Implémentation d'IPsec et L2TP dans Windows 2000

Cet article décrit la sécurité du protocole IP (IPsec) et sa mise en oeuvre dans Windows 2000 et Windows Server 2003. Il décrit IPsec et Layer 2 Tunneling Protocol (L2TP) Interopération avec des produits tiers.

Description d'IPsec

IPsec est conçu pour crypter des données à mesure qu'elles transitent entre deux ordinateurs, protection des données à partir de modification et interprétation. IPsec constitue le des principaux dispositifs de défense contre internes, provenant du réseau privé et les attaques externes. Bien que la plupart des stratégies de sécurité du réseau ont consacré empêchant les attaques provenant de l'extérieur du réseau d'une organisation, un grand nombre d'informations sensibles peut être perdu par les attaques internes interprètent les données sur le réseau. La plupart des données ne sont pas protégées lorsqu'elles transitent sur le réseau, donc employés, qui prend en charge les membres du personnel ou les visiteurs peuvent pouvoir branchez sur votre réseau et copier des données pour analyse ultérieure. Ils peuvent également monter au niveau du réseau des attaques contre d'autres ordinateurs. Les pare-feu n'offrent aucune protection contre ces menaces internes, afin que l'utilisation de IPsec offre sécurité sensiblement plus élevée pour les données d'entreprise.

IPsec est une service qui donne aux administrateurs la possibilité de surveiller le trafic, d'examiner les adresses et d'appliquer différentes méthodes de sécurité le paquet de données IP indépendamment de quel programme génère les données de sécurité.

À l'aide de filtrage IP, IPsec examine tous les paquets IP pour les adresses, les ports et protocoles de transport. Les règles contenues dans les stratégies locales ou de groupes indiquent à ignorer ou sécuriser les paquets spécifiques, en fonction des informations d'adressage et le protocole IPsec.

Implémentation d'IPsec dans Windows 2000 et Windows Server 2003

IPsec et IKE (Internet Key Exchange) est uniquement inclus dans Windows 2000 et Windows Server 2003. Ces systèmes d'exploitation adhérer à la suite de IPsec RFC (2401 +) autant que peut une première version--il existe encore certains aspects des RFC n'ont pas été mises en oeuvre. Il s'adapte étroitement aux autres aspects de ces systèmes d'exploitation, telles que la pile TCP/IP, périphérique Plug-and-Play, services de certificats et les modules de cryptage (CAPIv2) et dans une certaine mesure, la stratégie de groupe pour la livraison de la stratégie IPsec basée sur le répertoire.

Par défaut, seul L2TP utilise IPsec pour sécuriser les paquets UDP 1701 IP qui sont le tunnel. IPsec n'est pas inclu dans Microsoft Windows 98. IPsec et les services connexes dans Windows 2000 et Windows Server 2003 ont été développées conjointement par Microsoft et Cisco Systems, Inc. La mise en oeuvre L2TP lui-même a été effectuée par Microsoft et intégré avec IPsec après la bêta 2.

Composants

• Le pilote IPsec qui surveille, filtre et sécurise le trafic.
• Internet Security Association Key Management Protocol (ISAKMP/Oakley) clés change et la gestion services qui supervisent les négociations de sécurité entre les hôtes et fournir des clés pour une utilisation avec les algorithmes de sécurité.
• L'agent de stratégie qui recherche les stratégies et les remet au pilote IPsec et ISAKMP.
• La stratégie de sécurité IP et les associations de sécurité dérivées de ces stratégies définissent l'environnement de sécurité dans laquelle deux hôtes communiquent.
• L'API de association de sécurité qui fournit l'interface entre le pilote IPsec, ISAKMP et l'agent de stratégie.
• Les outils de gestion créer des stratégies, surveiller IP statistiques de sécurité et journal des événements de sécurité IP.

