Implementasi IPsec dan L2TP pada Windows 2000

Artikel ini menjelaskan protokol IP Security (IPsec) dan implementasi pada Windows 2000 dan Windows Server 2003. Ini juga membahas IPsec dan Layer 2 Tunneling Protocol (L2TP) interoperation dengan pihak ketiga produk.

Deskripsi IPsec

IPsec dirancang untuk mengenkripsi data saat perjalanan antara dua komputer, melindungi data dari modifikasi dan interpretasi. IPsec adalah kunci garis pertahanan terhadap serangan eksternal dan internal, swasta jaringan. Meskipun sebagian besar jaringan keamanan strategi telah berfokus pada mencegah serangan dari luar organisasi jaringan, banyak informasi sensitif dapat kehilangan oleh serangan internal yang menafsirkan data pada jaringan. Sebagian besar data tidak dilindungi ketika perjalanan di seluruh jaringan, sehingga karyawan, mendukung anggota staf, atau pengunjung dapat plug ke data jaringan dan salinan untuk kemudian analisis. Mereka juga dapat me-mount level jaringan serangan terhadap lain komputer. Firewall menawarkan tidak ada perlindungan terhadap ancaman seperti internal, sehingga menggunakan IPsec menawarkan keamanan secara signifikan lebih besar untuk data perusahaan.

IPsec adalah layanan keamanan yang memberikan administrator kemampuan untuk memantau lalu lintas, memeriksa alamat, dan menerapkan berbagai metode keamanan ke IP data paket terlepas dari program yang menghasilkan data.

Menggunakan IP penyaringan, IPsec memeriksa semua paket IP untuk alamat, pelabuhan, dan transportasi protokol. Peraturan yang terkandung dalam kebijakan lokal atau kelompok memberitahu IPsec untuk mengabaikan atau aman paket tertentu, tergantung pada informasi yang menangani dan protokol.

Implementasi IPsec di Windows 2000 dan Windows Server 2003

IPsec dan Internet Key Exchange (IKE) hanya disertakan dalam Windows 2000 dan dalam Windows Server 2003. Sistem operasi ini mematuhi IPsec RFC suite (2401 +) sebanyak pertama rilis dapat - ada yang masih beberapa aspek dari RFC yang tidak diimplementasikan. Itu adalah terintegrasi dengan banyak aspek-aspek lain dari sistem operasi, seperti the TCP/IP stack, perangkat Plug dan bermain, sertifikat layanan dan kriptografi modul (CAPIv2) dan untuk beberapa batas, kebijakan grup untuk pengiriman berbasis direktori IPsec kebijakan.

Hanya L2TP menggunakan IPsec secara default untuk mengamankan paket-paket UDP 1701 IP yang terowongan. IPsec tidak disertakan dalam Microsoft Windows 98. IPsec dan layanan terkait dalam Windows 2000 dan Windows Server 2003 yang bersama-sama dikembangkan oleh Microsoft dan Cisco Systems, Inc. Pelaksanaan L2TP itu sendiri dilakukan oleh Microsoft dan terintegrasi dengan IPsec setelah Beta 2.

Komponen

• IPsec pengandar yang memonitor, filter, dan mengamankan lalu lintas.
• Internet keamanan Asosiasi kunci Management Protocol (ISAKMP/Oakley) kunci pertukaran dan manajemen layanan yang mengawasi keamanan negosiasi antara host, dan menyediakan kunci untuk digunakan dengan keamanan algoritma.
• Agen kebijakan yang terlihat untuk kebijakan dan memberikan mereka untuk pengemudi IPsec dan ISAKMP.
• Kebijakan keamanan IP dan Asosiasi keamanan berasal dari kebijakan-kebijakan tersebut yang mendefinisikan keamanan lingkungan di mana dua host berkomunikasi.
• API Asosiasi keamanan yang menyediakan antarmuka antara pengandar IPsec, ISAKMP dan agen kebijakan.
• Alat-alat manajemen yang membuat kebijakan, memantau IP Statistik keamanan, dan keamanan IP log peristiwa.

