeslání ipsecreq@microsoft.com e-mailové zprávy.

S dohod podpory zákazníků společnosti Microsoft mají přístup k Windows 2000 podpory IT, kteří mají byla práce s týmu produktu přes kurzu cyklu Windows 2000 beta. Zákazníci, kteří již nasadit nebo bude nasazení systému Windows 2000 nebo Windows Server 2003 IPsec pro scénáře-end nebo end směrovač by se měli obrátit přímo jejich zástupce Microsoft Support. Informace o možnostech podpory společnosti Microsoft naleznete na následujícím webu:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Společnost Microsoft potřebuje zpětné vazby zákazníka a dodavatele ke zlepšení funkcí v platformě. Jsme chtěli vědět, kdo je použití a jak, a je vaše zkušenosti. Konec je užitečný zejména pokud odešlete problémy prostřednictvím kanálu podpory zákazníků. Pokud jsou IPsec dodavatele a mají konkrétní implementaci nebo interoperation otázku viz naše návodu a články znalostní báze Microsoft Knowledge Base jak zapnout ladění. Šetření, po odeslání e-mailové zprávy alias interoperation testovací web, vysvětlit, kteří jsou, co se děje a tak dále.

Nápovědu online (v systému Windows 2000 Professional a server) obsahuje stejný obsah IPsec, ale je reprezentován odlišně v obsahu. Nápověda online je také k dispozici následující web:
http://technet.microsoft.com/en-us/windowsserver/2000/bb735359.aspx
Windows 2000 Server Resource Kit je orientovaný správci sítě a serveru, kteří jsou nové IPsec. Informace o Windows 2000 Resource Kit naleznete na následujícím webu:
http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/default.mspx
Podrobné postupy pro ochranu přenosu--konce stejně jako další informace o implementaci pomocí IPsec je k dispozici následující web:
http://www.microsoft.com/downloads/details.aspx?familyid=501a48d5-a3ee-4094-aeb4-16bbff098810
Diskusní skupiny sítě Windows 2000 je k dispozici na microsoft.public.win2000.networking.Další informace naleznete v následujících článcích znalostní báze Microsoft Knowledge Base:
257225IPsec, řešení potíží v systému Microsoft Windows 2000 Server
259335Základní odstraňování potíží L2TP/IPSec v systému Windows 2000
248750Popis zásady IPSec vytvořené L2TP/IPSec
Informace o systémem Windows 2000 virtuální privátní sítě a podpůrných spolupráce VPN naleznete na následujícím webu:
http://technet.microsoft.com/en-us/library/bb742565.aspx

Vlastnosti

ID článku: 265112 - Poslední aktualizace: 12. října 2007 - Revize: 11.6
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Klíčová slova: 
kbmt kbinfo kbipsec kbnetwork KB265112 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:265112

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com