Interaction des composants

• Un paquet IP correspond à un filtre IP qui fait partie d'une adresse IP stratégie de sécurité.
• La stratégie de sécurité IP peut avoir plusieurs méthodes de sécurité en option. Le pilote IPsec doit savoir quelle méthode utiliser pour sécuriser le paquet. Le pilote IPsec demande que ISAKMP négocier une méthode de sécurité et une clé de sécurité.
• ISAKMP négocie une méthode de sécurité et l'envoie avec une clé de sécurité au pilote IPsec.
• La méthode et la clé deviennent l'association de sécurité IPsec (SA). Le pilote IPsec stocke cette association de sécurité dans sa base de données.
• Les deux hôtes en communication doivent sécuriser ou IP non sécurisé du trafic, les deux donc connaître et stocker la clé de session.

Méthodes de sécurité IP

Méthodes de sécurité IP sont appliqués à un paquet IP par l'IPsec pilote. Il existe deux méthodes de sécurité peuvent être utilisées, séparément ou à l'unisson. Les deux méthodes sont les suivantes :

• Intégrité des adresses et des données par le biais de hachage à clé (HMAC)
• Confidentialité grâce au cryptage ainsi que l'intégrité des données

Configuration des stratégies IPsec

Vous pouvez utiliser la console MMC (Microsoft Management Console) peut être utilisé pour renforcer la protection du trafic IP monodiffusion en utilisant une configuration «politique», qui repose sur le client et le serveur ou le routeur. Vous pouvez configurer cette stratégie localement (à l'aide de stratégies de sécurité IP sur ordinateur local un composant logiciel enfichable) ou dans Active Directory (à l'aide de stratégies de sécurité IP sur Active Directory outil). Lorsque vous appliquez la stratégie, IPsec utilise des filtres de paquets pour déterminer quel trafic sécurisé, bloc ou autoriser. Lorsqu'il sécurise le trafic, IKE est utilisé pour négocier les paramètres de sécurité et effectuer des échanges de clé de chiffrement et établissement des IPsec SA et automatiques les régénérations de clés. IPsec fonctionne de façon transparente que possible pour les couches au-dessus de IP.

Si la stratégie IPsec spécifie il, IKE peut utiliser le protocole de sécurité Windows Kerberos 5 pour l'authentification de l'ordinateur pour éviter la nécessité de déploiement de certificat. L'implémentation Windows 2000 et Windows Server 2003 est selon brouillon de Clown Derrell (comme décrit plus loin dans cet article). Kerberos n'est pas utilisé pour IPsec incrustation pour IKE uniquement l'authentification de l'ordinateur en mode principal. Aucune des extensions Kerberos ne sont utilisées dans le ticket, car il n'est pas un utilisateur ou le ticket de service--il est un bon ordinateur--et devrait donc fonctionner lorsque vous configurez deux systèmes d'exploitation pour compatibilité MIT mode de Kerberos 5 avec d'autres ordinateurs qui sont membres de domaines Kerberos 5. Pour plus d'informations, consultez les sites Web suivants : Microsoft fournit les coordonnées de sociétés tierces pour vous aider à trouver un support technique. Ces coordonnées peuvent être modifiés sans préavis. Microsoft ne garantit pas l'exactitude des informations concernant les tiers.

API de IPsec et stratégie

Le Windows 2000 et le schéma API IPsec de Windows Server 2003 et de stratégie n'ont pas encore été publiés. IPsec et IKE identitéent protègent mode (mode principal et mode rapide) ne pas s'y prêtent API basée sur le programme, orientés connexion. IPsec n'est pas conçue comme un remplacement pour les méthodes d'orienté connexion SSL/TLS normalement utilisées pour sécuriser Web communications.

La définition de «politique» du Windows 2000 et Windows Server 2003 est un ensemble de paramètres spécifiques à IPsec qui peuvent être remis à et ensuite appliquée à l'ordinateur hôte. «Politique» implique des paramètres/données statiques n'ont pas été évaluées sur le point de l'application de l'ordinateur de fin qui reçoit ces paramètres. Le déploiement de IPsec classique est un administrateur de domaine pour configurer une stratégie IPsec dans Active Directory en fonction des besoins de clients, serveurs et autres ordinateurs particuliers et de lui attribuer et de remettre à l'aide du système de stratégie de groupe. Vous pouvez également entièrement configurer la stratégie IPsec.