Interaksi komponen

• Paket IP sesuai filter IP yang merupakan bagian dari sebuah IP Kebijakan keamanan.
• Kebijakan keamanan IP dapat memiliki beberapa keamanan opsional metode. Pengandar IPsec perlu tahu metode yang digunakan untuk mengamankan paket bahasa Indonesia. Pengandar IPsec permintaan ISAKMP bernegosiasi metode keamanan dan kunci keamanan.
• ISAKMP merundingkan metode keamanan dan mengirimkannya dengan kunci keamanan untuk pengandar IPsec.
• Metode dan kunci menjadi Asosiasi keamanan IPsec (SA). Pengandar IPsec toko SA ini dalam database-nya.
• Kedua host yang berkomunikasi harus aman atau unsecure IP lalu lintas, jadi baik perlu tahu dan menyimpan SA.

Metode keamanan IP

Metode keamanan IP yang diterapkan ke paket IP oleh IPsec driver. Ada dua metode keamanan yang dapat digunakan, baik secara terpisah atau bersama-sama. Dua metode adalah:

• Integritas data dan alamat melalui hashing mengetik (HMAC)
• Integritas data ditambah kerahasiaan melalui enkripsi

Konfigurasi IPsec

Anda dapat menggunakan konsol manajemen Microsoft (MMC) dapat digunakan untuk meningkatkan perlindungan Unicast IP lalu lintas dengan menggunakan konfigurasi 'kebijakan' yang dibangun pada klien dan server atau router. Anda dapat mengkonfigurasi kebijakan ini baik secara lokal (dengan menggunakan kebijakan keamanan IP pada mesin lokal snap-in) atau dalam Active Directory (dengan menggunakan kebijakan keamanan IP di Active Directory alat). Ketika Anda menerapkan kebijakan, IPsec menggunakan paket filter untuk menentukan yang lalu lintas untuk aman, blok, atau izin. Ketika itu akan mengamankan lalu lintas, IKE digunakan untuk bernegosiasi pengaturan keamanan dan melakukan pertukaran kunci kriptografi, dan IPsec SA pembentukan dan rekeys otomatis. IPsec berfungsi sebagai transparan sebagai mungkin untuk lapisan di atas IP.

Jika kebijakan IPsec menetapkan, IKE dapat menggunakan protokol keamanan Windows Kerberos 5 untuk otentikasi komputer untuk menghindari kebutuhan untuk penggunaan sertifikat. Windows 2000 dan Windows Implementasi Server 2003 menurut rancangan Derrell Piper (seperti yang dijelaskan nanti dalam artikel ini). Kerberos tidak digunakan untuk memasukkan, hanya untuk IKE IPsec komputer utama-modus otentikasi. Tidak ada ekstensi Kerberos digunakan dalam tiket karena tidak pengguna atau layanan tiket--itu adalah tiket komputer - jadi harus bekerja ketika Anda mengkonfigurasi kedua sistem operasi untuk MIT-kompatibilitas modus Kerberos 5 dengan komputer lain yang menjadi anggota dari Kerberos 5 alam. Untuk informasi tambahan, lihat situs Web berikut: Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini dapat berubah tanpa pemberitahuan. Microsoft tidak menjamin keakuratan kontak pihak ketiga ini informasi.

IPsec API dan kebijakan

Windows 2000 dan Windows Server 2003 IPsec api dan kebijakan skema tidak telah diterbitkan belum. IPsec dan IKE identitas-melindungi modus (utama mode dan cepat mode) tidak meminjamkan diri pada berbasis program, Api yang berorientasi sambungan. IPsec tidak dimaksudkan sebagai pengganti SSL/TLS berorientasi sambungan metode yang biasanya digunakan untuk Web aman komunikasi.

Definisi Windows 2000 dan Windows Server 2003 'kebijakan' adalah seperangkat khusus IPsec pengaturan yang dapat disampaikan ke dan kemudian diterapkan ke host. 'Kebijakan' menyiratkan pengaturan/data statis yang tidak telah dievaluasi pada titik penegakan akhir-komputer yang menerima ini pengaturan. Penyebaran IPsec khas adalah untuk administrator domain untuk Mengkonfigurasi Kebijakan IPsec di Active Directory yang diperlukan untuk klien, server, dan komputer tujuan khusus lain, dan kemudian menetapkan dan menyampaikan hal itu dengan menggunakan sistem kebijakan grup. Anda juga sepenuhnya dapat mengkonfigurasi kebijakan IPsec .