Microsoft envisage de modifier les formats de stockage de stratégie dans les futures versions de Windows. Par conséquent, la stratégie d'annuaire Windows IPsec et les formats de stockage du Registre local sont considérés comme une structure de données privée, non publié de Microsoft.

Vous pouvez toujours le script de commandes de création de stratégies IPsec. Ipsecpol.exe est un outil de ligne de commande dans le Kit de ressources Microsoft Windows 2000 que vous pouvez utiliser pour la construction de stratégie de script (documentation est incluse dans l'outil). Dans le dossier Support Tools sur le CD-ROM, vous pouvez utiliser la commande netdiag.exe/test : IPSec /v /debug pour voir les détails de la stratégie IPsec, filtrage, et ainsi de suite (si vous êtes connecté avec les mêmes privilèges que l'utilisateur qui a affecté la stratégie).

Pour un avenir version (pas nécessairement la prochaine version), Microsoft travaille sur les API qui permettent des API clients pour le plomb filtres et vous propose le moteur. Microsoft mettra API disponibles après révision d'une conception détaillée fournisseur tiers. Gestion des stratégies solutions pourront concevoir leurs propres formats de stratégie et puis les montez le système IPsec en utilisant les API.

Travail est en cours prévu pour une proposition d'un modèle de stratégie IPsec/schéma en tant que premier brouillon de ce qu'une API orientée sur la stratégie d'administration peut prendre en charge. Toutefois, fournisseurs et clients intéressés doivent réviser ce brouillon sensiblement pour voir si le modèle fonctionnerait. Pour plus d'informations, consultez le site Web suivant : Microsoft fournit les coordonnées de sociétés tierces pour vous aider à trouver un support technique. Ces coordonnées peuvent être modifiés sans préavis. Microsoft ne garantit pas l'exactitude des informations concernant les tiers.

Interopérabilité d'IPsec

Pour les scénarios de réseau privé virtuel (VPN), Microsoft vous recommande de Qu'ipsec tunnels uniquement pour les scénarios de type "passerelle vers passerelle" dans lequel L2TP/IPsec ne fonctionnera pas et pour les scénarios de fin pour passerelle (pas à distance VPN accès clients, car il est une implémentation de tunnel compatible RFC et ne pas prendre en charge IKECFG ou XAUTH) lorsque chaque point a une adresse IP statique et par conséquent statiques règles IPsec avec des filtres pour activer le tunnel. Pour plus d'informations sur la configuration de tunneling IPSec dans Windows 2000, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft : Bien que techniquement, vous pouvez configurer stratégie filtre pour fournir les tunnels IPsec pour les protocoles et ports (parce que l'outil de configuration de stratégie est très général), ces types de tunnels ne sont pas pris en charge par Microsoft. Interopérabilité IPsec n'est pas clairement définie. Certains fournisseurs ont décidé d'exécuter leur propre programme. Les deux sites Web suivants lançons des programmes de tests d'interopérabilité :Windows 2000 et Windows Server 2003 n'ont pas été soumis à un ou l'autre de ces encore. À la demande des clients et la révision des critères interopérabilités utilisés dans ces programmes de tests par rapport à la façon dont ils veulent utiliser IPsec détermine si Microsoft s'applique à la certification ces programmes.