Microsoft bertujuan untuk mengubah format penyimpanan kebijakan di masa depan rilis Windows. Oleh karena itu, Windows IPsec direktori kebijakan dan lokal format penyimpanan registri dianggap Microsoft data pribadi, tidak dipublikasikan struktur.

Anda masih dapat skrip batch IPsec kebijakan penciptaan. Ipsecpol.exe adalah alat baris perintah dalam Kit sumber daya Microsoft Windows 2000 yang dapat Anda gunakan skrip kebijakan pembangunan (dokumentasi disertakan dengan alat). Dalam folder alat dukungan pada CD-ROM, Anda dapat menggunakan Netdiag.exe /test:ipsec/v /debug perintah untuk melihat rincian kebijakan IPsec, penyaringan, dan seterusnya (jika Anda logon dengan sama hak sebagai pengguna yang diberikan kebijakan).

Untuk masa mendatang (tidak selalu rilis berikutnya), Microsoft bekerja pada api yang memungkinkan API klien untuk plumb filter dan menawarkan ke mesin. Microsoft akan membuat api tersedia setelah vendor pihak ketiga rinci desain review. Manajemen kebijakan solusi akan mampu merancang format kebijakan mereka sendiri dan kemudian plumb mereka IPsec sistem dengan menggunakan api.

Pekerjaan sedang dilakukan pada proposal untuk kebijakan IPsec model/skema draft pertama dari apa administratif kebijakan yang berorientasi API mungkin mendukung. Namun, vendor dan pelanggan tertarik akan perlu meninjau rancangan ini secara substansial untuk melihat apakah model akan bekerja. Untuk informasi tambahan, lihat situs Web berikut: Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini dapat berubah tanpa pemberitahuan. Microsoft tidak menjamin keakuratan kontak pihak ketiga ini informasi.

IPsec interoperation

Untuk skenario jaringan privat virtual (VPN), Microsoft menyarankan IPsec terowongan hanya untuk gerbang-gerbang skenario di mana akan L2TP/IPsec tidak bekerja, dan untuk akhir-untuk-gateway skenario (tidak VPN remote akses klien, karena RFC-kompatibel terowongan implementasi, dan jadi tidak mendukung IKECFG atau XAUTH) di mana setiap titik memiliki alamat IP statis dan oleh karena itu statis IPsec aturan dengan filter untuk mengaktifkan terowongan. Untuk informasi lebih lanjut tentang konfigurasi IPSec tunneling pada Windows 2000, klik artikel berikut nomor ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft: Meskipun secara teknis Anda dapat mengkonfigurasi kebijakan filter untuk menyediakan IPsec terowongan untuk protokol dan port (karena kebijakan alat konfigurasi sangat umum), terowongan jenis ini tidak didukung oleh Microsoft. IPsec interoperabilitas tidak didefinisikan dengan jelas. Beberapa vendor telah memutuskan untuk menjalankan program mereka sendiri. Kedua situs Web berikut sedang melakukan interoperabilitas program pengujian: Windows 2000 dan Windows Server 2003 tidak telah diserahkan kepada salah satu dari ini belum. Permintaan pelanggan dan review kriteria interoperation digunakan dalam program ini pengujian versus bagaimana mereka ingin menggunakan IPsec akan menentukan Apakah Microsoft akan berlaku untuk sertifikasi dalam program ini.