Niveaux d'interopérabilité suggérée

• Protocole compatible :
  Peut être déterminé en examinant les spécifications techniques pris en charge d'options telles que les fonctionnalités IKE et les modes de fonctionnement, des méthodes d'authentification (telles que la prise en charge du fournisseur de certificats, les hiérarchies, les tailles de clé) et des méthodes de sécurité (tel que DES, 3DES, MD5 et PFS).
• Protocole interopérable :
  Ingénieurs peuvent configurer certaines versions de deux produits pour envoyer et recevoir des données. La version la plus ancienne de cette est ce qui est testé au fournisseur l'interopérabilité ateliers et la version la plus élevée pour cette est ce que ferait équipes de test de produit.
  Notez qu'ateliers interopérabilités souvent ne testent pas code vente au détail. La version finale de Windows 2000 build 2195, a été utilisée à l'atelier dernière. Atelier interopérabilités résultats ne sont pas publiques, car ils sont d'ingénierie ateliers de test des produits dans développement. Les résultats ne sont significatifs pour les ingénieurs de test leur code.
• Produit interopérable :
  Fonctionne de manière le client souhaite configurer dans un scénario spécifique (travail réel) et est» sur le plan opérationnel vérifié"(il répond aux exigences de la fiabilité et la gérabilité et exécute des charges de trafic réel). Test d'un fournisseur est possible que pour quelques scénarios avec quelques produits et les clients doivent vérifier le test parce que leur sécurité et les exigences opérationnelles sont souvent uniques.

Interopérabilité de L2TP/IPsec

Windows 2000 et Windows Server 2003 sont conformes à RFC 2661 ("Layer Two Tunneling Protocol"). RFC 2661 indique que le trafic L2TP peut être sécurisé avec IPsec, mais ne fournit pas de détails sur la façon d'implémenter cette sécurité. Un document brouillon Internet est actuellement en cours de traitement qui doit spécifier les détails de sécuriser le trafic L2TP avec IPsec. Brouillons Internet fonctionnent documents de l'IETF (Internet Engineering Task Force), de ses domaines et de ses groupes de travail.

Dans la mesure où le trafic de la protection du protocole L2TP avec IPsec n'est pas encore une norme (il n'y a aucune RFC pour qu'il), l'interopérabilité des systèmes d'exploitation Windows utilisant L2TP/IPsec doit être testée.

Utiliser les informations de base suivantes concernant la protection du trafic L2TP utilisant IPsec dans Windows 2000 et Windows Server 2003 en tant que guide lorsque vous testez des fournisseurs tiers :

• Les certificats sont utilisés pour l'authentification ordinateur--il est possible d'utiliser une clé pré-partagée pour les tests.
• Le mode de transport d'IPsec est utilisé pour protéger L2TP le trafic.
• LE port UDP 1701 est utilisé pour les ports source et destination. Il s'agit non négociable.

Microsoft continue de tester uniquement IPsec et L2TP/IPsec avec d'autres fournisseurs en fonction de la demande du client. Articles de la base de connaissances Microsoft seront publiées si des problèmes sont détectées. Reportez-vous au site Web de Microsoft à l'adresse suivant pour obtenir les dernières informations sur les informations d'interopérabilité : Il est courant que certains fournisseurs solliciter l'interopérabilité avec Windows 2000 et Windows Server 2003, même si Microsoft ne peut pas ont eu l'occasion de vérifier avec ce fournisseur.

Sécurité

Microsoft a pris un certain nombre d'étapes pour assurer la qualité de la conception et mise en oeuvre, qui a inclus de conception (privée) interne et externe et le code passe en revue. Microsoft continuera à fournir documentation et conseils pour les clients sur l'utilisation appropriée. Comme avec n'importe quel outil de sécurité, il est important que les utilisateurs lire la documentation en ligne aide et du Kit de ressources techniques de comprendre entièrement IPsec et son utilisation. IPsec et IKE sont mises en oeuvre les normes IETF RFC, mais ils sont toujours nouvelle technologie de l'industrie qui signifie qu'ils relèvent de contrôle lourd et attaques par des utilisateurs malveillants.

Microsoft recommande les actions suivantes pour gérer un environnement sécurisé :

• Installez le pack de mise à jour de cryptographie fort pour obtenir la fonctionnalité de cryptage 3DES pour tous les ordinateurs que vous prévoyez d'utiliser IPsec. Vous pouvez le télécharger depuis le site suivant :
  http://windowsupdate.microsoft.com/ (http://windowsupdate.microsoft.com/)
  .
• Assurez-vous que les stratégies IPSec exigent 3DES uniquement où confidentialité pour la communication IPsec est nécessaire. Cryptage DES a été conçue pour être insuffisamment solide contre les attaques cryptographiques. Utilisez 3DES l'accélération matérielle avec cartes réseau IPsec activé pour les ordinateurs qui nécessitent un débit élevé pour le trafic IPsec protégé.
• Auditer les journal de sécurité pour les problèmes d'ouverture de session et fermeture de session et surveiller ces problèmes pour les événements liés à IPsec 541 et 542.
• Surveillez le journal système pour les événements à partir de l'IPsec source.
• Mettre à niveau vers le service pack le plus récent (lorsqu'il est libéré) pour obtenir les derniers correctifs et mises à jour de sécurité pour vos composants d'ordinateur. Appliquer les versions finales candidates, si disponibles, les derniers service packs (dans votre environnement de laboratoire) pour la vérification opérationnelle avant la version finale. Contactez votre représentant de support technique sur les problèmes immédiatement.
• Lorsque vous concevez un déploiement IPsec, consultez la base de connaissances Microsoft (http://support.microsoft.com/search (http://search.support.microsoft.com) ) des toutes dernières informations relatives à la configuration, problèmes connus et solutions de contournement.
• Moniteur le site Microsoft Security Web (http://www.microsoft.com/technet/security (http://www.microsoft.com/technet/security) ) pour rester informé des informations de sécurité et des correctifs.
• Contactez secure@microsoft.com si vous pensez que vous avez découvert une faille de sécurité reproductible. Veuillez fournir autant de détails que possible afin d'accélérer l'enquête.

Microsoft points de contact

Pour les demandes des médias, contactez Waggener Edstrom à 425-637-9097. Identifier que vous sont relative à la sécurité IPsec et du réseau. Ils seront en mesure de contacter le gestion de produit approprié et les ressources techniques pour vous aider.

Pour IPsec comme une technologie de la plate-forme Windows, envoyez un message électronique à ipsecreq@microsoft.com.

Aux accords de support, les clients Microsoft ont accès à Windows 2000 Support technique qui travaillent avec l'équipe produit au cours du cycle de 2000 bêta de Windows. Les clients qui déjà déploiement ou allez déployer Windows 2000 ou Windows Server 2003 IPsec pour les scénarios de bout en bout ou de fin pour routeur doivent contacter leur ingénieur de support Microsoft directement. Pour informations sur les options de Microsoft Support, reportez-vous au site Web de Microsoft à l'adresse suivant : Microsoft a besoin de commentaires client et fournisseur pour améliorer les fonctionnalités de la plate-forme. Nous aimerions savoir qui est l'utilise et comment, et quel est votre expérience. À cette fin, il est plus utile si les clients signalisation progressive des problèmes via le canal de prise en charge. Si vous êtes un fournisseur de IPsec et que vous avez une implémentation spécifique ou une question de l'interopérabilité, consultez notre procédure pas à pas et nos articles de la base de connaissances Microsoft pour savoir comment activer le débogage. Après enquête, envoyez un message électronique à l'alias sur le site de test d'interopérabilité, expliquez qui vous, ce qui se passe et ainsi de suite.

L'aide en ligne (dans Windows 2000 Professionnel et Server) contient le même contenu pour IPsec, mais il est représenté dans la table des matières. L'aide en ligne est également disponible sur le site suivant : Kit de ressources techniques Windows 2000 s'adresse au administrateurs réseau et serveur qui ne connaissent pas IPsec. Pour informations sur le Kit de ressources techniques Windows 2000, voir le site Web de Microsoft à l'adresse suivante : Procédures détaillées à l'utilisation de IPsec pour protéger le trafic de bout en bout, ainsi que plus d'informations sur l'implémentation est disponible au niveau le site suivant : Le groupe de discussion de gestion du réseau de Windows 2000 est disponible à microsoft.public.win2000.networking.Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la base de connaissances Microsoft : Pour informations sur Windows 2000-réseau privé virtuel et la prise en charge de l'interopérabilité VPN, voir site Web de Microsoft à l'adresse suivante :