Disarankan interoperabilitas tingkat

• Protokol yang kompatibel:
  Dapat ditentukan dengan melihat spesifikasi teknis dari didukung pilihan seperti IKE fitur dan cara operasi, metode otentikasi (seperti sertifikat vendor dukungan, hirarki, ukuran kunci) dan metode keamanan (seperti DES, 3DES, MD5 dan PFS).
• Protokol dioperasikan:
  Insinyur dapat mengkonfigurasi Versi tertentu dari dua produk untuk mengirim dan menerima data. Versi terendah ini adalah apa yang sedang diuji di vendor interoperabilitas lokakarya, dan tertinggi versi ini adalah tim tes produk apa yang akan Anda lakukan.
  Perhatikan bahwa Interoperation lokakarya sering tidak menguji kode ritel. Versi final Windows 2000, membangun 2195, digunakan pada lokakarya terakhir. Lokakarya interoperation hasil tidak umum karena mereka adalah rekayasa lokakarya untuk menguji produk dalam pengembangan. Hasil hanya bermakna untuk insinyur pengujian kode mereka.
• Produk dioperasikan:
  Bekerja dengan cara yang pelanggan ingin mengkonfigurasi dalam skenario tertentu (melakukan pekerjaan nyata) dan yang "operasional diverifikasi" (memenuhi persyaratan keandalan dan manageability dan membawa lalu lintas nyata beban). Vendor pengujian hanya layak untuk beberapa skenario dengan beberapa produk, dan pelanggan harus memverifikasi pengujian karena keamanan dan persyaratan operasional yang sering unik.

L2TP/IPsec interoperation

Windows 2000 dan Windows Server 2003 yang sesuai dengan RFC 2661 ("Lapisan dua Tunneling Protocol"). RFC 2661 menunjukkan bahwa lalu lintas L2TP dapat dijamin dengan IPsec, tetapi tidak memberikan rincian tentang bagaimana menerapkan ini keamanan. Internet-Rancangan dokumen saat ini bekerja pada yang akan menentukan rincian mengamankan L2TP lalu lintas dengan IPsec. Internet-Rancangan dokumen bekerja dokumen dari Internet Engineering Task Force (IETF), bidang, dan kelompok kerja.

Karena perlindungan L2TP lalu lintas dengan IPsec bukanlah standar (ada tidak ada RFC untuk itu), interoperation dari sistem operasi Windows menggunakan L2TP/IPsec harus diuji.

Menggunakan dasar informasi berikut tentang perlindungan Lalu-lintas L2TP menggunakan IPsec di Windows 2000 dan Windows Server 2003 sebagai panduan Ketika Anda menguji dengan vendor pihak ketiga:

• Sertifikat yang digunakan untuk otentikasi komputer-- mungkin untuk menggunakan tombol preshared untuk pengujian.
• Modus transportasi IPsec digunakan untuk melindungi L2TP lalu lintas.
• UDP port 1701 digunakan untuk sumber dan tujuan Port. Ini non-negotiable.

Microsoft terus menguji IPsec hanya dan L2TP/IPsec dengan vendor lainnya didasarkan pada permintaan pelanggan. Artikel Basis Pengetahuan Microsoft akan dipublikasikan jika masalah yang ditemukan. Kunjungi Web site Microsoft berikut untuk terbaru pada interoperation informasi: Itu umum untuk beberapa vendor untuk mengklaim interoperation dengan Windows 2000 dan Windows Server 2003, bahkan jika Microsoft mungkin tidak memiliki kesempatan untuk verifikasi dengan vendor itu.

Keamanan

Microsoft telah mengambil beberapa langkah-langkah untuk memastikan kualitas desain dan pelaksanaan, yang meliputi internal dan eksternal (swasta) kode desain dan ulasan. Microsoft akan terus memberikan dokumentasi dan bimbingan bagi pelanggan pada penggunaan yang tepat. Seperti dengan keamanan alat, sangat penting bahwa pengguna membaca Bantuan online dan Resource Kit dokumentasi untuk memahami IPsec dan penggunaannya secara menyeluruh. IPsec dan IKE menerapkan standar IETF RFC, tetapi mereka masih baru teknologi di industri yang berarti mereka akan datang di bawah pengawasan berat dan menyerang oleh pengguna yang jahat.

Microsoft menyarankan tindakan berikut untuk menjaga lingkungan yang aman:

• Menginstal paket pembaruan kuat kriptografi untuk mendapatkan 3DES enkripsi kemampuan untuk semua komputer yang Anda harapkan untuk menggunakan IPsec. Kamu bisa download dari Website Microsoft berikut:
  http://update.microsoft.com/ (http://update.microsoft.com/)
  .
• Memastikan bahwa IPsec kebijakan memerlukan 3DES hanya jika privasi untuk IPsec komunikasi diperlukan. Enkripsi DES telah ditunjukkan untuk menjadi kurang kuat terhadap serangan kriptografi. Menggunakan perangkat keras 3DES percepatan dengan jaringan diaktifkan IPsec adapter untuk komputer yang memerlukan throughput yang tinggi untuk IPsec dilindungi lalu lintas.
• Mengaktifkan keamanan Log audit untuk isu-isu logoff dan logon dan memonitor isu-isu ini untuk kegiatan yang berhubungan dengan IPsec 541 dan 542.
• Memantau log sistem untuk peristiwa-peristiwa dari IPsec sumber.
• Meng-upgrade ke paket layanan terbaru (ketika itu dirilis) untuk mendapatkan perbaikan terbaru dan keamanan update untuk komputer Anda komponen. Menerapkan versi kandidat rilis, jika tersedia, terbaru layanan kemasan (di lingkungan laboratorium Anda) untuk operasional verifikasi sebelum rilis final. Hubungi perwakilan layanan dukungan produk Anda tentang masalah segera.
• Ketika Anda merancang penyebaran IPsec, berkonsultasi dengan Basis Pengetahuan Microsoft)http://support.Microsoft.com/Search (http://search.support.microsoft.com) ) untuk rincian konfigurasi terbaru, dikenal isu-isu, dan workarounds.
• Memantau (situs Microsoft keamanan Webhttp://www.Microsoft.com/technet/security (http://www.microsoft.com/technet/security) ) untuk tetap melaporkan berita keamanan dan patch.
• Hubungi secure@microsoft.com jika Anda berpikir Anda memiliki menemukan kerentanan keamanan diulang. Berikan sedetail mungkin untuk mempercepat penyelidikan.

Microsoft points kontak

Pertanyaan media, hubungi Waggener Edstrom pada 425-637-9097. Mengidentifikasi bahwa Anda bertanya tentang IPsec dan jaringan keamanan. Mereka akan dapat menghubungi manajemen produk sesuai dan sumber daya teknis untuk membantu Anda.

Untuk IPsec sebagai teknologi pada Windows platform, silakan mengirim pesan e-mail ke ipsecreq@microsoft.com.

Microsoft pelanggan dengan dukungan perjanjian memiliki akses ke Windows 2000 dukungan profesional yang bekerja dengan tim produk selama Windows 2000 Beta siklus. Pelanggan yang sudah menggunakan atau akan mengerahkan Windows 2000 atau Windows Server 2003 IPsec untuk skenario end-to-end atau akhir ke router harus menghubungi Microsoft dukungan perwakilan mereka secara langsung. Untuk informasi tentang Opsi dukungan Microsoft, kunjungi Website Microsoft berikut: Microsoft kebutuhan pelanggan dan vendor umpan balik untuk meningkatkan fungsi dalam platform. Kami ingin tahu siapa yang menggunakan itu dan bagaimana, dan apa pengalaman Anda. Untuk itu, sangat membantu jika pelanggan meningkat masalah melalui saluran dukungan. Jika Anda IPsec vendor dan memiliki implementasi atau interoperation pertanyaan, lihat panduan kami dan artikel Basis Pengetahuan Microsoft untuk cara mengaktifkan debugging. Setelah penyelidikan, mengirim e-mail pesan untuk alias di tes interoperation situs, menjelaskan siapa Anda, apa yang terjadi, dan seterusnya.

Online Membantu (dalam Windows 2000 Professional dan Server) berisi konten yang sama untuk IPsec, tetapi diwakili berbeda dalam daftar isi. The Bantuan online juga tersedia pada Website Microsoft berikut: Kit sumber daya Windows 2000 Server berorientasi ke jaringan dan administrator server yang baru IPsec. Untuk informasi tentang Windows 2000 Resource Kit, lihat Website Microsoft berikut: Rincian prosedur untuk menggunakan IPsec untuk melindungi lalu lintas end-to-end juga sebagai informasi lebih lanjut tentang pelaksanaan tersedia di Web site Microsoft berikut: Windows 2000 jaringan newsgroup tersedia di Microsoft.Public.Win2000.Networking. Untuk informasi lebih lanjut, klik nomor artikel di bawah ini untuk melihat artikel di Basis Pengetahuan Microsoft: Untuk informasi tentang berbasis Windows 2000 virtual jaringan pribadi dan mendukung VPN interoperabilitas, lihat berikut Microsoft Web site: